hrvatski

Upravljanje operativnim rizikom informacijskog sustava u funkciji sigurnosti poslovanja banke

Operativni rizik je vjerojatnost ostvarivanja potencijalnih gubitaka zbog neprimjerene informatičke podrške, organizacijskih problema, ljudskog faktora, prirodnih katastrofa, zlouporabe, prijevare, itd. Operativni rizik može se pojaviti na tehničkoj razini ili na organizacijskoj razini. Iako relativno nov, operativni rizik sve više utječe na svjetske poslovne sustave i načine kako se dotični grade i kasnije vode. Sukladno tome, uvedeno je mnogo normi koje daju smjernice kako upravljati operativnim rizicima. U informatici, najpoznatije su ISO 27001 i BRITISH STANDARD 7799-2. Rizici se mogu promatrati kvantitativno i kvalitativno. Obje metode imaju svojih prednosti i nedostataka. Dok kvantitativna izražava vrijednosti nekog rizika ako se ostvari i izražava ga u novčanim jedinicama, kvalitativna identificira koji je od tih rizika kritičan, koji je srednje važan, a koji je nebitan. Pri ocjeni je lakše koristiti kvalitetnu statističku podlogu, koju banke najčešće nemaju. Banke su kroz Basel II regulativnu dobile obavezu da počnu procjenjivati i ocjenjivati operativne rizike. Pošto ima različitih banaka, velikih, srednjih i malih, ponuđeno im je više različitih modela kako mogu upravljati rizikom. Isto, ali u manje strožoj mjeri, očekuje i ostale privredne subjekte kroz OECD smjernice. Informacijski sustav je skup ljudi, programske i računalne opreme koja je napravljena, oblikovana i dovedena u operativno stanje te služi skupljanju, zapisivanu, obrađivanju, spremanju i pronalaženju te prikazivanju informacija u odgovarajućem obliku. On je također ukupnost dokumenata, informatičkih stručnjaka, materijalnih i financijskih sredstava, načina upravljanja i prenošenja informacija od stvaratelja do korisnika (koji su također dio sustava). U slučaju banke, to znači praćenje cijelog niza poslovnih procesa: od samih radnika i interakcije sa sustavom, do načina kako procjenjivati rizik vanjskih sustava kao što su NKS, Swift, bankomati i EFTPOS terminali, itd. U Hrvatskoj većina banaka ne posjeduje odgovarajuće znanje o Basel II. Preko 60% banaka još nije započelo radnje vezane uz uvođenje Basela II. Sukladno tome, većina banaka ne provodi nikakvu analizu operativnih rizika. Samim time, rezultat analiza je pokazao da banke loše upravljaju rizikom informacijskog sustava kontinuitetom poslovanja, a unutarnja i vanjska revizija ne sudjeluju u dovoljnoj mjeri u tome što dodatno pogoršava situaciju. HNB je izdala dokument pod nazivom Smjernice za upravljanje rizikom informacijskih sustava. U tom je dokumentu HNB pomoću ISO17799 metodologiju pokušala bankama pokazati smjer u kojem se trebaju razvijati analize operativnih rizika. Naknadno je na temelju tog dokumenta proizišla i odluka o primjerenom upravljanju informacijskim sustavom koja bankama nameće dužnost procjene rizika i klasifikacije informacija. Analiziran je operativni rizik jedne manje hrvatske banke. Kao model za procjenu rizika odabran je kvalitativni model vidjeći da nije bilo statističke podloge za izradu kvantitativnog modela. Za izradu računalnog modela izradila se posebna baza pomoću alata Microsoft Access, u koju su se unijeli svi podaci o banci. Analizom dobivenih rezultata ustanovljeno je da banka ima visok operativni rizik kod testiranja aplikacija, plana, kontinuiranog poslovanja, organizacije i pristupu sustavu, posebice sa strane vanjskih tvrtki. Banka je također imala umjereni rizik kod načina kako su se radnici ponašali prema imovini banke kao i nedostatnu dokumentiranost imovine i procesa. Temeljem toga izrađen je plan kako restrukturirati inofrmacijski sustav banke, kako realizirati zadatke, te odrediti buduće smjernice za upravljanje operativnim rizicima.

rizik; operativni rizici; Basel; informacijski sustav; banka; HNB; Hrvatska

nije evidentirano