Informatikai prevalidációs módszertan · • Vírusvédelem • Jogosultsági rendszer • A...
Transcript of Informatikai prevalidációs módszertan · • Vírusvédelem • Jogosultsági rendszer • A...
Informatikai prevalidációsmódszertan
Zsakó Enikő, CISAfőosztályvezető
PSZÁF – IT szakmai nap 2007. január 18.
Bankinformatika Ellenőrzési Főosztály
Tartalom
• CRD előírások banki megvalósítása• Belső ellenőrzés feladatai• Belső ellenőrök felkészülése• CRD folyamatok informatikai támogatása• Informatikai ellenőrzési módszertan• A módszertan alkalmazása• Tapasztalatok
PSZÁF – IT szakmai nap – 2007. január 18.
CRD előírások banki megvalósítása
• Banki projektek a megfelelés kialakítására
• Anyabanki függőségek • Mi is a belső ellenőrzés szerepe?• Belső ellenőrzés függetlensége• Kapcsolat a banki projekttel• Kapcsolat a Felügyelettel
PSZÁF – IT szakmai nap – 2007. január 18.
A belső ellenőrzés feladatai
• A prevalidáció során• A validáció során• Éves rendszeres felülvizsgálat során
Előírások:– CRD– Validációs kézikönyv– CP10
PSZÁF – IT szakmai nap – 2007. január 18.
IT ellenőrzési feladatok• Követelmények:
– CRD– A belső minősítési rendszerek (IRB) és a
Működési kockázat fejlett (AMA) bevezetéséről, értékeléséről, jóváhagyásáról
– CP10 – követelmények, pontosítások• Adatok• IT rendszerek• Adatminőségi előírások• Dokumentálás
• CRD folyamatok kezelésében érintettinformatikai rendszerek ellenőrzése
PSZÁF – IT szakmai nap – 2007. január 18.
Belső ellenőrök felkészülése
• A BaselII üzleti filozófiájának elsajátítása• A bank üzleti területei által kiválasztott módszer
és az abból adódó CRD követelmények megismerése
• A bank üzleti területei által kidolgozott folyamatok és dokumentumok áttekintése
• A CRD folyamatokat támogató informatikai rendszerek feltérképezése
• Informatikai rendszerek infrastruktúrájának és a megvalósított adatkezelési eljárások áttekintése
PSZÁF – IT szakmai nap – 2007. január 18.
Belső ellenőri kihívások
• Jogszabályi bizonytalanság• CRD előírások banki implementációjának
komplexitása• CRD előírások banki implementációja
folyamatban van• Nemzetközi legjobb gyakorlat kialakulása
még folyamatban van
PSZÁF – IT szakmai nap – 2007. január 18.
CRD folyamatok informatikai támogatása• Főbb modulok sematikus ábrája
Bankcsoportszintű TSZM
Külföldi leánycégek
TSZM
Külföldi leánycégekanalitikus rendszerei
Hazai leánycégekanalitikus rendszerei
Anyavállalatianalitikus rendszerek
Belföldi leánycégek
TSZM
AnyavállalatTSZM
ElemzésekÜgyfél, Ügylet
szegmentálás,PD, LGDszámítás
Lakos-ság
hitelbírá-lat
Vállalatihitelbírá-
lat
Jelentésszolgálat
PSZÁF – IT szakmai nap – 2007. január 18.
Informatikai ellenőrzési módszertan
• Miért volt szükség módszertan kidolgozására?
• Módszertan célja: Előírások átfordítása IT rendszerekkel szembeni konkrét követelményekre
• Módszertan tagolása:– Informatikai rendszerek, modulok vizsgálata– Programok vizsgálata– Egyéb BaselII-vel kapcsolatos témák
vizsgálata
PSZÁF – IT szakmai nap – 2007. január 18.
Informatikai ellenőrzési módszertan- 2Milyen rendszereket, modulokat, programokat
vizsgálunk?• Forrásrendszerből történő leválogatás• Minősítési rendszerek• Modellek kialakítása – poolok-ba sorolás• Hitelbírálati rendszerek• Hosszú távú elemzési adatbázisok• Default definíciók programjai• Tőkeszámítást végző modul• Jelentésszolgáltatás
PSZÁF – IT szakmai nap – 2007. január 18.
Informatikai ellenőrzési módszertan -3A módszertan felépítése1. A vizsgálandó témára vonatkozó célirányos
kérdések
2. Leírás – Mit kell vizsgálni?
3. Módszerek – Hogyan kell az ellenőrzést elvégezni?
PSZÁF – IT szakmai nap – 2007. január 18.
Informatikai rendszerek, modulok vizsgálata
• Üzemeltetés Átadás –átvétel dokumentuma
• Fizikai biztonság• Bemeneti eljárások• Üzemeltetési dokumentáció• Fejlesztési dokumentáció• Egyéb fejlesztési
dokumentáció• Üzemeltetési Rend• Információvédelmi
szabályozások• Változáskezelés
• Mentések• Helyreállítási Terv• Archiválási Rend• Adathordozók kezelése• Naplók, logok• Vírusvédelem• Jogosultsági rendszer• A felhasználói azonosító• Hardver – Szoftvertámogatás• Elvárások „Gyenge pontok”• Oktatás
• Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerekEllenőrzési témák:
PSZÁF – IT szakmai nap – 2007. január 18.
Példa: Üzemeltetési dokumentációKérdés• Teljes körűen átadásra kerültek a rendszer
üzemeltetéséhez szükséges dokumentációk? (Kérjük a dokumentumok megnevezését a mellékletben feltüntetni.)
• Az üzemeltetési dokumentációk rendelkeznek a futtatások ellenőrzésére szolgáló leírásokkal?
Módszerek• Dokumentációk áttekintése, interjú az üzemeltetést
végzőkkel a dokumentumok minőségére használhatóságára vonatkozóan. Ha nincs dokumentáció, akkor a revizorok a megállapításban írják le a pótlásukra hozott vezetői intézkedéseket.
PSZÁF – IT szakmai nap – 2007. január 18.
Példa: Üzemeltetési dokumentáció - 2Leírás• Minden rendszer rendelkezzen üzemeltetési
dokumentációval• A dokumentáció tartalmazza az összes folyamatot• A dokumentációban szerepelnie kell a futtatások
ellenőrzésére vonatkozó eljárásoknak, módszereknek• A dokumentáció tartalmazza a készítő és jóváhagyó adatait,
a hatálybalépés dátumát• A dokumentáció eredeti példányait legalább két, földrajzilag
elkülönült helyen kell tárolni. • Vizsgálni kell, hogy megtörténik-e a fenti
dokumentumok rendszeres karbantartása az üzemeltetést érintő változások bekövetkezésekor.
• Ha dokumentáció nincs, akkor a vizsgálat befejezéséig előkell állítani. A vizsgálat revizorainak megállapításai szerepeljenek a jelentésben.
PSZÁF – IT szakmai nap – 2007. január 18.
Programok vizsgálata
Helyben, esetleg anyabanknál fejlesztett, vagy vásárolt rendszerek
Ellenőrzési témák:– Átviteli programok– Leválogató, lekérdező programok– Adatbányászatot és számításokat végző– Egyéb kisegítő tevékenységet ellátó programok
PSZÁF – IT szakmai nap – 2007. január 18.
Egyéb BaselII-vel kapcsolatos témák vizsgálata
• Nem egy konkrét rendszerre vonatkozókövetelmények
• A teljes BaselII folyamatra vonatkozóan kell értékelni
• Általános elvek megvalósulásának ellenőrzése:
• Felelősség• Ellenőrzés• Adathiány kezelés• Információbiztonság• Adatminőség
PSZÁF – IT szakmai nap – 2007. január 18.
Példa: EllenőrzésKérdés• Milyen előírások vonatkoznak a Basel II
tevékenységek ellenőrzésére? (Üzleti követelmények – megvalósítás összhangja)
Módszerek• Dokumentációk tanulmányozása,
interjúkészítés a Basel - II felkészülés üzleti és informatika vezetőivel. (team, projekt, vezetők)
PSZÁF – IT szakmai nap – 2007. január 18.
Példa: Ellenőrzés - 2Leírás• Milyen dokumentált előírások vonatkoznak a Basel
II folyamat során használt adatok körére, tartalmára, ellenőrzési módszereire?
• Ezeket kizárólag az üzleti oldal határozta-e meg? Az informatikai tevékenységek eredményeit milyen szervezetek ellenőrizték?
• Eltérés esetén milyen szabályozás alapján történt a problémák kijavítása?
• Cél annak megállapítása, hogy az adatok előállítása kizárólag az üzleti előírások alapján történt-e?
• Az informatikai tevékenységek ellenőrzése és az eredmények átvétele dokumentált volt?
PSZÁF – IT szakmai nap – 2007. január 18.
Tapasztalatok
• Részletes, alapos, követhető üzleti és IT folyamatok
• Kidolgozott dokumentumok (üzleti, IT)• IT felkészültség időarányosan jó• Elhúzódó bevezetés• Végrehajtható módszertan
PSZÁF – IT szakmai nap – 2007. január 18.
Összefoglalás
• CRD előírások banki megvalósítása• Belső ellenőrzés feladatai• Belső ellenőrök felkészülése• CRD folyamatok informatikai támogatása• Informatikai ellenőrzési módszertan• A módszertan alkalmazása• Tapasztalatok
PSZÁF – IT szakmai nap – 2007. január 18.
?Kérdések
?
PSZÁF – IT szakmai nap – 2007. január 18.
Köszönöm a figyelmet!Zsakó EnikőfőosztályvezetőBankinformatika Ellenőrzési Főosztály
PSZÁF – IT szakmai nap – 2007. január 18.