Z Rekomendacją D w banku bezpieczniej

0

Na koniec 2014 roku Komisja Nadzoru Finansowego wyznaczyła ostateczny termin wdrożenia przez banki w Polsce zaleceń ujętych w Rekomendacji D. Czasu jest coraz mniej, a rzetelne i kompleksowe wprowadzenie zmian wymaga znaczących nakładów pracy, nie tylko wewnątrz samej organizacji, ale w całym obszarze działania informatyki, uwzględniając współpracę z dostawcami usług IT. Warto o tym pamiętać, bo chodzi nie tylko o bezpieczeństwo zasobów informatycznych banku, ale przede wszystkim o bezpieczeństwo i jakość obsługi jego klientów.

Znaczący postęp rozwoju technologii i wyraźny wzrost zależności banków od stosowanych rozwiązań teleinformatycznych wymógł na KNF znowelizowanie obowiązującej do końca 2012 roku wersji Rekomendacji D. Z początkiem ubiegłego roku Komisja opublikowała nową wersję dokumentu, a na wprowadzenie zawartych w nim zaleceń dała bankom czas do 31 grudnia 2014.

Implementacja zaktualizowanej Rekomendacji służyć ma przede wszystkim poprawie jakości zarządzania i poziomu bezpieczeństwa IT, a także, co równie ważne, usprawnieniu nadzoru w tych obszarach. Celem jest więc skuteczniejsze zarządzanie ryzykiem związanym z niepewnością w zakresie zrównoważonego, efektywnego i przede wszystkim bezpiecznego wspierania działalności banku przez jego teleinformatyczne środowisko. – Z tego też powodu Rekomendacja D powinna być traktowana jako komplementarne uzupełnienie dotyczącej zarządzania ryzykiem operacyjnym Rekomendacji M – tłumaczy Agnieszka Frommholz, IT Group Director w Baker Tilly Poland.

Najważniejsze kompleksowe spojrzenie
Jak pokazują dotychczasowe obserwacje, postawy banków wobec rekomendacji nie są jednorodne. Największe podmioty nierzadko traktują ją jako listę praktyk, które przynajmniej w pewnym zakresie już stosują. Inne postrzegają ją jako katalog zaleceń, który trzeba wziąć pod rozwagę, jednak minimalizują przy tym koszty związane z ich wdrożeniem. Takie podejście może ostatecznie prowadzić do implementowania rozwiązań fragmentarycznych, a tym samym mniej skutecznych.

Okazuje się bowiem, że banki częstokroć realizują zalecenie do rekomendacji jako szereg niepowiązanych ze sobą inicjatyw. Tymczasem, wdrożenie jej jako jednego projektu lub programu może przynieść znacznie większe korzyści, zarówno pod kątem bezpieczeństwa i jakości usług dla klientów, jak i uporządkowania procedur. – Zintegrowane działania przekładają się także na przejrzystość procesów oraz lepszy dostęp kierownictwa do informacji, a co za tym idzie do zbudowania skutecznych mechanizmów decyzyjnych dla Najwyższego Kierownictwa – wyjaśnia ekspertka Baker Tilly Poland.

Czytaj również:  Cube.ITG planuje emisję do 10 mln akcji celem obniżenia zobowiązań i pozyskania kapitału obrotowego

Na rynku funkcjonują również podmioty, dla których wdrożenie rekomendacji jest szansą na wprowadzenie nowoczesnego zarządzania architekturą IT. W dużej mierze są to banki spółdzielcze. Traktując proces zmian jako kompleksowy projekt, bank może nie tylko spełnić wymagania KNF, ale też dostosować się do wymogów stawianych na przykład przez GIODO, czy do audytów bezpieczeństwa danych (ISO27001), a nawet audytów finansowych (SarOX).