"W ocenie KNF rekomendacja przyczyni się do podniesienia jakości zarządzania i poziomu bezpieczeństwa IT w spółdzielczych kasach. Potrzeba wydania rekomendacji wynika z postępu technologii IT oraz ciągłego wzrostu zależności instytucji finansowych od rozwiązań teleinformatycznych, przy jednoczesnym wzroście skali i stopnia zaawansowania obserwowanego ryzyka" - informuje komunikat.

Komisja przypomina, że wydała już rekomendacje i wytyczne w obszarze IT dla banków, zakładów ubezpieczeń i reasekuracji, powszechnych towarzystw emerytalnych, towarzystw funduszy inwestycyjnych, podmiotów infrastruktury rynku kapitałowego i firm inwestycyjnych.

"Objęcie adekwatnymi uregulowaniami spółdzielczych kas pozwoli utrzymać spójność wymagań nadzorczych ukierunkowanych na zapewnienie odpowiedniego poziomu bezpieczeństwa" - stwierdza komunikat.

KNF zaznacza, że w rekomendacji zastosowano zasadę proporcjonalności. "Mniejsze kasy, rozumiane analogicznie jak w poprzednich rekomendacjach KNF, tj. spełniające jednocześnie dwa kryteria – suma bilansowa poniżej 50 milionów złotych oraz liczba członków poniżej 10 tysięcy – zostały wyłączone ze stosowania niektórych postanowień rekomendacji" - informuje.

KNF podkreśla, że projekt rekomendacji był konsultowany z różnymi podmiotami, m.in. z Kasą Krajową, firmami audytorskimi oraz Światową Radą Unii Kredytowych (WOCCU).

Komisja wyraża oczekiwanie, że "Kasa Krajowa aktywnie wesprze proces wdrażania niniejszej Rekomendacji".

"W szczególności oczekuje się, że Kasa Krajowa opracuje standardy w zakresie wymaganych regulacji wewnętrznych obejmujących zagadnienia określone w niniejszej Rekomendacji oraz wzorce oczekiwanych analiz ryzyka i pozostałej dokumentacji, z uwzględnieniem skali i specyfiki działalności kas, stosując zasadę proporcjonalności" - czytamy w tekście rekomendacji.

KNF dodaje też, że skala działalności i wykorzystywane technologie informatyczne powinny decydować o zakresie i stopniu przyjmowanych przez poszczególne kasy rozwiązań, natomiast "proces wdrażania tych rozwiązań, pomimo aktywnej roli Kasy Krajowej, nie może jednak stać w sprzeczności ze zdefiniowanym w poszczególnych rekomendacjach zakresem obowiązków i odpowiedzialnością statutowych organów poszczególnych kas".

Rekomendacja D-SKOK podzielona jest na 22 szczegółowe rekomendacje. Wśród nich jest np. zalecenie, że "rada nadzorcza kasy powinna nadzorować funkcjonowanie obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, natomiast zarząd kasy powinien zapewnić, aby powyższe obszary zarządzane były w sposób poprawny i efektywny".

KNF rekomenduje też m.in., że "systemy informatyczne kasy powinny być rozwijane w sposób zapewniający wsparcie jej działalności oraz uwzględniający wymogi bezpieczeństwa środowiska teleinformatycznego".

Ponadto każda kasa "powinna zapewniać wewnętrznym użytkownikom systemów informatycznych wsparcie w zakresie rozwiązywania problemów związanych z ich eksploatacją, w tym wynikających z wystąpienia awarii i innych niestandardowych zdarzeń zakłócających ich użytkowanie".

Poza tym "kasa świadcząca usługi z wykorzystaniem elektronicznych kanałów dostępu powinna posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków członków kasy, jak również edukować członków kasy w zakresie zasad bezpiecznego korzystania z tych kanałów".

SKOK-i powinny też posiadać "sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn".

Ostatnia szczegółowa rekomendacja zwraca uwagę, że "obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego kasy powinny być przedmiotem systematycznych, niezależnych audytów".

KNF oczekuje, że rekomendacja D-SKOK zostanie wprowadzona przez spółdzielcze kasy do dnia 31 grudnia 2018 r.

Decyzja o wydaniu rekomendacji zapadła sześcioma głosami przy dwóch wstrzymujących się (przedstawiciel Ministerstwa Rozwoju Armen Artwich i przedstawiciel MRPiPS Radosław Domagalski-Łabędzki). (PAP)