1

Működési kockázatkezelés fejlesztése a CIB Bankban

IT Kockázatkezelési konferencia

2007.09.19.

Kállai Zoltán, Mogyorósi Zoltán

2

A Működési Kockázatkezelés eszköztára

• Historikus adatok gyűjtése és mennyiségi elemzés

• Kockázati önértékelés (SRA)

• Folyamatok üzleti hatáselemzése (BIA)

• Folyamat menti kockázatelemzés

• Erőforrások (elsődlegesen IT) üzleti hatáselemzése

• Erőforrások (elsődlegesen IT) kockázatelemzése

3

Veszteség adatok

Problémák: Hogyan motiváljuk az alkalmazottakat, hogy jelentsék az eseményeket?

Kis elemszámAdatminőség

Veszteség adatbázis

Tőke-számítás Menedzsment riportok

Belső ellenőrzés

Üzleti döntések

IT kockázat-kezelés (service

availability)

Folyamat-alapú

kockázat-kezelés

Vissza-csatolás a kockázati

önértékelésekhez

Tényleges veszteség, Helyreállítás költsége, Piaci kockázathoz kapcsolódó veszteség, Céltartalék

"Majdnem" veszteség, Hitelezéshez kapcsolódó veszteség, Elszalasztott lehetőség, Egyéb becsült veszteségek, Bevétel kiesés, Működési nyereség, Reputációs veszteség

4

A kevés adat miatt a tőkeképzésben elkövetett hiba

• 1. ábra: A VaR szimulációs hibája. Az LDA-hoz szükséges paraméterek ismertek.

• 2. ábra: A VaR eloszlása a paraméterbecslési hiba következtében 5 éves idősor mellett átlagosan 4 eseményt feltételezve minden üzletág (BL) – veszteség típus(LET) kategóriában.

5

Hibacsökkentési lehetőségek

• 1. ábra: VaR eloszlása a paraméterbecslési hiba következtében. A becslés 20 esemény alapján történt, a relatív hiba 0,44.

• 2. ábra: VaR eloszlása a paraméterbecslési hiba következtében. Az eseményeket nem soroltuk üzletágakba, így a becslést 160 adaton lehetett elvégezni. A relatívhiba 0,14.

A kategóriák összevonásával, külső adatok bevonásával pontosabb becsléshez juthatunk.

6

Adatgyűjtés hatása a tőkére

Ha 40 esemény van egy adott BL-LET kategóriában, de az intézmény csak 30-at tár fel,akkor a képzett tőke is arányosan kisebb lesz.

• 1. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 30 eseményt tárunk fel egy adott BL-LET kategóriában.

• 2. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 40 eseményt tárunk fel egy adott BL-LET kategóriában.

Káreloszlás Lognormális Exponenciális Amerikai

Pareto

VaR95 átlag 4610 4352 4601

VaR99 átlag 5578 5017 5503

VaR999 átlag 7044 5829 6799

VaR95 SE 8 6 8

VaR99 SE 18 12 18

VaR999 SE 72 33 58

Káreloszlás Lognormális Exponenciális Amerikai

Pareto

VaR95 átlag 6307 6108 6294

VaR99 átlag 7354 6935 7257

VaR999 átlag 8812 7933 8474

VaR95 SE 9 8 9

VaR99 SE 19 15 17

VaR999 SE 62 40 52

7

Kockázati modellezés

SRA

Belsőadatok

Külsőadatok

Aggregált eloszlás

CaR

Gyakoriság eloszlás

Káreloszlás

8

Erőforrásközpontú kockázati önértékelés (SRA)

Infra

struk

túra

Capital at Risk

Histo

rikus

ada

tok–

Vesz

tesé

g ad

atbá

zisIT

erő

forrá

sok

Hum

án e

rőfo

rráso

k Folyamati

szabályozottság

Külsőerőforrások

és események

Info

rmác

ió(k

ivév

e IT

)

SRA

Folyamat menti elemzés

Nem fo

lyamat

alapú

elemzé

s

A folyamat menti kockázatelemzés az erőforrások sérülékenységén keresztül tárja fela kockázatokat.

9

Fenyegetettségek által indukált hatásmechanizmus

Folyamat kiesikFolyamat mentén veszteség

keletkezik

BIA + kockázatelemzés(SRA-ba integrálhatóan)

BCP, DRP

Folyamat menti kockázatelemzés(SRA-ba integrálhatóan)

Tipikus kockázatmenedzsmentieszközök

Adatgyűjtés, belső ellenőrzés, események elemzése

Üzleti folyamat

Fenyegetettség

10

Folyamat – erőforrás térkép

A folyamat – erőforrás térkép elkészítése az első lépés a folyamat alapúkockázatkezeléshez.

Folyamat 1 Folyamat 2 Folyamat 3 Folyamat 4 Folyamat 5 Folyamat 6 Folyamat 7 Folyamat 8 Folyamat 9 Folyamat 10

Rendszer 1 x xRendszer 2 x x x x xRendszer 3 x x x x x xRendszer 4 x x x x x xRendszer 5 x x xRendszer 6 xRendszer 7 x x xHumán 1 xHumán 2 x xBeszállító 1 x

F o l y a m a t o k

Erőforrások

Rendszer 7 támogatja Folyamat 5-öt

11

Folyamati BIA

Kockázati szempont

Rendelkezésre állás (A)

BIA összefüggések

• BIA (Folyamat2)= BIAA(Folyamat2)• BIA (Folyamat1) = BIA (Folyamat2)

Folyamat2Folyamat1

IT1 IT2

Az integrált módszertan előnyei

A látszólag lényegtelen folyamatok fontossá válhatnak a folyamati kapcsolatok ismeretének a tükrében.

A folyamati BIA felmérése a második lépés a folyamat alapú kockázatkezelésben.

12

IT BIA

Kockázati szempontok

• Bizalmasság (C)

• Integritás (I)

• Rendelkezésre állás (A)

BIA összefüggések

• BIA (IT1) = BIAC(IT1) + BIAI(IT1) + BIA (Folyamat2)• BIA (IT2) = BIAC(IT2) + BIAI(IT2) + BIA (Folyamat2)

Az integrált módszertan előnyei

Az IT rendszerek (és más erőforrások) BIA-ja rendelkezésre állás vonatkozásában levezethetők a folyamati BIA-ból.

Az IT BIA felmérése a harmadik lépés a folyamat alapú kockázatkezelésben.

Folyamat2Folyamat1

IT1 IT2

13

Folyamatok kiesésének a kockázata

Összefüggések

• Kockázat (Folyamat1)= Kockázat (IT1) + Kockázat (IT2)• Kockázat (Folyamat2)= Kockázat (Folyamat1)

Az integrált kockázatkezelési módszertan előnyei

• A kockázatot az erőforrásokon keresztül méri kritikus erőforrások azonosíthatók, BCP / DPR támogatás.

• Fenyegetettségek elemzését lehetővé teszi óvintézkedések.

• Nincsenek kockázati halmozódások.

Szükséges inputok

• Folyamati BIA

• Erőforrások kiesési gyakorisága

• Erőforrások kiesési ideje

Erőforrás és fenyegetettség elemzés, kockázati mértékek számításaa folyamat negyedik lépése.

Folyamat2Folyamat1

IT1 IT2

14

Összefüggések

• Kockázat (Folyamat2) = Kockázat (IT1) + Kockázat (IT2)

Az integrált kockázatkezelési módszertan előnyei• A folyamati gyengeségek a kapcsolatokon keresztül tárhatók fel. • A fenyegetett erőforrás feltérésa kontrollok bevezetését teszi lehetővé.• Az SRA egyik inputja.

Folyamati veszteségek kockázata

Szükséges inputok

• Fenyegetettség lista

• Fenyegetettségek gyakorisága

• Fenyegetettségek hatása

Folyamat2Folyamat1

IT1 IT2

Fenyegetettség1

Fenyegettség2

Erőforrás és fenyegetettség elemzés, kockázati mértékek számításaa folyamat negyedik lépése (párhuzamosan történhet az előző feladattal).

15

Folyamat menti kockázatelemzés – BCP / DRP támogatás

Az elemzés a következő outputokat nyújtja a BCP / DRP- hez

• Kritikus folyamatok listája

• A folyamat kritikus erőforrásai

• A bank kritikus erőforrásai

• Fenyegetettség elemzés és sérülékenység

• Meglévő kontrollok hatékonysága

• Kontrollok, kockázatcsökkentő lépések szükség esetén

16

RC – alapfogalmakRemote Control / Off-site audit:Folyamatok és értékesítési pontok auditjának rendszertámogatása és csalásfelderítés. Hagyományos audittal szemben folyamatos kiértékelés, de csak az IT rendszerekben található adatokra használható -> kockázatok NEM teljes körét fedi le!– I. típusú indikátorok: Egyesével ellenőrizendő gyanús / hibás tételek, Pl.: gyanús

átutalások– II. típusú indikátorok: Kockázati jelzőszámok. Pl.: rossz hitelek aránya egy

ügynök portfoliójábanHumán Processor:

A rendszer csak támogat, azt működtetni, fejleszteni és kiértékelni kell, ezért auditszakmai tudás nélkül nem működtethető.- technológiai szakértelem (rendszer logika, adatbázis szerkezet, audit szakmai igények leképzése)- audit szakmai tudás (üzleti folyamatok ismerete, kockázatok jelzőszámainak meghatározás, kiértékelés)

Misszió: - az üzleti és működési folyamatokért felelős vezetők kontroll tudatosságának erősítése- az audit munka támogatása, hogy a kockázatok sokall szélesebb körűinformációk alapján lehessenek azonosíthatók

Remote Controll – Alapfogalmak

17

RC folyamat

Remote Controll – Folyamat

18

RC fejlesztés• Az indikátorok fejlesztése folyamatos ciklus, a cél: csak valódi találatot

adjon• Az első monitoring időszak a legtermékenyebb• A helyszíni ellenőrzések tapasztalatait is be kell építeni

Remote Controll – Fejlesztés