1asig.ro
1asig.ro
federatia roaman de bowling

Evaluarea interna a riscurilor operationale

Calin M. RANGU
Director Adjunct
Autoritatea de Supraveghere Financiara

Evaluarea interna a riscurilor operationale devine din ce in ce mai importanta datorita vulnerabilitatilor generate de utilizarea sistemelor informatice, dar mai ales din cauza cresterii probabilitatii ca aceste vulnerabilitati sa se materializeze.

Categorii relevante de risc se identifica pe toate cele patru paliere ale riscurilor operationale: oameni, procese, sisteme/tehnologii si mediul extern si se accentueaza din cauza activitatilor externalizate catre furnizorii de produse si servicii informatice si de comunicatii.

Daca ar fi sa enumeram anumite exemple, la riscurile aferente oamenilor am identifica: nerespectarea proceselor/procedurilor, erori de introducere manuala, cunostinte, experienta si pregatire insuficienta, personal insuficient, angajati cheie, lipsa de comunicare si cooperare, neraportare, conflict de interese, automultumire, frauda, operatiuni suspecte de spalarea banilor si finantarea actelor de terorism, nerespectarea regimului de sanctiuni internationale.

Riscuri aferente proceselor ar putea fi generate de:
  • Riscuri de model: lipsa proceselor organizatorice (cel putin referitoare la managementul schimbarii, al incidentelor, al nivelurilor de servicii, al versionarilor, al capacitatii, al disponibilitatii, al proiectelor), erori de metodologie sau model, erori de evaluare, disponibilitatea rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control inadecvat al proceselor, software neadecvat obiectivelor de activitate, insuficienta guvernantei corporative in acest domeniu;
  • Riscuri tranzactionale: erori de executie, erori de inregistrare, managementul inadecvat al datelor si informatiilor, erori de matching, compensare, colateral, complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de confidentialitate, fraude;
  • Riscuri aferente controlului operatiunilor: lipsa separarii drepturilor si atributiilor, depasirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri contabile, control inadecvat al activitatilor externalizate, intreruperea furnizarii serviciilor, neidentificarea operatiunilor in speta in functie de indicatorii de risc si variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologiei pot fi cele referitoare la: sisteme inadecvate de management al tehnologiei si securitatii, lipsa metodologiilor de dezvoltare si testare, capacitate insuficienta de procesare, intreruperi in functionarea sistemelor (hardware, software, stocare, telecomunicatii), caderi de retea, intreruperii in furnizarea serviciilor prestate de furnizorii externi, sisteme inadecvate, protectie inadecvata impotriva malware, riscuri de compatibilitate, riscuri generate de furnizori/vanzatori, erori de programare, coruperea datelor, riscuri de recuperare dupa dezastre, testare necorespunzatoare a recuperarii in caz de dezastru, sistem inadecvat de actualizare tehnologica, sisteme invechite, servicii necorespunzatoare de suport pentru sisteme.

Daca vom cauta riscuri aferente mediului extern, am putea identifica: pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de oameni, intreruperi in furnizarea serviciilor prestate de furnizori externi, fraude si activitati criminale externe, expuneri externe ale securitatii sistemelor, atacuri teroriste clasice sau informatice, criminalitate economica si/sau informatica, caderi ale alimentarii cu electricitate.

Astfel trebuie sa identificam sursele si cauzele eventualelor riscuri cheie care pot fi:
  • modificari in produsele, serviciile, personalul si procesele existente;
  • dezvoltari de noi produse si procese;
  • noi activitati sau servicii;
  • afectarea activitatii de potentiale catastrofe sau atacuri externe.
Evaluarea de risc identifica si evalueaza natura riscului operational plecand de la:
  • categoriile de risc;
  • conectivitati si interdependente;
  • modificari in modelul de lucru, precum introducerea unui nou sistem informatic, complexitatea produselor, proceselor sau tehnologiilor si autosatisfactie, respectiv management ineficient;
  • frecventa si severitatea riscului;
  • riscul operational dupa actiunile de diminuare a riscurilor.
In general riscurile se colecteaza pe o structura de sablon, pe baza unor criterii standard si se evalueaza luand in considerare riscurile inerente (inaintea aplicarii controalelor) si riscurile reziduale (dupa ce controalele au fost aplicate).

Masurarea acestor riscuri se face plecand de la rezultatele scenariilor testelor de stres, acolo unde este cazul, evaluand frecventa aparitiei riscurilor si severitatea eventualelor pierderi in cadrul registrului riscurilor.

Evaluarea frecventei aparitiei riscurilor se bazeaza pe rapoartele interne si externe, precum: rapoarte de audit, solicitari ale autoritatii, deviatii fata planul de afaceri, planuri operationale, bugete, opinii ale expertilor si cele mai bune practici.

Evaluarea severitatii
pierderilor potentiale se poate stabili pe baza interviurilor cu angajati cheie, ex ante si ex post, variatiile bugetelor, sesizarile externe, istoria pierderilor.

Evaluarea de risc va tine cont de probabilitatea ca riscul sa apara in urmatoarele 12 luni sau alta perioada stabilita si de impactul, respectiv consecintele asupra indeplinirii strategiei si obiectivelor de afaceri.

In cazul unei expuneri la risc mai mare decat apetitul pentru oricare riscuri se elaboreaza strategii si planuri de actiune pentru reducerea riscurilor si implementarea de controale suplimentare.