BUDAPESTI GAZDASÁGI EGYETEM PÉNZÜGYI ÉS SZÁMVITELI KAR
SZAKDOLGOZAT
Pál Eszter Nappali Pénzügy és számvitel Pénzügy
2016
BUDAPESTI GAZDASÁGI EGYETEM PÉNZÜGYI ÉS SZÁMVITELI KAR
A vállalat tevékenységében rejlő kockázatok felmérése és kezelése
Belső konzulens: Ivanyos János
Pál Eszter Nappali
Külső konzulens: Nagy Kristóf
Pénzügy és számvitel Pénzügy
2016
NYILATKOZAT
Alulírott
Pál
Eszter
büntetőjogi
felelősségem
tudatában
nyilatkozom,
hogy
a
szakdolgozatomban foglalt tények és adatok a valóságnak megfelelnek, és az abban leírtak a saját, önálló munkám eredményei. A szakdolgozatban felhasznált adatokat a szerzői jogvédelem figyelembevételével alkalmaztam. Ezen szakdolgozat semmilyen része nem került felhasználásra korábban oktatási intézmény más képzésén diplomaszerzés során. Tudomásul veszem, hogy a szakdolgozatomat az intézmény plágiumellenőrzésnek veti alá.
Budapest, 2016. december 5.
……………………………………… hallgató aláírása
TARTALOM 1.
Bevezetés ......................................................................................................................... 1
2.
Kockázat .......................................................................................................................... 4
3
4
2.1
Fogalom.................................................................................................................... 4
2.2
Vállalati kockázatok főbb jellemzői......................................................................... 9
2.3
A kockázatok típusai .............................................................................................. 12
2.4
Informatikai és információbiztonsági kockázatok ................................................. 15
Kockázatkezelés ............................................................................................................ 18 3.1
A vállalati kockázatkezelés köre ............................................................................ 18
3.2
A kockázatok felmérésének folyamata .................................................................. 21
3.3
Lehetőség a kockázatok kezelésére: kontrollok ..................................................... 24
Befektetési szolgáltatói tevékenységet folytató vállalatok informatikai
kockázatkezelését szabályozó dokumentumok ..................................................................... 27
5
4.1
A 2007. évi CXXXVIII törvény............................................................................. 28
4.2
A 42/2015-ös kormányrendelet .............................................................................. 29
4.3
Az MNB 1/2015-ös számú ajánlása az informatikai rendszer védelméről ............ 31
4.4
ISO 27001 .............................................................................................................. 35
Esettanulmány bemutatása ............................................................................................ 39 5.1
A vizsgált cég tevékenységének bemutatása.......................................................... 39
5.2
A projekt körülményeinek bemutatása................................................................... 41
5.3
A kockázatelemzés fő lépései ................................................................................ 43
5.4
Konklúzió ............................................................................................................... 53
6
Összefoglalás ................................................................................................................. 55
7
Források ......................................................................................................................... 59
8.
Mellékletek .................................................................................................................... 64
1. BEVEZETÉS A kockázatkezelési feladatok ellátása egy vállalaton belül elkerülhetetlen, különben a vállalat által folytatott tevékenység veszélybe kerülhet. Éppen ezért kiemelt szerepet kell tulajdonítani a vállalat tevékenységében rejlő kockázatok felmérésére és kezelésére. Ennek megvalósítására számtalan módszer és lehetőség áll a vállalkozások rendelkezésére. Még a dolgozat elején rögtön fontos tisztázni egy dolgot. A dolgozat címében szereplő kockázatkezelés fogalmát szeretném pontosítani. Ha angolra szeretnénk fordítani, akkor kettő megfelelőt is találunk rá. Az egyik a „Risk Treatment”, a másik pedig a „Risk Management”. Ezekhez a kifejezésekhez különféle definíció tartozik. Az előbb említett "Risk Treatment” szerint a kockázatkezelés az a folyamat, mely keretében meghatározzuk és bevezetjük/alkalmazzuk a kockázatra adott válaszunkat. (enisa.europa.eu). A "Risk Management" pedig magában foglalja a kockázatok feltárását, elemzését, megértését és a tevékenységet, amellyel reagálunk adott kockázatokra annak érdekében, hogy a szervezet elérje céljait. (theirm.org) A dolgozatomban a „Risk Management” definíciója szerint fogom használni a kockázatkezelés fogalmát. A cég, amelynél szakmai gyakorlatomat töltöm, ezen feladatok ellátására specializálódott. Az ABT Hungária Tanácsadó Kft segít a vállalati kockázatok feltérképezésben és az azok kezelésére vonatkozó stratégia kidolgozásában, esetenként megvalósításában is. Az ABT Treuhand cégcsoport 1993 óta van jelen Magyarországon és jelenleg 44 szakképzett munkatársat foglalkoztat. A cégcsoport által folytatott munka jellegzetessége az úgynevezett svájci Treuhand módszer. Ennek lényege, hogy a munka során az ügyfelekkel bizalmas és diszkrét együttműködést érjen el a tanácsadó. Ez lényegében olyan, mint egy ügyvéddel létesített kapcsolat, csak épp a pénzügyek területére vetítve. Az ABT 5 különböző területet foglal
magába:
adótanácsadás,
bérszámfejtés,
könyvelés,
könyvvizsgálat
és
kockázatmenedzsment. (abt.hu). A mai felgyorsult világban az informatika léte nélkülözhetetlen minden vállalat számára. Az E-maileket a gépünkön nézzük, a híreket javarészt már az internetről szerezzük, sőt legtöbben a munkájukat napi szinten valamilyen számítógépes környezetben végzik. Pontosan így van ez a bankoknál, befektetési tanácsadóknál és a tőzsdén is. Éppen ezért 1
fontosnak és aktuálisnak tartom a dolgozat keretében ismertetni a befektetési szolgáltatókra vonatkozó informatikai kockázatkezeléssel kapcsolatos magyar szabályozásokat. Ezek nélkül nem tudnának szabályosan működni, és büntetéssel lehetne őket sújtani, de legrosszabb esetben akar le is húzhatnák a rolót. Pontosan úgy, mint a brókerbotránnyal érintett cégek is: egyértelműen megállapították a könyvvizsgálat felelősségét is, többek között azért, mert nem vettek igénybe szakértői segítséget a komplex informatikai rendszerek vizsgálatánál. Ez alapvetően még nem is jelentett volna problémát, ha az auditot végző személyek rendelkeztek volna megfelelő IT-s ismeretekkel, mert a könyvvizsgálatot szabályozó standard csak lehetőségként említi a szakértő igénybevételét. Pedig ennek a tevékenységnek az elvégzése nagyon fontos, mert az adatok, amelyekkel a könyvvizsgálók dolgoznak, ezekből a rendszerekből érkeznek, és ha nincs megfelelően megvizsgálva, akkor az történhet, mint az előbbi, mindenki által jól ismert esetben (Czabafy, 2015). Pontosan az előbb említett okok miatt a dolgozatomban tudatosan az IT kockázatokra fogok koncentrálni. Hogy mit keresek én itt pénzügyesként? Erre egy egészen egyszerű magyarázat van: ha kizárólag informatikai szemmel vizsgálunk egy pénzügyekkel foglalkozó vállalkozást, akkor születhetnek olyan intézkedések, amelyek nem csak az ott dolgozók számára lesznek kellemetlenek, hanem a működés hatékonyságára is kihathatnak. Éppen ezért nekem az a feladatom, hogy pénzügyes szemmel vizsgáljam az informatikai oldalról érkező javaslatokat, és azt olyan mértékben finomítsam, hogy az kielégítse mind a két oldalnak az igényeit. Ehhez széleskörű pénzügyi és szervezeti ismeretekre van szükség, valamint természetesen az adott cég profilját is szem előtt kell tartani. A dolgozat először a kockázat fogalmi meghatározására tett próbálkozásokat mutatja be, hangsúlyozva a jelenség komplexitását. Ezen belül a vállalati kockázatokról is szó fog esni, ismertetve azok fajtáit és a csoportosításuk megkönnyítése érdekében létrehozott modelleket. Ezzel kapcsolatban áll a következő fejezet, amely a kockázatkezelés köréről, valamint a kockázatok felmérésének módjáról szól majd, és azok kezelésére is ismertet majd a dolgozat néhány módszert. A dolgozat eddigi része négy kérdésre ad majd választ: Mit? Miért? Hol? Hogyan? A mit kérdésre a kockázat fogalma, a miértre a jelenség fontossága, a holra a források felderítése a bemutatott modelleken keresztül ad majd választ, és végül a hogyan kérdésre a kockázatkezelés című fejezetben található a válasz. Ezek után a jelenleg hatályos
2
informatikai kockázatkezeléssel kapcsolatos jogszabályok és a Magyar Nemzeti Bank által kibocsátott ajánlás kerül bemutatásra és az ISO 27001-es szabványról is szó esik. Gyakorlati példaként egy befektetési szolgáltatási tevékenységet végző cég kockázatelemzését fogja részletesen bemutatni a dolgozat. Itt egy mélyinterjú segítségével próbálok még több részletet bemutatni a választott projekttel kapcsolatban. Az összefoglalásban ismertetve lesz egy, a kockázatkezeléssel kapcsolatos kitekintés, amellyel kapcsolatban egy saját kérdőíves felmérés eredménye is röviden bemutatásra kerül. Végezetül az ajánlással kapcsolatos észrevételeimet is ismertetni fogom. A dolgozat hasznos lehet azon intézmények vezetőinek számára, akik szeretnének informatikai kockázatelemzést elvégezni a cégükön, de nem tudják, hogy mire számíthatnak és valójában hogyan is kell elvégezni egy ilyet. A dolgozat összegyűjti a befektetési szolgáltatókat érintő legfőbb szabályozásokat, így az érintettek ezekről is megfelelő mennyiségű információt szerezhetnek a dolgozatomból.
3
2. KOCKÁZAT A kockázat elsőre nem tűnik olyan bonyolult dolognak, hiszen mindenki ismeri és már hallott róla, sőt a legtöbben már tapasztalták is. Jelen van a kockázat, amikor feladunk egy lottószelvényt, átszaladunk az úton vagy autóba ülünk. Ezek végtelenül egyszerű példák, de ez is azt mutatja, hogy valóban mindenhol lehet találkozni ezzel a jelenséggel, és általában mindig negatív kép rajzolódik ki mindenki fejében, mikor ezt a szót hallja. Mi van akkor, ha a lottón nem azokat a számokat húzzák ki, amik a szelvényen szerepelnek? Elveszíti a játékos a pénzét. Mi van akkor, ha átszalad valaki az úton? Elütheti az autó, ha nem elég figyelmes. Mi rossz történhet akkor, ha autóba ül valaki? Balesetet szenvedhet. Fontos figyelni a feltételes szerkezet használatára, mivel ez fejezi ki a kockázat egyik fontos tulajdonságát, a bizonytalanságot. Ez a fejezet ennek az elsőre egyszerűnek tűnő, ám mégis komplex jelenségnek a tulajdonságait gyűjti össze, és próbál egy minden jellemzőt magába foglaló meghatározást találni. Így mindjárt a dolgozat elején fontos tisztázni egy dolgot: A kockázat szó hallatán mindenkinek egy negatív kép rajzolódik ki a fejében, viszont ennek ellenére sem szabad hagyni, hogy befolyásolja azt, hogy milyen módon szemléli valaki a jövőt. A homályba burkolódzó események pontosan úgy tartalmazhatnak pozitív eseményeket, mint negatívakat. Éppen ezért bizakodva és pozitívan kell a jövőt szemlélni, mert ez reményt kelt az emberekben a sikerrel kapcsolatban (Farkas - Szabó, 2005). 2.1 Fogalom A kockázatot sokkal praktikusabb jellemzőinek segítségével körülírni, mint egy konkrét definíciót kimondani. Az első és legkézenfekvőbb tulajdonsága a bizonytalanság. Ha biztosan lehetne tudni, hogy mi fog a jövőben történni, akkor nem lenne kockázat sem. Minden pontosan kiszámítható lenne, és fel lehetne készülni arra, ami történni fog. De elég ez így önmagában? A válasz természetesen nem. Tudni kell előbb, hogy a kockázat tárgyát fenyegető veszély mégis milyen hatással lenne rá. Tehát fel kell mérni az adott dolgot fenyegető veszélyeket, hozzá kell rendelni azok hatását, valamint a bekövetkezési valószínűségeket sem szabad figyelmen kívül hagyni. Így már valamivel közelebb lehet kerülni a kockázat alkotóelemeihez. Természetesen biztosan már csak akkor lehet tudni egy 4
esemény kimenetelét, ha már az bekövetkezett (Farkas - Szabó, 2005). Addig pedig muszáj a "sötétben tapogatózni", és a számításokra hagyatkozni. Ha már a számításokról szó esett, fontos megvizsgálni azt is, hogy hogyan történik a kockázatok kiszámítása. Ehhez egy háromtengelyes függvényt kell elképzelni. Az első tengely az idő. Nem mindegy, hogy időben mennyire szeretnénk előre látni. Ha csak néhány napról vagy hétről van szó, valamivel tisztábban lehet a kimenetel körülményeit látni, mint hónapokkal, esetleg évekkel később aktuális esemény esetében. Ez utóbbi esetben hosszú idő telik el a jelen és egy bizonyos jövőbeli esemény bekövetkezése között, így elég kicsi a valószínűsége annak, hogy pontos kalkulációk szülessenek az esemény kimenetelét befolyásoló tényezők alakulásával kapcsolatban (Farkas – Szabó, 2005). Erre nagyon jó hasonlat az időjárás és a meteorológusok kapcsolata. Azt szeretnék megállapítani a meteorológusok, hogy milyen időjárás lesz holnap. Egy nappal előre már egészen pontosan meg tudják mondani, hogy hány fok lesz, esni fog vagy nem az eső, stb., de az 1 hét múlva esedékes „jóslat” is többször megváltozhat, mire aktuálissá válik. (a táblázatban található adatok forrása: idokep.hu). Október 6-án elkezdtem figyelni, hogy vajon milyen időt jósolnak október 13-ra Budapesten. Ez pontosan 1 hét. Így minden nap feljegyeztem, hogy milyen időt jósolnak a kiszemelt dátumra. Még 1 héttel hamarabb záport jósoltak, 1 nappal a céldátum előtt már meg tudták mondani, hogy nem lesz sem eső, sem zápor. Dátum
Minimum
Maximum
hőmérséklet
hőmérséklet
Csapadék
Mennyisége
Valószínűsége
október 6
zápor
n.a.
n.a.
6
15
október 7
eső
3 mm
80%
8
12
Október 8
eső
1 mm
80%
8
12
október 9
zápor
1 mm
10%
6
13
október 10
zápor
1 mm
10%
5
13
október 11
zápor
1 mm
10%
5
12
október 12
-
-
-
6
13
október 13
-
-
-
4
12
1. táblázat: Időjárás előrejelzés változása egy hét alatt Itt is egyre tisztábban lehet látni a körülményeket, a lehetséges kimeneteleket, és egyre tisztább kép alakul ki a jövőről, pontosan úgy, mint a kockázatnak kitett dolog vagy személy esetén. 5
A második tengely a valószínűség. Nem mindegy az sem, hogy egy adott esemény mekkora valószínűséggel fog bekövetkezni. Ez egyféle segítségként is használható a prioritás felállításában. Megint csak egy példa a hétköznapi életből: egy autótulajdonos fel szeretné mérni, hogy milyen veszélyek fenyegetik autója épségét. Számításba veszi a balesetet, lopást, rongálást, és az autó tárolási helyétől és az ottani körülményektől függően hozzárendel egy valószínűséget. Nem fogja viszont számításba venni, hogy egy, a földre becsapódó aszteroida a semmivel teszi egyenlővé az autóját. Pedig előfordulhatna! De ennek a valószínűsége annyira minimális, hogy fel sem merül a gondolat a tulajdonos fejében, így nem is fogja figyelembe venni. Pontosan így kell tenni minden hasonló kategóriába sorolható kockázattal a kockázatok priorizálása során. A harmadik, és egyben utolsó meghatározó tényező a képlet szerint a hatás. A kockázat fejezet bevezető részében már volt szó arról, hogy a jövő ugyanúgy tartalmazhat pozitív eseményeket, mint negatívakat. Tehát ebből az következik, hogy a kockázatnak kitett eszközre mért hatások nem csak negatívak, hanem pozitívak is lehetnek, de előfordulhat olyan is, hogy nincs hatással rá, azaz semlegesek a kockázatnak kitett eszköz szempontjából (Farkas – Szabó, 2005). A kockázatot tehát a következő függvény segítségével lehet meghatározni: K = f (v, h, z), ahol -
K jelenti a kockázatot,
-
v a valószínűséget,
-
h a hatást
-
z pedig az időt.
Tehát a kockázatot e három tényező a kombinációjaként is meg lehet határozni (Farkas – Szabó, 2005). Ezen kívül még több olyan fogalom is született, ami egy mondatba próbált minden jellemzőt tömöríteni. Ilyen például a Krugman és Obstfeld által alkotott definíció. Szerintük a befektetett eszköz reálhozama legtöbbször nehezen megjósolható, és utólag teljes mértékben eltérhet attól, amit a befektetők a megvásárláskor elvárnak. Szerintük tehát a kockázat az a változékonyság, amely a befektetők vagyonában keletkezik (Krugman – Obstfeld, 2003).
6
A kockázat akár úgy is értelmezhető egy gazdasági eseménnyel kapcsolatban, hogy mivel ennek több lehetséges kimenetele van, és ezek bizonyos valószínűségekkel fordulnak elő, vagy az esemény méretének létezik valószínűségi eloszlása (Vigvári, 2008). A penzugysziget.hu weboldalán a következő definíció olvasható: „A negatív hatással fenyegető események (lehetséges következmények) bekövetkezésének esélye. A kockázatot a veszély hozza létre” (penzugysziget.hu) Hódi Sándor megfogalmazása szerint „a kockázat negatív hatású, bizonytalan, de valószínűsíthetően bekövetkező jövőbeli esemény” (Hódi, 2010, Életpszichológia 197.o.). Ez a fogalom azért nem teljes, mert ahogyan az már az előbb említve volt, a kockázat nem csak negatív hatású lehet, hanem pozitív vagy akár semleges is. Az ISACA is rendelkezik egy saját kockázati fogalommal, amit ő elfogad és használ tevékenysége során. Mivel a dolgozatom során később is szó fog esni az ISACA-ról a kockázatkezelés kapcsán, ezért röviden itt kerül bemutatásra maga a szervezet is. Az ISACA rövidítés az angol „Information Systems Audit and Control Association” szavakból ered. 1969-ben alapították az Egyesült Államokban olyan személyek, akik felismerték az információ és útmutatás iránti igényt a számítógépes rendszerekhez, mivel egyre inkább előtérbe kerültek ezek rendeltetésszerű használatának az ellenőrzése (ISACA.org). Mivel itt is a kockázat van a középpontban, ezért természetes, hogy ők is használnak egy bizonyos fogalmi meghatározást, aminek bemutatása a következő sorokban történik. Az idő folyamán többször is megváltozott ez a definíció, és ők is tisztában vannak vele, hogy ezt a fogalmat nem lehet csak egyféleképp meghatározni, hanem rengeteg változata van. Szerintük a kockázat egy eseménynek és annak kimenetelének bekövetkezési valószínűségének a kombinációja. Ez a definíció egy kicsit szűkös, mert a kockázat valójában egy üzleti faktor, amiben megvan az a képesség, hogy pozitív vagy negatív irányba el tudja mozdítani az üzletmenetet. Az IT környezetben a kockázat olyan tényezőként jelenhet meg, ami veszélyt jelenthet a szervezet eszközeire, tehát kárt okozhat bennük. Több tényezőt is figyelembe vesznek a kockázat mérésekor, beleértve a vállalat küldetését, célkitűzéseit, eszközeit, a veszélyeket, sebezhetőséget és az ehhez hasonló elemek következményeit (ISACA, 2015)
7
Látható, hogy több próbálkozás is történt arra, hogy a kockázat fogalmát megalkossák, azonban annak sokrétűsége miatt még máig sem egyszerű ez a feladat. Ahogyan az már a 2016-ban bemutatott TDK dolgozatomban olvasható volt, én is próbálkoztam a kockázat meghatározásával egy sajátos megközelítéssel. A kockázatot véleményem szerint egy folyamat eredményeként is meg lehetne határozni. Ennek a folyamatnak az első lépésében ki kell választani egy gazdasági eseményt, majd megvizsgálni annak lehetséges kimeneteleit. Majd végül ezek közül ki kell választani az elérni kívánt cél érdekében az optimálisat. Ez az a lépés, ahol megszületik a kockázat. Egészen addig nincs értelme kockázatról beszélni, amíg az jelentőséget nem nyer valamely gazdasági szereplő számára. Onnantól kezdve a legjobb kimenetel bekövetkezésében reménykedik a gazdasági szereplő, és fél az ettől való eltéréstől és annak következményeitől. Ehhez azonban fontos ismerni a döntéshozatal lépéseit. A döntések sikerességét az eredmények alapján lehet mérni, és ez által válik egyértelművé, hogy a döntésünk eredménye a céljainkat pozitívan vagy negatívan érintette. Négy egyszerű lépésből áll a döntéshozás folyamata. Az első a „preapare”, azaz a felkészülés fázisa. Itt történik a konkrét célok megjelölése, a döntéshozatal szempontjából releváns információk összegyűjtése és a kulcsszemélyek kijelölése (amennyiben vállalati döntéshozatalról van szó). Ugyanitt kap helyet a bizonytalanságok feltérképezése és a felkészülés a döntéssel járó változásokra. A második fázis a „challenge”, azaz a kihívás fázisa. Itt kerül sor a döntést érintő fenyegetések feltérképezésére és megértésére. A harmadik fázis az „act”, azaz a cselekvés. A történő folyamatokat folyamatosan vizsgálni kell, valamint fel kell mérni a költségeket és ráfordításokat is. Ha bármilyen változás történik, arra azonnal reagálni kell a célnak megfelelő cselekedettel. Az utolsó a „learn”, azaz a tanulás fázisa. Itt történik az események értékelése és a tapasztalatok levonása, valamint itt van lehetőség először arra, hogy a meghozott döntés helyességét felül lehessen vizsgálni (rmprofessional.com, 2014). Ebből a folyamatból is látszik, hogy a döntés meghozatala nélkül bizonyos tényezők, amelyek a kijelölt célt veszélyeztették, teljesen közömbösek maradtak volna a döntéshozó számára. Így láthatjuk, hogy a kockázatokat a saját döntéseink eredményezik.
8
2.2 Vállalati kockázatok főbb jellemzői Ahogyan az az előző bekezdésből kiderült, az életnek nincs olyan területe, ahol kockázat ne fordulna elő. Pontosan így van ez a vállalkozásoknál is. Természetesen itt is valamilyen többlet reményében vállalják a kockázatot, ami ebben az esetben a haszon. Egy vállalat alapításával és irányításával több féle kockázatok járnak, mint más befektetési formákkal (kötvény, részvény…stb.), éppen ezért gyorsabb megtérülést és nagyobb nyereséget várnak el. Két meghatározó magatartásforma különíthető el Kozma szerint: A vállalkozás és a gazdálkodás. A vállalkozás annyit jelent, hogy piaci pozíciót kockázatos döntésekkel, új termékekkel esetleg új technológiával kívánja egy vállalkozás javítani. Ezzel szemben a gazdálkodás célja annyi, hogy megtartsa a jelenlegi piaci pozícióját, szabályozott eljárások és pontos tervezés alkalmazásával (Farkas – Szabó, 2005). A következő ábra a vállalati erőforrásokat konstansnak véve mutatja a gazdálkodás és vállalkozás különféle arányainak a kockázatosságát (ábra forrása: Kozma, 1997, 21.o).
1. ábra: Gazdálkodás, vállalkozás és ezek különböző arányainak kockázata
A görbe felsőbb részén a vállalkozás, még az alsó részén a gazdálkodás helyezkedik el. Az érdekesség az, hogy bármennyire is tűnik ez furcsának, de egy vállalkozás nem választhatja meg szabadon, hogy hol helyezkedjen el. Ezt az ő környezete, választott piaca fogja 9
meghatározni. Például egy olyan kisvállalkozás számára, amit erősen befolyásol a divat, elképzelhetetlen, hogy gazdálkodó jelleggel működjön. Ezzel szemben egy konzervatív piacon bármilyen vállalkozó szellemű is legyen a tulajdonos, kénytelen a gazdálkodó jelleget választani. A bal oldali részen az üzleti kockázatok találhatók főként és ezek kezelése a legfontosabb feladat. Egy bizonyos pont után, túl sok kockázat vállalása esetén, kicsúszhat a gyeplő a vállalat vezetőinek kezéből, és szerencsejáték jellegűvé válhat az egész vállalkozás működése. Ez az egyik véglet. A másik pedig a görbe jobb oldalán elhelyezkedő, kockázatkerülő magatartásformát mutató gazdálkodó jelleg. Főként az elöregedett vállalkozások vannak itt, őket az újtól való félelem és a túlzott óvatosság jellemzi. Az általános az, hogy a görbe jobb oldalán nagyvállalatok, a bal oldalán pedig inkább kisvállalatok helyezkednek el. Természetesen a nagyvállalatok is vállalhatnak kockázatot, de ők megtehetik azt, hogy egy külön üzletágat hoznak létre, és nem az egész vállalat vagyonát kockáztatják ebben az esetben, hanem csak erőforrásainak egy részét (Farkas – Szabó, 2005, 20. - 21. o.). Ettől függetlenül a vállalatok kerülhetnek olyan helyzetbe, amikor mégis van választásuk, és akkor bizony el kell dönteniük, hogy a rázósabb vagy a simább utat választják. Ezt nevezik a vezetőség kockázati étvágyának. Az alábbiakban bemutatásra kerül az a három magatartásforma, amelyet tanúsíthatnak, ha választaniuk kell, hogy melyik megoldást kívánják megvalósítani. Kockázatkerülő / kockázatelutasító Akik ebbe a kategóriába tartoznak, igyekeznek elkerülni a kockázatos helyzeteket. Sokkal inkább választják a kevésbé profitáló utat, mint kockára tegyék azt, amit eddig felépítettek. Ez tekinthető egy természetes viselkedési formának is. Akkor tanúsítanak ilyen magatartást a befektetők, ha egy bizonyos lehetőség várható hozama kisebb, mint a lehetséges veszteség (Farkas - Szabó, 2005). Annak érdekében, hogy hűek maradhassanak az ilyen típusú befektetők az általuk képviselt magatartásformához, kénytelenek feláldozni a várt nyereség egy részét és beérni és elfogadni az alacsonyabb jövedelmet (Garaj, 2011)
10
A következő ábrán látható hozamgörbék a kockázatelutasító magatartást szemléltetik. Látható, hogy a magasabb hozamot csak közel arányosan növekvő valószínűségi érték mellett hajlandó csak elfogadni. Tehát lényegében az ilyen típusú befektető az olyan lehetőségeket keresi, ahol a lehető legkisebb kockázat vállalása mellett éri el a lehető legnagyobb hozamot (ábra és szöveg forrása: Farkas – Ivanyos - Szabó, 2015, 101. o.).
2. ábra: Kockázatelutasító magatartásforma Kockázatvállaló/kockázatkedvelő Ennek a kategóriának a tagjai keresik a veszélyes helyzeteket, nem félnek a negatív következményektől. Ezt természetesen azért vállalják, hogy valamilyen többletnyereséghez jussanak. Fel vannak készülve arra is, hogy ez a cselekedetük esetleges veszteségekkel járhat (Garaj, 2011) Elsődleges céljuk ezzel a merészséggel az, hogy hirtelen és nagy vagyongyarapodáshoz jussanak. A következő ábrán s közömbösségi görbék azt mutatják, hogy ez a típusú befektető hajlandó vállalni a magasabb kockázatot annak érdekében, hogy a lehető legnagyobb nyereséget érje el (ábra és szöveg forrása: Farkas – Ivanyos - Szabó, 2015, 101. o.).
11
3. ábra: Kockázatkedvelő magatartásforma Kockázatsemleges Az ilyen típusú befektető csak a hozam érdekli. Olyannyira figyelmen kívül hagyja a valószínűségi eloszlásokat, hogy ebben az estben a közömbösségi görbék egyenesként kerülnek ábrázolásra. Csakis és kizárólag a befektetés hozamával foglalkozik, hogy az minél nagyobb legyen, nem végez számításokat a kockázat mértékének megállapítása érdekében (ábra és szöveg forrása: Farkas – Ivanyos - Szabó, 2015, 101. o.).
4. ábra: Kockázatsemleges magatartásforma 2.3 A kockázatok típusai Ami eddig nyilvánvalóvá vált, az az, hogy a kockázatokkal foglalkozni kell, kezelni kell azokat, különben végzetes következményei lehetnek bármilyen szinten vizsgálva. Fontos azonban átgondolni azt is, hogy a vállalkozást fenyegető kockázatokat hol kell keresni. 12
Éppen ezért először szükséges egy áttekintés arról, hogy a vállalkozást fenyegető kockázatok honnan eredhetnek, tehát honnan kell a vizsgálódást indítani. Ehhez nyújt segítséget ez az alfejezet. Egy adott vállalkozásnál a kockázatok megjelenhetnek mikro- és makroökonómiai szinteken is. Mikroökonómiai szinten például a belső viszályok, üzleti politika, menedzsment kockázati étvágya lehetnek meghatározók, még makroökonómiai szinten a külső jogi és szabályozó környezet változása, politikai döntések, gazdasági események. Ezek bemutatására kerül most sor. Külső kockázatok (PEST modell) Ez a modell a kockázatokat makroökonómiai szinten vizsgálja. Az elnevezése azonban nem csodálatos fővárosunk nevének egyik feléből ered, hanem a kockázatok származási helyének angol kezdőbetűiből. -
A „P”, mint „political”, azaz politikai,
-
Az „E”, mint economical, azaz gazdasági,
-
az „S”, mint „social”, azaz társadalmi,
-
A „T”, mint „technological”, azaz technológiai kockázatokat jelent.
Politikai elemek közé tartozik például a kormányzat stabilitása, politikai értékrendek változása, törvényhozás vagy az adópolitika is. A gazdasági elemek csoportjába tartoznak többek között a gazdasági ciklusok, kamatszintek, GDP változása, infláció és munkanélküliség. Társadalmi tényezők közé sorolhatók a demográfiai változások, képzettségi szintek alakulása, társadalmi mobilitás, életmódbeli változások, vallási csoportok hatása és még megannyi más egyéb. Végezetül a technológiai tényezők maradtak, amik közé az új felfedezések, találmányok és fejlesztések, kormányzati fejlesztések sorolhatók többek között (Ivanyos, 2013). Ennek létezik egy kibővített változata is, amely egyik eleme a későbbiek során bemutatni kívánt esettanulmány egyik fontos részét képezi, ez pedig nem más, mint a PESTEL elemzés, Legal, azaz, jogi eleme. Itt az eredeti PEST modell politikai tényezői közül kiemelésre kerül a jogi szabályozás, ami így egy saját dimenziót kap. A másik „E” egyébként, az
13
„environmental”, azaz környezeti hatásokat jelenti. Ez alatt értendők a környezeti tényezők hatásainak vizsgálata például a termékdíjak változásai (Medvéné, 2013). Ezek az előbb említett külső tényezők a szervezeti és működési célokat jelentősen, negatívan képesek befolyásolni (Ivanyos, 2013). Éppen ezét kell ezeket az elemeket úgy értelmezni, mint egy – egy veszélyforrást, és figyelni, nyomon követni ezek változásait. Fontos kiemelni még azt is, hogy ezek azért külső tényezők, mert ebbe a vállalatoknak nincs beleszólása, csak sodródnak az eseményekkel és kénytelenek alkalmazkodni a változásokhoz. Ha ezt nem teszik meg, akkor nagy valószínűséggel nem fogják tudni folytatni addigi tevékenységüket (teljesen ugyanúgy, mint a változás előtt pedig szinte teljesen biztosan nem). Belső kockázatok A vállalatoknak nem elég csak a külső környezetükből érkező eseményekre reagálniuk és felkészülniük, hanem számolni kell azzal is, hogy a vállalaton belül sem működhet minden mindig kockázatmentesen. A belső kockázatok véleményem szerint olykor még veszélyesebbek tudnak lenni, mint a külsők, mivel ha a szervezeten belül nincs minden rendben, sokkal nehezebb a külső problémákat megoldani és időben (ráadásul még jól is) reagálni azokra. Így sokkal több és nagyobb mértékű probléma jelenhet meg a vállalatnál, amelyet ilyen körülmények között nagyon nehezen lehet csak megoldani. Fontos tehát ugyanúgy foglalkozni a belső, mint a külső kockázatokkal. Ez a bekezdés ezek kategóriáit mutatja be. Az első az infrastruktúra. Nagyon fontos megvizsgálni azokat az eszközöket, amelyekkel a vállalkozás dolgozik. Nem mindegy, hogy mennyi van belőlük, és azok minősége sem elhanyagolható. A második a folyamatok. Itt kerül elő a másoktól való függőség, másokhoz való kapcsolódás. Ha például egy külsős megbízott cég végzi a könyvelést, akkor ennek megszűnése hatalmas problémát okozna. Természetesen a kapacitást és a tervezést sem szabad kihagyni ebből a kategóriából. A nem kihasznált kapacitások és a nem jól meghatározott tervek is kockázatot hordoznak magukban. A következő kategória a személyi állomány. Talán az egyik legnagyobb kockázatot hordozza magában az emberi magatartás. Üzleti titkok, eljárások kiszivárogtatása esetén komoly következményei lehetnek ennek a 14
vállalkozás szemszögéből. Természetesen a dolgozók egészségüggyel és biztonsággal kapcsolatos kockázatai sem elhanyagolhatók, de az alkalmazotti kapacitás is egy fontos szempont. A negyedik és egyben utolsó kategória a technológiák. A rendszerek kiválasztása, karbantartása, kezelése, fejlesztése is nagyon fontos feladatok, hiszen az adatok tárolása ezeken történik. Ha ezek elvesznek, helytelenül jelennek meg, a vállalat által készített beszámoló és egyéb kiadványok hitelessége megkérdőjelezhető lesz, a munkafolyamat lassulásáról és nehezedéséről még csak nem beszélve (Ivanyos, 2013). A gyakorlati tapasztalat azt mutatja, hogy a folyamatok minél inkább IT-ra támaszkodók lesznek, annál inkább komplexebb lesz a technológiai kockázat. Innentől kezdve egyre inkább fontosabb lesz az ilyen jellegű kockázatok felismerése (ABT). 2.4 Informatikai és információbiztonsági kockázatok Fontosnak tartom az informatikai és az információbiztonsági kockázatok külön bemutatását, mivel dolgozatomban az ilyen típusú kockázatok kerülnek feltárásra az esettanulmány során. A következőkben tehát ennek helye a szervezeten belül és speciális jellemzői kerülnek bemutatásra. A szervezet stratégiája önálló üzleti vonulatokat hoz létre a vállalaton belül, és ezek a saját funkciójuknak megfelelő informatikai rendszereket alakítják ki. A következő ábra szemlélteti az informatikai kockázatok helyét a teljes szervezeti kockázathoz képest (ábra forrása: ISACA, 2015).
5. ábra: Informatikai kockázatok helye a teljes szervezeti kockázathoz képest 15
Tehát legfelül a vállalati kockázat helyezkedik el. Ezt lehet tovább bontani stratégiai, környezeti, piaci, hitelezési, működési és megfelelési kockázatra. Ezt mindet átfogja a IT kockázat, ami ha egy sorban jelenne meg az előbb említett kockázatokkal, akkor nem lenne reális az ábra, mert ez nem egy különálló kockázat, hanem az előbb említett területeken mindenhol ott van, mindenben megjelenik. Az IT szükséges ahhoz, hogy minden előbb említett terület egyáltalán működhessen, tehát amíg ezek a kockázatok nincsenek kezelve és megfelelően kialakítva, addig nem lehetnek teljesen biztosak benne, hogy a többi rendszer kockázatainak kezelése érdekében hozott intézkedések valóban hatásosak. Ezért fontos ezt a kockázatot mindenek előtt és sürgős prioritással kezelni. (Isaca, 2015) Az elmúlt évek nagymértékű informatikai fejlődése azt eredményezte, hogy az adatoknak a legnagyobb része ma már csak elektronikus formában létezik, és áll a vállalat rendelkezésére. Rengeteg pénzt költöttek és nagyon sok erőfeszítést tettek a vállalatok ezeknek az elektronikus adatkezelő rendszereknek a kiépítésére. Azonban arra nem feltétlenül számítottak, hogy az ott tárolt adatok eltulajdonítása sokkal egyszerűbb lesz, így azok nagyobb veszélynek vannak kitéve, tehát a védelmükre nem kis figyelmet kell fordítani. A folyamatos harc a védelmi intézkedések és a támadási módszerek között alakult ki. Elmenekülni ezelől azonban már nem lehetséges, ugyanis a számítógépek és a mobiltelefonok használata a munka során már természetesnek minősülnek, így ha ezektől elzárkózna a vállalat az üzleti sikereinek alapjait tenné tönkre (Farkas – Szabó, 2005). Éppen ezek miatt az információbiztonság fogalma nagyon szorosan kapcsolódik az informatikai kockázatokhoz, tehát ennek rövid ismertetése sem kerülhető el. A vállalat belső információinak legnagyobb ellenségeit nem a falakon kívül kell keresni, hanem azokon belül. Elég furcsa, hogy magunk ellen kell védekezni az esetek túlnyomó többségében, de az tény, hogy a munkatársak beszédesek és akaratlanul is oszthatnak meg olyan információkat, amelyeket nem kellett volna. Ez ellen a legnehezebb védekezni talán, mert mindent nem lehet titoknak minősíteni, és ez meg is nehezíteni a munkát, valamint költségessé is tehetné azt. Az egyetlen jó megoldás az, hogy a bizalmas belső információkat csak egy szűk, meghatározott rétegnek engedjük megismerni, a többit pedig szabályzatokkal próbáljuk megóvni (Farkas – Szabó, 2005). Véleményem szerint kifejezetten fontos minden esetben a jogosultságkezeléssel foglalkozni. Ez az a terület, amely során meghatározásra és 16
kivitelezésre kerül az, hogy melyik munkavállaló melyik szerepet tölti be, és ezen szerepek ellátásához milyen adatokhoz szükséges hozzáférnie. Ezt nem csak a bizalmas adatokkal kapcsolatban kellene megcsinálni, hanem minden egyes adattal, amely a vállalat birtokában áll. Azzal is hatalmas károkat lehet okozni a cégnek, ha akár szándékosan, akár véletlenül módosításokat hajt végre a munkavállaló olyan adatokban, amelyekhez valójában nem is kellene hozzáférnie. Az, hogy valójában mi számít titoknak a vállalat szempontjából, kissé nehezen megfogalmazható, ugyanis ennek rengeteg megjelenési módja, helye és formája van. Így tehát az adatok vagy információk egy része lehet titok, de ha szélesebb a körben vizsgáljuk és az üzleti titkokat tekintjük, akkor már akár tárgyak is és megoldásokra is minősülhetnek ennek (Farkas – Szabó, 2005). Manapság már szinte mindenhol elektronikus formában történik az adattárolás, és a hagyományos levelezést is lassan teljesen leváltja az elektronikus adattovábbítás (például E-mail, SharePoint). Éppen ezért nagyon sokan tévesen azonosítják az informatikai védelmet az információvédelemmel. Fontos hangsúlyozni, hogy önmagában az informatikai védelem nem egyenértékű az információvédelemmel. Szükséges, hogy a vállalat kialakítsa a teljes körű védelmét az informatika területén is, de szükséges az információbiztonsággal kapcsolatos kockázatok kezelésével külön foglalkozni (Farkas – Szabó, 2005).
17
3 KOCKÁZATKEZELÉS A dolgozat előző fejezetében bemutatásra került a kockázat. Láthatóvá vált, hogy valóban mindenhol jelen van, így nem lehet nem foglalkozni vele. A kérdés a következő: most, hogy tisztázva lett a jelenség fontossága, mi a teendő? Erre a válasz a kockázatkezelés. A kockázatkezelés azért szükséges, mert a vállalatok nap, mint nap szembe kell, hogy nézzenek a bizonytalanság tényével. Ahogyan az már említésre került a kockázat fogalmának tisztázása kapcsán, a bizonytalanság is szorosan kapcsolódik hozzá. Ez egyszerre jelent kockázatot és lehetőséget is a vállalkozások számára. Az ő döntésük az, hogy mekkora bizonytalanságot hajlandó elfogadni a tulajdonosi érték növelése érdekében. A kockázatkezelés a megoldás a bizonytalanságok és az azokkal járó kockázatok hatékony kezelésére, annak érdekében, hogy az értékteremtő képesség növekedjen (Ivanyos, 2013) Ebben a fejezetben ismertetve lesznek ennek legfőbb tulajdonságai és kulcsfontosságú lépései. 3.1 A vállalati kockázatkezelés köre A kockázatkezelés köre alatt értendők azok a területek, amelyek a kockázatkezelési tevékenység végzése során érintve vannak (Ivanyos, 2013). Tehát fontos először feltérképezni azokat a területek, ahol a kockázatkezelést el kell végeznünk, mivel nem mindegy hogy miket vizsgálunk majd meg. Tehát ez azért szükséges, hogy tudjuk, hol keressük a kockázatokat, hogy egy se maradjon rejtve előlünk. Az első a kockázatvállalási hajlandóság és a stratégia párhuzamba állítása. A vezetőségnek értékelnie kell a stratégiai alternatívákat, meg kell határoznia a vonatkozó célkitűzéseket, majd végül ki kell dolgoznia a kapcsolódó kockázatkezelési mechanizmust. Ez utóbbi alapján szükséges mérlegelni a vállalat kockázatvállalási hajlandóságát (Ivanyos, 2013). Tehát ha valaki szeretné elkerülni a kockázatokat, akkor nyilván a stratégiába olyan lépések kerülnek bele, amelyek bár nem jelentenek nagy előrelépést a vállalat életében, de legalább elég nagy valószínűséggel meg tudják azt valósítani és különböző tényezők nem fogják megzavarni annak bekövetkezését. De ha valaki azt mondja, hogy nagy kockázatot szeretne vállalni, akkor a stratégiába nagy előrelépést jelentő célok kerülnek bele, amelyek 18
megvalósítása nagyban függ a jövőben bekövetkező eseményektől. Tehát a stratégiába jelenik meg valójában, hogy melyik típusba tartozik a vállalat vezetősége. A második a kockázatra való reagálást érintő döntések hangsúlyozása. Ez annyit jelent, hogy pontosan meghatározzák és kiválasztják a megfelelőt a kockázati reakciók alternatívái közül. Az alternatívák a következők: kockázat elkerülés, csökkentése, megosztása, elfogadása (Ivanyos, 2013). Például, ha felmerül egy rizikós helyzet, akkor a vezetőség eldöntheti, hogy igyekszik az adott kockázatot hordozó esemény bekövetkezését elkerülni, igyekszik csökkenteni azok számát, próbálja megosztani valakivel, vagy csak egyszerűen elfogadja az adott helyzetet. A harmadik a működéssel kapcsolatos meglepetések és veszteségek csökkentése. A szervezet ezáltal képessé válik a potenciális események felismerésére és a reakciók kidolgozására, és így csökkentik a meglepetéseket és az azokhoz kötődő költségeket, veszteségeket (Ivanyos, 2013). Ha időben felismerik, és megfelelő reakcióval válaszolnak egy bizonyos eseményre, akkor csökkenthetik a veszteségeiket. Ezért fontos, hogy a vállalat időt szakítson néhány főbb reakció kidolgozására. A negyedik a többszörös és a vállalatot átfogó kockázatok felismerése és kezelése. Minden vállalat számtalan kockázattal találja magát szembe és kénytelen ezekkel foglalkozni, hogy a működését ne lehetetlenítsék el a kockázatok. A vállalati kockázatkezelés elősegíti az egymással összefüggő hatásokra való hatékony reagálást, valamint a többszörös kockázatokra való integrált reagálásokat (Ivanyos, 2013). A többszörös kockázatról a következő alpontban még lesz szó. Az ötödik a lehetőségek kihasználása. A vezetőség figyelembe veszi a lehetséges események sorát és kihasználhatja a lehetőségeket (Ivanyos, 2013). Ehhez szükséges a már előző fejezetben ismertetett SWOT mátrix elkészítése, hogy tisztán lássák ezeket. Így könnyebb felismerni a lehetőségeket, és megtalálni annak módját, hogyan élhetnének vele. Az ötödik a lehetőségek kihasználása. A vezetőség figyelembe veszi a lehetséges események sorát és kihasználhatja a lehetőségeket. Ehhez szükséges a SWOT mátrix elkészítése, hogy tisztán lássák ezeket. A mátrix neve az alábbiakat takarja:
19
-
„S”, mint Strenghts, azaz erősségek
-
„W”, mint Weaknesses, azaz gyengeségek
-
„O”, mint Opportunities, azaz lehetőségek
-
„T”, mint Threats, azaz veszélyek.
Erősségei közé kell sorolnia azokat a tényezőket, amiben kiemelkedően jó, és ez valamilyen előnyhöz juttatja versenytársaihoz képest. Gyengeségek közé azokat, amik fejlesztésre szorulnak. Ezáltal megtalálhatják a piaci előrelépés akadályát és gondoskodhatnak annak kezeléséről. A lehetőségek között kell feltüntetni azokat az eseményeket, amelyeket ha megfelelően kihasználnak, akkor előrébb léphetnek a piaci ranglétrán. A veszélyek kategóriájába pedig olyan tényezők, amik gátolhatják a vállalkozást céljai elérésében (Szőrös – Kresalek, 2013) Az alábbi ábra szemlélteti, hogy a fenti kategóriák hogyan oszlanak meg külső és belső tényezők között (ábra forrása: Pölöskeiné, 2009, 3.2.2 alpont)
6. ábra: SWOT elemzés Mind külső, mind belső tényezők tovább bonthatók pozitív és negatív alkategóriákra. Így belső pozitív tényezők lesznek az erősségek, még negatívak a gyengeségek. Ugyanígy a másik oldalon: pozitív külső tényezők a lehetőségek, még negatívak a veszélyek. Az erősségeket és gyengeségeket a vállalat viszonylag könnyen kézben tudja tartani belső eredetük miatt, azonban külső tényezőkre nemigen tud hatással lenni (Pölöskeiné, 2009).
20
A hatodik és egyben utolsó kör a tőkefelhasználás javítása. A vezetőség pontos kockázati információt szerezve hatékonyan felmérheti az átfogó tőkeigényeket, és javíthatja a tőkefelosztást (Ivanyos, 2013). Látható, hogy sok dologra kell odafigyelni egy vállalkozás számára, ha belevág a kockázatkezelésbe. A következőben a kockázatok felmérésének folyamata kerül bemutatásra. 3.2 A kockázatok felmérésének folyamata Általános megközelítés A kockázatkezelés folyamatának legelső lépésében meghatározásra kerül az, hogy mik tartoznak a veszélyeztetett értékek közé. Szintén kihagyhatatlan lépés a vállalkozó tevékenység alkotóelemeiből, folyamataiból és az az erőforrások létéből vagy használatából adódó kockázatok feltérképezése. A fontossági sorrendet azonban nem lehet általánosítani, ugyanis ez csakis és kizárólag az adott vállalat vezetőségének döntésétől függ. A kockázatott eszközök nagy csoportjai a következők: -
személyzet, személyek
-
ingatlanok
-
dologi erőforrások
-
pénz jellegű elemek
-
a vállalati tevékenység elemei
-
szellemi jogok és termékek
-
információk
-
a vállalat hírneve, közönségkapcsolatai.
Ezekből a nagy csoportokból a vállalatnak egy személyes „leltárt” kell készítenie, és ennek keretin belül meghatározni azok értékeit, mennyiségeit. Ezek néhány esetben egészen egyszerűek (például ingatlanok száma és értéke viszonylag egyszerűen meghatározható), más esetekben pedig komoly kihívást jelentenek (például a vállalat hírnevének értéke megállapítása során.). Az egyszerű esetek közé tartoznak az ingatlanok, személyzet (jövedelem alapján), dologi erőforrások, pénz jellegű elemek és a vállalati tevékenység elemei. A szellemi jogok és termékek meghatározása részben egyszerű (termék jellegű, 21
értékesíthető szellemi jogok esetében), részben pedig nagyon nehéz (termelési eljárás tapasztalatainál, rendelkezésre álló piaci ismereteknél). Az adatok értéke akkor határozható meg könnyen, ha ismertek az előállítási költségeik, ellenkező esetben ez sem könnyű. A vállalat hírnevének értékét szintén komoly kihívás meghatározni. Ezek után a fenti kategóriák közötti összefüggéseket kell megállapítani, ugyanis egy bizonyos kockázat bekövetkezése esetén nem csak egy terület, hanem az azzal kapcsolatban álló területek is veszélyeztetve lehetnek. Tehát az egymással kapcsolatban lévő helyeket valamilyen szempont szerint csoportokba kell sorolni. Ilyen szempont lehet például egy garázs. Az abban tárolt szerszámok, az ott dolgozó személyek, és maga az ingatlan is így egy csoportba kerülhet. Ezt nevezhetjük akár többszörös kockázatnak is. A második feladat a veszélyeztető tényezők meghatározása. Alapvetően a károkat okozó tényezők lehetnek: -
természeti tényezők
-
politikai tényezők
-
gazdasági tényezők
-
piaci tényezők
-
technikai, termelési tényezők
-
emberi tényezők.
Ezek nagy része már az előző fejezetben bemutatásra kerültek, de az emberi tényezőkről még nem esett szó, pedig a vállalati szabályok nagy része ezekről szól. Ezek egy része a kockázati tényezők érvényesülését akadályozza meg. Az ilyen előírások legtöbbször minőségi előírások, szabványok, munkaköri leírások. A kockázatkezelés végző személy feladata szoros együttműködést kialakítani a dolgozókkal, annak érdekében, hogy a fentebb említett szabályok betartását le tudja ellenőrizni. Az emberi tényező ezek mellett speciális elemként is említhető, mivel egyaránt szerepel a veszéllyel fenyegetett és veszélyforrások között is. Egy véletlenül vagy szándékosan elkövetett hiba, károkozás eredményezik a vállalati működés legfontosabb kockázatait. A leltár elvégzése során létrejön egy lista, amely tartalmazza az elemek nevét, mennyiségét, értékét és a kockázatok megnevezését. A kockázati érték meghatározása a következő lépés, 22
mely során figyelembe kell venni az egységesítést. Általában a Forint/év egységet célszerű használni, de előfordulhatnak olyan elemek, amelyek esetében ezt nem lehet meghatározni, ezeket külön kell kezelni. Ennek rengeteg módja van, amelyek most nem kerülnek ismertetésre. A lényeg, hogy ezek mellé értékben meghatározásra kerülnek a kockázatok. Így innentől kezdve el lehet kezdeni a tervezést, hogy melyiket milyen sorrendben kell kezelni (Farkas – Szabó, 2005). IT szempontú megközelítés Ahogyan azt már a bevezetésben említettem, a dolgozatomban a „Risk Management” szerinti értelmezésben szeretném használni a kockázatkezelés kifejezést. Ez a folyamat azzal a lépéssel kezdődik, hogy meg kell ismerni a vizsgált szervezetet szem előtt tartva azt az információt, hogy a környezete, és a körülmények (amelyek között a tevékenységét folytatja) erősen befolyásolják azt. A szervezet megismerése magába foglalja a különféle veszélyek lehetőségének a felmérését, az eszközök relatív értékének a meghatározását, az eszközökbe és forrásokba vetett bizalom felmérését, valamint a sebezhető pontok feltérképezését. Ezekbe kell beavatkozni és meg kell akadályozni a nem kívánatosakat, módosítani kell azokat (ISACA, 2015). A következő felsorolás tartalmaz néhány további faktort, amit figyelembe kell venni az IT infrastruktúrát és rendszereket érintő kockázatok felmérése során. Fontos hangsúlyozni, hogy ezeket minden egyes rendszer szempontjából kell felmérni, tehát mindegyikre külön kell elvégezni, és a következő faktorokat kell ezen vizsgálatok során megvizsgálni: -
Szervezeti függőség az ellátási láncban (különösen akkor, ha a szervezet földrajzi helyzete indokolja)
-
a pénzügy, a kölcsönök, a partnerek és a részvényesek befolyása
-
gazdasági vagy politikai változásokra való érzékenység
-
piaci minták, trendek szerinti átalakulás
-
új versenytárs megjelenése
-
új törvények megjelenése
-
környezeti katasztrófa (ISACA, 2015)
23
A kérdés ugye az, hogy a felsorolt tényezők vagy események bekövetkezése esetén mennyire lenne veszélyeztetve (mekkora kockázatnak lenne kitéve) a vállalat informatikai rendszere. Az IT kockázatkezelés egy ismétlődő folyamat, amely 4 lépésből áll. Az első az IT kockázatok azonosítása. Ezen belül meghatározzák, hogy hol és milyen környezetben létezik az adott kockázat, és ezek dokumentálásra is kerülnek. Ez a dokumentum képezi a következő lépés kiindulási pontját, ami a kockázatok értékelése. Ennek során a kockázatokat értékelik és ezek eredményei alapján priorizálják azokat. Ez a lépés szintén az alapját képezi a következőnek, ami a kockázatokra adott válasz és a kockázatok csökkentése. Ezen belül olyan módszerek kerülnek beépítésre a folyamatokba, amelyek az előzőkben meghatározott kockázatok kezelésére szólnak. Az utolsó fázis a kockázatoknak és a kontrolloknak a monitorozása és riportok készítése ez alapján annak érdekében, hogy felmérjék, hogy a kockázatmenedzsment során kialakított kontrollok jól működnek -e és a kockázatok jelenlegi szintje éppen hol áll. Amikor a vállalt környezetében valamilyen változás következik be, akkor ez a folyamat kezdődik elölről (ISACA, 2015). 3.3 Lehetőség a kockázatok kezelésére: kontrollok Onnantól kezdve, hogy feltárásra kerültek a vállalatot fenyegető kockázatok, a vezetőségnek el kell döntenie, hogyan fog cselekedni az egyes kockázatok esetében, azaz arra milyen választ fognak adni. Az ISACA szerint a következő opciók közül választhatnak: -
„accept”: a kockázat elfogadása. Az ebbe a kategóriába sorolt kockázatok ellen semmilyen intézkedés nem lesz bevezetve, tehát a működést ennek ismeretében, de ennek kezelése nélkül folytatják.
-
„mitigate”: a kockázat csökkentése valamilyen eljárás segítségével, tipikusan a kockázat hatását csökkentő kontroll bevezetésével.
-
„avoid”: a kockázat elkerülése. Ezt olyan módon tudja megtenni, hogy megszüntetni az adott kockázatot, úgy, hogy például befejezni a kapcsolódó tevékenységet.
-
„share/ transfer”: a kockázat megosztása/áthárítása, például biztosítási szerződés kötésével (ISACA, 2015).
24
A kockázatok csökkentésére a kontrollok bevezetése is egy nagyon jó megoldás lehet. A kontroll lényegében egy olyan ellenőrző folyamat, ami bizonyosságot ad az alábbi célok eléréséhez: -
hatékony és eredményes működés,
-
megbízható pénzügyi jelentési struktúra,
-
törvényi megfelelés biztosítása,
-
vállalat vagyonának megbízható és biztonságos kezelése (theiia.org, 2009)
Tehát lényegében ezek a folyamatba vannak építve, és ezáltal azt érik el, hogy nem a végeredményt ellenőrzik csak, hanem már folyamatában is, olykor lépésről lépésre vizsgálják, hogy az adott tevékenység kimenetele helyes vagy sem. Így ez által kivitelezhetővé válik az is, hogy egy hibás lépést azonnal fel lehessen tárni és kezelni, még ellenkező esetben elképzelhető lenne, hogy csak a folyamat végén derülne ki és elölről kellene kezdeni az egészet. A kontrolloknak két fajtáját különböztethetjük meg, az egyik az általános kontrollok a másik pedig az üzleti folyamat – alkalmazásokba beágyazott kontrollok. Általános kontrollok közé tartoznak azok, amelyek az informatikai folyamatokba és szolgáltatásokba vannak beépítve. Ilyenek például a rendszerek fejlesztése, változáskezelés, biztonság és számítógép üzemeltetés. Az üzleti folyamat – alkalmazásokba beágyazott kontrolljaira olykor alkalmazás kontrollokként is hivatkoznak, ezek közé tartozik például a teljesség, pontosság, érvényesség, engedélyezés és a felelősségek elhatárolása (Dr. Borda, 2013) Az ISO 31000-ben is találhatunk egy definíciót a kontrollra. Eszerint a kontroll magába foglal minden olyan folyamatot, irányelvet, eszközt, gyakorlatot és minden olyan egyéb tevékenységet, amely a kockázat mérséklését szolgálja (ISO, 2009). Tehát láthatjuk, hogy a kontrollok nagyon fontosak, és minden vállalat tevékenységébe be kellene építeni ezeket, hogy megbízhatóan működjenek a folyamatok. A kockázatkezeléssel kapcsolatban (sajnos még mindig) felmerülhet mindenkiben a kérdés: kötelező ezt végrehajtani? Láthattuk, hogy rengeteg dolgot kell figyelembe venni, nagyon részletesen kell vizsgálni mindent és ez temérdek időt vesz igénybe. Még szép, hogy aki
25
teheti az igyekszik elkerülni ennek a tevékenységnek a végrehajtását. De vannak, akik számára ez nem opció, hanem kötelezettség. Ráadásul nem vállalaton belülről érkező utasítás, hanem törvényből eredő kötelezettség. De vajon kik lehetnek ők, akik számára kötelező ezen tevékenység végrehajtása és miért kötelező ez számukra? A következő fejezet többek között ezekre a kérdésekre is választ ad.
26
4 BEFEKTETÉSI VÁLLALATOK
SZOLGÁLTATÓI INFORMATIKAI
TEVÉKENYSÉGET
FOLYTATÓ
KOCKÁZATKEZELÉSÉT
SZABÁLYOZÓ
DOKUMENTUMOK Ebben a fejezetben kerülnek bemutatásra a befektetési szolgáltatókat érintő legfőbb kockázatkezelésre vonatkozó törvény, rendelet és az ezekhez kapcsolódó ajánlás és egy egyéb szabályozó dokumentum is. A befektetési szolgáltatók fókusza azért indokolt, mert a következő fejezetben bemutatni kívánt kockázatelemzés alanya egy ilyen típusú vállalkozás volt. Itt ismét láthatóvá válik, hogy mennyire fontos ilyen szempontból is a kockázatkezelés. Amiről törvényt írnak, arról már a hétköznapi ember is tudja, hogy nagyon fontos. Az emberek nem fognak lopni vagy rongálni, mert a törvény büntetni. Épp így az érintett vállalatoknak sem szabad megfeledkezniük a kockázatkezelésről, mert az ugyanúgy büntetéssel jár. Először a 2007. évi CXXXVIII. törvény segítségével kerülnek ismertetésre a befektetési szolgáltatók jellemzői és azok tevékenységi köre, valamint az ebben a törvényben található informatikai kockázatkezeléssel kapcsolatos rendelkezések. Ezek után egy rendelet tartalma lesz bemutatva, mégpedig a 42/2015-ös számúé, amely az informatikai rendszer védelmével kapcsolatos szabályokat tartalmazza. A gyakorlati példám szempontjából a legfontosabb, az MNB által kiadott 1/2015-ös számú ajánlás, az informatikai rendszer védelméről, így ennek felépítése, tartalma részletesebben kerül kifejtésre ebben a fejezetben. Sok szervezet, köztük a bemutatni kívánt esettanulmány alanya is, nem veszi ugyanolyan komolyan a rendeleteket és ajánlásokat, mint a törvényeket. Talán úgy gondolják, hogy a törvénynek való megfeleléssel teljesítik azt a minimum kritériumot, amellyel már teljesen legálissá teszik a működésüket. De mégis mi a különbség a törvény és a rendelet fogalma között? A parlament.hu weboldalán található a válasz, mely szerint törvényt csak országgyűlés, még rendeletet a kormány, a miniszterelnök és a miniszterek is alkothatnak. A rendeletalkotás során a legfontosabb szempont, amit szem előtt kell tartani, az az, hogy az Alaptörvénnyel nem lehet ellentétes a megalkotni kívánt jogszabály (parlament.hu). Tehát mivel rendeletet különféle szervezetek is kiadhatnak, ezért úgy érezhetik, hogy az adott szervezet (jelen esetben MNB) által kiadott rendelet súlya nem érhet az országgyűlés által 27
elfogadott törvény súlyának közelébe. Végezetül még az ajánlásról is fontos néhány szót ejteni így mindjárt az elején. Ezek célja az MNB szerint nem más, mint -
a jogalkalmazás kiszámíthatóságának növelése,
-
az uniós és magyar jogszabályok egységes alkalmazásának elősegítése,
-
az MNB által javasolt elvek, módszerek ismertetése (mnb.hu).
Ezen kívül még nem mindegy, hogy ezek az ajánlások kinek vannak címezve. Tehát az MNB által kiadott ajánlások -
az MNB által felügyelt intézményeknek és
-
piaci szereplőknek vannak címezve (mnb.hu).
Végezetül még az ISO/IEC 27001 szabvány is be lesz mutatva, ami valójában csak opcionális a vállalatok számára, mégis érdemes ezen tanúsítvány megszerzésére időt szakítani. Hogy miért? Ebben a fejezetben ez is ki fog derülni. 4.1 A 2007. évi CXXXVIII törvény Ez a törvény a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szól. Azért fontos ennek nagyvonalú ismertetése, mert a Társaság, amelyről a következő fejezetben bemutatni kívánt esettanulmány szól, ennek a törvénynek a hatálya alá tartozik, tehát ennek kell megfelelnie. A másik indok pedig az, hogy az eddig hangsúlyozott fontosság most értelmet nyer e törvény rendelkezéseinek köszönhetően. A továbbiakban a törvény által meghatározott legfontosabb rendelkezések kerülnek ismertetésre. Az első és az informatikai feltételek szempontjából legfontosabb kritérium a törvény 4. fejezetében található. Ez a rész, a tárgyi és technikai feltételekről szól. Két nagy csoportot határoz meg, mely szerint az egyik az induló tőke a másik pedig (a jelen esetben mérvadó) az informatikai rendszer. Ez annyit jelent, hogy ha a megalapítani kívánt cég rendelkezik a szükséges indulótőkével, de nem képes a törvényben meghatározott informatikai feltételeket teljesíteni, akkor a működését nem fogja tudni megkezdeni. Ezek szerint a törvény hatálya alá tartozó cégeknek kötelező a tevékenysége ellátásához szükséges informatikai rendszer biztonságával kapcsolatos szabályozási rendszert kialakítania, valamint ennek a 28
kockázatokkal arányos védelméről is gondoskodnia kell. Ez utóbbi betartása érdekében meg kell határozni az információ-technológiával szemben támasztott követelményeket, és az annak használata miatt keletkező kockázatok felmérésére és kezelésére vonatkozó szabályokat (2007. évi CXXXVIII. törvény, 4. fejezet). A IV. fejezet 12§ 3. bekezdése kimondja, hogy a törvény hatálya alá tartozó cégek kötelesek rendszeresen, de legalább kétévente elvégezni és felülvizsgálni a cég informatikai kockázatelemzését. Ez segíti az előző pont teljesülését, mely szerint a cégnek olyan rendszer kell, hogy a birtokában legyen, amely naprakész, megbízható és képes vele gördülékenyen ellátni napi teendőit (2007. évi CXXXVIII. törvény, 4. fejezet 12§ 3. bekezdés). Ebben a törvényben a végrehajtandó tevékenységek részletei nem kerülnek ismertetésre, így ez még nem elég konkrét ahhoz, hogy mindenki számára egyértelműek legyenek az ezek alapján végrehajtandó utasítások. Éppen ezért szükség van további szabályozó dokumentumok létrehozására, amelyekben konkrétan ismertetésre kerülnek az elvárások és a végrehajtandó lépések. A következő alpontban ezek kerülnek ismertetésre. 4.2 A 42/2015-ös kormányrendelet Egy viszonylag frissen bevezetett rendeletről van szó, ami azt jelenti, hogy 2016. január elsején lépett hatályba, az addig érvényes 535/2013-as számú Kormányrendelet helyett. Ez az új rendelet a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szól. A továbbiakban ennek nagyvonalú bemutatására és a leglényegesebb elemeinek kiemelésére kerül sor. A 2§-ban, a már előbb bemutatott törvényből is ismerős kockázatokkal arányos védelemről való gondoskodás kerül említésre. A kockázatelemzés kétévente történő felülvizsgálata szintén megtalálható itt (42/2015 Kormányrendelet, 2§). A 3§ az informatikai rendszer biztonságával kapcsolatos szabályozási rendszer kialakításáról és annak szükséges lépéseiről szól. Először is az informatikai ellenőrző rendszer kiépítéséről, annak biztonságos működtetéséről és felügyeletéről kell gondoskodnia. Ennek keretein belül például a legfontosabb elemek visszakereshető azonosítását, szabályozott felhasználói
29
adminisztrációt, kritikus folyamatok naplózását, adathordozók szabályozott kezelését és vírusvédelem kialakítását kell megvalósítania. Ezeken kívül még rendelkeznie kell például fejlesztéssel kapcsolatos tervekkel, informatikai rendszerek folyamatos, biztonságos működését biztosító dokumentumokkal, a szolgáltatások folyamatosságát biztosító tartalék berendezésekkel, megoldásokkal és folyamatosságot akadályozó rendkívüli események kezelésére szolgáló tervvel. Ha a rendeletben felsorolt elemek a rendelkezésére állnak, akkor már az ezzel kapcsolatos teendők listájáról sok elemet kipiálhatnak (42/2015 Kormányrendelet, 3§). A 4§ a kötelezően rendelkezésre álló dokumentumokat taglalja. Ilyen dokumentumok például az adatokhoz történő hozzáférési rend, az alkalmazott szoftvereszközök jogtisztaságát igazoló szerződések és az üzleti szoftvereszközök teljes körű nyilvántartása (42/2015 Kormányrendelet, 4§). Az 5§ kimondja, hogy meg kell határozni az egyes munkakörök betöltéséhez szükséges ismeretet (42/2015 Kormányrendelet, 5§). Az 5/A §-ban található a tanúsítószervezettel szemben támasztott követelmények listája. Ha egy szervezet szeretne az MNB tanúsítószervezetei közé tartozni, akkor szükséges minimum 10 főt foglalkoztatnia és legalább 100 millió forintos szakmai felelősségbiztosítással rendelkeznie, csak két példát említve a hosszú listáról. Ezeknek a tanúsítószervezeteknek a feladatuk végzése során az úgynevezett zártsági definíciók szerint kell vizsgálódni. Ezek szerint az első a teljes körű védelem, amely azt jelenti, hogy a kialakított védelem valamennyi elemre terjedjen ki. A zártsági definíció a folytonos védelem. Eszerint a változó körülmények között is meg kell, hogy valósuljon a kialakított védelem (42/2015 Kormányrendelet, 5/A§). Az utolsó definíció, amely már a dolgozat során többször is említésre került, a kockázatokkal arányos védelem. Ennek lényege az, hogy a védelem költségei legyenek arányosak a fenyegetések által okozható károk értékével. Az 5/B § az előbb említett három követelménynek való megfelelés eseteit taglalja, így például megfelel a rendelet adott kritériumainak egy vállalat, ha az élesüzemi rendszer vírus és más rosszindulatú programok elleni védelme biztosított vagy a katasztrófa helyreállítási terv rendszeresen tesztelt (42/2015 Kormányrendelet, 5/B§).
30
Végezetül az 5/C §-ban a tanúsító szervezetek listájára való felvétellel kapcsolatos egyéb részletek olvashatók (42/2015 Kormányrendelet, 5/C§). Fontos hangsúlyozni, hogy a rendelet minden kritériumának meg kell felelnie egy vállalatnak ahhoz, hogy ténylegesen kijelenthető legyen, hogy a vállalat informatikai rendszerei megfelelően vannak kialakítva és kezelve. Ez egyáltalán nem egyszerű feladat, így javasolt tapasztalt szakemberek segítségét igénybe venni, ezáltal is biztosítva a teljeskörűséget és a hatékonyan működő kontrollok kialakítását. 4.3 Az MNB 1/2015-ös számú ajánlása az informatikai rendszer védelméről Az ajánlás bevezetésében található az indoklás, amiért ez a rendelet létrejött. Itt az a legfőbb ok, hogy a pénzügyi szervezeteknek fokozottan kell gondoskodniuk az általuk használt informatikai rendszerek védelméről, mert különös figyelmet kell fordítaniuk a rájuk bízott vagyon mellett még az ügyfelek adataira is (1/2015 ajánlás, MNB). Az ajánlás célja az, hogy gyakorlati útmutatást adjon a pénzügyi szervezetek számára a kockázatokkal arányos védelem kialakítására. Ugye ezt a kifejezést, hogy „kockázattal arányos” már olvashattuk a törvényben is, de csak a bemutatott rendeletben került sor ennek fogalmi meghatározására, de az, hogy ez a gyakorlatban konkrétan mit is jelent, még nem került kifejtésre. Ebben a dokumentumban kerül sor erre (1/2015 ajánlás, MNB). Mivel nincs két egyforma szervezet, így ebben az ajánlásban található javaslatok a pénzügyi kontrollokra csak szakmai vezető útmutatónak tekinthetők. Célszerű azonban ezek minél pontosabb megvalósítására törekedni, mert ez jelenti a törvénynek való tényleges megfelelést is (1/2015 ajánlás, MNB). A jogszabályok lehetővé teszik, hogy az informatikai tevékenység egy részét vagy egészét kiszervezzék, így ennek megfelelően az ajánlás a kiszervezés informatikai biztonsági vonatkozásaira is kitér. Fontos azonban kiemelni azt is, hogy a kiszervezett tevékenységért is a megbízó pénzügyi szervezet a felelős (1/2015 ajánlás, MNB). Az első fejezet az informatikai biztonsági szabályozásról és a szabályzati rendszerről szól. Ennek céljait és kialakításának alapelveit is bemutatja. Ezen belül kerül sor a kiszervezett tevékenységek szabályozására. Ez kimondja, hogy a kiszervezett tevékenységre vonatkozó 31
kötelező dokumentumok ebben az esetben sem hiányozhatnak, azonban azt, hogy ezeket a dokumentumokat melyik fél készítse el (a megbízó vagy a megbízott) nincs szabályozva. A kiszervezett tevékenységet végző cégnél a megbízó fél belső ellenőrei bármikor vizsgálatot végezhetnek a kiszervezett tevékenység végzésével kapcsolatosan. Szintén ugyanebben a fejezetben kap helyet a szabályzati rendszer kialakításának javasolt gyakorlati szempontjainak ismertetése. Így például (csak néhányat kiemelve) rendelkeznie kell olyan szabályzattal, amely tartalmazza az összes olyan dokumentum felsorolását, amely a jelenleg hatályos szabályzati rendszert alkotja, a szabályzatoknak közérthetőnek, könnyen áttekinthetőnek kell lenniük, valamint elő kell írniuk a rendszeres időközönként történő informatikai rendszer biztonsági kockázatainak felmérését is (1/2015 ajánlás, MNB, 1. fejezet). A második fejezet az informatikai kockázatelemzésről és az informatikai rendszer kockázatokkal arányos védelméről szól. Ebben meghatározásra kerül az informatikai biztonsági kockázatelemzés célja, ami az informatikai rendszer biztonsági hiányosságainak felmérése és a bevezetett, de nem jól működő kontrollok feltárása. A kockázatelemzés minősítése során a Felügyelet megvizsgálja, hogy a kockázatelemzést elvégzők minden területet megfelelően vizsgáltak – e meg, rendelkezésre áll -e minden dokumentum és teljes körűen értékelte -e az információbiztonsági hiányosságokat. Erről fontos tudni azt, hogy a kockázatelemzés módjárt nem írják elő, a lényeg az, hogy minden megfelelően legyen végrehajtva. A következő alpont segítséget nyújt azok számára, akik el fogják végezni a kockázatelemzési tevékenységet. Itt leírásra kerül egy olyan folyamat mind a pénzügyi szervezet, mind a kockázatelemzést elvégzők számára, amelyet javasolnak végrehajtani. Ezek után sor kerül a feltárt kockázatok kezelésére. Itt annyit köt ki, hogy az informatikai kockázatelemzés alapján indokolt védelmi kontrollokat ki kell alakítaniuk az informatika rendszer kockázatokkal arányos védelmének megvalósítása érdekében. Fontos, hogy a kockázatelemzést elvégzők nem felelősek azért, ha a feltárás során valamely kockázat nem került elő, vagy feltárásra került, de nem kezelték azt. Ez már mind a pénzügyi szervezet felelőssége. Az így elvégzett kockázatelemzést legalább két évente újra el kell végezniük, ezt mondja ki a kockázatelemzés felülvizsgálata című alpont. Ezek után tér ki részletesebben a kockázatelemzés elvégzése kiszervezett tevékenység esetében. Fontos hangsúlyozni, hogy
32
ebben az esetben az informatikai kockázatelemzés köre kiszélesedik a kiszervezésnek a pénzügyi szervezetre jelentett kockázatainak vizsgálatával (1/2015 ajánlás, MNB, 2. fejezet). A harmadik fejezet a törvényi előírás szerinti dokumentumokat mutatja be, és annak tartalmára vonatkozó javaslatokat tesz. Ez a felsorolás teljes egészében megtalálható a 42/2015-ös számú kormányrendeletben is, tehát ezen keresztül is remekül látszik az ajánlás és a rendelet, valamint a törvény közötti összekapcsolás. A dokumentumok teljes listája itt látható: -
üzletfolytonossági terv
-
mentési rend
-
a működtetésre és fejlesztésre vonatkozó szabályzati dokumentumok
-
alkalmazási rendszerek forráskódjai és az informatikai rendszerleírások
-
biztonsági osztályba sorolási rend
-
adatok hozzáférési rendje
-
adatgazda és rendszergazda kijelölését tartalmazó okirat
-
az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződések
-
a szoftvereszközök teljes körű és naprakész nyilvántartása
-
az egyes munkakörök betöltéséhez szükséges informatikai ismeretet meghatározó dokumentumok
Ezekkel minddel rendelkeznie kell a pénzügyi szervezetnek, azok tartalmának aktuálisnak kell lenniük és rendszeres felülvizsgálaton kell átesniük. Minden egyes dokumentum tartalmára vonatkozó előírásokról a rendeletben részletes leírás található (1/2015 ajánlás, MNB, 3. fejezet). A negyedik fejezet a kötelezően alkalmazandó informatikai biztonsági kontrollokat mutatja be. Az első szervezeti és működési rend, a folyamatba épített ellenőrzés szabályai. Ez kimondja,
hogy
az
informatika
alkalmazásából
fakadó
biztonsági
kockázatok
figyelembevételével a pénzügyi szervezetnek meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, valamint a folyamatba épített ellenőrzési követelményeket és szabályokat. A második az informatikai ellenőrző rendszer. Ez azt mondja ki, hogy a pénzügyi intézménynek ki kell dolgoznia az informatikai 33
rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetni kell. A harmadik az üzemi környezet elkülönítése és a változások kezelése. Ez annyit jelent, hogy a pénzügyi szervezetnek a napi feladatainak ellátásához szükséges egy olyan informatikai rendszer, ami lehetővé teszi az alkalmazási környezet elkülönítését a fejlesztési és tesztelési környezettől, valamint lehetővé teszi a változások megfelelő követését és kezelését, azok fenntartását. Az utolsó az archiválás. A jogszabály előírja, hogy a pénzügyi intézménynek olyan adatbázissal kell rendelkeznie, ami lehetővé teszi az adatok visszakereshetőségét és visszaállíthatóságát öt évre visszamenőleg (1/2015 ajánlás, MNB, 4. fejezet). Az ötödik fejezet az informatikai biztonsági rendszer kockázatokkal arányosan kialakítandó védelmi kontrolljait mutatja be és fejti ki azok főbb tartalmi kritériumait. Az első ilyen kontroll az informatikai rendszer elemeinek azonosításával kapcsolatos. Ez kimondja azt, hogy a pénzügyi szervezetnek gondoskodnia kell a legfontosabb elemek egyértelmű és visszakereshető azonosításáról. A következő kontroll a biztonsági rendszer védelméről szól. Az ajánlás itt azt írja elő, hogy gondoskodniuk kell az informatika rendszer önvédelméről, kritikus elemeinek zártáságról és teljes körűségéről, valamint ezek ellenőrizhetőségéről. A következő a felhasználói fiókok adminisztrációja. Ennek keretin belül biztosítani kell a szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációt. Tehát azonosítókhoz köti a rendszerhez való hozzáférést, és ezeket rendszeresen felülvizsgálja és naplózza. A következő kialakítandó kontroll a naplózási rend, a bejegyzések értékelése és az események kezelése. Itt írja elő azt, hogy a kritikus folyamatok eseményeit naplózni kell, valamint lehetőséget kell nyújtania a nem rendszeres események kezelésére. Az adatok védelme távadatátvitel során sem tartozik az elhanyagolható kontrollok kategóriájába, így tehát
a biztonsági
kockázatokkal arányosan gondoskodni
kell
a távadatátvitel
bizalmasságáról, sértetlenségéről és hitelességéről. A következő kontroll az adathordozók kezeléséről szól. Itt az adathordozók biztonságos és szabályozott kezelésével kapcsolatos előírások találhatók. Az utolsó kockázatokkal arányosan kialakítandó kontroll a vírusvédelemmel kapcsolatos. Ez kimondja, hogy gondoskodni kell különféle rosszindulatú programok és vírusokkal szembeni védelemről (1/2015 ajánlás, MNB, 5. fejezet).
34
A hatodik fejezetben az informatikai rendszer funkcionális alkalmasságának a követelménye kerül ismertetésre. Ennek lényege annyi, hogy a pénzügyi szervezetnek olyan informatikai rendszerrel kell rendelkeznie, amely alkalmas a napi feladatainak ellátására és nyilvántartásai naprakész és biztonságos vezetésére. A szoftvereknek szintén támogatniuk kell a megfelelő szintű nyilvántartást, valamint a pénzügyi szervezet informatika rendszereken keresztül történő közvetlen vagy közvetett csatlakozását a tevékenységével összefüggő országos informatikai rendszerekhez (1/2015 ajánlás, MNB, 6. fejezet). Az ajánlás ismertetetésével már teljessé vált a kép, hogy a befektetési szolgáltatóknak milyen kritériumoknak és hogyan kell megfelelniük. A rájuk vonatkozó dokumentumok ahogy haladnak a törvénytől az ajánlás felé, úgy lesznek egyre részletesebbek, viszont egyre inkább jellemző, hogy figyelmen kívül hagyják az alacsonyabb szintűek tartalmát. Ezért fordulhatott elő az (ami később, az esettanulmány bemutatása során is kiderül majd), hogy a vizsgált Társaság csak 2016 elején kezdett el az ajánlás tartalmának megvalósításával foglalkozni. Az ajánlással kapcsolatos észrevételeim az összefoglalásban lesznek ismertetve. 4.4 ISO 27001 Az ISO az angol „International Organization for Standardization” szó rövidítése. Ez egy független, nem kormányzati szervezet, amely 163 nemzettel áll kapcsolatban. Az itt jelen lévő szakértők segítségével törekednek arra, hogy olyan nemzetközi sztenderdeket hozzanak létre, amelyek támogatják az innovációt és segítséget nyújtanak a globális kihívások során. Ezek a sztenderdek segítenek, hogy a vállalat dolgai jól működjenek. Az ISO sztenderdek száma mára már 21000-nél is több, és szinte minden területet lefed (iso.org). Ebből szeretném kiemelni a 27001-es számú sztenderdet. Az ide tartozó szabványok segítséget nyújtanak a szervezetnek, hogy az informatikai eszközeiket biztonságosan tudják kezelni. Fontos hangsúlyozni, hogy ennek alkalmazása (mint a többi ISO szabványnak is) nem kötelező, csak opcionális. Viszont, ha valaki rendelkezik ISO tanúsítvánnyal, akkor az azon cégek számára, akik kapcsolatban állnak az ilyennel rendelkező céggel, akkor azok számára ez egyfelől megnyugvást jelent az általuk nyújtott termékek vagy szolgáltatások minősége felől (certificationeurope.com).
35
A 27001-es ISO szabvány alkalmazási területe az információ-biztonsági irányítási rendszer kialakítása,
bevezetése,
fenntartása
és
folyamatos
fejlesztése,
valamint
a
követelményrendszer kialakítása az információbiztonsági kockázatok felmérése és kezelése is (ISO 27001:2009). Ahhoz, hogy a fenti tevékenységeket hatékonyan lehessen ellátni, meg kell ismerni a szervezet környezetét. Ennek érdekében meg kell ismerni azokat a külső és belső tényezőket, amelyek lényegesek céljaik szempontjából, valamint megvizsgálni azt, hogy ezek hogyan hatnak az információbiztonsági irányítási rendszerétől elvárt eredmény elérésére szolgáló képességére. Továbbá a szervezetnek meg kell határoznia az információbiztonsági irányítási rendszer szempontjából fontos érdekelt feleket, és az érdekelt felek információbiztonságra vonatkozó követelményeit. Az alkalmazási terület kialakításához meg kell határoznia az információbiztonsági rendszer határait és alkalmazhatóságát is. Az információbiztonsági rendszert nem csak létre kel hoznia, hanem azt fenn is kell tartania, fejleszteni, és ezt az ISO 27001 nemzetközi szabvány követelményeivel összhangban kell végrehajtania (ISO 27001:2009). Miután ezeket megvalósította a vállalat, további hat területen kell különféle intézkedéseket hoznia annak érdekében, hogy a szabvány tartalma megvalósulhasson, és annak fenntartása hosszú távon is lehetséges legyen. Az első ilyen terület a vezetés. Nekik bizonyítaniuk kell az elkötelezettségüket az információbiztonsági irányítási rendszer tekintetében (ISO 27001:2009). Ha a vezetőség nem lenne elkötelezett, akkor már az elején elbukna a szabvány bevezetése, mivel a legfontosabb szintről hiányozna ebben az esetben a kellő motiváltság. Így a szervezet más tagjai hiába szeretnék megvalósítani, ha nincs támogatás a legfelsőbb szintekről (ISO 27001:2009). A második a kockázatokkal és lehetőségekkel kapcsolatos tevékenységek. Ennek keretin belül az információbiztonsági kockázatokat kell felmérni és megfelelően kezelni, valamint az ezzel kapcsolatos célok kitűzése és azok élérésnek megtervezése is ide tartozik (ISO 27001:2009).
36
A következő a támogatás. Ez egyrészt az erőforrásokkal rendelkezésre állásával kapcsolatos, másrészt a felkészültséggel, harmadrészt pedig a tudatossággal. Tehát akik részt vesznek a szabvány kritériumainak megvalósításában, azoknak nem elég felkészültnek lenniük, hanem a feladataikat tudatosan, a hatályos szabályokat ismerve kell elvégezniük. A kommunikáció is fontos szerepet játszik még a támogatáson belül. Előre tisztázni kell a belső és külső kommunikációs igények alapján a kommunikálandó dolgok körét és mennyiségét. Végezetül a dokumentálás körét is meg kell határozni és ezeket mindig teljes körűen és naprakészen kell tartani, tehát ha tartalmuk frissül, vagy bővül, akkor az dokumentációt is azonnal frissíteni kell (ISO 27001:2009). Így a folyamat támogatása biztosított minden olyan terület szempontjából, ami a gördülékeny megvalósuláshoz szükséges. A negyedik terület a működtetés. Ahhoz, hogy minden rendben megvalósuljon és utána jól működjön, szükséges a működtetés felügyeletét megtervezni. Ez azért kell, hogy teljesüljenek az előírt információbiztonsági követelmények. Továbbá ennek keretin belül kell az információbiztonsági kockázatok megfelelő időközönként történő felülvizsgálatát és azok kezelését is elvégezni (ISO 27001:2009). A következő kulcsterület a teljesítményértékelés. Ez is nagyon fontos szereppel bír, ugyanis ha nem kap elég figyelmet a tevékenység, nem elemzik ki és értékeli azt, akkor fennáll a kockázata annak, hogy valaki hanyag munkát fog végezni. Éppen ezért fontos nyomon követni, hogy az előre meghatározottakhoz képest ki, mit és mikor csinál, így elkerülve a színvonalon aluli teljesítményt. A teljesítmény javítása érdekében történik a belső audit elvégzése, valamint a vezetőségi átvilágítás is. Ez utóbbi esetében maguk a vezetők vizsgálódnak, hogy minden rendben zajlik -e (ISO 27001:2009). Az utolsó terület a fejlesztés. Ez a nemmegfelelőség és a helyesbítő tevékenységek elvégzését szolgálja. Folyamatosan információt kell gyűjteni a bevezetett kontrollokról, és azok értékelése után a szükséges fejlesztési lépéseket megtenni, így biztosítva a teljes körűséget és a folyamatos biztonság fenntartását (ISO 27001:2009). Látható, hogy az ISO egy nagyon széleskörű, éppen ezért nagyon sok felkészülést és elszántságot igényel a vállalat részéről. Azonban ez teljes mértékben kifizetődő a vállalat részére, ugyanis az ügyfelek szívesen fogják rájuk bízni adataikat, szívesebben lesznek a 37
vevőik vagy épp szállítóik, mivel tudni fogják, hogy az ISO tanúsítvánnyal rendelkező cég vigyáz adataikra, és minden tőle telhetőt megtesznek annak érdekében, hogy ez így is maradjon hosszú távon. Ebben a fejezetben bemutatásra kerültek a legfőbb szabályozó dokumentumok, amelyek a befektetési szolgáltató tevékenységet végző vállalatok informatikai kockázatkezelésével kapcsolatosak. Ez mind a következő fejezet megalapozását szolgálta, amely egy ilyen jellegű cég informatikai kockázatelemzésének lépéseit fogja részletesen bemutatni. Így tehát lehetőség nyílik az előbb bemutatott szabályok gyakorlatba való átültetésének bemutatására is.
38
5 ESETTANULMÁNY BEMUTATÁSA A vizsgált cég profiljának teljes körű bemutatása után kerül sor a projekt részleteinek, körülményeinek, majd magának a vizsgálatnak a bemutatására. Eközben, a bemutatás folyamatában ismertetem az ABT Hungária Tanácsadó Kft Senior tanácsadójával, Czabafy Dániellel készített mélyinterjúm kérdéseit, és az azokra kapott válaszokat, ugyanis ezek kiegészítik magát a bemutatást, és az csak az adott kontextusban nyernek értelmet. Dániel készítette el a kockázatelemzés legnagyobb részét, de én magam is részt vettem az interjúkon is és a jelentés kidolgozásában is. A tanulmány bemutatása során nem tüntethetem fel a vizsgált cég nevét az ügyfelek adatainak diszkrét kezelése miatt. 5.1 A vizsgált cég tevékenységének bemutatása Annak érdekében, hogy minél pontosabb legyen a kockázatelemzés eredménye, meg kell ismerni a cég profilját, valamint tevékenységének specialitásait. Jelen esetben a vizsgált cég egy független befektetési szolgáltató. Tevékenységi körében szerepel a pénzügyi eszközre végzett -
„megbízás felvétele és továbbítása,
-
megbízás végrehajtása az ügyfél javára,
-
sajátszámlás kereskedés,
-
portfóliókezelés,
-
befektetési tanácsadás,
-
pénzügyi eszköz elhelyezése az eszköz (értékpapír vagy egyéb pénzügyi eszköz) vételére vonatkozó kötelezettségvállalással (jegyzési garanciavállalás),
-
pénzügyi eszköz elhelyezése az eszköz (pénzügyi eszköz) vételére vonatkozó kötelezettségvállalás nélkül, és,
-
multilaterális kereskedési rendszer működtetése” (2007. évi CXXXVIII törvény, második rész, III. fejezet, 5.§)
Miután mindezen tevékenységét pénzügyi eszközre végzi, fontos tisztázni, hogy mik is tartoznak ebbe a csoportba. Erre is a törvényben található a válasz. Pénzügyi eszköz például 39
az átruházható értékpapír, a pénzpiaci eszköz, a kollektív befektetési forma által kibocsátott értékpapír, a hitelkockázat átruházását célzó származtatott ügylet és a különbözetre vonatkozó pénzügyi megállapodás is (2007. évi CXXXVIII. törvény, második rész, III. fejezet, 6.§). Ez egy olyan független befektetési szolgáltató, amely nem rendelkezik fiókhálózattal, hanem ehelyett ügynökhálózatuk van. Ennek kizárólagos szerződése van a Társasággal, ami azt jelenti, hogy más pénzügyi szolgáltatóval nem állnak kapcsolatban. Így szerzik az ügyfeleiket. Fontos még azt is megjegyezni, hogy ajánlások alapján dolgoznak. Jellemzően közepes és nagy befektetőket vagy intézményeket szolgál ki. A vizsgált cég ügyfeleivel első sorban telefonon keresztül bonyolítja ügyleteit (emailen is előfordul néha kapcsolattartás, de ez jellemzően csak telefonos megbeszélés után, ha történt tranzakció, akkor ilyen formában kapnak visszajelzést az ügyfelek) és számítógépen intézi az ügyfél által végrehajtani kívánt tranzakciókat. Ez utóbbira rendelkezésükre áll egy portfóliókezelő rendszer, ami össze van kötve egy bizonyos interfésszel. Ez azért hasznos, mert egy külföldi ügylet esetén azonnal meg tudják vásárolni az ügyfél akarata szerinti terméket. Ennek a befektetési szolgáltatónak ez is a specialitásai közé tartozik, hogy képesek szinte minden igényt kielégíteni, mert közel mindenhol rendelkeznek saját számlával, amin keresztül le tudják bonyolítani a kívánt ügyletet. Továbbá napi rendszerességgel tesz eleget a jelentési kötelezettségének, természetesen elektronikus formában. Tehát látható, hogy minden tevékenysége elektronikus platformon működik. Tehát ahhoz, hogy ezeket problémamentes tudja folytatni nap, mint nap, az informatikai rendszernek kell megbízhatóan működnie. Tehát a vállalat tevékenységében rejlő kockázatok közül ebben az esetben a legnagyobb az informatikai kockázat. Ez önmagában még nem biztos, hogy elég meggyőző lenne a befektetési szolgáltatóknak, hogy figyelmet fordítsanak az informatikai kockázatkezelésre, de, mint ahogyan az már a harmadik fejezetben is olvasható volt, a törvény gondoskodik róla, hogy rendszeresen, megadott időközönként mégis el legyen végezve. A továbbiakban ismertetve lesz ennek a vállalatnak az informatikai kockázatelemzése, egészen az ajánlatírástól a projekt lezárását jelentő akcióterv átadásáig.
40
5.2 A projekt körülményeinek bemutatása A legelső lépés általában a Társaság oldaláról történik. Így történt ez a bemutatni kívánt projekt esetében is. Ahogyan az a mélyinterjúból kiderült, a cégek hajlamosak megfeledkezni a kötelező jellegű informatikai kockázatelemzés elvégzéséről. Azonban a törvényi kötelezettség miatt eszükbe jut, de sok esetben már későn vagy akkor, amikor valamilyen felügyeleti szervezet felhívja a figyelmüket, hogy valami hiányzik. Ebben az esetben az MNB ellenőrzésétől és az ott talált hiányosságokból adódó büntetéstől való félelem miatt döntöttek úgy, hogy kockázatelemzést szeretnének igénybe venni az informatikai rendszereikre vonatkozóan. Ahogyan az már a harmadik fejezetben olvasható volt, törvény kötelezi a befektetési szolgáltatási tevékenységet végző vállalatokat a rendszeres kockázatelemzés elvégzésére. Erre az MNB ki is adott egy rendeletet, majd ahhoz kapcsolódóan egy ajánlást. Ez utóbbi tartalmazta a konkrétumokat: szabályzatok felülvizsgálatának időpontját, adatok tárolására vonatkozó előírásokat, stb. Az MNB ellenőrei, ha ellenőrzést végeznek az adott vállalatnál, nyilván a saját intézményük által kiadott útmutató szerint fogják azt végrehajtani. Ezek nem egyszerű követelmények, főleg olyan esetben nem, amikor az adott vállalat nem fordított kellő figyelmet erre a területre az elmúlt
években.
Bepótolni
természetesen
nem
lehet
az
elmaradt
szabályzat
felülvizsgálatokat, de el lehet indulni az informatikai szempontból is teljesen szabályos működés felé, tehát rendszeresíteni ezt a tevékenységet. Ez volt a célja ennek a vállalatnak is, és ehhez kértek segítséget. Dániel szerint fontos hangsúlyozni még azt is, hogy jelen esetben egy rendeletnek való megfelelésről van szó. A törvény rájuk vonatkozó részét ismerik, annak megfelelnek, azonban az MNB kiadványa „csak” rendelet. Ennek nem tulajdonítanak olyan nagy jelentőséget, mint a törvényeknek, nincs olyan tekintélye ennek a dokumentumnak a szemükben. De mivel az MNB-től tartanak (büntetések miatt), így mégis kénytelenek a rendelet tartalmát is ugyanolyan komolyan venni, mint a törvényét. Ez lehetett a kockázatelemzés igénybe vételének legfőbb motivációja. Az egyes területek vezetői igyekeznek saját területük fontosságát kihangsúlyozni az ilyen kockázatelemzések során, jellemzően azért, hogy a végső javaslat és az akcióterv az ő részlegének kedvezzen. Erről is kérdeztem Dánielt, hogy ilyen jellegű konfliktusok fennálltak –e, és ha igen, akkor itt melyik területnek kedvezett a végső javaslat. Erről annyit, 41
mondott, hogy a tulajdonos nem akar arra költeni, amire nem muszáj. Neki ez az elsődleges szempont, így őt valóban csakis az olyan megoldások érdeklik, amelyek valóban szükségesek ahhoz, hogy szabályosan működjenek. Ettől függetlenül az IT érdeke az, hogy minden biztonságosan működjön, még ezzel ellentétben az üzleti területeknek a legfontosabb szempont a gyorsaság. Ebből az következik, hogy még az IT mindent jóváhagyáshoz szeretne kötni és mindent ellenőrizni akar, addig az üzleti területek ezekből minél kevesebbet szeretnének. A probléma ott gyökerezik jelen esetben, hogy ez egy pici szervezet és 1 ember kénytelen több munkakört is betölteni, ebből adódóan előfordulhat, hogy extra jóváhagyásokra van szükség, hogy elkerüljék az összeférhetetlenséget. Ezeknek a kontrolloknak a megvalósítása extra terhet ró a munkavállalókra, mert különböző extra tevékenységeket kell elvégezniük a folyamataik során annak érdekében, hogy megelőzzék az esetleges visszaéléseket. Például ha egy ember tud utalást indítani és jóváhagyni is, akkor annak az a kockázata, hogy pénzügyileg megkárosíthatja a szervezetet. Ennek elkerülése érdekében szükséges ezeknek a feladatköröknek az elkülönítése. Az akciók kidolgozása során ez egy eléggé érzékeny kérdés is volt. A kontrollok egyértelműen kellenek, de ezzel párhuzamosan a működést nem lehet meghiúsítani. Irreális dolgokat nem várhatunk el tőlük, de vannak olyan előírások, amelyek alapján cselekedni kell. Egy középutat kell találni, ami minden terület számára elfogadható. Fenn kell tartani a biztonságos működést, de mindezt úgy, hogy beleférjen a munkaidőbe. A kockázatarányos védelem kialakítása a legjobb mindenki számára, mert ez indokolt költség. Ez annyit jelent, hogy a védelem megvalósítására ráfordított erőforrások nem haladják meg a fenyegetés bekövetkezte által okozható legnagyobb kárt. Az IT terület érdeke pontosan akkora összeget fordítani erre, mint amennyit kell, még a tulajdonosé, ahogyan azt már írtam is, csak annyit költeni, amennyit muszáj. Ezekkel a kérdésekkel összhangban felmerült az is, hogy a Társaságnál dolgozók, a különböző szinteken hogyan viszonyultak ehhez a projekthez. Több cégnél is tapasztalható, hogy a vezetőt/tulajdonost az érdekli, hogy ne büntesse meg őket az MNB, mivel ennek komoly pénzügyi és hírnév hatása is lehet. Elenyésző az, ahol a vezető/tulajdonosi szint jobbá akarta tenni a dolgokat. Középvezetői szinten (például az IT vezetőnél és Back Office vezetőnél) inkább jellemző az, hogy a folyamatok javításában érdekeltek. A beosztottak pedig nem szeretik még a legkisebb változásokat sem, mert jellemzően ezeknél a cégeknél kevesen vannak és nagyon túlterheltek (különösen a back Office jellegű munkakörökben).
42
Miután a vállalaton belül döntés született a kockázatelemzés elvégzéséről, feltérképezték az ezzel foglalkozó cégeket, és kiválasztottak hármat (köztük az ABT Hungária Tanácsadó Kft-t is), akiknek kiküldték a felhívást erről a munkáról. Ezt a módszert megkereséses felhívásnak nevezik. Ebben megadtak egy határidőt, ameddig várják az ajánlatok beérkezését (Az ajánlat tartalmáról még később részletesebben is szó lesz). Ez alapján az ABT-re esett a választásuk, így megkezdődhetett a tényleges kockázatelemzés ennél a vállalatnál. 5.3 A kockázatelemzés fő lépései Ebben a bekezdésben kerülnek bemutatásra a legfőbb lépések, amelyek mentén a kockázatelemzés végre lett hajtva. A következő lépések kerülnek kifejtésre: 0. lépés: Ajánlatírás 1. lépés „Kick off” prezentáció 2. lépés: Kockázati koordináták meghatározása 3. lépés: IT kontrollvizsgálat 4. lépés: BIA 5. lépés: Jelentés és akcióterv összeállítása 6. lépés: Záró prezentáció Nulladik lépés A munka megkezdése előtt, ahogyan az már olvasható volt, el kell készíteni egy ajánlatot. Ez tekinthető akár a kockázatelemzés nulladik lépésnek is. Az ajánlatírás azért tekinthető nulladik lépésnek, mert megírása nélkülözhetetlen, azonban a tényleges kockázatelemzés elvégzéséhez nem járul hozzá. Természetesen lehetséges az is, hogy az ajánlat elutasításra kerül, tehát ebben az esetben nem tekinthető a kockázatelemzési tevékenység elkezdettnek. Erre azért van szükség, hogy a vizsgálni kívánt cég vezetősége megismerhesse a tanácsadók által végezni kívánt munkát. Ez az ajánlat tartalmazza a szolgáltatás díja mellett a projektben részt vevő személyeket és önéletrajzukat, rövid cégtörténetet és az alkalmazni kívánt módszertant is. Ez utóbbihoz szükséges, az adott helyzetet alaposan felmérni, hogy az adott ajánlat valóban teljeskörű legyen. Kérdésemre Dániel elmondta, hogy az ABT-nek már volt ilyen típusú munkája, így ezek, mint referencia feltüntetésre kerültek az ajánlatban. Ez egy fontos szempont lehet a döntésnél az ügyfeleknél. A kínált módszertan kidolgozása nem vett 43
igénybe sok időt, mivel az eddig elvégzett, hasonló jellegű munkák során ez már kialakult, így nem volt szükség egy új módszertan kidolgozására ennek a munkának az elvégzéséhez. Az ajánlatírás azonban mégis tartalmazott egy kis újdonságot. A vonatkozó MNB rendeleteket már ilyenkor meg kellett ismerni, hogy az ajánlatban az ilyen jellegű utalások is fel legyenek tüntetve. Ezután az ajánlat beküldésre került. A cég átgondolhatja a beérkezett ajánlatok alapján, hogy melyik elégíti ki a lehető legjobban az ő vállalkozásának igényeit, valamint természetesen a szolgáltatás díja is nagyon fontos szempont a kiválasztási folyamatban. Mindezen szempontokat figyelembe véve választásuk az ABT-re esett. Első lépés Ezek után indultak meg az egyeztetések, és megbeszélésre került az első találkozó, azaz a „Kick-off” prezentáció időpontja. Ezen az interjún az ügyvezető vett részt és az operatív részletekről zajlott a megbeszélés. Bemutatásra kerültek a projekt fő lépései, valamint sor került a szervezet részéről szükséges erőforrások meghatározására, azaz a releváns területeken dolgozó kulcsszemélyek kijelölésére. Ennek folyamatáról és a kulcsterületekről is Dánielt kérdeztem: az ügyvezető tudott ebben segíteni, mivel ő ismeri a vállalatot és az ott dolgozókat. Fontos, hogy minden területről olyan emberre van szükség, aki átlátja a folyamatokat és azok kapcsolódásait a területen kívül. Ez úgy zajlik, hogy ismertetésre kerül a végrehajtani kívánt folyamat vagy a megismerni kívánt információk, majd az ügyvezető javasol valakit az érintett területről. A kulcsterületek a következők voltak: -
IT,
-
Ügyvezető/tulajdonos,
-
Front Office,
-
Mid Office,
-
Back Office,
-
Kockázatkezelés (vagy Compliance).
A Front Office feladatai közé tartozik az ügyfelekkel való konkrét ügyletek lebonyolítása. Ez a részleg, amely közvetlen kapcsolatba kerül az ügyfelekkel és általuk kívánt tranzakciókat hajtanak végre. A mid Office feladat a front Office-on dolgozó személyek munkájának adminisztratív támogatása. Tehát ők azokat az embereket támogatják, akik közvetlen kapcsolatba vannak az ügyfelekkel. A Back Office feladata a háttérben zajló tevékenységek 44
menedzselése, így például a kifizetések teljesítésének ellenőrzése, HR feladatok ellátása, folyamatok működésének ellenőrzése, felügyelése, illegális tevékenységek felfedése vagy megakadályozása (Butcher, 2016). A kockázatkezelés (Compliance) vagy belső ellenőrzést végez, vagy a pénzügyi és/vagy törvényi megfelelésről gondoskodik. Fontos hangsúlyozni, hogy az interjúk nem személyhez kötöttek, hanem az adott területet szükséges látni. Szintén még a „kick off” prezentáción kerül sor a határidők megállapítására, valamint ha szükséges mérföldkövek felállítására. Ez utóbbi megállapítására jelen esetben nem került sor a projekt rövidsége miatt. A záró prezentáció dátuma tekinthető talán az első és utolsó mérföldkőnek egyben. Második lépés Az ügyvezetővel/tulajdonossal egy interjú keretén megállapításra kerülnek a kockázati koordináták, azaz a bekövetkezési valószínűségek és a hatásokhoz tartozó értékek. A valószínűségek értékei állandónak tekinthetők a legtöbb projekt esetében, csak nagyon ritkán fordul elő az, hogy ezen változtatnának. Ezt úgymond tényként kezelendő. Ez a következő táblázatban látható: Bekövetkezési valószínűség
Kizárt Nem valószínű Lehetséges Valószínű
N/A 0-10% 10-50% 50% <
2. táblázat: Bekövetkezési valószínűségek táblázata Tehát ha egy esemény bekövetkezési valószínűsége 0 % és 10 % között mozog, akkor az nem valószínű, hogy be fog következni. Ha már 10 % és 50 % közötti a valószínűség, akkor azt már lehetséges bekövetkezésnek hívják, valamint 50 %-os bekövetkezés valószínűség esetén már nagyon valószínű, hogy be fog következni az adott esemény. A színek is jelzik ezeknek a számoknak súlyosságát. Minél inkább közelít a piros tartományhoz, annál nagyobb a lehetősége annak, hogy az esemény bekövetkezik, így veszélyeztetve a vállalat szokványos működését.
45
Ezen kívül a hatások is megállapításra kerültek a következő kategóriákban: -
működési hatás,
-
hírnév hatás,
-
szabályozó és jogi hatás.
-
közvetlen anyagi hatás,
Három szinthez kellett hozzárendelni a fentebbi kategóriákból eseményeket. Egy bizonyos esemény bekövetkezésének hatása lehet alacsony, közepes, vagy jelentős. A következő táblázat mutatja az általuk megadott csoportosítást: Eredendő hatás
Működési hatás a kereskedésre
Csekély
4 órán belül visszaáll a normál működés
Közepes
1 napon belül visszaáll a normál működés
Jelentős
1 napnál tovább tart a normál működés visszaállása
Szabályozó és Közvetlen anyagi jogi hatás kár Vonatkozó Az ügyfelek jogszabályoknak nem szereznek és felügyeleti tudomást a szervek X Ft alatt problémáról, előírásainak való elhanyagolható megfelelés nem hírnév hatás. sérül. Vonatkozó Az ügyfelek jogszabályoknak vagy partnerek és felügyeleti egy része szervek tudomást előírásainak való X és Y Ft között szerez a megfelelés kis problémáról, mértékben vagy negatív hírnév átmenetileg sérül. hatás. Lehetséges jogi szankciók. Vonatkozó jogszabályoknak és felügyeleti Széles körben szervek elterjedő előírásainak való negatív Y Ft felett megfelelés jelentős információk a mértékben vagy Társaságról. tartósan sérül. Várható jogi szankciók. Hírnév hatás
3. táblázat: Üzleti hatások táblázata A vizsgált cég úgy ítélte meg, hogy számára igazán nagy problémát csak az egy napon túl megoldódó problémák jelentenek, ugyanis kötelező napi jelentéseit feltétlenül be kell küldenie az MNB részére. Az 4 órán belül megoldódó problémák csekély hatással bírnak, ugyanis ez nem akadályozza a napi jelentés beküldését, valamint az ügyfelek által végrehajtani kívánt ügyletek is hamar lebonyolításra kerülnek. Így tehát ez a hírnév hatást 46
sem befolyásolja. Az egy napon belül megoldódó problémák nem jelentenek olyan nagy problémát, de azért előfordulhat, hogy késedelmesen érkezik be aznap az MNB-hez a jelentés és szankciót szab ki ezért. Az ügyfelek nem tudják gördülékenyen lebonyolítani ügyleteiket, így azok körében, akik éppen aznap szerettek volna ügyletet bonyolítani, negatív hírnév hatás keletkezhet. Ezek miatt már az anyagi kár is jelentősebb, mint az előző esetben. Az utolsó, jelentős hatás kategória a legrosszabb. Ilyenkor már szinte teljesen biztos, hogy az ügyfelek széles körében terjed el negatív vélemény a cégről, valamint a büntetést is szinte teljesen biztosra vehetik, így ezáltal elérve a legmagasabb anyagi kár kategóriáját is. Itt szintén a piros felé közeledve növekszik a hatás nagysága. Szintén ebben a lépésben került még sor az ügyvezetőkkel a releváns fenyegetések meghatározására is. Harmadik lépés A második lépéssel párhuzamosan kerül sor az IT kontrollvizsgálatra. Működésük az ISO27001-es szabvány szerint üzemel. Több olyan szabály is volt, amely a vállalkozás mérete miatt nem volt releváns, így először ki kellett választani a relevánsakat, és azok alapján elvégezni a vizsgálatot. Így fény derült arra, hogy azok a kontrollok, amelyeket működtetniük kellene valóban működnek –e, és ha igen, akkor azok helyesek –e és hogy ezek valóban ellátják azokat a feladatokat, ami eredetileg a rendeltetésük. Mivel ez nem egy audit, a kontrollok hatékonyságát nem teszteltük, megbíztunk a társaság adott területeinek felelőseinek, amit mondtak. Egy audit elvégzése során mintavételezéssel vagy teszteléssel a kontrollok hatékonyságáról is meg kellene győződni. Negyedik lépés Negyedik lépésként kerül sor a „BIA”-ra. Ez egy angol mozaikszó, ami a „Business Imapct Analisys” kifejezés kezdőbetűiből származik. Ezt magyarul üzleti hatáselemzésnek nevezik. Ezen az interjún az Ügyvezető/Tulajdonos és a főbb területek vezetői vettek részt. Feltételeztem, hogy mivel ilyen magas beosztású személyekről van szó, elég nehéz lehetett velük az időpont egyeztetés. Dániel ezt megerősítette, és elmondta, hogy mi általában teszünk javaslatot időpontokra, ezt teljesen nekik kell eldönteniük, mivel az ő belső 47
feladataik kerülnek eltolásra az interjú miatt. Fontos megjegyezni, hogy ez egy igen hosszú folyamat,
ami
nagyban
függ
a
folyamatok
komplexitásától
és
a
szervezeti
munkamegosztástól. Az ilyen interjúk időtartama minimum fél munkanap (4 óra), de ennél általában szinte mindig több időre van szükség. Természetesen mi időpontügyileg teljesen rugalmasak és alkalmazkodók vagyunk. Ennek első részében az IT-val historikus adatok alapján kategorizálásra kerülnek a fenyegetések bekövetkezési valószínűségeik alapján, a már előzőleg meghatározott bekövetkezési valószínűségek táblázatának használatával. Második részben történik annak a felmérése, hogy ha az adott fenyegetés bekövetkezik, annak milyen hatása van. Itt kell felhasználni a már előző lépésben meghatározott üzleti hatások táblázatát. Egy egyszerű példán keresztül kerül bemutatásra az adott fenyegetéshez tartozó hatás és valószínűség meghatározása. Kockázathoz kapcsolódó fenyegetés Az iroda használhatatlanná válik tűz, árvíz, extrém időjárás, csőtörés vagy terrorfenyegetés miatt (2-3 nap kiesés)
Bekövetkezési valószínűség
Valószínűség indoklása
Nem valószínű
Az épületben működő cukrászda és étterem növeli a tűz kockázatát, az irodaház tűzvédelmi kontrolljai megfelelőek.
Eredendő hatás
Jelentős
Hatás leírása Az iroda különféle külső hatások miatti használhatatlanná válása esetén a Társaság nem tudja fenntartani a kereskedési
4. táblázat: Bekövetkezési valószínűség és eredendő hatás megállapítása
A fenyegetés ebben az esetben az iroda használhatatlanná válása. Ez azért okoz problémát, mert a cégnél a távmunka nem megoldott, a vezetőség kivételével nem rendelkezik más céges laptoppal. Éppen ezért szükséges a munkavégzéshez személyesen megjelenni az irodában. De ha bármilyen vis major jelenség vagy baleset következik be és annak következtében az iroda használhatatlanná válik, akkor az a tevékenység folytatását jelentősen befolyásolja az előbb említett okok miatt. A második lépésben megállapított kockázati koordináták közül most az üzleti hatások táblázatára lesz szükség. Tegyük fel, hogy egy bizonyos fenyegetés hatása a működésre a hírnévre és az anyagi kárra nézve csekély, de a jogi hatás jelentős, akkor az úgynevezett „high water mark” elve szerint a legmagasabbat kell megadni végső, összesített hatásként. Tehát a fenti példa esetében az
48
anyagi kár jelentős, így nem is érdemes a további hatásokat vizsgálni, mert ennél magasabb kategória már nincs, és az előbbi elv szerint a legmagasabbat kell feltüntetni végső hatásként. Azonban a bekövetkezési valószínűség a nem valószínű kategóriába esik. Attól függetlenül, hogy az épületben egy cukrászda működik (növelve ezzel a tűz kockázatát) az irodaház tűzvédelmi kontrolljai megfelelők, ezért sorolható a nem valószínű kategóriába a bekövetkezés. Itt fontos megemlíteni a különbséget az eredendő és nem eredendő (maradvány kockázat) hatás között. Eredendő hatásnak nevezik azt, amikor a vizsgálat során nem lesz figyelembe véve az intézkedés, ami az adott fenyegetés bekövetkezése esetén csökkentené a kockázatot. Például ha kigyullad a szerverszoba, és a szoba közelében pont ilyen célra el van helyezve egy poroltó, akkor, ha gyorsan cselekszik az éppen ott lévő egyén, akkor jelentősen csökkentheti a kárt. Ha nem rendelkezik ilyennel, akkor valószínűleg leég az egész szoba, de lehet, hogy a többi helyiségben is kár keletkezik. Tehát, ha az első esetben keletkező kár értéke lenne figyelembe véve a hatáselemzésnél, akkor a nem eredendő hatást vennénk figyelembe, még a második esetben az eredendő hatást. Azért érdemesebb mindig az eredendő hatással dolgozni, mert így egységesebb összkép alakul ki a hatásokról. Túl nagy lehet a differencia különböző fenyegetések esetén, ha az egyik helyen rendelkezik kontrollal a vállalat a másik helyen pedig nem. Az eredendő kockázat a következőképp alakul ki: [valószínűség (x) eredendő hatás = eredendő kockázat]. A következő ábra szemlélteti az eredendő kockázat megjelenési helyét (ábra forrása: Ivanyos, 2013)
49
7. ábra: Eredendő és maradvány kockázatok Ötödik lépés Miután már minden, a kockázatelemzés szempontjából releváns információ rendelkezésre áll, össze lehet állítani a jelentést, és az ez alapján készülő akciótervet. A jelentés tartalmazza az alkalmazott módszertant, a legfőbb fenyegetéseket, a BIA során megállapított hatásokat és végül a kockázatokat. Ez utóbbi egy kockázati hőtérkép segítségével van szemléltetve. Azonban ahhoz, hogy ezt össze lehessen állítani, szükséges a megállapított
bekövetkezési
valószínűségek
és
hatások
alapján
megállapítani
a
kockázatokat. A következő példán keresztül kerül szemléltetésre ennek a folyamata. Kockázathoz kapcsolódó fenyegetés
Bekövetkezési valószínűség
Valószínűség indoklása
Az épületben működő cukrászda Árvíz, extrém és étterem növeli a időjárás vagy tűz tűz kockázatát. De miatt sérülnek a Nem valószínű az irodaház szerverek (1-2 hét tűzvédelmi kiesés) kontrolljai megfelelőek.
Eredendő hatás
Hatás leírása
Kockázati szint
Jelentős
A szerverek több napos kiesése esetén a Társaság nem tudja fenntartani a kereskedési tevékenységét. A működésük tejes egészében leállhat. Jelentős szabályozói és jogi következmények, negatív hírnév hatás.
Mérsékelt kockázat
5. táblázat: Példa a kockázati szintek megállapítására
50
Látható, hogy az extrém időjárás, árvíz vagy tűz nem valószínű, hogy bekövetkezik, ennek ellenére mégis jelentős hatással bír. Ennek megfelelően a lent látható hőtérképen a citromsárga kategóriába fog kerülni. De hogy ez mit is jelent? Az ábra alatt láthatók a tartományok leírása és jellemzőinek bemutatása.
8. ábra: Kockázati hőtérkép Látható, hogy kettő koordináta tengely van: az egyiken a hatás, a másikon a valószínűség helyezkedik el, így öt kockázati kategória alakul ki: -
elhanyagolható,
-
csekély,
-
közepes,
-
mérsékelt,
-
magas
51
Ennek magyarázatát az alábbi táblázat szemlélteti: Szín
Leírás
Piros
Magas kockázat
Narancs-sárga Közepes kockázat Sárga
Mérsékelt kockázat
Általános iránymutatás Ezen a területen szereplő megállapítások kifejezetten kritikusak és azonnali megoldási intézkedést igényelnek. Ezen a területen szereplő megállapítások súlyosak és szükséges terveket készíteni a megoldásukra. Ezen a területen szereplő megállapítások intézkedések tervezését igénylik.
Kék
Alacsony kockázat
Ezekre a megállapításokra is szükséges figyelmet fordítani, azonban a magasabb kockázatú megállapítások megoldásáig nem kell velük foglalkozni, illetve elfogadhatóak.
Zöld
Elhanyagolható kockázat
Ezen a területen szereplő kockázatok elfogadhatóak
6. táblázat: Kockázati kategóriák Lényegében azok a fenyegetések, amik a piros kategóriába esnek azonnali intézkedést igényelnek. A narancssárga kategóriába tartozókat azonnal meg kell tervezni, még a sárgával jelölteket ráér ezen első két kategóriába tartozó fenyegetések orvoslása után is megtervezni. A kék színnel jelölt fenyegetések alacsony kockázatot jelentenek, így azok megtervezésével ráérnek később is foglalkozni, még az utolsó kategóriába tartozó fenyegetésekkel megtehetik, hogy nem foglalkoznak. (forrás: ABT Hungária Tanácsadó Kft belső anyagai és mélyinterjú) Hatodik lépés Miután minden elkészült, az eredmények prezentálásra kerültek. Az eredmény fogadtatásáról Dániel elmondta, hogy minden alkalommal meglepődnek, amikor a prezentálásra kerül a sor. Ez azzal indokolható, hogy az elvégzett projekt nagyon összetett volt, ami annyit jelent, hogy az egyes területek közötti kapcsolatok komplexitása miatt nagyon nehezem átlátható a vezetők számára. Az eredmények természetesen rálátást biztosítanak ezekre a komplex folyamatokra. Ez minden alkalommal meglepetést okoz számukra, mert azáltal, hogy a kockázatelemzés során végig megyünk ezeken a folyamatokon, biztos, hogy a végeredmény olyan lesz, amilyen nem lett volna, ha ők maguk végezték volna el az elemzést. A vezetők nem feltétlenül látnak bele más munkájába, és így amikor eléjük tárunk egy problémát, csak akkor látják a kapcsolatokat. Az elég ritkán fordul
52
elő, hogy egy olyan terültre világítunk rá, amelyre nincs rálátásuk, de ami viszont gyakori az az, hogy felismerik, hogy egy-egy problémának valójában milyen nagy súlya van. Szintén kérdésemre Dániel elmondta azt is, hogy a prezentálás során a Tulajdonos és a főbb területek vezetői tettek fel kérdéseket, tehát nem egy egyoldalú, hanem egy interaktív bemutatóra került sor. Ez azért is kell, hogy így legyen, mert a kockázatelemzés kimenetele az akcióterv, amelyet a Társaságnak meg kell értenie ahhoz, hogy az abban szereplő akciókat megfelelően végre tudják hajtani. Az akciótervben vannak feltüntetve az észrevételek és néhány esetben a mi javaslataink is. Ezen kívül még a vizsgálat során feltárt hiányosságok is priorizálásra kerülnek kockázat alapján ugyanitt. Jelen esetben még annyi pluszt tartalmazott az akcióterv, hogy a hiányosságokhoz a kapcsolódó MNB követelményeket is hozzárendeltük. Az esetek többségében nincs rálátásunk az akcióterv megvalósulására. Ezek alól kivételek azok a Társaságok, ahol kérik a kockázatelemzés frissítését vagy esetleg felülvizsgálatát. 5.4 Konklúzió Azzal, hogy elkészült az akcióterv a kockázatelemzés nem tekinthető befejezettnek. Először is a tulajdonosnak/ügyvezetőnek egy fontossági sorrendet kell felállítania, majd azokhoz felelősöket és határidőket kell hozzárendelnie. Addig, amíg ez nem készült el, egyenértékű a kockázatelemzés azzal, mintha el sem kezdték volna. De amint a priorizálás és a felelősök kijelölése megtörtént akkor már fel tudnak mutatni valamit, hogy igenis tisztában vannak az ő informatikai rendszerüket fenyegető veszélyekkel, és már folyamatban van ezek kezelése. Dánielt arról is kérdeztem, hogy hasonló projekt vállalása esetén lenne –e valami, amin változtatna a mostani tapasztalatok alapján és az a véleménye, hogy minden projekt egyedi, de a szerzett tapasztalatokat nagyon jól lehet kamatoztatni, valamint a felmerülő problémák megoldása később sokat segíthet a hasonló problémák elkerülésében. Például az elöregedett szervereknek nagyobb hatása lehet, mint annak, hogy nincs jól kialakított beléptető rendszerük. Így az esettanulmány végén még fontos az összeférhetetlenség kérdéséről pár szót ejteni. Ennél a Társaságnál az ABT Hungária Tanácsadó Kft már nem végezhetne IT auditot. Ez azért van így, mert lényegében akkor a saját munka kerülne felülvizsgálatra. Ez 53
természetesen nem lenne igazságos, így ezért szükséges egy másik, Cégünktől független IT auditot elvégezni. A Magyar Könyvvizsgálói Kamara szabályzata a könyvvizsgálók magatartásáról is tartalmaz összeférhetetlenségre vonatkozó szabályokat. Ez röviden annyit jelent, hogy ugyanazon ügyfélnél, ugyanazon időszakra a könyvelést és a könyvvizsgálatot nem végezheti ugyanaz a személy vagy cég (mkvk.hu). Teljesen ugyanez érvényes az Informatikai audit és az informatikai kockázatkezelés esetében is. Ez tehát annyit jelent a gyakorlatban, hogy az ABT Hungária Tanácsadó Kft már nem végezhetne informatikai auditot a Társaságnál, ugyanis az összeférhetetlenséget eredményezne. Fontos még arról is írni, hogy mik lehetnek a következő lépések a Társaság számára azon kívül, hogy teljesítik az akciótervet. Az ISACA ajánlásaiból kiindulva fontos a végrehajtott tevékenységet monitorozni, a kockázatelemzést periodikusan felülvizsgálni és frissíteni, és így ezáltal elérhetik, hogy az informatikai rendszereik biztonságosak, megbízhatók és védettek legyenek. Az ISACA által felvázolt IT kockázatmenedzsment lépései az itt bemutatott példában is nagyon szépen kirajzolódnak a kockázatok azonosításának folyamatán, a BIA-n és kontrollvizsgálaton keresztül az akcióterv létrehozásig.
54
6
ÖSSZEFOGLALÁS
Először a kockázat fogalmáról, fajtáiról, és ezen belül is az informatikai kockázatokról volt szó a dolgozatban. Ezek után a kockázatfelmérés köre, folyamata és a kockázatkezelés egyik módja került bemutatásra. A befektetési szolgáltatókat érintő legfőbb szabályozó dokumentumok áttekintése után pedig egy esettanulmány lett ismertetve az informatikai kockázatkezelés gyakorlatáról. Végezetül észrevételeimet, megjegyzéseimet szeretném bemutatni ebben a fejezetben. Látható volt, hogy az informatikai kockázatkezelést szabályozó dokumentumokból több is van, ami lényegében ugyanazt tartalmazza, csak minél jobban haladunk „lefelé”, annál inkább kifejti egy-egy jogszabály részletes jelentését. Ez véleményem szerint nagyon is jó, mivel mindenki ismeri a törvény rá vonatkozó részét, tehát ha ott említésre kerül egy szükséges intézkedés, akkor annak további részleteit a rendeletben találhatja meg, sőt, gyakorlati útmutatásként az ajánlást is figyelembe veheti. Én úgy ítélem meg, hogy a befektetési szolgáltatók számára minden olyan dokumentum adott, amely segítségével a teljes körű kockázatelemzést a saját vállalatukra vetítve végre tudják hajtani. Esetleg annyit lehetne változtatni rajta, hogy az ajánlást valamilyen módon az érintett cégek fókuszába kellene helyezni, hogy tudják merre induljanak. A törvény tartalma alapján nemigen tudnák eldönteni, hogy mi legyen az első lépés és konkrétan mit vizsgáljanak a kockázatelemzés során, de az ajánlás ebben hatalmas segítséget nyújt mind a vállalatoknak, mind a tanácsadóknak. A struktúra kiértékelése után azonban még felmerült bennem egy kérdés a tartalommal kapcsolatban: valóban elég –e ez így? A vállalatok általában csak akkor végeznek el egy hasonló kockázatelemzést, ha muszáj, jelen esetben két évente. Az idő alatt pedig rengeteget fejlődnek a rendszerek, és nagyon gyorsan elavulhatnak dolgok. A biztonság kérdéséről nem is beszélve. Hackerek, zsarolóvírusok és egyéb külső fenyegetések leselkedhetnek rájuk. Ha a kockázatelemzést rendszeresítenék és legalább évente felülvizsgálnák ezt, akkor egyrészt rutin válna a folyamatból, másrészt az ügyfelek adatait sokkal nagyobb biztonságban tudhatnák a rendszeres és tudatos kockázatkezelés miatt, harmadrészt a felkészültség még akár versenyelőnyhöz is juttathatja a céget a versenytársakkal szemben. Például, ha egy 55
fenyegetés bekövetkezik, akkor a kockázatkezelés köréből ismerős válaszok és reakciók segítségére lenne szükség. Ha ezek nincsenek kidolgozva vagy egyáltalán nem is léteznek, az elhúzódó problémamegoldás olyan súlyos hatással lehet a szervezetre, és ezáltal akár a tevékenység folytatását is veszélyezteti. Mivel a befektetési szolgáltató tevékenységet végzők informatikai kockázatelemzéséhez kapcsolódóan minden főbb szabályozó dokumentum említésre került, így a dolgozatom akár segítség is lehet a kezdő pénzügyi szolgáltatóknak vagy a fentebb említett törvény, rendelet és ajánlás hatálya alá tartozó vállalatoknak, hogy hogyan is lássanak neki ennek a feladatnak, vagy mire kell felkészülniük, ha ők is kockázatelemzést szeretnének végrehajtani. Az MNB 2015.02.25-én kiadott 1/2015-ös számú ajánlásával kapcsolatos észrevételeimet is szeretném megosztani. A legelső és legszembetűnőbb hiba az, hogy az 535/2013-as számú Kormányrendelet, amelyre hivatkozik, már hatályon kívül van. Helyette a dolgozatomban bemutatott 42/2015-ös számú Kormányrendelet van már érvényben 2016 január 1-től. A 2003. évi LX törvény sincs már hatályban, helyette a 2014. évi LXXXVIII törvény lépett. Az ajánlás hatályának hivatkozása azonban egyik esetben sem került frissítésre, és egyéb közleményt sem adtak ki ezzel kapcsolatban. Továbbá az ajánlás bevezetésében leszögezi, hogy az ajánlás hatálya alá tartozókat továbbiakban egységesen pénzügyi szervezet néven fogja említeni, de később, több helyen is, pénzügyi intézményként hivatkozik vissza az alanyokra. Itt fontos tisztázni a pénzügyi intézmény fogalmát. A Hpt-ben azt találjuk, hogy pénzügyi intézmény csakis és kizárólag a hitelintézet és pénzügyi vállalkozás. Hitelintézet lehet bank, szakosított hitelintézet vagy szövetkezeti hitelintézet (Hpt.). Így tehát látható, hogy a befektetési szolgáltatási tevékenységet végzők nem tartoznak a pénzügyi intézmények közé. Kérdés az, hogy akkor, amikor így hivatkozik a rendelet, csakis és kizárólag a pénzügyi intézményekre vonatkozik az adott pont, vagy csak nem következetesen használták az ajánlás írásakor ezt a kifejezést? Javaslom, hogy a fenti problémák alapján módosítsák az ajánlás tartalmát, hogy az valóban olyan tartalommal rendelkezzen, amely a jelenleg hatályos jogszabályokon alapul. Javasolni szeretném továbbá azt is, hogy az eredendő kockázat képlete rögzítésre kerüljön a tankönyvekben, tehát a [valószínűség] x [eredendő hatás] = [eredendő kockázat]. A gyakorlatban ugyanis a már bemutatott képlet szerint történik annak kiszámítása, és így talán 56
könnyebben értelmezhető lenne mindenki számára a gyakorlatban használatos módszerek értelmezése. A dolgozat a kockázatkezelést végig a vállalat érdekei szempontjából vizsgálta. Azonban az tény, hogy a kockázatkezelés során létrehozott kontrollokat a munkavállalóknak kell betartani, és annak megfelelően cselekedni. A kérdés az, hogy meddig hajlandók ezt elviselni? Ha jobban belegondolunk, akkor itt egy érdekütközés található. A munkavállalók gyorsan szeretnék napi feladataikat elvégezni, még a munkaadó számára a biztonság az első. Akkor most kinek legyen igaza? Kénytelenek egyfajta kompromisszumot kötni, és megtalálni az arany középutat. A 2016-os TDK dolgozatomban vizsgáltam, hogy jelenleg mi a véleményük a dolgozóknak az informatikai kockázatkezelés érdekében létrehozott szabályokról. Ez a következő diagramon látható (ábra forrása: saját). A munkavállalók véleménye a szabályokról 10% 3%
Hasznosak Feleslegesek Semlegesek
87%
9. ábra: A munkavállalók véleménye a szabályokról Látható, hogy a válaszadók 87%-a hasznosnak tartja az informatikai kockázatkezeléssel kapcsolatos szabályozásokat, és további 10% számára semlegesek azok. Csupán 3% felelte azt, hogy feleslegesnek érzi ezeket. Összességében ez egy pozitív visszajelzés az informatikai tanácsadói pályán dolgozóknak, ugyanis a munkavállalók, akiknek majd valószínűleg be kell tartaniuk az ő javaslataik alapján bevezetett szabályokat, megértik azok fontosságát, és munkájuk sincs lenézve ezáltal. Összességében a dolgozat célja az informatikai kockázatkezelés fontosságára való figyelemfelhívás volt, ugyanis napjainkban ez az egyik legnagyobb kockázat, ami 57
veszélyezteti a vállalatokat. A biztonságos és folyamatos működés érdekében sok intézkedést kell hozni, ami eleinte lehet, hogy nehézségekkel fog járni, de biztosan megéri hosszútávon. Nem kell azonban ettől a feladattól megijedni, de a megvalósításhoz sok idő kell, így jobb minél hamarabb elvégezni egy informatikai kockázatelemzést, akármilyen vállalattípusról is legyen szó. Egy jó tanács azok számára, akik valamiért úgy érzik, hogy már elkéstek ennek a feladatnak a teljesítésével: jobb később, mint soha!
58
7
FORRÁSOK
Nyomtatott források FARKAS SZILVESZTER – SZABÓ JÓZSEF [2005]: A vállalati kockázatkezelés kézikönyve, Dialóg Campus Kiadó, Budapest HÓDI SÁNDOR [2010]: Életpszichológia, Vajdasági Magyar Művelődési Intézet ISACA [2015]: CRISC Review Manual, Rolling Meadows, IL 60008 USA KOZMA F. [1997]: A körültekintő vállalkozás. p. 21. Aula Kiadó
PAUL R. KRUGMAN – MAURICE OBSTFELD [2013]: Nemzetközi Gazdaságtan. Gyomai Kner Nyomda Zrt, Budapest VIGVÁRI ANDRÁS [2008]: Pénzügy(rendszer)tan, Akadémiai Kiadó, Budapest Elektronikus források ABT.HU: ABT Cégcsoport – bemutatáshoz kapcsolódó információk elérve a 2016.09.12-én a következő honlapcímről: http://abt.hu/cegunkrol ABT.HU: ABT Treuhand munkamódszer – elérve 2016.09.12-én a következő honlapcímről: http://abt.hu/treuhand CERTIFICATIONEUROPE.COM: ISO 27001 Information security, elérve 2016.11.09-én a következő honlapcímről: http://certificationeurope.com/iso-27001-information-security/ CZABAFY DÁNIEL [2015]: Brókerbotrány, avagy a könyvvizsgálók felelőssége, elérve 2016.10.16-án a következő honlapcímről: http://blog.abt.hu/it_biztonsag/brokerbotrany-konyvvizsgalok-felelossege/ DR GARAJ ERIKA [2011] – Kockázatmenedzsment – Elérve 2016.10.16-án a következő honlapcímről: http://www.tankonyvtar.hu/hu/tartalom/tamop412A/2011-0062_kockazatmenedzsment/ada tok.html 59
SARAH BUTCHER [2016]: What’s the front office, the middle office and the back office in an investment bank? And does it matter? – elérve 2016.11.08-án a következő honlapcímről: http://news.efinancialcareers.com/uk-en/246493/front-office-middle-office-back-office-ban king ENISA.EUROPA.EU: „Risk Treatment” definíciója, elérve 2016.09.23-án a következő honlapcímről: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/r isk-management-inventory/rm-process/risk-treatment FARKAS
SZILVESZTER
–
IVANYOS
JÁNOS
–
SZABÓ
JÓZSEF
[2015]:
Kockázatkezelés és biztosítás, elektronikus jegyzet, elérve 2016.09.25-én a következő honlapcímről: http://dr.farkasszilveszter.hu/letoltes/706/ IDOKEP.HU –
időjárás előrejelzés, elérve 2016.10.06-án a következő honlapcímről:
http://www.idokep.hu/idojaras/Budapest ISACA.ORG: History of ISACA, elérve 2016.10.18-án a következő honlapcímről: http://www.isaca.org/About-ISACA/History/Pages/default.aspx ISO.ORG: About ISO, elérve 2016.11.03-án a követkető honlapcímről: http://www.iso.org/iso/home/about.htm IVANYOS JÁNOS [2013]: A vállalati kockázatkezelés, elérve 2016.10.03-án a következő honlapcímről: http://www.tankonyvtar.hu/hu/tartalom/tamop412A/0007_e3_kockazatmenedzsment_scor m/kockazatok_tipusai_x1O04oty75MZd0xQ.html MAGYAR KÖNYVVIZAGÁLÓI KAMARA [2008]: A Magyar Könyvvizsgálói Kamara szabályzata a könyvvizsgálói hivatás magatartási (etikai) szabályairól és a fegyelmi eljárásról, elérve 2016.10.17-én a következő honlapcímről: https://www.mkvk.hu/archivum/szabalyozas/szabalyzatok/etikai
60
MEDVÉNÉ DR. SZABAD KATALIN [2013]: A fenntartható fejlődés gazdaságtana, elérve 2016.10.12-én a következő honlapcímről: http://www.tankonyvtar.hu/hu/tartalom/tamop412A/0007_a4_1049_1051_fenntarthatofejl_ 2/pestel_elemzes_msFMlIiBQnRC877p.html PARLAMENT.HU – Mi a különbség törvény és rendelet között? Elérve 2016.10.10-én a következő honlapcímről: http://www.parlament.hu/fotitkar/gyik.htm PÖLÖSKEINÉ HEGEDŰS HELÉN [2009]: Projektirányítás I., elérve 2016.10.17-én a következő honlapcímről: http://centroszet.hu/tananyag/projektmenedzsement/index.html RMPROFESSIONAL.COM [2014] – Cutting through – elérve 2016.03.17-én a következő honlapcímről: http://www.enterpriseriskmag.com/content/features/cutting-through SZŐRÖS KRISZTINA – KRESALEK PÉTER [2013]: Üzleti tervezés, elérve 2016.10.17-én a következő honlapcímről: http://www.tankonyvtar.hu/en/tartalom/tamop412A/0007_d1_1075_1077_uzletiterv/a_swo t_elemzes_JGReK9C3qqHeUPDS.html THEIRM.ORG: „risk management” definíciója, elérve 2016.09.23-án a következő honlapcímről: https://www.theirm.org/about/risk-management/ Törvény, rendelet, ajánlás, szabvány 2014. ÉVI LXXXVIII TÖRVÉNY a biztosítási tevékenységről 2007. ÉVI CCXXXVII. TÖRVÉNY a hitelintézetekről és a pénzügyi vállalkozásokról 2007. ÉVI CXXXVIII TÖRVÉNY a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól 2003. ÉVI LX TÖRVÉNY a biztosítókról és a biztosítási tevékenységről 42/2015 KORMÁNYRENDELET a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről 1/2015 SZÁMÚ MNB AJÁNLÁS az informatikai rendszer védelméről 61
ISO 27001:2009 SZABVÁNY 535/2013 KORMÁNYRENDELET a pénzügyi intézmények, a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről
62
ÁBRAJEGYZÉK 1. ábra: Gazdálkodás, vállalkozás és ezek különböző arányainak kockázata ......................... 9 2. ábra: Kockázatelutasító magatartásforma ......................................................................... 11 3. ábra: Kockázatkedvelő magatartásforma .......................................................................... 12 4. ábra: Kockázatsemleges magatartásforma ........................................................................ 12 5. ábra: Informatikai kockázatok helye a teljes szervezeti kockázathoz képest ................... 15 6. ábra: SWOT elemzés ........................................................................................................ 20 7. ábra: Eredendő és maradvány kockázatok ........................................................................ 50 8. ábra: Kockázati hőtérkép .................................................................................................. 51 9. ábra: A munkavállalók véleménye a szabályokról ........................................................... 57
TÁBLÁZATJEGYZÉK 1. táblázat: Időjárás előrejelzés változása egy hét alatt .......................................................... 5 2. táblázat: Bekövetkezési valószínűségek táblázata ............................................................ 45 3. táblázat: Üzleti hatások táblázata ...................................................................................... 46 4. táblázat: Bekövetkezési valószínűség és eredendő hatás megállapítása ........................... 48 6. táblázat: Példa a kockázati szintek megállapítására ......................................................... 50 5. táblázat: Kockázati kategóriák .......................................................................................... 52
63
8. MELLÉKLETEK Czabafy Dániellel készített mélyinterjú kérdései: 1. Mennyire jellemző a Befektetési alapkezelőknél és pénzügyi szolgáltatónál, hogy megfeledkeznek
a
szinte
kötelező
érvényű
informatikai
kockázatelemzés
elvégzéséről? 2. Volt már ilyen típusú munkája a cégnek? 3. Milyen előkészületeket igényelt ez a projekt? 4. Volt már előre kialakított eljárásmód az ilyen típusú kockázatelemzésre vagy itt került sor a részletes kidolgozásra? 5. Hogyan ítélted meg az ügyfelek (vezető és alkalmazotti szinten is) hozzáállását a projekthez? 6. Mely területeken kellett interjút végezni? Hol voltak a kulcsszemélyek és mi alapján történt a „kiválasztásuk”? 7. Csoportos interjúra is sor került például a kockázatok hatásainak megállapításakor. Itt a vállalat vezetői voltak jelen. Mivel ők magas pozíciót töltenek be, így feltételezhető, hogy elég sűrű a napjuk. Nehéz volt az időpont egyeztetés? 8. A vizsgálat eredményének milyen fogadtatása volt ügyféltől? 9. A projektet lezáró prezentáció során, ahol a jelentés került bemutatásra, hangot adtak a vezetők a véleményüknek, tettek fel kérdéseket vagy nem érte őket meglepetés, így passzívak voltak? 10. Mi a véleményed az IT terület és a Pénzügy terület ellentétes érdekeiről? 11. Ennél a cégnél ez a konfliktus fennállt? Ha igen, akkor miben nyilvánult ez meg? 12. A végső javaslat melyik oldalnak mennyire kedvezett?
64
