Managementul Riscului Operational. Aspecte Legate de Sistemele Informatice

Managementul
riscului operational
Aspecte legate de sistemele informatice
Adrian Codirlasu, CFA, PHD
www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

Recunoasterea riscului
operational

Riscul operational
 Riscul de credit si de piata sunt riscuri de
bilant al institutiilor financiare
 Aceste riscuri pot fi gestionate si reduse
utilizand pietele financiare
 Dar institutiile financiare sunt expuse si

riscurilor datorate fluxurilor si proceselor
pe banza carora isi desfasoara afacerile
3
Exemple
 NASDAQ (94) – intreruperea sistemului de
tranzactionare; (2012) - Facebook
 Barings (95) – rogue trader
 NatWest (97) – manipulare rezultate sfarsit de an
 Atacuri teroriste (2001) - settlement
 Citibank, JP Morgan (Enron) (2004)
 Societe Generale (2009) – rogue trader
 LIBOR (2012)
 JP Morgan (2012, 2013) – settlement miss-selling
4
Principale cauze si efecte
 Vanzare defectuoasa a produselor financiare,
insider trading, tranzactii neautorizate
 Fraude interne si erori umane
 Riscuri legale si de compliance
 Pentru multe dintre aceste riscuri nu exista
posibilitati de asigurare
 Consecintele acestor riscuri pot merge pana la

faliment sau preluare de catre o alta institutie si
la pierderea reputatiei
5
Factori de amplificare
 Cresterea gradului de automatizare in
serviciile financiare (e-finance,
outsourcing)
 Cresterea concentrarii si globalizarea
serviciilor financiare
 Cresterea gradului de complexitate al
produselor tranzactionate pe pietele
financiare
6
Solutii de reducere
 Masuri de prevenire (exemplu: planuri de
continuare a afacerii)
 Masuri de asigurare (exemplu: asigurare
cladiri si echipamente, asigurarea
persoanelor cheie, polite de asigurare
BBB)
7
Managementul riscului
operational
Proces sistematic si riguros, care contine
patru etape:
(1) identificarea surselor de risc operational,
(2) evaluarea pierderilor potentiale,
(3) monitorizarea si
(4) administrarea expunerilor la riscul
operational
8
Identificarea riscului
operational

Definitie
 Riscul operational reprezinta riscul de a
inregistra pierderi datorate proceselor
interne, oamenilor sau siemelor
nefunctionale sau inedecvate sau din
evenimente externe (Basel II)
10
Definitie
 Riscul de pierdere care rezultă fie din
utilizarea unor procese, persoane sau
sisteme interne inadecvate sau care nu si-
au indeplinit functia in mod corespunzator,
fie din evenimente externe, si care include
riscul juridic (Regulamentul 575/2013).
11
Sursele de risc operational
 Interne, care se refera la elemente privind
resurse umane, procese, sisteme,
structura institutiei, natura activitatilor
desfasurate, modificările organizationale;
 Externe, precum catastrofe naturale,
frauda externa, atacuri teroriste, progresul
tehnologic, conditii economice, politice sau
legislative care impiedica atingerea
obiectivelor.
12
Risc operational vs alte riscuri
 Risc operational:
 Frauda, furt, activitati neautorizate
 Erori de tranzactionare si alte erori umane
 Riscuri legale, de reglementare si de
conformitate
 Alte riscuri:
 Riscul de afacere (strategic)
 Riscul reputational
 Riscurile economice sistemice
13
Principalele componente ale
 Capacitatea operationala
 Oamenii
 Sistemele de tranzactionare si de
inregistrare a tranzactiilor
 Reconcilierea si contabilitatea tranzactiilor
cu contrapartidele externe
 Schimbarea si activitatile noi
 Volatilitatea cheltuielilor si veniturilor
14
Tipuri de evenimente de risc
operational
 Frauda interna
 Frauda externa
 Personal
 Clienti, produse si practici comerciale
 Deteriorarea activelor corporale
 Intreruperea activitatii si defectiuni ale
sistemelor
 Managementul executiei, livrarii si
proceselor
15
Frauda interna
 Vizeaza pierderile datorate unor actiuni de genul
celor comise cu intentia de fraudare, de insusire
frauduloasa de bunuri (in sens juridic) sau de
incalcare/eludare a reglementarilor, legislatiei
sau politicii companiei, in care este implicata cel
putin o persoana din interiorul acesteia.
 Ex. Tranzactii neraportate intentionat, operatiuni

bancare neautorizate, furt, jaf, intocmirea de
situatii si rapoarte false cu rea credinta in
intentia de a frauda.
16
Frauda externa
 Vizeaza pierderile datorate unor actiuni de
genul celor comise cu intentia de fraudare,
de insusire frauduloasa de bunuri sau de
incalcare/eludare a legislatiei, comise de
un tert.
 Ex. Furt/jaf, falsificarea de documente,
fraude electronice, activitati ale hackerilor,
furt de informatii, accesul neautorizat in
sistemele informatice.
17
Personal
 Vizeaza surse de pierderi legate actiuni
contrare prevederilor legislatiei si
conventiilor in materie de angajare,
sanatate si siguranta la locul de munca,
din plata de daune pentru vatamari
corporale sau din practici/evenimente de
discriminare sau de incalcare a principiilor
diversitatii.
 Ex. compensatii, beneficii, sanatatea
angajatilor, discriminare, organizarea
muncii.
18
Clienti, produse si practici
 Vizeaza pierderile rezultate din incalcarea
neintentionata sau din neglijenta a
obligatiilor profesionale fata de clienti
(inclusiv cele privind increderea/siguranta
si cele privind adecvarea serviciilor) sau
din natura sau caracteristicile unui produs.
 Ex. incheierea eronata a contractelor,

incalcarea confidentialitatii, manipularea
pietei, reactii antitrust, produse cu defecte,
activitate nelicentiata. 19
Deteriorarea activelor corporale
 Vizeaza pierderile generate de

distrugerea sau deteriorarea activelor
corporale in urma catastrofelor naturale
sau a altor evenimente.
 Ex. calamitati naturale, folosirea

necorespunzatoare a activelor corporale
si distrugerea acestora.
20
Intreruperea activitatii si defectiuni
ale sistemelor
 Vizeaza pierderi generate de intreruperi
ale activitatii sau functionarea neadecvata
a sistemelor utilizate in companie.
 Ex. defectiuni hardware, inclusiv defectiuni

ale echipamentelor de stocare a
informatiilor, erori ale sistemelor
informatice.
21
Managementul executiei, livrarii
si proceselor
 Vizeaza surse de pierderi precum erori in
procesarea tranzactiilor sau procesul de
management, din relatiile cu partile.
 Ex. termene expirate sau responsabilitati uitate,
erori de contabilitate, pastrarea, arhivarea si
procesarea necorespunzatoare a documentelor
in relatia cu clientii, lipsa de documente sau
documente incomplete, divergente cu furnizorii
si clientii.

22
Evaluarea riscului
operational

Evaluarea riscului operational
 Are scopul de a depista cele mai
vulnerabile operatiuni ale companiei, prin
intermediul unei scale de risc (risc scazut,
mediu, ridicat).
 Clasificarea activitatilor se face in functie
de probabilitatea de aparitie a
evenimentului generator de pierderi din
risc operational si severitatea impactului
sau asupra situatiei financiare a
companiei.
24
Instrumente de evaluare
 Baza de date privind pierderile cauzate
de riscul operational
 Indicatori de avertizare timpurie
 Score cards
 Scenarii de risc operational
 Date privind pierderi cauzate de riscul
operational ale altor companii
 Modele de risc

25
Scorecards
 Analiza subiectiva
 Reflecta un model care face legatura dintre pierderile din
risc operational si politici
 Permit modificarea circumstantelor si analiza de
scenario
 Reflecta efectele diferitelor expuneri la risc si a calitatii
controalelor
 Ajuta la intelegerea pierderilor din risc operational si a
modului in care acestea pot fi controlate
 Ex.: impactul erorilor din tranzactii daca volumul creste
cu 20%, iar personalul creste cu 10%, dar este mai
calificat
26
Construire scorecard
 Expunerile si calitatea controalelor sunt
clasificate in termini calitativi (ridicat,
mediu, scazut)
 Impactul analizat pe diuverse scale
(pierderi directe, intarzieri, reputatie)
 Model (implicit) care face legatura dintre:
 Date de intrare (expunere, calitatea
controalelor)
 Date de iesire (costuri, intarzieri)

27
Modele de risc
 Modelarea presupune realizarea de ipoteze: cum
strategiile de afaceri si procesele pot genera
pierderi din risc operational
 Pentru calibrarea modelelor pot fi utilizate datele
istorice de pierderi; dar multe date de intrare vor fi
estimate subiectiv
 In cazul pierderilor cu frecventa ridicata, modelele
statistice pot fi calibrate pentru evaluarea
pierderilor anticipate precum si ariscurilor
 Pierderile cu frecventa redusa si impact mare
presupun analize specifice
28
Gestiunea riscului
operational

Gestiunea riscului operational
 Presupune adoptarea masurilor
administrative de control.
 Compania adoptă o atitudine diferita in
gestionarea riscului operational in functie
de frecventa cu care acesta se manifesta,
avand totodata in vedere si impactul
financiar pe care il genereaza, respectiv:

30
Tipuri de riscuri (1)
 Nominale – pierderi repetitive (care pot aparea
cu o frecventa mai mare un
eveniment/saptamana), ex: risk de settlement,
fraude externe minore, erori umane in
procesarea tranzactiilor
 Comune/ordinare – de la o frecventa de un
eveniment/saptamana la unul intr-o generatie
 Extraordinare – cu impact ridicat dar frecventa
redusa – probabilitate de sub 3% pe an
 Imateriale – suficient de mici pentru a fi ignorate

31
Management functie de tip
 Riscuri nominale: doar pierderile asteptate

pot fi semnificative, iar acestea trebuie
comparate cu costul controlului
 Riscuri comune – trebuie analizate
 Riscuri exceptionale – pot cauza
falimentul. Trebuie analizate de la caz la
caz. Nu poate fi constituita rezerva de
capital pentru acestea.

32
Risc vs. return
 Toate tipurile de risc care au impact
asupra veniturilor trebuie considerate
impreuna. Reducerea unui risc poate
cauza cresterea altuia.
 Intotdeauna costurile controlului aditional
trebuie balansate cu reducerea de risc

33
Tipuri de riscuri (II)
 Riscurile operationale pot fi clasificate in termeni
de:
 Frecventa: numarul de evenimente in cadrul unui
anumit interval
 Severitate: impactul evenimentului in termini de
pierdere financiara
 Exemple (riscuri cu frecventa si severitate
medie):
 Riscullegal
 Fraude minore
 Amenzi pentru practici incorecte
 Nefunctionare sisteme 34
Riscuri cu frecventa redusa si
severitate mare
 Aceste riscuri se situeaza pe coada
distributiei de probabilitate
 Exemple:
 Frauda masiva
 Atac terrorist
 Pot afecta viitorul institutiei

 Capitalul nu este constituit pentru
asemenea riscuri
 Pot fi asigurate 35
Riscuri cu frecventa ridicata si
severitate redusa
 Sunt situate in centrul distributiei de probabilitate
 Exemple:
 Frauda carduri de credit
 Riscuri de procesare
 Pierderea asteptata este de obicei inclusa in

costul serviciilor oferite
 Pierderile sunt situate intr-un interval ingust
 Ca urmare, pierderile neasteptate sunt relative
mici iar cerinta de capital este redusa
36
37
Management functie de
frecventa vs. severitate
 asumarea riscurilor cu frecventa scazuta si severitate redusa;

 diminuarea riscurilor cu frecventa mare si severitate redusa;
 transferul riscurilor cu frecventa scazuta si severitate ridicata;
 eliminarea riscurilor cu frecventa mare si severitate ridicata.

38
Capitalul aferent riscului
operational

Basel II
 A introdus cerinta de capital aferenta
 Trei piloni in abordarea riscurilor (inclusive
a riscului operational):
 Cerinta de capital
 Supravegherea
 Disciplina pe piata (diseminarea publica a
informatiilor)

40
Capitalul aferent riscului
operational
 Abordarea de baza – Basic indicator
approach (BIA)
 Abordarea standardizata pe linii de afaceri
– Standardised approach (STA)
 Abordarea de masurare avansata bazata
pe evenimentele de risc operational si
controale interne – Advanced
Measurement Approach (AMA)
41
Abordarea de baza

Indicatorul de baza
ORR = Alpha x indicator de baza
Unde indicatorul de baza reprezinta o
masura a volumului de afaceri
Venitul brut este indicatorul de baza utilizat
Alpha = 15%

43
Definitia venitului brut
 Venitul brut este compus din net interest income
si non-interest income inainte de cheltuielile
operationale
 Include provizioanele si cheltuielile operationale
 Exclude
 P&L-ul realizat si nerealizat din titlurile financiare in
banking book
 P&L din activitatile extraordinare sau nerecurente
 Venitul din asigurari
 In scopul calculului capitalului aferent riscului

operational media venitului brut din ultimii 3 ani
(din care se exclud anii cu pierdere) este luata in
44
considerere
Cerinta de fonduri proprii (R 575/2013)
 Cerinta de fonduri proprii pentru riscul
operațional este egala cu 15 % din media
pe trei ani a indicatorului relevant.
 In cazul in care o instituție functioneaza de
mai putin de trei ani, poate utiliza estimari
ale evolutiei activitatii pentru calcularea
indicatorului relevant, cu conditia sa
inceapa folosirea datelor istorice de indata
ce sunt disponibile.

45
Cerinta de fonduri proprii (R 575/2013)
 In cazul in care, pentru o anumita perioada
de observare, indicatorul relevant este
negativ sau egal cu zero, institutiile nu iau
in considerare aceasta cifra la calcularea
mediei pe trei ani. Instituțiile calculează
media pe trei ani ca suma a cifrelor
pozitive împartita la numarul de cifre
pozitive.

46
Indicatorul relevant (suma)
 (1) Venituri din dobanzi si venituri asimilate
 (2) Cheltuieli cu dobanzile si cheltuieli asimilate
 (3) Venituri din actiuni si alte titluri cu randament
fix/variabil
 (4) Venituri din comisioane/taxe
 (5) Cheltuieli cu comisioane/taxe
 (6) Profit net sau pierdere neta din operatiuni
financiare
 (7) Alte venituri din exploatare

47
Comentarii aferente BIA
 Calibrarea este realizata pe date
insuficiente
 Alegerea venitului brut ca si indicator de
baza este controversata
 Dezavantajaza bancile care crediteaza
companii/persoane cu rating scazut
(pentru care dobanda solicitata este
ridicata)
 Proportionalitatea cu venitul brut
dezavantajaza institutiile mari 48
Efectele utilizarii BIA
 Majoreaza cerinta de capital pentru institutiile care
sunt putin expuse la riscul de piata sau de credit dar
au venituri brute consistente (ex. Managementul
activelor, consultata) in comparative cu institutiile care
au venituri brute reduse
 Nu ofera stimulente pentru imbunatatirea
managementului riscului operational
 Incurajaza utilizarea de asigurari si descurajaza
controlul riscului (costuri care nu genereaza o
reducere a capitalului)
 Utilizarea venitului brut ca si indicator poate avea
efecte negative cum ar fi reducerea cheltuielilor pentru
controale operationale
49
Abordarea standard

Abordarea standard
 ORR = suma de (Beta x indicator de volum)
 Unde suma se realizeaza pentru 8 linii de afaceri
predefinite
 Indicatorul de volum reprezinta venitul brut definit in
BIA
 Factorii de multiplicare Beta sunt stabiliti de catre
institutia de reglementare

51
Definirea liniilor de afaceri
 Investment banking
 Corporate finance (Basel II beta 18%)
 Trading and sales (18%)
 Banking:
 Retail
(12%)
 Commercial (15%)
 Payment and settlement (18%)
 Agency & custody (15%)
 Altele:
 Asset management (12%)
 Retail brokerage (12%)

52
Abordarea standard alternativa
 Disponibila, la discretia reglementatorului
pentru retail banking si commercial
banking
 Ca si indicator de volum, venitul brut este
inlocuit cu de m ori media pe ultimii 3 ani a
creditelor acordate, neponderate functie
de risc si a titlurilor financiare aflate in
banking book
 m = 0.035, factorii beta raman neschimbati

53
Comentarii asupra abordarii standard
 Nu reflecta riscurile specific si nici calitatea
controlului riscurilor operationale
 Venitul brut trebuie mapat pentru fiecare
segment de activitate
 Insumarea cerintelor de capital pentru
riscul operational afferent fiecarei arii de
activitate nu recunoaste beneficiile
diversificarii activitatii institutiei financiare

54
Efecte ale utilizarii abordarii
standard
 In medie conduc la un capital aferent riscului
operational similar cu cel rezultat din aplicarea
BIA, dar cu mai mult effort (indeplinirea unuo
standarde cantitative si calitative)
 Insumarea cerintelor de capital aferente fiecarei
linii de afaceri poate conduce la stimulente in
favoarea specializarii activitatilor
 Nu recunoaste si descurajaza un control mai
bun al riscului

55
Abordarea avansata de
masurare a riscului
operational

Abordarea avansata de masurare
 Cerinta de capital trebuie sa acopere

pierderile asteptate si neasteptate, pentru
un orizont de un an si un nivel de
relevanta de 99,9%
 Daca pierderile asteptate nu au fost deja
provizionate
 Bancile pot sa isi dezvolte propriile metode
pentru stabilirea distributiei pierderilor
57
Cerinta de capital

58
Capital
 Capitalul afferent riscului operational este format
din:
 Pierderea neasteptata in distributia pierderilor
 Plus pierderea asteptata, in cazul in care aceasta nu
este acoperita prin includerea in costuri
 Agregate pentru toate liniile de afaceri si tipuri de
evenimente
 Basel II recomanda 99.9% nivel de relevanta si
un orizont de timp de un an
 Intern, in calculul capitalului economic, o
percentile mai mare poate fi utilizata, care sa fie
consistenta cu rating-ul dorit. Ex. Ratingul AA
implica o percentila de 99.97% 59
Criterii de indeplinit
Bancile active international care folosesc
metodologia standard, precum si toate bancile
care folosesc abordarea avansata trebuie sa
indeplineasca urmatoarele criterii:
 Existenta unei functii de management al riscului
operational (care sa dezvolte strategii in vederea
identificarii, evaluarii, monitorizarii si
controlului/reducerii riscului operational)
 Identificarea si urmarirea riscului operational
pentru fiecare linie de business

60
Criterii de indeplinit
 Raportarea periodica catre management a
expunerilor aferente riscului operational si
a pierderilor peste nivelul de materialitate
aferente riscului operational
 Sisteme de management al riscului
operational bine documentate si proceduri
care sa asigure conformitatea
 Validare periodica a sistemelor si
activitatilor
 Audit periodic realizat de catre auditorul
extern sau supraveghetor 61
Standarde calitative (R 575/2013)
 Sistem intern de cuantificare a riscului operational al
institutiei face parte integranta din procesele curente de
gestionare a riscurilor;
 Institutiile dispun de o functie independenta de
gestionare a riscului operational;
 Institutiile dispun de proceduri de raportare periodica a
expunerilor la riscul operational si a pierderilor
inregistrate, precum si de proceduri de implementare a
masurilor de remediere care se impun;
 Sistemul de gestionare a riscurilor din cadrul institutiei
este bine formalizat. Instituția dispune de practici de
asigurare a conformitatii si de politici de tratare a
cazurilor de neconformitate.
62
Standarde calitative (R 575/2013)
 Procesele de gestionare si sistemele de
cuantificare a riscului operational sunt supuse
unor examinări periodice realizate de catre
auditori interni sau externi;
 Procesele de validare interna ale institutiei
opereaza într-un mod corect si eficient;
 Fluxurile de date si procesele asociate
sistemului de cuantificare a riscului din cadrul
institutiei sunt transparente si accesibile.

63
Standarde cantitative pentru AMA
 Nivel de relevanta de 99.9% pentru un orizont
de un an; modelul verificat riguros, independent
 Consintent cu tipurile de evenimente definite de
Basel
 Demonstrarea acoperirii pierderilor anticipate
 Granularitate suficienta pentru capturarea
factorilor determinant ai riscurilor care afecteaza
forma cozii distributiei
 Demonstrarea catre reglementator a faptului ca
sistemele de masurare a corelatiilor sunt robuste
 Cerinte referitoare la date (interne, externe,
64
indicatori de risc, scenarii).
Masuri de reducere a riscului in AMA
 Recunoasterea asigurarilor este limitata la
20% din cerinta totala de capital aferenta
riscului operational, pe baza unor criterii
de eligibilitate
 Criterii de eligibilitate:
 Asigurator independent de institutia financiara
 Rating (minim A)
 Maturitatea minima reziduala a contractului
 Perioada minima de preaviz in cazul rezilierii
contractului (90 de zile)
 Transparenta 65
Date
 Intitutiile financiare trebuie sa ia in
considerare:
 Pierderile:istoric de 5 ani, pentru 8 linii de
business si 7 tipuri de evenimente (56 de
categorii)
 Date externe
 Controale interne
 Criterii cantitative si calitative

 Aprobari prealabile de la supraveghetor
66
Liniile de afaceri
 Investment banking
 Corporate finance
 Trading and sales
 Banking:
 Retail
 Commercial
 Payment and settlement
 Agency & custody
 Altele:
 Asset management
 Retail brokerage

67
Tipurile de evenimente de risc
operational
 Frauda interna
 Frauda externa
 Personal
 Clienti, produse si practici comerciale
 Deteriorarea activelor corporale
 Intreruperea activitatii si defectiuni ale sistemelor
 Managementul executiei, livrarii si proceselor
 Pot fi divizate in subtipuri (20) 68

Date interne
 Mapate pe 56 de categorii
 Prag pentru capturare
 Date aditionale:
 Datapierderii
 Descrierea cauzelor
 Recuperari
 Istoric de minim 5 ani

69
Alte surse de date
 Date interne pentru evenimentele cu
frecventa redusa si impact mare sunt greu
de obtinut
 Ca urmare sunt utilizate date subiective:
 Date externe: consortia externe
 Auto-analiza (self-assessment): al risck
managerului sau opinii ale expertilor
 Scenarii

70
Self asessment
 Prezinta o estimare subiectiva, forward
looking pentru parametri frecventei si
severitatii distributiei
 Poate fi preferata datelor istorice deoarece
acestea sunt backward looking iar
estimarea riscului trebuie sa fie pentru
viitor (forward looking)
 Dar judecatile calitative trebuie
transformate in evaluari cantitative ale
parametrilor modelului
71
Key risk drivers (KRD)
 Pentru ca evaluarea riscului sa fie relevanta
si forward-looking, Basel solicita bancilor
care au adoptat AMA sa ia in considerare
factori cheie de control care tin cont de
mediul de desfasurare a activitatii si
calitatea controlului (near-misses)
 KRD sunt:
 Relevanti, masurabili si identificabili
 Folositi in analiza de senzitivitate
 Folositi pentru a justifica ajustarile aplicate
estimarilor empirice ale pierderilor 72
Key risk indicators (KRI)
 Relatia dintre KRD si pierderile cauzate de
riscul operational sunt de multe ori dificil
de estimate
 In modelarea acestei relatii este introdusa
o variabila intermediara, care poate fi usor
monitorizata si poate fi asociata atat cu
KRD cat si cu perderile cauzate de riscul
operational - KRI

73
Exemplu
KRD KRI Pierderi – risc
operational
Politica de angajari Variatia (rotatia) Erori umane
Politica de remunerare personalului Frauda interna
Training Miss-selling

74
Calcul capital
 Ipoteze:
 De fiecare data cand se manifesta riscul
operational, aceeasi suma este pierduta (L) –
severitatea este constanta si nu o variabila
aleatoare
 Pentru fiecare linie de business si tip de risc,
Capitalul = φ x deviatia standard a pierderilor
 Evolutia aleatoarea distributiei pierderilor este
generate doar de catre distributia frecventei
pierderilor

75
Calcul capital


76
Exemple
 Calculati pierderea anticipate si neanticipata,
pentru 99.9% pentru
 A: Erori de procesare
 30000 tranzactii procesate in back office
 Probabilitatea unei erori care genereaza pierdere
0.01
 Pentru fiecare eveniment pierderea este de 1000
 Frauda
 60 tranzactii realizate in corporate finance
 Probabilitatea unei fraude interne care sa genereze o
pierdere este de 0.0005
 Pentru fiecare eveniment pierderea este de 10 mio
77
Solutie
Caz A Caz B
N 30 000 60
p 0.01 0.005
L 1 000 10 000 000
λ (= Np) 300 0.03
φ 3.1 5.489
Pierdere anticipate (λL) 300 000 300 000
17 320.51 1 732 050.81
Capital 53 694 9 507 227

78
Efectele AMA
 Implementarea metodologiei este

costisitoare pentru bancile de talie medie
 Instututiile de supraveghere au nevoie de
resurse considerabile pentru analiza si
aprobarea modelelor si parametrilor

79
Norma ASF 4/2018

Sisteme informatice (1)
 Sisteme informatice necesare pentru derularea în bune
condiţii a activităţii autorizate/avizate de A.S.F.
 sisteme de tranzacţionare/sisteme alternative de tranzacţionare
 sisteme de compensare, decontare, depozitare şi custodie
 platforme/aplicaţii de tranzacţionare sau distribuţie prin internet sau
telefon
 sisteme de gestiune asiguraţi
 sisteme de gestiune şi subscriere contracte de asigurare
 sisteme de înregistrare şi gestiune a dosarelor de daună
 platforme de emitere a contractelor de asigurare
 sisteme de gestiune a contractelor de reasigurare
 sisteme de gestiune a participanţilor la fondurile de pensii private
 sisteme de administrare a portofoliilor de instrumente financiare ale
fondurilor de pensii private
 sisteme de call-center 81
Sisteme informatice (2)
 aplicaţii online utilizate în scopul de distribuţie şi informare a clienţilor,
precum accesarea conturilor online
 sisteme informatice de back-office
 sisteme interne pentru asigurarea raportărilor către A.S.F. şi alte
instituţii/entităţi ale pieţei financiare
 sisteme informatice folosite în activitatea financiar- contabilă a entităţii,
cum ar fi programele de contabilitate
 sisteme electronice de vot şi alte sisteme informatice cu implicaţii
semnificative asupra sistemului de guvernanţă al entităţii, precum
sisteme de tip teleconferinţă/videoconferinţă utilizate pentru
desfăşurarea la distanţă a şedinţelor consiliului de
administraţie/consiliului de supraveghere
 sisteme informatice cu impact asupra planului pentru continuitatea
afacerii şi redresării activităţii în caz de dezastre
 aplicaţii centrale de business
 infrastructura informatică utilizată pentru sistemele informatice
importante găzduite în locaţiile de centre de date 82
Incadrarea entitatilor in
categoria de risc
Functie de sistemele folosite, fiecare entitate
se incadreaza intr-o clasa de risc
 risc major
 risc important
 risc mediu
 risc scăzut

83
Obligatii
 Intocmirea unui registru al aplicatiilor
 Auditarea sistemelor IT (teste de penetrare externe,teste
de penetrare interne şi teste de inginerie sociala), functie
de risc (de la anual la o data la 4 ani)
 Evaluarea anuala a riscului aplicatiilor
 Monitorizarea permanenta a riscurilor operationale
 Scanare a vulnerabilitatii (anual)
 Raportarea catre ASF a evenimentelor de securitate
informatica
 Testarea anuala a raspunsului la incidente
 Testarea sistemelor IT, functie de risc (de la anual la o
data la 4 ani)

84
Cerinte aferente sistemelor IT (1)
 asigură integritatea, confidenţialitatea, autenticitatea,
disponibilitatea datelor
 asigură respectarea conţinutului de informaţii prevăzut în
formularele de raportare
 asigură stocarea şi păstrarea datelor înregistrate şi
jurnalizate de către sistemele de tranzacţionare, de
emiterecontracte de asigurări/avizare dosare de daune şi
sisteme back- office
 asigură elemente de identificare a datelor supuse
prelucrării sau verificării (timp, utilizatori)
 asigură confidenţialitatea şi protecţia informaţiilor şi a
programelor prin parole, coduri de identificare pentru
accesul la informaţii, precum şi realizarea de copii de
siguranţă 85
Cerinte aferente sistemelor IT (2)
 asigură mecanisme de securitate şi control
al sistemelor informatice importante
 asigură reconstituirea rapoartelor şi
informaţiilor
 asigură posibilitatea de restaurare a datelor
arhivate pe suport digital extern

86
Auditor extern
 Auditorul IT extern care intenţionează să presteze
servicii de audit IT pentru entităţile cărora le sunt
incidente prevederile prezentei norme are obligaţia
înscrierii în Lista auditorilor IT externi menţinută de
A.S.F.
 Cerinte specific ale ASF in ceea ce priveste
auditorul extern (CV, experienta, asigurare, plata
tariff de inscriere in registru)

87
Externalizari
 Obligaţia de a notifica la A.S.F. furnizorul extern sau
furnizorul de servicii IT externalizate, în termen de
maximum 14 zile de la data încheierii contractului cu
acesta.
 Pentru sistemele informatice importante, furnizorii IT:
 permit respectarea de către entitate a prevederilor normei
4/2018
 permit A.S.F. şi auditorului IT să verifice şi/sau să auditeze
sistemele sale informatice în contextul aplicării prevederilor
normei 4/2018 sau pun la dispoziţia auditorului IT un raport de
audit IT întocmit în conformitate cu standardele ISAE 3402 sau
echivalent pentru sistemele informatice puse la dispoziţia entităţii

88
Raportari
 Raportul anual privind evaluarea internă a riscurilor
operaţionale efectuată în conformitate cu prevederile art.
6 alin. (1), până la data de 31 martie a anului curent;
 Raportul de audit IT întocmit pentru perioada supusă
auditului pentru auditul IT efectuat în conformitate cu art.
21, până la data de 30 iunie a anului curent, după ultimul
an din perioada supusă auditului, însoţit de copia
certificatului de auditor IT semnată pentru conformitate
cu originalul valabil la momentul întocmirii raportului de
audit
 raportarea electronică anuală cu indicatorii solicitati de
norma 4/2019

89
ASFM disclaimer:
Informaţiile prezentate în acest material au un caracter informativ, sunt confidenţiale
şi pot fi protejate prin lege. Orice dezvăluire, copiere, distribuire a sa, precum şi orice
acţiune sau inacţiune decisă în baza sa se poate face numai cu acordul scris al AS
Financial Markets;
AS Financial Markets nu este răspunzătoare faţă de nici un participant sau societate
pentru orice inexactitate sau informaţie care poate induce în eroare utilizatorul
informaţiei;
AS Financial Markets este înregistrat ca operator de date cu caracter personal sub
numărul 30212.

90

Managementul Riscului Operational. Aspecte Legate de Sistemele Informatice

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Managementul Riscului Operational. Aspecte Legate de Sistemele Informatice

Încărcat de

Drepturi de autor:

Formate disponibile

Managementul

Adrian Codirlasu, CFA, PHD

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Dar institutiile financiare sunt expuse si

 Consecintele acestor riscuri pot merge pana la

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Ex. Tranzactii neraportate intentionat, operatiuni

 Ex. incheierea eronata a contractelor,

 Vizeaza pierderile generate de

 Ex. calamitati naturale, folosirea

 Ex. defectiuni hardware, inclusiv defectiuni

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Riscuri nominale: doar pierderile asteptate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Pot afecta viitorul institutiei

 Pierderea asteptata este de obicei inclusa in

 asumarea riscurilor cu frecventa scazuta si severitate redusa;

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

Venitul brut este indicatorul de baza utilizat

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 In scopul calculului capitalului aferent riscului

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Cerinta de capital trebuie sa acopere

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Criterii cantitative si calitative

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Pot fi divizate in subtipuri (20) 68

 Istoric de minim 5 ani

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

 Implementarea metodologiei este

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate

www.cursuribursa.ro Cursuri Bursa © - 2019 Toate drepturile rezervate