Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1
A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi elemzés Kockázati önértékelés (SRA) Folyamatok üzleti hatáselemzése (BIA) Folyamat menti kockázatelemzés Erőforrások (elsődlegesen IT) üzleti hatáselemzése Erőforrások (elsődlegesen IT) kockázatelemzése 2
Veszteség adatok Tényleges veszteség, Helyreállítás költsége, Piaci kockázathoz kapcsolódó veszteség, Céltartalék "Majdnem" veszteség, Hitelezéshez kapcsolódó veszteség, Elszalasztott lehetőség, Egyéb becsült veszteségek, Bevétel kiesés, Működési nyereség, Reputációs veszteség Veszteség adatbázis Tőke-számítás Menedzsment riportok Belső ellenőrzés Üzleti döntések IT kockázatkezelés (service availability) Folyamatalapú kockázatkezelés Vissza-csatolás a kockázati önértékelésekh ez Problémák: Hogyan motiváljuk az alkalmazottakat, hogy jelentsék az eseményeket? Kis elemszám Adatminőség 3
A kevés adat miatt a tőkeképzésben elkövetett hiba 1. ábra: A VaR szimulációs hibája. Az LDA-hoz szükséges paraméterek ismertek. 2. ábra: A VaR eloszlása a paraméterbecslési hiba következtében 5 éves idősor mellett átlagosan 4 eseményt feltételezve minden üzletág (BL) veszteség típus (LET) kategóriában. 4
Hibacsökkentési lehetőségek 1. ábra: VaR eloszlása a paraméterbecslési hiba következtében. A becslés 20 esemény alapján történt, a relatív hiba 0,44. 2. ábra: VaR eloszlása a paraméterbecslési hiba következtében. Az eseményeket nem soroltuk üzletágakba, így a becslést 160 adaton lehetett elvégezni. A relatív hiba 0,14. A kategóriák összevonásával, külső adatok bevonásával pontosabb becsléshez juthatunk. 5
Adatgyűjtés hatása a tőkére Káreloszlás Lognormális Exponenciális Amerikai Pareto Káreloszlás Lognormális Exponenciális Amerikai Pareto VaR95 átlag 4610 4352 4601 VaR99 átlag 5578 5017 5503 VaR999 átlag 7044 5829 6799 VaR95 SE 8 6 8 VaR99 SE 18 12 18 VaR999 SE 72 33 58 VaR95 átlag 6307 6108 6294 VaR99 átlag 7354 6935 7257 VaR999 átlag 8812 7933 8474 VaR95 SE 9 8 9 VaR99 SE 19 15 17 VaR999 SE 62 40 52 1. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 30 eseményt tárunk fel egy adott BL-LET kategóriában. 2. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 40 eseményt tárunk fel egy adott BL-LET kategóriában. Ha 40 esemény van egy adott BL-LET kategóriában, de az intézmény csak 30-at tár fel, akkor a képzett tőke is arányosan kisebb lesz. 6
Kockázati modellezés SRA Belső adatok Gyakoriság eloszlás Káreloszlás Aggregált eloszlás CaR Külső adatok 7
Erőforrásközpontú kockázati önértékelés (SRA) Capital at Risk SRA Folyamat menti elemzés 8 Külsőerőforrások és események Folyamati szabályozottság Információ (kivéve IT) Humán erőforrások Historikus adatok Veszteség adatbázis Infrastruktúra Nem folyamat alapú elemzés IT erőforrások A folyamat menti kockázatelemzés az erőforrások sérülékenységén keresztül tárja fel a kockázatokat.
Fenyegetettségek által indukált hatásmechanizmus Üzleti folyamat Fenyegetettség Folyamat kiesik Folyamat mentén veszteség keletkezik BIA + kockázatelemzés (SRA-ba integrálhatóan) Folyamat menti kockázatelemzés (SRA-ba integrálhatóan) BCP, DRP Tipikus kockázatmenedzsmenti eszközök Adatgyűjtés, belső ellenőrzés, események elemzése 9
Folyamat erőforrás térkép E r ő f o r r á s o k F o l y a m a t o k Folyamat 1 Folyamat 2 Folyamat 3 Folyamat 4 Folyamat 5 Folyamat 6 Folyamat 7 Folyamat 8 Folyamat 9 Folyamat 10 Rendszer 1 x x Rendszer 2 x x x x x Rendszer 3 x x x x x x Rendszer 4 x x x x x x Rendszer 5 x x x Rendszer 6 x Rendszer 7 x x x Humán 1 x Rendszer 7 támogatja Humán 2 x x Folyamat 5-öt Beszállító 1 x A folyamat erőforrás térkép elkészítése az első lépés a folyamat alapú kockázatkezeléshez. 10
Folyamati BIA Kockázati szempont Rendelkezésre állás (A) Folyamat 1 Folyamat 2 BIA összefüggések IT 1 IT 2 BIA (Folyamat 2 )= BIA A (Folyamat 2 ) BIA (Folyamat 1 ) = BIA (Folyamat 2 ) Az integrált módszertan előnyei A látszólag lényegtelen folyamatok fontossá válhatnak a folyamati kapcsolatok ismeretének a tükrében. A folyamati BIA felmérése a második lépés a folyamat alapú kockázatkezelésben. 11
IT BIA Kockázati szempontok Bizalmasság (C) Integritás (I) Rendelkezésre állás (A) Folyamat 1 Folyamat 2 IT 1 IT 2 BIA összefüggések BIA (IT 1 ) = BIA C (IT 1 ) + BIA I (IT 1 ) + BIA (Folyamat 2 ) BIA (IT 2 )=BIA C (IT 2 )+BIA I (IT 2 ) + BIA (Folyamat 2 ) Az integrált módszertan előnyei Az IT rendszerek (és más erőforrások) BIA-ja rendelkezésre állás vonatkozásában levezethetők a folyamati BIA-ból. Az IT BIA felmérése a harmadik lépés a folyamat alapú kockázatkezelésben. 12
Folyamatok kiesésének a kockázata Szükséges inputok Folyamati BIA Folyamat 1 Erőforrások kiesési gyakorisága Erőforrások kiesési ideje Folyamat 2 Összefüggések IT 1 IT 2 Kockázat (Folyamat 1 )= Kockázat (IT 1 ) + Kockázat (IT 2 ) Kockázat (Folyamat 2 )= Kockázat (Folyamat 1 ) Az integrált kockázatkezelési módszertan előnyei A kockázatot az erőforrásokon keresztül méri kritikus erőforrások azonosíthatók, BCP / DPR támogatás. Fenyegetettségek elemzését lehetővé teszi óvintézkedések. Nincsenek kockázati halmozódások. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése. 13
Folyamati veszteségek kockázata Szükséges inputok Fenyegetettség lista Folyamat 1 Fenyegetettségek gyakorisága Fenyegetettségek hatása Fenyegettség 2 Folyamat 2 Összefüggések IT 1 IT 2 Kockázat (Folyamat 2 ) = Kockázat (IT 1 ) + Kockázat (IT 2 ) Fenyegetettség 1 Az integrált kockázatkezelési módszertan előnyei A folyamati gyengeségek a kapcsolatokon keresztül tárhatók fel. A fenyegetett erőforrás feltérésa kontrollok bevezetését teszi lehetővé. Az SRA egyik inputja. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése (párhuzamosan történhet az előző feladattal). 14
Folyamat menti kockázatelemzés BCP / DRP támogatás Az elemzés a következő outputokat nyújtja a BCP / DRP- hez Kritikus folyamatok listája A folyamat kritikus erőforrásai A bank kritikus erőforrásai Fenyegetettség elemzés és sérülékenység Meglévő kontrollok hatékonysága Kontrollok, kockázatcsökkentő lépések szükség esetén 15
Remote Controll Alapfogalmak RC alapfogalmak Remote Control / Off-site audit: Folyamatok és értékesítési pontok auditjának rendszertámogatása és csalásfelderítés. Hagyományos audittal szemben folyamatos kiértékelés, de csak az IT rendszerekben található adatokra használható -> kockázatok NEM teljes körét fedi le! I. típusú indikátorok: Egyesével ellenőrizendő gyanús / hibás tételek, Pl.: gyanús átutalások II. típusú indikátorok: Kockázati jelzőszámok. Pl.: rossz hitelek aránya egy ügynök portfoliójában Humán Processor: A rendszer csak támogat, azt működtetni, fejleszteni és kiértékelni kell, ezért audit szakmai tudás nélkül nem működtethető. - technológiai szakértelem (rendszer logika, adatbázis szerkezet, audit szakmai igények leképzése) - audit szakmai tudás (üzleti folyamatok ismerete, kockázatok jelzőszámainak meghatározás, kiértékelés) Misszió: - az üzleti és működési folyamatokért felelős vezetők kontroll tudatosságának erősítése - az audit munka támogatása, hogy a kockázatok sokall szélesebb körű információk alapján lehessenek azonosíthatók 16
Remote Controll Folyamat RC folyamat 17
Remote Controll Fejlesztés RC fejlesztés Az indikátorok fejlesztése folyamatos ciklus, a cél: csak valódi találatot adjon Az első monitoring időszak a legtermékenyebb A helyszíni ellenőrzések tapasztalatait is be kell építeni 18