'Revolutie' vermomd als 'regelgeving'

Beheer van operationele risico's is steeds meer beheer van ict-risico's

Kristin Lovejoy, de Newyorkse cto (chief technology officer) van het Delftse Consul Risk Management, heeft een origineel advies voor ict'ers: "Ga bedrijfseconomie studeren; zorg dat je te weten komt waar het in het bedrijfsleven om gaat." Om te vervolgen met een typisch Amerikaanse oneliner: "Want Sarbanes-Oxley en Basel II is een revolutie, vermomd als het voldoen aan regelgeving."

Basel II: indekken
Basel II maakt banken direct afhankelijk van het resultaat van effectief beheer van risico's op drie terreinen: krediet-, markt- en operationeel risico. Het gaat daarbij om aanzienlijke bedragen: 8 tot 18 procent van de bruto winst voor belastingen. Een ingewijde: "Basel II geeft regels voor het aanhouden van kapitaal als buffer voor financiële tegenslagen. Hoe beter het risicomanagement, des te lager de risico's en des te lager de kapitaaleisen."
Hoeveel een bank moet reserveren voor het afdekken van operationele risico's is afhankelijk van de door de bank gekozen benadering. Basel II geeft er drie: bia (basic indicator approach), sta (standardized approach) en ama (advanced measurement approach). De eerste twee leiden tot een reservering in de vorm van eigen vermogen van 12 tot 18 procent van de netto inkomsten uit rente en provisies. "Dus hoe meer winst de bank maakt, des te hoger de kapitaaleisen", aldus de eerder geciteerde ingewijde. Zelfs bij de zwaarst mogelijke benadering (ama) zal de door de toezichthouder opgelegde reservering aan eigen vermogen nooit minder bedragen dan 8 procent van de bruto winst voor belastingen.
IAS, IFRS, Sarbanes-Oxley, Basel II: wetgevers en toezichthouders in de VS, Europa en Nederland hebben de afgelopen jaren een ware stortvloed van regelgeving over het bedrijfsleven uitgestort. In eerste aanleg leken de gevolgen beperkt te blijven tot banken, andere financiële instellingen en ondernemingen met een beursnotering in New York. Maar de opgelegde verantwoordelijkheid voor wat zich afspeelt verderop in aanbodsketen dwingt thans een veel bredere groep van ondernemingen tot actie.
Daar komt bij dat bedrijven zich onder impuls van de stroom regels en aanbevelingen veel meer bewust zijn geworden van de noodzaak tot beter beheer van operationele risico's, inbegrepen de risico's rond hun informatietechnologie. 'De ict kruipt steeds meer toe naar de centrale bedrijfsdoelstellingen van een onderneming', roepen ict-dienstverleners al jaren. Ze krijgen - eindelijk - gelijk met de constatering dat operationele risico's inderdaad in toenemende mate ict-risico's zijn.

Banken als proeftuin

In die zin zijn de banken en aanverwante financiële ondernemingen de proeftuin geworden voor het beheer van operationele en ict-risico's. Theorie en praktijk van de beheermethodieken die in de bankwereld zijn ontwikkeld, zullen zeker hun weg vinden naar andere sectoren van het bedrijfsleven. De bancaire sector is al druk bezig met die praktijk.
De deadline voor de invoering van Basel II ligt weliswaar op 1 januari 2008, maar banken die kiezen voor de zwaarste risicobenadering ama (zie kader Basel II) zijn al vanaf 1 januari 2005 bezig. Ze moeten namelijk de kans op verlies van drie jaar data 'wegorganiseren', en dus van de invoeringsdatum terugredenerend kunnen aantonen dat tussen 1 januari 2005 en 1 januari 2008 geen gegevens verloren zijn gegaan, om zodoende in aanmerking te komen voor ama en de riante financiële voordelen die dat biedt.

Beheer operationele risico's
Vreemd genoeg bestaat er volgens Kristin Lovejoy van Consul nog geen breed onderschreven definitie van het begrip 'management van operationele risico's'. Vaak komt men niet verder dan 'alle risico's met uitzondering van markt- en kredietrisico's'. Operationele risico's hebben te maken met processen, systemen, externe factoren en mensen.
  • Processen: verliezen die te wijten zijn aan een tekort in een bestaande procedure, of zelfs de afwezigheid daarvan. Verliezen kunnen het resultaat zijn van een menselijke fout of van het onbedoeld negeren van bestaande procedures.
  • Systemen: verliezen die veroorzaakt worden door onbedoelde crashes van bestaande systemen of technologie.
  • Externe factoren: verliezen als gevolg van natuurrampen of daden van derden.
  • Mensen: verliezen die het gevolg zijn van het moedwillig overtreden van interne beleidsregels door huidige of vroegere personeelsleden.
Lovejoy wijst daarbij op een interessant verschil in aanpak tussen de VS en Europa. "De VS hebben met Sarbanes-Oxley gekozen voor de weg van de strafbaarstelling. Bij overtreding van Sox-regels wacht gevangenisstraf. Die ligt wat maximale zwaarte betreft tussen doodslag en ontvoering met een losgeld-eis. In Europa is met Basel II gekozen voor regulering door de markt. Bedrijven die de risico's goed in kaart gebracht hebben en deze effectief intomen, zullen van de toezichthouder een lagere risicoreservering voor operationele verliezen mogen aanhouden en daarvoor op de aandelenbeurs beloond worden met een hogere beurskoers." Lovejoy verwacht dat de VS op den duur in de richting van de marktwerking van Basel II zullen evolueren.

Hoofdmoot

Beveiliging van informatie vormt de hoofdmoot van de operationele risico's die een bedrijf loopt. Het gaat daarbij om het identificeren en vervolgens evalueren van risico's, het verzachten of zelfs exporteren ervan, en het monitoren en meten van beveiligingsincidenten (bijvoorbeeld virusrisico's) en bijna botsingen. Dat gebeurt in drie stappen: processen, gevaren, en kansen en kosten.
Lovejoy denkt dat bedrijven allereerst hun bedrijfsprocessen moeten onderkennen en documenteren. Die observatie spoort met informatie uit andere bronnen dat onder impuls van Sarbanes-Oxley en Basel II bedrijven zakelijke processen thans in hoog tempo beschrijven en analyseren. "Accountants en edp-auditors hebben er al een half jaar lang hun handen vol aan in Nederland", zegt een ingewijde.
Stap twee is volgens Lovejoy het identificeren van potentiële risico's die elk van de bedrijfsprocessen bedreigen. "Software-veranderingsmanagement durf ik daarbij aan te merken als een kritisch bedrijfsproces."
Ten slotte moet de onderneming de waarschijnlijkheid onderzoeken dat een dergelijk gevaar optreedt. "Dit houdt in dat de ernst en de kosten die zijn gemoeid met het uitvallen van bijvoorbeeld het erp-systeem van de onderneming in de risicobepaling moeten worden meegenomen."

Permanent en real-time

Ondernemingen moeten zich permanent en real-time vergewissen van de betrouwbaarheid van de bedrijfsprocessen binnen hun onderneming en in de waardeketens die ze met toeleveranciers en afnemers hebben gevormd. Toezichthouders en wetgevers gaan niet langer akkoord met minder dan 'permanent' en 'real-time'.
Gespecialiseerde software kan ondernemingen helpen de datastroom omtrent processen, systemen en transacties te monitoren en te analyseren, en vervolgens daarover te rapporteren. In alle gevallen zullen gegevens in een 'historische' database worden opgeslagen, niet alleen om te voldoen aan verzoeken van de regulerende autoriteiten die teruggaan tot maanden of zelfs jaren eerder, maar ook om de analyses en aanbevelingen van de software historische diepgang te geven, waardoor die aan kwaliteit zullen winnen. Lovejoy legt uit dat verschillende it-componenten elk een eigen aanpak vereisen.

Linux 'taboe'
Cto Kristin Lovejoy van Consul heeft nog weinig gemerkt van terughoudendheid bij bedrijven om Linux te implementeren als gevolg van Sox en Basel II. Ze heeft wel een heel duidelijke mening over het populaire besturingssysteem. "Vanuit het oogpunt van een auditor is Linux verschrikkelijk. Alleen als de kernel gestript is tot de kale basis is het okay om Linux in te zetten, maar dan alleen voor informatieapplicaties en 'devices' voor beveiliging. Ik zou Linux nooit inzetten op productiesystemen."
Bij 'processen en kritische informatie' houdt de software kritische bedrijfsprocessen en de toegang tot bedrijfskritische informatie in het oog. De vergaarde gegevens komen in een historische database terecht, waar ze gecorreleerd worden met de beleidsuitgangspunten van de onderneming. De uitkomsten worden gerapporteerd en op het scherm zichtbaar gemaakt in een 'compliance dashboard'. Het verantwoordelijke management onderzoekt de als conflicterend met het uitgezette beleid oplichtende gebeurtenissen. Om een nauwkeurig beeld te verkrijgen kan de 'compliance manager' vele lagen diep doorklikken in de keten van gerapporteerde gebeurtenissen.
In de zuil 'systemen' verzamelt de software informatie omtrent alle systemen en 'devices' die bij de onderneming in gebruik zijn. De data wordt onderzocht en gewogen door deze te correleren met de regels die de onderneming voor hardwarebeheer aanhoudt. De uitkomst komt in de vorm van knipperende waarschuwingen (alerts) terecht op het 'response dashboard' van de systeemmanager.
Bij het component 'databases en transacties' worden applicaties en databases in de gaten gehouden door de verzamelde data omtrent de toegang tot en de gedragingen van de programmatuur vast te leggen en te correleren met de regels en het beleid van de onderneming. De resulterende gegevens van forensische aard verschijnen op beide 'dashboards'. Databases zijn volgens Lovejoy moeilijk te auditen. "Dat weet ik nog uit mijn tijd als edp-auditor. Vooral Sybase en SQL zijn tamelijk verschrikkelijk."
Er is overigens volgens Lovejoy nog een andere, heel praktische reden waarom het management van operationele risico's en ict onlosmakelijk met elkaar verknoopt zijn geraakt: cro's (chief risk officers) en cco's (chief compliance officers) worden voornamelijk gerekruteerd uit de rangen van ict'ers.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-05-13T00:00:00.000Z René Rippen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.