Educatiesessie. 18 september 2019 BEHEERSING VAN IT- I N N O VAT I E I N D E P E N S I O E N S E C T O R

Transcriptie

1 Educatiesessie 18 september 2019 BEHEERSING VAN IT- I N N O VAT I E I N D E P E N S I O E N S E C T O R

2 Peter Paul Solkesz D R M I C T S O L U T I O N S 2

3 3

4 Bob Mohr N E O M O R P H O S E B. V. 4

5 Risicomanagement en innovatie bij banken Educatiesessie Montae 18 september 2019 Bob Mohr Senior risk consultant 2019 NeoMorphose 5

6 Banken vs. verzekeraars vs. pensioenfondsen Regelgeving en riskmanagement: Banken lopen voorop, (schade)verzekeraars volgen daarna, pensioenfondsen sluiten de rij Lengte business cycle:» Banken: dagen» Schade verzekering: maanden» Levens verzekering: jaren» Pensioenfonds: decennia Internationale dimensie: Banken/verzekeraars internationaal/europees; pensioenfondsen nationaal» Markt / product / bedrijfsinrichting» Regelgeving en toezicht Overeenkomsten: onderdeel financieel systeem, grote financiële reserves 2019 NeoMorphose 6

7 Innovaties in bankenland 2019 NeoMorphose 7

8 Nieuwe ontwikkelmethodieken Waterfall Methodology 2019 NeoMorphose 8

9 Maar het gaat niet altijd goed 2019 NeoMorphose 9

10 Risicomanagement bij banken 2019 NeoMorphose 10

11 Risicomanagement? Risicomanagement gaat om het bewust nemen van risico en het nemen van maatregelen om onaanvaardbare risico s te verkleinen 2019 NeoMorphose 11

12 Risicobewustzijn en risicobereidheid Iedereen is risicobewust en neemt maatregelen Maar niet iedereen dezelfde tot hoe ver is iemand bereid risico s te nemen? 2019 NeoMorphose KRKC BIC 2009 v 1.0

13 Wet- en regelgeving: grenzen stellen Groot maatschappelijk belang Grenzen aan risicobereidheid ( risk appetite ) Wet-&regelgeving is belangrijke drijfveer Basel akkoorden Prudentieel toezicht DNB 2019 NeoMorphose 13

14 BASEL akkoorden 2019 NeoMorphose 14

15 Soorten risico X Kredietrisico Marktrisico Operationeel risico 2019 NeoMorphose 15

16 Wat is een operationeel risico? Basel 2 definitie: Operational risk is the risk of loss resulting from inadequate or failed internal processes, people and systems, or from external events Cause(s) Event Effect(s) Cause Categories People Process System External Event Types Internal fraud External fraud Clients, products and business practices Employee practices & workplace safety Disasters and public safety Technology & infrastructure failures Execution delivery and process management fraud Effects Operational losses Financial misstatements Reputational damage 2019 NeoMorphose 16

17 Risk & Control Framework Running the company Risk management instruments (1 st and 2 nd line) Audit (3 rd line) Strategy Organisation Processes IT-systems Risk Appetite Strategic Risk Assessment Entity Level Controls Risk Control Self Assessment Scenario Analysis IT Risk assessment & controls Monitoring & Testing Key Risk Indicators (KRIs) Change Risk Assessment Losses & near misses Audit Actions, follow up and monitoring Operational Risk Capital calculation (Regulatory / Economic) Company results Risk reporting 2019 NeoMorphose 17

18 IT Risk Assessments & Controls (1) Doelstellingen IT» Optimale ondersteuning van de business processen» Flexibiliteit/aanpasbaarheid om blijvende optimale ondersteuning te garanderen Beheersdoelstellingen/randvoorwaarden gebruik IT» Beschikbaarheid (tijdigheid)» Integriteit (juistheid, volledigheid)» Vertrouwelijkheid General IT Controls:» Garanderen werking IT systemen» Vertrouwen op application controls» Tijdige, juiste, volledige en veilige verwerking van gegevens 2019 NeoMorphose 18

19 IT Risk Assessments & Controls (2) IT Security Assessment» Beoordeling ingerichte beveiligingsmaatregelen (Information Security Risk Assessment)» DNB Self Assessment Informatiebeveiliging (58 COBIT controls, volwassenheidsniveau 3)» Penetratie testen en ethisch hacken (weerbaarheidstest tegen cyber criminaliteit) Beheerste IT omgeving is feitelijk toepassen van best practices voor IT ontwikkeling en operatie (ITIL/BISL/ASL, ISTQB/TMap, etc.)» Beleid, architectuur en trendbewaking» IT risk assessment & IT risk management framework» Organisatie, eigenaarschap, IT personeel, opleiding gebruikers» Processen (ontwikkel en test, BCM, Uitbestedingen, incidenten, monitoren, toegangsbeheer)» Technische maatregelen voor beschermen omgeving en afwenden cybercriminaliteit» Fysieke beveiliging (o.a. datacenter) 2019 NeoMorphose 19

20 Agile development & risicomanagement 2019 NeoMorphose 20

21 Agile development Incremental development & Minimal Viable Product (MVP) 2019 NeoMorphose 21

22 Agile ontwikkelmethodiek 2019 NeoMorphose 22

23 Risicomanagement Agile omgevingen Uitstel compliance, legal en risk (incl. informatiebeveiliging) Risicoanalyses beperken zich tot het onderdeel dat in een sprint is opgenomen Non-compliant MVP in productie Slechte aantoonbaarheid door slechte testdocumentatie Slechte onderhoudbaarheid door slechte systeemdocumentatie 2019 NeoMorphose 23

24 Suggesties Risicomanagement in Agile omgevingen 2019 NeoMorphose 24

25 Nog een awareness test Opdracht: Wie vermoorde Lord Smithe met een stomp voorwerp? 2019 NeoMorphose 26

26 Vragen? 2019 NeoMorphose 27

27 Stefan van de Giessen M O N TA E 28

28 Beheersing van IT-innovatie in de pensioensector De pensioenwereld verandert door. Veranderingen volgen elkaar op: AVG IORP II Het pensioenakkoord De vraag naar flexibele, veilige en robuuste IT-systemen neemt toe. Uitdaging: Veel verouderde systemen: toenemende kosten en veranderingen kosten veel (doorloop)tijd. Hoe deze te beheersen? Welke alternatieven zijn er? In hoeverre hebben deze alternatieven zich bewezen? DNB kaders - Good practice: robuuste pensioenadministratie en informatiebeveiliging 29

29 ICT is het hart van de pensioenuitvoering: Wat gebeurt er als daar iets mis gaat? Werkgevers Pensioenreglement Werknemers Pensioenfonds Mensen maken fouten, maar om er een puinhoop van te maken heb je een computer nodig. Uitbestedingsp artner Pensioen processen Hardware Administratie systemen ICT Database 31

30 De complexiteit en verspreiding van ICT: meerdere ICTharten in de pensioenuitvoering Werkgevers Pensioenreglement Werknemers Pensioenfonds Uitbestedings partner Uitbestedingsp artner Pensioen processen Uitbestedingsp artner Uitbestedings partner Pensioen processen Hardware Pensioen processen Pensioen processen Hardware Administratie systemen ICT Hardware Administratie systemen Hardware Administratie systemen ICT Database ICT Database ICT Database Administratie systemen Database 32

31 Vier tips waar u direct mee kunt starten Het pensioenbestuur is (eind)verantwoordelijk voor de innovatie en de beheersing daarvan, dit is niet over te dragen aan de uitbestedingsrelaties. 1. Onderzoek welke initiatieven lopen of gaan starten (bij uw uitbestedingsrelaties). 2. Creëer inzicht, identificeer fondskritische ICT. 3. Breng de niet-financiële risico s in kaart, ook focus op de IT risico s! 4. Beschik over een actueel IT-beleid: stel kaders, eisen, wensen en wees richtinggevend! 33

32 Tip 2: Creëer inzicht, identificeer fondskritische ICT Bestuur Custodian Vermogensbeheerder Pensioenadministrateur Adviserend en certificerend Actuaris Bestuursbureau Vergader applicatie Incasso partner Printpartner IT Partner Digitalise ringsinitiatief Risico herijking Accountant IT ontwikkelaar Escrow dienstverlener Hosting Software leverancier Welke kritische processen zijn afhankelijk van welke software en (onder-)uitbestedingen? Software ontwikkellaar Risicoacceptatie en grip: wat vindt u acceptabel? Beheersbare kaders en uitgangspunten stellen via IT-beleid Hosting 35

33 Vier tips waar u direct mee kunt starten Het pensioenbestuur is (eind)verantwoordelijk voor de innovatie en de beheersing daarvan, dit is niet over te dragen aan de uitbestedingsrelaties. 1. Onderzoek welke initiatieven lopen of gaan starten (bij uw uitbestedingsrelaties). 2. Creëer inzicht, identificeer fondskritische ICT. 3. Breng de niet-financiële risico s in kaart, ook focus op de IT risico s! 4. Beschik over een actueel IT-beleid: stel kaders, eisen, wensen en wees richtinggevend! 36

34 Tip 4: Beschik over een actueel IT-beleid: stel kaders, eisen, wensen en wees richtinggevend! Awareness 39

35 Bedankt voor uw aandacht