Go to ...

biznes-gospodarka.plportal.pl

Reklama

Co oznacza Rekomendacja D Komisji Nadzoru Finansowego w praktyce?


rekomendacja
Nowa Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, wydana przez Komisję Nadzoru Finansowego w styczniu 2013r., na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.), zastępuje Rekomendację D opracowaną i wydaną w 2002 r. Postęp technologiczny, w szczególności rozwój cloud computingu także w bankowości, oraz pojawienie się nowych ryzyk operacyjnych związanych ze stosowaniem IT w bankach sprawiły, że dotychczasowe rozwiązania stały się niewystarczające i zaistniała konieczność nowego uregulowania ochrony przed ryzykami związanymi z procesami IT w bankach. Poszerzenie zakresu wykorzystania IT w bankowości, w szczególności informatyzacja back-office i front-office, sprawiło, iż na standardowy podział służb i ryzyk bankowych trzeba nałożyć podział na służby i ryzyka związane z nowymi technologiami. Jednocześnie znacząco zwiększyła się rola tych technologii w systemie funkcjonalnym i biznesowym banku. W konsekwencji ryzyko operacyjne banku, które jest związane z profilem banku i jego rozmiarami, zostało odpowiednio zmienione przez wykorzystywane systemy IT. Należało uwzględnić to w Rekomendacji.

Wskutek rozwoju świadczenia usług w internecie, wdrażania sieciowych systemów centralnych i sieci wiążących banki w skali kraju i świata, obok ryzyk związanych z informatyzacją back-office i front-office pojawiły się nowe zagrożenia: włamań do systemu, luk systemu, przekłamań informacji. Rekomendacja wydana w roku 2002, w oparciu o stan technologii tego okresu, nie mogła być oparciem dla działań minimalizujących ryzyko w roku 2014.

Należy podkreślić, iż w systemie źródeł prawa pozytywnego Rekomendacja D nie stanowi źródła prawa. Można więc powiedzieć, że Rekomendacja D nie jest „prawem”, ale ze względu na funkcjonowanie organu nadzoru, który będzie badał banki pod kątem zgodności ich systemu zarządzania oraz ich ryzyko operacyjne z oczekiwaniami UKNF, wskazane jest dostosowanie systemów zarządzania ryzykiem informatycznym do zapisów Rekomendacji D. Komisja Nadzoru Finansowego zakłada, że banki wdrożą Rekomendację w terminie do 31 grudnia 2014 r. Po tym okresie kontrole banków będą obejmowały zgodność zarządzania ryzykiem operacyjnym IT z Rekomendacją D.

Rekomendacja D zawiera 22 rekomendacje szczegółowe, obejmujące cztery następujące „obszary ryzyka” środowiska teleinformatycznego:

strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa,

rozwój środowiska IT,

utrzymanie i eksploatacja IT ,

zarządzanie bezpieczeństwem IT.

Na potrzeby Rekomendacji KNF zdefiniowała podstawowe pojęcia z zakresu IT, których zrozumienie jest kluczowe. W szczególności zdefiniowano pojęcia:

„Cloud Computingu” (ang. przetwarzanie w chmurze) jako „model świadczenia usług zapewniający niezależny od lokalizacji, dogodny dostęp sieciowy „na żądanie” do współdzielonej puli konfigurowalnych zasobów obliczeniowych (np. serwerów, pamięci masowych, aplikacji lub usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale dostawcy usług (na podstawie NIST Special Publication 800-145 „The NIST Definition of Cloud Computing”, National Institute of Standards and Technology)”,

„bezpieczeństwa informacji” jako „zachowanie poufności, integralności i dostępności informacji; w ramach bezpieczeństwa informacji mogą być uwzględniane również inne właściwości, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność (na podstawie ISO/ IEC 27000:2009)”, czy też

„infrastruktury teleinformatycznej” jako „zespół urządzeń i łączy transmisyjnych obejmujący w szczególności platformy sprzętowe (w tym: serwery, macierze, stacje robocze), sieć teleinformatyczną (w tym: routery, przełączniki, zapory sieciowe oraz inne urządzenia sieciowe), oprogramowanie systemowe (w tym systemy operacyjne i systemy zarządzania bazami danych) oraz inne elementy umożliwiające bezawaryjną i bezpieczną pracę ww. zasobów (w tym zasilacze UPS, generatory prądotwórcze, urządzenia klimatyzacyjne), także te wykorzystywane w ośrodkach zapasowych banku”.

Ponadto zdefiniowano pojęcia: obszar bezpieczeństwa środowiska teleinformatycznego, obszar biznesowy, obszar technologii informacyjnej, poufność danych, przetwarzanie danych, system informatyczny, system zarządzania bezpieczeństwem środowiska teleinformatycznego oraz środowisko teleinformatyczne.

OBSZAR I – Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa

Przechodząc do analizy szczegółowych rekomendacji, w pierwszym obszarze regulacji KNF zaleciła zbudowanie spójnego systemu zarządzania ryzykiem IT w banku. Zgodnie z Rekomendacją rada nadzorcza i zarząd powinni położyć główny nacisk na:

zarządzanie bezpieczeństwem środowiska teleinformatycznego oraz ciągłością działania,

proces tworzenia i aktualizacji strategii w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,

zarządzanie elektronicznymi kanałami dostępu,

współpracę z zewnętrznymi dostawcami usług w zakresie środowiska teleinformatycznego i jego bezpieczeństwa,

Precyzując rolę poszczególnych organów banku, dla rady nadzorczej zdefiniowano zadania nadzoru nad funkcjonowaniem obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Z kolei zadaniem zarządu powinno być zapewnienie należytej organizacji systemu IT, w którym powinno znaleźć się miejsce dla informacji zarządczej i strategii banku w zakresie obszarów technologii informacyjnej oraz określanie zasad współpracy z obszarem biznesowym, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku.

W banku powinien działać Komitet do spraw obszaru bezpieczeństwa środowiska teleinformatycznego. Jeżeli ze względu na specyfikę banku nie jest to zasadne – wówczas zadania komitetu do spraw obszaru bezpieczeństwa środowiska teleinformatycznego powinny być wyodrębnione w ramach komitetu do spraw ryzyka operacyjnego. 

Można więc stwierdzić, że zdaniem KNF systemy informatyczne powinny być ściśle skoordynowane z biznesowymi rozwiązaniami banku, z uwzględnieniem strategii rozwoju, tak aby subsydiarnie wspomagać rozwój biznesu banku.

Wdrażając Rekomendację D, bank powinien w pierwszej kolejności dostosować swoją strategię do koniecznych wymogów, na przykład poprzez ujęcie strategii rozwoju IT w sposób wskazujący jednoznacznie rolę tej gałęzi w prowadzeniu i rozwoju podstawowej działalności banku. Na przykład dla organu nadzoru nieakceptowalny jest nadmierny rozwój obszaru IT, który nie jest uzasadniony bezpośrednimi potrzebami biznesowymi banku. Należy tu podkreślić, iż Rekomendacja wymaga, aby w banku wprowadzono konkretne, mierzalne wskaźniki strategii informatycznej.

Zgodnie z Rekomendacją w banku należy wdrożyć procedury jednoznacznie określające pozycję poszczególnych stanowisk, ich rolę w procesie korzystania z zasobów IT oraz zakres dostępu do informacji. Zasadą powinno być ścisłe reglamentowanie informacji, czyli nadawanie prawa dostępu jedynie osobom, które z racji zajmowanego stanowiska w strukturze powinny mieć dostęp do tych informacji.

Zdaniem KNF bank powinien precyzyjnie zdefiniować obowiązki i uprawnienia poszczególnych pracowników w zakresie technologii informacyjnej i bezpieczeństwa informacji. Określenie zakresów obowiązków i uprawnień powinno mieć formę pisemną, a podział obowiązków powinien minimalizować ryzyko błędów i nadużyć w procesach i systemach. Jednocześnie należy wdrożyć odpowiednią separację obowiązków pracowników, w szczególności oddzielić:

funkcje tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania,

funkcje administrowania danym komponentem środowiska teleinformatycznego od projektowania związanych z nim mechanizmów kontrolnych w zakresie bezpieczeństwa,

funkcje administrowania danym systemem informatycznym od monitorowania działań jego administratorów,

funkcje audytu od pozostałych funkcji w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Jednocześnie w banku powinien obowiązywać system doskonalenia kwalifikacji i komplementarności pracowników IT w banku. Nie powinno dojść do sytuacji, w której brak konkretnej osoby może zagrozić funkcjonowaniu bezpieczeństwa systemów IT.

OBSZAR II – Rozwój środowiska IT

W drugim obszarze Rekomendacja D odnosi się w szczególności do zasad prowadzenia projektów w zakresie środowiska teleinformatycznego. Przede wszystkim rekomenduje stosowanie uznanych standardów i dobrych praktyk w obszarze zarządzania projektami, jak np. standardy dotyczące zarządzania projektami proponowane przez PMI (Project Management Institute), w szczególności standard PMBoK (Project Management Body of Knowledge) czy metodyka PRINCE2 (PRojects IN Controlled Environments). Należy przypomnieć, iż standardy i metodyki oznaczają sposób realizacji projektów, w których określone są etapy i harmonogram projektu, organy realizacji projektu, relacje między tymi organami i sposób rozwiązywania konfliktów.

Projekty informatyczne powinny być rozwijane zgodnie z wymogami rozwoju procesów biznesowych banku. Powinny gwarantować sprawdzone bezpieczeństwo systemów biznesowych.

Wszystkie projekty teleinformatyczne powinny być prowadzone albo przez własne służby banku, albo przez zewnętrzne podmioty oraz weryfikowane pod kątem wiarygodności, efektywności i rzetelności. Przed powierzeniem realizacji projektu firmie zewnętrznej bank powinien sprawdzić, czy istnieje ryzyko jej upadłości.

Wdrażane w projektach rozwiązania powinny być sprawdzone, bezpieczne i stabilne. Godny uwagi jest wymóg preferencji bezpieczeństwa nad nowatorstwem. Z Rekomendacji wynika, że banki nie powinny wdrażać systemów nowatorskich, ponieważ systemy takie ze swej istoty nie mogą być dokładnie sprawdzone i nie mogą zapewniać pełnej i zdefiniowanej stabilności działania.

OBSZAR III – Utrzymanie i eksploatacja IT

W zakresie obszaru Utrzymanie i eksploatacja środowiska teleinformatycznego Rekomendacja D określa 10 szczegółowych rekomendacji (rekomendacje 8-17). Oznacza to, że zdaniem KNF ten obszar funkcjonowania IT jest w banku kluczowy i obejmuje najszerszy zakres ryzyk. W praktyce wymogi KNF sprowadzają się do konieczności zbudowania i zastosowania procedur regulujących:

zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych i zapewniające właściwe wsparcie działalności banku;

zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych;

zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku;

zasady zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej; odpowiedniej ochrony środowiska teleinformatycznego przed szkodliwym oprogramowaniem;

zasady właściwego wsparcia dla wewnętrznych użytkowników systemów informatycznych w zakresie rozwiązywania problemów związanych z eksploatacją tych systemów, w szczególności wynikających z wystąpienia awarii i innych niestandardowych zdarzeń zakłócających ich użytkowanie;

zasady organizacji systemów kształcenia zapewniających utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku.

Bank powinien zastosować mechanizmy techniczne skorelowane z obowiązującymi procedurami, zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej. W szczególności oznacza to wymóg stosowania systemów ochrony fizycznej, rejestrującej dostęp do danych i do elementów infrastruktury technologicznej. Oznacza także konieczność stosowania szyfrowania zabezpieczającego przed nieuprawnionym dostępem do danych.

Ponadto system zarządzania ciągłością działania banku powinien być skorelowany z uwarunkowaniami wynikającymi ze środowiska teleinformatycznego i przetwarzanych danych. Bank powinien posiadać sformalizowane zasady zarządzania tzw. oprogramowaniem użytkownika końcowego. Oznacza to blokadę możliwości instalacji oprogramowania końcowego przez osoby nieuprawnione oraz dbałość o poprawność posiadanych licencji.

Zdaniem KNF bank świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne, zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego użytkowania.

OBSZAR IV – Zarządzanie bezpieczeństwem IT

Ostatnim obszarem podlegającym regulacji Rekomendacji D jest obszar zarządzania bezpieczeństwem środowiska teleinformatycznego. Zgodnie z rekomendacją 18 Rekomendacji D w banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.

W banku powinna istnieć klasyfikacja systemów informatycznych. Wszystkie systemy i przetwarzane w nich informacje powinny być zakwalifikowane do odpowiedniego poziomu pod kątem wymaganego poziomu bezpieczeństwa. Dla zapewnienia bezpieczeństwa bank powinien posiadać procedury zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego. Procedury te powinny w szczególności regulować zasady identyfikacji incydentów i ich rejestrowania. W banku powinny być też wdrożone mechanizmy analizy incydentów, ich hierarchizacji pod względem priorytetów oraz wyszukiwania powiązań. Bank powinien posiadać procedury i mechanizmy pozwalające na podejmowanie działań naprawczych oraz usuwanie przyczyn zaistnienia incydentów.

Ta część Rekomendacji, w rekomendacji 10 omawia także zasady współpracy z zewnętrznymi dostawcami usług. Oczekuje się, że bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku. Rekomendacja podkreśla, że uwzględniając specyfikę działalności sektora bankowego, spośród usług świadczonych przez podmioty zewnętrzne, czynności realizowane w obszarze technologii informacyjnej mają szczególny charakter ze względu na ich bezpośredni wpływ na jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz na reputację banku.

Jednocześnie, w zależności od specyficznych uwarunkowań banku, wpływ jakości współpracy z podmiotami zewnętrznymi na jakość usług świadczonych przez bank na rzecz klientów wykazuje duże zróżnicowanie. W związku z tym proces zarządzania relacjami z usługodawcami zewnętrznymi powinien być dostosowany do tych uwarunkowań.

Przy wyborze dostawcy usług bank powinien kierować się następującymi zasadami:

Nie można traktować zlecania jakichkolwiek usług podmiotowi zewnętrznemu jako zwolnienia z odpowiedzialności za jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz bezpieczeństwo ich danych.

Procedury doboru usługodawców zewnętrznych – zwłaszcza w przypadku usług o istotnym znaczeniu dla banku – powinny uwzględniać ryzyko związane z danymi usługami i obejmować w szczególności ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego przez niego poziomu bezpieczeństwa oraz jakości świadczonych usług (w tym rekomendacje innych podmiotów).

Bank powinien analizować ryzyko związane z upadłością usługodawcy zewnętrznego lub jego nagłym wycofaniem się ze współpracy oraz posiadać skuteczne plany awaryjne związane z wystąpieniem takich sytuacji. Bank powinien również w miarę możliwości ograniczać liczbę przypadków, w których usługodawca zewnętrzny posiada w stosunku do banku pozycję monopolistyczną.

Bank powinien monitorować jakość usług świadczonych przez dostawców zewnętrznych.

W przypadku gdy usługi świadczone przez podmiot zewnętrzny obejmują przetwarzanie danych o wysokim stopniu poufności lub istotności dla banku poza infrastrukturą teleinformatyczną banku (np. w modelu Cloud Computing lub innych formach modelu Application Service Provision, w zewnętrznych centrach przetwarzania danych itp.), bank powinien w szczególności: 
a) wprowadzić odpowiednie mechanizmy kontrolne zapewniające poufność tych danych (np. poprzez ich szyfrowanie), 
b) zapewnić, aby informacje o wszelkich incydentach zagrażających bezpieczeństwu danych były raportowane przez dostawcę, 
c) posiadać informacje o tym, w jakich lokalizacjach geograficznych dane te są przetwarzane oraz obowiązujących tam przepisach prawa w przedmiotowym zakresie, a także zapewnić zgodność świadczonych usług z przepisami prawa obowiązującymi w Polsce, 
d) zapewnić skuteczne mechanizmy pozwalające na bezpieczne zakończenie współpracy (w szczególności w zakresie zwrotu danych oraz ich usunięcia – wraz ze wszystkimi kopiami – przez dostawcę usług), 
e) przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia obowiązku przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza granicami Europejskiego Obszaru Gospodarczego), 
f) sprawować kontrolę nad działalnością usługodawcy w zakresie świadczonych przez niego usług, w zależności od charakteru i poziomu istotności tych usług z perspektywy banku oraz klasyfikacji informacji przetwarzanych przez usługodawcę. Możliwość sprawowania kontroli nad działalnością zewnętrznych dostawców usług powinna być regulowana w zawieranych z nimi umowach.

Umowy zawierane z zewnętrznymi dostawcami, poza istotnymi warunkami umowy (essentialia negotii), powinny określać:

zakresy odpowiedzialności stron umowy,

zakres informacji i dokumentacji przekazywanych przez usługodawcę w związku ze świadczeniem usług,

zasady wymiany i ochrony informacji, w tym warunki nadawania pracownikom podmiotów zewnętrznych praw dostępu do informacji oraz zasobów środowiska teleinformatycznego banku, uwzględniające w szczególności obowiązujące przepisy prawa oraz regulacje banku w tym zakresie; w przypadku usługodawców posiadających dostęp do informacji o wysokim stopniu poufności powinna zostać uregulowana również kwestia odpowiedzialności za zachowanie tajemnicy tych informacji w okresie wykonywania usług oraz po zakończeniu umowy,

zasady związane z prawami do oprogramowania (w tym do jego kodów źródłowych) w trakcie współpracy i po jej zakończeniu, w szczególności dostępu do kodów źródłowych w przypadku zaprzestania świadczenia usług wsparcia i rozwoju oprogramowania przez jego dostawcę (np. z wykorzystaniem usług depozytu kodów źródłowych), parametry dotyczące jakości świadczonych usług oraz sposoby ich monitorowania i egzekwowania,

zasady i tryb obsługi zgłoszeń dotyczących problemów w zakresie świadczonych usług,

zasady i tryb dokonywania aktualizacji oprogramowania komponentów infrastruktury znajdujących się pod kontrolą dostawcy,

zasady współpracy w przypadku wystąpienia incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego,

zasady w zakresie dalszego zlecania czynności podwykonawcom zewnętrznego dostawcy usług,

kary umowne związane z nieprzestrzeganiem warunków umownych, w szczególności w zakresie bezpieczeństwa informacji przetwarzanych przez dostawcę usług.

Zgodnie z rekomendacją 21 Rekomendacji D bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w banku standardami. Rekomendacja ta jest o tyle oczywista, że normy prawne powinny być stosowane ipso facto, regulacje wewnętrzne nie powinny być fikcyjne, a przecież już Rzymianie uznali, że „pacta sunt servanda” (łac. umów należy dotrzymywać).

Ostatnia rekomendacja nakłada na bank obowiązek systematycznego kontrolowania przez niezależnych audytorów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego instytucji.

Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego i stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą powołania w ramach audytu wewnętrznego jednostki odpowiedzialnej za audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. W przypadku banków spółdzielczych dopuszczalne jest, aby funkcje w tym zakresie pełnione były przez audytorów z banku zrzeszającego.

Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje. Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.:

standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association),

COBIT (Control Objectives for Information and related Technology),

GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk),

normy ISO (International Organization for Standardization).

Należy mieć na względzie, że audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Normy nie określają częstotliwości i zakresu audytu.

Powinno to wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów. Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego jest czynnikiem, który w istotny sposób może wzmocnić kontrolę nad ryzykiem związanym z tym obszarem. W związku z tym bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów o wysokim poziomie ryzyka.

Autorem jest Stefan Cieśla – radca prawny, właściciel Kancelarii Radca Prawny Stefan Cieśla

O autorze 
Jest ekspertem ds . zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Open Source i jego wykorzystania w przedsięwzięciach komercyjnych. W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

Tekst pochodzi z magazynu DLP expert 2/2014 (9)- który bezpłatnie można pobrać tutaj:https://www.dlp-expert.pl/magazine

Polub Plportal.pl:

Tags: ,


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

11 + = 17

 

About publikator

Reklama

WSPARCIE: propublicobono-rp.org | ffon.pl