Modell for analyse av IT risiko i bank
Master thesis
Permanent lenke
http://hdl.handle.net/11250/184018Utgivelsesdato
2013-06-17Metadata
Vis full innførselSamlinger
Sammendrag
IKT (Informasjons- og kommunikasjonsteknologi) har forandret risikobildet for finansielle institusjoner dramatisk, fra å behandle kontanter over skranke til elektronisk overføring av penger via smarttelefoner. Utviklingen skjer raskt og bankenes utvikling med hensyn til nye produkter er i stor grad teknologidrevet. IT gjør det mulig å flytte store beløp uten at angriper er fysisk i nærheten av banken eller nettbankkundene som rammes. Endringer i kildekode eller implementering av ondsinnet programvare gjør det mulig å stjele mange små beløp fra et stort antall kontoer nærmest ubemerket, eller et stort beløp der hvor kontroller for beløpsgrense mangler eller er satt ut av drift.
IT er ikke bare en risiko med hensyn til direkte økonomisk tap som følge av urettmessig tilgang, men innebærer også risiko for kritiske systemfeil som kan føre til tap av data eller system utilgjengelighet over lengre tid. Avisene forteller stadig om mer eller mindre alvorlige hendelser hvor nettbank eller kortbetaling er satt ut av drift både for private kunder og bedrifter.
IT svikt er en del av operasjonell risiko (oprisk). Med reguleringene i soliditetsverket Basel II ble bankene pålagt å måle operasjonell risiko på lik linje med kredittrisiko og markedsrisiko. Men, det å identifisere og måle operasjonell risiko, som IT risiko er en del av, har vist seg å være vanskelig. Bankenes metoder for kvantifisering av kredittrisiko og markedsrisiko har vært brukt som utgangspunkt, men har vist seg å ikke være egnet for oprisk. Oprisk som faget er i utvikling og det samme er metodene for oprisk styring og kvantifisering. Det er behov for økt kunnskap omkring styring av IKT-risiko og verktøy for kvantifisering av risikoeksponeringen. I denne oppgaven vil forfatteren prøve å gi et bidrag på det området.
Problemstillingen i oppgaven er å utarbeide en kvantitativ modell for analyse og måling av IKT-risiko på AMA-nivå, herunder beregning av økonomisk tap. For å kunne utarbeide en modell var det nødvendig å kartlegge bankenes rammebetingelser for IKT-styring og informasjonssikkerhet, samt å identifisere de mest kritiske IKT-hendelsene i banknæringen.
De mest kritiske IKT-relaterte initierende hendelsene er identifisert og en kvantitativ modell for analyse og måling av IKT risiko er utarbeidet. Funnene i denne oppgaven viser at Bayesianske nettverk er velegnet til formålet. BN som risikostyringsverktøy gir beslutningsstøtte på essensielle spørsmålene som; er risikoen er høy eller lav, hvilke påvirkende faktorer er mest kritiste, hva forskjellen er i risikoeksponering med hensyn til ulike løsninger og i tillegg hvilken risikoreduserende effekt som kan oppnås ved ulike risikoreduserende tiltak.
BN vil på en god måte kunne håndtere både de tekniske og menneskelige aspektene ved styring og måling av IKT-risiko.
Beskrivelse
Master's thesis in Finance