Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Átírás

1 Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán 1

2 A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi elemzés Kockázati önértékelés (SRA) Folyamatok üzleti hatáselemzése (BIA) Folyamat menti kockázatelemzés Erőforrások (elsődlegesen IT) üzleti hatáselemzése Erőforrások (elsődlegesen IT) kockázatelemzése 2

3 Veszteség adatok Tényleges veszteség, Helyreállítás költsége, Piaci kockázathoz kapcsolódó veszteség, Céltartalék "Majdnem" veszteség, Hitelezéshez kapcsolódó veszteség, Elszalasztott lehetőség, Egyéb becsült veszteségek, Bevétel kiesés, Működési nyereség, Reputációs veszteség Veszteség adatbázis Tőke-számítás Menedzsment riportok Belső ellenőrzés Üzleti döntések IT kockázatkezelés (service availability) Folyamatalapú kockázatkezelés Vissza-csatolás a kockázati önértékelésekh ez Problémák: Hogyan motiváljuk az alkalmazottakat, hogy jelentsék az eseményeket? Kis elemszám Adatminőség 3

4 A kevés adat miatt a tőkeképzésben elkövetett hiba 1. ábra: A VaR szimulációs hibája. Az LDA-hoz szükséges paraméterek ismertek. 2. ábra: A VaR eloszlása a paraméterbecslési hiba következtében 5 éves idősor mellett átlagosan 4 eseményt feltételezve minden üzletág (BL) veszteség típus (LET) kategóriában. 4

5 Hibacsökkentési lehetőségek 1. ábra: VaR eloszlása a paraméterbecslési hiba következtében. A becslés 20 esemény alapján történt, a relatív hiba 0, ábra: VaR eloszlása a paraméterbecslési hiba következtében. Az eseményeket nem soroltuk üzletágakba, így a becslést 160 adaton lehetett elvégezni. A relatív hiba 0,14. A kategóriák összevonásával, külső adatok bevonásával pontosabb becsléshez juthatunk. 5

6 Adatgyűjtés hatása a tőkére Káreloszlás Lognormális Exponenciális Amerikai Pareto Káreloszlás Lognormális Exponenciális Amerikai Pareto VaR95 átlag VaR99 átlag VaR999 átlag VaR95 SE VaR99 SE VaR999 SE VaR95 átlag VaR99 átlag VaR999 átlag VaR95 SE VaR99 SE VaR999 SE táblázat: Átlagos VaR és standard hiba, feltéve, hogy 30 eseményt tárunk fel egy adott BL-LET kategóriában. 2. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 40 eseményt tárunk fel egy adott BL-LET kategóriában. Ha 40 esemény van egy adott BL-LET kategóriában, de az intézmény csak 30-at tár fel, akkor a képzett tőke is arányosan kisebb lesz. 6

7 Kockázati modellezés SRA Belső adatok Gyakoriság eloszlás Káreloszlás Aggregált eloszlás CaR Külső adatok 7

8 Erőforrásközpontú kockázati önértékelés (SRA) Capital at Risk SRA Folyamat menti elemzés 8 Külsőerőforrások és események Folyamati szabályozottság Információ (kivéve IT) Humán erőforrások Historikus adatok Veszteség adatbázis Infrastruktúra Nem folyamat alapú elemzés IT erőforrások A folyamat menti kockázatelemzés az erőforrások sérülékenységén keresztül tárja fel a kockázatokat.

9 Fenyegetettségek által indukált hatásmechanizmus Üzleti folyamat Fenyegetettség Folyamat kiesik Folyamat mentén veszteség keletkezik BIA + kockázatelemzés (SRA-ba integrálhatóan) Folyamat menti kockázatelemzés (SRA-ba integrálhatóan) BCP, DRP Tipikus kockázatmenedzsmenti eszközök Adatgyűjtés, belső ellenőrzés, események elemzése 9

10 Folyamat erőforrás térkép E r ő f o r r á s o k F o l y a m a t o k Folyamat 1 Folyamat 2 Folyamat 3 Folyamat 4 Folyamat 5 Folyamat 6 Folyamat 7 Folyamat 8 Folyamat 9 Folyamat 10 Rendszer 1 x x Rendszer 2 x x x x x Rendszer 3 x x x x x x Rendszer 4 x x x x x x Rendszer 5 x x x Rendszer 6 x Rendszer 7 x x x Humán 1 x Rendszer 7 támogatja Humán 2 x x Folyamat 5-öt Beszállító 1 x A folyamat erőforrás térkép elkészítése az első lépés a folyamat alapú kockázatkezeléshez. 10

11 Folyamati BIA Kockázati szempont Rendelkezésre állás (A) Folyamat 1 Folyamat 2 BIA összefüggések IT 1 IT 2 BIA (Folyamat 2 )= BIA A (Folyamat 2 ) BIA (Folyamat 1 ) = BIA (Folyamat 2 ) Az integrált módszertan előnyei A látszólag lényegtelen folyamatok fontossá válhatnak a folyamati kapcsolatok ismeretének a tükrében. A folyamati BIA felmérése a második lépés a folyamat alapú kockázatkezelésben. 11

12 IT BIA Kockázati szempontok Bizalmasság (C) Integritás (I) Rendelkezésre állás (A) Folyamat 1 Folyamat 2 IT 1 IT 2 BIA összefüggések BIA (IT 1 ) = BIA C (IT 1 ) + BIA I (IT 1 ) + BIA (Folyamat 2 ) BIA (IT 2 )=BIA C (IT 2 )+BIA I (IT 2 ) + BIA (Folyamat 2 ) Az integrált módszertan előnyei Az IT rendszerek (és más erőforrások) BIA-ja rendelkezésre állás vonatkozásában levezethetők a folyamati BIA-ból. Az IT BIA felmérése a harmadik lépés a folyamat alapú kockázatkezelésben. 12

13 Folyamatok kiesésének a kockázata Szükséges inputok Folyamati BIA Folyamat 1 Erőforrások kiesési gyakorisága Erőforrások kiesési ideje Folyamat 2 Összefüggések IT 1 IT 2 Kockázat (Folyamat 1 )= Kockázat (IT 1 ) + Kockázat (IT 2 ) Kockázat (Folyamat 2 )= Kockázat (Folyamat 1 ) Az integrált kockázatkezelési módszertan előnyei A kockázatot az erőforrásokon keresztül méri kritikus erőforrások azonosíthatók, BCP / DPR támogatás. Fenyegetettségek elemzését lehetővé teszi óvintézkedések. Nincsenek kockázati halmozódások. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése. 13

14 Folyamati veszteségek kockázata Szükséges inputok Fenyegetettség lista Folyamat 1 Fenyegetettségek gyakorisága Fenyegetettségek hatása Fenyegettség 2 Folyamat 2 Összefüggések IT 1 IT 2 Kockázat (Folyamat 2 ) = Kockázat (IT 1 ) + Kockázat (IT 2 ) Fenyegetettség 1 Az integrált kockázatkezelési módszertan előnyei A folyamati gyengeségek a kapcsolatokon keresztül tárhatók fel. A fenyegetett erőforrás feltérésa kontrollok bevezetését teszi lehetővé. Az SRA egyik inputja. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése (párhuzamosan történhet az előző feladattal). 14

15 Folyamat menti kockázatelemzés BCP / DRP támogatás Az elemzés a következő outputokat nyújtja a BCP / DRP- hez Kritikus folyamatok listája A folyamat kritikus erőforrásai A bank kritikus erőforrásai Fenyegetettség elemzés és sérülékenység Meglévő kontrollok hatékonysága Kontrollok, kockázatcsökkentő lépések szükség esetén 15

16 Remote Controll Alapfogalmak RC alapfogalmak Remote Control / Off-site audit: Folyamatok és értékesítési pontok auditjának rendszertámogatása és csalásfelderítés. Hagyományos audittal szemben folyamatos kiértékelés, de csak az IT rendszerekben található adatokra használható -> kockázatok NEM teljes körét fedi le! I. típusú indikátorok: Egyesével ellenőrizendő gyanús / hibás tételek, Pl.: gyanús átutalások II. típusú indikátorok: Kockázati jelzőszámok. Pl.: rossz hitelek aránya egy ügynök portfoliójában Humán Processor: A rendszer csak támogat, azt működtetni, fejleszteni és kiértékelni kell, ezért audit szakmai tudás nélkül nem működtethető. - technológiai szakértelem (rendszer logika, adatbázis szerkezet, audit szakmai igények leképzése) - audit szakmai tudás (üzleti folyamatok ismerete, kockázatok jelzőszámainak meghatározás, kiértékelés) Misszió: - az üzleti és működési folyamatokért felelős vezetők kontroll tudatosságának erősítése - az audit munka támogatása, hogy a kockázatok sokall szélesebb körű információk alapján lehessenek azonosíthatók 16

17 Remote Controll Folyamat RC folyamat 17

18 Remote Controll Fejlesztés RC fejlesztés Az indikátorok fejlesztése folyamatos ciklus, a cél: csak valódi találatot adjon Az első monitoring időszak a legtermékenyebb A helyszíni ellenőrzések tapasztalatait is be kell építeni 18