Kristin Lovejoy, de Newyorkse cto (chief technology officer) van het Delftse Consul Risk Management, heeft een origineel advies voor ict’ers: “Ga bedrijfseconomie studeren; zorg dat je te weten komt waar het in het bedrijfsleven om gaat.” Om te vervolgen met een typisch Amerikaanse oneliner: “Want Sarbanes-Oxley en Basel II is een revolutie, vermomd als het voldoen aan regelgeving.”
Basel II: indekken Basel II maakt banken direct afhankelijk van het resultaat van effectief beheer van risico’s op drie terreinen: krediet-, markt- en operationeel risico. Het gaat daarbij om aanzienlijke bedragen: 8 tot 18 procent van de bruto winst voor belastingen. Een ingewijde: “Basel II geeft regels voor het aanhouden van kapitaal als buffer voor financiële tegenslagen. Hoe beter het risicomanagement, des te lager de risico’s en des te lager de kapitaaleisen.” Hoeveel een bank moet reserveren voor het afdekken van operationele risico’s is afhankelijk van de door de bank gekozen benadering. Basel II geeft er drie: bia (basic indicator approach), sta (standardized approach) en ama (advanced measurement approach). De eerste twee leiden tot een reservering in de vorm van eigen vermogen van 12 tot 18 procent van de netto inkomsten uit rente en provisies. “Dus hoe meer winst de bank maakt, des te hoger de kapitaaleisen”, aldus de eerder geciteerde ingewijde. Zelfs bij de zwaarst mogelijke benadering (ama) zal de door de toezichthouder opgelegde reservering aan eigen vermogen nooit minder bedragen dan 8 procent van de bruto winst voor belastingen. |
Daar komt bij dat bedrijven zich onder impuls van de stroom regels en aanbevelingen veel meer bewust zijn geworden van de noodzaak tot beter beheer van operationele risico’s, inbegrepen de risico’s rond hun informatietechnologie. ‘De ict kruipt steeds meer toe naar de centrale bedrijfsdoelstellingen van een onderneming’, roepen ict-dienstverleners al jaren. Ze krijgen – eindelijk – gelijk met de constatering dat operationele risico’s inderdaad in toenemende mate ict-risico’s zijn.
Banken als proeftuin
In die zin zijn de banken en aanverwante financiële ondernemingen de proeftuin geworden voor het beheer van operationele en ict-risico’s. Theorie en praktijk van de beheermethodieken die in de bankwereld zijn ontwikkeld, zullen zeker hun weg vinden naar andere sectoren van het bedrijfsleven. De bancaire sector is al druk bezig met die praktijk.
De deadline voor de invoering van Basel II ligt weliswaar op 1 januari 2008, maar banken die kiezen voor de zwaarste risicobenadering ama (zie kader Basel II) zijn al vanaf 1 januari 2005 bezig. Ze moeten namelijk de kans op verlies van drie jaar data ‘wegorganiseren’, en dus van de invoeringsdatum terugredenerend kunnen aantonen dat tussen 1 januari 2005 en 1 januari 2008 geen gegevens verloren zijn gegaan, om zodoende in aanmerking te komen voor ama en de riante financiële voordelen die dat biedt.
Beheer operationele risico’s Vreemd genoeg bestaat er volgens Kristin Lovejoy van Consul nog geen breed onderschreven definitie van het begrip ‘management van operationele risico’s’. Vaak komt men niet verder dan ‘alle risico’s met uitzondering van markt- en kredietrisico’s’. Operationele risico’s hebben te maken met processen, systemen, externe factoren en mensen.
|
Hoofdmoot
Beveiliging van informatie vormt de hoofdmoot van de operationele risico’s die een bedrijf loopt. Het gaat daarbij om het identificeren en vervolgens evalueren van risico’s, het verzachten of zelfs exporteren ervan, en het monitoren en meten van beveiligingsincidenten (bijvoorbeeld virusrisico’s) en bijna botsingen. Dat gebeurt in drie stappen: processen, gevaren, en kansen en kosten.
Lovejoy denkt dat bedrijven allereerst hun bedrijfsprocessen moeten onderkennen en documenteren. Die observatie spoort met informatie uit andere bronnen dat onder impuls van Sarbanes-Oxley en Basel II bedrijven zakelijke processen thans in hoog tempo beschrijven en analyseren. “Accountants en edp-auditors hebben er al een half jaar lang hun handen vol aan in Nederland”, zegt een ingewijde.
Stap twee is volgens Lovejoy het identificeren van potentiële risico’s die elk van de bedrijfsprocessen bedreigen. “Software-veranderingsmanagement durf ik daarbij aan te merken als een kritisch bedrijfsproces.”
Ten slotte moet de onderneming de waarschijnlijkheid onderzoeken dat een dergelijk gevaar optreedt. “Dit houdt in dat de ernst en de kosten die zijn gemoeid met het uitvallen van bijvoorbeeld het erp-systeem van de onderneming in de risicobepaling moeten worden meegenomen.”
Permanent en real-time
Ondernemingen moeten zich permanent en real-time vergewissen van de betrouwbaarheid van de bedrijfsprocessen binnen hun onderneming en in de waardeketens die ze met toeleveranciers en afnemers hebben gevormd. Toezichthouders en wetgevers gaan niet langer akkoord met minder dan ‘permanent’ en ‘real-time’.
Gespecialiseerde software kan ondernemingen helpen de datastroom omtrent processen, systemen en transacties te monitoren en te analyseren, en vervolgens daarover te rapporteren. In alle gevallen zullen gegevens in een ‘historische’ database worden opgeslagen, niet alleen om te voldoen aan verzoeken van de regulerende autoriteiten die teruggaan tot maanden of zelfs jaren eerder, maar ook om de analyses en aanbevelingen van de software historische diepgang te geven, waardoor die aan kwaliteit zullen winnen. Lovejoy legt uit dat verschillende it-componenten elk een eigen aanpak vereisen.
Linux ’taboe’ Cto Kristin Lovejoy van Consul heeft nog weinig gemerkt van terughoudendheid bij bedrijven om Linux te implementeren als gevolg van Sox en Basel II. Ze heeft wel een heel duidelijke mening over het populaire besturingssysteem. “Vanuit het oogpunt van een auditor is Linux verschrikkelijk. Alleen als de kernel gestript is tot de kale basis is het okay om Linux in te zetten, maar dan alleen voor informatieapplicaties en ‘devices’ voor beveiliging. Ik zou Linux nooit inzetten op productiesystemen.” |
In de zuil ‘systemen’ verzamelt de software informatie omtrent alle systemen en ‘devices’ die bij de onderneming in gebruik zijn. De data wordt onderzocht en gewogen door deze te correleren met de regels die de onderneming voor hardwarebeheer aanhoudt. De uitkomst komt in de vorm van knipperende waarschuwingen (alerts) terecht op het ‘response dashboard’ van de systeemmanager.
Bij het component ‘databases en transacties’ worden applicaties en databases in de gaten gehouden door de verzamelde data omtrent de toegang tot en de gedragingen van de programmatuur vast te leggen en te correleren met de regels en het beleid van de onderneming. De resulterende gegevens van forensische aard verschijnen op beide ‘dashboards’. Databases zijn volgens Lovejoy moeilijk te auditen. “Dat weet ik nog uit mijn tijd als edp-auditor. Vooral Sybase en SQL zijn tamelijk verschrikkelijk.”
Er is overigens volgens Lovejoy nog een andere, heel praktische reden waarom het management van operationele risico’s en ict onlosmakelijk met elkaar verknoopt zijn geraakt: cro’s (chief risk officers) en cco’s (chief compliance officers) worden voornamelijk gerekruteerd uit de rangen van ict’ers.