SEMINARSKI - Opretaivni Rizici u Bankarstvu

Ekonomski fakultet SuboticaOdeljenje u Novom Sadu

SEMINARSKI RADTema:

OPERATIVNI RIZICI U BANKARSTVU

Sanja Stojaković S070/08Mateja Sekulić M045/08

Jelena Cicmil C006/08Goran Šarić Š007/08Dejan Šarić Š008/08

Novi Sad, aprila 2012. godine

Sadržaj:

UVOD.........................................................................................................................................2

1. Pojmovni aspekt operativnog rizika i njegovi izvori..............................................................3

1.1 Definisanje operativnog rizika..........................................................................................3

1.2 Izvori operativnog rizika...................................................................................................4

1.3. Upravljanje operativnim rizikom.....................................................................................7

2. Oblasti upravljanja operativnim rizikom..............................................................................10

2.1. Upravljanje rizikom informacionog sistema..................................................................10

Resursi informacionog sistema..........................................................................................11

Pretnje................................................................................................................................11

Procena rizika....................................................................................................................12

Smanjivanje rizika.............................................................................................................15

Fizička sigurnost................................................................................................................17

Edukacija...........................................................................................................................18

2.2. Uloge i odgovornosti pri upravljanju operativnim rizicima...........................................19

2.3. Operativni rizik u elektronskom Bankarstvu.................................................................22

Internet bankarstvo i motivi napadača...............................................................................22

Prevare putem zloćudnih bankarskih programa................................................................22

Zloćudni programi sa više koraka.....................................................................................24

Prevare putem lažnog predstavljanja.................................................................................24

Lažno predstavljanje upotrebom kilogers (Keyloggers) programa...................................25

Bezbednost i zaštita Internet bankarskih sistema..............................................................25

3. Praktični primeri operativnog rizika.....................................................................................28

ZAKLJUČAK...........................................................................................................................31

Literatura:..................................................................................................................................32

Spisak slika, tabela i grafikona.................................................................................................33

1

UVOD

Rizik je svojstven savremenom svetu i on je u većoj ili manjoj meri prisutan kod svih institucija koje posluju na tržištu, zato što se savremeni svet karakteriše povećanim stepenom globalizacije, munjevitim razvojem tehnike i tehnologije, rastom berzanskih plasmana, povezanošću politike i ekonomije na globalnom nivou itd. Svaka od navedenih karakteristika nosi sa sobom odredjene rizike.

Bilo koje poslovanje, koje za cilj ima maksimiziranje profita, uključujući bankarstvo, suočeno je sa makroekonomski rizicima (efekti recesije) i mikroekonomskim rizicima (pretnja nove konkurencije). Dodatni potencijalni rizici sa kojima se firme moraju suočiti su zaostajanje u tehnologji, poslovna kriza dobavljača, politička nestabilnost, prirodne nesreće i dr.

Globalizacija bankarskog poslovanja, novi bankarski proizvodi, spajanje i pripajanje banaka, šire listu potencijalnih rizika. Najčešći rizici sa kojima se banke susreću su rizik zemlje, kreditni rizik, operativni rizik, rizik promene deviznog kursa, rizik vanbilansnih aktivnosti, rizik likvidnosti, rizik plaćanja i kamatni rizik.

U delu koji sledi, govorićemo o operativnom riziku, jer menadžeri rizika u uslovima savremenog turbulentnog finansijskog tržišta, regulatornog okruženja i sve kompleksnijeg finansijskog sistema, sve više shvataju značaj merenja i upravljanja operativnim rizikom

Rad daje kritički osvrt na osnovna pitanja o operativnom riziku, načinima za njegovo identifikovanje i upravljanje,

2

1. Pojmovni aspekt operativnog rizika i njegovi izvori

1.1 Definisanje operativnog rizika

Operativni rizik ima različita značenja unutar bankarskog sektora, pa banke zbog toga za unutrašnje potrebe mogu odlučiti da usvoje svoje vlastite definicije operativnog rizika. Bez obzira na tačnu definiciju, za delotvorno upravljanje tim rizikom i kontrolu nad tom kategorijom rizika, ključno je da banke jasno razumeju šta se podrazumeva pod operativnim rizikom. Takodje je važno da definicija uzme u obzir celokupan skup značajnih operativnih rizika sa kojima se banka suočava.

„Operativni rizik je rizik od gubitka koji banka može da pretrpi usled neadekvatnih ili neuspešnih unutrašnjih procesa, ljudi ili sistema, ili zbog spoljnih dogadjaja“.1

Prema definiciji Narodne banke Srbije, „Operativni rizik je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital banke usled propusta u radu zaposlenih, neodgovarajućih unutrašnjih i procedura i procesa, neadekvatnog upravljnja informacionim i drugim sistemima u banci, kao i usled nepredvidivih eksternih dogadjaja“.2

Definicija Bazelskog komiteta za bankarski nadzor: „Operativni rizik je rizik koji rezultira iz neadekvatnosti i propusta u internim procesima, ljudima, sistemima ili usled eksternih dogadjaja“.3

Operativni rizik je jedan od nefinansijskih rizika. Prema učestalosti i intenzitetu, operativni rizici se mogu podeliti na:4

Standardne operativne rizike – To su rizici niskog intenziteta i visoke učestalosti, koji proizilaze iz redovnih aktivnosti banke.

Ključne operativne rizike – To su rizici niže frekvencije i višeg intenziteta od standardnih, ali oni ne ugrožavaju poslovanje banke.

Fatalne rizike – To su rizici sa gubicima koji ugrožavaju poslovanje banke, ali su veoma retki. Za ove rizike banke izračunavaju ekonomski kapital i prave plan za upravljanje kontinuitetom poslovanja.

Slika br. 1 - Operativni rizik

1 Milenković I.,(2011) Medjunarodno bankarstvo, Subotica, Ekonomski fakultet,(str. 186)2 www.nbs.rs 3 www.basel.int 4 Milenković I.,(2011) Medjunarodno bankarstvo, Subotica, Ekonomski fakultet,(str. 187)

3

OPERATIVNI RIZIK

http://www.basel.int/

http://www.nbs.rs/

-struktura -obračunski rizik -sistemski rizici-komunikacija -transakcioni rizik -IT struktura-drugo -sistem interne kontrole -drugo

-drugo

-nadoknade, beneficije, inicijative -rizik regulative-gubitak ključnog osoblja -rizik poreskih promena-drugo -rizik nesreće

-drugo

1.2 Izvori operativnog rizika

Pod identifikacijom izvora rizika se podrazumeva:

I Interne greške i zloupotrebe1. neovlašćeno postupanje zaposlenih2. zloupotreba službenog položaja

II Eksterno kršenje propisa1. nezakonito postupanje lica koja nisu zaposlena u banci2. propusti u sistemu obezbedjenja

III Propusti u sistemu zapošljavanja i zaštite na radu1. odnosi izmedju zaposlenih2. sigurnost na radu3. diskriminacija na radnom mestu

IV Problemi u funkcionisanju sistema odnosa sa klijentima, u plasmanu proizvoda i u poslovnim procedurama, ako su neadekvatne

1. standardizacija proizvoda, zaštita podataka i poslovne tajne2. poslovne procedure3. poslovni tokovi (tokovi odlučivanja i tokovi informacija)

4

OrganizacijaProcesi

Tehnologija

Zaposleni Eksterni dogadjaji

4. izbor klijenata i izloženost prema njima5. savetodavna funkcija

V Štete na imovini banke usled prirodnih katastrofa i drugih dogadjaja

VI Poremećaji u organizaciji banke i greške u funkcionisanju uspostavljenih sistema

VII Sprovodjenje poslovnih procedura i odluka1. obnavljanje i provera finansijskih transakcija2. nadzor i izveštavanje3. prijem klijenata i dokumentacije4. upravljanje potraživanjima i obavezama klijenata5. odnos sa drugim poslovnim partnerima6. odnos sa dobavljačima

Izvore operativnih rizika banka je dužna da prati po poslovima utvrdjenim u skladu sa organizacijom i delatnošću banke, a pre svega po poslovima sa privredom, sa stanovništvom, sa licima u finansijskom sektoru, komercijalnim i agencijskim poslovima, poslovima platnog prometa, upravljanja imovinom i brokersko-dilerskim poslovima.

Aktivna razmena ideja izmedju supervizora i bankarskog sektora je ključna za kontinuirani razvoj odgovarajućih smernica za upravljanje izloženostima koje su povezane sa operativnim rizikom.

Sledeći grafikon je uradjen na osnovu Bazela II QIS rezultata sa stanovišta operativnih rizika. Analiza je napravljena na osnovu rezultata 30 banaka iz 11 zemalja u Evropi, Severnoj Americi, Aziji i Africi. Pri analizi ovih banaka uzimao se u obzir njihov gubitak sa stanovišta operativnih rizika u periodu od 12 kvartala – tri godine (od 1998-2000.godine). Na slici 1. prikazan je ukupan gubitak za svih 30 banaka.

Grafikon br. 1 - Gubici banka sa stanovišta operativnog rizika

5

Interna p

ronev

era

Ekste

rna p

ronev

era

Praksa

vezan

a za z

aposle

ne i bezb

ednost

na ra..

.

Klijenti, p

roizv

odi i poslo

vna p

raksa

Fizičk

a ošte

ćenja

imovin

e

Remeće

nje poslo

vnih opera

cija i p

adova

sis...

Izvrša

vanje,

isporu

ka i u

pravlja

nje pro

cesom

0100000200000300000400000500000600000700000800000900000

1000000

Gubici banaka sa stanovišta operativnog rizika

Komponente operativnog rizika

1.3. Upravljanje operativnim rizikom

Svaka banka se u svom poslovanju neminovno susreće sa različitim vrstama rizika iz kojih mogu proisteći negativni efekti na poslovanje banke. U prošlosti, banke su se u upravljanju

6

operativnim rizikom gotovo u potpunosti oslanjale na mehanizme unutrašnjih kontrola svojih poslovnih aktivnosti koje su bile dostupne funkcijom revizije.. Iako su ti mehanizmi i dalje važni, u poslednje vreme su se pojavile specifične strukture i procesi kojima je cilj upravljanje operativnim rizikom. Upravljanje rizicima u bankarskom poslovanju obuhvata identifikovanje, merenje i procenu rizika s ciljem minimiziranja njihovih negativnih efekata na finansijski rezultat i kapital banke. Banka je dužna da obrazuje posebnu organizacionu jedinicu u čijem je delokrugu upravljanje rizicima. Takodje, banka treba da svojim aktima propiše procedure za identifikovanje, merenje i procenu rizika, kao i za upravljanje rizicima.

Osnovna načela za upravljanje operativnim rizikom5:

1. Načelo: Odbor direktora treba da bude svestan glavnih aspekata operativnog rizika banke kao specifične kategorije rizika kojim treba upravljati, usvojiti ga i periodično preispitivati bankarski sistem upravljanja operativnim rizikom. Sistem treba da sadrži definiciju operatinog rizika na nivou banke i da sadrži načela prema kojima će se operativni rizik identifikovati, ocenjivati, pratiti i kontrolisati.

2. Načelo: Odbor diretkora treba da se pobrine da bankarski sistem upravljanja operativnim rizikom podleže delotvornoj i sveobuhvatnoj unutrašnjoj reviziji koju obavlja nezavisno osoblje.

3. Načelo: Viša uprava treba da bude nadležna za sprovodjenje sistema upravljanja operativnim rizikom koji odobrava odbor direktora. Sistem treba da bude dosledno sproveden unutar cele organizacije, a zaposleni na svim nivoima treba da razumeju svoje nadležnosti koje se odnose na upravljanje operativnim rizikom.

4. Načelo: Banke treba da utvrde i procene operativni rizik koji je povezan sa svim značajnim proizvodima, aktivnostima, procesima i sistemima.

5. Načelo: Banke treba da uvedu postupak redovnog nadziranja profila operativnog rizika i značajnih izloženosti gubicima.

6. Načelo: Banke treba da imaju politike, procese i postupke za kontrolisanje/smanjenje operativnih rizika, i da periodično preispituju svoje strategije za ograničavanje i kontrolisanje rizika.

7. Načelo: Banke treba da izgrade planove za nepredvidjene okolnosti i planove za očuvanje kontinuiteta poslovanja, kako bi osigurale svoje trajno poslovanje i ograničile gubitke ukoliko dodje do ozbiljnijih poremećaja.

8. Načelo: Bankarski supervizori treba da zahtevaju da sve banke imaju delotvoran sistem identifikovanja, ocenjivanja, praćenja i kontrolisanja značajnih operativnih rizika u sklopu svog sveukupnog pristupa upravljanju rizikom.

9. Načelo: Supervizori treba da obavljaju redovno vrednovanje politika, postupaka i praksi banke povezanih sa operativnim rizicima.

10. Načelo: Banke treba da objavljuju dovoljno informacija kako bi učesnicima na tržištu omogućile da procene njihov pristup upravljanju operativnim rizikom.

5 http://www.hnb.hr/supervizija/papiri-bazelske-komisije/h-dobre-prakse-za-upravljanjem-operativnim-rizikom.pdf

7

Slika br. 2 – Upravljanje operativnim rizikom

Slika br. 3 - Alternative pri upravljanju operativnim rizikomPrimarno primenljivi spektar

visoko

Težina gubitaka

nisko

Izvor: Barjaktarović L., (2009) Upravljanje rizikom,Beograd,Univerzitet Singidunum, str. 211

Slika br. 4 – Alokacija kapitala potrebnog da se pokriju operativni rizici

Učestalost gubitka

8

8. Ekonomski kapital

1. Politika

7. Analiza rizika

6. Izveštavanje

PROCES UPRAVLJANJA OPERATIVNIM

RIZIKOM

5. Upravljanje izloženošću

3. Poslovni procesi

4. Metodologija procene i merenja

2. Identifikacija rizika

4. TRANSFERISATI 1. IZBEĆI

3. PRIHVATITI 2. UBLAŽITI

očekivani neočekivani stres-naglašeni gubitak gubitak gubtak

* trošak obavljanja * niska učestalost, * ekstremno niska učestalost i posla visoka pogubnost ekstremno visoka pogubnost * visoka učestalost, * pokriveni ekonomskim * ne mogu biti pokriveni kapitalom niska pogubnost kapitalom * ponekad (delimično) pokriveni* upravljanje kroz * regulatorni kapital osiguranjem (20% priznati) internu kontrolu

Sistem upavljanja operativnim rizikom je neminovno povezan sa kontrolom. Svaka banka treba da utvrdi kontrolne procese i posupke i da imaju svoj sistem koji će osigurati poštovanje skupa unutrašnjih politika koje se odnose na sistem upravljanja rizikom. Glavni elementi tog skupa politika su sledeći:

1. preispitivanja, na najvišem nivou postignutog napretka prema navedenim ciljevima2. provera poštovanja politika sa kontrolama uprave3. politike, procesi i postupci, koji se odnose na preispitivanje, tretman i rešavanje

pitanja nepoštovanja politika4. sistem dokumentovanih odobrenja i ovlašćenja, kako bi se osigurala odgovornost

odgovarajućeg nivoa uprave.

Odbor direktora i viša uprava su nadležni za uspostavljanje snažne kulture unutrašnje kontrole, u kojoj su kontrolne aktivnosti sastavni deo svakodnevnih aktivnosti banke. Kotrolama koje su sastavni deo redovnih aktivnosti, omogućuje se brzo reagovanje na promenljive uslove i izbegavaju se nepotrebni troškovi.Delotvoran sistem unutrašnje kontrole, takodje zahteva odgovarajuću podelu dužnosti, kako ne bi došlo do sukoba interesa medju zaposlenim radnicima. U slučaju da dodje do sukoba interesa, to bi moglo omogućiti prikrivanje gubitaka, grešaka ili neprimerenih aktivnosti. Zbog toga se područja sukoba interesa trebaju utvrditi, minimizirati i podvrgnuti nezavisnom nadziranju i preispitivanju.

2. Oblasti upravljanja operativnim rizikom

9

2.1. Upravljanje rizikom informacionog sistema

Banke u svom poslovanju zavise od korišćenja informacija. Pravovremene, tačne i potpune informacije, s obzirom na nihov uticaj na poslovanje i odlučivanje, ključne su za ostvarivanje poslovnih ciljeva. Informaciona tehnologija omogućuje korišćenje i upravljanje informacijama odnosno podržava i unapredjuje poslovne procese kako bi se što delotvornije ostvarivali poslovni ciljevi i dostigla konkurentska prednost.Medjudelovanje informacione tehnologije, podataka i postupaka za procesiranje podataka te ljude koji prikupljaju i koriste navedene podatke čini informacioni sistem. Drugim rečima, informacioni sistem sadrži sveukupnu infrastrukturu organizacije, ljudi i postupaka za prikupljanje, obradu, generisanje, skladištenje, prenos, prikaz, distribuciju informacija i raspolaganje njima.S obzirom na ubrzani razvoj i sveprisutnost informacione tehnologije u poslovnom okruženju, upotreba informacionih sistema:

jeste jedan od ključnih faktora u poslovanju banke povećava medjudelovanje raznih sastava, jer se informacioni sistem banke

povezuje s klijentima, pružateljima usluga i ostalim subjektima preko javno dostupnih i privatnih telekomunikacionih mreža,

postavlja temelj za razvoj novih proizvoda i usluga i time utiče na oblikovanje konkurentske prednosti,

pokreće reinženjering strateški važnih poslovnih procesa, povećava potrebu za novim ulaganjima u resurse informacionih sistema, zahteva usvajanje i primenu novih stručnih znanja.

Iz ovoga proizilazi da je korišćenje informacione tehnologije u svim aspektima bankarskog poslovanja stvorilo veliku zavisnost o informacionoj tehnologiji pa je prema tome potrebno posvetiti veliku pažnju upravljaju informacionim sistemom kao sastavnom delu banke u celini.Upravljanje rizikom informacionog sistema obuhvata postupke procene i preuzimanje radnji za smanjenje rizika na prihvatljivu meru i održavanje prihvatljive mere rizika. Povećani rizik informacionog sistema proizilazi iz neprimerenog korišćenja i upravljanja resursima informacionog sistema, te može povećati finansijski, strateški, operativni i pravni rizik.Funkcionalan i siguran informacioni sistem mora se zasnivati na sledećim temeljnim načelima:

1. Poverljivosti: svojstvu da informacije ne budu dostupne ili otkrivene neovlašćenim subjektima,2. Integritetu: svojstvu da informacije i procesi nisu neovlašćeno ili nepredviđeno menjani,3. Raspoloživosti: svojstvu koje omogućuje pristup i upotrebljivost na zahtev ovlašćenog subjekta,4. Neporečivost: svojstvu koje osigurava nemogućnost poricanja izvršene aktivnosti ili primanja informacija,5. Dokazivosti: svojstvu koje osigurava da aktivnosti subjekta mogu biti praćene jedinstveno do samog subjekta,6. Autentičnosti: svojstvu koje osigurava da je identitet subjekta zaista onaj za koji se tvrdi da jeste,7. Pouzdanosti: svojstvu doslednog, očekivanog ponašanja i rezultata.

Posledice narušavanja temeljih načela informacionog sistema jesu: Gubitak integriteta. Integritet sastava i podataka odnosi se na potrebu da

informacije budu zaštićene od neovlaščenih ili neispravnih izmena. Neovlašćene ili neispravne izmene dovode do gubitka integriteta. Ako integritet sastava ili podataka

10

nije ponovo uspostavljen, nastavak korišćenja takvog sistema i podataka može dovesti do netačnosti, prevara ili pogrešnih odluka. Isto tako, povreda integriteta može biti prvi korak u narušavanju raspoloživosti ili poverljivosti sistema. Zbog tih razloga gubitak integriteta smanjuje poverenje u informacioni sistem.

Gubitak raspoloživosti. Neraspoloživost informacionog sistema potrebnog za obavljanje zadataka može negativno uticati na ciljeve banke i kontinuitet poslovanja te onemogućiti odvijanje vitalnih poslovnih procesa. Gubitak funkcionalnosti sistema i operativne delotvornosti (učinkovitosti) može, na primer, dovesti do narušavanja reputacije banke, rezultirati gubitkom produktivnog vremena i onemogućiti krajnjeg korisnika u izvršavanju radnih zadataka.

Gubitak poverljivosti. Neovlašćeno, neočekivano ili nenamerno otkrivanje ili objavljivanje podataka može rezultirati gubitkom poverljivosti sistema i podataka. Gubitak poverljivosti može dovesti do teških povreda važećih propisa i uticati na gubitak poverljivosti javnosti i narušavanje reputacije banke, a može prouzrokovati i pokretanje sudskog postupka protiv banke.

Resursi informacionog sistema

Pravilno upravljanje resursima informacionog sistema ključno je za uspeh banke i za njega su odgovorni svi upravljački nivoi. Resursi uključuju:

1. opipljivu imovinu – hardver, komunikacijsku opremu, gradjevine2. informacije/podatke – dokumenti, podaci u bazama podataka3. softver4. sposobnost proizvodnje nekog proizvoda ili pružanje neke usluge5. osobe koje održavaju i koriste informacioni sistem6. neopipljivu imovinu – zaštitni znak, reputacija

Banka bi trebala da identifikuje i klasifikuje resurse prema njihovoj važnosti i vrednosti i da odredi i implementira potreban stepen zaštite tih resursa. Proces identifikovanja resursa i utvrdjivanja njihove važnosti i vrednosti može biti obavljen na najvišem nivou i ne mora uključivati skupe, detaljne i vremenski zahtevne analize. Detaljnost analize utvrdjuje se na temelju postavljenih funkcionalnih i sigurnosnih ciljeva te bi se morala meriti u kontekstu utrošenog vremena i nastalih troškova u odnosu na važnost i vrednost resursa. Obeležja resursa koja pri tom treba uzeti u obzir jesu njihova vrednost i osetljivost. Funkcionalne i sigurnosne potrebe resursa zavise od njihove ranjivosti i prisutnosti odredjene pretnje.

Pretnje

Resursi su izloženi raznim vrstama pretnji. Pretnja može prouzrokovati neželjenu situaciju čija posledica može biti nanošenje štete resursima banke. Drugim rečima, šteta može nastati kao posledica ostvarenja pretne. Pretnja mora iskoristiti postojeću ranjivost resursa da bi se realizovala i rezultirala štetom. Pretnje mogu biti prirodne ili uzrokovane ljudskim delovanjem (slučajne ili namerne). Stoga je potrebno tačno utvrditi pretnje kao i njihov nivo i verovatnoću.

Tabela br. 1 - Primeri pretnji LJUDSKE PRIRODNE

Namerne SlučajnePrisluškivanje Greške i propusti Potres

11

Modifikacija informacija Nenamerno brisanje datoteka, podataka i sl.

Udar groma

„Hakovanje“ Pogrešno preusmeravanje PoplavaMaliciozni kod Nenamerno fizičko uništenje PožarKradja

Upravljanje rizikom je proces procene rizika, preduzimanja radnji za smanjenje rizika na prihvatljiv nivo i održavanje prihvatljivog nivoa rizika. Drugim rečima, upravljanje rizikom je kontinuirani proces uporedjivanja procenjenih rizika s prednostima i troškovima predloženih mera i uvođenja odabranih mera u skladu s poslovnim ciljevima i temeljnim načelima informacionog sistema. Upravljanje rizikom treba da obuhvati celokupni informacioni sistem banke. Za nove sisteme i sisteme koji su u fazi planiranja upravljanje rizikom treba da bude sastavni deo razvojnog procesa, dok se kod postojećih sistema treba uvesti u što kraćem vremenskom periodu.Zaštitne mere se biraju zavisno o rizicima, odnosno o verovatnoći pojave neželjenog dogadjaja i od njegovog učinka na informacioni sistem. Takodje je važno napomenuti da sprovodjenje zaštitnih mera može stvoriti nove ranjivosti i tako rezultirati novim rizicima. Stoga je potrebno pomno izabrati odgovarajuće zaštitne mere, ne samo radi smanjivanja rizika već i zato da bi se izbeglo izlaganjima novim rizicima. Isto tako, potrebno je razmotriti različite vrste zaštitnih mera i sprovesti analizu isplativosti i uzeti u obzir prihvatljiv nivo rizika preostalih nakon sprovodjenja odabranih mera odnosno uvodjenja kontrole.Rizici se procenjuju s aspekta mogućeg učinka kao posledice narušavanja funkcionalnosti i sigurnosti informacionog sistema, odnosno narušavanja temeljnih načela informacionog sistema. Kako bi se postigao zadovoljavajući nivo sigurnosti, banka bi trebala utvrditi sigurnosni potencijal kojim treba raspolagati informacioni sistem i planirati sredstva za njegovo ostvarivanje. Upravljanje rizikom omogućuje uravnotežavanje operativnih troškova i koristi od zaštitnih mera da bi se adekvatno zaštitio informacioni sistem.Upravljanje rizikom je kontinuiran proces koji uključuje:

Procenu rizika Smanjenje rizika Održavanje prihvatiljivog nivoa rizika

Procena rizika

Banka bi trebala pri proceni rizika utvrditi nivo rizika kojem je izložen inofrmacioni sistem i predložiti zaštitne mere kako bi se rizik smanjio na prihvatljiv nivo. Rizici se procenjuju s aspekta mogućeg učinka uzrokovanog narušavanjem funkcionalnosti i sigurnosti informacionog sistema. Kako bi se utvrdila verovatnoća pojave nekog štetnog dogadjaja, potrebno je analizirati pretnje informacionom sistemu. Učinak se odnosi na opseg i veličinu štete koju pretnja može uzrokovati ako iskoristi određenu ranjivost.

Procena rizika trebalo bi da obuhvati sledeće radnje: Odredjivanje obeležja sistema Identifikaciju pretnji Identifikaciju ranjivosti

12

Analizu sistema kontrole Odredjivanje verovatnoće Analiza učinaka Utvrdjivanje rizika Predlaganje mera Dokumentovanje rezultata u obliku formalnog izveštaja

Odredivanje obeležja sistema definiše opseg procesa procene rizika i daje informacije ključne za definisanje rizika. Utvrdjivanje rizika kojem je izložen informacioni sistem zahteva razumevanje njegovog okruženja. Stoga je potrebo prikupiti informacije o informacionom sistemu koje uključuju:

Hardver Softver Sistemska suočavanja Poslovne informacije i ostale informacije koje koristi informacioni sistem Osobe koje održavaju i koriste informacioni sistem Svrhu sistema Važnost i osetljivost sistema i podataka Ostalo

Potrebno je prikupiti i dodatne informacije povezane sa operativnim okruženjem informacionog sistema koje uključuje sledeće:

Funkcionalne potrebe Interne akte koji se odnose na informacioni sistem Arhitekturu sigurnosti sistema Topologiju mreže Tok informacija koje se odnose na informacioni sistem Identifikaciju upravljačkih, logičkih i fizičkih kontrola Sigurnost okoline u kojoj je informacioni sistem

Identifikacija pretnjii Pretnja je potencijal određenog izvora pretnji da uspešto iskoristi određenu ranjivost. Izvor pretnje ne utiče na rizik ako ne može iskoristiti ranjivost. Cilj identifikacije pretnji jeste otkriti pretnje koje se odnose na informacioni sistem koji se procenjuje, identifikovati izvore pretnji i sastaviti popis identifikovanih pretnji i izvora. Pretnja može biti namera i radnja usmerena ka namnernom iskorišćavanju ranjivosti sistema ili situacija i radnja koja može slučajno aktivirati ranjivost. Izvor pretnje može biti prirodni, ljudski ili iz okruženja.Identifikacija ranjivosti. Ranjivost je slabost koju je moguće slučajno aktivirati ili namerno iskoristiti. Sa stanovišta sigurnosti informacionog sistema, ranjivost je mana ili slabost u sigurnosnim procedurama sistema, njegovom dizajnu, implemantaciji ili unutrašnjim kontrolama koja može biti iskorišćena i reziltirati povredom sigurnosti. Cilj identifikacije ranjivosti je utvrđivanje ranjivosti informacionog sistema koje bi mogli iskoristiti izvori pretnji.Kao metoda u oktrivanju ranjivosti može poslužiti i izrada kontrolne liste zahteva koja sadrži osnovne funkcionalnosti i sigurnosne kriterijume koje je potrebno proveriti kako bi se utvrdile ranjivosti resursa informacionog sistema.

13

Analiza sistema kontrole. Cilj je analizirati sistem kontrole koje je banka uvela ili planira da uvede radi smanjenja ili otklanjanja verovatnoće da neka pretnja iskoristi ranjivost informacionog sistema. Analiza sistema kontrola uključuje ispitivanje delotvornosti kontrola koje su već primenjene u informacionom sistemu. Sastavljene kontrolne liste zahteva i upotreba dosutpne kontrolne liste može biti od velike pomoći pri delotvornom i sistematičnom analiziranju sistema kontrola.Odredjivanje verovatnoće. Kako bi banka mogla utvrditi verovatnoću da identifikovana ranjivost bude iskorišćena u okruženju izloženom pretni, potrebno je uzeti u obzir sledeće činjenice:

Motivaciju i sposobnost izvora pretnje Značaj odredjene ranjivosti Postojanje i delotvornost postojećih kontrola.

Verovatnoća da izvor pretnje iskoristi ranjivost može se iskazati pridruživanjem neke empirijske skale za merenje verovatnoće ili upotrebom unapred odredjenog načina stepenovanja kao na pirmer: mala, srednja i velika verovatnoća.Analiza učinka je procenjivanje negativnog učinka koji bi mogao nastati ukoliko pretnja uspešno iskoristi ranjivost. Osnovne informacije potrebne za analizu učinka uključuju sledeće:

Svrhu sistema Važnost sistema i podataka za poslovanje banke Osetljivost podataka i sistema

Uvrdjivanje rizika. Svrha ove radnje jeste da se proceni nivo rizika kojem je izložen informacioni sistem banke. Uvrđivanje rizika izloženosti određenoj kombinarici pretnje i ranjivosti može se izraziti kao funkcija:

Verovatnoće da će identifikovani izvor pretnje iskoristiti odredjenu ranjivost Jačine učinka ako izvor pretnje uspešno iskoristi ranjivost

Nivo rizika se uvrdjuje množenjem ocene koja je dodeljena verovatnoći da izvor pretnje iskoristi ranjivost s ocenom učinka neželjenog događaja, pri čemu se uzima u obzir prikladnost planiranih ili postojećih kontrola.U zavisnosti od potreba i detaljnosti procene rizika može se koristiti matrica proizvoljnih dimenzija.

Tabela br. 2. - Matrica nivoa rizikaVerovatnoća da izvor pretnje

iskoristi ranjivostUčinak

Mali (10) Srednji (50) Veliki (100)Velika (1,0) 10*1,0=10 50*1,0=50 100*1,0=100Srednja (0,5) 10*0,5=5 50*0,5=25 100*0,5=50Mala (0,1) 10*0,1=1 50*0,1=5 100*0,1=10

14

Izvor:http://www.cqm.rs/fq2006/pdf/A/29%20-%20Malbasic%20S.,%20Jankovic%20A..pdf (18.4.2012.)

Tabela br. 3. - Primer lestvice rizika i aktovnosti koje je potrebno preduzetiNivo rizika Opis aktivnosti koje je potrebno preduzeti

Veliki rizik (veći od 51)

Ako je rizik procenjen kao veliki, nužno je hitno sprovođenje mera za smanjenje rizika. Postojeći sistem može da nastavi sa radom, ali nužno je u što kraćem roku sastaviti plan sprovodjenja mera i odrediti prioritete i rokove.

Srednji rizik (11 do 50)

Ako je rizik procenjen kao srednji, nužno je sprovodjenje mera za smanjenje rizika. Potrebno je sastaviti plan sprovodjenja mera kako bi se one sprovele u razumnom vremenu.

Mali rizik (1 do10)

Ako je rizik procenjen kao mali potrebno je utvrditi da li je nužno sprovodjenje mera za smanjenja rizika ili se rizik može prihvatiti.

Izvor:http://www.cqm.rs/fq2006/pdf/A/29%20%20Malbasic%20S.,%20Jankovic%20A..pdf (18.4.2012.)

Predlaganje mera. Predložene mere jedan su od rezultata procesa procene rizika. Cilj predloženih mera jeste smanjiti nivo rizika kojem je izložen informacioni sistem na prihvatljiv nivo. Prilikom predlaganja mera za smanjenje ili otklanjanje rizika treba uzeti u obzir sledeće činjenice:

Delotvornost predloženih mera Važeće propise Interne akte banke Uticaj na poslovne procese Uticaj na temeljna načela informacionog sistema

Dokumentovanje rezultata u obliku formalnog izveštaja. Nakon završetka procene rizika potrebno je dokumentovati rezultate u obliku formalnog izveštaja. Izveštaj o proceni rizika pomaže upravi banke i drugim odgovornim osobama da donesu odluke o promenama internih akata i proračuna te odluke o operativnim i upravljačkim promenama. Izveštaj o proceni rizika trebao bi biti sastavljen na sistematičan, analitičan i afirmativan način koji će upravi banke omogućiti prepoznavanje rizika i promovisati alociranje sredstava kako bi utvrđeni rizici bili smanjeni na prihvatljiv nivo,a potencijalni gubici izbegnuti.

Smanjivanje rizika

Smanjivanje rizika uključuje odredjivanje prioriteta, procenu, odabir i sprovodjenje adekvatnih zaštitnih mera za smanjenje rizika s obzirom na učestalost pojave neželjenih dogadjaja i njihov učinak. Budući da je ukljanjanje svih rizika kojima je izložen informacioni sistem gotovo nemoguće, banka bi trebala preduzeti sve potrebne radnje kako bi smanjila rizik informacionog sistema na prihvatljiv nivo sprovodjenjem adekvatnih zaštitnih mera. Prilikom sprovodjenja zaštitnih mera potrebno je posebnu pažnju posvetiti smanjenu najznačajnijih rizika na prihvatljiv nivo uz najmanji mogući uticaj na ostale poslovne procese. Smanjivanje rizika identifikovanih u procesu prcene rizika može se postići na sledeće načine:

Izbegavanjem rizika Ograničavanjem rizika

15

http://www.cqm.rs/fq2006/pdf/A/29%20-%20Malbasic%20S.,%20Jankovic%20A..pdf

Prenošenjem rizikaPri odabiru bilo koje odo ovih mogućnosti smanjenja rizika potrebno je uzeti u obzir poslovne ciljeve i zadatke banke kao i potrebu za očuvanjem temeljnih načela informacionog sistema. Ukoliko banka u procesu procene rizika utvdri da je rizik prihvatljiv, odnosno da nije potrebno njegovo dalje smanjivanje, navedeni rizik je moguće prihvatiti donošenjem odluke o prihvatanju preostalih rizika.Smanjivanje rizika bi trebalo da obuhvati:

Određivanje prioriteta aktivnosti Procenu predloženih mera za smanjivanje rizika Sprovođenje analize isplativosti Odabir mera za smanjenje rizika Dodeljivanje odgovornosti Izradu plana sprovodjenja odabranih mera Utvrdjivanje preostalih rizika.

Prioriteti sprovodjenja aktivnosti odredjuju se na temelju utvrdjenih nivoa rizika sadržanih u lestvici rizika i izvaštaju o proceni rizika. Višim nivoima rizika dodeliće se viši prioritet. U skladu s dodeljenim prioritetima potrebno je sprovesti mere kako bi se smanjili rizici kojima je izložen informacioni sistem i zaštiti poslovni ciljevi.Pri ocenjivanju predloženih mera potrebno je analizirati njihovu izvodljivost i delotvornost zato što neke od predloženih mera nisu uvek i najprikladnija i najisplativija rešenja za banku. Cilj je odabrati najprikladniju meru kako bi se rizik smanjio na prihvatljiv nivo.Analiza isplativosti prikladnih mera sprovodi se kako bi se olakšalo donošenje odluka i utvrdila isplativost sprovođenja navedenih mera. Rezultati analize mogu se iskazati kvalitativno i kvantitativno. Svrha takve analize jeste utvrdjivanje mera čije će troškovi sprovodjenja biti opravdani smanjenjem nivoa rizika na prihvatljivu meru.Svrha odabira mera za smanjenje rizika je da se odaberu najdelotvornije mere za smanjenje rizika. Odabrane mere trebalo bi kombinovati sa upravljačkim, logičkim i fizičkim elementima.Svrha dodeljivanjea odgovornosti jeste odabir osoba koje raspolažu adekvatnim znanjem i veštinama potrebnim za sprovodjenje odabranih mera i dodeljivanje odgovornosti za sprovodjenje mera.Izrada plana sprovodjenja odabranih mera omogućava izradu plana prema kom će se sprovoditi odabrane mere za smanjenje rizika. U većini slučajeva sprovedene mere za smanjivanje rizika rezultiraju smanjenjem, ali ne i potpunim ukljanjanjem rizika, što upućuje na postojanje preostalih rizika. Nakon odabranih mera potrebno je utvrditi preostale rizike i doneti odluku o prihvatanju preostalih rizika ili preduzimanju radnji za dalje smanjenje rizika.

Fizička sigurnost

Fizička sigurnost obuhvata kontrole koje se sprovode radi zaštite resursa informacionog sistema od neovlašćenog fizičkog pristupa, kradje, fizičkog oštećenja ili uništenja. Rizici povezani s fizičkom sigurnošću mogu se smanjiti uvodjenjem sigurnosnih zona. Sigurnosne zone fizički su prostori s različitim zahtevima fizičke sigurnosti. Sigurnosni zahtevi za svaku

16

zonu proizilaze iz vrste i osetljivosti resursa informacionog sistema koji su smešteni u zoni, te se trebaju definisati u skladu s procenom rizika, pri čemu treba uzeti u obzir različite vrste pretnji i ranjivosti.Banka bi trebala definisati zone i primeniti odgovarajuće upravljačke, logičke i fizičke kontrole u svakoj od definisanih zona. Navedene se kontrole, između ostalog, primnjuju radi zaštite prostorija s resursima informacionog sistema, samih resursa, kao i sistema koji su podrška funkcionisanju informacionog sistema.Banka bi trebala uzeti u obzir sledeće činjenice koje mogu uticati na fizičku sigurnost:

Kontrole fizičkog pristupa. Kontrole fizičkog pristupa ograničavaju ulaske i napuštanje prostorija u kojima su smešteni resursi informacionog sistema banke kao i unošenje i iznošenje opreme i medija. Primeri ovih prostorija su računarski centri, prostorije s telekomunikacionom opremom itd.

Zaštita od požara. Požar ima potencijal da delimično ili potpuno uništi resurse informacionog sistema (uključujući i rizik za ljudske živote). Isto tako, dim, gasovi i vlaga, koji se oslobađaju za vreme požara, mogu načiniti štetu i na ostalim delovima sistema šireći se kroz gradjevinski objekat.

Sistemi za podršku. Banka bi trebala osigurati ispravan rad sistema za podršku. Zastoji u radu sistema za podršku mogu izazivati prekide u radu informacionog sistema i njegovo oštećenje. Dobre prakse nalažu sprovođenje kontrole svojstava vazduha u prostoru s resursima informacionog sistema kako bi se udovoljilo zahtevima osoblja i informacionog sistema.

Konstrukcija objekta. Potrebno je imati u vidu da gradjevinski objekat može biti podvrgnut većem opterećenju nego što je u stanju izdržati. Konstrukcija objekta može biti oštećena, oslabljena ili uništena zbog potresa, raznih dodatnih opterećenja, eksplozija i požara. Posledica uništenja gradjevinskog objekta može biti fizičko oštećenje ili uništenje (dela) informacionog sistema.

Zaštita od uticaja vode. Prodor vode može biti razoran za informacioni sistem. Potrebno je razmotriti posledice koje prodor vode može izazvati i posedovati tačne informacije o mreži vodovodnih instalacija i instalacija rashladnih uređaja koje mogu ugroziti resurse informacionog sistema. Banka bi trebala, u skladu s procenjenim rizikom, preduzeti adekvatne mere za smanjenje rizika kao što su ugradnja „dvostrukog poda“, premeštanje resursa informacionog sistema, vodovodnih instalacija i sl.

Edukacija

Edukacija je kontinuirani proces koji se mora neprekidno odvijati kako bi se osiguralo da znanja korisnika sistema prate promene i u informacionom sistemu i u njegovoj okolini. Pomenute promene uključuju izmene postojećih funkcionalnosti i sigurnosnih obeležja informacionog sistema ili dodavanje novih kao i sve promene izvan informacionog sistema banke koje na njega mogu uticati.

17

Većina štetnih događaja na informacionim sistemima nastaje kao posledica ljudskog delovanja. Od navedenih štetnih događaja zapsoleni poslovnog subjekta uzrokuju mnogo veći broj nego ostale osobe. Neplanirani i neželjeni događaji najčešće nastaju kao posledica nenamernih radnji (grešaka ili propusta) ili, ređe kao posleidca namernih radnji učinjenih s ciljem nanošenja štete informacionom sistemu banke. Kako bi se navedeni događaji i njihovo štetno delovanje sveli na prihvatljiv nivo, potrebno je primereno edukovati sve korisnike informacionog sistema banke.Posledica primene edukacije biće smanjivanje broja grešaka i propusta i ograničavanje njihovog delovanja i sprečavanje pokušaja narušavanje temljnih načela informacionog sistema.Edukacija bi trebala obuhvatiti sve osobe koje se koriste informacionim sistemom banke:

Informatičko osoblje banke, Osobe zadužene za sigurnost informacionog sistema i unutrašnju reviziju, Ostale zaposlene u banci koji koriste informacioni sistem, i na operativnom i

upravljačkom nivou, Osobe koje nisu zaposlene u banci, ali se koriste informacionim sistemom banke (na

primer korisnici e-bankarstva, zaposleni u kompanijama spoljnih saradnika i slično).

Edukacija korisnika informacionog sistema trebala bi omogućiti navedenim osobama delotvorno obavljanje poslovnih zadataka uz istovremeno svodjenje neželjenih dogadjaja na prihvatljiv nivo. Preciznije, ciljevi edukacije korisnika informacionog sistema banke jesu:

Razviti i održavati znanja i veštine korisnika na primenjenom nivou, kako bi oni mogli obavljati poslovne zadatke na delotvoran i siguran način,

Upoznati korisnike s internim aktima (politikama, procedurama i ostalim postupcima kojima se navedeni korisnici mogu pridružiti) kako bi se tačno ustanovili zadaci, okviri delovanja i lična odgovornost svakog korisnika,

Uspostaviti i unaprediti svest o potrebi zaštite resursa informacionog sistema, Razviti i održavati znanja potrebna da bi se funkcionalnost i sigurnost informacionog

sistema zadržale na zadovoljavajućem nivou tokom celog životnog ciklusa informacionog sistema.

Edukacija bi trebala biti sastavni deo strategije informacionog sistema banke te u skladu s planiranim promenama informacionog sistema. Edukaciju je potrebno unapred planirati i formalno identifikovati i specifikovati potrebne aktivnosti, način njihovog sprovođenja i vremenske i finansijske okvire unutar kojih će se sprovoditi. Prilikom planiranja edukacije posebnu pažnju treba posvetiti potrebi usvajanja i održavanja visoko specijalizovanih tehničkih znanja čije sticanje zahteva korišćenje značajnim finansijskim i vremenskim resursima i veliki lični aranžman zaposlenih. Navedena visoko specijalizovana znanja obično se stiču kontinuiranom edukacijom i stručnim usavršavanjem, stoga ih je potrebno adekvatno planirati i sprovoditi. Pri tome bi banka trebala posebnu pažnju posvetiti edukaciji unutrašnje revizije, kako bi se revizija informacionog sistema sprovodila na zadovoljavajući i delotvoran način. Ostvarivanje plana edukacije i njegovo sprovođenje potrebno je dokumentovati i pratiti. Pravilno planirana i sprovedena edukacija povećaće produktivnost, iskorišćenje

18

postojećih resursa i omogućiti podizanje nivoa sigurnosti celokupnog informacionog sistema banke.Edukaciju je moguće sprovoditi na različite načine, od najjednostavnijih poput distribucije pisane dokumentacije do kompleksnih i dugotrajnih usavršavanja. Opseg, detaljnost, trajanje i način sprovođenja edukacije trebaju biti u skladu s obeležjima ciljane grupe odnosno ciljanih korisnika. Prilikom određivanja obeležja ciljanih korisnika potrebno je uzeti u obzir poslovne funkcije koje navedeni korisnici obavljaju, njihovo predznanje o predmetu edukacije i uopšteno poznavanje funkcionisanja informacionog sistema. Korisnike je potrebno edukovati do nivoa detaljnosti koji zahtevaju njihovi poslovni zadaci.

2.2. Uloge i odgovornosti pri upravljanju operativnim rizicima

Prikaz uloga i odgovornosti pojedinih organa pri upravljanju operativnim rizicima:Nadzorni odbor:

Odgovornosti

- Obezbedjuje da okvir upravljanja operativnim rizicima bude izložen efektivnoj i sveoguhvatnoj internoj reviziji od strane nezavisnog i kompetentog osoblja

- Obezbeđuje da upravljanje operativnim rizicima bude predmet eksterne revizije

Odnosi sa drugim organizacionim delovima

- Interna revizija

Predsednik izvršnog odbora:

Odgovornosti

- Usvaja, periodično pregleda i odobrava okvir upravljanja operativnim rizicima

- Vrši pregled mapiranja rizika i programa upravljanja rizicima

- Na osnovu preporuka donosi odluke o preduzimanju novih akcija kao što je definisano u programu upravljoanja operativnim rizicima

- Vodi računa o izvršenju kontrola kao što je definisano u upravljačkom programu upravljanja rizicima


- Sektor upravljanja rizicima- Odbor za informacionu tehnologiju

Interna revizija:

Odgovornosti - Revizija delova oblasti operativnih rizika i interne kontrole upravljanja operativnim rizicima

- Preporuke za implementaciju internih kontrola

19

u cilju minimiziranja identifikovanih rizika- Pregleda operativne rizike i kontroliše proces

samoocenjivanja- Ocenjuje efikasnost i efektivnost operativnog

rizika i kontroliše proces samoocenjivanjaOdnosi sa drugim organizacionim delovima

- Nadzorni odbor- Predsednik izvršnog odbora- Skupština banke

IT odbor:

Odgovornosti

- Razmatra i daje preporuke strategije razvoja IS-a i funkcionisanja IS-a sa aspekta upravljanja operativnim rizicima

- Razmatra i daje preporuke politika i procedura za upravljanje operativnim rizicima sa aspekta funkcionisanja IS-a

- Razmatra i daje preporuke za metodologiju razvoja IS-a sa aspekta upravljanja operativnim rizicima

- Odobrava implementaciju novih alata iz oblasti infomracionih tehnologija, a u skladu sa strategijom razvoja IS-a i politikom i procedurom za upravljanje operativnim rizicima

Učesnici Prema postojećoj strukturi

Funkcija upravljanja rizicima:

Odgovornosti

- Odgovornost za upravljanje operativnim rizicima

- Razvijanje i praćenje okvira upravljanja operativnim rizicima

- Praćenje izvršavanja politike operativnih rizika i procedura u banci

- Preporuke generalnom direktoru u vezi sa implementacijom internih kontrola koje su definisane u okviru upravljanja operativnim rizicima


- Predsednik izvršnog odbora- Interna kontrola- Rukovodioci sektora- Odbor za informacionu tehnologiju

Interna kontrola:

Odgovornosti - Odgovornost za upravljanje operativnim

20

rizicima- Samoocenjivanje operativnih rizika u okviru

poslovnih jedinica u bliskoj saradnji sa direktorima poslovnih sektora i zaposlenima

- Pripremanje programa upravljanja operativnim rizicima u okviru poslovnih sektora u saradnji sa direktorima tih sektora i zaposlenima

- Odgovornost za razvijanje, implementaciju i funkcionisanje internih kontrola kao što je definisano u programu upravljanja operativnim rizicima

- Obezbeđenje da svi trenutno zaposleni kao i novo zaposleni razumeju i rade u skladu sa okvirom upravljanja operativnim rizicima

- Uskladjivanje poslovanja bankje sa zakonskim i podzakonskim aktima u vezi sa upravljanjem operativnim rizicima

- Ocena planova poslovanja poslovnih jedinica u saradnji sa direktorima poslovnih sektora i zaposlenima, periodično ocenjivanje planova

- Ocena planova za obnovu informacionih sistema u slučaju pada zajedno sa direktorom sektora informacione tehnologije i periodično testiranje tih planova


- Odeljenje upravljanja rizicima- Predsednik izvršnog odbora- Rukovodioci sektora/zaposleni zaduženi za

operativne rizike- Odbor za informacionu tehnologiju

2.3. Operativni rizik u elektronskom Bankarstvu

Operativni rizik u elektronskom bankarstvu proizilazi iz potencĳalnog gubitka zbog manjkavosti u sistemu bankarske bezbednosti i integriteta. On se sve do implementacĳe Bazel II regulative, nĳe izdvajao kao posebna kategorĳa, što je otežavalo njegovo merenje, kontrolu i upravljanje. Pitanje bezbednosti sistema je od najvećeg značaja, jer uvek postoje mogućnosti raznih internih i eksternih napada na banku, tj. njen sistem i proizvode, a time se dovodi u pitanje i integritet klĳenata banke. Operativni rizik takođe može nastati i zbog zloupotrebe od strane klĳenata ili loše dizajniranog sistema elektronskog bankarstva U tom smislu, mogući su sledeći operativni rizici u elektronskom bankarstvu6:

6 Crouhy M., Galai D., Mark R., The Essentials of Risk Management, McGraw-Hill, New York, 2006

21

Rizik bezbednosti sistema, Rizik dizajniranja, implementacĳe i održavanja sistema i Rizik zloupotrebe proizvoda ili usluga od strane klĳenata

Rizici bezbednosti ili sigurnosti sistema se pojavljuju u vezi s kontrolom informacĳa pomoću kojih banka komunicira sa okruženjem, transfera elektronskog novca, kao i sprečavanja falsifikata. Primer mogućeg rizika bezbednosti jeste npr. neautorizovani pristup sistemu. Banke mogu da primene određene mere za upravljanje rizikom bezbednosti. Moguće je primeniti sigurnosne komunikativne mere, kao što su „firewall“, lozinke, tehnologĳu enkripcĳe i autorizacĳu korisnika. Potrebno je da banka vrši testiranje na „ranjivost“ sistema, kao i stalno proveravanje sistema na viruse.

Rizici dizajniranja, implementacĳe i održavanja sistema bitno utiču na razvoj sistema elektronskog bankarstva. Radi se o prekidima i/ili usporavanju sistema, što izaziva negativne posledice na klĳente.

Zloupotreba proizvoda i usluga od strane klĳenata ili trećih lica nĳe retka pojava. Zbog toga lične informacĳe klĳenata banke koji učestvuju u elektronskom bankarstvu (broj kreditne kartice, broj računa u banci, i sl.) moraju biti posebno zaštićene prilikom transakcĳa elektronskog novca.

Internet bankarstvo i motivi napadačaPoslednjih nekoliko godina beleži se porast sajber napada na banke. Sajber napad jeste napad na računarske resurse ili sisteme upotrebom neke od tehnika zloupotrebe ranjivosti tog sistema ili korišćenje korisnika računara kao posrednika za uspešno izvođenje napada. Napadači koriste različite vrste napada, inovativna sredstva i tehnike kako bi prevarili legitimne korisnike i opljačkali banke.

Neke od metoda koje napadači koriste su krađa identiteta i/ili brojeva kreditnih kartica, korišćenje specĳalnog programa tzv. kilogera, trojanskih konja, crva, virusa i drugih malicioznih programa. Napadači koriste jednostavnost, brzinu i fleksibilnost Internet bankarstva namenjenog klĳentima banke za poboljšanje iskustva korišćenja bankarskih usluga.

Prevare putem zloćudnih bankarskih programaKilogeri - programi za praćenje unosa znakova sa tastature, predstavljaju špĳunske programe koji prate i beleže svaki znak sa tastera koji korisnik pritisne. Dele se u dve grupe:

Alati u obliku softverskih paketa i Uređaji koji se ugrađuju u sklopove računara

Programi za praćenje unosa znakova sa tastature se uključuju u lanac događaja između pritiska tastera na tastaturi i prikaza znaka na monitoru računara. Ovo se postiže na više načina7:

Postavljanjem video nadzora, Podmetanjem prislušnog uređaja u tastaturu, Presretanjem znakova upotrebom samog računara, Promenom upravljačkih programa tastature, Promenom programa za obavljanje posebnih funkcĳa tastature Presretanjem funkcĳa jezgre operativnog sistema ili

7 http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-Djordjevic.pdf

22

Presretanjem .dll datoteka funkcĳa (.dll je dinamička biblioteka koja se koristi u operativnom sistemu Windows).

Sklopni uređaji za praćenje unosa znakova sa tastature su obično male veličine i postavljaju se u tastaturu na komunikacĳski kabl koji povezuje tastaturu i računar ili u sam računar, dok se programski paketi sastoje od alata koji prate i beleže pritiske tastera na tastaturi. Napadači koriste opisane programe kako bi preuzeli osetljive informacĳe kao što su brojevi kreditnih kartica, PIN-ovi, korisnički podaci i sl. Programi za praćenje unosa znakova sa tastature prikupljaju podatke i dostavljaju ih na posebne računare za odlaganje takvih podataka sa kojih ih napadač lako može preuzeti Moguće je otkriti računare na koja program šalje prikupljene podatke obavljanjem dinamičke analize upotrebom programa za analizu ponašanja zloćudnih programa

Trojanski konji - jedni od najjednostavnĳih i vrlo raširenih oblika zloćudnih programa. Oni sadrže neku korisnu funkcionalnost i time privlače korisnika da ih preuzme na svoje računar i pokrene. Tom akcĳom korisnik omogućuje napadaču pokretanje zlonamernog programskog koda, odnosno pristup određenim podacima na računaru ili čak preuzimanje kontrole nad celim računarom. Osnovna funkcĳa pomenutih trojanskih konja je krađa ličnih podataka žrtve, kao što su brojevi kreditnih kartica i PIN-ovi, kao i preuzimanje potpune ili delimične kontrole nad računarom korisnika. Trenutno ne postoji efikasna zaštita protiv njih pa se ni jedan korisnik Internet bankarstva ne može osećati potpuno sigurno. Kako bi se suprotstavile, antivirusne kompanĳe razvĳaju posebne algoritme kako bi se suprostavili ovim naprednim programima. Napadač se može prĳaviti na sistem Internet bankarstva i prebaciti novac na račun koji mu pripada ili verovatnĳe prebaciti na račun koga nĳe moguće kontrolisati. Banke mogu da spreče ovakve napade upotrebom popisa lozinki, praćenjem nepravilnosti kod pristupa stranici i sl.

23

Grafikon br. 2 – Registrovani napadi bankarskim trojancima (2003 - 2008)

2003 2004 2005 2006 2007 20080

10000

20000

30000

40000

50000

60000

70000

80000

90000

100000

34 7545096

19128

8834894997

Chart Title

Series1

Izvor:http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-Djordjevic.pdf (20.4.2012.)

Preusmeravanje ili farming - neki bankarski trojanci preusmeravaju korisnika prilikom prĳave na Internet bankarstvo na lažnu web stranicu. Napadač oblikuje stranicu tako da ona oponaša web stranicu banke. Takva stranica takođe može služiti za napad s čovekom u sredini, menjajući sadržaj prometa koji se prenosi između bankarske stranice i korisnikovog web pretraživača.

Zloćudni programi sa više korakaPostoje programi koji izvode napade na bankarske račune u više koraka, napad u 3 koraka:

Infekcĳa računara zloćudnim Programom (zloćudni program se instalira na korisnikov računar ukoliko on poseti stranicu koja ga sadrži, program šalje svaku web stranicu koju korisnik poseti i šalje poslužiocu kojim upravlja napadač)

Praćenje prometa određenih Internet stranica ( prati se kriptovani promet web stranica) Analiza prometa i krađa bankarskih računa (napadač analizira promet i zaključuje u

kojoj banci žrtva ima račun)

Napadač ima sve potrebne elemente za pljačku i krađu identiteta. Korisnici se ne mogu potpuno zaštititi, ali mogu sprečiti prvi korak upotrebom antivirusnih programa koji sprečavaju preuzimanje zloćudnih programa sa sumnjivih stranica.

Prevare putem lažnog predstavljanja

U napadima lažnim predstavljanjem postoje tri glavna aktera i to su: Pružalac usluga (npr. banka), Žrtva (korisnik usluga banke) Napadač

24

Kako bi pružalac usluga, odnosno banka, osigurala isključivo autorizovani pristup svojim uslugama, ona obavlja autentikacĳu pre dozvole pristupa svojim uslugama. Zbog toga ona dodeljuje korisnicima korisničke račune. Napadač želi da koristiti usluge banke pretvarajući se da je njen korisnik. Kako bi to učinio mora ukrasti lične podatke i korisnički račun. Prema tome, napadač uspostavlja komunikacioni kanal prema žrtvi za preuzimanje podataka. Osim pomenutog kanala, postoji još jedan komunikacioni kanal između napadača i žrtve. Taj kanal se koristi za pokretanje napada lažnim predstavljanjem i naziva se napadački kanal.

Postoji više metoda za izvođenje napada lažnim predstavljanjem. Tipičan primer su fišing (phishing) napadi. Ukoliko se uzme primer fišing napada na korisnike banke pružalac usluge je banka i napadač želi podatke korisnika za prĳavu na Internet bankarstvo. Napadački kanal je obično lažna poruka elektronske pošte koja upućuje korisnika na lažnu web stranicu. Web stranica je deo komunikacionog kanala za preuzimanje korisnikovih podataka.

Lažno predstavljanje upotrebom kilogers (Keyloggers) programaLažno predstavljanje upotrebom programa za praćenje unosa znakova sa tastature. Svaka žrtva ima svoje korisničke podatke koje koristi za autentifikacĳu kod pružaoca usluga (banke). Napadač koristi različite tehnike kako bi zarazio svaku žrtvu programom za praćenje unosa znakova sa tastature. On to može učiniti, na primer, slanjem poruka neželjene e-pošte koje sadrže zloćudni program, ubacivanjem zloćudnog programa kada korisnik poseti zlonamernu web stranicu ili na neki drugi sličan način. Napadač definiše da se snima unos znakova samo kada se korisnik prĳavljuje na web stranicu za Internet bankarstvo. Nakon što je program prikupio određenu količinu podataka šalje ih na posebne računare sa kojih ih napadač prikuplja i dalje koristi za lažno predstavljanje kao korisnik banke.

Bezbednost i zaštita Internet bankarskih sistemaSavremene banke koriste četiri (4) osnovna sigurnosna servisa8:

1. Tajnost podataka, se ostvaruje šifriranjem, odnosno upotrebom kriptografskih algoritama.

2. Autentifikacĳa, tj. proveravanje identiteta kojim se korisnik predstavlja. Ovo se može vršiti na razne načine: PIN-om , pasword-om, biometrĳskim metodama (otisak prsta i dr.), smart karticom.

3. Integritet podataka, predstavlja obezbeđivanje razmene finansĳskih i drugih podataka između banke i korisnika tako da niko neovlašćen ne može iskoristiti ili izmeniti podatke.

4. Neporicanje (neodricanje) poruka, servis koji sprečava pošiljaoca da porekne slanje i sadržaj poruke, odnosno primaoca da porekne prĳem i sadržaj poruke.

Veoma je bitna i zaštita mreže banke (firewall) i kontrola pristupa. Od osnovnih i sveprisutnih sigurnosnih mehanizama koji se najčešće koriste u svim vidovima elektronskog bankarstva su9:

1. Šifrovanje (kriptografija), transformacĳa originalne poruke pomoću odgovarajućeg postupka u nečitljivu formu za sve, sem za korisnika snabdevenog mehanizmom za dešifriranje.

2. Digitalni potpis, poruka se može digitalno overiti tako što pošiljalac koristi svoj tajni ključ za overu - kako svog identiteta, tako i sadržaja poruke, čime se sprečava bilo kakva izmena poruke tokom prenosa. Ako bi neko neovlašćeno dopisao ili izmenio

8 Turner P., Wunnickee D., Managing the Risk of Payment, John Wiley & Sons Inc., 2003.9 http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-Djordjevic.pdf

25

sadržaj poruke, primalac bi uz pomoć javnog ključa pošiljaoca otkrio neregularnost u poruci, što znači da je došlo do neautorizovane izmene poruke.

3. Digitalni sertifikat, lična karta u elektronskom prostoru.4. Inteligentne (smart) kartice, autentifikacĳa podrazumeva dokazivanje identiteta

korisnika. Identitet u okviru Interneta najčešće se dokazuje korisničkim imenom i lozinkom, odnosno tajnim ključem, a u poslednje vreme i inteligentnim karticama (smart cards), kao savremenĳim i efikasnĳim mehanizmom zaštite podataka.

Kako bitka između banaka i sajber kriminalaca traje a moglo bi se reći da će uvek trajati, jedino što preostaje krajnjim korisnicim Internet bankarstva jeste da zaštite svoje računare preko kojih pristupaju bankarskim sistemima na mreži. Kako bi se to postiglo korisnici moraju steći određena znanja o računarima i primeniti preporučene mere zaštite. Neke od njih su10:

Zaobilaženje otvaranja linkovanih sajtova u sumnjivim porukama e-pošte (to su obično one poruke u kojima se traži odavanje ličnih podataka, PIN-ova i sl.),

Upotreba filtera za neželjenu e-poštu, Upotreba antivirusnih programa, Upotreba zaštitnog zida, Primena najnovĳih zakrpa i instalacĳa programa u kojima su ispravljeni sigurnosni

propusti, Korišćenje antispyware programa, Česte provere stanja bankarskih računa, kao i Edukacĳa o bezbednosti na Internetu.

Edukacĳa o bezbednosti možda je i najvažnĳi savet korisnicima jer broj Internet prevara svakodnevno raste i korisnici moraju da budu svesni opasnosti koje vrebaju, kao i načina kojima se mogu zaštititi.

Osnova uspešnog upravljanja operativnim rizikom u Internet bankarstvu leži u kvalitetno sprovedenim merama i kontroli bezbednosti, kako na novou zaštite sistema banke tako i na nivou zaštite računara korisnika ovog vida bankarskih usluga. Kontrola bezbednosti obuhvata odgovatrajuću proveru identiteta, autorizacĳe, kontrolu logičkog i fizičkog pristupa, bezbednu infrastrukturu i verodostojnost podataka o transakcĳama, dokumentacĳe i informacĳa.

Uzimajući u obzir činjenicu da se propisi o zaštiti privatnosti razlikuju od jedne države do druge, insistira se na pružanju određenog nivoa sigurnosti u pogledu objavljivanja ili deljenja informacĳa o klĳentu sa trećom stranom. Na nivou banke, dokumentovana i pristupačna politika bezbednosti i standardizacĳa predstavljaju ključ dobre bezbednosne strategĳe bankarske institucĳe. Neki od uobičajenih delova sigurnosne politike u borbi protiv napada i prevara u Internet bankarstvu su11:

Klasifikacĳa i rukovanje informacĳama - osigurati pravilnu klasifikacĳu poverljivih informacĳa kako bi one bile zaštićene od neovlašćenog pristupa,

Lična bezbednost - provera novih zaposlenih, kako bi banka bila sigurna da ne predstavljaju sigurnosnu pretnju,



26

Fizička bezbednost - obezbediti objekte znakovima i sigurnosnim uređajima za nadzor i sl.,

Pristup informacĳama - procesi za generisanje sigurnih lozinki, udaljeni pristup i sl., Zaštita od virusa - sprovesti mere zaštite sistema od virusa i drugih zlonamernih

pretnji Treninzi za podizanje svesti zaposlenih o IT bezbednosti - kontinuirano informisati

zaposlene u banci o pretnjama i merama zaštite, Upravljanje kvalitetom – osiguravanje usklađenosti sa zakonima i standardima, Politika o lozinkama - definisanje standard za osiguravanje lozinki, Reagovanje na incident – definisanje postupka reakcĳe i prĳave incidenta, Distribucĳa dokumentacĳe – rukovanje poverljivim podacima.

Jednom definisana politika mora biti lako dostupna svim zaposlenima, potrebno je sprovoditi stalno ažuriranje i proveravanje bezbednosne politike kako bi se načinile nužne promene u skladu sa novim odredbama ili pretnjama.

Sa aspekta zaštite korisnika usluga Internet bankarstva potrebno je da svaki korisnik Interneta može sprovesti određene mere zaštite od napada kao što su12:

Upoznavanje značaja i vrednosti podataka - napadači se obično usmeravaju na korisnička imena lozinke i brojeve kreditnih kartica pa je potrebno oprezno rukovanje s tim podacima;

Provera identiteta sagovornika – napadači se obično usmeravaju na sticanje poverenja korisnika uveravajući ih kako se radi o njima poznatim osobama, saradnicima, nadležnim osobama, službenicima banke i sl.;

Zadržavanje tajnovitosti lozinke – lozinke treba čuvati u tajnosti i izbegavati njihovo zapisivanje ili otkrivanje drugim osobama;

Proveravanje poruka e-pošte - proveriti izvor poruke, sprovesti skeniranja antivirusnim alatom i sl.;

Izbegavanje upisivanja značajnih podataka na nesigurnim web stranicama – proveriti validnost web stranice pre upisa lozinke preko URL i drugih indikatora;

Neotkrivanje ličnih informacĳa - saznavanjem informacĳa o nekom korisniku sajber kriminalci se mogu fokusirati na njegove navike i hobĳe kako bi ga naveli na posećivanje lažnih web stranica;

Korišćenje anti-phishing zaštite – postoje alati koji proveravaju poruke e-pošte kako bi otkrili izraze koji su karakteristični za phishing poruke.

Osvajanjem Internet prostora i pojavom ponude Internet bankarskih proizvoda i usluga, banke se suočavaju sa povećanim operativnim rizikom, javljaju se rizici nepredviđenih događaja kao i mnogobrojni problemi na strani korisnika. Rezultat toga svakako je gubitak novca za banku i za klĳenta, a neretko i gubitak dobre reputacĳe i imidža banke. Danas postojeći sistemi i mehanizmi pružaju visok nivo zaštite od Internet bankarskih prevara i pljački, ali nĳedan od njih ne može stopostotno zaštiti banku i klĳenta.


27

3. Praktični primeri operativnog rizika

Primer realizacije operativnog rizika usled propusta u radu zaposlenih: Klijent fizičko lice, Marko Marković se obraća banci sa zahtevom za odobrenje pozajmice po tekućem računu u iznosu od RSD 10.000,00 na rok od 12 meseci. Marko je podneo odgovarajuću dokumentaciju, i bankarski službenik je utvrdio da može klijentu odobriti traženi iznos pozajmice. Bankarski službenik podatke unosi u sistem, i usled nepažnje odobrava pozajmicu u iznosu od RSD 100.000,00, tako da Marko dobija više sredstava nego što mu njegova mesečna primanja dozvoljavaju. Marko odlazi na bankomat da podigne odobrenu pozajmicu u gotovom RSD 10.000,00 i upit stanja mu pokazuje da raspolaže sa RSD 100.000,00 pozajmice. On odlučuje da podigne celokupni iznos sa računa u naredna tri dana. Bankarski službenik posle tri dana uočava grešku. Marko će vratiti banci više podignuta sredstva po isteku perioda korišćenja pozajmice tj. za 12 meseci.

Primer operativnog rizika usled neodogovarajućih unutrašnjih procedura i procesa: U maju mesecu 2008. godine, blagajnik Raiffeisen banke u Kragujevcu, je poznajući manjkavosti internih procedura podigao neovlašćeno sa računa banke EUR 1,100.000,00. Novac, koji je blagajnik neovlašćeno podigao sa računa je naknadno morao da vrati banci.

Primer operativnih rizika usled neadekvatnog upravljanja informacionim i drugim sistemima: Banke koriste posebne softvere za procesuiranje platnih kartica u odnosu na osnovni (bazični) informacioni sistem, i dešava se u praksi da klijentu legne plata na račun i da on istovremeno može da podigne novčana sredstva i sa bankomata i na šatleru i da otera svoj tekući račun u minus, obzirom da se knjiženje prve transakcija ne evidentira odmah. Npr. Petar Petrović je primio platu u iznosu od RSD 10.000,00 u petak u 14h. Petar odlazi na bankomat i podiže svih RSD 10.000,00 u 14:00, a potom odlazi na šalter u 14:05 i podiže ponovo RSD 10.000,00 jer bankarski službenik vidi kroz softversku aplikaciju (informacioni sistem) da klijent raspolaže sa RSD 10.000,00 (pri čemu Petar nema odobren dozvoljeni minus kod svoje poslovne banke). Bankarski službenik kasnije u toku dana ili tek narednog dana (u zavisnosti od toga kako su povezana oba informaciona sistema) može da vidi da je račun Petra Petrovića oteran u nedozvoljen minus. Petar Petrović će nedozvoljeni minus pokriti sa uplatom plate na tekući račun sledećeg meseca.

Primer operativnog rizika usled nepredvidivih eksternih događaja: Izbilo je strašno nevreme, koje je izazvalo poplavu u ekspozituri Hypo banke u Subotici i prekid rada električnih instalacija. Klijent pravno lice, Veterinarski zavod Subotica, dolazi u banku odmah posle nevremena da realizuje plaćanje ka ino-partneru u iznosu od EUR 100.000,00 (obzirom da ima pripremljena novčana sredstva za izmirenje obaveze) u suprotnom ako ne izvrši plaćanje platiće penal ino-partneru u iznosu od EUR 5.000,00. Bankarski službenik obaveštava Veterinarski zavod da banka nije u mogućnosti da izvrši plaćanje, jer ne funkcioniše informacioni system (softverska aplikacija). Obzirom da Veterinarski zavod ima jedino otvoren račun u Hypo banci, obaveza banke je da nadoknadi Veterinarskom zavodu štetu tj. da plati penal ino-partneru ukoliko ne uspe da realizuje nalog u toku tog dana.

Sledeće tabele prikazuju procente operativnih gubitaka po poslovnim linijama i tipovima događaja. Svi gubici prekoračuju 1 milion dolara i odnose se na SAD.

28

Tabela br. 5 – Operativni gubici po poslovnim linijama i tipovima dogadjaja Poslovna linija % svih

gubitakaPoslovanje sa privredom 4%Trgovina i prodaja 9%Poslovanje sa stanovništvom

39%

Komercijalno bankarstvo

16%

Obračuni i plaćanja 1%Agentski poslovi 3%Poslovi upravljanja imovinom

6%

Brokerski poslovi sa stanovništvom

22%

Tip dogadjaja % svih gubitakaInterne prevare 27%Eksterne prevare 16,6%Odnos prema zaposlenim i bezbednost radnog okruženja

3,3%

Klijenti, proizvodi i poslovna praksa

48,1%

Štete na fiksnoj imovini 0,3%Prekid u poslovanju i pad inf. i drugih sistema

0,4%

Izvršenje isporuka i upravljanje procesima

4,2%

Izvor: OpVantage [Manić (2007), str. 16-17]

Može se primetiti da je poslovna linija sa najviše opservacija poslovanje sa stanovništvom (39% svih gubitaka), dok se najučestaliji tip događaja odnosi na klijente, proizvode i poslovnu praksu (48,1% svih događaja). Ipak, nije čest slučaj da najučestalija poslovna linija (ili tip događaja) ima u isto vreme gubitke sa najvećim uticajem na iznos izgubljenog novca. Mnogo je češći slučaj da su najučestaliji OR gubici oni male ili srednje veličine, dok su retki OR gubici obično veliki gubici.

Prema podacima iz 2006. godine, čak 20 banaka u Srbiji uopšte nije procenjivalo operativne rizike, a od 11 banaka koje su prikupljale podatke pokazalo se da je 1/3 gubitaka bila uzrokovana eksternim prevarama, 1/3 izvršenjem i upravljanjem poslovnim procesom, a tek onda su sledile interne prevare. Banke u BiH tek su od početka 2009. godine obavezne da identifikuju svoju izloženost OR i uspostave odgovarajući sistem za njihovo upravljanje. Međutim, one banke koje u BiH posluju kao „filijale“ velikih evropskih banaka već su u tome napravile značajan iskorak, pod uticajem matičnih organizacija kojima je ta obaveza nametnuta još početkom 2007. godine, oficijelnom implementacijom standarda Bazela II.

Frenk Ebagnejl, koji je „operisao“ 60-tih godina prošlog veka i čiji su „podvizi“ ovekovečeni u filmu „Uhvati me ako možeš“, Čarls Ponci, tvorac piramidalne šeme upisane u krivične anale pod njegovim imenom, a u novije vreme Ramon Baes Figeroa, bankar iz Dominikanske Republike, koji je svojim transakcijama ovu zemlju uvukao u ekonomsku krizu 2003. godine,

29

ili Žerom Kervijel koji je banku „Societe Generale“ ojadio za 4,9 milijarde evra, živi su dokaz da ljudska mašta u marifetlucima ne poznaje granice.

A ako je aktuelna ekonomska kriza pokrenula preispitivanje svetskih finansijskih pravila ustanovljenih pred kraj II Svetskog rata sporazumima iz Breton vudsa, Mejdofova prevara, čije su žrtve pored znamenitih svetskih banaka i mnogi slavni pojedinci poput Stivena Spilberga, dovela je u pitanje opravdanost postojanja hedž fondova, jednog od osnovnih instrumenata modernog bankarstva.

Džon Rusnak, trgovac valutom u američkoj banci Allfirst sa sedištem u Baltimoru, država Merilend, a potom filijale Elajd Ajriš banke, proglašen je krivim 2002. godine, za proneveru od 691 milion dolara. Godinu dana kasnije osudjen je na sedam i po godina zatvora nakon što je postigao nagodbu sa tužiocima.

Japanac Tošihide Iguči, bivši prodavac automobila, izgubio je više od milijardu dolara u japanskoj banci „Daiva“, baveći se trgovačkim prevarama u periodu od 11 godina, počev od 1984. A 1996. godine otkriveno je da je Jasuo Hamanaka, šef odeljenja za trgovinu bakrom na japanskom tržištu, svojim malverzacijama tokom 10 godina napravio gubitak od 2,6 milijardi dolara. Osudjen je na 8 godina zatvora.

Zabeleženi su slučajevi kada je čitava banka učestvovala u prevari. tako je finansijska kontrola u SAD 1991. otkrila da je Medjunarodna kreditna i komercijalna banka (BCCI) napravila ogromne gubitke nelegalnim kreditima korporativnim klijentima i trgovcima. Banka je bankrotirala s dugovima od preko 16 milijardi dolara, pri čemu je 250 000 njenih klijenata oštećeno. Na vrhuncu poslovanja banka je bila aktivna u 78 zemalja s efektivom od 25 milijardi dolara.

-5 najvećih pronevera-

1. Bernard Mejdof – 50 milijardi dolara. Skoro jednu deceniju uzimao je od jednih da bi isplatio drugima. Istraga ispituje gde je nestao proneveren novac.

2. Žerom Kervijel – 7,1 milijardi dolara. Sitni službenik „Societe Generale“ banke nadigrao je unutrašnju kontrolu i neovlašćeno uzimao bančina sredstva da bi se igrao na berzi.

3. Brajan Hanter – 6,4 milijarde dolara. Svojim finansijskim malverzacijama uništio je investicioni fond Amarant advisori.

4. Djan Karlo Pareti – 5 milijardi dolara. Italijanski biznismen je na prevaru kupovao kreditnim karticama holivudske studije.

5. Džon Meri Veder – 4,6 milijarde dolara. Kao investicioni direktor napravio je ogroman gubitak svojoj investicionoj banci „Solomon brothers“.

30

ZAKLJUČAK

Najvažniji razlog zbog kog se upravljanju rizicima u bankarstvu poklanja izuzetno velika pažnja jeste priznanje ekonomskog i društvenog doprinosa bankarstva u razvoju društva. Kroz poslovanje banke se manifestuju ne samo interesi njenih neposrednih vlasnika, već i interesi nacionalne ekonomije. Javni karakter banke podrazumeva njen doprinos stabilnosti nacionalnog finansijskog sistema.

Savremene banke se shvataju kao multifunkcionalni, multiorganizovani i multiadaptivni sistemi, koji mogu da usmeravaju privredna i investiciona kretanja. Putem kreditiranja novih poslova, investicija, inovacija i stvaranju mogućnosti zapošljavanja, zdravo bankarstvo doprinosi ekonomskom rastu.

Banke se nesporno nalaze pred strateški važnim zadatkom da razvijaju efikasne okvire za upravljanje operativnim rizikom. Potrebno vreme je koji se ne može zaobići, kada je u pitanju priprema Upravnog i Izvršnog odbora, za njihovo puno uključenje u procese kreiranja strategija, politika i procesa upravljanja operativnim rizikom, u smislu podizanja nivoa svesti o postojanju ovog rizika kao posebne kategorije, kojom se mora pažljivo upravljati i to na svim nivoima u banci. Ovaj momenat bitan je za odobravanje i nadzor jednog efikasnog okvira za upravljanje operativnim rizikom od strane Upravnog odbora i odgovornost za njegovu konzistentnu i efikasnu primenu od strane Izvršnog odbora, a što su i zahtevi standarda iz Bazelskog sporazuma II.

31

Literatura:

1. Barjaktarović L., Upravljanje rizicima, (2009), Beograd, Univerzitet Singidunum2. Cvetinović M., (2008) Upravljanje rizicima u finansijskom poslovanju, Beograd,

Univerzitet Singidunim3. Matić, V., (2008) Operativni rizici, Beograd, Institut za poslovna istraživanja MBA4. http://www.ubs-asb.com/Portals/0/Rizici/Metodologija.pdf (18.4.2012.)5. http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-

Djordjevic.pdf (18.4.2012.)6. http://www.nbs.rs/internet/cirilica/55/55_6/index.html (17.4.2012.)7. http://www.hnb.hr/supervizija/papiri-bazelske-komisije/h-dobre-prakse-za-

upravljanjem-operativnim-rizikom.pdf (23.4.2012.)

32

http://www.hnb.hr/supervizija/papiri-bazelske-komisije/h-dobre-prakse-za-upravljanjem-operativnim-rizikom.pdf

http://www.hnb.hr/supervizija/papiri-bazelske-komisije/h-dobre-prakse-za-upravljanjem-operativnim-rizikom.pdf

http://www.nbs.rs/internet/cirilica/55/55_6/index.html

http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-Djordjevic.pdf

http://www.ubs-asb.com/Portals/0/Casopis/2010/9_10/B09-10-2010-Djordjevic-Djordjevic.pdf

http://www.ubs-asb.com/Portals/0/Rizici/Metodologija.pdf

Spisak slika, tabela i grafikona

Slika br. 1 - Operativni rizik.........................................................................................................4

Grafikon br. 1 - Gubici banka sa stanovišta operativnog rizika...................................................6

Slika br. 2 – Upravljanje operativnim rizikom.............................................................................8

Slika br. 3 - Alternative pri upravljanju operativnim rizikom......................................................8

Slika br. 4 – Alokacija kapitala potrebnog da se pokriju operativni rizici....................................9

Tabela br. 1 - Primeri pretnji.....................................................................................................12

Tabela br. 2. - Matrica nivoa rizika............................................................................................15

Tabela br. 3. - Primer lestvice rizika i aktovnosti koje je potrebno preduzeti...........................15

Grafikon br. 2 – Registrovani napadi bankarskim trojancima (2003 - 2008).............................24

Tabela br. 5 – Operativni gubici po poslovnim linijama i tipovima dogadjaja...........................29

33

Documents

SEMINARSKI - Opretaivni Rizici u Bankarstvu