Wydana przez Komisję Nadzoru Finansowego w styczniu 2013r., na podstawie art. 137 pkt 5 ustawy z dnia 29
sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.)
nowa „Rekomendacja „D” dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym
i telekomunikacyjnym używanym przez banki” zastępuje „Rekomendację D”
opracowaną i wydaną w 2002 r. Postęp technologiczny, w szczególności rozwój
cloud computing także i w bankowości oraz pojawienie się nowych ryzyk
operacyjnych związanych ze stosowaniem IT w bankach sprawiła, że dotychczasowe
rozwiązania stały się niewystarczające i zaistniała konieczność nowego uregulowania
ochrony przed ryzykami związanych z procesami IT w bankach. Zakres wykorzystania
IT w bankowości, w szczególności informatyzacja back-office i front-office
sprawił, iż na standardowy podział służb i ryzyk bankowych trzeba nałożyć
podział na służby i ryzyka związane z nowymi technologiami. Jednocześnie
znacząco zwiększyła się rola tych technologii w systemie funkcjonalnym i
biznesowym banku. W konsekwencji ryzyko operacyjne banku, które jest związane z
profilem banku i jego rozmiarami zostało odpowiednio zmienione przez
wykorzystywane systemy IT. Trzeba to
było uwzględnić w Rekomendacji.
Niezależnie od ryzyk związanych w informatyzacją Back-Office i
Front-Office do nowych ryzyk doszło w szczególności w skutek rozwoju świadczenia
usług w internecie, wdrażania sieciowych systemów centralnych i sieci wiążących
banki w skali kraju i świata. Pojawiły się ryzyka włamań do systemu, ryzyka luk
systemu, ryzyka przekłamań informacji. Rekomendacja wydana w roku 2002, w
oparciu o stan technologii tego okresu, nie mogła być oparciem dla działań
minimalizujących ryzyko w roku 2014.
Należy podkreślić, iż w systemie źródeł prawa
pozytywnego Rekomendacja „D” nie stanowi źródła prawa, czyli można powiedzieć,
że Rekomendacja „D” nie jest „prawem”, ale ze względu na funkcjonowanie organu
nadzoru, który będzie badał banki pod kątem zgodności ich systemu zarządzania ich ryzykiem
operacyjnym z oczekiwaniami UKNF, wskazane jest dostosowanie systemów
zarządzania ryzykiem informatycznym do zapisów Rekomendacji „D”. Komisja
Nadzoru Finansowego zakłada, że banki wdrożą Rekomendację w terminie do 31
grudnia 2014 r. Po tym okresie kontrole banków będą obejmowały zgodność
zarządzania ryzykiem operacyjnym IT z Rekomendacją „D”.
Rekomendacja „D” zawiera 22 rekomendacje szczegółowe,
obejmujące cztery „obszary ryzyk” środowiska teleinformatycznego, a mianowicie:
1) Obszar „strategia
i organizacja obszarów technologii informacyjnej i bezpieczeństwa”,
2) Obszar „rozwój
środowiska IT”,
3) Obszar „utrzymanie
i eksploatacja IT ”,
4) Obszar „zarządzanie
bezpieczeństwem IT”.
SC