„Co oznacza Rekomendacja „D” Komisji Nadzoru Finansowego w praktyce?”

Wydana przez Komisję Nadzoru Finansowego w styczniu 2013r.,  na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.) nowa „Rekomendacja „D” dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki” zastępuje „Rekomendację D” opracowaną i wydaną w 2002 r. Postęp technologiczny, w szczególności rozwój cloud computing także i w bankowości oraz pojawienie się nowych ryzyk operacyjnych związanych ze stosowaniem IT w bankach sprawiła, że dotychczasowe rozwiązania stały się niewystarczające i zaistniała konieczność nowego uregulowania ochrony przed ryzykami związanych z procesami IT w bankach. Zakres wykorzystania IT w bankowości, w szczególności informatyzacja back-office i front-office sprawił, iż na standardowy podział służb i ryzyk bankowych trzeba nałożyć podział na służby i ryzyka związane z nowymi technologiami. Jednocześnie znacząco zwiększyła się rola tych technologii w systemie funkcjonalnym i biznesowym banku. W konsekwencji ryzyko operacyjne banku, które jest związane z profilem banku i jego rozmiarami zostało odpowiednio zmienione przez wykorzystywane  systemy IT. Trzeba to było uwzględnić w Rekomendacji.

Niezależnie od ryzyk związanych w informatyzacją Back-Office i Front-Office do nowych ryzyk doszło w szczególności w skutek rozwoju świadczenia usług w internecie, wdrażania sieciowych systemów centralnych i sieci wiążących banki w skali kraju i świata. Pojawiły się ryzyka włamań do systemu, ryzyka luk systemu, ryzyka przekłamań informacji. Rekomendacja wydana w roku 2002, w oparciu o stan technologii tego okresu, nie mogła być oparciem dla działań minimalizujących ryzyko w  roku 2014.

Należy podkreślić, iż w systemie źródeł prawa pozytywnego Rekomendacja „D” nie stanowi źródła prawa, czyli można powiedzieć, że Rekomendacja „D” nie jest „prawem”, ale ze względu na funkcjonowanie organu nadzoru, który będzie badał banki pod kątem  zgodności ich systemu zarządzania ich ryzykiem operacyjnym z oczekiwaniami UKNF, wskazane jest dostosowanie systemów zarządzania ryzykiem informatycznym do zapisów Rekomendacji „D”. Komisja Nadzoru Finansowego zakłada, że banki wdrożą Rekomendację w terminie do 31 grudnia 2014 r. Po tym okresie kontrole banków będą obejmowały zgodność zarządzania ryzykiem operacyjnym IT z Rekomendacją „D”.

Rekomendacja „D” zawiera 22 rekomendacje szczegółowe, obejmujące cztery „obszary ryzyk”  środowiska teleinformatycznego, a mianowicie:

1)      Obszar „strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa”,

2)      Obszar „rozwój środowiska IT”,

3)      Obszar „utrzymanie i eksploatacja IT ”,

4)      Obszar „zarządzanie bezpieczeństwem IT”.

SC