A banki információs rendszerek kockázatainak felosztása
A nemzetközi gyakorlat szerint a korszerû banktechnológiák
esetén a BIR kockázatok különbözõ
szempontok szerint csoportosíthatók.
Ezeknek a kockázatoknak a fõ tárgykörök
szerinti osztályozása a következõ
lehet:
- az adatokkal,
- az üzleti folyamatokkal
és azok folytonosságával, megbízhatóságával,
- válság-menedzsmenttel
(ahol a válság lehet szektorális, vagy annak
egy részét érintõ, egyedi banki, informatikai
szolgáltatási stb.),
- a számítástechnikai
szolgáltatások minõségbiztosításával
és folytonosságával,
- a számítástechnikai
szolgáltatások korszerûségével
és költségeivel,
- az alkalmazási rendszerekben
alkalmazott eljárásokkal, számolási
/logikai módszerekkel,
- A vezetési módszerekkel,
a szervezettel, a szabályzással, a kockázatfelméréssel
és a kapcsolódó kontrollal,
- A tervezéssel, implementálással,
változás-menedzsmenttel, üzemeltetéssel,
- az erõforrásokkal
(pl. berendezések, szoftverek, technológiák,
ismeretek, saját adatok stb.),
- a humán és szervezeti
erõforrásokkal,
- az ismereti és tudásbázisokkal,
- egyebekkel kapcsolatos kockázatok.
Más megközelítési módok más
osztályozási kritériumuk szerint csoportosítják
a kockázatokat, például létezik:
- a banki felhasználás
típusa szerinti ( elektronikus pénzátutalás,
INTERNET-bankolás, automatizált csekk-feldolgozás,
számítógéppel támogatott hitelkezelés,
automatizált bankszámla-kezelés, bankkártya,
elektronikus pénz, vezetõi információ
rendszer stb.) megközelítés,
- A szolgáltatás
típusa (pl. eszközszállítás,
alkalmazásfejlesztés, rendszerintegrálás,
üzemeltetés, kulcsrakész szolgáltatás,
háttér-feldolgozás és adattárolás
stb.) szerinti osztályozás,
- Az életciklus folyamata
szerinti csoportosítás (pl. az igény-meghatározás,
a tervezés, a beszerzés/implementálás,
a szolgáltatás/szállítás, a
megfigyelés/monitorozás,
- Az alkalmazott információ-technológiai
osztályozás (pl. hálózatok, klient/szerver
architectúrák, PC felhasználás, képfeldolgozás,
prototípus szerinti alkalmazás-fejlesztés
stb.),
- A kontroll feladat-elhatárolása
( folyamatba épített kontroll, vezetõi kontroll,
szervezeti/feladat-elhatárolási kontroll, belsõ
ellenõrzés/auditálás, külsõ
auditálás, piaci kontroll, hatósági
kontroll stb.) és típusa (elõírásszerûség,
minõség, hatékonyság, tervszerûség,
elsõdleges, másodlagos, kiegészítõ
stb.) szerinti csoportosítás.
Az USA-ban jelenleg a bank mint organikus egész és
a különféle információs rendszerek
összekapcsolódásának a kockázatait
értékelik. Ezeknek a kockázatoknak a megítélése
során azt az elvet alkalmazzák, hogy az információ-technológiát
és a technológiával összefüggõ
szolgáltatásokat egy sor természetesen csoportosított
banküzemi és technológiai folyamatnak kell
vezérelnie avégett, hogy az IT olyan információkat
szolgáltasson a banknak, amelyre a céljainak eléréséhez
szüksége van. Ezért a BIR-rel kapcsolatos kockázatok
megítélését két oldalról
közelítik.
Egyik oldalról azokat a kockázatokat vizsgálják,
amely azáltal keletkeznek, hogy egy üzleti (számviteli,
irányítási, ügyviteli stb.) folyamat
részeként információ-technológiai
szolgáltatásokat vesznek igénybe, és
ezáltal új típusú kockázati
elemek jelennek meg (pl.: az adatok igény szerinti rendelkezésre
állása, a feldolgozási folyamat biztonsága,
a feldolgozási folyamatok igény szerinti folytonosságának
biztonsága stb.). Ezeknek a kockázatoknak a csökkentésére
létrehozott kontrollt és kontroll-környezetet
a nemzetközi gyakorlatnak megfelelõen alkalmazási
kontrolloknak nevezik.
Másik oldalról azt elemzik, hogy az informatikai
szolgáltatás - mint a pénzintézet
önálló szolgáltatói funkciója
- milyen kockázatokat hordoz magában és ezeket
a kockázatokat hogyan menedzselik. Ezeket a kontrollokat
általános kontrollnak nevezik.
Az elsõ esetben többnyire a következõ
kritériumok szabályozottságát és
teljesülését vizsgálják:
- hatékonyság
- hatásosság
- titoktartás
- integritás
- megbízhatóság
- elérhetõség
- szabályok betartása
A második esetben vizsgálják az informatikai
szolgálaton belül a
- szervezetet, szabályozottságot
és a tervezést
- a beszerzést és
a megvalósítást - implementálást
- a szolgáltatás-nyújtást
és -támogatást
- monitorozást.
Az életciklus-szakaszokban az IT erõforrások
(adatok, alkalmazási rendszerek, technikai és technológiai
eszközök, külsõ feltételek, a humán
és a szervezeti erõforrások) felhasználása
milyen kockázatokat foglal magában és a fellépõ
kockázatokat hogyan menedzselik
(l. 2. sz. ábra).