Informatikai felügyelet

Hasonló dokumentumok
Vizsgálatok aktuáriusi szemmel

A Bankok Bázel II megfelelésének informatikai validációja

Bankkonferencia Visegrád, november panel: Validációs és prevalidációs tapasztalatok

Bevezető 11. A rész Az általános könyvvizsgálati és bankszámviteli előírások összefoglalása 13

A CRD prevalidáció informatika felügyelési vonatkozásai

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Témák. Könyvvizsgálók szakmai kockázatai Csalási kockázatok a költségvetési szektorban Elvárások a könyvvizsgálóval szemben

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

Csalások, visszaélések felderítésének lehetőségei informatikai eszközökkel

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

A közfelügyelet és a minőségellenőrzés aktuális kérdései

A könyvvizsgálat módszertana

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana

Az ICAAP felülvizsgálati folyamat bemutatása

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP

A kockázatalapú felügyelés tapasztalatai

Üzletmenet folytonosság menedzsment [BCM]

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Kisvállalkozások könyvvizsgálati sajátosságai

Kockázatkezelés és biztosítás

Termék- és tevékenység ellenőrzés tervezése

Befektetési vállalkozások könyvvizsgálóinak külön jelentése

A BELSŐ ELLENŐRZÉS ALAPJAI A BELSŐ ELLENŐZÉS GYAKORLATA

IFRS Lehetőség vagy kockázat?

A kockázat alapú felügyelés módszertana Mérő Katalin ügyvezető igazgató PSZÁF november 13

Szemléletmód váltás a banki BI projekteken

KIS ÉS KÖZEPES HITELINTÉZETEK KÖNYVVIZSGÁLATA

Könyvvizsgálói különjelentések feldolgozásának tapasztalatai 2012

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének december 15-én megtartott ülésének jegyzőkönyvéből

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Kisvállalkozások könyvvizsgálati sajátosságai. Mi a kisvállalkozás? Könyvvizsgálat rendszere és számítógépes támogatása. Dr.

Szolvencia II - áttekintés. Tatai Ágnes Január Piaci konzultáció

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

KISTARCSA VÁROS ÖNKORMÁNYZAT POLGÁRMESTERE

Belső ellenőrzési szabályzat

Befektetési alapokkal kapcsolatos könyvvizsgálati módszertan. Erős Gergely Péter, menedzser december 9.

Minőség-ellenőrzés 2016

Hitelintézetek és befektetési vállalkozások tőkekövetelményeinek változásai

Informatika-irányítás új keretek között. PSZÁF projekt

Projektvezetés a szervezetekben A STRATEGIC-ORIENTED IMPLEMENTATION OF PROJECTS

Borsod-Abaúj-Zemplén Megyei Közgyűlés ELNÖKÉTŐL

A minőség és a kockázat alapú gondolkodás kapcsolata

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

30 MB INFORMATIKAI PROJEKTELLENŐR

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Közfelügyeleti minőségellenőrzések

KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM ÉVI BELSŐ ELLENŐRZÉSI TERVE

Minőségellenőrzési tanulságok. Munkácsi Márta Mádi-Szabó Zoltán Minőség-ellenőrzési Bizottság

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a évi ellenőrzési munkaterv elfogadása tárgyában

mely készült Alsózsolca Város Önkormányzat Képviselő-testületének 2014 december 18-ai ülésére

Magyar Könyvvizsgálói Kamara Pénz- és Tőkepiaci Tagozata Oktatás december 8.

Legjobb gyakorlati alkalmazások

JELENTÉS. az Euratom Ellátási Ügynökség 2016-os pénzügyi évre vonatkozó éves beszámolójáról, az Ügynökség válaszával együtt (2017/C 417/33)

A könyvvizsgálat kihívásai a változó világgazdasági helyzetben

Ellenőrzési és könyvvizsgálati esettanulmányok

A csoport ORSA és a hazai leánybiztosítók

A minőség-ellenőrzés tapasztalatai a pénz- és tőkepiac könyvvizsgálóinál

MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

JELENTÉS (2016/C 449/09)

Az Informatikai kontrollok és számítógépes elemzı technikák használata a könyvvizsgálati munkában. Nagy Péter, CISA, ACCA

Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

A 9001:2015 a kockázatközpontú megközelítést követi

2017. tréning naptár évi programok: A belső kontrollrendszerek kialakítása és működtetése. Gyakorlati Szemináriumok programsorozat

A Magyar Államkincstár ellenőrzési feladata és a könyvvizsgálattal történő együttműködés lehetőségei

Békés Város Képviselő-testülete október 20-i ülésére

2018. évi belső ellenőrzési terv

Védelmi Vonalak - Compliance

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

ELVÁRÁSOK AZ MNB FELÜGYELETE ALÁ TARTOZÓ PÉNZÜGYI SZERVEZETEK KÖNYVVIZSGÁLÓIVAL SZEMBEN

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Község Önkormányzata

A Pénzügyi Szervezetek Állami Felügyelete Elnökének 1/2010. számú ajánlása a javadalmazási politika alkalmazásáról. I. Az ajánlás célja és hatálya

Informatikai prevalidációs módszertan

Agócs Gábor. MKVK PTT Elnök december 11. Tartalom. A külön kiegészítő jelentés javasolt szerkezete és tartalma

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

2017. tréning naptár évi programok: A belső kontrollrendszerek kialakítása és működtetése. Gyakorlati Szemináriumok programsorozat

E L Ő T E R J E S Z T É S

E L Ő T E R J E S Z T É S. Kerekegyháza Város Önkormányzata Képviselő-testületének december 20-i ülésére

Az ITIL hazai alkalmazhatóságának kérdései

ALAPVETŐ ELJÁRÁSOK VÉGREHAJTÁSA

A PSZÁF szövetkezeti hitelintézeteknél végzett átfogó vizsgálatainak tapasztalatai

2. Vizsgálati tapasztalatok Előadó: Major Antal főosztályvezető Pénzpiaci vizsgálati főosztály

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Ágazati Vezetői Információs Rendszer koncepciója

A felsőoktatási intézményeket érintő számvevőszéki ellenőrzések tapasztalatai. Kisgergely István, felügyeleti vezető május 15.

A minőség-ellenőrzés tapasztalatai a pénz- és tőkepiac könyvvizsgálóinál

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

Bevezetés előtt az új tőkeszabályozás

JELENTÉS. az Európai Halászati Ellenőrző Hivatal 2016-os pénzügyi évre vonatkozó éves beszámolójáról, a Hivatal válaszával együtt (2017/C 417/17)

A könyvvizsgálók által a PSZÁF részére évente készítendő külön kiegészítő jelentésre vonatkozó ajánlásban bekövetkező 2008.

E L Ő T E R J E S Z T É S

Információbiztonság irányítása

Hidak építése a minőségügy és az egészségügy között

Kockázat alapú felügyelés

A minőség-ellenőrzés tapasztalatai a pénz- és tőkepiac könyvvizsgálóinál

Könyvvizsgálói különjelentések feldolgozásának tapasztalatai a évi beszámolók tükrében

Átírás:

Informatikai felügyelet Célok és módszerek Biztosítási szakmai konzultáció 2016.12.19. Gaidosch Tamás

Tartalom Az Informatikai felügyelet Felügyeleti eszközök Gyakorlat és tapasztalat Hasznos tippek Kérdések Magyar Nemzeti Bank 2

Az Informatikai felügyelet 2000-től működik Jelenleg főosztály Létszámkeret: 15 fő Speciális kompetencia igazgatóság Üzleti modell főosztály Informatikai felügyeleti főosztály Validáció és SREP főosztály Informatikai vizsgálati osztály Informatikai felügyeleti osztály Magyar Nemzeti Bank 3

Az Informatikai felügyelet Célja: a felügyelt intézmények informatikai megfelelőségének biztosítása Mit jelent a megfelelőség? Bit. (2014. évi LXXXVIII. törvény a biztosítási tevékenységről) és más ágazati törvények 42/2015. Kormányrendelet a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről Az MNB1/2015. számú ajánlása az informatikai rendszer védelméről Az MNB 15/2015. számú ajánlása az interneten keresztül nyújtott pénzügyi szolgáltatások biztonságáról Szakmai standardok: ISO 27001, COBIT Az IT prudens, megbízható és biztonságos működése Magyar Nemzeti Bank 4

Prudens A cselekvés minden útja kockázatos, az elővigyázatosság tehát nem a veszély kerülésében rejlik (ami lehetetlen), hanem a kockázat kiszámításában és a határozott cselekvésben. Niccolo Machiavelli Magyar Nemzeti Bank 5

Biztonságos Magyar Nemzeti Bank 6

Stratégiai irányok Új területekre új módszerekkel prudenciális szempontból nagyobb haszon nagyobb bizonyosság Új kompetenciák fejlesztése / bevonása adatelemzés üzletifolyamat-elemzés visszaélési kockázatok elemzése Soft law eszközök Együttműködés javítása külső belső Magyar Nemzeti Bank 7

A felügyelt intézmények Magyar Nemzeti Bank 8

Felügyeleti eszközök Felügyelés Helyszíni (on-site) Helyszínen kívüli (off-site) Átfogó vizsgálat Célvizsgálat Témavizsgála t Utóvizsgála t Szabályozás Adatszolgál ta-tás alapú intézkedés Prudenciáli s megbeszélé s Egyéb eszközök (soft law) Magyar Nemzeti Bank 9

Vizsgálatok Éves vizsgálati terv Ad-hoc vizsgálatok Módszertan Fókuszterületek Tervezett Ad-hoc Magyar Nemzeti Bank 10

Módszertan Magyar Nemzeti Bank 11

COBIT: Control Objectives for IT We never got it right, in all these years, with the COBIT control objectives Eric Guldentops, 2011 COBIT 4.1 kontroll célkitűzések Val IT / Risk IT folyamtok COBIT 5 irányítási és menedzsment gyakorlatok COBIT 4.1 kontroll gyakorlatok Val IT / Risk IT menedzsment gyakorlatok COBIT 5 tevékenységek Magyar Nemzeti Bank 12

Vizsgálati területek IT biztonsági vizsgálat Üzleti folyamatok IT támogatottságának vizsgálata* IT stratégiai vizsgálat* Visszaélési kockázatok vizsgálata* Üzleti alkalmazások Általános IT kontrollok ellenőrzése Specifikus IT biztonsági kontrollok ellenőrzés Infrastruktúra Magyar Nemzeti Bank 13

Mire keressük a választ? Vizsgálat Kérdés IT biztonsági Üzleti folyamat támogatottsági IT stratégiai Csalás kockázati Biztonságosan működik-e az IT? Jogszabályoknak megfelel-e az IT? Alkalmazások jól kontrolláltak? Megbízhatunk-e a számokban? Adatok integritása biztosított? Üzleti stratégia megvalósítható? CAPEX/OPEX reális? Nincs túl nagy kockázat a projektekben? Megfelelően csökkenti az IT a csalás kockázatát? Magyar Nemzeti Bank 14

IT biztonsági vizsgálat: megközelítés Magas kockázat Közepes kockázat Számla Hitel Értékpapír Bankkártya Elektronikus csatornák Védelmi tűzfalak, IDS/IPS vírusvédelmi adatszivárgás elleni naplózó központi jogosultságkezelő Számviteli Távadatátviteli Adattárház Fióki (front-end) Rendszer Folyamat Jogosultság-kezelés Változáskezelés BCP/DRP Incidenskezelés Kockázatkezelés Fejlesztés Stratégia Projektvezetés Naplóelemzés Irányítás (Governance) Program-menedzsment Tesztelés Beszerzés Infrastruktúra-menedzsment Archiválás Magyar Nemzeti Bank 15

IT biztonsági vizsgálat: módszerek Dokumentáció vizsgálata Rendben vannak-e a papírok? Jogszabályi megfelelés dokumentáltsága Mintavétel és tesztelés folyamatok mentén Tényleg úgy dolgoznak-e, ahogy lepapírozták? Valójában jól dolgoznak-e? Konfigurációk vizsgálata Biztonsági beállítások tételes vizsgálata Magyar Nemzeti Bank 16

Üzleti folyamatok IT támogatottságának vizsgálata: módszer Vizsgálandó folyamatok kockázat alapú kiválasztása Folyamat felmérése Közreműködő rendszerek azonosítása Adatáramlások felmérése (interfészek) Kontrollok azonosítása és értékelése Alkalmazás szintű kontrollok Interfész kontrollok Szubsztantív eljárások (opcionális) Dokumentáció és következtetés Magyar Nemzeti Bank 17

IT stratégiai vizsgálat: módszer Üzleti stratégiai célok megismerése IT stratégiai célok megismerése Korreláció Projekt portfolió áttekintése Magas kockázatú projektek azonosítása CAPEX/OPEX tervek értékelése Dokumentáció és következtetés Magyar Nemzeti Bank 18

Visszaélési kockázatok vizsgálata: megközelítés (vélt) lehetőség Visszaélés racionalizálás motiváció / nyomás Visszaélés háromszög (Fraud Triangle) Magyar Nemzeti Bank 19

Visszaélési kockázatok vizsgálata: módszer Magas kockázatú alkalmazások/funkciók azonosítása Jogosultságok vizsgálata Naplózás vizsgálata Gyanús tranzakciók keresése Adatelemzés Dokumentáció és következtetés Magyar Nemzeti Bank 20

Adatelemzés Termékek azonosítása és folyamatfelmérés Adatforrások, adattáblák azonosítása Adatbekérések Átvett adatok ellenőrzése, egyeztetés a megkapott adatokról Újra-bekérés az egyeztetés alapján Javított adatok ellenőrzése Számítások elvégzése, eltérések azonosítása Egyeztetés az elvégzett számításokról, eltérésekről Eltérések magyarázatának bekérése Magyar Nemzeti Bank 21

Mintavételes tesztelés Helyes Hibás Tesztelt Problémák Mekkora legyen a minta? Mi legyen a mintavétel módszere? Milyen eséllyel találunk hibás tételt? Mit tegyünk, ha hibás tételt találtunk? Mit tegyünk, ha visszaélésre gyanakszunk? Magyar Nemzeti Bank 22

Teljes populációs tesztelés Helyes Hibás Tesztelt Problémák Ki ért hozzá? Mekkora lesz a ráfordítás? Hogyan automatizáljuk? Magyar Nemzeti Bank 23

Összehasonlítás Mintavétel Kockázatértékelés szükséges Bizonyosság a mintaméret függvénye A mintavétel nem mindig szakszerű (az eredmény félrevezető lehet) Nem egyértelmű teendők gyanús tételek esetén Könnyebb végrehajtani Kézi módszerek alkalmazhatók Teljes populáció Kockázatértékelés nem szükséges (máshol szükséges) Maximális bizonyosság Nem merül fel a probléma Egyértelmű teendők gyanús tételek esetén Nehéz végrehajtani Kézi módszerek ritkán alkalmazhatók Magyar Nemzeti Bank 24

Milyen vizsgálatokat nem végzünk? Titkos vizsgálatok Hacker eszközökkel végzett vizsgálatok Vulnerability scan Exploitation IT visszaélés-felderítési vizsgálatok Magyar Nemzeti Bank 25

Tipikus problémák Jogosultságkezelés gyengeségei Naplóelemzés alacsony hatásossága DRP (katasztrófahelyzet) felkészülés hiányosságai Kockázatelemzés hiányosságai Kiszervezéssel kapcsolatos félreértések Magyar Nemzeti Bank 26

Feltörekvő problémák Felhőbe való kiszervezés Shadow IT MDM (mobileszköz-menedzsment) hiánya Erőforráshiány Magyar Nemzeti Bank 27

Hasznos tippek a felügyeleti vizsgálathoz Felkészülés Ne gyártsunk fiktív vagy irreleváns dokumentumokat A nincs ilyen nem feltétlenül rossz válasz Helyszíni szakasz Tartsuk a menetrendet (interjúk és adatkérések) Küldjünk releváns és felkészült kollégákat az interjúkra Ne beszéljünk mellé és főleg ne akadályozzunk Érdemes érvelni, visszakérdezni, pontosítást kérni Biztosítsuk a technikai feltételeket Jelentés Záró megbeszélés fontossága Érdemes a véleményezési lehetőséget kihasználni, tévedésekre rávilágítani, hiányzó bizonyítékokat pótolni Magyar Nemzeti Bank 28

Összefoglalva Az IT Felügyelet a felügyelt intézmények informatikájának prudens, megbízható és biztonságos működését támogatja és ellenőrzi Hangsúlyos az IT biztonság vizsgálata (jogszabály alapján) Új területeket is vizsgálunk: üzleti folyamatok IT támogatottsága, IT stratégia, visszaélés kockázata Adatelemzés Nem hekkerkedünk Nem nyomozunk Magyar Nemzeti Bank 29

Köszönöm a figyelmet!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés