Informatikai prevalidációsmódszertan

Zsakó Enikő, CISAfőosztályvezető

PSZÁF – IT szakmai nap 2007. január 18.

Bankinformatika Ellenőrzési Főosztály

Tartalom

• CRD előírások banki megvalósítása• Belső ellenőrzés feladatai• Belső ellenőrök felkészülése• CRD folyamatok informatikai támogatása• Informatikai ellenőrzési módszertan• A módszertan alkalmazása• Tapasztalatok

PSZÁF – IT szakmai nap – 2007. január 18.

CRD előírások banki megvalósítása

• Banki projektek a megfelelés kialakítására

• Anyabanki függőségek • Mi is a belső ellenőrzés szerepe?• Belső ellenőrzés függetlensége• Kapcsolat a banki projekttel• Kapcsolat a Felügyelettel

PSZÁF – IT szakmai nap – 2007. január 18.

A belső ellenőrzés feladatai

• A prevalidáció során• A validáció során• Éves rendszeres felülvizsgálat során

Előírások:– CRD– Validációs kézikönyv– CP10

PSZÁF – IT szakmai nap – 2007. január 18.

IT ellenőrzési feladatok• Követelmények:

– CRD– A belső minősítési rendszerek (IRB) és a

Működési kockázat fejlett (AMA) bevezetéséről, értékeléséről, jóváhagyásáról

– CP10 – követelmények, pontosítások• Adatok• IT rendszerek• Adatminőségi előírások• Dokumentálás

• CRD folyamatok kezelésében érintettinformatikai rendszerek ellenőrzése

PSZÁF – IT szakmai nap – 2007. január 18.

Belső ellenőrök felkészülése

• A BaselII üzleti filozófiájának elsajátítása• A bank üzleti területei által kiválasztott módszer

és az abból adódó CRD követelmények megismerése

• A bank üzleti területei által kidolgozott folyamatok és dokumentumok áttekintése

• A CRD folyamatokat támogató informatikai rendszerek feltérképezése

• Informatikai rendszerek infrastruktúrájának és a megvalósított adatkezelési eljárások áttekintése

PSZÁF – IT szakmai nap – 2007. január 18.

Belső ellenőri kihívások

• Jogszabályi bizonytalanság• CRD előírások banki implementációjának

komplexitása• CRD előírások banki implementációja

folyamatban van• Nemzetközi legjobb gyakorlat kialakulása

még folyamatban van

PSZÁF – IT szakmai nap – 2007. január 18.

CRD folyamatok informatikai támogatása• Főbb modulok sematikus ábrája

Bankcsoportszintű TSZM

Külföldi leánycégek

TSZM

Külföldi leánycégekanalitikus rendszerei

Hazai leánycégekanalitikus rendszerei

Anyavállalatianalitikus rendszerek

Belföldi leánycégek

TSZM

AnyavállalatTSZM

ElemzésekÜgyfél, Ügylet

szegmentálás,PD, LGDszámítás

Lakos-ság

hitelbírá-lat

Vállalatihitelbírá-

lat

Jelentésszolgálat

PSZÁF – IT szakmai nap – 2007. január 18.

Informatikai ellenőrzési módszertan

• Miért volt szükség módszertan kidolgozására?

• Módszertan célja: Előírások átfordítása IT rendszerekkel szembeni konkrét követelményekre

• Módszertan tagolása:– Informatikai rendszerek, modulok vizsgálata– Programok vizsgálata– Egyéb BaselII-vel kapcsolatos témák

vizsgálata

PSZÁF – IT szakmai nap – 2007. január 18.

Informatikai ellenőrzési módszertan- 2Milyen rendszereket, modulokat, programokat

vizsgálunk?• Forrásrendszerből történő leválogatás• Minősítési rendszerek• Modellek kialakítása – poolok-ba sorolás• Hitelbírálati rendszerek• Hosszú távú elemzési adatbázisok• Default definíciók programjai• Tőkeszámítást végző modul• Jelentésszolgáltatás

PSZÁF – IT szakmai nap – 2007. január 18.

Informatikai ellenőrzési módszertan -3A módszertan felépítése1. A vizsgálandó témára vonatkozó célirányos

kérdések

2. Leírás – Mit kell vizsgálni?

3. Módszerek – Hogyan kell az ellenőrzést elvégezni?

PSZÁF – IT szakmai nap – 2007. január 18.

Informatikai rendszerek, modulok vizsgálata

• Üzemeltetés Átadás –átvétel dokumentuma

• Fizikai biztonság• Bemeneti eljárások• Üzemeltetési dokumentáció• Fejlesztési dokumentáció• Egyéb fejlesztési

dokumentáció• Üzemeltetési Rend• Információvédelmi

szabályozások• Változáskezelés

• Mentések• Helyreállítási Terv• Archiválási Rend• Adathordozók kezelése• Naplók, logok• Vírusvédelem• Jogosultsági rendszer• A felhasználói azonosító• Hardver – Szoftvertámogatás• Elvárások „Gyenge pontok”• Oktatás

• Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerekEllenőrzési témák:

PSZÁF – IT szakmai nap – 2007. január 18.

Példa: Üzemeltetési dokumentációKérdés• Teljes körűen átadásra kerültek a rendszer

üzemeltetéséhez szükséges dokumentációk? (Kérjük a dokumentumok megnevezését a mellékletben feltüntetni.)

• Az üzemeltetési dokumentációk rendelkeznek a futtatások ellenőrzésére szolgáló leírásokkal?

Módszerek• Dokumentációk áttekintése, interjú az üzemeltetést

végzőkkel a dokumentumok minőségére használhatóságára vonatkozóan. Ha nincs dokumentáció, akkor a revizorok a megállapításban írják le a pótlásukra hozott vezetői intézkedéseket.

PSZÁF – IT szakmai nap – 2007. január 18.

Példa: Üzemeltetési dokumentáció - 2Leírás• Minden rendszer rendelkezzen üzemeltetési

dokumentációval• A dokumentáció tartalmazza az összes folyamatot• A dokumentációban szerepelnie kell a futtatások

ellenőrzésére vonatkozó eljárásoknak, módszereknek• A dokumentáció tartalmazza a készítő és jóváhagyó adatait,

a hatálybalépés dátumát• A dokumentáció eredeti példányait legalább két, földrajzilag

elkülönült helyen kell tárolni. • Vizsgálni kell, hogy megtörténik-e a fenti

dokumentumok rendszeres karbantartása az üzemeltetést érintő változások bekövetkezésekor.

• Ha dokumentáció nincs, akkor a vizsgálat befejezéséig előkell állítani. A vizsgálat revizorainak megállapításai szerepeljenek a jelentésben.

PSZÁF – IT szakmai nap – 2007. január 18.

Programok vizsgálata

Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerek

Ellenőrzési témák:– Átviteli programok– Leválogató, lekérdező programok– Adatbányászatot és számításokat végző– Egyéb kisegítő tevékenységet ellátó programok

PSZÁF – IT szakmai nap – 2007. január 18.

Egyéb BaselII-vel kapcsolatos témák vizsgálata

• Nem egy konkrét rendszerre vonatkozókövetelmények

• A teljes BaselII folyamatra vonatkozóan kell értékelni

• Általános elvek megvalósulásának ellenőrzése:

• Felelősség• Ellenőrzés• Adathiány kezelés• Információbiztonság• Adatminőség

PSZÁF – IT szakmai nap – 2007. január 18.

Példa: EllenőrzésKérdés• Milyen előírások vonatkoznak a Basel II

tevékenységek ellenőrzésére? (Üzleti követelmények – megvalósítás összhangja)

Módszerek• Dokumentációk tanulmányozása,

interjúkészítés a Basel - II felkészülés üzleti és informatika vezetőivel. (team, projekt, vezetők)

PSZÁF – IT szakmai nap – 2007. január 18.

Példa: Ellenőrzés - 2Leírás• Milyen dokumentált előírások vonatkoznak a Basel

II folyamat során használt adatok körére, tartalmára, ellenőrzési módszereire?

• Ezeket kizárólag az üzleti oldal határozta-e meg? Az informatikai tevékenységek eredményeit milyen szervezetek ellenőrizték?

• Eltérés esetén milyen szabályozás alapján történt a problémák kijavítása?

• Cél annak megállapítása, hogy az adatok előállítása kizárólag az üzleti előírások alapján történt-e?

• Az informatikai tevékenységek ellenőrzése és az eredmények átvétele dokumentált volt?

PSZÁF – IT szakmai nap – 2007. január 18.

Tapasztalatok

• Részletes, alapos, követhető üzleti és IT folyamatok

• Kidolgozott dokumentumok (üzleti, IT)• IT felkészültség időarányosan jó• Elhúzódó bevezetés• Végrehajtható módszertan

PSZÁF – IT szakmai nap – 2007. január 18.

Összefoglalás

• CRD előírások banki megvalósítása• Belső ellenőrzés feladatai• Belső ellenőrök felkészülése• CRD folyamatok informatikai támogatása• Informatikai ellenőrzési módszertan• A módszertan alkalmazása• Tapasztalatok

PSZÁF – IT szakmai nap – 2007. január 18.

?Kérdések

?

PSZÁF – IT szakmai nap – 2007. január 18.

Köszönöm a figyelmet!Zsakó EnikőfőosztályvezetőBankinformatika Ellenőrzési Főosztály

PSZÁF – IT szakmai nap – 2007. január 18.