Metody přístupu k řízení rizik. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011
Řízení rizik v informatice LS 2010/11, Předn. 3 https://edux.fit.cvut.cz/RRI
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM.
Definice rizika, materialita informace.
Přednáška 3/13, 2011
Řízení rizik v informatice, 3/13 Dokumenty firmy Je mnoho přístupů k řízení rizik pro IT. V zásadě je však IT vždy součástí většího celku a tudíž platí vzájemné ovlivňování zúčastněných stran. Společná by však měla být vždy následující struktura dokumentace:
• Politika řízení rizik – Rámec řízení rizik (Součástí rámce by měla rozhodně být IT bezpečnostní politika) • Návody a průvodce pro podrobnější práci v rámci životního cyklu) – Detailní rozpracování např. ve vztahu k jednotlivým částem IT
Řízení rizik v informatice, 3/13
Bezpečnostní politika Nejdůležitější dokument a) Vyjadřuje podporu nejvyššího vedení společnosti b) Stanovuje základy pro práci s informacemi c) Stanovuje základy pro chování zaměstnanců d) Stanovuje základy pro nastavení technických parametrů bezpečnosti d) Vyjadřuje se i ochota akceptovat určitou míru rizika e) Předznamenává existenci dalších navazujících dokumentů
Řízení rizik v informatice, 3/13
Vybrané bezpečnostní standardy ISO/IEC 27000:200? (ISO/IEC 13335-1) Základní pojmy pro ISMS ISO/IEC 27001:2005 (BS 7799-2:2002) Požadvky kladené na ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Jak se dělá bezpečnost (postupy) ISO/IEC 27003:2010 Návody/směrnice pro implementaci ISMS ISO/IEC 27004:2009 Metriky pro měření efektivity ISMS ISO/IEC 27005:2008 Metody řízení rizik (BS 7799-3:2006, ISO/IEC TR 13335-3:1998) ISO/IEC 27006:2007 Certifikace dle ISMS ISO/IEC 27007:200? Návody a směrnice pro audit (dle ISO stále ve vývoji)
Řízení rizik v informatice, 3/13 Příklady vybraných standardů pro řízení rizik v praxi Zapamatujte si: v žádném z těchto standardů se nehovoří o IT přímo, ale z některých paragrafů nepřímo vyznívá úloha IT. Tím je dána kontrolní funkce IT a zároveň nutnost podrobovat v takových případech IT auditu…. V našem prostředí se mohou IT dotknout zejména:
• BASEL II • SOX
Řízení rizik v informatice, 3/13 BASEL II - vývoj • Bank for International Settlements (Basilej) • BCBS
• 1988 - International Convergence of Capital Measurement and Capital Standards – pouze úvěrové riziko (30 stránek) • 1996 – Amendment to incorporated market risk (60 stránek)- tržní riziko včetně VaR modelů • 2004 – Basel II/NBCA (300 stránek)
Řízení rizik v informatice, 3/13 BASEL II Basel II zásady protlačeny v Evropě pomocí dvou direktiv • Směrnice 2006/48/ES ze dne 14. června 2006 o přístupu k činnosti úvěrových institucí a o jejím výkonu (200 stran) • Směrnice 2006/49/ES ze dne 14. června 2006 o kapitálové přiměřenosti investičních podniků a úvěrových institucí (54 stran) • Řízení rizik ve finančním sektoru bylo dlouho omezeno na úvěrové riziko a dominový efekt kolapsu jedné instituce na celé odvětví (viz případ Herstadt ze 70. let). V 80. a 90. letech se začaly centrální banky zajímat i o operační rizika, což vedlo k zavedení nových kategorií rizik a následně i k Basel II
Řízení rizik v informatice, 3/13 BASEL II a IT
• riziko ztráty vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších událostí, včetně rizika ztráty v důsledku porušení či nenaplnění právního předpisu
Řízení rizik v informatice, 3/13 BASEL II a IT
• Basel 2 není primárně o riziku IT • IT riziko je významnou podmnožinou OR (KR=70%; OR=20%; TR=10%) ; • IT risk = 10%
Řízení rizik v informatice, 3/13 BASEL II a IT • IT pohled na definici operačního rizika BASEL II Operační riziko je definováno jako riziko ztráty vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších událostí, včetně rizika ztráty v důsledku porušení či nenaplnění právního předpisu. Tato definice nezahrnuje strategické a reputační riziko !!
Řízení rizik v informatice, 3/13 BASEL II a IT
• IT Pohled na BASEL II operační riziko • IT Aspekty V dematerializovaném, nepřetržitě propojeném světe je největším rizikem hrozba výpadku služby, tedy její nedostupnost. Dostupnost služeb ve finančním světě je plně vázána na IT a vyžaduje naplnění principu CIA. Žádná bankovní transakce nemůže být uskutečněna bez IT infrastruktury
Řízení rizik v informatice, 3/13 BASEL II a IT •
Finanční obchody = práce s informacemi o peněžních hodnotách –
• • • • • •
Bezpečnost informací = bezpečnost peněz
Rostoucí složitost bankovních procesů (obchody, produkty, modely, …) Postupující automatizace bankovních činností Elektronické bankovnictví (klient je uživatelem IS) integrace IS/ICT v rámci finančních skupin Vzrůstají nároky na datová úložiště – legislativní požadavky (archivování atd.) Outsourcing – – – –
Propojenost činnosti organizace a ICT (závislost) Roste význam ICT jako faktoru konkurenceschopnosti Transfer rizik z manuálních do IT procesů Roste význam a nároky na bezpečnost informačních technologiíí
Řízení rizik v informatice, 3/13
BASEL II a IT - pilíře
Pilíř I
-minimum kapitálových požadavků zahrnutí kapitálu pro operační riziko
Nutná podpora
Pilíř II
-proces prověřování supervisorem
Pilíř III
-tržní disciplína neboli požadavky na zveřejňování
Řízení rizik v informatice, 3/13 BASEL II a IT
• operační rizika jsou velmi specifickým druhem bankovních rizik - kvantifikace je náročná, ale nutná pro stanovení kapitálového požadavku a řízení operačního rizika. • V praxi existuje řada metod, které se operační riziko snaží změřit; od zcela jednoduchých, založených na jednom ukazateli, až po složitá statistická modelování a metody postavené na kvalitativních odhadech.
Řízení rizik v informatice, 3/13 BASEL II a IT Nový koncept kapitálové přiměřenosti definuje tyto metody : • Základní přístupy – přístup základního ukazatele (BIA - basic indicator approach ) – standardizovaný přístup (STA - standardized approach )
• Speciální přístupy – pokročilý přístup (AMA - advanced measurement approaches ) – pokročilý přístup v kombinaci s ostatními – standardizovaný přístup v kombinaci s přístupem základního ukazatele – alternativní standardizovaný přístup (ASA) – alternativní standardizovaný přístup v kombinaci s přístupem základního ukazatele
Řízení rizik v informatice, 3/13 BASEL II a IT - BIA – přístup základního ukazatele (BIA - basic indicator approach ) Kapitálový požadavek k operačnímu riziku = 15% * relevantní ukazatel Hodnota relevantního ukazatele je stanovena jako tříletý průměr součtu čistého úrokového a čistého neúrokového výnosu
Přístup BIA je určen především finančním institucím s jednoduchými systémy řízení rizik => nevznikají nadměrné náklady na konstrukci kapitálového požadavku. Riziko:
- Vypočtený kapitálový požadavek nebude dostatečně vystihovat skutečná operační rizika, kterým je finanční instituce vystavena. - Není jasná příčinná souvislost mezi hodnotou relevantního ukazatele a rizikem ztráty z důvodu selhání lidského faktoru, systému nebo procesu. - Nejsou rozlišené druhy podnikání finančních institucí. Různé činnosti produkují pro banku různá operační rizika (řídit odděleně).
Řízení rizik v informatice, 3/13 BASEL II a IT - STA •
Standardizovaný přístup je obdobou přístupu základního ukazatele, která odstraňuje nedostatek prvního přístupu spojený s jeho neschopností rozlišovat operační rizika pro jednotlivé aktivity. Jako důsledek jsou aktivity rozděleny liniově: – Podnikové financování (např. Investiční poradenství) – Obchodování na finančních trzích (obchodování na vlastní nebo klientův účet, deriváty apod.) – Retailové makléřství (obchodování na klientův účet, deriváty a další služby pro fyzické osoby, malé a střední podnikatele) – Podnikové bankovnictví (poskytování úvěrů, finančních leasingů, přijímaní vkladů a další služby pro velkopodnikatele) – Retailové bankovnictví (poskytování úvěrů, finančních leasingů, přijímaní vkladů a další služby pro fyzické osoby, malé a střední podnikatele) – Zúčtovací služby pro třetí osoby (hlavně platební styk) – Služby z pověření (úschova, správa vkladů apod.) – Obhospodařování aktiv (např. portfolií)
•
Všechny aktivity se musí do těchto linií vejít (např. najít co nejbližší aktivitu atd.) Jestliže není možné, přidruží se činnost do té linie, ze které vyplyne největší kapitálový požadavek.
Řízení rizik v informatice, 3/13 BASEL II a IT - AMA •
Postup výpočtu kapitálového požadavku k operačnímu riziku zde není přímo stanoven orgánem dohledu. Centrální banka určuje v tzv. kvantitativních požadavcích rámcové podmínky měření operačního rizika, na základě kterých si finanční instituce vypracuje vlastní metodologii. Vychází ¨se přitom z pětileté (resp. při zahájení používání AMA z tříleté) historické řady dat, přičemž jsou historické ztráty rozčleňovány do stejných linií podnikání jako u STA a navíc podle typu události do těchto kategorií: – – – – – – –
Vnitřní nekalé jednání (ztráty z důvodu interních podvodů, zpronevěření majetku apod.) Vnější nekalé jednání (ztráty z externích podvodů, zpronevěření majetku apod.) Pracovněprávní postupy a bezpečnost provozu (např. platby za újmy na zdraví nebo diskriminaci na pracovišti) Klienti, produkty, obchodní postupy (kompenzace klientů po neúmyslném selhání zaměstnanců, ztráty vzniklé kvůli nevhodné konstrukci produktu a další) Škody na hmotném majetku (poškození majetku vnějšími okolnostmi) Narušení činností a selhání systémů Provádění transakcí, dodávky, řízení procesů (ztráty z realizace procesního rizika)
Řízení rizik v informatice, 3/13 BASEL II a IT - AMA • Finanční instituce, které chtějí používat pokročilý přístup, musí splnit kvalitativní požadavky pro systém řízení operačního rizika a dostat povolení specializovaného týmu centrální banky, který schvaluje užívání AMA. Z kvalitativních podmínek vyplývá, že pokročilý přístup je určen finančním institucím, které mají vypracovaný a do každodenních procesů začleněný kvalitní systém řízení operačního rizika. (v ČR od 1.1.2008). • Oproti základním přístupům lze v tomto případě odečíst i pojištění operačního rizika do výše 20% kapitálového požadavku (za určitých podmínek) a pokud je schopna zdůvodnit oprávněnost odpočtu, tak i další položky.
Řízení rizik v informatice, 3/13 BASEL II a IT - zhodnocení Parametr
BIA
STA
AMA
Souhlas orgánu dohledu s použitím přístupu
Zpravidla není nutný
Zpravidla není nutný
Nutný
Požadavky na řízení operačních rizik
Základní požadavky
Základní požadavky + další pro STA
Zákl. požadavky + kvalitativní požadavky pro AMA
Postup výpočtu kapitálového požadavku
Daný centrální bankou
Daný centrální bankou
Vytvoří finanční instituce pomocí kvantitativních požadavků pro AMA
Členění do linií podnikání
Ne
Ano
Ano
Snížení kapitálového požadavku o pojištění
Ne
Ne
Ano, za určitých podmínek
Řízení rizik v informatice, 3/13 BASEL II a IT - rámec
Strategie rizik ORGANIZAČNÍ STRUKTURA Vykazování Definice, vazby, struktury
Data- Rizikoztráty vyhodnocení
Stavební bloky Klíčové indikátory rizik
Odstranění
Modelování kapitálu
Informační technologie
Řízení rizik v informatice, 3/13
BASEL II a IT • Basel II výbor stanovuje ve svých Sound Practices for the Management and Supervision of Operational Risk 4, že vzrůstající sofistikovanost IT je faktorem , který zesložiťuje organizaci finančních institucí. IT hraje stále důležitější roli v strategických a řídicích systémech. Dnes jsou tyto systémy neoddělitelně spojeny se schopností organizace vyhovět požadavkům trhu, regulátora, vedení a jiných důležitých činitelů. To vytváří vzrůstající tlak na kontrolu těchto systémů z hlediska bezpečnosti, stability a spolehlivosti.
Řízení rizik v informatice, 3/13
BASEL II a IT - COSO • COSO prvky • IT opatření podporují COSO ERM (Enterprise Risk Mangement) rámec. Organizace by měla být schopna působit ve všech komponentech COSO. V zásadě jsou definovány následující komponenty: – – – – – – – –
Vnitřní prostředí Stanovení cílů Identifikace události Vyhodnocení rizika Odpověď na riziko Protiopatření Informování, vykázání Sledování
Identifikace
Vyhodnocení Omezení/Eliminace Sledování
Řízení rizik v informatice, 3/13 SOX Skandály Enronu a dalších amerických společností naplno a brutálně ukázaly, čeho všeho jsou vrcholoví manažeři schopni, aby ukázali svůj úspěch a byly jim vypláceny obrovské bonusy. To jsme ale jen na špičce ledovce. Pokud toto dělají vrcholoví manažeři, kde je konec takového řetězce? Bylo by naivní si myslet, že střední management, případně i řadoví zaměstnanci se chovají jinak. Důvěra investorů a reálnost jejich aktiv ve formě akcií, různých fondů soukromého kapitálu... Celkové škody až 500 mld. USD. V Evropě je nutno přistoupit i po počátečním váhání k obdobným normám... Globalizace a celosvětový pohyb kapitálu.... Dnešní krize ukazuje na základní fakt, že žádná regulace a dohled nestačí na všeobecný vývoj – viz deriváty (futures – cena dnes, zboží za tuto cenu v boducnu, opce – právo koupit/prodat za/po určitý čas nějaké zboží za určitou cenu, swap – dohoda mezi dvěma stranami o placení např. pevného a pohyblivého úroku po určitou dobu...)
Řízení rizik v informatice, 3/13 SOX a IT - zásady Manažeři se vyjadřují k vnitřním kontrolním systémům. Generální ředitel (CEO) a finanční ředitel (CFO) ručí svým podpisem za správnost předkládaných výročních a průběžných zpráv a za to, že údaje v nich uvedené jsou pravdivé a nejsou zavádějící. Manažerům mohou být v případě porušení zákona zpětně odebrány bonusy a jiné finanční výhody. Vedoucí osoby společnosti nesmí být zaměstnány rok před svým auditem v auditorské firmě. Postih konfliktu zájmů a obchodování na základě neveřejných informací. Povinnost přijmout a zveřejnit etický kodex. Zákonná ochrana informátorů. Zpřísněny požadavky na dokumentaci firemních procesů a skutečností. Zákaz zaměstnaneckých půjček svému managementu. Zvýšené sankce postihující ekonomickou kriminalitu. Zpřísnění účetních standardů a pravidel (opce). Zkrácení lhůt pro zveřejňování finančních výsledků.
Řízení rizik v informatice, 3/13 SOX
Mnoho amerických společností má své dceřiné společnosti po celém světě a nestačí být si jistý, že vše funguje jak má pouze v mateřské společnosti, ale také v každé jednotlivé entitě, která má materiální dopad při konsolidaci. Celých 16 % firem registrovaných na newyorské burze cenných papírů (NYSE - New York Stock Exchange) s tržní kapitalizací 35 % má sídlo mimo USA. Financování v USA jiné než v Evropě-v Evropě spíše formou úvěrů, v USA spíše z veřejných peněz... Pokud firmy chtějí získávat veřejné prostředky na amerických veřejných trzích, je pro ně důvěra amerických investorů klíčová.
Řízení rizik v informatice, 3/13 SOX Sněmovna reprezentantů schválila návrh zákona Oxleyho (H.R. 3763) 25.4. 2002 poměrem hlasů 334 k 90. SR začala připravovat s podporou presidenta G.W. Bushe The "Corporate and Auditing Accountability, Responsibility, and Transparency Act" nebo "CAARTA" pro bankovní výbor senátu. Současně senátor Paul Sarbanes začal připravovat svůj vlastní návrh zákona - Senate Bill 2673. Sarbaneův zákon prošel senátním bankovním výborem 18.6.2002 poměrem hlasů 17 ku 4. WorldCom ohlásil, že falšoval výkazy v průběhu 15 měsíců a změnil účetnictví o 3.8 miliardy USD. Sen. Sarbanes přednesl svůj návrh před senátem ve stejný den. Návrh zákon byl schválen poměrem hlasů 97 k 0 o tři týdny později 15. 7. 2002.
Řízení rizik v informatice, 3/13 SOX a IT Zákon Sarbanes-Oxley obsahuje 11 základních temat, které postihují úlohy vedení firmy a vykazování finančních informací. Každé tema je dále rozděleno do sekcí/paragrafů. 1) Dozorčí rady Zahrnuje 9 sekcí, které se zabývají ustanovením dozorčí rady, která bdí nad účetnictvím (PCAOB - Public Company Accounting Oversight Board). Tato rada vykonává nezávislý dozor nad auditorskými firmami. Zároveň se zabývá registrací auditorských firem, definováním procesů a procedur pro dosažení shody. 2) Nezávislost auditorů Zahrnuje 9 sekcí, které stanoví normy pro nezávislost externích auditorů tak, aby se předešlo konfliktům zájmů, Stanoví také požadavky na novou auditorskou firmu a její certifikaci. Vyžaduje rotaci auditních partnerů, požadavky na výkaznictví auditorů apod. Paragraf 201 přímo zakazuje auditorským firmám, aby s klientem měly jakékoliv jiné obchodní vztahy.
Řízení rizik v informatice, 3/13 SOX a IT 3) Zodpovědnost společnosti Skládá se z 8 sekcí a zavazuje nejvyšší vedení společnosti k převzetí osobní odpovědnosti za přesnost a úplnost finančních zpráv a výkazů. Definuje vzájemnou součinnost externího auditora a vnitřního firemního auditu (kontrolních oddělení) a určuje odpovědnost pověřených pracovníků za za přesnost a platnost finančních výkazů. Stanovuje pravidla chování a popisuje ztrátu bonusů ev. benefitů a možný soudní postih za porušení těchto požadavků. Jako příklad lze uvést paragraf 302, který specifikuje odpovědnost generálního ředitele a finančního ředitele, kteří musí čtvrtletně podepsat finční výkazy a potvrdit jejich úplnost a správnost. 4) Zvýšení vypovídací schopnosti a průhlednosti účetnictví Skládá se z 9 sekcí. Popisuje zvýšení požadavků na vykazování finančních transakcí, zahrnující i finanční aktivity, které by normálně nebyly ve výkaznictví (např. dokumentární akreditivy), pro-forma faktury, obchodní aktivity odpovědných zaměstnanců banky na burze apod. Požaduje vnitřní kontroly pro zajištění přesnosti finančních výkazů a nálezů a zavazuje obě strany (firmu a auditory) k provádění takových kontrol. Vyžaduje včasné vykazování změn ve finanční situaci a důkladnější zkoumání výkazů burzou.
Řízení rizik v informatice, 3/13 SOX a IT 5) Konflikt zájmů na straně analytika Má pouze jednu sekci. Ta shrnuje nařízení, která jsou potřeba pro zvýšení důvěryhodnosti. V zásadě vyžaduje zveřejnění všeho, co by mohlo ukazovat na možný konflikt zájmů. 6) Prostředky a autority Komise pro cenné papíry Obsahuje 4 sekce. Definuje praktiky k obnovení důvěry investorů vůči burzovním analytikům. Definuje autoritu komise ve vztahu k analytikům, obchodníkům s cennými papíry a poradcům. Určuje, za jakých podmínek je lze vyloučit z podílu na trhu s cennými papíry. 7) Studie a výkazy Má 5 sekcí a zabývá se posílením prostředků boje proti narušitelům zákona ze strany auditorů nebo burzy (firem registrovaných na burze...) Zabývá se efekty konsolidace účetních firem, ohodnocovacích agentur, problémy s akciemi a cennými papíry a také tím, zda např. banky byly zavlečeny do aféry Enronu, Global Crossing (22 mlr. USD) aj. a pomáhaly jim zahlazovat stopy v účetnictví.
Řízení rizik v informatice, 3/13 SOX a IT 8) Postih firemní a individuální podvodné činnosti Zahrnuje 7 sekcí. Někdy je vedeno pod názvem: “Corporate and Criminal Fraud Act of 2002”. Popisuje tresty za změnu, zničení, podvodné zacházení s finančními daty a výkazy, narušování vyšetřování atd. Dává jistou beztrestnost informátorům. 9) Zvýšení trestnosti za zločiny tzv. bílých límečků. Má dvě sekce. Někdy nazývána “White Collar Crime Penalty Enhancement Act of 2002.” Zvyšuje trestnost za zločiny a spolčování za úpčelem nekalé činnosti. Zavádí i pochybení jako ve finančních výkazech kriminální čin. 10) Daňové vyrovnání Má pouze jednu sekci, která říká, že by finanční ředitel měl podepisovat daňové přiznání a ev. vyrovnání.
Řízení rizik v informatice, 3/13 SOX a IT
11) Postih podvodné činnosti firmy Zahrnuje 7 sekcí. Někdy nazývána jako “Corporate Fraud Accountability Act of 2002”. Definuje firemní podvody a falšování výkazů jako trestný čin a zařazuje je do kategorie zvláštní trestatelnosti. Zavádí návody a posiluje úlohu komise pro cenné papíry, která může zastavit podezřelé a nezvyklé platby.
Řízení rizik v informatice, 3/13 SOX a IT - COSO COSO report pokytuje vhodný a dostupný rámec pro účely posuzení vedením organizace. Proto se IT zásady SOX opírají o tento report a rámec COSO. Samozřejmě existují i jiné metody, podléhající lokálním zvykům, ev. zákonům. Nicméně v základech se musí shodovat s COSO rámcem. Pokud chceme dosáhnout shody se zákonem SOX, je důležité ukázat: IT kontroly a řízení souhlasí s COSO rámcem Organizace by měla mít kompetenci ve všech 5 komponentech COSO, které stanovují základy pro účinnou vnitřní kontrolu. Jsou to:
Kontrolní a řídicí prostředí Vyhodnocení rizika Kontrolní a řídicí aktivity Informace a komunikace Sledování
Identifikace Vyhodnocení Protiopatření/odstranění Registr rizik Sledování
Řízení rizik v informatice, 3/13 SOX a IT Kontrolní a řídicí prostředí Základ pro efektivní vnitřní prostředí. Představuje v zásadě nemalou část firemní kultury. IT má však svá specifika (zahrnuje role, politiky, odpovědnosti atd.): Co musíme uvážit: IT je velmi často chybně odděleno od základní činnosti organizace a jsou na něj uplatňována jiná měřítka IT je složité a to nejenom z hlediska techniky, ale i z hlediska provázanosti s činností organizace. IT může přidat nebo zvětšit stávající rizika, takže je nutno rozšířit systém kontrol, abychom tato rizika snížili. IT vyžaduje specifické dovednosti, které se nemusí dostávat IT může vyžadavat spolehnutí se na cizí zdroje - outsourcing. Může být nejasná struktura řízení IT.
Řízení rizik v informatice, 3/13 SOX a IT - COBIT Představenstvo a nejvyšší vedení
Směruje IT, sleduje výsledky a přijímá ev. korektury
Řízení obchodu Řízení IT
Definuje požadavky na IT a kontroluje zda jsou služby dodávány s přijatelnou mírou rizika Dodává a ev. vylepšuje/mění IT služby dle požadavku obchodu.
IT audit
Poskytuje na vedení IT nezávislou kontrolu, zda IT opravdu splňuje co je požadováno.
Kontrola shody a řízení rizik
Kontroluje shodu s požadavky/standardy/zákony a sleduje rizika...
Řízení rizik v informatice, 3/13
• Dotazy