Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBankowość, ubezpieczenia i rynki kapitałoweWytyczne IT KNF – aktualny stopień zgodności i stan prac
JT_Weston_wytyczne_IT_KNF_infografika_p

Wytyczne IT KNF – aktualny stopień zgodności i stan prac

by on 19 maja 2016in Bankowość, ubezpieczenia i rynki kapitałowe, Doradztwo IT, Zgodność regulacyjna

Zostało ok. 6 miesięcy na zapewnienie przez podmioty sektora finansowego (zakłady ubezpieczeń i reasekuracji, towarzystwa funduszy inwestycyjnych, biura maklerskie, towarzystwa emerytalne, podmioty infrastruktury rynku kapitałowego) zgodności z Wytycznymi IT KNF. To niewiele czasu dla podmiotów, które prace wdrożeniowe planują dopiero rozpocząć. Należy bowiem pamiętać, że ostatnie tygodnie roku powinny zostać przeznaczone na audyt zamknięcia i realizację ewentualnych działań korygujących. Samo posiadanie dokumentacji nie świadczy jeszcze, że organizacja jest zgodna z Wytycznymi IT KNF. Oczywiście zarządzający podmiotem mogą podjąć ryzyko (czy niejednokrotnie nie mieć wyboru ze względu na ograniczenia czasowe), że audyt zamknięcia zostanie przeprowadzony już w nowym roku, a w wersji „high risk”, że audyt zamknięcia przeprowadzi zespół KNF podczas kontroli.

Dla zobrazowania ilości pracy do wykonania podczas implementacji Wytycznych IT KNF zespół JT Weston przygotował krótką infografikę, bazującą na wynikach prac audytowych (wzięto pod uwagę wyłącznie audyty otwarcia, tj. prowadzone przed rozpoczęciem prac implementacyjnych) oraz projektów wdrożeniowych przeprowadzonych w ponad 20 podmiotach regulowanych (od niewielkich organizacyjnie TFI po duże zakłady ubezpieczeń).

Należy przy tym nadmienić, że wskazane w poniższej grafice dane zakładają, że celem realizacji prac wdrożeniowych nie jest wyprodukowanie dokumentacji pozornie wskazującej, że wdrożono wymagane polityki i procedury, a faktyczne wdrożenie zmian organizacyjnych, procesowych i technologicznych dostosowujących organizację do Wytycznych IT KNF oraz podnoszących poziom jakości i bezpieczeństwa świadczonych przez podmiot usług. Wydaje się, że takiego podejścia nie trzeba dodatkowo uzasadniać, ale odpowiadając na pojawiające się zapytania z rynku wskazujemy dwa kluczowe argumenty:

  1. Tylko wdrożenie obejmujące swym zakresem zmiany organizacyjne, procesowe i technologiczne dostarczy niezbędnych dowodów stosowania, będących dla KNF jedną z głównych podstaw do stwierdzenia, że dany podmiot faktycznie dostosował organizację do Wytycznych IT,
  2. Tylko wdrożenie obejmujące swym zakresem zmiany organizacyjne, procesowe i technologiczne zapewni odczuwalny wzrost poziomu jakości i bezpieczeństwa świadczonych usług. Wdrożenie Wytycznych IT praktycznie w każdym przypadku będzie wymagało poniesienia dodatkowych nakładów. Skoro więc musimy wydać pieniądze to wydajmy je w sposób racjonalny i maksymalizujący zwrot z inwestycji.

Jak odróżnić wdrożenie faktyczne od pozornego? To tylko kilka przykładów podejścia do wdrożenia (zależnych od skali organizacji i złożoności środowiska teleinformatycznego):

  • Wytyczna 2 – system informacji zarządczej zawiera wzory raportów (czy to w dedykowanych systemach, czy arkuszach kalkulacyjnych) oraz procedury ich sporządzania i dystrybucji, a nie tylko procedurę stwierdzającą, że Zarząd i Rada Nadzorcza „są informowani” w danym zakresie,
  • Wytyczna 8 – zasady zarządzania danymi definiują role i procesy niejednokrotnie wsparte narzędziami automatyzującymi przepływ pracy (np. zgłoszenie incydentu o błędzie danych zaimplementowane w procesie i narzędziach zarządzania incydentami IT (np. JIRA, Mantis, Redmine), przegląd jakości danych inicjowany i monitorowany automatycznie w systemie typu workflow / BPMS), a nie tylko wskazują właścicieli danych i nakazują im „zarządzać danymi”,
  • Wytyczna 9 – wdrożenie rozwiązania klasy IDS / IPS (których ceny zaczynają się już od 1 tys. zł) zamiast stwierdzeń, że „nasza organizacja nie potrzebuje tego typu narzędzi”,
  • Wytyczna 19 – sklasyfikowanie każdej informacji z określeniem poziomów jej krytyczności ze względu wymaganych dla tej informacji atrybutów bezpieczeństwa (w szczególności poufności, dostępności i integralności) ze wskazaniem adekwatnego poziomu zabezpieczeń zamiast stwierdzenia, że „przetwarzamy dane osobowe i posiadamy politykę ochrony danych osobowych”,
  • Rozważenia zasadności – analiza podsumowana raportem (choćby na 1 stronę) wskazującym, że wzięto pod uwagę aspekty ryzyk, kosztów i korzyści, na podstawie których Zarząd podjął decyzję, że nie znajduje uzasadnienia dla przeprowadzenia danych prac zamiast gołosłownych stwierdzeń, że „w wyniku analizy Towarzystwo odstępuje od implementacji”.

Mamy nadzieję, że powyższe wskazówki oraz załączona grafika okażą się dla Państwa przydatne podczas planowania, jak również w trakcie realizacji dalszych prac nad Wytycznymi IT KNF. W przypadku dodatkowych pytań zachęcamy do pozostawienia komentarza pod artykułem lub do kontaktu bezpośredniego za pomocą danych kontaktowych wskazanych na stronie.

Wytyczne IT KNF – infografika

Wytyczne IT KNF – aktualny stopień zgodności i stan prac

 

Załączamy również infografikę w wersji pdf dla osób chcących podzielić się jej treścią ze współpracownikami.
Wytyczne IT KNF – infografika (plik .pdf)

Niniejszy wpis oraz załączone do niego dokumenty zawierają informacje, koncepcje lub/i opis metodyk stanowiących własność intelektualną JT Weston sp. z o.o. Informacje te mogą być wykorzystane przez czytelnika w celach komercyjnych z zastrzeżeniem, że podczas ich przetwarzania oraz udostępniania zachowana zostanie informacja, że autorem materiałów jest JT Weston sp. z o.o.

Share this article
0
Tags: , , , , , ,

Written by

The author didnt add any Information to his profile yet

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij