Upload
truongquynh
View
245
Download
0
Embed Size (px)
Citation preview
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U
BANKAMA
Amel Kadić, mr.sci.Interna revizija, Sberbank BH
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Praksa i edukacija
• Od 2005 – Information security officer, tada Volksbank BH,
a sada Sberbank BH
• Od 2006 – Operational risk manager banke
• Od 2009 – Interni revizor za IT i operacije
• Od 2011 – Zamjenik vođe odjela Interne revizije
... uz to:
• od 2007 do danas – Član Odbora za reviziju Sberbank a.d. Banja Luka
• Član Upravnog odbora Udruženja menadžera sigurnosti BiH
• Po struci
• Magistar sigurnosti na Fakultetu za kriminalistiku, kriminologiju i sugurnosne studije, Univerziteta u Sarajevu (sigurnost banaka)
• Ovlašteni interni revizor za IT
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Osnov za reviziju...
„Interni revizor banke je dužan da osigura
efikasno provođenje programa interne revizije,
koje kao minimum, mora da obuhvati:
…PRAĆENJE USKLAĐENOSTI POSLOVANJA SA
RELEVANTNIM ZAKONSKIM PROPISIMA“ (Odluka
Agencije za bankarstvo FBiH o Minimalnim
standardima interne i eksterne revizije u
bankama, član 8. tačka 3. Odluke),
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• ... Relevantni zakonski propis ... odnosno zakonski okvir
zaštite i sugurnosti finansijskih institucija:
– Uredba o mjerama zaštite finansijskih institucija, Službene novine Feredacije BiH, broj 24/12
– Prvi put usvojena 18. marta 2009. godine,
– Nova, nešto izmijenjena Uredba usvojena je 7. marta 2012. godine, i ona je trenutno u primjeni,
– Sastoji se od 34 člana raspoređena u 9 poglavlja.• Tu je i Zakon o agencijama i unutrašnjim službama za zaštitu ljudi i
imovine sa pripadajućim pravilnicima
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Zašto je došlo do regulacije u oblasti
sigurnosti i zaštite finansijskih institucija?
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Kakvi su bili efekti prikazanih (ne)djela prije donošenja Uredbe?
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Do marta mjeseca 2009. godine, u BiH nije postojao bilo kakav zakonski propis koji direktno reguliše područje zaštite i sigurnosti u finansijskim institucijama
• Situacija se značajno popravila nakon donošenja Uredbe,
Informacija o stanju sigurnosti u BIH za 2012, Ministarstvo sigurnosti BiH, 8.5.2013. Navodi se da je u 2012, zabilježeno svega 2 napada (razbojništva) na banke što može biti pokazatelj pozitivnih rezultata nakon implementacije Uredbe u FBiH.
• Ipak, samo je zakonodavac u Federaciji BiH regulisao ovu oblast (za sad nema slične regulative u RS)
• Na šta se propis odnosi
• Zaštita osoba,
• Zaštita objekata u kojima se obavlja poslovanje gotovim novcem, vrijednosnim papirima i dragocjenostima,
• Zaštita prevoza i prenosa gotovine i dragocjenosti te,
• Zaštita podataka pribavljenih primjenom mjera zaštite
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Na koga se Uredba odnosi
• Članom 4. Uredbe izričito se određuju finansijske institucije koje moraju da implementiraju mjere zaštite, i to:
– banke
– mjenjačnice
– štedionice i
– mikrokreditne organizacije.
• Također, Uredba se odnosi i na pravna lica koja posluju gotovim novcem, i to: javni poštanski operateri, Lutrija BiH, kasina i kladionice te javna komunalna preduzeća koja posjeduju uplatno isplatna mjesta.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Finansijske institucije, njihove poslovne jedinice i
poslovna mjesta razvrstane su u tri kategorije:
• Prvu kategoriju (I) čine banke, štedionice i centri javnih
poštanskih operatera (što u praksi znači, najstrožiji zahtjevi
zaštite...)
• U drugu (II) kategoriju spadaju poslovnice javnih poštanskih
operatera i Lutrija BiH
• U treću kategoriju (III) spadaju mikrokreditne organizacije,
mjenjačnice, kasina i kladionice te javna komunalna
preduzeća (uplatno-isplatna mjesta).
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Član 10. Uredbe donosi obavezu primjene mjera zaštite, za finansijske institucije I (prve) kategorije (banke, štedionice i centri javnih poštanskih operatera ), u objektima u kojima posluju gotovinom i drugim dragocjenostima osigurati mjere zaštite iz člana 8. Uredbe i to:
– protuprovalne i protuprepadne sistema sa centralizovanom dojavom i nadzorom alarma,
– neprekidni video nadzor s mogućnošću pohrane video zapisa,
– druge oblike tehničke zaštite i
– fizičku zaštitu.
• Dodatni kriterij:
– ukoliko se u objektu nalazi iznos novca veći od 100.000 KM, finansijske institucije dužne su ugraditi neprobojne pregrade ili osigurati fizičku zaštitu
tokom radnog vremena.
– Ukoliko se u objektu nalazi iznos novca veći od 200.000,00 KM finansijske institucije dužne su osigurati fizičku zaštitu tokom radnog vremena.
– Ukoliko se u objektima finansijskih institucija nalazi iznos novca veći od 1.500.000,00 KM, obavezna je 24-satna fizička zaštita.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Posebna pažnja posvećena je objektima finansijskih institucija gdje se nalazi trezor.
• Članom 12. propisano je da u objektima gdje se nalazi trezor mora postojati video nadzor, protuprovalni i protuprepadni sistemi i drugi sistemi tehničke i mehaničke zaštite, a ako se u trezoru finansijskih institucija nalazi iznos novca veći od 1.500.000,00 KM, obavezno je osigurati neprekidnu 24-satnu fizičku zaštitu.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Uredbom su propisane i mjere zaštite bankomata. Propisana je dužnost osiguranja sljedećih minimalnih mjera zaštite bankomata:
– postojanje komunikacijske mreže za neprekidan nadzor veze bankomata sa dojavnim centrom,
– instaliranje alarma otvorenih vrata trezorskog dijela bankomata te
– instalirati neprekidan video nadzor uz obavezu pohranjivanja video zapisa.
• Posebno poglavlje Uredbe koje čini samo jedan član odnosi se na čuvanje i raspolaganje podacima pribavljenim sredstvima tehničke zaštite. Pribavljeni podaci čuvaju se na mediju na kojem su pohranjeni najmanje
30 dana od dana bilježenja, te se moraju štiti u skladu sa odredbama posebnog zakona*
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Uredbom se predviđa i mogućnost inspekcijskog nadzora nad provedbom
zahtjeva iz Uredbe.
– Federalno Ministarstvo unutrašnjih poslova obavlja nadzor u bankama, Lutriji BiH i
javnim poštanskim operaterima,
– Kantonalna ministarstva obavljaju nadzor u mikrokreditnim organizacijama,
mjenjačnicama, štedionicama, kasinima i kockarnicama
• Propisane su i kaznene odredbe za pravna lica (finansijske institucije) i
odgovorna lica u pravnom licu ukoliko počine neki od definisanih
prekršaja (ne ostvarivanje predviđenih mjera zaštite i sl).
– Pravno lice, novčana kazna u rasponu od 1000 KM do 5000 KM,
– za iste prekršaje odgovorno lice u finansijskoj instituciji , novčana kazna u iznosu od 200
KM do 1000 KM.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Cilj revizije?– Ocijeniti adekvatnost i usklađenost politika i procedura koje se odnose na
poslove sigurnosti u odnosu na važeće zakonske propise a posebno na
„Uredbu o mjerama zaštite finansijskih institucija FBiH“ te bančine interne
standarde sigurnosti (ukoliko postoje),
– Utvrditi nivo implementacije i poštivanja zakonskih i internih zahtjeva u okviru
sistema sigurnosti banke,
– Potvrditi postojanje, ispravnosti i funkcionisanje sistema fizičko-tehničke
zaštite te inicirati i predložiti korektivne mjere i akcije, ukoliko se utvrde
manjkavosti i nedostaci, itd...
• Mogući opseg revizije– Kontrola poslova i aktivnosti u segmentu sigurnosti, na nivou banke (u okviru
organizacionih jedinica zaduženih za poslove sigurnosti i zaštite), u posmatranom periodu vremena, ili
– Kontrola direktne implementacije sistema sigurnosti na nivou organizacione jedinice (npr. filijale), u posmatranom periodu vremena.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
• Metode revizije (neke od mogućih)– Analiza internih akata banke te kontrola usklađenost sa relevantnim zakonskim
propisima te internim standardima banke (Grupacije, ukoliko postoje),
– Analiza i kontrola praktične implementacije odredbi internih dokumenata i odluka Uprave banke koje se odnose na poslove sigurnosti,
– Pregled evidencija i dokumentacije:
• izvještaji o obavljenim aktivnostima (mjesečni, kvartalni i sl.),
• zapisnici o obavljenim kontrolama i propisanim aktivnostima (npr. zapisnici o periodičnoj provjeri funkcionalnosti instaliranih uređaja i opreme, zapisnici o promjenama šifri i kombinacijama na okretnim bravama kasa i sl.)
• logovi rada uređaja i opreme instalirane u okviru sistema sigurnosti (npr. pregled pohranjenih logo zapisa alarmne centrale o radu spojenih detektora, pregled zabilježenih zapisa sistema video nadzora i sl),
– Praktična provjera instaliranih sistema zaštite (testiranje / simulacije),
– Pregled aktivnosti zaštitara / agencije za zaštitu na štićenoj lokaciji,
– Kontrola poznavanja internih zahtjeva sistema sigurnosti od strane zaštitara / zaštitarske agencije na štićenoj lokaciji,
– Intervju sa zaposlenicima (zaduženim za sigurnost i drugim, te sa zaštitarom na lokaciji).
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
KONKRETNE KONTROLE
Okvir sistema sigurnosti
– Identifikovati interne akte banke kojim su determinisane postavke
sistema sigurnosti banke (Strategija / Politika sigurnosti, odluke,
procedure, uputstva, priručnici, procjene rizika …),
– Utvrditi da li su interni akti usaglašeni sa važećim zakonskim
propisima, prije svega sa Uredbom o mjerama zaštite finansijskih
institucija FBiH?
– Da li postoji organizaciona jedinica ili pojedinac zadužen za poslove
sigurnosti, i ako da...
• Opis(i) poslova i zadataka,
• Linije odgovornosti,
• Sistem izvještavanja itd.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Fizička i tehnička zaštita / generalno
– Ukoliko banka nema organizovanu službu unutrašnje zaštite, provjeriti da li postoji potpisan ugovor (ili više ugovora) sa agencijom za zaštitu ljudi i imovine o obavljanju poslova fizičke / tehničke zaštite?
– Da li su identifikovane sve lokacije banke koje su predmetom zaštite (filijale, ekspoziture, bankomati, drugi objekti banke itd.)?
– Da li postoji elaborat sistema zaštite (izrađen na bazi procjene rizika) za svaku štićenu lokaciju banke?
– Da li elaborat zaštite predviđa primjenu odgovarajućih mjera zaštite (bazirano na procjeni rizika, iznosu novca koji se drži na lokaciji i drugim kriterijima), u skladu sa zahtjevima Uredbe?
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Tehnička zaštita (na nivou štićene lokacije)
• Da li je protuprovalni sistem postavljen u skladu sa elaboratom sistema zaštite?
• Da li su korišteni odgovarajući detektori (detektore pokreta, loma stakla i sl.)?
• Da li je protuprepadni sistem postavljen u skladu sa elaboratom sistema zaštite (panik tasteri na odgovarajućim mjestima, izbor odgovarajućeg tipa panik tastera – panik šine, fiksni panik tasteri, bežični panik tasteri, „detektori zadnje novčanice“, elektronske blagajniče kase, kase sa „duplim dnom“ itd.)?
• Da li su detektori i panik tasteri spojeni na upravljački centralni uređaj - alarmnu centralu i da li je alarmna centrala spojena sa dojavnim centrom?
• Da li postoji vanjski zvučni / vizualni javljač alarma?
• Da li se provodi redovno testiranje i provjera ispravnosti i funkcije tehničkog sistema zaštite?
• Po mogućnosti, izvršiti kontrolisani (najavljeni) test alarmnog sistema.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Tehnička zaštita (generalno)
• Centralizovani / decenralizovani monitoring sistema video nadzora
• Frekvencija i obim monitoringa (dnevno, više puta dnevno, 24/7 nadzor)– Rad kamera i video snimača / servera (sve kamere, najvažnije…)
– Dužina memorisanog video zapisa po lokaciji (minimalno 30 dana)
• Odgovornost za održavanje i monitoring sistema video nadzora
(definisana ili ne)
• Izvještavanje (prema kome, koliko često)
• Monitoring korištenja alarmnog sistema (od strane zaposlenika),– Stalni pristup logovima alarmnog sistema svih lokacija (read only mode)
– Frekvencija provjera
– Eskalacija u slučaju utvrđenih nedostataka i slabosti (definisano ili ne)
• Monitoring bilježenja alarmnih događaja na strani dojavnog centra, kroz formu izvještaja ili uz „on-line“ kontrolu, (redni broj, vrsta događaja, datum, vrijeme, mjere koje je poduzeo dojavni centar, utvrđeno stanje i sl.)
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Fizička zaštita
• Kontrole prema agenciji za zaštitu / zaštitaru na objektu, i to:
• Da li zaštitar na objektu posjeduje certifikat za obavljanje poslova fizičke zaštite
• Poznavanje zakonom definisanih ovlaštenja* i odredbi internih akata banke koji se odnose na obavljanje poslova fizičke zaštite i protiv požarne zaštite
• Poznavanje i korištenje alarmnog sistema štićene lokacije
• Postupak otvaranja / zatvaranja objekta,
• Evidencije boravka trećih lica u posebno zaštićenim prostorima banke (filijale)
• Linije i načini komunikacije i eskalacije u slučaju ugrožavanja sigurnosti
• Reagovanje dojavnog centra na aktiviranje alarma i interakcija sa vlastitom interventnim timom
• Saradnja sa zaposlenicima banke na štićenoj lokaciji * (sindrom – “idi po doručak”),
• Kodeks oblačenja i akreditacija zaštitara,
• Dužina angažmana zaštitara na štićenom objektu (u toku dana / generalno)*
• Izvještavanje prema banci (zaštitar / agencija)
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Kontrola zaštite bankomata
• Da li postoji alarmni sistem na bankomatu?
• Da li je bankomat povezan na dojavni centar 24/7?
• Da li je bankomat zaštićen odgovarajućim detektorima (alarm otvorenih vrata, vibracioni detektor i sl.)?
• Raspolaganje pristupnim šiframa alarmnog sistema bankomata
• Raspolaganje ključevima i šiframa mehaničkih brava bankomata (saključarstvo)
• Permanentni video nadzor bankomata,
• Zadržavanje snimka video nadzora bankomata, najmanje 30 dana.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Kontrola (neovlaštenog) pristupa prostorima banke
• Da li postoji sistem kontrole pristupa prostorima banke
• Da li se za kontrolu pristupa koristi neki elektronski sistem
• Da li je taj sistem dokumentovan, odnosno da li su definisane odgovarajuće „zone“ pristupa (npr. javni prostori, prostori za zaposlene, posebno zaštićeni prostori i sl.)
• Ko je „vlasnik“ tog sistema, odnosno ko upravlja istim,
• Da li su definisana prava pristupa pojedinim zonama za zaposlenike banke
• Da li sistem pruža mogućnost historijskog evidentiranja ulaska u definisane zone
• Da li se radi monitoring sistema za kontrolu pristupa, u smislu provjere poštivanja dodijeljenih prava pristupa pojedinim zonama, itd.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Ostali segmenti sigurnosti i zaštite
Kontrola saključarstva / Bazirano na Odluci o minimalnim standardima
sistema interne kontrole Agencije za bankarstvo, član 11. tačka 2.
(Plan za zaštitu fizičke aktive)
• Odluka o saključarima (u filijali),
• Ispravnost postavljenog sistema saključarstva,
• Provođenje saključarstva u svakodnevnim aktivnostima (ili direktan uvid i analiza logova alarmnog sistema, ukoliko se koriste šifre istog),
• Držanje ključeva te „vlasništvo“ nad šiframa alarmnog sistema i / ili šiframa mehaničkih brava na vratima i kasama trezora
• Evidencije o primopredaji ključeva / šifri, te redovaj zamjena istih.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Kontrole u segmentu protiv požarne zaštite
• Postojanje internog akta / Pravilnika o zaštiti od požara,
• Definisanje odgovornog lica za zaštitu od požara,
• Plan zaštite od požara, za svaku lokaciju banke (sistem za gašenje, aparati, „panic“ rasvjeta, i sl),
• Održavanje i redovno ispitivanje ispravnosti protiv požarnog sistema (detektori, aparati za gašenje početnog požara, hidranti, itd.)
• Povezanost sistema za javljanje požara na dojavni centar,
• Atest i redovna provjera elektro instalacija na lokacijama banke,
• Broj aparata za gašenje početnog požara
• Provođenje obavezne edukacije zaposlenika o protiv požarnoj zaštiti i evidencija o istoj, itd.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
DVIJE NAPOMENE
• Poglavlje IV Uredbe donosi i propise vezane za prevoz i prenos gotovog novca, vrijednosnih papira i dragocjenosti,
– predstavlja posebnu temu za provođenje interne revizije,
– zbog razine rizika koja postoji kod ovog tipa aktivnosti, ali i
– zbog specifičnih oblika ugrožavanja dobara finansijskih institucija koji su zabilježeni u ranijem periodu.
• Poseban segment sigurnosti u banci predstavlja informaciona sigurnost.
Iako se informaciona sigurnost značajno prepliće sa opštim sistemom sigurnosti banke (zapravo je njegov sastavni dio), interna revizija informacione sigurnosti predstavlja zaseban segment revizije i radi se u sklopu revizije informacionog sistema banke.
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Umjesto zaključka
• Revizija sigurnosti u značajnom dijelu je “tehnička revizija”
• Za revizora, potrebno i poželjno dobro poznavanje informacionih
tehnologija kao i elementarno poznavanje uređaja i opreme koji se koriste
u sistemu zaštite
• Interni revizor bi trebao imati odgovarajuću stručnu spremu, te kroz
povremenu edukaciju pratiti razvoj i trendove sistema sigurnosti i zaštite,
• Prva i osnova vrijednost koja se štiti u banci je ljudski život, a potom druge
vrijednosti i dobara banke i njenih klijenata.
• Zbog toga, interna revizija sistema sigurnosti i zaštite dodatno dobija na
značaju , sa ciljem stalnog unapređenja sistema sigurnosti
INTERNA REVIZIJA SISTEMA SIGURNOSTI I ZAŠTITE U BANKAMA
Hvala na pažnji
Pitanja?