Nowe wymagania dla IT w bankach
-
- Andrzej Maciejewski,
- 22.01.2013
Nowe zalecenia KNF dla bankowej informatyki zebrały pozytywne opinie środowiska. Pojawiają się jednak głosy, że sprostanie wymaganiom w przewidzianym czasie może być trudne.
- strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego;
- rozwój środowiska teleinformatycznego;
- utrzymanie i eksploatacja środowiska teleinformatycznego;
- zarządzanie bezpieczeństwem środowiska teleinformatycznego.
Ostateczny tekst Rekomendacji D został przyjęty podczas posiedzenia Komisji Nadzoru Finansowego 8 stycznia 2013 r. Wcześniej projekt dokumentu, ogłoszony na początku października, był konsultowany ze środowiskiem bankowym i branżą IT. Konsultacje zakończono pod koniec października 2012. Do zgłaszania uwag zaproszono m.in. Związek Banków Polskich, Krajowy Związek Banków Spółdzielczych, Polską Izbę Informatyki i Telekomunikacji, Project Management Institute Poland Chapter oraz Accenture. W toku konsultacji, poszczególne podmioty zgłosiły od kilku do kilkudziesięciu uwag. "Komisja Nadzoru Finansowego uwzględniła większość z nich" - mówi Łukasz Dajnowicz z Departamentu Komunikacji Społecznej KNF. "Środowisko pozytywnie oceniło projekt Rekomendacji D".
"Przedstawiony do konsultacji dokument oceniamy bardzo wysoko. Zawarte w nim rekomendacje, jego struktura i użyte sformułowania świadczą o dogłębnej znajomości przedmiotu" - komplementowała na swojej stronie internetowej projektowane regulacje Polska Izba Informatyki Telekomunikacji (PIIT).
Z duchem czasu
Powody aktualizacji Rekomendacji D opisywaliśmy w październiku 2012 (Computerworld 27/2012), po ukazaniu się projektu dokumentu. Najważniejsze z nich to poprawa jakości zarządzania, nadzoru i poziomu bezpieczeństwa IT w bankach. Poprzednia Rekomendacja D obowiązywała od roku 2002. W tym czasie nastąpił znaczący postęp technologiczny i wzrosła zależność banków od systemów informatycznych.
Komisja Nadzoru Finansowego, o czym również pisaliśmy wcześniej, informuje, że w stosunku do poprzedniej wersji Rekomendacji D "wprowadzono zapisy dotyczące m.in. zarządzania danymi (w tym ich jakością), zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, systemu informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. przetwarzania w chmurze (ang. cloud computing). Zaktualizowano i doprecyzowano również oczekiwania nadzorcze dotyczące m.in. planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych, współpracy z zewnętrznymi dostawcami usług oraz zarządzania ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego. W zaleceniach znaczny nacisk położony został na zasadę proporcjonalności".
W końcu chmura
Pojawienie się w rekomendacji cloud computingu odnotowała Polska Izba Informatyki Telekomunikacji: "PIIT z zadowoleniem przyjmuje pomysł zmian w Rekomendacji D przygotowany przez Komisję Nadzoru Finansowego, uwzględniający powstanie nowego obszaru usług teleinformatycznych określanego jako cloud computing. Przedstawiciele Izby zastrzegają jednocześnie, że zdają sobie sprawę z ograniczeń i trudności we wprowadzaniu tej metody i powiązanych z nią technologii do praktyki bankowej. Wydaje się jednak, że racjonalizacja kosztów przetwarzania poprzez wykorzystanie cloud computing przy zachowaniu odpowiedniego poziomu jego bezpieczeństwa może być właściwym i uzasadnionym ekonomicznie rozwiązaniem w wybranych segmentach działalności bankowej" - napisali eksperci PIIT.
Banki analizują
Szefowie informatyki w bankach pytani przez nas o merytoryczną ocenę dokumentu oraz wskazanie obszarów, które będą wymagały największego nakładu pracy, aby osiągnąć zgodność z rekomendacją, najczęściej uchylali się od komentarza. Banki nie dokonały jeszcze szczegółowych analiz, które wykażą, gdzie ze względu na wprowadzenie rekomendacji konieczne będzie wprowadzenie zmian.
Na razie banki mają czas. KNF oczekuje, że zalecenia zostaną najpóźniej do końca przyszłego roku. We październikowym projekcie dokumentu zakładano, że stanie się to do 31 grudnia 2013 r. "Zależy nam na tym, żeby banki rzetelnie wdrożyły rekomendację. Stąd adekwatny okres przejściowy, z tym że w najbliższym czasie będziemy zwracać się do banków o przekazanie harmonogramów wdrożenia zaleceń KNF" - mówi Łukasz Dajnowicz.
Pierwotna wersja nowelizacji Rekomendacji D była na wysokim poziomie - zgłaszane uwagi dotyczyły raczej podejścia do wdrożenia lub też detali np. kształtu pojedynczych zapisów. Ostatecznie dokument zawiera ponad 50 stron szczegółowych zaleceń będących kompilacją dobrych praktyk, które w ostatnich latach stały się standardem w wiodących bankach oraz wniosków Regulatora z dotychczasowych inspekcji polskich banków. Można dyskutować, czy dwa lata, by dorównać do najlepszych banków to nie za mało, trudno jednak zarzucić którejś z rekomendacji, że jest bezcelowa.
Accenture zgłosiło dwa rodzaje uwag: strategiczne - dotyczące zmiany terminu i podejścia do wdrożenia Rekomendacji oraz zwracające uwagę na koszty i ryzyka związane z procesem dostosowania banków do zaleceń KNF. Druga grupa to ok. 50 uwag lub propozycji zmian w treści, które wynikają z doświadczeń Accenture i ze znajomości sektora.
Zważywszy na obszerność i szczegółowość dokumentu, większość banków w celu osiągnięcia zgodności z Rekomendacją będzie musiała podjąć się wdrożenia różnej skali projektów obejmujących technologię i kwestie organizacyjne. Największe wyzwanie dla banków mogą stanowić obszary: zarządzanie jakością danych, adekwatne raportowanie z obszarów IT i Bezpieczeństwa, bezpieczeństwo urządzeń końcowych i elektronicznych kanałów dostępu.
