Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBankowość, ubezpieczenia i rynki kapitałoweWytyczne IT Komisji Nadzoru Finansowego (2/3)
picjumbo.com_IMG_5992

Wytyczne IT Komisji Nadzoru Finansowego (2/3)

by on 11 lutego 2015in Bankowość, ubezpieczenia i rynki kapitałowe, Doradztwo IT, Zgodność regulacyjna

Jak rozpocząć implementację Wytycznych IT KNF? 

Podobnie jak w przypadku Rekomendacji D dla banków, czas na implementację Wytycznych IT został wyznaczony na 2 lata. W celu mobilizacji podmiotów objętych nowymi regulacjami Urząd Komisji Nadzoru Finansowego zdecydował się na okresowe śledzenie postępów prac z wykorzystaniem ankiet samooceny rozsyłanych do uzupełnienia co 6 miesięcy. Pierwsze badanie stopnia zgodności zostanie przeprowadzone w połowie 2015 roku. W związku z powyższym oraz faktem, że zakres Wytycznych obejmuje swym zakresem praktycznie wszystkie obszary funkcjonowania IT, warto możliwie jak najwcześniej rozpocząć przygotowania. Należy również wziąć pod uwagę, że znaczna cześć prac wymaganych do realizacji w celu zapewnienia pełnej zgodności z Wytycznymi IT KNF może przekraczać kompetencje nawet rozbudowanych i licznych zespołów IT. W takim przypadku niezbędne będzie wykorzystanie wsparcia zewnętrznego, którego dostępność, w szczególności blisko terminu wskazanego przez KNF może być mocno ograniczona.

Praca nad Wytycznymi IT KNF przypomina opracowanie Strategii IT, ponieważ porusza zagadnienia związane praktycznie z całym środowiskiem IT obejmując dodatkowo obszary biznesowe. Podobnie jak w przypadku Strategii IT, pracę nad zapewnieniem zgodności z Wytycznymi IT KNF mogą zostać podzielone na trzy fazy:

  • Faza 1: Audyt obecnego stanu środowiska IT, określenie obszarów niezgodności i zdefiniowanie rekomendacji działań dostosowawczych,
  • Faza 2: Opracowanie planu realizacji działań dostosowawczych do Wytycznymi IT KNF,
  • Faza 3: Realizacja planu działań dostosowawczych zapewniających osiągnięcie pełnej zgodności z Wytycznymi IT KNF.

 Faza 1: Audyt obecnego stanu środowiska IT

Pierwszym rekomendowanym krokiem jest wykonanie analizy stanu obecnego środowiska teleinformatycznego pod kątem bieżącej zgodności z Wytycznymi IT KNF. Wytyczne IT KNF są na tyle szczegółowe, że niezbędne jest wykonanie audytu na poziomie poszczególnych podpunktów wytycznych. Oznacza to konieczność poświęcenia znacznego nakładu pracy oraz posiadania szerokich kompetencji poczynając od organizacyjno – procesowych po infrastrukturę, systemy i stricte zagadnienia bezpieczeństwa IT. Opracowanie szczegółowego audytu jest również ważne ze względu na konieczność raportowania do Regulatora na poziomie podpunktów Wytycznych IT KNF. W celu wykonania audytu niezbędne jest zgromadzenie informacji w oparciu o wiele źródeł, m.in.:

  • Analiza dostępnej dokumentacji (dokumentacja zarządcza, techniczna, raporty i inne formy dowodów stosowania),
  • Wywiady z osobami odpowiedzialnymi za poszczególne obszary IT,
  • Wywiady z użytkownikami końcowymi wewnętrznych usług IT.

Poniżej przedstawiamy przykładowy wyciąg z Wytycznych IT KNF (wytyczne nr 10 oraz 11) wraz z zakresem prac rekomendowanych do wykonania w ramach audytu.

Rys. 1. Zakres prac do wykonania w ramach analizy zgodności z Wytycznymi IT KNF dla wytycznych nr 10 i 11

wytyczne_3

Jednym z istotniejszych aspektów przy definiowaniu produktów dostosowawczych, w tym w szczególności ich zakresu i podejścia do realizacji, jest uwzględnienie rzeczywistych potrzeb i skali działania firmy, przy jednoczesnym zachowaniu pełnej zgodności z Wytycznymi IT KNF.

Na przykładzie Strategii IT, będącej jednym z produktów wytycznej KNF nr 3, warto zauważyć, że jest ona dokumentem bardzo wrażliwym na skalę działania przedsiębiorstwa i poziom skomplikowania IT. Niezależnie jednak od skali organizacji Strategia IT powinna mieć charakter pisemny, formalnie przyjęty przez władze podmiotu oraz powinna być dokumentem żywym i regularnie aktualizowanym.

Rys. 2. Zakres dokumentu Strategii IT w zależności od skali działania organizacjiwytyczne_4

Głównym celem audytu jest wskazanie luk pomiędzy stanem obecnym a Wytycznymi IT KNF oraz wskazanie obecnego poziomu spełnienia poszczególnych wytycznych w postaci oceny procentowej. Ważnym elementem audytu jest, oprócz wskazania luk, definicja zakresu działań mających na celu doprowadzenie do pełnej zgodności z Wytycznymi IT KNF. Mając zdefiniowane rekomendacje działań można przejść do opracowania planu ich implementacji, spełniającego warunki niezbędne dla zagwarantowania jego pomyślnej realizacji, tj. uwzględniającego:

  • Oszacowanie pracochłonności realizacji poszczególnych zadań,
  • Przyporządkowanie osób odpowiedzialnych za realizację poszczególnych zadań,
  • Zbilansowanie pracochłonności zadań z dostępnością czasową osób odpowiedzialnych,
  • Uwzględnienie zależności między poszczególnymi wytycznymi podczas ustalania kolejności realizacji działań dostosowawczych,
  • Zapewnienie odpowiedniego wsparcia dla realizacji projektu dostosowawczego po stronie Zarządu,
  • Zapewnienie środków technicznych i finansowych niezbędnych do sprawnego przeprowadzenia prac.

W przypadku wielu podmiotów będzie to prawdopodobnie pierwszy przeprowadzony audyt środowiska IT. Warto wykorzystać ten fakt do uporządkowania i usprawnienia funkcjonowania obszaru IT nie tylko zgodnie z wymaganiami Wytycznych IT KNF, ale również z wymaganiami strony biznesowej. Może się okazać, że przy okazji realizacji zadań wynikających wprost z Wytycznych IT KNF wystarczy wykonać niewielką pracę w celu uzyskania znacznie większych korzyści z perspektywy rzeczywistych potrzeb przedsiębiorstwa.

W kolejnym artykule opiszemy, w jaki sposób przygotować plan osiągnięcia zgodności z Wytycznymi IT KNF oraz jego implementację.

Share this article
0
Tags: , , , , , ,

Written by

The author didnt add any Information to his profile yet

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij