Rola systemów IT wspierających procesy zarządzania ryzykiem kredytowym z zastosowaniem metody IRB omówienie wymogów z zakresu integralności i bezpieczeństwa systemów IT oraz systemu zarządzania jakością danych w banku Mateusz Górnisiewicz Departament Oceny Ryzyka Urząd Komisji Nadzoru Finansowego 9 listopada 2011 r. 1
Uwagi wstępne Niniejsza prezentacja porusza wybrane aspekty tematyki związanej z metodą ratingów wewnętrznych (IRB) i nie wyczerpuje wszystkich tematów związanych z omawianym zagadnieniem. Prezentowane rozwiązania stanowią zbiór dobrych praktyk rynkowych w analizowanych tematach i wyznaczają pożądany z punktu widzenia stopnia zgodności z wymogami regulacyjnymi kierunek rozwoju omawianych elementów systemów ratingowych. 2
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 3
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 4
Bezpieczeństwo i integralność systemów IT systemami IRB (1/3) Każdy system IRB(*) powinien mieć wskazanego właściciela, którego rolą jest m.in.: Zapewnienie prawidłowości działania systemu pod względem biznesowym Udział w procesie rozwoju systemu Nadzór nad działaniami użytkowników Wydajność i pojemność systemów IRB powinna być na bieżąco monitorowana; należy również podejmować działania mające na celu przewidywanie przyszłego zapotrzebowania w tym zakresie (*) Na potrzeby niniejszej prezentacji, jako systemy IRB należy rozumieć systemy informatyczne wykorzystywane w ramach realizacji procesów związanych z podejściem IRB 5
Bezpieczeństwo i integralność systemów IT systemami IRB (2/3) Dla każdego z systemów IRB opracowane powinny być procedury odtworzeniowe, regulujące m.in.: Zasady tworzenia kopii zapasowych (z uwzględnieniem wyznaczonych dla tych systemów parametrów RTO i RPO) Proces odtwarzania danych i systemów z kopii zapasowych Zasady regularnego testowania poprawności powyższego procesu 6
Bezpieczeństwo i integralność systemów IT systemami IRB (3/3) Należy upewnić się, że zasoby kadrowe w zakresie administracji systemów IRB są wystarczające; w szczególności należy zapewnić zastępowalność administratorów oraz właściwe szkolenia Użytkownicy systemów IRB powinni mieć zapewniony dostęp do wsparcia w zakresie problemów z działaniem tych systemów Powinno się przeprowadzać analizy ryzyk związanych z działaniem systemów IRB, w celu ustalenia wiążących się z nimi zagrożeń oraz wpływu tych zagrożeń na procesy realizowane w ramach podejścia IRB 7
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 8
Bezpieczeństwo i integralność systemów IT zmianami (1/4) Należy zapewnić funkcjonowanie formalnego procesu zarządzania zmianami w systemach IRB od fazy zgłoszenia, przez akceptację, realizację, weryfikację, aż po zamknięcie Powyższy proces musi uwzględniać następujące elementy: Role i odpowiedzialności w poszczególnych fazach procesu Ocenę wpływu zmian na środowisko informatyczne i procesy biznesowe, w tym na aspekty bezpieczeństwa Priorytetyzację zmian Monitorowanie realizacji zmian Zasady realizacji zmian awaryjnych Zasady awaryjnego wycofywania zmian 9
Bezpieczeństwo i integralność systemów IT zmianami (2/4) Powinny istnieć oddzielne środowiska rozwojowe, testowe i produkcyjne Należy zapewnić odpowiednią integrację procesu zarządzania zmianą z procesem zarządzania konfiguracją, z zapewnieniem rejestrowania w dedykowanym repozytorium wszystkich zmian w zakresie infrastruktury sprzętowo-programowej oraz przeprowadzania regularnych przeglądów zgodności zawartości tego repozytorium ze stanem faktycznym 10
Bezpieczeństwo i integralność systemów IT zmianami (3/4) Jeżeli zmiany realizowane są siłami własnymi banku, należy zapewnić zgodność ich realizacji z formalnym procesem rozwoju oprogramowania, określającym w szczególności: Metodykę rozwoju oprogramowania Standardy w zakresie tworzenia oprogramowania: Kody źródłowe Bieżące testy (build, integration) Dokumentacja techniczna Kryteria jakości i sposób ich pomiaru W przeciwnym przypadku należy korzystać z usług wiarygodnych dostawców o ugruntowanej pozycji rynkowej 11
Bezpieczeństwo i integralność systemów IT zmianami (4/4) Zmiany powinny być testowane adekwatnie do swojej złożoności i wpływu na pozostałe elementy środowiska IRB, z zapewnieniem pokrycia następujących obszarów: Zgodność z wymaganiami funkcjonalnymi i pozafunkcjonalnymi Wydajność systemu po zmianie (w warunkach normalnych i skrajnych) Poprawność działania pozostałych funkcjonalności systemu / systemów Zgodność z wymogami bezpieczeństwa Poprawność odtwarzania w przypadku katastrofy Poprawność działania po przeniesieniu zmiany na środowisko produkcyjne Aktualność dokumentacji 12
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 13
Bezpieczeństwo i integralność systemów IT infrastrukturą (1/2) Każdy element infrastruktury systemów IRB powinien być objęty wsparciem producenta; publikowane poprawki powinny być na bieżąco instalowane W banku powinna obowiązywać polityka ochrony przed złośliwym oprogramowaniem, określająca zasady w zakresie wykorzystywanego oprogramowania zabezpieczającego i jego aktualizacji oraz przeprowadzania analiz potencjalnych i faktycznych zagrożeń 14
Bezpieczeństwo i integralność systemów IT infrastrukturą (2/2) Sieci telekomunikacyjne wykorzystywane przez systemy IRB powinny podlegać bieżącemu nadzorowi, m.in. w zakresie wydajności, prób ataków i innych nietypowych sytuacji Należy opracować i utrzymywać dokumentację w zakresie wykorzystywanych standardów (np. wykorzystywane mechanizmy szyfrujące) i narzędzi (np. firewall, systemy IDS), udostępnianych usług, schematu sieci oraz procedur eksploatacyjnych dotyczących wszystkich elementów sieci Bezpieczeństwo infrastruktury telekomunikacyjnej wykorzystywanej przez systemy IRB powinno być przedmiotem niezależnej weryfikacji 15
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 16
Bezpieczeństwo i integralność systemów IT użytkownikami i dostępem Dla użytkowników systemów IRB należy zdefiniować role / profile dostępu W obszarze systemów IRB powinny obowiązywać formalne procedury nadawania, modyfikacji i odbierania uprawnień Na bieżąco prowadzone powinny być rejestry użytkowników i uprawnień Należy również przeprowadzać okresowe przeglądy uprawnień, z zapewnieniem udziału jednostek odpowiedzialnych za bezpieczeństwo informacji Czynności użytkowników powinny być rejestrowane i monitorowane Należy wdrożyć i przestrzegać adekwatnych polityk dotyczących haseł dostępowych 17
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 18
Bezpieczeństwo i integralność systemów IT incydentami bezpieczeństwa W banku powinny obowiązywać formalne procedury dotyczące zarządzania incydentami bezpieczeństwa w zakresie systemów IRB, określające w szczególności: Metody i zakres zbierania informacji o incydentach Sposób przeprowadzania analiz wpływu incydentów na środowisko IRB Zasady kategoryzacji i priorytetyzacji incydentów Metody wykrywania zależności pomiędzy incydentami Tryb informowania właściwych jednostek o incydentach 19
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 20
Bezpieczeństwo i integralność systemów IT Dokumentacja (1/2) Należy zapewnić, że dla każdego systemu IRB istnieje dokumentacja zawierająca: Instrukcje dla użytkowników końcowych Procedury eksploatacyjne, w tym: Szczegółowe instrukcje instalacyjne Procedury tworzenia i odtwarzania kopii zapasowych Procedury postępowania w innych sytuacjach awaryjnych Instrukcje postępowania w przypadku konieczności wyłączenia lub ponownego uruchomienia systemu Instrukcje diagnostyczne dla typowych problemów Opis możliwych błędów generowanych przez system oraz opis objawów mogących świadczyć o problemach z funkcjonowaniem systemu 21
Bezpieczeństwo i integralność systemów IT Dokumentacja (2/2) Opis funkcjonalny i techniczny, w tym: Omówienie funkcjonalności realizowanych przez system Ogólny opis architektury rozwiązania Szczegółowy opis poszczególnych modułów i powiązań między nimi Opis zależności i interfejsów pomiędzy systemem a innymi powiązanymi z nim systemami Szczegółowy opis struktur danych, procedur składowanych, funkcji bazodanowych, wyzwalaczy itp. Opis najważniejszych algorytmów przeliczeniowych Opis wykorzystanych technologii informatycznych, np. frameworków, kompilatorów (wraz ze wskazaniem konkretnej wersji) itp. Założenia związane ze środowiskiem działania systemu (rodzaj bazy danych, system operacyjny, wymagania związane z przepustowością sieci, wymagania sprzętowe itp.) Charakterystyka środowisk produkcyjnych, rozwojowych, testowych i szkoleniowych Lista znanych problemów 22
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 23
Bezpieczeństwo i integralność systemów IT Oprogramowanie End-User Computing (1/2) Zdarza się, że w procesach związanych z metodą IRB wykorzystywane jest oprogramowanie EUC (End-User Computing oprogramowanie użytkownika końcowego) narzędzia opracowane zwykle w oparciu o aplikacje instalowane na stacjach roboczych (MS Excel, MS Access itp.) 24
Bezpieczeństwo i integralność systemów IT Oprogramowanie End-User Computing (2/2) W przypadku korzystania z oprogramowania EUC na potrzeby metody IRB, bank powinien: Udokumentować jego rolę w procesach IRB, zakres przetwarzanych tam danych, algorytmy przeliczeniowe itp. Zapewnić jego bezpieczeństwo (w zakresie zarówno samego narzędzia, jak i przetwarzanych w nim danych) Zapewnić, że jego rozwój odbywa się zgodnie z ustalonym procesem (o zakresie analogicznym jak w przypadku zarządzania zmianami w przypadku systemów informatycznych) Z zasady jednak powinno się dążyć do zastępowania oprogramowania EUC przez funkcjonalności istniejących lub nowych systemów informatycznych 25
u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 26
jakością danych Definicja Jakość danych odpowiedniość danych do celu ich użycia Jakość danych wykorzystywanych na potrzeby metody IRB jest kluczowa z perspektywy dostarczania przez modele poprawnej i wiarygodnej informacji Podstawowe kryteria jakości danych: Dokładność kryterium odnoszące się do wiarygodności danych. Na to kryterium składają się m.in. zgodność danych ze stanem faktycznym, ich aktualność i spójność Kompletność kryterium odnoszące się do ograniczenia wystąpień braków w danych Odpowiedniość kryterium odnoszące się do braku w danych obciążeń, które utrudniałyby szacowanie parametrów / przyporządkowywanie ekspozycji do dłużników, grup ratingowych czy podklas ryzyka 27
jakością danych Zasady ogólne (1/2) Kierownictwo banku jest odpowiedzialne za: Sprawowanie nadzoru nad opracowaniem polityk, procedur i standardów w zakresie pełnego cyklu życia danych oraz zatwierdzanie tych regulacji Ocenę ryzyk związanych z niską jakością danych wraz z zapewnieniem, że podejmowane są odpowiednie kroki w celu ich ograniczania Zapewnienie, że strony trzecie uczestniczące w procesach przetwarzania danych realizują czynności zgodnie z odpowiednimi standardami Wszystkie elementy danych powinny być przypisane do właścicieli, odpowiedzialnych za ich jakość i nadzór nad nimi 28
jakością danych Zasady ogólne (2/2) Należy dążyć do ograniczania czynności manualnych wykonywanych w ramach przetwarzania danych poprzez automatyzację istotnych procedur dotyczących procesu wyliczania wymogu kapitałowego oraz zapewnić, że przetwarzanie to realizowane jest zgodnie z ustalonymi uprawnieniami Należy wdrożyć odpowiednie zasady w zakresie zbierania, przechowywania, przekazywania, uaktualniania i używania danych Bank powinien posiadać pełną dokumentację architektury danych wykorzystywanych na potrzeby metody IRB, z uwzględnieniem szczegółowego opisu procesów pozyskiwania i przetwarzania danych, modelu danych wejściowych, pośrednich i wyjściowych, schematów przepływu danych pomiędzy systemami oraz wskazanych wcześniej właścicieli każdego elementu danych 29
jakością danych Ciągłe ulepszanie standardów Zgodnie z dokumentem konsultacyjnym Walidacja zaawansowanych metod wyliczania wymogów kapitałowych z tytułu ryzyka kredytowego i operacyjnego : Banki powinny definiować wewnętrzne standardy jakości danych i powinny stale pracować nad ich ulepszaniem. Powinny również używać tych standardów do weryfikacji jakości danych stosowanych w ramach systemu ratingowego. 30
jakością danych Model zarządzania (1/6) Ocena Monitoring Czyszczenie Usprawnienie 31
jakością danych Model zarządzania (2/6) Monitoring Ocena Usprawnienie Czyszczenie Identyfikacja b ędów w danych oraz pomiar ich wp ywu na dzia alno ć biznesową Pomiar dokonywany w podziale np. na: Dokładność (liczba niezgodności z dokumentacją źródłową, liczba niespójności pomiędzy systemami,...) Kompletność (liczba brakujących pól, liczba brakujących rekordów,...) Aktualność (liczba danych przeterminowanych,...) 32
jakością danych Model zarządzania (3/6) Monitoring Ocena Czyszczenie Hurtowa zamiana niepoprawnych danych w dane wiarygodne, które można bezpiecznie wykorzystać do zarządzania ryzykiem, poprzez: Ręczne korekty Automatyczne korekty oparte o reguły Usprawnienie 33
jakością danych Model zarządzania (4/6) Ocena Wdrażanie i usprawnianie mechanizmów kontrolnych w oparciu o doświadczenia poprzednich kroków: Modyfikacja procedur zbierania danych Monitoring Czyszczenie Mechanizmy kontroli bieżącej (automatyczna weryfikacja danych wprowadzanych do systemów z użyciem reguł walidacyjnych, przegląd kompletności danych wsadowych w ramach procesu kalkulacji wymogu kapitałowego,...) Usprawnienie Mechanizmy kontroli okresowej (przeglądy jakości danych w ramach walidacji, audyty jakości danych w ramach audytów procesów,...) 34
jakością danych Model zarządzania (5/6) Ocena Wykorzystując pozyskaną wiedzę, nale y ciągle monitorować jako ć danych, poprzez okre lenie: Lokalizacji punktów pomiarowych jako ci danych w ramach poszczególnych procesów, w których są one przetwarzane Monitoring Czyszczenie Poziomu dopuszczalnych braków lub b ędów w danych w poszczególnych obszarach oraz poziomów ostrzegawczych w tym zakresie Trybu dokonywania korekt przez osoby odpowiedzialne za dane Usprawnienie Rodzajów raportów funkcjonujących w obszarze jako ci danych, ich zakresu, częstotliwo ci oraz odbiorców, z zapewnieniem informowania wy szego kierownictwa 35
jakością danych Model zarządzania (6/6) Monitoring Ocena Usprawnienie Czyszczenie Integralną czę cią monitoringu jako ci danych, a jednocze nie procesu kalkulacji wymogu kapita owego z tytu u ryzyka kredytowego, powinna być rekoncyliacja danych uzgadnianie danych wykorzystywanych na potrzeby tego procesu z danymi księgowymi W minimalnym przypadku nale y uzgadniać dane wej ciowe do procesu kalkulacji, ale wskazane jest równie uzgadnianie danych wyj ciowych Proces rekoncyliacji powinien być w pe ni i szczegó owo udokumentowany, z okre leniem konkretnych porówna, rozpoznanych rozbie no ci, dopuszczalnych ró nic w zaokrągleniach oraz czynno ci do wykonania w przypadku stwierdzenia niedopuszczalnych rozbie no ci 36
Podsumowanie u ytkownikami i dostępem incydentami bezpiecze stwa infrastrukturą Dokumentacja zmianami Oprogramowanie End-User Computing systemami IRB Solidne i kompleksowo wdro one systemy zarządzania ryzykiem oraz oceny ekspozycji na ryzyko kredytowe jako cią danych 37