1asig.ro
1asig.ro

Riscurile se pot reduce prin supraveghere pe baze continue

5 min. / 1.540 cuvinte
Calin M. RANGU
Director Adjunct
Directia Supraveghere Integrata
Autoritatea de Supraveghere Financiara

Au aparut sau sunt in curs de aparitie diferite directive europene cu prevederi privind supravegherea prudentiala, criterii tehnice privind organizarea si abordarea riscurilor la nivelul entitatilor, procesul de supraveghere si evaluare, teste de stres prudentiale, supravegherea pe baza consolidata. Aplicarea modelelor, in general, se refera la cerintele de capital, de adecvare a capitalului, deci de a pune deoparte niste bani in cazul riscurilor operationale. Dar nu este suficient. Am putea face o comparatie cu asigurarea obligatorie la o masina: costa niste bani care te pot scoate din necaz daca apelezi la polita de asigurare, dar asta nu insemna ca nu trebuie sa aplici si codul rutier, detaliat, de conducere a masinii. La fel si cu riscurile operationale. Fara o detaliere a masurilor minimale care trebuie luate de catre entitati si de  aplicare efectiva a acestora, directivele raman la cadrul general, de supraveghere bazata pe reguli.

In zona de sisteme informatice, unele reglementari nationale solicitau auditarea, in mod neunitar, intre diferite piete financiar-bancare. Daca supraveghetorul primea un certificat de audit, insemna ca entitatea posesoare a opiniei de audit era in regula, necontand prea mult ce se intampla dupa acel audit, care de fapt este doar o imagine punctuala, la un moment, a unei situatii, care poate fi realizata corespunzator sau nu. Dar intre doua audituri, dincolo de a pune niste bani deoparte pentru a te asigura de pierderi potentiale, este nevoie de o supraveghere pe baze continue.

Cum supraveghetorul nu poate monitoriza continuu toate entitatile, din motive logistice si de costuri, trebuie pus la punct un sistem modern de supraveghere plecand de la riscuri.

Si acesta poate fi implementat daca se abordeaza o noua paradigma cu trei componente principale. Prima este preluarea evaluarii interne, proprii, a fiecarei entitati, deoarece se presupune ca fiecare entitate isi analizeaza si isi ia masurile proprii aferente profilului sau de risc si a nevoii de a tine acele riscuri sub control. A doua componenta este sistemul de raportare periodica a anumitor indicatori care sa fie corelati si sa sustina deteminarea unor modele comportamentale la nivel individual, sa sustina comparatiile intre entitati si corelarea fata de piata. Indicatorii  trebuie corelati cu a treia componenta, cea reiesita din auditurile interne sau externe care analizeaza implementarea proceselor necesare si a sistemelor de management care sa sustina indicatorii raportati.

Supravegherea prudentiala pe baza de riscuri a ASF se propune a se realiza prin analiza incrucisata a informatiilor cuprinse in:
  • rapoartele de evaluare interna a riscurilor si registrul de riscuri elaborate de catre entitati, prin definirea riscurilor, vulnerabilitatilor identificate si a masurilor luate pentru diminuare si incadrare in profilul de risc, cu periodicitate anuala;
  • rapoartele electronice periodice cuprinzand indicatorii cantitativi aferenti activitatilor si proceselor interne ale entitatii;
  • raportul de audit IT extern sau cu resurse interne cu periodicitati intre unul si trei ani in functie de categoria de risc a entitatii;
  • raportari speciale la solicitarea expresa a ASF, ca urmare a concluziilor controlului periodic, inopinat sau permanent.
Imbunatatirea mediului de control intern, a cresterii gradului de maturitate a organizarii entitatilor se propune a se realiza prin luarea de catre entitati a unor masuri diferentiate in functie de categoria de risc a entitatii:
  • evaluarea interna a riscurilor operationale - definire proprie a riscurilor referitoare la oameni, procese, sisteme si mediul extern, incluzand cel de frauda, prin:
    • definirea apetitului si a tolerantei la risc;
    • determinarea riscurilor inerente si reziduale;
    • infiintarea registrului de riscuri cu evaluarea frecventei, severitatii si mijloacele de masurare aferente pentru fiecare risc;
    • masuri pentru limitarea riscurilor care depasesc nivelul asumat prin apetitul si toleranta la risc.
  • implementarea de puncte de masura si control al riscurilor la nivel general, la nivel de programe informatice si la nivel de flux financiar pentru eliminarea vulnerabilitatilor - controalele pot fi preventive, corective si detective, pe baza principiului segregarii responsabilitatilor, implementarea de fluxuri de aprobare, inregistrare si pastrare a jurnalelor de activitati;
  • organizarea pe procese;
  • implementarea managementului securitatii prin aplicarea cerintelor generale, specifice si a celor de securitate a accesului la piete;
  • implementarea de indicatori cheie de risc;
  • participarea in cadrul planului de cooperare cu ASF, cu privire la colectarea, analizarea, avertizarea si a raspunsului la incidente si crize de natura cibernetica, pentru a sustine inclusiv prevenirea riscurilor sistemice exogene (generate de terti, interese ostile nationale sau sectoriale, concurentiale, terorism si spionaj cibernetic, furnizori, personal extern, etc.) generate de criminalitatea informatica externa si a factorilor care pot afecta capacitatea operationala sau sistemica.

4.185 accesari