Informatikai prevalidációs módszertan Zsakó Enikő, CISA főosztályvezető PSZÁF IT szakmai nap 2007. január 18. Bankinformatika Ellenőrzési Főosztály
Tartalom CRD előírások banki megvalósítása Belső ellenőrzés feladatai Belső ellenőrök felkészülése CRD folyamatok informatikai támogatása Informatikai ellenőrzési módszertan A módszertan alkalmazása Tapasztalatok
CRD előírások banki megvalósítása Banki projektek a megfelelés kialakítására Anyabanki függőségek Mi is a belső ellenőrzés szerepe? Belső ellenőrzés függetlensége Kapcsolat a banki projekttel Kapcsolat a Felügyelettel
A belső ellenőrzés feladatai A prevalidáció során A validáció során Éves rendszeres felülvizsgálat során Előírások: CRD Validációs kézikönyv CP10
IT ellenőrzési feladatok Követelmények: CRD A belső minősítési rendszerek (IRB) és a Működési kockázat fejlett (AMA) bevezetéséről, értékeléséről, jóváhagyásáról CP10 követelmények, pontosítások Adatok IT rendszerek Adatminőségi előírások Dokumentálás CRD folyamatok kezelésében érintett informatikai rendszerek ellenőrzése
Belső ellenőrök felkészülése A BaselII üzleti filozófiájának elsajátítása A bank üzleti területei által kiválasztott módszer és az abból adódó CRD követelmények megismerése A bank üzleti területei által kidolgozott folyamatok és dokumentumok áttekintése A CRD folyamatokat támogató informatikai rendszerek feltérképezése Informatikai rendszerek infrastruktúrájának és a megvalósított adatkezelési eljárások áttekintése
Belső ellenőri kihívások Jogszabályi bizonytalanság CRD előírások banki implementációjának komplexitása CRD előírások banki implementációja folyamatban van Nemzetközi legjobb gyakorlat kialakulása még folyamatban van
CRD folyamatok informatikai támogatása Főbb modulok sematikus ábrája Bankcsoport szintű TSZM Külföldi leánycégek TSZM Belföldi leánycégek TSZM Jelentésszolgálat Anyavállalat TSZM Elemzések Ügyfél, Ügylet szegmentálás, PD, LGD számítás Lakosság hitelbírálat Vállalati hitelbírálat Külföldi leánycégek analitikus rendszerei Hazai leánycégek analitikus rendszerei Anyavállalati analitikus rendszerek
Informatikai ellenőrzési módszertan Miért volt szükség módszertan kidolgozására? Módszertan célja: Előírások átfordítása IT rendszerekkel szembeni konkrét követelményekre Módszertan tagolása: Informatikai rendszerek, modulok vizsgálata Programok vizsgálata Egyéb BaselII-vel kapcsolatos témák vizsgálata
Informatikai ellenőrzési módszertan- 2 Milyen rendszereket, modulokat, programokat vizsgálunk? Forrásrendszerből történő leválogatás Minősítési rendszerek Modellek kialakítása poolok-ba sorolás Hitelbírálati rendszerek Hosszú távú elemzési adatbázisok Default definíciók programjai Tőkeszámítást végző modul Jelentésszolgáltatás
Informatikai ellenőrzési módszertan -3 A módszertan felépítése 1. A vizsgálandó témára vonatkozó célirányos kérdések 2. Leírás Mit kell vizsgálni? 3. Módszerek Hogyan kell az ellenőrzést elvégezni?
Informatikai rendszerek, modulok vizsgálata Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerek Ellenőrzési témák: Üzemeltetés Átadás Mentések átvétel dokumentuma Helyreállítási Terv Fizikai biztonság Archiválási Rend Bemeneti eljárások Adathordozók kezelése Üzemeltetési dokumentáció Naplók, logok Fejlesztési dokumentáció Vírusvédelem Egyéb fejlesztési Jogosultsági rendszer dokumentáció A felhasználói azonosító Üzemeltetési Rend Hardver Szoftvertámogatás Információvédelmi szabályozások Elvárások Gyenge Változáskezelés pontok Oktatás
Példa: Üzemeltetési dokumentáció Kérdés Teljes körűen átadásra kerültek a rendszer üzemeltetéséhez szükséges dokumentációk? (Kérjük a dokumentumok megnevezését a mellékletben feltüntetni.) Az üzemeltetési dokumentációk rendelkeznek a futtatások ellenőrzésére szolgáló leírásokkal? Módszerek Dokumentációk áttekintése, interjú az üzemeltetést végzőkkel a dokumentumok minőségére használhatóságára vonatkozóan. Ha nincs dokumentáció, akkor a revizorok a megállapításban írják le a pótlásukra hozott vezetői intézkedéseket.
Példa: Üzemeltetési dokumentáció - 2 Leírás Minden rendszer rendelkezzen üzemeltetési dokumentációval A dokumentáció tartalmazza az összes folyamatot A dokumentációban szerepelnie kell a futtatások ellenőrzésére vonatkozó eljárásoknak, módszereknek A dokumentáció tartalmazza a készítő és jóváhagyó adatait, a hatálybalépés dátumát A dokumentáció eredeti példányait legalább két, földrajzilag elkülönült helyen kell tárolni. Vizsgálni kell, hogy megtörténik-e a fenti dokumentumok rendszeres karbantartása az üzemeltetést érintő változások bekövetkezésekor. Ha dokumentáció nincs, akkor a vizsgálat befejezéséig elő kell állítani. A vizsgálat revizorainak megállapításai szerepeljenek a jelentésben.
Programok vizsgálata Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerek Ellenőrzési témák: Átviteli programok Leválogató, lekérdező programok Adatbányászatot és számításokat végző Egyéb kisegítő tevékenységet ellátó programok
Egyéb BaselII-vel kapcsolatos témák vizsgálata Nem egy konkrét rendszerre vonatkozó követelmények A teljes BaselII folyamatra vonatkozóan kell értékelni Általános elvek megvalósulásának ellenőrzése: Felelősség Ellenőrzés Adathiány kezelés Információbiztonság Adatminőség
Példa: Ellenőrzés Kérdés Milyen előírások vonatkoznak a Basel II tevékenységek ellenőrzésére? (Üzleti követelmények megvalósítás összhangja) Módszerek Dokumentációk tanulmányozása, interjúkészítés a Basel - II felkészülés üzleti és informatika vezetőivel. (team, projekt, vezetők)
Példa: Ellenőrzés - 2 Leírás Milyen dokumentált előírások vonatkoznak a Basel II folyamat során használt adatok körére, tartalmára, ellenőrzési módszereire? Ezeket kizárólag az üzleti oldal határozta-e meg? Az informatikai tevékenységek eredményeit milyen szervezetek ellenőrizték? Eltérés esetén milyen szabályozás alapján történt a problémák kijavítása? Cél annak megállapítása, hogy az adatok előállítása kizárólag az üzleti előírások alapján történt-e? Az informatikai tevékenységek ellenőrzése és az eredmények átvétele dokumentált volt?
Tapasztalatok Részletes, alapos, követhető üzleti és IT folyamatok Kidolgozott dokumentumok (üzleti, IT) IT felkészültség időarányosan jó Elhúzódó bevezetés Végrehajtható módszertan
Összefoglalás CRD előírások banki megvalósítása Belső ellenőrzés feladatai Belső ellenőrök felkészülése CRD folyamatok informatikai támogatása Informatikai ellenőrzési módszertan A módszertan alkalmazása Tapasztalatok
? Kérdések?
Köszönöm a figyelmet! Zsakó Enikő főosztályvezető Bankinformatika Ellenőrzési Főosztály