A CRD prevalidáció informatika felügyelési vonatkozásai Budapest, 2007. január 18. Gajdosné Sági Katalin PSZÁF, Informatika felügyeleti főosztály gajdos.katalin@pszaf.hu
Tartalom CRD előírások GL10 ajánlás Tapasztalatok, tanulságok Kérdések 2
CRD előírások 2006/48/EC - 1 Mikortól kell alkalmazni? Milyen jogszabályokban jelenik meg? Mikorra várható? 3
CRD előírások, 2006/48/EC - 2 84. cikk (2) d) a hitelintézet valamennyi releváns adatot összegyűjti és tárolja, hogy hatékony módon támogassa hitelkockázat mérési és kezelési folyamatát; és e) a hitelintézet dokumentálja minősítési rendszereit 4
CRD előírások, 2006/48/EC - 3 VII. melléklet, 4. rész 1. Minősítési rendszerek 1. Egy minősítési rendszernek fel kell ölelnie az összes módszert, folyamatot, ellenőrzést, adatgyűjtő és informatikai rendszert, amelyek a hitelkockázat minősítését, a kitettségek minőségi kategóriákba vagy poolokba sorolását, valamint az egyes kitettség típusokhoz tartozó nemteljesítési és veszteségi becslések mennyiségi meghatározását támogatják. 5
CRD előírások, 2006/48/EC - 4 VII. melléklet, 4. rész 1.5 Modellek alkalmazása 30. b): a hitelintézetnek megfelelő folyamattal kell rendelkeznie a modellekbe történő adatbevitel szabályozására, ami magában foglalja az adatok pontossági, teljességi és megfelelőségi szempontú értékelését. 1.6. Minősítési rendszerek alkalmazása 31. A hitelintézeteknek dokumentálniuk kell minősítési rendszereik felépítését és működésük részleteit. 6
CRD előírások, 2006/48/EC - 5 VII. melléklet, 4. rész 5.3. Belső ellenőrzés 131. A belső ellenőrzésnek vagy más hasonló független ellenőrző egységnek legalább évente egyszer felül kell vizsgálniuk a hitelintézet minősítési rendszereit és működését. 7
GL 10 ajánlás - 1 Committee of European Banking Supervisors, 2006. április 4. www.c-ebs.org 8
GL 10 ajánlás - 2 Rendszerek, interfészek, készültségi fok 52. A Felügyeletnek átfogó képet kell kapnia az applikációs csomag alapján az alkalmazott modellről, az adatbázisról, a technológiai környezetről, a kapcsolódó irányelvekről és folyamatokról és az intézmény kontroll környezetéről. 61. A Kontroll környezet leírásának ki kell térnie az intézmény IT struktúrájára is az IRB vonatkozásában. 81/5. A Felügyeletnek fel kell mérnie a rendszerek megbízhatóságát és integritását, a modell működését és a rendszer által szolgáltatott adatok minőségét. 323. Az intézmény rating rendszerének fejlesztéséről és validálásáról szóló dokumentumoknak tartalmazniuk kell a fejlesztés módszertanát és a validáció során végrehatott tesztek leírását. 9
GL 10 ajánlás - 3 Adatminőség, adattisztítás - 1 355. Adatminőség biztosítási sztenderdek kialakítása, karbantartása és megvalósulásuk nyomon követése. 356. Könyvelési adatokkal való összevetés, konzisztencia vizsgálat, audit trail. 357. Megfelelő minőségi kontrollok, rendszeres független felülvizsgálata (adatok pontossága, megfelelősége, megbízhatósága). 358. Adathiány kezelésének szabályozása 10
GL 10 ajánlás - 4 Adatminőség, adattisztítás - 2 359.Dokumentáció: adatpolitika, felelősségek meghatározása, adatszótár, adatbázis leírások, adatforrások, adatbeviteli eljárások, hozzáférési, ellentmondás mentességi kontrollok. (13/B. (5) c), (7) a), b), d), e)) 360. Az adatok és az IT rendszer felülvizsgálatának eredményeként feltárt hiányosságok (hiányosság térkép, pl.: automatizálás hiánya) megszüntetési terve. 11
GL 10 ajánlás - 5 Reprodukálhatóság (13/B. (5) f), (6) b), c), e), f), g)) 350. Megbízható IT infrastruktúra szükséges. Az adatbázisok megfelelő archiválásáról és mentéséről gondoskodni kell. 351. Folyamatos elérhetőség, replikálhatóság biztosítása 352. Az érintett rendszerek épüljenek be az intézmény üzletmenet folytonossági és katasztrófa elhárítási tervébe, a helyreállítás biztosítása érdekében. 353. Az adatok megfelelő tárolása és elfogadható időn belüli rendelkezésre állásának biztosítása, az emberi hibából eredő kockázatok csökkentése. 12
GL 10 ajánlás - 6 Belső ellenőrzés, validálás 83. Az intézmény által végrehajtott validáció előfeltétele a felügyeleti validációnak. A felügyeleti munkának a belső ellenőrzés, vagy más független belső/külső erőforrás munkáján kell alapulnia. 354. A belső ellenőrzésnek vagy más hasonló független ellenőrző egységnek legalább évente egyszer felül kell vizsgálniuk a hitelintézet minősítési rendszereit és működését. 447. A belső ellenőrzésnek felül kell vizsgálnia az IT infrastruktúra és az adatkarbantartás megfelelőségét. 13
GL 10 ajánlás - 7 21. Az ajánlás nem tartalmazza az IT rendszer architektúrájához, a rendkívüli helyzet kezelési tervekhez, adat integritáshoz és fizikai biztonsághoz kapcsolódó részletes követelményeket. Ezek jelentősége túlmutat a tőkeszámítási elvárásokon. Számba vételük beletartozik az intézmény kontroll környezetének átfogó felmérésébe. Hpt. 13/B. releváns előírásainak való megfelelés! 14
Tapasztalatok, tanulságok A validáció elsődlegesen a Bank felelőssége. A Felügyelet a Bank validációs folyamatát és annak eredményeit, dokumentumait tekinti át. Nincs egy üdvözítő módszer a validálásra, amely minden intézménynél, minden körülmények között alkalmazható lenne. Folyamatos konzultáció, felügyeleti prevalidációs látogatások. A validációba beletartozik egyrészt a rating rendszer működésének általános felmérése, másrészt a rendszer komponenseinek (adatok, modellek), struktúrájának és folyamatainak, az alkalmazott kontrolloknak a megismerése. (IT infrastruktúra, adatminőség, megőrzés, visszaállítás) Több területen is közös munka a prudenciális és IT felügyelők számára. 15
Kérdések? 16