Működési kockázatkezelés fejlesztése a CIB Bankban
IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1
A Működési Kockázatkezelés eszköztára
•
Historikus adatok gyűjtése és mennyiségi elemzés
•
Kockázati önértékelés (SRA)
•
Folyamatok üzleti hatáselemzése (BIA)
•
Folyamat menti kockázatelemzés
•
Erőforrások (elsődlegesen IT) üzleti hatáselemzése
•
Erőforrások (elsődlegesen IT) kockázatelemzése
2
Veszteség adatok Tényleges veszteség, Helyreállítás költsége, Piaci kockázathoz kapcsolódó veszteség, Céltartalék "Majdnem" veszteség, Hitelezéshez kapcsolódó veszteség, Elszalasztott lehetőség, Egyéb becsült veszteségek, Bevétel kiesés, Működési nyereség, Reputációs veszteség
Veszteség adatbázis
Tőke-számítás
Menedzsment riportok
Belső ellenőrzés
Üzleti döntések
IT kockázatkezelés (service availability)
Folyamatalapú kockázatkezelés
Vissza-csatolás a kockázati önértékelésekh ez
Problémák: Hogyan motiváljuk az alkalmazottakat, hogy jelentsék az eseményeket? Kis elemszám Adatminőség 3
A kevés adat miatt a tőkeképzésben elkövetett hiba
•
1. ábra: A VaR szimulációs hibája. Az LDA-hoz szükséges paraméterek ismertek.
•
2. ábra: A VaR eloszlása a paraméterbecslési hiba következtében 5 éves idősor mellett átlagosan 4 eseményt feltételezve minden üzletág (BL) – veszteség típus (LET) kategóriában.
4
Hibacsökkentési lehetőségek
•
1. ábra: VaR eloszlása a paraméterbecslési hiba következtében. A becslés 20 esemény alapján történt, a relatív hiba 0,44.
•
2. ábra: VaR eloszlása a paraméterbecslési hiba következtében. Az eseményeket nem soroltuk üzletágakba, így a becslést 160 adaton lehetett elvégezni. A relatív hiba 0,14.
A kategóriák összevonásával, külső adatok bevonásával pontosabb becsléshez juthatunk. 5
Adatgyűjtés hatása a tőkére Káreloszlás
Lognormális
Exponenciális
Amerikai Pareto
Káreloszlás
Lognormális
Exponenciális
Amerikai Pareto
VaR95 átlag
4610
4352
4601
VaR95 átlag
6307
6108
6294
VaR99 átlag
5578
5017
5503
VaR99 átlag
7354
6935
7257
VaR999 átlag
7044
5829
6799
VaR999 átlag
8812
7933
8474
VaR95 SE
8
6
8
VaR95 SE
9
8
9
VaR99 SE
18
12
18
VaR99 SE
19
15
17
VaR999 SE
72
33
58
VaR999 SE
62
40
52
•
1. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 30 eseményt tárunk fel egy adott BL-LET kategóriában.
•
2. táblázat: Átlagos VaR és standard hiba, feltéve, hogy 40 eseményt tárunk fel egy adott BL-LET kategóriában.
Ha 40 esemény van egy adott BL-LET kategóriában, de az intézmény csak 30-at tár fel, akkor a képzett tőke is arányosan kisebb lesz.
6
Kockázati modellezés
SRA Gyakoriság eloszlás Aggregált eloszlás
Belső adatok
CaR
Káreloszlás
Külső adatok
7
Erőforrásközpontú kockázati önértékelés (SRA)
Capital at Risk
us ad ato k– Ve Inf sz ras tes tru ég ktú ad ra at b IT N áz e er ő is ala m fo for rás pú lya ok ele ma mz t és Hum án e rőfo rrás ok
SRA
(kivéve IT) Információ
ok rás for k erő nye lső mé Kü ese és g mati Folya lyozottsá á szab
Hi sto rik
Folyamat menti elemzés
A folyamat menti kockázatelemzés az erőforrások sérülékenységén keresztül tárja fel a kockázatokat. 8
Fenyegetettségek által indukált hatásmechanizmus
Üzleti folyamat Fenyegetettség Folyamat kiesik
Folyamat mentén veszteség keletkezik
BIA + kockázatelemzés (SRA-ba integrálhatóan)
Folyamat menti kockázatelemzés (SRA-ba integrálhatóan)
BCP, DRP
Tipikus kockázatmenedzsmenti eszközök
Adatgyűjtés, belső ellenőrzés, események elemzése
9
Folyamat – erőforrás térkép
Folyamatok Folyamat 1 Folyamat 2 Folyamat 3 Folyamat 4 Folyamat 5 Folyamat 6 Folyamat 7 Folyamat 8 Folyamat 9 Folyamat 10
E r ő f o r r á s o k
Rendszer 1 Rendszer 2 Rendszer 3
x x x
Rendszer 4
x x
x
x x
x
Rendszer 5 Rendszer 6 Rendszer 7 Humán 1 Humán 2 Beszállító 1
x
x
x
x x
x x
x x
x Rendszer 7 támogatja Folyamat 5-öt
x x
x x
x
x
x
x
x x x
A folyamat – erőforrás térkép elkészítése az első lépés a folyamat alapú kockázatkezeléshez. 10
Folyamati BIA Kockázati szempont Rendelkezésre állás (A)
Folyamat1
IT1
Folyamat2
IT2
BIA összefüggések •
BIA (Folyamat2)= BIAA(Folyamat2)
•
BIA (Folyamat1) = BIA (Folyamat2)
Az integrált módszertan előnyei A látszólag lényegtelen folyamatok fontossá válhatnak a folyamati kapcsolatok ismeretének a tükrében. A folyamati BIA felmérése a második lépés a folyamat alapú kockázatkezelésben. 11
IT BIA Kockázati szempontok •
Bizalmasság (C)
•
Integritás (I)
•
Rendelkezésre állás (A)
Folyamat1
IT1
Folyamat2
IT2
BIA összefüggések • •
BIA (IT1) = BIAC(IT1) + BIAI(IT1) + BIA (Folyamat2) BIA (IT2) = BIAC(IT2) + BIAI(IT2) + BIA (Folyamat2)
Az integrált módszertan előnyei Az IT rendszerek (és más erőforrások) BIA-ja rendelkezésre állás vonatkozásában levezethetők a folyamati BIA-ból. Az IT BIA felmérése a harmadik lépés a folyamat alapú kockázatkezelésben. 12
Folyamatok kiesésének a kockázata Szükséges inputok •
Folyamati BIA
•
Erőforrások kiesési gyakorisága
•
Erőforrások kiesési ideje
Összefüggések
Folyamat2
Folyamat1
IT1
IT2
•
Kockázat (Folyamat1)= Kockázat (IT1) + Kockázat (IT2)
•
Kockázat (Folyamat2)= Kockázat (Folyamat1)
Az integrált kockázatkezelési módszertan előnyei •
A kockázatot az erőforrásokon keresztül méri Æ kritikus erőforrások azonosíthatók, BCP / DPR támogatás.
•
Fenyegetettségek elemzését lehetővé teszi Æ óvintézkedések.
•
Nincsenek kockázati halmozódások. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése. 13
Folyamati veszteségek kockázata Szükséges inputok Folyamat1
•
Fenyegetettség lista
•
Fenyegetettségek gyakorisága
•
Fenyegetettségek hatása
Fenyegettség2
Összefüggések •
Folyamat2
IT1
IT2
Kockázat (Folyamat2) = Kockázat (IT1) + Kockázat (IT2) Fenyegetettség1
Az integrált kockázatkezelési módszertan előnyei • A folyamati gyengeségek a kapcsolatokon keresztül tárhatók fel. • A fenyegetett erőforrás feltérésa kontrollok bevezetését teszi lehetővé. • Az SRA egyik inputja. Erőforrás és fenyegetettség elemzés, kockázati mértékek számítása a folyamat negyedik lépése (párhuzamosan történhet az előző feladattal). 14
Folyamat menti kockázatelemzés – BCP / DRP támogatás Az elemzés a következő outputokat nyújtja a BCP / DRP- hez •
Kritikus folyamatok listája
•
A folyamat kritikus erőforrásai
•
A bank kritikus erőforrásai
•
Fenyegetettség elemzés és sérülékenység
•
Meglévő kontrollok hatékonysága
•
Kontrollok, kockázatcsökkentő lépések szükség esetén
15
Remote Controll – Alapfogalmak RC – alapfogalmak Remote
Control / Off-site audit:
Folyamatok és értékesítési pontok auditjának rendszertámogatása és csalásfelderítés. Hagyományos audittal szemben folyamatos kiértékelés, de csak az IT rendszerekben található adatokra használható -> kockázatok NEM teljes körét fedi le! – I. típusú indikátorok: Egyesével ellenőrizendő gyanús / hibás tételek, Pl.: gyanús átutalások – II. típusú indikátorok: Kockázati jelzőszámok. Pl.: rossz hitelek aránya egy ügynök portfoliójában
Humán Processor:
A rendszer csak támogat, azt működtetni, fejleszteni és kiértékelni kell, ezért audit szakmai tudás nélkül nem működtethető. - technológiai szakértelem (rendszer logika, adatbázis szerkezet, audit szakmai igények leképzése) - audit szakmai tudás (üzleti folyamatok ismerete, kockázatok jelzőszámainak meghatározás, kiértékelés)
Misszió:
- az üzleti és működési folyamatokért felelős vezetők kontroll tudatosságának erősítése - az audit munka támogatása, hogy a kockázatok sokall szélesebb körű információk alapján lehessenek azonosíthatók
16
Remote Controll – Folyamat RC folyamat
17
Remote Controll – Fejlesztés • • •
RC fejlesztés Az indikátorok fejlesztése folyamatos ciklus, a cél: csak valódi találatot adjon Az első monitoring időszak a legtermékenyebb A helyszíni ellenőrzések tapasztalatait is be kell építeni
18