V úterý 24. ledna 2008 oznámila jedna z největších bank světa Société Générale, že odhalila zpronevěru ve výši 4,9 miliardy euro, největší, kterou kdy způsobil jeden jediný člověk. Široce medializovaná kauza ale nezodpověděla některé klíčové bezpečnostní otázky.
Vedení společnosti označilo za jediného viníka Jérôma Kerviela, 31letého obchodníka s cennými papíry. Na jeho adresu nešetřili výkonní činitelé slovy hany a odsouzení s tím, že se mu prý dařilo po dlouho dobu obcházet sofistikované vrstevnaté zabezpečovací systémy, že dotyčný měl velké znalosti o vnitrobankovních procedurách, jejím auditu, z vysokých míst se mu dokonce dostalo označení „počítačový génius“, který překonal pět kontrolních bariér.
Takové nálepky a komentáře jsou pochopitelné – kdo by chtěl připustit, že nějaký obchodníček připravil banku o bezmála pět miliard eur? Podle managementu společnosti to prostě musel být někdo s takřka nadpozemskými znalostmi a schopnosti. Neobešel totiž jen systémy počítačové, ale podvod se mu dařilo skrývat i před pracovníky banky, kontrolory i kolegy.
Ani všemožné vykrucování ale nepomohlo a v bance padaly hlavy. Nový šéf obchodu s deriváty banky to vcelku výstižně komentoval slovy: „Jérôme Kerviel je sice velmi chytrý, to ale není omluva, protože oni (lidé v bance) musejí být ještě chytřejší.“
Société Générale není nicotná kampelička, je to obrovská banka se 120 tisíci zaměstnanci a 22,5 miliony zákazníků. V uplynulých desetiletích měla dost času vyvinout odolné kontrolní mechanismy, postupy a samozřejmě investovat velké sumy do informačních systémů – informační systémy bank koneckonců patří k těm nejdražším a nejbezpečnějším na světě. Société Générale dokonce v lednu dostala ocenění časopisu Risk za své schopnosti při řízení finančních rizik.
Uvedený případ není jediným, prvním ani posledním, v němž prostě bezpečnost informačních systémů selhala a práce managementu s rizikem skončila totálním fiaskem.
Expert na kryptografii a bezpečnost Bruce Schneier říká, že zatímco například matematické principy stojící za 128bitovým šifrováním jsou samy o sobě perfektní, když dáme tento perfektní systém do reálného, nedokonalého světa, nemůže prostě fungovat bezchybně. Naráží na chyby v hardwaru, v softwaru, na problémovou implementaci do systému a samozřejmě na lidské chyby, mezi ty základní řadí volbu slabého přístupového hesla. Lidé prostě nejsou stroje a občas výborné bezpečnostní nápady vedou spíše k horšímu výsledku, například snaha nutit pravidelně uživatele měnit heslo nejednou vyústí v to, že aby byl schopen si nová hesla stále pamatovat, volí je triviální, popřípadě si je dokonce začne někam zapisovat.
Vraťme se k Société Générale. Krátce řečeno, šlo o sled fatálních zanedbání povinností, přehlédnutí, systémových selhání a dalších věcí, které jsou noční můrou každého CIO. Mechanizmy kontroly finanční i IT byly překonány člověkem, který měl dostatečné znalosti fungování vnitřní kontroly i informačních systémů, ale který nebyl nějakým superzloduchem z filmů Jamese Bonda.
Manažeři mnohých firem by se nyní měli ptát:„Může se to stát i nám? A co udělat, aby se to nestalo?“
Taková vnitřní analýza se může zastavit už prostě na tom, že manažeři nemusejí vůbec vědět, kde mají slabá místa. A i když to vědí, Société Générale to přeci také věděla, také měla zpracovanou důkladnou analýzu, nemusí to stačit. A mnozí lidé ani nechtějí vědět, že v jejich firmě či dokonce v rámci jejich pracovních kompetencí jsou nějaká riziková místa. Nevědomost je přeci tak sladká.
V reakci na bankovní skandál se několik bývalých manažerů řízení rizik nechalo ve Wall Street Journalu slyšet, že finanční instituce jsou nechvalně známé tím, že v období prosperity oslabují kontrolu rizik. Jakmile se tedy finanční trhy ochladí, zpřísní se i kontrola, a slabší hospodářské výsledky se stávají ještě horšími spolu s tím, jak začnou vypadávat kostlivci ze skříní.
Společným prvkem několika velkých bankovních skandálů posledního desetiletí je, že dané banky intenzivně operovaly na trhu s finančními deriváty, nejinak tomu je i u Société Générale. Takové obchody vyžadují obchodníky s relativně volným polem působnosti, ti pak investují peníze banky do řady opčních a futures obchodů, uzavírají protiobchody, snaží se zkrátka sestavit „své“ portfolio tak, aby byli zajištěni proti rizikům, a přitom aby vydělali. Jenže takové obchodování vyžaduje rizikové chování a také láká lidi, kteří k němu inklinují, při jisté míře abstrakce lze potom celý tento systém označit za velkou ruletu, kde jedni vyhrají a druzí prohrají. A kdo se nechce s prohrou smířit, bude se ji snažit krýt a nelegálně čerpat zdroje (když mu to banka umožní) na své další investováním doufaje, že další otočení rulety mu vše vynahradí. Jako u patologických hráčů.
Jedním z problémů zmiňovaných v této souvislosti je nedostatečná interakce mezi manažery pro řízení rizik a mezi IT oddělením, které zase zabezpečuje rizika informačního systému. Každá skupina tak může mít dojem, že jejich pracovní oblast je dobře zabezpečená, přitom nevidí, jak by ji mohla ohrozit nedostatečnost systému druhého.
Oddělenost systémů se ukázala být kritickou i v případě Société Générale. Vnitřní vyšetřování v bance ukázalo, že během dvou let vzešlo od účetních, kontrolorů rizik a dalších zainteresovaných osob minimálně 75 varování, která se týkala aktivit Jérôma Kerviela. Následná analýza hezky přehledně ukázala , kdy a kde měly být aktivity obchodníka zastaveny, tedy kdy měli manažeři reagovat na poplašné zprávy ze strany vnitřní kontroly.
Jenže se tak nestalo. Kerviel například naboural bezpečnostní systém a systém kontroly přístupu, což mu umožnilo přivlastnit si jména a přístupová hesla svých kolegů. Scott Crawford, bezpečnostní expert a ředitel výzkumu v Enterprise Management Associates (EMA), k tomu říká, že jestliže ve vrcholovém vedení organizace nejsou dostatečně oddělení ti, kteří používají a řídí IT a ti, již jsou zodpovědní za jejich kontrolu, potom tato kontrola prostě není efektivní.
Vrcholní manažeři firem by se z vývoje v Société Générale měli poučit a klást si otázky ohledně svých IT a řízení rizik.
Mohly by znít například takto:
?Byl bych schopen rozpoznat neobvyklé jevy, které by naznačovaly, že jsem vystaven většímu riziku, než je právě zřejmé? Dějí se události odhalitelné IT systémem, které by mohli říci, že se právě odehrává něco, co mne ohrožuje? Je-li tomu tak, jaké neobvyklé jevy, identifikátory bych měl hledat?
?Jsou optimálně nastavena oprávnění a privilegia pro vysoce postavené zaměstnance a zaměstnance podnikající riskantní operace? Nebo jsou příliš široká? Mají některé pracovní pozice či jednotlivci pravomoci, jejichž míra by odporovala odpovídajícímu bezpečnostnímu oddělení povinností? Je jejich počínání dostatečně průhledné? A jak účinná je kontrola zajišťující, že oddělení povinností může být efektivně vymáháno?
?Jaké jsou neobvyklosti v chování, které by naznačovaly, že jsem vystaven většímu riziku? Jaká je šance, že systémy pod mou kontrolou, respektive identifikátory rizika, mohou být napadeny, takže jsou neefektivní? A jakými metodami mohu zajistit efektivnější kontrolu, přitom stále využívat nové obchodní příležitosti?
Co se týče kontroly a bezpečnosti, mají svá omezení a limity lidé i technologie. Nicméně jsou věci prvořadé důležitosti, na které by si každý manažer řízení rizik (i každý CIO) měl dávat pozor, mezi hlavní patří sdílení přístupových práv mezi vysoce postavenými zaměstnanci.
Společnosti by měly dobře zvážit míru, v jaké na jedné straně poskytují svým zaměstnancům volnost v obchodní činnosti a na druhé straně jakému riziku je tato volnost vystavuje. A volností v tomto případě rozumíme jak pozitivní momenty plynoucí z využívání příležitostí, tak osobní zisk zaměstnanců v podobě jejich pohodlnosti, v možnosti spoléhat se na nastavený systém.
Článek je z Business Worldu 6/2008.
PŘEDPLATNÉ
ČLÁNKY DO MAILU