Az USA bankinformációs rendszerek (BIR) kontroll-modellje.

A bankinformatikával kapcsolatos kockázatok és az adekvát kontroll-környezet sokrétûségére és nézõpont szerinti különbözõségére utalnak, ezért a megfelelõ kontroll csak több rétegben - a rózsabimbó sziromleveleihez hasonló struktúrában biztosítható. A kontrollok ebben a struktúrában elég hatékony feladat-elhatárolásra adnak lehetõséget.

Az USA bankinformációs rendszerek (BIR) kontroll-modelljét a 3. sz. ábra tartalmazza.

Ennek a modellnek az alapkoncepciója az, hogy elsõdlegesen a banki legfelsõbb vezetés feladatává teszi a kockázat és az adekvát kontroll menedzsmentet. A legfelsõbb vezetést ebben a munkájában több külsõ (pl. külsõ ellenõrök/auditorok, biztosítók, piac, érdekképviseletek, felhasználói szövetségek, szövetségi és állami felügyeleti intézmények stb.) és belsõ szervezet és tevékenység (vezetõi kontroll, folyamatba épített ellenõrzések, belsõ ellenõrök és auditorok stb.) támogatja. Ebben a modellben a vezetést a külsõ szolgáltatási kapcsolataiban a szerzõdések és a szerzõdéses biztosítékokon keresztüli kontroll lehetõségek támogatják. Az állami szabályozást, és a kapcsolódó kontrollt a feladatmegosztásnak megfelelõ szövetségi, állami és önkormányzati szervek gyakorolják. Ezen szervezeteken belül helyezkednek el a bankfelügyeletek.

A szövetségi szintû bankfelügyeleti intézmények a következõk

1. Board of Governors of the Federal Reserve System ,
   INTERNET-cím: http://www.bog.frb.fed.us/

2. Federal Deposit Insurance Corporation,
   INTERNET-cím: http://WWW.FDIC.GOV/

3. National Credit Union Administration,
   INTERNET-cím: http://ncua.gov/

4. Office of the Comptroller of the Currency,
   INTERNET-cím: http://www.occ.treas.gov/

5. Office of Thrift Supervision,

6. Cél felügyeletek (pl. Farm Credit Administration).
   INTERNET-cím: http://www.fca.gov/

A fentieken túl az egyes államok területén (pl. State Banking Department [SBD]) és az egyes helyi önkormányzatok (közösségek) szintjén is mûködnek bankfelügyeleti szervek.

A szövetségi szintû bankfelügyeletek a stratégiai feladataiknak megfelelõen mérnek/elemeznek, szabályoznak és ellenõriznek.

A szövetségi szintû bankfelügyeletek által végzett mérések/elemzések célja az, hogy

• az információ-technológia oldaláról fenyegetõ veszélyeket feltárják,
• a veszélyek elhárításával kapcsolatos legjobb gyakorlatot, illetve szabályozást végre tudják hajtani.

A mérések/elemzések hatóköre kiterjed az egész bankrendszerre, annak részeire, az egyes bankokra, pénzügyi szolgáltatókra és a bankközi informatikai szolgáltatásokra is.

Az elemzésekbe a saját szakapparátusukon túl bevonják a különbözõ auditor cégek, szállítók és szolgáltatók szakapparátusát is.

A bankfelügyeleti ellenõrzéseket több típusba sorolják. Ezek közül az informatikai ellenõrzésekhez szorosan a prudenciális, a technológiai, biztonsági vizsgálatok kapcsolódnak.

Ezen tanulmány korlátozott keretei miatt csak utalok az ellenõrzési munkával kapcsolatos mérések/elemzések módszertani kérdéseire, és arra az általános gyakorlatra, hogy minden vizsgálat szerves részét képezi azon metodikai, back-office szolgáltatási háttér, amelyek alapján ezek a munkák hatékony elvégzését biztosították.

A szabályozási kérdésekkel is csak érintõlegesen foglalkozom, de az USA felügyeleti hatóságai és a banki információs rendszer auditorok között szabványként használatos Információs Rendszer Vizsgálati Kézikönyv 1996-os változatának végsõ vitáiban, a képfeldolgozással, az elektronikus pénzzel, az INTERNET-bankolással kapcsolatos szabályozási problémák egy részének vitáiban szerzett tapasztalatok alapján leszûrhetõ, hogy ez a munka hatalmas elméleti és koordinációs feladatot jelent.

A továbbiakban fõleg az ún. prudenciális és a technológiai ellenõrzések keretén belül:

• a BIR,
• az IT szolgáltatások,
• az elektronikus átutalások (EFT, AFT),
• a bankkártya,
• a hálózati bankolási technológiák

bankfelügyeleti ellenõrzésének elméleti és gyakorlati módszereivel - rendszer-szemléletû megközelítésben foglalkozom.

Bankinformációs rendszer vizsgálattal minden bankfelügyeleti szerv több éve foglalkozik. A fõállású banki informatikai rendszer-felügyelõk száma több ezret tesz ki. Rajtuk kívül ezen a területen dolgoznak még a bankokra szakosodott okleveles információs-rendszer auditorok, és az okleveles információs-rendszer belsõ ellenõrök.

A BIR ellenõrzés célja a bankfelügyelet biztosítása arról, hogy a pénzintézetben

• az informatikával kapcsolatos kockázatokat megfelelõen értékelik és menedzselik,
• az egyes adatok bevitele, feldolgozása és tárolása biztonságos és prudens,
• az üzemeltetési eljárások és azok kontrollja elfogadható szinten biztosított,
• az adott területen betartják a bankfelügyelet és a vezetés irányelveit, szabályait és szabványait.

A BIR rel foglalkozó vizsgálatok a prudenciális vizsgálatokhoz hasonlóan alapvetõen azt vizsgálják, hogy a bank egészséges és biztonságos mûködéséhez:

1. a bank tulajdonosainak képviselõi és a bank vezetõi megfelelõ módon mérik-e fel és értékelik a BIR kockázatokat,

2. létrehozták-e az adekvát kockázat-menedzsmentet, a megfelelõ kontroll-környezetet és szabályozást,

3. a BIR és a létrehozott kontroll-környezet folyamatosan a szabályozásnak megfelelõen mûködik-e.

Az egyes bankfelügyeletek ellenõrzési nézõpontja és vizsgálati köre a törvényi jogosítványtól függ. Az USA-ban is kialakult az információs rendszerek ellenõrzésével kapcsolatos egységes megközelítési mód (l. Az IS auditálás fõ alkotóelemei: 4. sz. ábra.), a különbözõ ellenõrzési rétegek közötti feladat-elhatárolás (vezetõi kontroll, folyamatba épített kontroll, belsõ audit, külsõ audit stb.) és az egyes kontroll-rétegek közötti információcsere és -értékelési metodika.

Ellenõrzési tevékenységüket a szektor és az egyes pénzintézetek felé értéknövelõ szolgáltatásként fogják fel.