Exemplul Calcul Evaluare Riscuri Masuri Control Sablon Raportare Riscuri Operationale

Categorie Resurs/
Activitate
Denumire sistem informatic
Valoare resursa /
activitate
Risc (descriere / amenintare)
Vulnerabilitate (factori de risc)
Valoare
probabilitate
[1]
[2]
[3]
[4]
[5]
[6]
Categoria 1 - riscuri operaionale OAMENI

Conducerea executiv
Conducerea societatii
Staie de lucru / baz de date /

sisteme informatice importante
nerespectarea proceselor, procedurilor sau a

instruciunilor de lucru
Lipsa unor instrumente de control pentru situatia in care

conducerea executiva nu respecta procesele si procedurile de
lucru

Automulumire
Implementarea unor controale insuficiente sau ineficiente.

operaiuni suspecte de splarea banilor i

finanarea actelor de terorism
Lipsa filtrelor eficiente pentru tranzactiile suspecte.

nerespectarea regimului de sanciuni

internaionale
Lipsa filtrelor eficiente pentru tranzactiile suspecte. Neaducerea la

zi a noutatilor cu privire la sanctiunile internationale

Frauda interna
Lipsa verificarilor eficace. Lipsa principiului celor patru ochi.

Management impropriu al drepturilor de acces in aplicatie.
Relatia cu clientii
Personal si activitati frontoffice
Sistem front-office / Staie de

lucru / baz de date / sisteme
informatice importante / Alte
Vanzarea de produse necorespunzatoare

clientilor respectivi
Functionarea defectuoasa a sistemelor de front office. Incadrarea

defectuoasa in categoriile de risc pentru clientii noi.

erori de introducere manual sau de utilizare

neadecvat a sistemelor informatice
cunostinte si pregtire insuficiente a personalului financiar

contabil

Stergerea accidentala a informatiilor stocate in

bazele de date

contabil. Management impropriu al drepturilor de acces in
aplicatie
Operatiuni
Personal si activitati
operatiuni
Sistem operatiuni / Staie de lucru

/ baz de date / sisteme
Frauda interna

operatiuni


Lipsa unor instrumente de control pentru situatia in care

conducerea executiva nu respecta procesele si procedurile de
lucru
operatiuni

Automulumire
Implementarea unor controale insuficiente sau ineficiente.
operatiuni

operaiuni suspecte de splarea banilor i

finanarea actelor de terorism
Lipsa filtrelor eficiente pentru tranzactiile suspecte.
operatiuni

nerespectarea regimului de sanciuni

internaionale
Lipsa filtrelor eficiente pentru tranzactiile suspecte. Neaducerea la

zi a noutatilor cu privire la sanctiunile internationale
operatiuni

Frauda interna

operatiuni



operatiuni

modificarea informaiilor sau a datelor din

rapoarte, fr documentarea adecvat
Raportarea eronata catre autoritatile de supraveghere
operatiuni



contabil
operatiuni


bazele de date

aplicatie
operatiuni

Erori de evaluare
Evaluarea eronata a activelor societatii
operatiuni

Erori de procesare
Procesarea eronata a documentelor justificative
operatiuni

Erori de plata
Plata eronata a unor sume de bani
operatiuni


Procesarea eronata a unor operatiuni
operatiuni

Frauda interna

operatiuni

dependena de angajai cheie
Inexistenta unui back-up pentru persoanele cheie din companie.

Proceduri de recrutare ineficiente.
operatiuni

Personal insuficient
operatiuni

lipsa unei delimitri clare ntre rolurile

persoanelor care
acceseaz/administreaz/dezvolt sistemele
informatice
Proceduri de lucru neclare sau nepuse in aplicare
operatiuni

conflict de interese ntre personalul care

dezvolt i cel care administreaz sistemele
informatice ori ntre utilizatorii acestora
Inexistenta unor proceduri privind gestiunea conflictelor de

interesa sau nepunerea in aplicare a acesteia
operatiuni

operatiuni

cunostine, experien i pregtire insuficient a

Buget de training insuficient. Lipsa implicarii managementului in
personalului care utilizeaz sau deservete
acest aspect.
sistemele informatice
alterarea datelor
Alterarea datelor din sistemele informatice, fara posibilitatea

identificarii autorului si a informatiilor initiale
operatiuni


Procese organizatorice, proceduri si instructiuni de lucru

neimplementate sau inexistente
operatiuni

Lips de comunicare i cooperare ntre angajai
Necomunicarea la timp a unor informatii critice de la un

departament catre altul
operatiuni

Proceduri de recrutare ineficiente. Buget de resurse umane

insuficient. Evaluarea eronata e necesarului de personal
Financiar - contabilitate
Personalul si activitati
financiar contabile
Sistem financiar contabil / Staie

de lucru / baz de date / sisteme
modificarea informaiilor sau a datelor din

rapoarte, fr documentarea adecvat
financiar contabile



contabil
financiar contabile


bazele de date

aplicatie
financiar contabile

Erori de evaluare
financiar contabile

Erori de procesare
Procesarea eronata a documentelor justificative
financiar contabile

Erori de plata
Plata eronata a unor sume de bani
financiar contabile


Procesarea eronata a unor operatiuni
financiar contabile

Frauda interna

Functii cheie ale entitatii
Functii cheie si activitati

aferente
Sistem cheie / Staie de lucru /

baz de date / sisteme informatice
importante / Alte sisteme
informatice importante
dependena de angajai cheie

aferente

lipsa unei delimitri clare ntre rolurile

persoanelor care
acceseaz/administreaz/dezvolt sistemele
informatice

Tehnologia informatiei
Personal si sisteme IT

Proceduri de lucru neclare sau nepuse in aplicare
conflict de interese ntre personalul care

dezvolt i cel care administreaz sistemele
informatice ori ntre utilizatorii acestora

Inexistenta unor proceduri privind gestiunea conflictelor de

interesa sau nepunerea in aplicare a acesteia


alterarea datelor



Procese organizatorice, proceduri si instructiuni de lucru

neimplementate sau inexistente

Lips de comunicare i cooperare ntre angajai
Necomunicarea la timp a unor informatii critice de la un

departament catre altul
cunostine, experien i pregtire insuficient a

Buget de training insuficient. Lipsa implicarii managementului in
personalului care utilizeaz sau deservete
acest aspect.
sistemele informatice
Suport
Functii suport si activitati
aferente
Staie de lucru / baz de date

Categoria 2 - riscuri operaionale PROCESE

Conducerea executiv
lipsa proceselor organizatorice
Procese organizatorice neimplementate sau inexistente
control inadecvat al proceselor
Controlul efectuat de personal necorespunzator. Neefectuarea

controalelor conform cerintelor interne
insuficiena guvernanei corporative
Inexistenta strategiei privind guvernanta corporativa. Mecanisme

de guvernanta corporativa necorespunzatoare
Relatia cu clientii
Sistem front-office





contabil


bazele de date

aplicatie
Operatiuni
operatiuni

lipsa separrii drepturilor i atribuiilor
Tranzactionarea efectuata de catre personal necalificat sau fara

atributii in domeniul respectiv
operatiuni

depirea limitelor
Tranzactionarea eronata a unor instrumente financiare
operatiuni

riscuri de volum
Tranzactionarea eronata a unor instrumente financiare
operatiuni

riscuri de securitate

operatiuni

riscuri de raportare
operatiuni

riscuri de nregistrri contabile neadecvate
Procesarea eronata a tranzactiilor cu instrumente financiare
operatiuni

control inadecvat al activitilor externalizate
Lipsa unor controale interne cu privire la activitati critice
operatiuni

ntreruperea furnizrii serviciilor
Un sistem informatic critic nu poate fi accesat pentru o lunga

perioada de timp
operatiuni

neidentificarea operaiunilor n spe n funcie

de indicatorii de risc i variabile analitice
prestabilite
Neidentificarea indicatorilor de risc. Parametrizarea

necorespunzatoare a variabilelor analitice prestabilite.
operatiuni

lipsa proceselor organizatorice
Procese organizatorice neimplementate sau inexistente
operatiuni

control inadecvat al proceselor
Controlul efectuat de personal necorespunzator. Neefectuarea

controalelor conform cerintelor interne
operatiuni

insuficiena guvernanei corporative
Inexistenta strategiei privind guvernanta corporativa. Mecanisme

de guvernanta corporativa necorespunzatoare
operatiuni



operatiuni

erori de execuie
Executarea eronata a unor operatiuni contabile
operatiuni

erori de nregistrare
Inregistrarea eronata a unor operatiuni economice
operatiuni

managementul inadecvat al datelor i

informaiilor
Neasigurarea caracteristicilor informatiilor (consistenta,

durabilitate)
operatiuni

erori de matching, compensare i colateral
Matching eronat datorat sistemelor informatice utilizate. Erori in

cadrul procesului de compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor
operatiuni

complexitatea produselor
Erori cauzate de neintelegerea naturii economice de la baza unor

produse financiare complexe
operatiuni

riscuri de capacitate
Capacitate insuficienta a bazelor de date de a prelua informatiile.

Capacitate insuficienta de personal de a gestiona volumul
operatiunilor financiare
operatiuni

riscuri de evaluare
operatiuni

riscuri de confidenialitate
Divulgarea de informatii sensibile catre mediul exterior. Furt de

date cu caracter personal
operatiuni

fraude
Fraude cauzate de personal financiar contabil cu acces la multiple

sisteme si niveluri informatice.
operatiuni

erori de metodologie sau de model
Definirea gresita a modelelor econometrice
operatiuni

erori de evaluare
operatiuni

disponibilitatea rezervelor pentru acoperirea

pierderilor
Rezerve insuficiente pentru acoperirea pierderilor operationale.

Lichiditate insuficienta a activelor din rezerve
operatiuni

complexitatea modelelor

operatiuni

software neadecvate obiectivelor de activitate
Sofware fara functiile critice necesare. Software cu o viteza

redusa de procesare, sau cu o capacitate insuficienta de procesare
a informatiilor.
operatiuni


financiar contabile

erori de execuie
Executarea eronata a unor operatiuni contabile
financiar contabile

erori de nregistrare
Inregistrarea eronata a unor operatiuni economice
financiar contabile

managementul inadecvat al datelor i

informaiilor
Neasigurarea caracteristicilor informatiilor (consistenta,

durabilitate)
financiar contabile

erori de matching, compensare i colateral
Matching eronat datorat sistemelor informatice utilizate. Erori in

cadrul procesului de compensare. Erori in cadrul procesului de
adecvare a colateralului clientilor
financiar contabile

complexitatea produselor

financiar contabile

riscuri de capacitate

financiar contabile

riscuri de evaluare
financiar contabile

riscuri de confidenialitate
Divulgarea de informatii sensibile catre mediul exterior. Furt de

date cu caracter personal
financiar contabile

fraude
Fraude cauzate de personal financiar contabil cu acces la multiple

sisteme si niveluri informatice.

aferente

erori de metodologie sau de model
Definirea gresita a modelelor econometrice

aferente

erori de evaluare

aferente

disponibilitatea rezervelor pentru acoperirea

pierderilor
Rezerve insuficiente pentru acoperirea pierderilor operationale.

Lichiditate insuficienta a activelor din rezerve

aferente

complexitatea modelelor


software neadecvate obiectivelor de activitate
Sofware fara functiile critice necesare. Software cu o viteza

redusa de procesare, sau cu o capacitate insuficienta de procesare
a informatiilor.
Suport
aferente

Categoria 3 - riscuri operaionale SISTEME

Conducerea executiv
sistem inadecvat de management al tehnologiei

i securitii
Sisteme care nu asigura functiile critice necesare. Inexistenta

procedurilor de backup. Operabilitate redusa a sistemelor.
Relatia cu clientii
Sistem front-office
sisteme inadecvate
Sisteme care nu asigura functiile critice necesare. Operabilitate

redusa a sistemelor.



contabil


bazele de date

aplicatie
Operatiuni
operatiuni

sistem inadecvat de management al tehnologiei

i securitii
Sisteme care nu asigura functiile critice necesare. Inexistenta

procedurilor de backup. Operabilitate redusa a sistemelor.
operatiuni

sisteme inadecvate
Sisteme care nu asigura functiile critice necesare. Operabilitate

redusa a sistemelor.
operatiuni

coruperea datelor
Prezenta datelor invalide, sau a datelor ce nu pot fi accesate de

ctre utilizatori
operatiuni

capacitate insuficient de procesare

operatiuni

ntreruperi n funcionarea sistemelor

(hardware, software, stocare, telecomunica ii)
Lipsa sistemelor de back-up pentru energie electrica sau a liniilor

secundare de telecomunicatii
operatiuni

cderi de reea
Inexistenta sistemelor de backup corespunzatoare
operatiuni

ntreruperii n furnizarea serviciilor prestate de

furnizorii externi
Neraportarea incidentului ctre furnizor in timp util.
operatiuni

protecie inadecvat mpotriva malware
Sisteme critice importante afectate de malware
operatiuni

riscuri de compatibilitate
Incapacitatea de a utiliza informatii sau fisiere necompatibile cu

noile versiuni ale programelor software
operatiuni

riscuri generate de furnizori/vnztori

operatiuni

erori de programare
Buguri, posibile brese de securitate, procesare inceata a datelor,

baze de date instabile.
operatiuni

riscuri de recuperare dup dezastre
Plan BCP necorespunzator sau necunoscut de catre angajati.

Locatie secundara improprie.
operatiuni

testare necorespunztoare a recuperrii n caz

de dezastru
Locatie secundara improprie. Testarea neefectuata la timp, sau

efectuata partial
operatiuni

sistem inadecvat de actualizare tehnologic
Pierderi sau coruperea informatiilor existente. Atacuri cibernetice

asupra sistemelor critice
operatiuni

sisteme nvechite

operatiuni

lipsa metodologiilor de dezvoltare si testare
Dezvoltare improprie a sistemelor informatice. Testare ce nu tine

cont de specificatiile de business
operatiuni

servicii necorespunztoare de suport pentru

sisteme
Neconformitatea cu reglementarile legale respective (resurse

umane, PSI, autorizari / avizari autoritati locale)
financiar contabile

Prezenta datelor invalide, sau a datelor ce nu pot fi accesate de

ctre utilizatori
coruperea datelor

aferente


capacitate insuficient de procesare

ntreruperi n funcionarea sistemelor

(hardware, software, stocare, telecomunica ii)


cderi de reea
Inexistenta sistemelor de backup corespunzatoare

ntreruperii n furnizarea serviciilor prestate de

furnizorii externi
Neraportarea incidentului ctre furnizor in timp util.

protecie inadecvat mpotriva malware
Sisteme critice importante afectate de malware

riscuri de compatibilitate
Incapacitatea de a utiliza informatii sau fisiere necompatibile cu

noile versiuni ale programelor software

riscuri generate de furnizori/vnztori


erori de programare
Buguri, posibile brese de securitate, procesare inceata a datelor,

baze de date instabile.

riscuri de recuperare dup dezastre
Plan BCP necorespunzator sau necunoscut de catre angajati.

Locatie secundara improprie.

testare necorespunztoare a recuperrii n caz

de dezastru
Locatie secundara improprie. Testarea neefectuata la timp, sau

efectuata partial

sistem inadecvat de actualizare tehnologic


sisteme nvechite


lipsa metodologiilor de dezvoltare si testare
Dezvoltare improprie a sistemelor informatice. Testare ce nu tine

cont de specificatiile de business
Administrare defectuasa
Incendiu
Cutremur
Inundatie
Lipsa sistem automat de detectie si stingere a incediilor

Lipsa sistem supraveghere video
Defectiune hardware

Defectiune hardware
Router
(Model , Serie)
IPS / IDS (Model , Serie)
Incendiu
Cutremur
Inundatie
Switch 1,2 (Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware

Defectiune hardware
Server Mail (Model, Serie)
Incendiu
Cutremur
Inundatie
Server Backup
(Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware
Server Web
(Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware
Server BD
(Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware
Server Aplicatie Online Clienti

(Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware
Sever Aplicatii Intranet

(Model, Serie)
Incendiu
Cutremur
Inundatie

Defectiune hardware
Echipament1 locatie DR (Model,

Serie)
N/A
Echipament hostat intr-o locatie alternativa
DataCenter
Defectiune hardware
Echipament2 locatie DR (Model,

Serie)
N/A
Echipament hostat intr-o locatie alternativa
DataCenter
Defectiune hardware
Imprimante, scanere
Incendiu
Cutremur
Inundatie

Defectiune hardware
Echipament desktop
Incendiu
Cutremur
Inundatie

Defectiune hardware
Vulnerabilitati software
Erori de programare
Acces neautorizat
Modificri neautorizate ale software-ului sau
datelor
Erori de programare
Lipsa testari periodice

Neaplicarea la timp a update-urilor necesare
Pregtire de specialitate necorespunz-toare a personalului.
Erori de programare
Acces neautorizat
datelor
Erori de operare
Erori de programare
Acces neautorizat
datelor
Erori de programare
Aplicatie online clienti
Aplicatie contabilitate
Aplicatie Intranet
Solutie securitate IT (antivirus,

firewall, etc)
Erori de programare
Acces neautorizat


Pregtire de specialitate necorespunz-toare a personalului.


Licente Sistem Operare 1
Vulnerabilitati software. Acces neautorizat
Contracte
Acces neautorizat
Dezvaluire informatii
Configurarea necorespunztoare a funciilor de securitate ale

sistemelor de operare
Lipsa filtru software
Continut trafic utilizatori
Corespondenta
Acces neautorizat

Arhiva date
Acces neautorizat

Declaratii
Acces neautorizat

Dosare personal
Acces neautorizat

Decizii
Acces neautorizat


Suport
aferente

sisteme
Categoria 4 - riscuri operaionale EXTERNE

Conducerea executiv
Pierderea persoanelor cheie




contabil


bazele de date

aplicatie
Relatia cu clientii






contabil


bazele de date

aplicatie
Operatiuni
operatiuni

ntreruperi n furnizarea serviciilor prestate de

furnizori externi

operatiuni

Pierderea persoanelor cheie

operatiuni



operatiuni

fraude i activiti criminale externe

operatiuni

pierderi datorate evenimentelor

catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizaiei

Defectiune hardware
operatiuni

atacuri teroriste clasice sau informatice
Lipsa sistemelor de siguranta si de back-up a sistemelor

informatice critice
operatiuni

criminalitate economic i/sau informatic

informatice critice
operatiuni

cderi ale alimentarii cu electricitate

operatiuni

expuneri externe ale securitii sistemelor

Defectiune hardware
operatiuni


sisteme

financiar contabile


fraude i activiti criminale externe

aferente

pierderi datorate evenimentelor

catastrofice/dezastrelor naturale sau generate de
oameni ori factori din afara organizaiei

Defectiune hardware

aferente

atacuri teroriste clasice sau informatice

informatice critice

aferente

criminalitate economic i/sau informatic

informatice critice

aferente

cderi ale alimentarii cu electricitate


expuneri externe ale securitii sistemelor

Defectiune hardware
Suport
aferente

sisteme

Valoare
vulnerabilitate
Valoare risc
Masuri de control al
riscului
[7]
[3]+[6]+[7]
[8]
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
N/A
N/A
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Anexa 1
Nr. Crt
Eveniment
nedorit
Vulnerabilitate
Ameninare
asociat
Nivel
Prob. prod.
even.
Nivel Impact
risc
Incendiu
Absena unui sistem

automat de detectie si
stingere a incendiului.
Mica
Mare
Mediu
Cutremur
Lipsa planurilor de
continuare a activitatii sau
a procedurilor de
recuperare /refacere a
informatiilor in caz de
cutremur
Mica
Mare
Mediu
Mica
Mare
Mediu
Acces neautorizat Copierea neautorizat de

date / software
Mica
Mare
Mediu
Configurarea
necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Mica
Mare
Mediu
Producerea
unui incendiu
Producerea
unui cutremur
Cderi ale tensiunii Lipsa surselor

de alimentare
nentreruptibile de
alimentare cu energie
Alimentareneco
electrica.
respunztoare
cu energie
electrica
Dezvaluire
informatii
Copierea
neautorizat de
date / software
Utilizarea
necorespunzto
Erori de operare
ale personalului
Utilizarea
necorespunzto
are a resurselor
i serviciilor
sistemului
(erori de
utilizare)
Erori de operare
ale personalului
Erori de
programare
Modificri
neautorizate ale
software-ului
Lipsa fiierelor de backup.
Mica
Mare
Mediu
Pregtire de specialitate
necorespunztoare a
personalului.
Mica
Mediu
Mic
Configurarea
necorespunztoare a
funciilor de securitate ale
sistemelor de operare.
Mica
Mare
Mediu
Mica
Mare
Mediu
necorespunztoare a
personalului.
Mica
Mare
Mediu
Mica
Mare
Mediu
necorespunztoare a
personalului.
Mica
Mare
Mediu
Msuri de control al riscului

Implementate
-Verificarea si intreinerea instalaiilor.
-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele autorizate i verificarea periodic.
-Exista BCP, locatie alternativa de procesare a datelor.
- Instruirea personalului autorizat al sistemului privind modul de ac iune la incendiu.
Masuri viitoare
-Existena unor mijloace automate de detectie si stingere a incendiului
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de evenimente
-Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
Implementate
-Structura de rezisten a cldirii este solid.
-Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt din materiale solide.
-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up, persoanele autorizate i verificarea periodic.
-Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare
-Instruirea personalului autorizat al sistemului privind modul de ac iune in caz de cutremur.
-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de evenimente.
Implementate
-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
-Toate serverele sunt prevazute cu UPS
Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
Implementate
-Existenta IDS, antivirus, Firewall.
-Instruirea continua a personalului.
-Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
-Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privind utilizarea resurselor i serviciilor sistemului.
-De asemenea trebuie resprectata politica de securitate existenta.
-In zona serverelor si nu numai, accesul se va face pe baza de cartela magnetica.
Implementate
- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele de utilizatori autoriza i ai sistemului i de aplicarea principiului necesit ii de a cunoa te.
-S-a creat o locatie alternativa de backup in DataCenter-ul X.
-Exista elaborarta o procedura de creare a fiierelor de back up care s vizeze frecven a, tipul de back-up, persoanele autorizate i verificarea periodic a fi ierelor de back-up.
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul de productie.
Masuri viitoare
-Cursuri de specialitate
Implementate
- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele de utilizatori autoriza i ai sistemului i de aplicarea principiului necesit ii de a cunoa te.
-S-a creat o locatie alternativa de backup in DataCenter-ul X.
-Exista elaborarta o procedura de creare a fiierelor de back up care s vizeze frecven a, tipul de back-up, persoanele autorizate i verificarea periodic a fi ierelor de back-up.
- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul de productie.
Masuri viitoare
-Cursuri de specialitate
Categorie Resurs/ Activitate
Denumire sistem informatic
Valoare resursa /
activitate
[1]
[2]
[3]
resursa / activitate
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
Risc (descriere / amenintare)

[4]
Categoria 1 - riscuri operaionale OAMENI
Structura organizatorica 1
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
Categoria 2 - riscuri operaionale PROCESE
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
Vulnerabilitate (factori de risc)
Valoare probabilitate
[5]
[6]
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
sistem informatic
sistem informatic
sistem informatic
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
Categoria 3 - riscuri operaionale SISTEME
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
Categoria 4 - riscuri operaionale EXTERNE
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
sistem informatic
sistem informatic
sistem informatic
1
2
3
risc (amenintare)
risc (amenintare)
risc (amenintare)
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
vulnerabilitate
vulnerabilitate
vulnerabilitate
1
2
3
Valoare vulnerabilitate
Valoare risc
Msuri de
control al
riscului
[7]
[3]+[6]+[7]
[8]
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1
1
2
3
3
6
9
Anexa 1
Anexa 1
Anexa 1

Exemplul Calcul Evaluare Riscuri Masuri Control Sablon Raportare Riscuri Operationale

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Exemplul Calcul Evaluare Riscuri Masuri Control Sablon Raportare Riscuri Operationale

Încărcat de

Drepturi de autor:

Formate disponibile

Categorie Resurs/

Denumire sistem informatic

Risc (descriere / amenintare)

Vulnerabilitate (factori de risc)

Categoria 1 - riscuri operaionale OAMENI

Staie de lucru / baz de date /

nerespectarea proceselor, procedurilor sau a

Lipsa unor instrumente de control pentru situatia in care

Staie de lucru / baz de date /

Implementarea unor controale insuficiente sau ineficiente.

Staie de lucru / baz de date /

operaiuni suspecte de splarea banilor i

Lipsa filtrelor eficiente pentru tranzactiile suspecte.

Staie de lucru / baz de date /

nerespectarea regimului de sanciuni

Lipsa filtrelor eficiente pentru tranzactiile suspecte. Neaducerea la

Staie de lucru / baz de date /

Lipsa verificarilor eficace. Lipsa principiului celor patru ochi.

Personal si activitati frontoffice

Sistem front-office / Staie de

Vanzarea de produse necorespunzatoare

Functionarea defectuoasa a sistemelor de front office. Incadrarea

Personal si activitati frontoffice

Sistem front-office / Staie de

erori de introducere manual sau de utilizare

cunostinte si pregtire insuficiente a personalului financiar

Personal si activitati frontoffice

Sistem front-office / Staie de

Stergerea accidentala a informatiilor stocate in

cunostinte si pregtire insuficiente a personalului financiar

Sistem operatiuni / Staie de lucru

Lipsa verificarilor eficace. Lipsa principiului celor patru ochi.

Sistem operatiuni / Staie de lucru

nerespectarea proceselor, procedurilor sau a

Lipsa unor instrumente de control pentru situatia in care

Sistem operatiuni / Staie de lucru

Implementarea unor controale insuficiente sau ineficiente.

Sistem operatiuni / Staie de lucru

operaiuni suspecte de splarea banilor i

Lipsa filtrelor eficiente pentru tranzactiile suspecte.

Sistem operatiuni / Staie de lucru

nerespectarea regimului de sanciuni

Lipsa filtrelor eficiente pentru tranzactiile suspecte. Neaducerea la

Sistem operatiuni / Staie de lucru

Lipsa verificarilor eficace. Lipsa principiului celor patru ochi.

Sistem operatiuni / Staie de lucru

Vanzarea de produse necorespunzatoare

Functionarea defectuoasa a sistemelor de front office. Incadrarea

Sistem operatiuni / Staie de lucru

modificarea informaiilor sau a datelor din

Raportarea eronata catre autoritatile de supraveghere

Sistem operatiuni / Staie de lucru

erori de introducere manual sau de utilizare

cunostinte si pregtire insuficiente a personalului financiar

Sistem operatiuni / Staie de lucru

Stergerea accidentala a informatiilor stocate in

cunostinte si pregtire insuficiente a personalului financiar

Sistem operatiuni / Staie de lucru

Evaluarea eronata a activelor societatii

Sistem operatiuni / Staie de lucru

Procesarea eronata a documentelor justificative

Sistem operatiuni / Staie de lucru

Plata eronata a unor sume de bani