Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
Működési kockázatkezelés fejlesztése a CIB Bankban
IT Kockázatkezelési konferencia
2007.09.19.
Kállai Zoltán, Mogyorósi Zoltán
2
A Működési Kockázatkezelés eszköztára
• Historikus adatok gyűjtése és mennyiségi elemzés
• Kockázati önértékelés (SRA)
• Folyamatok üzleti hatáselemzése (BIA)
• Folyamat menti kockázatelemzés
• Erőforrások (elsődlegesen IT) üzleti hatáselemzése
• Erőforrások (elsődlegesen IT) kockázatelemzése
3
Veszteség adatok
Problémák: Hogyan motiváljuk az alkalmazottakat, hogy jelentsék az eseményeket?
Kis elemszámAdatminőség
Veszteség adatbázis
Tőke-számítás Menedzsment riportok
Belső ellenőrzés
Üzleti döntések
IT kockázat-kezelés (service
availability)
Folyamat-alapú
kockázat-kezelés
Vissza-csatolás a kockázati
önértékelésekhez
Tényleges veszteség, Helyreállítás költsége, Piaci kockázathoz kapcsolódó veszteség, Céltartalék
"Majdnem" veszteség, Hitelezéshez kapcsolódó veszteség, Elszalasztott lehetőség, Egyéb becsült veszteségek, Bevétel kiesés, Működési nyereség, Reputációs veszteség
4
A kevés adat miatt a tőkeképzésben elkövetett hiba
• 1. ábra: A VaR szimulációs hibája. Az LDA-hoz szükséges paraméterek ismertek.
• 2. ábra: A VaR eloszlása a paraméterbecslési hiba következtében 5 éves idősor mellett átlagosan 4 eseményt feltételezve minden üzletág (BL) – veszteség típus(LET) kategóriában.
5
Hibacsökkentési lehetőségek
• 1. ábra: VaR eloszlása a paraméterbecslési hiba következtében. A becslés 20 esemény alapján történt, a relatív hiba 0,44.
• 2. ábra: VaR eloszlása a paraméterbecslési hiba következtében. Az eseményeket nem soroltuk üzletágakba, így a becslést 160 adaton lehetett elvégezni. A relatívhiba 0,14.
A kategóriák összevonásával, külső adatok bevonásával pontosabb becsléshez juthatunk.
6
Adatgyűjtés hatása a tőkére
Ha 40 esemény van egy adott BL-LET kategóriában, de az intézmény csak 30-at tár fel,akkor a képzett tőke is arányosan kisebb lesz.
• 1. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 30 eseményt tárunk fel egy adott BL-LET kategóriában.
• 2. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 40 eseményt tárunk fel egy adott BL-LET kategóriában.
Káreloszlás Lognormális Exponenciális Amerikai
Pareto
VaR95 átlag 4610 4352 4601
VaR99 átlag 5578 5017 5503
VaR999 átlag 7044 5829 6799
VaR95 SE 8 6 8
VaR99 SE 18 12 18
VaR999 SE 72 33 58
Káreloszlás Lognormális Exponenciális Amerikai
Pareto
VaR95 átlag 6307 6108 6294
VaR99 átlag 7354 6935 7257
VaR999 átlag 8812 7933 8474
VaR95 SE 9 8 9
VaR99 SE 19 15 17
VaR999 SE 62 40 52
7
Kockázati modellezés
SRA
Belsőadatok
Külsőadatok
Aggregált eloszlás
CaR
Gyakoriság eloszlás
Káreloszlás
8
Erőforrásközpontú kockázati önértékelés (SRA)
Infra
struk
túra
Capital at Risk
Histo
rikus
ada
tok–
Vesz
tesé
g ad
atbá
zisIT
erő
forrá
sok
Hum
án e
rőfo
rráso
k Folyamati
szabályozottság
Külsőerőforrások
és események
Info
rmác
ió(k
ivév
e IT
)
SRA
Folyamat menti elemzés
Nem fo
lyamat
alapú
elemzé
s
A folyamat menti kockázatelemzés az erőforrások sérülékenységén keresztül tárja fela kockázatokat.
9
Fenyegetettségek által indukált hatásmechanizmus
Folyamat kiesikFolyamat mentén veszteség
keletkezik
BIA + kockázatelemzés(SRA-ba integrálhatóan)
BCP, DRP
Folyamat menti kockázatelemzés(SRA-ba integrálhatóan)
Tipikus kockázatmenedzsmentieszközök
Adatgyűjtés, belső ellenőrzés, események elemzése
Üzleti folyamat
Fenyegetettség
10
Folyamat – erőforrás térkép
A folyamat – erőforrás térkép elkészítése az első lépés a folyamat alapúkockázatkezeléshez.
Folyamat 1 Folyamat 2 Folyamat 3 Folyamat 4 Folyamat 5 Folyamat 6 Folyamat 7 Folyamat 8 Folyamat 9 Folyamat 10
Rendszer 1 x xRendszer 2 x x x x xRendszer 3 x x x x x xRendszer 4 x x x x x xRendszer 5 x x xRendszer 6 xRendszer 7 x x xHumán 1 xHumán 2 x xBeszállító 1 x
F o l y a m a t o k
Erőforrások
Rendszer 7 támogatja Folyamat 5-öt
11
Folyamati BIA
Kockázati szempont
Rendelkezésre állás (A)
BIA összefüggések
• BIA (Folyamat2)= BIAA(Folyamat2)• BIA (Folyamat1) = BIA (Folyamat2)
Folyamat2Folyamat1
IT1 IT2
Az integrált módszertan előnyei
A látszólag lényegtelen folyamatok fontossá válhatnak a folyamati kapcsolatok ismeretének a tükrében.
A folyamati BIA felmérése a második lépés a folyamat alapú kockázatkezelésben.
12
IT BIA
Kockázati szempontok
• Bizalmasság (C)
• Integritás (I)
• Rendelkezésre állás (A)
BIA összefüggések
• BIA (IT1) = BIAC(IT1) + BIAI(IT1) + BIA (Folyamat2)• BIA (IT2) = BIAC(IT2) + BIAI(IT2) + BIA (Folyamat2)
Az integrált módszertan előnyei
Az IT rendszerek (és más erőforrások) BIA-ja rendelkezésre állás vonatkozásában levezethetők a folyamati BIA-ból.
Az IT BIA felmérése a harmadik lépés a folyamat alapú kockázatkezelésben.
Folyamat2Folyamat1
IT1 IT2
13
Folyamatok kiesésének a kockázata
Összefüggések
• Kockázat (Folyamat1)= Kockázat (IT1) + Kockázat (IT2)• Kockázat (Folyamat2)= Kockázat (Folyamat1)
Az integrált kockázatkezelési módszertan előnyei
• A kockázatot az erőforrásokon keresztül méri kritikus erőforrások azonosíthatók, BCP / DPR támogatás.
• Fenyegetettségek elemzését lehetővé teszi óvintézkedések.
• Nincsenek kockázati halmozódások.
Szükséges inputok
• Folyamati BIA
• Erőforrások kiesési gyakorisága
• Erőforrások kiesési ideje
Erőforrás és fenyegetettség elemzés, kockázati mértékek számításaa folyamat negyedik lépése.
Folyamat2Folyamat1
IT1 IT2
14
Összefüggések
• Kockázat (Folyamat2) = Kockázat (IT1) + Kockázat (IT2)
Az integrált kockázatkezelési módszertan előnyei• A folyamati gyengeségek a kapcsolatokon keresztül tárhatók fel. • A fenyegetett erőforrás feltérésa kontrollok bevezetését teszi lehetővé.• Az SRA egyik inputja.
Folyamati veszteségek kockázata
Szükséges inputok
• Fenyegetettség lista
• Fenyegetettségek gyakorisága
• Fenyegetettségek hatása
Folyamat2Folyamat1
IT1 IT2
Fenyegetettség1
Fenyegettség2
Erőforrás és fenyegetettség elemzés, kockázati mértékek számításaa folyamat negyedik lépése (párhuzamosan történhet az előző feladattal).
15
Folyamat menti kockázatelemzés – BCP / DRP támogatás
Az elemzés a következő outputokat nyújtja a BCP / DRP- hez
• Kritikus folyamatok listája
• A folyamat kritikus erőforrásai
• A bank kritikus erőforrásai
• Fenyegetettség elemzés és sérülékenység
• Meglévő kontrollok hatékonysága
• Kontrollok, kockázatcsökkentő lépések szükség esetén
16
RC – alapfogalmakRemote Control / Off-site audit:Folyamatok és értékesítési pontok auditjának rendszertámogatása és csalásfelderítés. Hagyományos audittal szemben folyamatos kiértékelés, de csak az IT rendszerekben található adatokra használható -> kockázatok NEM teljes körét fedi le!– I. típusú indikátorok: Egyesével ellenőrizendő gyanús / hibás tételek, Pl.: gyanús
átutalások– II. típusú indikátorok: Kockázati jelzőszámok. Pl.: rossz hitelek aránya egy
ügynök portfoliójábanHumán Processor:
A rendszer csak támogat, azt működtetni, fejleszteni és kiértékelni kell, ezért auditszakmai tudás nélkül nem működtethető.- technológiai szakértelem (rendszer logika, adatbázis szerkezet, audit szakmai igények leképzése)- audit szakmai tudás (üzleti folyamatok ismerete, kockázatok jelzőszámainak meghatározás, kiértékelés)
Misszió: - az üzleti és működési folyamatokért felelős vezetők kontroll tudatosságának erősítése- az audit munka támogatása, hogy a kockázatok sokall szélesebb körűinformációk alapján lehessenek azonosíthatók
Remote Controll – Alapfogalmak
17
RC folyamat
Remote Controll – Folyamat
18
RC fejlesztés• Az indikátorok fejlesztése folyamatos ciklus, a cél: csak valódi találatot
adjon• Az első monitoring időszak a legtermékenyebb• A helyszíni ellenőrzések tapasztalatait is be kell építeni
Remote Controll – Fejlesztés