Metody přístupu k řízení rizik. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 3 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Definice rizika, materialita informace. Přednáška 3/13, 2011
Dokumenty firmy Je mnoho přístupů k řízení rizik pro IT. V zásadě je však IT vždy součástí většího celku a tudíž platí vzájemné ovlivňování zúčastněných stran. Společná by však měla být vždy následující struktura dokumentace: Politika řízení rizik Rámec řízení rizik (Součástí rámce by měla rozhodně být IT bezpečnostní politika) Návody a průvodce pro podrobnější práci v rámci životního cyklu) Detailní rozpracování např. ve vztahu k jednotlivým částem IT
Bezpečnostní politika Nejdůležitější dokument a) Vyjadřuje podporu nejvyššího vedení společnosti b) Stanovuje základy pro práci s informacemi c) Stanovuje základy pro chování zaměstnanců d) Stanovuje základy pro nastavení technických parametrů bezpečnosti d) Vyjadřuje se i ochota akceptovat určitou míru rizika e) Předznamenává existenci dalších navazujících dokumentů
Vybrané bezpečnostní standardy ISO/IEC 27000:200? (ISO/IEC 13335-1) Základní pojmy pro ISMS ISO/IEC 27001:2005 (BS 7799-2:2002) Požadvky kladené na ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Jak se dělá bezpečnost (postupy) ISO/IEC 27003:2010 Návody/směrnice pro implementaci ISMS ISO/IEC 27004:2009 Metriky pro měření efektivity ISMS ISO/IEC 27005:2008 Metody řízení rizik (BS 7799-3:2006, ISO/IEC TR 13335-3:1998) ISO/IEC 27006:2007 Certifikace dle ISMS ISO/IEC 27007:200? Návody a směrnice pro audit (dle ISO stále ve vývoji)
Příklady vybraných standardů pro řízení rizik v praxi Zapamatujte si: v žádném z těchto standardů se nehovoří o IT přímo, ale z některých paragrafů nepřímo vyznívá úloha IT. Tím je dána kontrolní funkce IT a zároveň nutnost podrobovat v takových případech IT auditu. V našem prostředí se mohou IT dotknout zejména: BASEL II SOX
BASEL II - vývoj Bank for International Settlements (Basilej) BCBS 1988 - International Convergence of Capital Measurement and Capital Standards pouze úvěrové riziko (30 stránek) 1996 Amendment to incorporated market risk (60 stránek)- tržní riziko včetně VaR modelů 2004 Basel II/NBCA (300 stránek)
BASEL II Basel II zásady protlačeny v Evropě pomocí dvou direktiv Směrnice 2006/48/ES ze dne 14.června 2006 o přístupu kčinnosti úvěrových institucí a o jejím výkonu (200 stran) Směrnice 2006/49/ES ze dne 14. června 2006 o kapitálové přiměřenosti investičních podniků a úvěrových institucí (54 stran) Řízení rizik ve finančním sektoru bylo dlouho omezeno na úvěrové riziko a dominový efekt kolapsu jedné instituce na celé odvětví (viz případ Herstadt ze 70. let). V 80. a 90. letech se začaly centrální banky zajímat i o operační rizika, což vedlo k zavedení nových kategorií rizik a následně i k Basel II
BASEL II a IT riziko ztráty vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších událostí, včetně rizika ztráty v důsledku porušení či nenaplnění právního předpisu
BASEL II a IT Basel 2 není primárně o riziku IT IT riziko je významnou podmnožinou OR (KR=70%; OR=20%; TR=10%) ; IT risk = 10%
BASEL II a IT IT pohled na definici operačního rizika BASEL II Operační riziko je definováno jako riziko ztráty vlivem nedostatkůči selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších událostí, včetně rizika ztráty v důsledku porušeníči nenaplnění právního předpisu. Tato definice nezahrnuje strategické a reputační riziko!!
BASEL II a IT IT Pohled na BASEL II operační riziko IT Aspekty V dematerializovaném, nepřetržitě propojeném světe je největším rizikem hrozba výpadku služby, tedy její nedostupnost. Dostupnost služeb ve finančním světě je plně vázána na IT a vyžaduje naplnění principu CIA. Žádná bankovní transakce nemůže být uskutečněna bez IT infrastruktury
BASEL II a IT Finanční obchody = práce s informacemi o peněžních hodnotách Bezpečnost informací = bezpečnost peněz Rostoucí složitost bankovních procesů (obchody, produkty, modely, ) Postupující automatizace bankovních činností Elektronické bankovnictví (klient je uživatelem IS) integrace IS/ICT v rámci finančních skupin Vzrůstají nároky na datová úložiště legislativní požadavky (archivování atd.) Outsourcing Propojenost činnosti organizace a ICT (závislost) Roste význam ICT jako faktoru konkurenceschopnosti Transfer rizik z manuálních do IT procesů Roste význam a nároky na bezpečnost informačních technologiíí
BASEL II a IT - pilíře Pilíř I Pilíř II Pilíř III -minimum kapitálových požadavků zahrnutí kapitálu pro operační riziko -proces prověřování supervisorem -tržní disciplína neboli požadavky na zveřejňování Nutná podpora
BASEL II a IT operační rizika jsou velmi specifickým druhem bankovních rizik - kvantifikace je náročná, ale nutná pro stanovení kapitálového požadavku a řízení operačního rizika. V praxi existuje řada metod, které se operační riziko snaží změřit; od zcela jednoduchých, založených na jednom ukazateli, až po složitá statistická modelování a metody postavené na kvalitativních odhadech.
BASEL II a IT Nový koncept kapitálové přiměřenosti definuje tyto metody : Základní přístupy přístup základního ukazatele (BIA - basic indicator approach ) standardizovaný přístup (STA - standardized approach ) Speciální přístupy pokročilý přístup (AMA - advanced measurement approaches ) pokročilý přístup v kombinaci s ostatními standardizovaný přístup v kombinaci s přístupem základního ukazatele alternativní standardizovaný přístup (ASA) alternativní standardizovaný přístup v kombinaci s přístupem základního ukazatele
BASEL II a IT - BIA přístup základního ukazatele (BIA - basic indicator approach ) Kapitálový požadavek k operačnímu riziku = 15% * relevantní ukazatel Hodnota relevantního ukazatele je stanovena jako tříletý průměr součtu čistého úrokového a čistého neúrokového výnosu Přístup BIA je určen především finančním institucím s jednoduchými systémy řízení rizik => nevznikají nadměrné náklady na konstrukci kapitálového požadavku. Riziko: - Vypočtený kapitálový požadavek nebude dostatečně vystihovat skutečná operační rizika, kterým je finanční instituce vystavena. - Není jasná příčinná souvislost mezi hodnotou relevantního ukazatele a rizikem ztráty z důvodu selhání lidského faktoru, systému nebo procesu. - Nejsou rozlišené druhy podnikání finančních institucí. Různé činnosti produkují pro banku různá operační rizika (řídit odděleně).
BASEL II a IT - STA Standardizovaný přístup je obdobou přístupu základního ukazatele, která odstraňuje nedostatek prvního přístupu spojený s jeho neschopností rozlišovat operační rizika pro jednotlivé aktivity. Jako důsledek jsou aktivity rozděleny liniově: Podnikové financování (např. Investiční poradenství) Obchodování na finančních trzích (obchodování na vlastní nebo klientův účet, deriváty apod.) Retailové makléřství (obchodování na klientův účet, deriváty a další služby pro fyzické osoby, malé a střední podnikatele) Podnikové bankovnictví (poskytování úvěrů, finančních leasingů, přijímaní vkladů a další služby pro velkopodnikatele) Retailové bankovnictví (poskytování úvěrů, finančních leasingů, přijímaní vkladů a další služby pro fyzické osoby, malé a střední podnikatele) Zúčtovací služby pro třetí osoby (hlavně platební styk) Služby z pověření (úschova, správa vkladů apod.) Obhospodařování aktiv (např. portfolií) Všechny aktivity se musí do těchto linií vejít (např. najít co nejbližší aktivitu atd.) Jestliže není možné, přidruží se činnost do té linie, ze které vyplyne největší kapitálový požadavek.
BASEL II a IT - AMA Postup výpočtu kapitálového požadavku k operačnímu riziku zde není přímo stanoven orgánem dohledu. Centrální banka určuje v tzv. kvantitativních požadavcích rámcové podmínky měření operačního rizika, na základě kterých si finanční instituce vypracuje vlastní metodologii. Vychází se přitom z pětileté (resp. při zahájení používání AMA z tříleté) historickéřady dat, přičemž jsou historické ztráty rozčleňovány do stejných linií podnikání jako u STA a navíc podle typu události do těchto kategorií: Vnitřní nekalé jednání (ztráty z důvodu interních podvodů, zpronevěření majetku apod.) Vnější nekalé jednání (ztráty z externích podvodů, zpronevěření majetku apod.) Pracovněprávní postupy a bezpečnost provozu (např. platby za újmy na zdraví nebo diskriminaci na pracovišti) Klienti, produkty, obchodní postupy (kompenzace klientů po neúmyslném selhání zaměstnanců, ztráty vzniklé kvůli nevhodné konstrukci produktu a další) Škody na hmotném majetku (poškození majetku vnějšími okolnostmi) Narušení činností a selhání systémů Provádění transakcí, dodávky, řízení procesů (ztráty z realizace procesního rizika)
BASEL II a IT - AMA Finanční instituce, které chtějí používat pokročilý přístup, musí splnit kvalitativní požadavky pro systém řízení operačního rizika a dostat povolení specializovaného týmu centrální banky, který schvaluje užívání AMA. Z kvalitativních podmínek vyplývá, že pokročilý přístup je určen finančním institucím, které mají vypracovaný a do každodenních procesů začleněný kvalitní systém řízení operačního rizika. (v ČR od 1.1.2008). Oproti základním přístupům lze v tomto případě odečíst i pojištění operačního rizika do výše 20% kapitálového požadavku (za určitých podmínek) a pokud je schopna zdůvodnit oprávněnost odpočtu, tak i další položky.
BASEL II a IT - zhodnocení Parametr BIA STA AMA Souhlas orgánu dohledu s použitím přístupu Zpravidla není nutný Zpravidla není nutný Nutný Požadavky na řízení operačních rizik Základní požadavky Základní požadavky + další pro STA Zákl. požadavky + kvalitativní požadavky pro AMA Postup výpočtu kapitálového požadavku Daný centrální bankou Daný centrální bankou Vytvoří finanční instituce pomocí kvantitativních požadavků pro AMA Členění do linií podnikání Ne Ano Ano Snížení kapitálového požadavku o pojištění Ne Ne Ano, za určitých podmínek
BASEL II a IT - rámec Strategie rizik ORGANIZAČNÍ STRUKTURA Vykazování Definice, Data- Rizikovazby, ztráty vyhodnocení struktury Stavební bloky Klíčové Odstranění Modelování indikátory kapitálu rizik Informační technologie
BASEL II a IT Basel II výbor stanovuje ve svých Sound Practices for the Management and Supervision of Operational Risk 4, že vzrůstající sofistikovanost IT je faktorem, který zesložiťuje organizaci finančních institucí. IT hraje stále důležitější roli v strategických a řídicích systémech. Dnes jsou tyto systémy neoddělitelně spojeny se schopností organizace vyhovět požadavkům trhu, regulátora, vedení a jiných důležitých činitelů. To vytváří vzrůstající tlak na kontrolu těchto systémů z hlediska bezpečnosti, stability a spolehlivosti.
BASEL II a IT - COSO COSO prvky IT opatření podporují COSO ERM (Enterprise Risk Mangement) rámec. Organizace by měla být schopna působit ve všech komponentech COSO. V zásadě jsou definovány následující komponenty: Vnitřní prostředí Identifikace Stanovení cílů Identifikace události Vyhodnocení rizika Vyhodnocení Odpověď na riziko Omezení/Eliminace Protiopatření Informování, vykázání Sledování Sledování
SOX Skandály Enronu a dalších amerických společností naplno a brutálně ukázaly, čeho všeho jsou vrcholoví manažeři schopni, aby ukázali svůj úspěch a byly jim vypláceny obrovské bonusy. To jsme ale jen na špičce ledovce. Pokud toto dělají vrcholoví manažeři, kde je konec takového řetězce? Bylo by naivní si myslet, že střední management, případně i řadoví zaměstnanci se chovají jinak. Důvěra investorů a reálnost jejich aktiv ve formě akcií, různých fondů soukromého kapitálu... Celkové škody až 500 mld. USD. V Evropě je nutno přistoupit i po počátečním váhání k obdobným normám... Globalizace a celosvětový pohyb kapitálu... Dnešní krize ukazuje na základní fakt, že žádná regulace a dohled nestačí na všeobecný vývoj viz deriváty (futures cena dnes, zboží za tuto cenu v boducnu, opce právo koupit/prodat za/po určitý čas nějaké zboží za určitou cenu, swap dohoda mezi dvěma stranami o placení např. pevného a pohyblivého úroku po určitou dobu...)
SOX a IT - zásady Manažeři se vyjadřují k vnitřním kontrolním systémům. Generální ředitel (CEO) a finanční ředitel (CFO) ručí svým podpisem za správnost předkládaných výročních a průběžných zpráv a za to, že údaje v nich uvedené jsou pravdivé a nejsou zavádějící. Manažerům mohou být v případě porušení zákona zpětně odebrány bonusy a jiné finanční výhody. Vedoucí osoby společnosti nesmí být zaměstnány rok před svým auditem v auditorské firmě. Postih konfliktu zájmů a obchodování na základě neveřejných informací. Povinnost přijmout a zveřejnit etický kodex. Zákonná ochrana informátorů. Zpřísněny požadavky na dokumentaci firemních procesů a skutečností. Zákaz zaměstnaneckých půjček svému managementu. Zvýšené sankce postihující ekonomickou kriminalitu. Zpřísnění účetních standardů a pravidel (opce). Zkrácení lhůt pro zveřejňování finančních výsledků.
SOX Mnoho amerických společností má své dceřiné společnosti po celém světě a nestačí být si jistý, že vše funguje jak má pouze v mateřské společnosti, ale také v každé jednotlivé entitě, která má materiální dopad při konsolidaci. Celých 16 % firem registrovaných na newyorské burze cenných papírů (NYSE - New York Stock Exchange) s tržní kapitalizací 35 % má sídlo mimo USA. Financování v USA jiné než v Evropě-v Evropě spíše formou úvěrů, v USA spíše z veřejných peněz... Pokud firmy chtějí získávat veřejné prostředky na amerických veřejných trzích, je pro ně důvěra amerických investorů klíčová.
SOX Sněmovna reprezentantů schválila návrh zákona Oxleyho (H.R. 3763) 25.4. 2002 poměrem hlasů 334 k 90. SR začala připravovat s podporou presidenta G.W. Bushe The "Corporate and Auditing Accountability, Responsibility, and Transparency Act" nebo "CAARTA" pro bankovní výbor senátu. Současně senátor Paul Sarbanes začal připravovat svůj vlastní návrh zákona - Senate Bill 2673. Sarbaneův zákon prošel senátním bankovním výborem 18.6.2002 poměrem hlasů 17 ku 4. WorldCom ohlásil, že falšoval výkazy v průběhu 15 měsíců a změnil účetnictví o 3.8 miliardy USD. Sen. Sarbanes přednesl svůj návrh před senátem ve stejný den. Návrh zákon byl schválen poměrem hlasů 97 k 0 o tři týdny později 15. 7. 2002.
SOX a IT Zákon Sarbanes-Oxley obsahuje 11 základních temat, které postihují úlohy vedení firmy a vykazování finančních informací. Každé tema je dále rozděleno do sekcí/paragrafů. 1) Dozorčí rady Zahrnuje 9 sekcí, které se zabývají ustanovením dozorčí rady, která bdí nad účetnictvím (PCAOB - Public Company Accounting Oversight Board). Tato rada vykonává nezávislý dozor nad auditorskými firmami. Zároveň se zabývá registrací auditorských firem, definováním procesů a procedur pro dosažení shody. 2) Nezávislost auditorů Zahrnuje 9 sekcí, které stanoví normy pro nezávislost externích auditorů tak, aby se předešlo konfliktům zájmů, Stanoví také požadavky na novou auditorskou firmu a její certifikaci. Vyžaduje rotaci auditních partnerů, požadavky na výkaznictví auditorů apod. Paragraf 201 přímo zakazuje auditorským firmám, aby s klientem měly jakékoliv jiné obchodní vztahy.
SOX a IT 3) Zodpovědnost společnosti Skládá se z 8 sekcí a zavazuje nejvyšší vedení společnosti k převzetí osobní odpovědnosti za přesnost a úplnost finančních zpráv a výkazů. Definuje vzájemnou součinnost externího auditora a vnitřního firemního auditu (kontrolních oddělení) a určuje odpovědnost pověřených pracovníků za za přesnost a platnost finančních výkazů. Stanovuje pravidla chování a popisuje ztrátu bonusů ev. benefitů a možný soudní postih za porušení těchto požadavků. Jako příklad lze uvést paragraf 302, který specifikuje odpovědnost generálního ředitele a finančního ředitele, kteří musí čtvrtletně podepsat finční výkazy a potvrdit jejich úplnost a správnost. 4) Zvýšení vypovídací schopnosti a průhlednosti účetnictví Skládá se z 9 sekcí. Popisuje zvýšení požadavků na vykazování finančních transakcí, zahrnující i finanční aktivity, které by normálně nebyly ve výkaznictví (např. dokumentární akreditivy), pro-forma faktury, obchodní aktivity odpovědných zaměstnanců banky na burze apod. Požaduje vnitřní kontroly pro zajištění přesnosti finančních výkazů a nálezů a zavazuje obě strany (firmu a auditory) k provádění takových kontrol. Vyžaduje včasné vykazování změn ve finanční situaci a důkladnější zkoumání výkazů burzou.
SOX a IT 5) Konflikt zájmů na straně analytika Má pouze jednu sekci. Ta shrnuje nařízení, která jsou potřeba pro zvýšení důvěryhodnosti. V zásadě vyžaduje zveřejnění všeho, co by mohlo ukazovat na možný konflikt zájmů. 6) Prostředky a autority Komise pro cenné papíry Obsahuje 4 sekce. Definuje praktiky k obnovení důvěry investorů vůči burzovním analytikům. Definuje autoritu komise ve vztahu k analytikům, obchodníkům s cennými papíry a poradcům. Určuje, za jakých podmínek je lze vyloučit z podílu na trhu s cennými papíry. 7) Studie a výkazy Má 5 sekcí a zabývá se posílením prostředků boje proti narušitelům zákona ze strany auditorů nebo burzy (firem registrovaných na burze...) Zabývá se efekty konsolidace účetních firem, ohodnocovacích agentur, problémy s akciemi a cennými papíry a také tím, zda např. banky byly zavlečeny do aféry Enronu, Global Crossing (22 mlr. USD) aj. a pomáhaly jim zahlazovat stopy v účetnictví.
SOX a IT 8) Postih firemní a individuální podvodné činnosti Zahrnuje 7 sekcí. Někdy je vedeno pod názvem: Corporate and Criminal Fraud Act of 2002. Popisuje tresty za změnu, zničení, podvodné zacházení s finančními daty a výkazy, narušování vyšetřování atd. Dává jistou beztrestnost informátorům. 9) Zvýšení trestnosti za zločiny tzv. bílých límečků. Má dvě sekce. Někdy nazývána White Collar Crime Penalty Enhancement Act of 2002. Zvyšuje trestnost za zločiny a spolčování za úpčelem nekaléčinnosti. Zavádí i pochybení jako ve finančních výkazech kriminální čin. 10) Daňové vyrovnání Má pouze jednu sekci, kteráříká, že by finančníředitel měl podepisovat daňové přiznání a ev. vyrovnání.
SOX a IT 11) Postih podvodné činnosti firmy Zahrnuje 7 sekcí. Někdy nazývána jako Corporate Fraud Accountability Act of 2002. Definuje firemní podvody a falšování výkazů jako trestný čin a zařazuje je do kategorie zvláštní trestatelnosti. Zavádí návody a posiluje úlohu komise pro cenné papíry, která může zastavit podezřelé a nezvyklé platby.
SOX a IT - COSO COSO report pokytuje vhodný a dostupný rámec pro účely posuzení vedením organizace. Proto se IT zásady SOX opírají o tento report a rámec COSO. Samozřejmě existují i jiné metody, podléhající lokálním zvykům, ev. zákonům. Nicméně v základech se musí shodovat s COSO rámcem. Pokud chceme dosáhnout shody se zákonem SOX, je důležité ukázat: IT kontroly a řízení souhlasí s COSO rámcem Organizace by měla mít kompetenci ve všech 5 komponentech COSO, které stanovují základy pro účinnou vnitřní kontrolu. Jsou to: Kontrolní a řídicí prostředí Vyhodnocení rizika Kontrolní a řídicí aktivity Informace a komunikace Sledování Identifikace Vyhodnocení Protiopatření/odstranění Registr rizik Sledování
SOX a IT Kontrolní a řídicí prostředí Základ pro efektivní vnitřní prostředí. Představuje v zásadě nemalou část firemní kultury. IT má však svá specifika (zahrnuje role, politiky, odpovědnosti atd.): Co musíme uvážit: IT je velmi často chybně odděleno od základníčinnosti organizace a jsou na něj uplatňována jiná měřítka IT je složité a to nejenom z hlediska techniky, ale i z hlediska provázanosti s činností organizace. IT může přidat nebo zvětšit stávající rizika, takže je nutno rozšířit systém kontrol, abychom tato rizika snížili. IT vyžaduje specifické dovednosti, které se nemusí dostávat IT může vyžadavat spolehnutí se na cizí zdroje - outsourcing. Může být nejasná struktura řízení IT.
SOX a IT - COBIT Představenstvo a nejvyšší vedení Řízení obchodu Řízení IT IT audit Kontrola shody a řízení rizik Směruje IT, sleduje výsledky a přijímá ev. korektury Definuje požadavky na IT a kontroluje zda jsou služby dodávány s přijatelnou mírou rizika Dodává a ev. vylepšuje/mění IT služby dle požadavku obchodu. Poskytuje na vedení IT nezávislou kontrolu, zda IT opravdu splňuje co je požadováno. Kontroluje shodu s požadavky/standardy/zákony a sleduje rizika...
Dotazy Řízení rizik v informatice, 3/13