1asig.ro
1asig.ro
federatia roaman de bowling

Ce presupune proiectul de norma al ASF privind gestionarea riscurilor legate de folosirea sistemelor informatice

Mihnea MIRONESCU
Consultant

Proiectul de norma al ASF se incadreaza, in opinia mea, in cadrul legislativ creat in ultimii ani datorita normei Solvency II, si anume gestionarea activitatii companiilor de asigurare, reasigurare si intermediere bazata pe managementul riscului.

Managementul riscurilor IT

Astfel, norma impune entitatilor supravegheate de ASF o detaliere a modului in care administreaza riscurile operationale la nivelul entitatii pentru subcategoria riscurilor operationale generate de utilizarea sistemelor informatice. Desi si pana acum unele entitati au luat in calcul acest gen de riscuri operationale, ASF doreste o tratare mai riguroasa a riscurilor legate de IT.

Entitatile isi aleg singure modul de implementare a sistemului de management al riscului legat de IT, dupa cum recomanda si bunele practici in domeniu, si anume utilizarea unui singur sistem (proces) de management al riscului la nivelul entitatii (parte a ERM - enterprise risk management) pentru a nu separa aceasta sub-categorie de riscuri operationale, cu consecinta unei dificultati in a ingloba riscurile identificate in legatura cu utilizarea IT in tabloul mai larg al riscurilor la care este supusa entitatea pe ansamblu.

Primul proiect de instructiune al ASFdin februarie 2014 a prezentat mai multe exemple de riscuri si a descris procesul de identificare si evaluare a riscurilor pentru entitatile care nu au deja un astfel de proces si pot beneficia de pe urma unui exemplu. Aceste exemple au fost eliminate din textul proiectului de norma si a ghidului de indrumare asociat.

Intregul proces de identificare, evaluare, tratare si raportare a riscurilor legate de utilizarea IT trebuie realizat anual de functia de management a riscului din entitate, bineinteles cu suportul celor din zona de business si din IT.

Obiective secundare ale proiectului de norma


In plus, intentia proiectului de norma ASF este si de a creste gradul de maturitate al entitatilor ce opereaza in piata financiara pe mai multe planuri, unul dintre acestea fiind organizarea activitatii IT pe procese. Acest tip de organizare este o buna practica recunoscuta peste tot in lume si formalizata atat de standardul ITIL, cat si de COBIT.

Totodata, proiectul de norma isi propune profesionalizarea pietei furnizorilor de servicii si solutii IT care se adreseaza pietei serviciilor financiare printr-o serie de cerinte pe care entitatile ar trebui sa le impuna contractual furnizorilor. Acest lucru este cu atat mai important pentru serviciile IT externalizate, cum ar fi arhivarea electronica, serviciile de gazduire IT de echipamente sau cloud computing, si pentru dezvoltarea sau intretinerea de solutii (programe) informatice la comanda.

ASF a vizat prin acest proiect de norma furnizorii de apartament, mici si fara certificari interne privind calitatea serviciilor oferite. Pentru aplicatiile software "on the shelf"nu este necesara vreo certificare a furnizorului, insa pentru cele dezvoltate la comanda, este.

Pentru a asigura o aplicare corecta si consecventa de catre entitati a acestor cerinte in activitatea operationala curenta, proiectul de norma prevede obligativitatea auditarii activitatilor desfasurate de entitati cu o periodicitate corelata cu categoria de risc de care apartine fiecare entitate (o data la doi ani pentru asiguratori si o data la patru ani pentru societatile de intermediere). Auditul IT trebuie facut de un auditor extern inregistrat in Registrul public ASF, sau de un auditor IT intern certificat, primul audit avand termenul limita de 30 iunie 2016.

Ce anume presupune organizarea interna a activitatii IT pe procese?

In functie de marimea si complexitatea entitatii se poate alege o implementare mai stufoasa sau mai simplificata a recomandarilor de bune practici bazate pe standardele ITIL si/sau COBIT. Instructiunea ASF lasa la latitudinea entitatii modul de implementare a organizarii activitatii IT pe procese. Cu toate acestea, ASF evalueaza periodic activitatile considerate obligatorii, printre care sunt si aceste procese IT. Cu alte cuvinte, ne alegem modalitatea interna de implementare si gradul de detaliu in care mergem cu fiecare proces in parte, insa de implementat tot le implementam.

Pentru fiecare proces in parte sunt de facut cateva lucruri pentru a demonstra unui auditor ca procesul este implementat si este bine documentat:
  • Una sau mai multe proceduri care sa documenteze etapele procesului, persoanele responsabile de functionarea procesului, frecventa cu care se desfasoara acesta, modul de control al desfasurarii procesului, livrabilele.
  • Delimitarea ariei de aplicare a procesului. Entitatea alege sistemele / aplicatiile / serviciile IT carora li se va aplica respectivul proces in functie de complexitatea entitatii, de categoria de risc alocata de ASF, de rezultatul auditurilor IT precedente, de apetitul de risc asumat etc.
  • Functionarea procesului trebuie documentata in timp pentru a putea demonstra unui auditor ca respectivul proces este implementat cu succes in cadrul entitatii.
Care sunt procesele avute in vedere de instructiune?

1.Managementul disponibilitatii
2.Managementul nivelurilor de servicii (SLA) interne sau externalizate
3.Managementul capacitatii
4.Managementul configuratiilor (nu si pentru societatile de intermediere)
5.Managementul incidentelor si problemelor
6.Managementul securitatii (inclusiv teste anuale de penetrare din exterior)
7.Managementul continuitatii afacerii (DRP + BCP)
8.Managementul schimbarii (change si release management)

Vom detalia unele din cerintele proiectului de norma si vom descrie posibilele dificultati in implementarea acestora in articolele viitoare.

Poate fi contactat la mihnea.mironescu@gmail.com.