exemplul metodologie evaluarea riscurilor operationale norma 6-2015 (1) (1)
TRANSCRIPT
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
1/40
Exemplu de metodologie privind evaluarea intern a riscuriloroperaionalegenerate de sistemele informatice
Managementul riscurilor
Conceptul de management al riscului
Managementul riscului este un proces sistematic si iterativ pentru optimizarea resurselor inconcorda cu politica organizaional de management a riscurilor. Managementul riscului
este integrat n activitile zilnice prin roluri i responsabiliti definite n toate domeniile deactivitate.Managementul riscului ajut la includerea aspectelor de tratare a riscului n practicile demanagement i la luarea deciziilor pe parcursul ntregului ciclu de via al activitilor.Managementul riscului poate s contribuie la maximizarea rezultatelor globale, dac estedesfurat ntr-o manier integrat, n domenii precum:
achizitia, testarea, operarea, mentenana i casarea sistemelor informatice, mpreun
cu interfeele acestora; controlarea consecinelor riscurilor operaionale generate de sistemele informatice; managementul, costurile i planificarea activitilor referitoare la sistemeleinformatice.
Acest proces adaug valoare datelor produse, meninute i raportate n mod regulat, iar pentrua asigura documentarea acestui proces, n evaluarea intern a riscurilor se constituie un
i l i il i l d ili i l i f i d
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
2/40
R i l i il i l d ili i l i f i d
tehnologiilor de procesare a informaiei, la modificri majore ale sistemului, n urmaapariiilor unor incidente, n urma aplicrii unor controale de risc etc.
Implementarea managementului riscului
Managementul riscului necesit implicarea tuturor factorilor att a celor cu responsabilitidecizionale, ct i a celor cu atribuii executive din cadrul organizatiei i stabilirea de liniiclare de responsabilitate la nivelul tuturor structurilor organizatorice i decizionale.Managementul riscului este un proces continuu, iterativ care constituie o parte integrant aactivitii curente din cadrul organizaiei.
Fiecare linie de business din cadrul unei organizaii i va evalua toate categoriile de riscrelevante, nregistrndu-le n registrul riscurilor. Se vor identifica toate potenialele problemeoperaionale n patru categorii: oameni, procese, sisteme/tehnologii i mediul extern,incluznd externalizrile i furnizorii externi de produse i servicii informatice i decomunicaii.
Registrul riscurilor operationale este structurat pe patru categorii:
1.
Oameni2. Procese3. Sisteme/tehnologie4. Extern
Riscuri aferente oamenilorpot fi, fr a se limita la:
l d il i i il d l
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
3/40
sau de model, erori de evaluare, disponibilitatea rezervelor pentru acoperireapierderilor, complexitatea modelelor, control inadecvat al proceselor, softwareneadecvate obiectivelor de activitate, insuficiena guvernanei corporative n acestdomeniu;
b)
Riscuri tranzacionale: erori de execuie, erori de nregistrare, managementulinadecvat al datelor i informaiilor, erori de matching, compensare, colateral,complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri deconfidenialitate, fraude;
c) Riscuri aferente controlului operaiunilor: lipsa separrii drepturilor i atribuiilor,depirea limitelor, riscuri de volum, riscuri de securitate, riscuri de raportare, riscuride nregistrri contabile neadecvate, control inadecvat al activitilor externalizate,ntreruperea furnizrii serviciilor, neidentificarea operaiunilor n spe n funcie deindicatorii de risc i variabile analitice prestabilite.
Riscuri aferente sistemelor/tehnologieipot fi, fr a se limita la:- sistem inadecvat de management al tehnologiei i securitii;
-
lipsa metodologiilor de dezvoltare si testare;- capacitate insuficient de procesare;- ntreruperi n funcionarea sistemelor (hardware, software, stocare, telecomunicaii);- cderi de reea;- ntreruperii n furnizarea serviciilor prestate de furnizorii externi;- sisteme inadecvate;- protecie inadecvat mpotriva malware;
i i d ibili
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
4/40
Structura organizaiei, sistemele informatice ale organizaiei i gestionareariscurilor operaionale generate de acestea
Domeniul prezentei analize de impact este reprezentat de urmatoarele:
Structura organizatoricEntitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscuriloroperaionale are urmtoarele caracteristici:
Structura organizatoric
Structura organizatoric a entitii este format din urmtoarele compartimente (structuriorganizatorice funcionale):
1. ORGANUL SUPERIOR DE CONDUCERE: n funcie de tipul entitii acesta poates fie consiliul de administraie sau consiliu de supraveghere;
2. CONDUCEREA EXECUTIV: acesta poate s fie constituit din comitet director,directori executivi, director general sau alt form prin care se asigur conducerea
activitilor curente ale entitii i care duce la ndeplinire hotrrile organului superiorde conducere;3. Compartiment RELAIA CU CLIENII (front office, vnzri, investitori, asigurai,
participani, membri etc): desfoar activitile legate de relaia cu persoanele externeale entitii n vederea ndeplinirii obiectului principal de activitate (prestareaserviciilor financiare autorizate, reglementate i supravegheate de ASF);
4. Compartiment OPERAIUNI: desfoar toate activitile curente care in de
i i d b i ii A i i f iil
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
5/40
descrierea infrastructurii IT din cadrul organizaiei; descrierea sistemului de disaster recovery implementat; descrierea personalului disponibil n cadrul organizaiei; analiza de riscuri i impactul acestora; definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), n
vederea asigurarii QoS (Quality of Service) att cu furnizorii de echipamente, ct i cufurnizorii de sisteme de comunicaii;
descrierea modului de monitorizare a sistemului de disaster recovery n operareacurent;
definirea evenimentelor critice de tip dezastru; definirea activitilor, a pailor i a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existena unei locatii alternative de procesare a datelor
- efectuarea back-up-urilor conform unor proceduri existente
- existena unei politici de securitate informatic cu urmtoarele obiective:
Managementul securitii informaiei: Msurile managementului securitii
informaiei vor fi implementate i puse n aplicare n concordan cu obiectivelesecuritii informaiei, declaraiile, politicile, standardele i procedurile stabilite de
conducerea organizaiei.
Clasificarea informaiei, sistemelor i resurselor: Informaiile, sistemele i resursele
vor fi clasificate corespunztor nivelului i tipului de protecie cerut.
Id tifi i t tifi i f iil i i l i i i
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
6/40
Controlul accesului fizic i logic: Toate informaiile i sistemele vor fi asigurate
corespunztor i riguros cu controale de acces fizic i logic.
Evaluarea riscului: Evaluarea ameninrilor, impactului i vulnerabilitilor
informaiilor a utilitilor de procesare a informaiilor i a probabilitii produceriiacestora.
Managementul riscului: Procesul de identificare, revizuire i reducere sau eliminare
a riscurilor de securitate, care pot afecta sistemele informatice la un cost acceptabil.
Instruirea i contientizarea privind securitatea informaiei: Toi angajaii vor fi
supui unor programe de instruire i contientizare privind securitatea informaiei. Rolurile i responsabilitile: Rolurile, responsabilitile i competenele decizionale
pentru toate prile care au acces la resursele informatice sunt clar definite i
comunicate.
Conformitatea: Personalul precum i ali utilizatori trebuie s fie familiarizai i s se
conformeze cu procedurile i politicile bncii privind securitatea informaiei. Monitorizarea securitii informaiei i raportarea: Monitorizarea i raportarea
msurilor de securitate a informaiei vor fi stabilite s detecteze i s raporteze breele
actuale i suspecte i vor asigura aciuni de remediere ale acestora.
Prezentarea schematic a arhitecturii sistemelor informatice se regsete n figura de mai
j
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
7/40
Analiza i Tratarea Riscurilor. Impactul Acestora
Organizatia a definit o abordare sistematica a evaluarii riscului in procedura intern pentruEvaluarea riscului. Metoda utilizata tine cont de cerinele legale, reglementri i de
securitatea informaiilor activitii organizaiei, precum i cele mai bune practici n domeniu.S-au determinat riscurile (pe toate cele patru categorii), criteriile de acceptare a riscurilor si s-au identificat nivelurile de risc acceptabile (apetitul i tolerana la risc).
Pentru abordarea sistematic a evalurii riscurilor sunt ndeplinite urmtoarele:
S-au identificat operaiunile i activitile organizaiei; S-au identificat sistemele informatice pe care se bazeaz operaiunile i activitileidentificate anterior; S-au identificat riscurile operaionale generate de sistemele informatice; S-au identificat factorii de risc (ameninrile) la care care faciliteaz expunerea lariscurile operaionale. S-au identificat vulnerabilitatile care ar putea fi exploatate de aceste ameninri. S-a stabilit impactul i daunele asupra organizaiein cazul pierderii confidentialitii,integritii i disponibilitii sistemelor informatice.
S-a evaluat probabilitatea real ca aceste evenimente s se produc.Au fost evaluate nivelurile riscului inerent si s-a determinat dac riscul este acceptabil saunecesit tratare.n schema de mai jos find prezentat relaionarea dintre elementele utilizate laevaluarea intern a riscurilor operaionale.
Amenintarile Vulnerabilitatile
Cresc Afecteza
Exploateza
ProtejeazaCresc
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
8/40
Documente tiprite (manuale de utilizare, manual i suport pentru instruiri,ghiduri, licene, contracte furnizori / clieni, comunicri, facturi, rezultatefinanciare, nregistrri referitoare la personalul angajat adrese, atestari etc.); Software(sistemul de operare, aplicatii, utilitare etc) Bunuri fizice(calculatoare, servere, echipamente de comunicare i securitate,suport media magnetic, etc); Persoane(angajai, clieni, furnizori etc.); Servicii (disponibilitate servicii de retea, telecomunicatii, nclzire, iluminat,alimentare cu ap, alarmare, servicii de stingerea incendiilor, etc.); Imagine i reputatie (mijloacele de livrare a produselor sau prestare aserviciilor, certificari existente, paginile de internet ale organizaiei etc.).
Stabilirea valorii resurselor i a operaiunilor
Pentru stabilirea valorii resurselor i a operaiunilor, s-au luat in considerare, numai resurseleinformatice i operaiunilecare presupun interaciunea cu aceste resurse. S-a definit valoarearesurselor/operaiunilor utilizand urmtoarea scar de valori n funcie de impactul asupraorganizaiei:
1puin important;2necesar;3vital;
Pentru stabilirea valorilor se analizeaz importana, gradul de dependen fa deresurs/operaiune i pericolul pe care l reprezint pentru procesele organizaiei, asupraorganizaiei in general i asupra clienilor acesteia, atunci cand informaia sau resursa i
pierde integritatea, confidenialitatea i disponibilitatea.
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
9/40
Criteriile pentru evaluarea vulnerabilitatiisunt:
Grad 1 2 3
Criterii Neglijabil Medie MareDescriere Exist protecii sigure,
testate i verificate,condiiile existente conducla concluzia c, practic, nu
poate fi exploatat aceastavulnerabilitate.
Vulnerabilitatea poate fi
exploatat, existprotecii implementate,dar acestea nu au fosttestate i verificate pentrutoate cazurile.
Usor de exploatat,
protecia este foarteslab, ineficace nmulte situaii sautehnic uzat moral.
Pentru evaluarea riscurilor i a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activitilor desfurate de organizaie, sistemelor informatice sau ainformaiilor se realizeazmatricea nivelului de risc.
Nivelul riscului este o funcie de probabilitatea de producere a unui eveniment nedorit i denivelul vulnerabilitii asupra activitilor, informaiilor sau sistemelor informatice aleorganziaiei.
Pentru exemplificare, a fost realizat o matrice 3x3 corespunztoare urmtoarelor niveluri derisc:
1. Risc mic;2. Risc mediu;3. Risc mare.
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
10/40
n cazul n care organizaia utilizeaz o alt matrice de risc prin folosirea mai multor niveluride vulnerabiliti i probabiliti (4x4 sau 5x5) i a mai multor niveluri derisc (4 sau 5), se vamenine practica curent.
Activiti necesare identificrii i evalurii riscurilor i a msurilor de securitate
Conductorii structurilor organizatorice i ntreg personalul ce le compun au obligaia de aidentifica, evalua i raporta riscurile operaionale generate de sistemele informatice. Aplicareacadrului pentru gestionarea riscurilor generate de sistemele informatice ntr-o organizaie
presupune parcurgerea urmtoarelor etape:
1. analiza preliminar a riscului;
2.
identificarea i evaluarea riscurilor;3. revizuirea i raportarea situaiei riscurilor;4. stabilirea limitelor de toleran;5. implementarea i monitorizarea msurilor de control al riscurilor.
Analiza preliminar
Persoana care identific un risc analizeaz preliminar riscul identificat, procednd, pentrudocumentarea procesului de evaluare, la completarea unui formular de Alert la risc -stabilit de fiecare organizaie i prezentat ca exemplu la finalul acestei seciuni curespectarea urmtoarelor etape:
1 descrierea nartativ a riscului, cu respectarea urmtoarelor reguli:
risculeste o situaie, eveniment, carepoates apar. Riscul este o incertitudine
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
11/40
e) evaluarea preliminar a valorii riscului se realizeaz prin adunarea valoriiresursei, cu valoarea probabilitii i cu cea a vulnerabilitii. Valoareamaxim a riscului este 9 (3+3+3 = 9 resursa este vital, probabilitatea estemare i vulnerabilitatea este mare).
Not: Explicaiile asociate denumirii fiecrei trepte a scalelor de msurare a valoriiresurselor, a probabilitii de apariie i a vulnerabilitii pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la msurile de tratare (controalele de risc) ce ar trebuientreprinse pentru a gestiona riscul n mod adecvat, astfel nct s se ncadreze nlimitele de toleran;
6
formularul Alert la risc completat corespunztor este trimis coordonatorului stucturiiorganizatorice.
Formular alert la risc
ORGANIZAIA ------------------------------Structura organizatoric: ------------------------------DETALII PRIVIND RISCULDescrierea riscului Categorie resurs IT: ------------------------------------------------
Denumire resurs IT: ------------------------------------------------Ameninri (factori de risc):1.---------------2. --------------3. --------------4. --------------5. --------------
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
12/40
Identificarea i evaluarea riscurilor
Coordonatorul structurii organizatorice analizeaz fiecare formular Alertla risc,primit dela persoanele care au efectuat analiza preliminar a riscurilor, propunnd:
1
clasarea formularului Alert la risc, dac riscul este nerelevant;2 nregistrarea riscului ca aparinnd activitii sau operaiuni care se bazeaz pe
sistemul informatic utilizat/administrat de structura organizatoric, caz n careconfirm existena riscului la nivelul structurii organizatorice, stabilete/confirmnivelul riscului i propune cel puin o msur de tratare a acestuia.
Dup finalizarea aciunii de analiz preliminar a riscurilor, conductorul structurii
organizatorice, centralizeaz rezultatele analizei datelor/informaiilor cuprinse n formulareleAlert la risc, la care anexeaz documentaia privind riscurile nou-identificate.
n cadrul analizei alertelor la risc conductorul structurii organizatorice desfoarurmtoarele aciuni:
1 delibereaz asupra tuturor riscurilor si stabileste riscurile pentru care s fie luatdecizia de reinere pentru gestionare n cadrul structurii organizatorice;
2
propunerea de clasarepentru riscurile considerate nerelevante;3 delibereaz asupra riscurilor propuse spre includere n Registrul Riscurilor i face
propuneri de completare a Registrului Riscurilor, cel puin n urmtoarele situaii:a) msurile prin care se realizeaz un control satisfctor al riscurilor exced
competenelor decizionale ale structurii organizatorice;b) resursele structurii organizatorice sunt insuficiente;c) se identific riscuri externe structurii organizatorice, dar al cror impact
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
13/40
grupeaz n variante alternative, se alege varianta cea mai avantajoas dinperspectiva raportului cost/beneficiu.
7 Stabilete ordinea de prioriti n tratarea riscurilor reinute pentru gestionare, astfelnct expunerea la riscurile reziduale s se situeze n limitele de toleran aprobate;
8 stabilete msurile de control ce trebuie luate n vederea reducerii nivelelui riscurilor(reducerea probabilitii sau a impactului), termenele-limit pn la care acesteatrebuie implementate, precum i persoanele responsabile cu implementarea lor prinelaborarea unui planul pentru implementarea msurilor de control.
Conducerea organizaiei i persoana (comitetul) desemnat de aceasta cu responsabilitipentru gestionarea riscurilor, dac exist, desfoar urmtoarele aciuni:
1 primete formularele de Alert la risc i documentaia aferent pentru riscurilesemnalate ctre fiecare structur organizatoric;
2 transmite persoanelor responsabile cu implementarea msurilor de control,modificarea msurilor sau a termenelor pentru riscurile aflate deja n faza deimplementare a msurilor de control intern;
3
iniial intocmete i ulterior completeaz, ori actualizeaz, dup caz, RegistrulRiscurilor, respectivei organizaii cu datele/informaiile despre riscurile care sunt saucare urmeaz a fi gestionate la nivelul tuturor structurilor organizatorice.
Revizuirea i raportarea situaiei riscurilor
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
14/40
4 meniuni cu privire la ntocmirea/actualizarea Registrului riscurilor;
5 alte aspecte/probleme considerate relevante, n legtur cu modul n care au fostgestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea i revizuirea riscurilor cuprinde, distinct, dou seciunireferitoare la:
riscurile cu un nivel al expunerii ridicat i foarte ridicat, care ar puteaafecta ndeplinirea obiectivelor specifice ale structurilor organizatorice;
stadiul implementrii planului, la data raportrii.
Conductorul structurii organizatorice transmite conducerii organizaiei i persoana
(comitetul) desemnat de aceasta cu responsabiliti pentru gestionarea riscurilor, dac exist,un exemplar al raportului, n vederea:
1 ntocmirii i actualizrii Registrului Riscurilor la nivelul ntregii organizaii, prinagregarea datelor/informaiilor cuprinse n Registrul riscurilor de la nivelul fiecreistructuri organizatorice;
2 ntocmirii i actualizrii profilului de risc al organizaiei, prin regruparea riscurilor
identificate, evaluate i ierarhizate n raport cu mrimea deviaiei expunerii fiecruirisc de la tolerana la risc;
3 ntocmirii raportului privind evaluarea intern a riscurilor operaionale generate desistemele informatice pentru transmiterea lui ctre ASF, n conformitate cu prevederileart.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. n cadrul raportului se cuprinde,distinct, o seciune referitoare la riscurile cu un nivel al expunerii ridicat i foarte
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
15/40
Implementarea i monitorizarea msurilor de control al riscurilor
Anual, pn la finele lunii februarie, conductorul fiecrei structuri organizatorice, ntocmete
Planul pentru implementarea msurilor de control ale riscurilor, pentru anul n curs, inndcont i de:
deciziile conducerii organizaiei;
recomandrile cu privire la msurile de control,cuprinse n rapoartele de audit(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,evalurile funciei de management al riscurilor).
Dup aprobare, conductorul structurii organizatorice transmite persoanelor responsabile cu
implementarea msurilor de control ale riscurilor, cte un exemplar al acestuia, pentruaplicare, precum i conducerii organizaiei pentru includerea lor n raportul privind evaluareaintern a riscurilor operaionale generate de sistemele informatice.
Responsabilii cu implementarea msurilor de control informeaz semestrial i ori de cte orieste cazul, pe conductorul structurii organizatorice, cu privire la stadiul implementriimsurilor de control ale riscurilor, pentru analiz i decizie.
Concluzii analiza riscuri
In urma analizei impactului riscurilor se pot trage urmatoarele concluzii:
1. Defini rea evenimentelor criti ce
Solutia si serviciile de protectie pentru gestionarea corespunztoare a riscurilor operaionale
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
16/40
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
17/40
2. I denti fi carea sistemelor in formatice importante din cadrul organizatiein aceast seciune vor fi evideniate sistemele informatice importante, inclusiv principalelecaracteristici i versiunea n lucru la momentul evalurii.
3.
Disponibi l itatea sistemuluiSistemul i serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducereariscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa afunctionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru in cadrulsistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatiioperationale.
5. Restaurarea servici i lor(RTO -Recovery Time Objective)Timpul de restaurare a serviciilor reprezinta timpul scurs intre producerea incidentului criticcare a determinat inoperabilitatea site-ului principal si reluarea functionalitatii sistemului decatre site-ul de recuperare.In cadrul proiectului timpul estimat este de x ore in cazul comutarii totale datoratconstrangerilor impuse de tehnologii, identificarea riscului si a masurilor necesare,convocarea personelor responsabile si asigurarea intregii functionalitati la nivelul centrului derecuperare.In cazul comutarii manuale in care este necesara si identificarea incidentului timpul estimat de
i t
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
18/40
18
Exemplul de evaluare intern a riscurilor operaionale generate de sistemele informatice (registrul riscurilor operaionaleIT)
CategorieResurs/Activitate
Denumire sistem informaticValoareresursa /activitate
Risc (descriere / amenintare) Vulnerabilitate (factori de risc)Valoare
probabili-tate
Valoarevulnerabi
li-tate
Valoarerisc
Masuri decontrol alriscului
[1] [2] [3] [4] [5] [6] [7] [3]+[6]+[7] [8]
Categoria 1 - riscuri operaionale OAMENI
Conducerea executiv
Conducereasocietatii
Staie de lucru / baz de date /sisteme informatice
importante3
nerespectarea proceselor,procedurilor sau a instruciunilor
de lucru
Lipsa unor instrumente de control pentru situatiain care conducerea executiva nu r especta
procesele si procedurile de lucru1 3 7 Anexa 1
Conducereasocietatii
Staie de lucru / baz de date /sisteme informatice
importante3 Automulumire
Implementarea unor controale insuficiente sauineficiente.
1 3 7 Anexa 1
Conducereasocietatii
Staie de lucru / baz de date /sisteme informatice
importante3
operaiuni suspecte de splareabanilor i finanarea actelor de
terorism
Lipsa filtrelor eficiente pentru tranzactiilesuspecte.
1 3 7 Anexa 1
Conducerea
societatii
Staie de lucru / baz de date /sisteme informatice
importante
3nerespectarea regimului de
sanciuni internaionale
Lipsa filtrelor eficiente pentru tranzactiilesuspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale
1 3 7 Anexa 1
Conducereasocietatii
Staie de lucru / baz de date /sisteme informatice
importante3 Frauda interna
Lipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 7 Anexa 1
Relatia cu clientii
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Vanzarea de produse
necorespunzatoare clientilorrespectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.1 3 7 Anexa 1
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de introducere manual sau
de utilizare neadecvat a
sistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 7 Anexa 1
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Stergerea accidentala a
informatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
19/40
19
Operatiuni
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Frauda internaLipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3nerespectarea proceselor,
procedurilor sau a instruciunilorde lucru
Lipsa unor instrumente de control pentru situatiain care conducerea executiva nu respecta
procesele si procedurile de lucru1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 AutomulumireImplementarea unor controale insuficiente sau
ineficiente.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3operaiuni suspecte de splareabanilor i finanarea actelor de
terorism
Lipsa filtrelor eficiente pentru tranzactiilesuspecte.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3nerespectarea regimului de
sanciuni internaionale
Lipsa filtrelor eficiente pentru tranzactiilesuspecte. Neaducerea la zi a noutatilor cu privire
la sanctiunile internationale1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Frauda internaLipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date/ sistemeinformatice importante / Alte
sisteme informatice
importante
3Vanzarea de produse
necorespunzatoare clientilorrespectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3modificarea informaiilor sau a
datelor din rapoarte, frdocumentarea adecvat
Raportarea eronata catre autoritatile desupraveghere
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
20/40
20
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 7 Anexa 1
Personal si
activitatioperatiuni
Sistem operatiuni / Staie delucru / baz de date / sisteme
informatice importante / Altesisteme informaticeimportante
3
Stergerea accidentala a
informatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente a
personalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1
Personal siactivitatioperatiuni
Sistem operatiuni / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
Procesarea eronata a unor operatiuni 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Frauda internaLipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 dependena de angajai cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
3 Personal insuficient 1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
21/40
21
sisteme informaticeimportante
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3
lipsa unei delimitri clare ntrerolurile persoanelor care
acceseaz/administreaz/dezvoltsistemele informatice
Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3
conflict de interese ntrepersonalul care dezvolt i celcare administreaz sistemele
informatice ori ntre utilizatoriiacestora
Inexistenta unor proceduri privind gestiuneaconflictelor de interesa sau nepunerea in aplicare
a acesteia1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3
cunostine, experien ipregtire insuficient a
personalului care utilizeaz saudeservete sistemele informatice
Buget de training insuficient. Lipsa implicariimanagementului in acest aspect.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informatice
importante
3 alterarea datelorAlterarea datelor din sistemele informatice, fara
posibilitatea identificarii autorului si ainformatiilor initiale
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3nerespectarea proceselor,
procedurilor sau a instruciunilorde lucru
Procese organizatorice, proceduri si instructiunide lucru neimplementate sau inexistente
2 3 8 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Lips de comunicare i cooperare
ntre angajaiNecomunicarea la timp a unor informatii critice
de la un departament catre altul1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Personal insuficientProceduri de recrutare ineficiente. Buget de
resurse umane insuficient. Evaluarea eronata e
necesarului de personal
1 3 7 Anexa 1
Financiar - contabilitate
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sisteme
2modificarea informaiilor sau a
datelor din rapoarte, frdocumentarea adecvat
Raportarea eronata catre autoritatile desupraveghere
1 3 6 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
22/40
22
informatice importante
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru /baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /
Staie de lucru / baz de date /sisteme informaticeimportante / Alte sistemeinformatice importante
2 Stergerea accidentala ainformatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie
1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /sisteme informatice
importante / Alte sistemeinformatice importante
2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
Procesarea eronata a unor operatiuni 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sisteme
informatice importante
2 Frauda internaLipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 6 Anexa 1
Functii cheie ale entitatii
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 dependena de angajai cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
23/40
23
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 Personal insuficient 1 3 7 Anexa 1
Tehnologia informatiei
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informaticeimportante
2
lipsa unei delimitri clare ntrerolurile persoanelor care
acceseaz/administreaz/dezvoltsistemele informatice
Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
conflict de interese ntrepersonalul care dezvolt i cel
care administreaz sistemeleinformatice ori ntre utilizatorii
acestora
Inexistenta unor proceduri privind gestiuneaconflictelor de interesa sau nepunerea in aplicare
a acesteia1 3 6 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
cunostine, experien ipregtire insuficient a
personalului care utilizeaz saudeservete sistemele informatice
Buget de training insuficient. Lipsa implicariimanagementului in acest aspect.
1 3 6 Anexa 1
Personal si
sisteme IT
Staie de lucru / baz de date /sisteme informatice
importante
2 alterarea datelorAlterarea datelor din sistemele informatice, fara
posibilitatea identificarii autorului si a
informatiilor initiale
1 3 6 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
nerespectarea proceselor,procedurilor sau a instruciunilor
de lucru
Procese organizatorice, proceduri si instructiunide lucru neimplementate sau inexistente
2 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
Lips decomunicare i cooperarentre angajai
Necomunicarea la timp a unor informatii criticede la un departament catre altul
1 3 6 Anexa 1
Suport
Functii suportsi activitati
aferenteStaie de lucru / baz de date 1 Personal insuficient
Proceduri de recrutare ineficiente. Buget deresurse umane insuficient. Evaluarea eronata e
necesarului de personal1 3 5 Anexa 1
Categoria 2 - riscuri operaionale PROCESE
Conducerea executiv
Conducereasocietatii
Staie de lucru / baz de date 3 lipsa proceselor organizatoriceProcese organizatorice neimplementate sau
inexistente2 3 8 Anexa 1
Conducereasocietatii Staie de lucru / baz de date
3 control inadecvat al proceselorControlul efectuat de personal necorespunzator.Neefectuarea controalelor conform cerintelor
interne1 3 7 Anexa 1
Conducereasocietatii
Staie de lucru / baz de date 3insuficiena guvernanei
corporativeInexistenta strategiei privind guvernantacorporativa. Mecanisme de guvernanta
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
24/40
24
corporativa necorespunzatoare
Relatia cu clientii
Personal siactivitati
front-officeSistem front-office 3
Vanzarea de produsenecorespunzatoare clientilor
respectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.1 3 7 Anexa 1
Personal siactivitatifront-office
Sistem front-office / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 erori de introducere manual saude utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 7 Anexa 1
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Stergerea accidentala a
informatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie
1 3 7 Anexa 1
Operatiuni
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informatice
importante
3lipsa separrii drepturilor i
atribuiilor
Tranzactionarea efectuata de catre personalnecalificat sau fara atributii in domeniul
respectiv1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 depirea limitelorTranzactionarea eronata a unor instrumente
financiare1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de volumTranzactionarea eronata a unor instrumente
financiare1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de securitateAlterarea datelor din sistemele informatice, fara
posibilitatea identificarii autorului si a
informatiilor initiale
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de raportareRaportarea eronata catre autoritatile de
supraveghere1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
25/40
25
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de nregistrri contabileneadecvate
Procesarea eronata a tranzactiilor cu instrumentefinanciare
1 3 7 Anexa 1
Personal si
activitatioperatiuni
Sistem operatiuni / Staie delucru / baz de date / sisteme
informatice importante / Altesisteme informaticeimportante
3control inadecvat al activitilor
externalizate
Lipsa unor controale interne cu privire la
activitati critice 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 ntreruperea furnizrii serviciilorUn sistem informatic critic nu poate fi accesat
pentru o lunga perioada de timp1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3
neidentificarea operaiunilor nspe n funcie de indicatorii de
risc i variabile analiticeprestabilite
Neidentificarea indicatorilor de risc.Parametrizarea necorespunzatoare a variabilelor
analitice prestabilite.1 3 7 Anexa 1
Personal siactivitatioperatiuni
Sistem operatiuni / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 lipsa proceselor organizatorice Procese organizatorice neimplementate sauinexistente
2 3 8 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 control inadecvat al proceselorControlul efectuat de personal necorespunzator.Neefectuarea controalelor conform cerintelor
interne1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3insuficiena guvernanei
corporative
Inexistenta strategiei privind guvernantacorporativa. Mecanisme de guvernanta
corporativa necorespunzatoare1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Vanzarea de produse
necorespunzatoare clientilorrespectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
3 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
26/40
26
sisteme informaticeimportante
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 erori de nregistrareInregistrarea eronata a unor operatiuni
economice1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3managementul inadecvat al
datelor i informaiilorNeasigurarea caracteristicilor informatiilor
(consistenta, durabilitate)1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de matching, compensare i
colateral
Matching eronat datorat sistemelor informaticeutilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului deadecvare a colateralului clientilor
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informatice
importante
3 complexitatea produselorErori cauzate de neintelegerea naturii economice
de la baza unor produse financiare complexe1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de capacitate
Capacitate insuficienta a bazelor de date de aprelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilor
financiare
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de confidenialitateDivulgarea de informatii sensibile catre mediul
exterior. Furt de date cu caracter personal1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 fraudeFraude cauzate de personal financiar contabil cuacces la multiple sisteme si niveluri informatice.
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
27/40
27
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de metodologie sau de
modelDefinirea gresita a modelelor econometrice 1 3 7 Anexa 1
Personal si
activitatioperatiuni
Sistem operatiuni / Staie delucru / baz de date / sisteme
informatice importante / Altesisteme informaticeimportante
3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3disponibilitatea rezervelor pentru
acoperirea pierderilor
Rezerve insuficiente pentru acoperireapierderilor operationale. Lichiditate insuficienta
a activelor din rezerve1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 complexitatea modelelorErori cauzate de neintelegerea naturii economice
de la baza unor produse financiare complexe1 3 7 Anexa 1
Personal siactivitatioperatiuni
Sistem operatiuni / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 software neadecvate obiectivelorde activitate
Sofware fara functiile critice necesare. Software
cu o viteza redusa de procesare, sau cu ocapacitate insuficienta de procesare a
informatiilor.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Personal insuficientProceduri de recrutare ineficiente. Buget de
resurse umane insuficient. Evaluarea eronata enecesarului de personal
1 3 7 Anexa 1
Financiar - contabilitate
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sisteme
informatice importante
2 erori de execuie Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 erori de nregistrareInregistrarea eronata a unor operatiuni
economice1 3 6 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
28/40
28
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2managementul inadecvat al
datelor i informaiilorNeasigurarea caracteristicilor informatiilor
(consistenta, durabilitate)1 3 6 Anexa 1
Personalul siactivitati
financiarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2
erori de matching, compensare i
colateral
Matching eronat datorat sistemelor informaticeutilizate. Erori in cadrul procesului de
compensare. Erori in cadrul procesului deadecvare a colateralului clientilor
1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 complexitatea produselorErori cauzate de neintelegerea naturii economice
de la baza unor produse financiare complexe1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 riscuri de capacitate
Capacitate insuficienta a bazelor de date de aprelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilor
financiare
1 3 6 Anexa 1
Personalul si
activitatifinanciarcontabile
Sistem financiar contabil /
Staie de lucru / baz de date /sisteme informaticeimportante / Alte sistemeinformatice importante
2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz dedate /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 riscuri de confidenialitateDivulgarea de informatii sensibile catre mediul
exterior. Furt de date cu caracter personal1 3 6 Anexa 1
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sistemeinformatice importante
2 fraudeFraude cauzate de personal financiar contabil cuacces la multiple sisteme si niveluri informatice.
1 3 6 Anexa 1
Functii cheie ale entitatii
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3erori de metodologie sau de
modelDefinirea gresita a modelelor econometrice 1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
29/40
29
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
Functii cheie
si activitatiaferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informaticeimportante
3
disponibilitatea rezervelor pentru
acoperirea pierderilor
Rezerve insuficiente pentru acoperirea
pierderilor operationale. Lichiditate insuficientaa activelor din rezerve 1 3 7 Anexa 1
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 complexitatea modelelorErori cauzate de neintelegerea naturii economice
de la baza unor produse financiare complexe1 3 7 Anexa 1
Tehnologia informatiei
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
software neadecvate obiectivelorde activitate
Sofware fara functiile critice necesare. Softwarecu o viteza redusa de procesare, sau cu o
capacitate insuficienta de procesare ainformatiilor.
1 3 6 Anexa 1
Suport
Functii suportsi activitati
aferenteStaie de lucru / baz de da te 1 Personal insuficient
Proceduri de recrutare ineficiente. Buget deresurse umane insuficient. Evaluarea eronata e
necesarului de personal1 3 5 Anexa 1
Categoria 3 - riscuri operaionale SISTEME
Conducerea executiv
Conducereasocietatii
Staie de lucru / baz de date 2sistem inadecvat de management
al tehnologiei i securitii
Sisteme care nu asigura functiile criticenecesare. Inexistenta procedurilor de backup.
Operabilitate redusa a sistemelor.1 3 6 Anexa 1
Relatia cu clientii
Personal siactivitati
front-officeSistem front-office 2 sisteme inadecvate
Sisteme care nu asigura functiile criticenecesare. Operabilitate redusa a sistemelor.
1 3 6 Anexa 1
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
2erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 6 Anexa 1
Personal siactivitati
Sistem front-office / Staie delucru / baz de date / sisteme
2Stergerea accidentala a
informatiilor stocate in bazele decunostinte si pregtire insuficiente a
personalului financiar contabil. Management1 3 6 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
30/40
30
front-office informatice importante / Altesisteme informatice
importante
date impropriu al drepturilor de acces in aplicatie
Operatiuni
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3sistem inadecvat de management
al tehnologiei i securitii
Sisteme care nu asigura functiile criticenecesare. Inexistenta procedurilor de backup.
Operabilitate redusa a sistemelor.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 sisteme inadecvateSisteme care nu asigura functiile critice
necesare. Operabilitate redusa a sistemelor.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 coruperea datelorPrezenta datelor invalide, sau a datelor ce nu pot
fi accesate de ctre utilizatori1 3 7 Anexa 1
Personal si
activitatioperatiuni
Sistem operatiuni / Staie delucru / baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 capacitate insuficient deprocesare
Capacitate insuficienta a bazelor de date de a
prelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilorfinanciare
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3ntreruperi n funcionarea
sistemelor (hardware, software,stocare, telecomunicaii)
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 cderi de reeaInexistenta sistemelor de backup
corespunzatoare1 3 7 Anexa 1
Personal siactivitatioperatiuni
Sistem operatiuni / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 ntreruperii n furnizareaserviciilor prestate de furnizoriiexterni
Neraportarea incidentului ctre furnizor in timputil.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
3protecie inadecvat mpotriva
malwareSisteme critice importante afectate de malware 1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
31/40
31
sisteme informaticeimportante
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 riscuri de compatibilitateIncapacitatea de a utiliza informatii sau fisiere
necompatibile cu noile versiuni ale programelorsoftware
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3riscuri generate defurnizori/vnztori
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 erori de programareBuguri, posibile brese de securitate, procesare
inceata a datelor, baze de date instabile.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3riscuri de recuperare dup
dezastrePlan BCP necorespunzator sau necunoscut decatre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3testare necorespunztoare a
recuperrii n caz de dezastruLocatie secundara improprie. Testarea
neefectuata la timp, sau efectuata partial1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3sistem inadecvat de actualizare
tehnologicPierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 sisteme nvechitePierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3lipsa metodologiilor de
dezvoltare si testare
Dezvoltare improprie a sistemelor informatice.Testare ce nu tine cont de specificatiile de
business1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
32/40
32
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 servicii necorespunztoare desuport pentru sisteme
Neconformitatea cu reglementarile legalerespective (resurse umane, PSI, autorizari /
avizari autoritati locale)1 3 7 Anexa 1
Financiar - contabilitate
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /
Staie de lucru / baz de date /sisteme informatice
importante / Alte sistemeinformatice importante
2 coruperea datelorPrezenta datelor invalide, sau a datelor ce nu pot
fi accesate de ctre utilizatori1 3 6 Anexa 1
Functii cheie ale entitatii
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
2capacitate insuficient de
procesare
Capacitate insuficienta a bazelor de date de aprelua informatiile. Capacitate insuficienta depersonal de a gestiona volumul operatiunilor
financiare
1 3 6 Anexa 1
Tehnologia informatiei
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante
3ntreruperi n funcionarea
sistemelor (hardware, software,
stocare, telecomunica ii)
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3 cderi de reea
Inexistenta sistemelor de backupcorespunzatoare
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3
ntreruperii n furnizareaserviciilor prestate de furnizorii
externi
Neraportarea incidentului ctre furnizor in timputil.
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3
protecie inadecvat mpotrivamalware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3 riscuri de compatibilitate
Incapacitatea de a utiliza informatii sau fisierenecompatibile cu noile versiuni ale programelor
software1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /
sisteme informaticeimportante 3riscuri generate defurnizori/vnztori
Lipsa sistemelor de back-up pentru energie
electrica sau a liniilor secundare detelecomunicatii 1 3 7 Anexa 1
Personal sisisteme IT
Staie delucru / baz de date /sisteme informatice
importante3 erori de programare
Buguri, posibile brese de securitate, procesareinceata a datelor, baze de date instabile.
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
3 riscuri de recuperare dupdezastre
Plan BCP necorespunzator sau necunoscut decatre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
33/40
33
importante
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3
testare necorespunztoare arecuperrii n caz de dezastru
Locatie secundara improprie. Testareaneefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3
sistem inadecvat de actualizaretehnologic
Pierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informaticeimportante
3 sisteme nvechite Pierderi sau coruperea informatiilor existente.Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante3
lipsa metodologiilor dedezvoltare si testare
Dezvoltare improprie a sistemelor informatice.Testare ce nu tine cont de specificatiile de
business1 3 7 Anexa 1
Personal sisisteme IT
Router(Model , Serie)
3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
IPS / IDS (Model , Serie) 3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Switch 1,2 (Model, Serie) 3Administrare defectuasaIncendiu
CutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilorLipsa sistem supraveghere video
Defectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Server Mail (Model, Serie) 3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Server Backup(Model, Serie)
3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Server Web(Model, Serie)
3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Server BD(Model, Serie)
3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal sisisteme IT
Server Aplicatie OnlineClienti
3Administrare defectuasa
IncendiuLipsa sistem automat de detectie si stingere a
incediilor2 3 8 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
34/40
34
(Model, Serie) CutremurInundatie
Lipsa sistem supraveghere videoDefectiune hardware
Personal sisisteme IT
Sever Aplicatii Intranet(Model, Serie)
3
Administrare defectuasaIncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal si
sisteme IT
Echipament1 locatie DR
(Model, Serie) 3
N/A
Echipament hostat intr-o locatiealternativaDataCenter Defectiune hardware 1 1 5 N/A
Personal sisisteme IT
Echipament2 locatie DR(Model, Serie)
3N/A
Echipament hostat intr-o locatiealternativaDataCenter
Defectiune hardware 1 1 5 N/A
Personal sisisteme IT
Imprimante, scanere 3IncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
1 3 7 Anexa 1
Personal sisisteme IT
Echipament desktop 3IncendiuCutremurInundatie
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
1 3 7 Anexa 1
Personal sisisteme IT
Aplicatie online clienti 3
Vulnerabilitati software
Erori de programareAcces neautorizatModificri neautorizate alesoftware-ului sau datelor
Erori de programare
Lipsa testari periodiceNeaplicarea la timp a update-urilor necesarePregtire de specialitate necorespunz-toare a
personalului.
2 3 8 Anexa 1
Personal sisisteme IT
Aplicatie contabilitate 3
Vulnerabilitati softwareErori de programareAcces neautorizat
Modificri neautorizate alesoftware-ului sau datelor
Erori de operare
Lipsa testari periodiceNeaplicarea la timp a update-urilor necesare
2 3 8 Anexa 1
Personal sisisteme IT
Aplicatie Intranet 3
Vulnerabilitati softwareErori de programareAcces neautorizat
Modificri neautorizate alesoftware-ului sau datelor
Erori de programare
Lipsa testari periodiceNeaplicarea la timp a update-urilor necesare
Pregtire de specialitate necorespunz-toare apersonalului.
2 2 7 Anexa 1
Personal sisisteme IT
Solutie securitate IT(antivirus, firewall, etc)
3Vulnerabilitati software
Erori de programareAcces neautorizat
Lipsa testari periodiceNeaplicarea la timp a update-urilor necesare
3 3 9 Anexa 1
Personal sisisteme IT
Licente Sistem Operare 1 3Vulnerabilitati software. Acces
neautorizatNeaplicarea la timp a update-urilor necesare
2 3 8 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
35/40
35
Configurarea necorespunztoare a funciilor desecuritate ale sistemelor de operare
Personal sisisteme IT
Contracte 3Acces neautorizat
Dezvaluire informatiiLipsa filtru software
Continut trafic utilizatori2 3 8 Anexa 1
Personal sisisteme IT
Corespondenta 3Acces neautorizat
Dezvaluire informatiiLipsa filtru software
Continut trafic utilizatori2 3 8 Anexa 1
Personal si
sisteme IT
Arhiva date 3Acces neautorizat
Dezvaluire informatii
Lipsa filtru software
Continut trafic utilizatori
2 3 8 Anexa 1
Personal sisisteme IT
Declaratii 3Acces neautorizat
Dezvaluire informatiiLipsa filtru software
Continut trafic utilizatori2 3 8 Anexa 1
Personal sisisteme IT
Dosare personal 3Acces neautorizat
Dezvaluire informatiiLipsa filtru software
Continut trafic utilizatori2 3 8 Anexa 1
Personal sisisteme IT
Decizii 3Acces neautorizat
Dezvaluire informatiiLipsa filtru software
Continut trafic utilizatori2 3 8 Anexa 1
Suport
Functii suportsi activitati
aferenteStaie de lucru / baz de date 1
servicii necorespunztoare desuport pentru sisteme
Neconformitatea cu reglementarile legalerespective (resurse umane, PSI, autorizari /
avizari autoritati locale)1 3 5 Anexa 1
Categoria 4 - riscuri operaionale EXTERNE
Conducerea executiv
Conducereasocietatii
Staie de lucru / baz de date 3 Pierderea persoanelor cheie Inexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1
Conducereasocietatii
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 7 Anexa 1
Conducereasocietatii
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Stergerea accidentala a
informatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie
1 3 7 Anexa 1
Relatia cu clientii
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Vanzarea de produse
necorespunzatoare clientilorrespectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.1 3 7 Anexa 1
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
3erori de introducere manual sau
de utilizare neadecvat asistemelor informatice
cunostinte si pregtire insuficiente apersonalului financiar contabil
1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
36/40
36
sisteme informaticeimportante
Personal siactivitati
front-office
Sistem front-office / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Stergerea accidentala a
informatiilor stocate in bazele dedate
cunostinte si pregtire insuficiente apersonalului financiar contabil. Managementimpropriu al drepturilor de acces in aplicatie
1 3 7 Anexa 1
Operatiuni
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3ntreruperi n furnizarea
serviciilor prestate de furnizoriexterni
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3 Pierderea persoanelor cheieInexistenta unui back-up pentru persoanele cheiedin companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3Vanzarea de produse
necorespunzatoare clientilor
respectivi
Functionarea defectuoasa a sistemelor de frontoffice. Incadrarea defectuoasa in categoriile de
risc pentru clientii noi.
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3fraude i activiti criminale
externe
Lipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3
pierderi datorate evenimentelorcatastrofice/dezastrelor naturale
sau generate de oameni orifactori din afara organizaiei
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Personal si
activitatioperatiuni
Sistem operatiuni / Staie delucru / baz de date / sisteme
informatice importante / Altesisteme informaticeimportante
3atacuri teroriste clasice sau
informaticeLipsa sistemelor de siguranta si de back-up a
sistemelor informatice critice 1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informatice
3criminalitate economic i/sau
informaticLipsa sistemelor de siguranta si de back-up a
sistemelor informatice critice1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
37/40
37
importante
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3cderi ale alimentarii cu
electricitate
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii1 3 7 Anexa 1
Personal siactivitatioperatiuni
Sistem operatiuni / Staie de
lucru / baz de date / sistemeinformatice importante / Altesisteme informatice
importante
3 expuneri externe ale securitiisistemelor
Lipsa sistem automat de detectie si stingere a
incediilorLipsa sistem supraveghere video
Defectiune hardware
1 3 7 Anexa 1
Personal siactivitati
operatiuni
Sistem operatiuni / Staie delucru / baz de date / sistemeinformatice importante / Alte
sisteme informaticeimportante
3servicii necorespunztoare de
suport pentru sisteme
Neconformitatea cu reglementarile legalerespective (resurse umane, PSI, autorizari /
avizari autoritati locale)1 3 7 Anexa 1
Financiar - contabilitate
Personalul siactivitatifinanciarcontabile
Sistem financiar contabil /Staie de lucru / baz de date /
sisteme informaticeimportante / Alte sisteme
informatice importante
2 fraude i activiti criminaleexterne
Lipsa verificarilor eficace. Lipsa principiuluicelor patru ochi. Management impropriu al
drepturilor de acces in aplicatie.1 3 6 Anexa 1
Functii cheie ale entitatii
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3
pierderi datorate evenimentelorcatastrofice/dezastrelor naturale
sau generate de oameni orifactori din afara organizaiei
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
2 3 8 Anexa 1
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3atacuri teroriste clasice sau
informaticeLipsa sistemelor de siguranta si de back-up a
sistemelor informatice critice1 3 7 Anexa 1
Functii cheie
si activitatiaferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
importante
3 criminalitate economic i/sauinformatic Lipsa sistemelor de siguranta si de back-up asistemelor informatice critice 1 3 7 Anexa 1
Functii cheiesi activitati
aferente
Sistem cheie / Staie de lucru /baz de date / sisteme
informatice importante / Altesisteme informatice
3cderi ale alimentarii cu
electricitate
Lipsa sistemelor de back-up pentru energieelectrica sau a liniilor secundare de
telecomunicatii1 3 7 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
38/40
38
importante
Tehnologia informatiei
Personal sisisteme IT
Staie de lucru / baz de date /sisteme informatice
importante2
expuneri externe ale securitiisistemelor
Lipsa sistem automat de detectie si stingere aincediilor
Lipsa sistem supraveghere videoDefectiune hardware
1 3 6 Anexa 1
Suport
Functii suportsi activitati
aferenteStaie de lucru / baz de date 1
servicii necorespunztoare desuport pentru sisteme
Neconformitatea cu reglementarile legalerespective (resurse umane, PSI, autorizari /
avizari autoritati locale)1 3 5 Anexa 1
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
39/40
39
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
ANEXA 1 la registrul riscurilor
Nr.Crt
Evenimentnedorit
AmeninareVulnerabilitate
asociat
Prob.prod.
even.
NivelImpact
Nivelrisc
Msuri de control al riscului
1. Producereanui incendiu
Incendiu Absena unui sistem automat dedetectie si stingere a incendiului.
Mica Mare Mediu Implementate-Verificarea si intreinerea instalaiilor.-Existenta procedurilor de creare a fiierelor de back up care vizeza frecvena, tipul de back-up,persoanele autorizate i verificarea periodic.-Exista BCP, locatie alternativa de procesare a datelor.- Instruirea personalului autorizat al sistemului privind modul de aciune la incendiu.
Masuri viitoare-Existena unor mijloace automate de detectie si stingere a incendiului-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel deevenimente-Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
2. Producereaunui
cutremur
Cutremur Lipsa planurilor de continuare aactivitatii sau a procedurilor derecuperare /refacere a informatiilorin caz de cutremur
Mica Mare Mediu Implementate-Structura de rezisten a cldirii este solid.-Pereii exteriori i despritori ai camerelor n care sunt instalate echipamentele sistemului sunt d inmateriale solide.-Existenta procedurilor de creare a fiierelor de backup care vizeza frecvena, tipul de back-up, persoaneleautorizate i verificarea periodic.-Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare-Instruirea personalului autorizat al sistemului privind modul de aciune in caz de cutremur.-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel deevenimente.
3. Alimentarenecorespunzto
are cuenergie
electrica
Cderi aletensiunii dealimentare
Lipsa surselor nentreruptibile dealimentare cu energie electrica.
Mica Mare Mediu Implementate-Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%-Toate serverele sunt prevazute cu UPS
Masuri viitoare- implementare replicare sincrona intre sediul central si datacenter-achizitionare generator electric
-
7/25/2019 Exemplul Metodologie Evaluarea Riscurilor Operationale Norma 6-2015 (1) (1)
40/40
40
Nr.Crt
Evenimentnedorit
AmeninareVulnerabilitate
asociat
Prob.prod.even.
NivelImpact
Nivelrisc
Msuri de control al riscului
4. Copiereaneautorizat
de date /software
Dezvaluireinformatii
Acces neautorizat - Copiereaneautorizat de date / software
Mica Mare Mediu Implementate-Existenta IDS, antivirus, Firewall.-Instruirea continua a personalului.-Backup periodic al datelor in data center conform procedurilo r operationale existente
Masuri viitoare-Utilizatorii cu drepturi de acces limitate ai sistemului trebuie s aib o pregtire corespunztoare privindutilizarea resurselor i serviciilor sistemului.-De asemenea trebuie resprectata politica de securitate existenta.-In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
5.
Utilizarea
ecorespunztoare a
resurselor iserviciilorsistemului(erori deutilizare)
Erori deoperare ale
personalului
Configurarea necorespunztoare afunciilor de securitate alesistemelor de operare.
Mica Mare Mediu Implementate- Exista elaborata o politica de securitate care s in cont de rolul i misiunea sistemului, grupele deutilizatori autorizai ai sistemului i de aplicarea principiului necesitii de a cunoate.-Exista elaborarta o procedura de creare a fiierelor de backup care s vizeze frecvena, tipul de back-up,persoanele autorizate i verificarea periodic a fiierelor de back-up.-S-a creat o locatie alternativa de backup in DataCenter-ul X- Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediulde productie
Masuri viitoare-Cursuri de specialitate
Lipsa fiierelor de back-up. Mica Mare Mediu
Pregtire de specialitate
necorespunztoare a personalului.
Mica Mediu Mic
Erori deprogramare
Configurarea necorespunztoare afunciilor de securitate alesistemelor de operare.
Mica Mare Mediu
Lipsa fiierelor de back-up. Mica Mare MediuPregtire de specialitatenecorespunztoare a personalului.
Mica Mare Mediu
Modificrineautorizateale software-
ului
Lipsa fiierelor de back-up. Mica Mare Mediu
Pregtire de specialitatenecorespunztoare a personalului.
Mica Mare Mediu