MATERIAŁY DODATKOWE pełny opis publikacji
Materiały zawarte w publikacji:

rysunek 1.7. - Układ planetarny standardów bezpieczeństwa informacji

rysunek 1.8. - Współpraca International Civil Aviation Organization (ICAO), ISO i European Committee for Standardization (CEN)

rysunek 1.9. - Sposób zarządzania bezpieczeństwem informacji z wykorzystaniem podstawowych standardów

rysunek 2.6. - Systematyka zdarzeń operacyjnych


tabela 2.1. - Struktura zarządzania ryzykiem

tabela 2.2. - Klasyfikacja rodzajów ryzyka operacyjnego

tabela 2.5. - Poziomy ziarnistości zasobów (przykład)

tabela 2.8. - Systematyka zdarzeń operacyjnych.

Tabela 2.8. Systematyka zdarzeń operacyjnych
Kategorie zdarzeń operacyjnych Rodzaje zdarzeń w ramach kategorii Przykłady zdarzeń operacyjnych
I Oszustwo wewnętrzne - straty z tytułu działań mających na celu zamierzone oszustwo, sprzeniewierzenie własności lub obejście regulacji, prawa lub polityki spółki, z wyłączeniem zdarzeń z zakresu różnicowania i dyskryminacji, dotyczące co najmniej jednej osoby wewnętrznej.
1. Działania nieuprawnione
  • działania nierejestrowane (zamierzone)
  • nieautoryzowane transakcje (poniesiona strata)
  • błędna wycena transakcji (zamierzona)
2. Kradzież i oszustwo
  • oszustwo
  • kradzież, wymuszenie, defraudacja, rabunek sprzeniewierzenie aktywów
  • zamierzone zniszczenie aktywów
  • fałszerstwo
  • przemyt
  • przejęcie tożsamości, mistyfikacja, itp.
  • niezgodności podatkowe, unikanie podatków (umyślne)
  • przekupstwo, łapówkarstwo
  • działalność na korzyść własną (nie na rachunek firmy)
II Oszustwo zewnętrzne - straty z tytułu działań mających na celu zamierzone oszustwo, sprzeniewierzenie własności lub obejście regulacji, prawa przez osobę trzecią.
1. Kradzież i oszustwo.
  • kradzież, rabunek
  • fałszerstwo
  • oszustwo czekowe
2. Bezpieczeństwo systemów.
  • hakerstwo
  • kradzież informacji (poniesiona strata)
III Praktyka kadrowa i bezpieczeństwo pracy - straty wynikające z działań Organizacji niezgodnych z prawem pracy, przepisami BHP, porozumieniami zawartymi z pracownikami, lub z wypłat roszczeń z tytułu odszkodowań za wypadki przy pracy oraz zdarzeń z zakresu różnicowania i dyskryminacji.
1. Stosunki pracownicze
  • zdarzenia związane z wypłatą odszkodowań z tytułu wypłat wynagrodzeń, rozwiązywania umów o pracę, nieprzestrzegania przepisów prawa pracy przez organizację, zorganizowane działania związków zawodowych (strajki, protesty)
  • ujawnianie danych osobowych pracowników
  • nieobecność kluczowych pracowników w pracy
2. Bezpieczeństwo środowiska pracy
  • wypadki na terenie administrowanym przez organizację
  • wypadki przy pracy z powodu nieprzestrzegania przez organizację przepisów BHP i ppoż.
  • inne zdarzenia skutkujące wypłatami odszkodowań dla pracowników
3. Podziały i dyskryminacja
  • wszelkie typy dyskryminacji pracowników (ze względu na wiek, płeć, przekonania, przynależność do partii politycznych, organizacji, związków zawodowych itp.)
IV Klienci, produkty i praktyka biznesowa - straty wynikające z niezamierzonego lub wynikającego z zaniedbania niewypełnienia zawodowych zobowiązań w stosunku do poszczególnych klientów (w tym wymagań dotyczących uczciwości i odpowiedzialności) albo też z charakteru lub struktury produktu.
1. Obsługa klientów, ujawnianie informacji o klientach, zobowiązania względem klientów
  • naruszenie zaufania, naruszenie wytycznych w zakresie obsługi klientów
  • zagadnienia dostosowania, pozyskiwanie informacji (poznaj swego klienta itp.)
  • ujawnianie informacji dotyczących klientów indywidualnych
  • naruszenie prywatności
  • agresywna sprzedaż
  • agresywny handel na rachunek klienta w celu maksymalizacji prowizji
  • nieuprawnione użycie informacji poufnej
  • odpowiedzialność kredytodawcy
2. Niewłaściwe praktyki biznesowe lub rynkowe
  • próby monopolizacji rynku
  • manipulacje rynkiem finansowym
  • handel na podstawie poufnych informacji (na konto organizacji)
  • działanie poza zezwoleniem
  • pranie pieniędzy
3. Wady produktów
  • wadliwie skonstruowane produkty organizacji (w tym błędy wzorów umów, regulaminów i innych tego typu dokumentów, brak autoryzacji)
  • błędy modeli
    4. Klasyfikacja klienta i ekspozycje
    • dokonywanie oceny profilu klienta niezgodnie z wytycznymi
    • przekraczanie limitów zaangażowania względem klienta
    • błędy oceny profilu klienta
    5. Usługi doradcze
    • spory o jakość działalności doradczej świadczonej przez organizację
    V Uszkodzenia aktywów - straty wynikające z utraty bądź zniszczenia fizycznych aktywów w wyniku klęsk żywiołowych lub innych zdarzeń. Klęski żywiołowe i inne zdarzenia.
    • straty powstałe w wyniku klęsk żywiołowych
    • straty wynikające z działalności terrorystycznej, wandalizmu
    VI Zakłócenia działalności i błędy systemów - straty wynikające z zakłóceń w działalności i błędów systemów. Systemy
    • nieprawidłowe działanie sprzętu
    • błędy oprogramowania
    • nieprawidłowe działanie sieci
    • telekomunikacyjnych, komputerowych, Internetu
    • przerwy w dopływie energii elektrycznej oraz nieprawidłowe działanie urządzeń podtrzymujących zasilanie
    VII Dokonywanie transakcji, dostawa oraz zarządzanie procesami - straty wynikające z błędów podczas przeprowadzania transakcji lub zarządzania procesami, jak również z relacji z kontrahentami i dostawcami
    1. Wprowadzanie do systemu, wykonywanie, rozliczanie i obsługa transakcji
    • błędy w czasie komunikacji
    • błędy wprowadzania, utrzymania i ładowania danych
    • przeoczenie terminu lub niewywiązanie się z ciążącego obowiązku
    • błędne działanie modelu lub systemu 
    • błędy księgowe, błędy atrybutów rejestracji
    • błędy wykonania innych zadań
    • niewykonanie dostawy
    • błędy w procesie zarządzania zabezpieczeniami
    • utrzymywanie danych referencyjnych
    2. Monitorowanie i sprawozdawczość
    • niewykonanie obowiązku sprawozdawczego
    • sporządzenie niedokładnego sprawozdania zewnętrznego (poniesiona strata)
    3. Dokumentacja dotycząca klienta
    • zagubienie dokumentacji dotyczącej udzielenia, odwołania pełnomocnictwa
    • zagubienie, niekompletność dokumentacji innej niż wymieniona wcześniej
    • błędy w informacji na etapie pozyskania klienta
    4. Zarządzanie zasobami klientów
    • udzielenie dostępu do zasobów osobom nieuprawnionym
    • wprowadzenie błędnych danych
    • spowodowanie szkody lub straty w aktywach klienta wskutek zaniedbania
    5. Uczestnicy procesów niebędący klientami organizacji
    • błąd kontrahenta
    • spory z kontrahentami
    6. Sprzedawcy i dostawcy
    • wadliwie sporządzone umowy o wykonywanie przez podmioty zewnętrzne czynności należących do zakresu działania organizacji oraz ich niewłaściwe realizowanie
    • spory z sprzedawcami i dostawcami
    Źródło: opracowanie własne na podstawie: [Rekomendacja M, 2004] Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w organizacjach [2004], Komisja Nadzoru Bankowego, Warszawa..