upravljanje operativnih tveganj v finan nih in titucijah n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Upravljanje operativnih tveganj v finančnih inštitucijah PowerPoint Presentation
Download Presentation
Upravljanje operativnih tveganj v finančnih inštitucijah

Loading in 2 Seconds...

play fullscreen
1 / 33

Upravljanje operativnih tveganj v finančnih inštitucijah - PowerPoint PPT Presentation


  • 169 Views
  • Uploaded on

Upravljanje operativnih tveganj v finančnih inštitucijah. Predstavljena stališča so osebna stališča avtorjev in ne odražajo nujno stališč oziroma poslovne prakse družb, v katerih sta zaposlena. Mag. Janko Uratnik Peter Grasselli. Operativno tveganje. Basel II Definicije iz zakonodaje

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Upravljanje operativnih tveganj v finančnih inštitucijah' - monty


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
upravljanje operativnih tveganj v finan nih in titucijah

Upravljanje operativnih tveganj v finančnih inštitucijah

Predstavljena stališča so osebna stališča avtorjev in ne odražajo nujno stališč oziroma poslovne prakse družb, v katerih sta zaposlena.

Mag. Janko Uratnik

Peter Grasselli

operativno tveganje
Operativno tveganje
  • Basel II
  • Definicije iz zakonodaje

ZBAN 112.

(operativno tveganje)

ZTFI 327., 418. člen

(politike in procesi upravljanja z operativnim tveganjem)

(1) Operativno tveganje je tveganje nastanka izgube, vključno s pravnim tveganjem, zaradi naslednjih okoliščin:

1. neustreznosti ali nepravilnega izvajanja notranjih procesov,

2. drugih nepravilnih ravnanj ljudi, ki spadajo v notranjo poslovno sfero pravne osebe,

3. neustreznosti ali nepravilnega delovanja sistemov, ki spadajo v notranjo poslovno sfero pravne osebe, ali

4. zunanjih dogodkov ali dejanj.

ocena tveganja primer
Izguba podatkov in razpoložljivosti sistema zaradi potresa.

Varna soba (npr. Lampertz )

Napajanje z več strani, agregat, UPS v celici

Potresno varna gradnja

Optika in mikrovalovni link za povezavo z internetom

Izguba podatkov zaradi namernega dejanja zaposlenega.

Dostop do sistema, baze podatkov in varnostnih kopij imata sistemec in operater.

Kraja gesel s strani servisnega osebja.

Servisnega osebja (snažilke, vzdrževalci, ...) se ne sporemlja dosledno.

Ocena tveganja (primer)
tveganje
Tveganje
  • Tveganje je verjetnost, da se bo z napadom na določeno slabost sistema uresničila določena grožnja, kar bo imelo neželene posledice. (COBIT)
    • verjetnost
    • posledice
    • grožnja
    • slabost (ranljivost)
procesi
Procesi
  • PO9 Asses and manage IT risks
  • AI1 Identify automated solutions (AI1.2 Risk analysis report)
  • AI6 Manage Changes (AI6.2 Impac assesement, …)
  • DS4 Ensure continous service
  • DS5 Ensure systems security
  • ME2 Monitor and evaluate internal control (ME2.5 Assurance of internal control)
  • ME4 Provide IT governance (ME4.7 Independent assurance)
identifikacija tveganj primer
Identifikacija tveganj (primer)
  • Rezervna lokacija od primarne oddaljena 1 km (v Ljubljani)
  • Obe lokaciji potresno varni
  • Obe lokaciji požarno varni
  • Napajanje z dveh strani + agregat
  • Obe lokaciji varovani (tehnično in fizično varovanje 24 ur)
  • Povezava optika + mikrovalovni link
  • Journal datotečni sistem
identifikacija tveganj
Identifikacija tveganj

Taxonomy of Threats and Security Services for Information Systems, MITRE, WP 93B0000323

identifikacija tveganj1
Identifikacija tveganj
  • Zavedati se moramo, da je potresna nevarnost pri nas realna in stvarna in da do potresa lahko pride kadarkoli. Iz kranjskega stolnega mesta z nemško provincialno podobo, ko je imela pred dobrimi sto leti le krog 30.000 prebivalcev, se je Ljubljana prelevila v moderno slovensko središče - prometno križišče, logistično in upravno središče, prestolnico države, kar seveda pomeni, da bi s potresom, ne le mesto, tudi država imela resne težave. Lahko bi se celo zgodilo, da bi logistično "razpadla" na štiri dele...
    • Citat je iz gradiva Ocena ogroženosti mestne občine Ljubljana zaradi potresa, Mestna občina Ljubljana, Oddelek za zaščito, reševanje in civilno obrambo.
  • V prejšnjem stoletju so se pojavile tri pandemije gripe; 1918/19 (španska gripa), 1957/58 (azijska gripa) in 1968/69 (hongkongška gripa). Strokovnjaki napovedujejo verjetnost nastanka nove pandemije v bližnji prihodnosti. Pandemija gripe za razliko od epidemije obicajne gripe ne predstavlja samo pomembnega javno zdravstvenega problema, ampak širši družbeni problem. saj lahko zboli od 25-45% ljudi. Zaskrbljujoce je, da je klinicna slika zelo težka (ptičja gripa) in smrtnost zelo visoka (preko 50%).Načrt temelji na naslednjih predpostavkah:
  • Pojav pandemije gripe je po oceni SZO realna grožnja.
  • Virus gripe se bo širil zelo hitro in bo povzrocil visoko morbiditeto in povecano mortaliteto.
    • Tekst je povzet iz NACRTA PRIPRAVLJENOSTI NA PANDEMIJO GRIPE NA PODROCJU ZDRAVSTVA Julij 2006, MZZ
na in obravnavanja tveganj
Način obravnavanja tveganj

ISO 17799/2005

a) applying appropriate controls to reduce the risks;

b) knowingly and objectively accepting risks, providing they clearly satisfy the organization’s policy and criteria for risk acceptance;

c) avoiding risks by not allowing actions that would cause the risks to occur;

d) transferring the associated risks to other parties, e.g. insurers or suppliers.

BS 25999-1:2006

a) Business continuity

b) Acceptance

c) Change, suspend or terminate

d) Transfer

standardi in dobra praksa
Standardi in dobra praksa
  • AS/NZ 4630 Risk Management
  • M_o_R (Management of Risk, OGC)
  • A risk management Standard (IRM, Airmic, ALARM)
  • ISACA (S11, G13, P1)
  • MSR 315, 320
  • Standardi notranjega revidiranja
dejavnosti centralne klirin kodepotne dru be
Dejavnosti centralne klirinškodepotne družbe
  • storitve vodenja centralnega registra nematerializiranih vrednostnih papirjev in skrbniške storitve v zvezi s korporacijskimi dejanji izdajateljev nematerializiranih vrednostnih papirjev,
  • storitve upravljanja poravnalnega sistema za poravnavo borznih poslov,
  • skrbniške storitve v zvezi s prevzemom v skladu z ZPre-1,
  • storitve v zvezi z zagotavljanjem sočasnosti izpolnitve pri poravnavi drugih poslov, katerih predmet so nematerializirani vrednostni papirji,
  • storitve v zvezi z izplačilom donosov iz nematerializiranih vrednostnih papirjev,
  • druge storitve v zvezi s poslovanjem z nematerializiranimi vrednostnimi papirji in izpolnjevanjem obveznosti ter uveljavljanjem pravic iz vrednostnih papirjev
zakonodaja
Zakonodaja
  • Zakon o trgu finančnih instrumentov (ZTFI)
  • Zakon o nematerializiranih vrednostnih papirjih (ZNVP)
  • Zakon o prevzemih (ZPre-1)
  • Zakon o investicijskih skladih in družbah za upravljanje (ZISDU-1)
    • Sklep o organizacijskih zahtevah za vodenje centralnega registra in upravljanje poravnalnega sistema
pogoji pravila in navodila
Pogoji, pravila in navodila
  • Splošni pogoji poslovanja (KDD nastopa kot naročnik storitev)
  • Pravila poslovanja KDD - Centralne klirinško depotne družbe, d.d., Ljubljana
  • Navodila klirinškodepotne družbe za poravnavo borznih poslov
  • Navodila klirinškodepotne družbe o članih
  • Navodila klirinškodepotne družbe o postopkih v zvezi s prevzemno ponudbo po ZPre-1
  • Navodila klirinškodepotne družbe za vodenje centralnega registra
  • Navodila klirinškodepotne družbe za sočasno izpolnitev zunajborznih poslov
  • Tehnična navodila
sklep o organizacijskih zahtevah
Sklep o organizacijskih zahtevah

za vodenje centralnega registra in upravljanje poravnalnega sistema

primer teksta iz sklepa
Primer teksta iz sklepa

3.3. NOTRANJE KONTROLE

21. Člen (ustreznost notranjih kontrol)

(1) Notranje kontrole so ustrezne, če:

- zagotavljajo reden in učinkovit nadzor nad skladnostjo delovanja oseb, ki opravljajo dela pri upravljavcu, s sprejetimi odločitvami upravljavca,

- je zagotovljeno delovanje funkcije za pregled in ocenjevanje trdnosti in zanesljivosti sistema upravljanja ter za pregled in ocenjevanje izpolnjevanja drugih zahtev glede vodenja centralnega registra in upravljanja poravnalnega sistema (funkcija notranje revizije).

(2) Notranje kontrole vključujejo:

- poročanje oseb, ki opravljajo dela pri upravljavcu, o poslovanju upravljavca in o okolju, v katerem ta posluje, ter spremljanje in nadzor nad temi poročili s strani oseb, ki sprejemajo odločitve,

- vzpostavitev dovolj podrobnih formalnih delovnih postopkov pri izvajanju vseh pomembnejših poslovnih dejavnosti upravljavca in nadzor nad spoštovanjem teh postopkov,

- vzpostavitev dovolj podrobnih formalnih delovnih postopkov, ki so potrebni za pravočasno izpolnjevanje obveznosti v zvezi s finančnimi in drugimi poročili, ki morajo prikazovati resnično in pošteno sliko premoženja in obveznosti upravljavca, njegovega finančnega položaja ter poslovnega izida in morajo biti skladna z veljavnimi računovodskimi standardi,

- vzpostavitev sistemov in postopkov za ohranjanje varnosti, celovitosti in zaupnosti informacij,

- fizične kontrole, kjer so te potrebne za omejevanje dostopa do premičnega in nepremičnega premoženja upravljavca in za varovanje tega premoženja

- vzpostavitev ustreznih notranjih kontrol na področju informacijskega sistema.

Upravljavec mora v svojem poslovanju smiselno upoštevati slovenski standard SIST BS 7799-2:2003 Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo, ki ga izdaja Slovenski inštitut za standardizacijo oziroma drug pooblaščen organ.

preslikava na cobit
Preslikava na COBIT
  • Prednosti
    • Opisana in preizkušena metodologija
    • Za lastne potrebe jo je mogoče poenostaviti
    • Zagotavalja celovit pregled
    • Spodbuja objektivnost
    • Povezava z ISO 17799, ...!
    • Kontrolni cilji, metrike (upravljanje)
    • Control practicies (SUVI)
    • Assurance guide (revizija)
prehod iz normativnega v operativno
Prehod iz normativnega v operativno

(v skladu s standardi in dobro prakso)

  • S preslikavo zakonodajnih zahtev na COBIT kontrolne cilje je:
    • določen minimalni predvideni obseg kontrolnega okolja (procesi, kontrolni cilji, metrike).
    • določena predvidena zrelost (kakovost) kontrolnega okolja.
  • Določitev in sprejetje kriterijev ocenjevanja in obravnavanja tveganj:
    • je osnova za sporazumevanje o pomembnosti tveganj,
    • spodbuja objektivnost ocenjevanja in določanja prioritet
obravnavanje tveganj primer
Obravnavanje tveganj (primer)
  • Evidenca računalniške opreme
    • Zahteva rednost in natančnost
    • Kratek potreben čas za vpis podatkov
    • Opis konfiguracije
    • Učinek:
      • Omogoča spremljanje gibanja opreme
      • Omogoča spremljanje zadolžitev
      • Omogoča identificiranje ob odtujitvi
zakonodaja za ban no okolje
Zakonodaja za bančno okolje
  • ZBan-1, Zakon o bančništvu
  • Sklep o upravljanju s tveganji in izvajanju procesa ocenjevanja ustreznega notranjega kapitala za banke in hranilnice
  • Priloga: splošni standardi upravljanja z operativnim tveganjem (BCM, PCP, DRP, nadzor zasebnega varovanja)
sklep o upravljanju s tveganji
Sklep o upravljanju s tveganji...
  • Strategija in politika prevzemanja tveganj in upravljanja s tveganji
  • Metodologija merjenja tveganj za merljiva tveganja
  • Metodologija ocenjevanja tveganj za nemerljiva tveganja
  • Sistem upravljanja ustroja, upravljanja in kontrol
sklep o upravljanju s tveganji1
Sklep o upravljanju s tveganji...
  • Ustrezni zaposleni in njihova zamenljivost
  • Pravila uvajanja novih produktov ali sistemov
  • Pravila uporabe zunanjih izvajalcev
  • Pogodbeni odnosi (prekinitev, podatki, dostop naročnika, SLA)
  • Poročanje o tveganjih
sklep o upravljanju s tveganji2
Sklep o upravljanju s tveganji...
  • Fizične kontrole
  • Politika varnosti informacijskih sistemov
  • Ocenjevanje ustreznega notranjega kapitala