Professional Documents
Culture Documents
De ce?
1. Asigurrii stabilitii financiare
2. Protectia consumatorilor
3. Buna funcionare a pieei prin evitarea incidentelor de funcionare
Cum?
Aplicarea de reguli pentru analizarea, identificarea, prevenirea i reducerea impactului
potenial negativ al materializrii vulnerabilitilor generate de utilizarea tehnologiei
informaiei i a comunicaiilor la nivel de oameni, procese, sisteme i mediu extern.
Stabilirea unui cadru de supraveghere prudenial a ASF, n mod continuu, pe baza
principiilor de supraveghere plecnd de la riscuri i a creterii capacitii de analiz, prin
intermediul unui sistem de raportare,
Stabilirea unor activiti solicitate entitilor pentru creterea gradului de maturitate i a
mbuntirii mediului de evaluare i control intern ale acestora,
Alocarea difereniat a activitilor solicitate entitilor n funcie de natura,
dimensiunea, complexitatea aferente riscului operaional i sistemic,
Prevenirea riscurilor sistemice exogene (generate de teri - interese ostile naionale sau
sectoriale, concureniale, terorism i spionaj cibernetic, furnizori, personal extern, etc)
generate de criminalitatea informatic extern i a factorilor care pot afecta capacitatea
operaional sau sistemic.
Exemple de riscuri
Exemple de riscuri aferente oamenilor:
nerespectarea proceselor/procedurilor, erori de introducere manual, lipsa de instruire,
neescaladare, incompeten, personal insuficient, personal cheie neadecvat,
management inadecvat, comunicare deficitar, conflict de interese, lipsa cooperarii,
automulumire, fraud, etc.
Exemple de riscuri aferente proceselor:
Riscuri de model: lipsa proceselor organizatorice (cel puin referitoare la managementul
schimbrii, al incidentelor, al problemelor, al nivelurilor de servicii, al versionrilor, al
capacitii, al disponibilitii, al proiectelor), erori de metodologie sau model, erori de
evaluare, disponibilitatea rezervelor pentru pierderi, complexitatea modelelor, control
inadecvat pe procese, software neadecvate scopurilor de business, insuficiena
guvernanei corporative in acest domeniu, etc.;
Riscuri tranzactionale: erori de execuie, erori de nregistrare, managementul inadecvat
al datelor i informaiilor, erori de matching, compensare, colateral, complexitatea
produselor, riscuri de capacitate, ricuri de evaluare, riscuri de disclosure, fraude, etc.;
Riscuri de control operational: lipsa segragarilor de drepturi si atributii, depasirea
limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuri contabile,
control inadecvat al activitatilor externalizate, cderi ale furnizorilor de servicii.
Exemple (2)
Exemple de riscuri aferente sistemelor/tehnologiei:
sistem inadecvat de management al tehnologiei si securitatii informatice, lipsa
medodologiilor de dezvoltare si testare, capacitate insuficienta de procesare, caderi ale
sistemelor (hardware, software, stocare, telecomunicatii), caderi de retea, caderi ale
furnizorilor externi, sisteme inadecvate, protectie inadecvata fa de malware, riscuri de
compatibilitate, riscuri generate de furnizori/vanzatori, erori de programare, coruperea
datelor, riscuri de recuperare dupa dezastre, testare necorespunzatoare a recuperarii in
caz de dezastru, sistem neadecvat de actualizare tehnologica, sisteme invechite,
serviciile de suport pentru sisteme necorespunztoare.
Exemple de riscuri externe:
pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate de
oameni, caderi ale furnizorilor externi, fraude si activitati criminale externe, expuneri
externe ale securitatii sistemelor, atacuri teroriste clasice sau informatice, criminalitate
informatica, caderi ale alimentarii cu electricitate.
Managementul Continuitii
Continuitatea activitatii in caz de avarie sau dezastru, necesita existenta unui Centru pentru
Recuperare in caz de Dezastru (CRD) al entitii.
In ceea ce priveste conditia de continuitate a activitatii sistemelor in caz de intrerupere a
functionarii centrului primar, se ia in considerare un centru de procesare alternativ, astfel
incat operarea sa poata fi reluata intr-un interval de timp foarte scurt, care sa nu perturbe
activitatea serviciilor entitatii, asa cum sunt ele definite chiar de entitate.
Indicatorii de risc:
au rolul i genereaz informaii relevante n cadrul unui sistem de avertizare timpurie
pentru profilul de risc operational.
permit managementului sa documenteze si sa analizeze tendintele, furniznd o
perspectiv de viitor si semnaliznd aciuni necesare inainte ca riscul sa determine o
pierdere concret.
Indicatorii de risc ajuta la definirea apetitului la risc prin definirea unor limite.
Asftel, Indicatorii cheie de risc (KRI) trebuie sa fie parte a procesului de monitorizare si
msur, mai mult decat un simplu semnal pentru o interventie de management.
Q&A
Mulumesc,
Clin Rangu
Calin.rangu@asfromania.ro