Gazeta Ubezpieczeniowa - wydanie elektroniczne nr 39/2014 | Page 3

Gazeta Ubezpieczeniowa nr 39 (807) 30 września 2014 www.gu.com.pl ROZMOWA TYGODNIA 3 KNF CHCE UPORZĄDKOWAĆ IT Rosną ryzyka operacyjne, prawne i utraty reputacji Rozmowa z Dagmarą Wieczorek-Bartczak, dyrektor Departamentu Inspekcji Ubezpieczeniowych i Emerytalnych Komisji Nadzoru Finansowego ożena M. DołęgowskaWysocka: – Pani dyrektor, tak jak zapowiadaliście, Komisja Nadzoru Finansowego przekazała podmiotom z sektora ubezpieczeniowego swoje oczekiwania odnośnie do pożądanych praktyk w zarządzaniu obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Odbyły się konsultacje z zainteresowanymi środowiskami w tym zakresie. Czy wykazały, że nasz rynek rzeczywiście potrzebuje kolejnych regulacji? Dagmara Wieczorek-Bartczak: – Myśląc o działaniach Komisji w zakresie wydawania wytycznych dla sektora ubezpieczeniowego, trzeba wziąć pod uwagę całokształt działalności, jaką prowadzi organ nadzoru, w tym przypadku w sektorze bankowym, gdzie Rekomendacja D (rekomendacja poświęcona IT) funkcjonuje już od pewnego czasu. Ponadto biorąc pod uwagę szybki rozwój technologiczny oraz systematyczny wzrost znaczenia obszaru technologii informacyjnej dla ubezpieczycieli i reasekuratorów, jak również pojawienie się nowych ryzyk w tym obszarze przy braku zmian regulacji ustawowych czy samoregulacji sektora ubezpieczeniowego, niezbędna jest reakcja organu, który w transparentny i spójny sposób prezentuje oczekiwania nadzorcze. Wytyczne stanowią bowiem rodzaj podręcznika nadzoru, komunikującego podmiotom nadzorowanym kryteria oceny istotnych obszarów ich działalności. B Czy da się ukonkretnić, nazwać te ryzyka? – Tak, oczywiście. Wspomniane ryzyko można określić jako niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności towarzystwa przez jego środowisko teleinformatyczne. Wiąże się ono przede wszystkim z ryzykiem operacyjnym, ryzykiem prawnym i ryzykiem utraty reputacji. Jak można zdefiniować konkretny cel tej regulacji KNF? – Poza ogólnym celem, jaki można wyczytać ze wstępu do Wytycznych – że mają one na celu wskazanie towarzystwom oczekiwań nadzorczych, dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami – KNF oczekuje, że zakłady ubezpieczeń podejmą świadome działania, adekwatne do skali i profilu działalności, uwzględniające zmieniającą się rzeczywistość (technologiczną, ryzyka cybernetyczne, implementację Solvency II, nowe strategie zakładów nakierowane na klienta), które przyczynią się do poprawy zarządzania obszarem IT, nie ograniczając ich możliwości rozwojowych, przy zachowaniu bezpieczeństwa prowadzonej działalności. Dokument zawiera 22 wytyczne, które podzielone zostały na 4 obszary. W pierwszym obszarze wskazano zadania rady nadzorczej i zarządu w procesie nadzoru i kontroli wszelkich zagadnień, dotyczących IT w firmie ubezpieczeniowej lub reasekuracyjnej. Czy mogę prosić o jakieś przykłady? – Pierwszy obszar wytycznych omawia prawidłowe prowadzenie procesu zarządzania podmiotem z uwzględnieniem obszaru IT, jako integralnej części prowadzonej działalności, w tym zasad planowania strategicznego, wymiany informacji pomiędzy obszarem IT a resztą jednostek organizacyjnych podmiotu, efektywnej współpracy pionów IT i biznesowych, oraz organizacji segmentów technologii teleinformatycznej i bezpieczeństwa teleinformatycznego. Wytyczne w tym obszarze wskazują na rolę rady nadzorczej i zarządu, nie zmieniając zasad wynikających z obowiązujących przepisów i dając swobodę podmiotom nadzorowanym co do faktycznych ról tych ciał, określanych w dokumentach zakładów. Wytyczne zachęcają do rozważenia powołania lub wskazania odpowiedniego komitetu wewnątrz firmy, którego zadaniem byłby monitoring bezpieczeństwa teleinformatycznego, na którego czele miałby stać kompetentny członek zarządu lub pełnomocnik. W obszarze drugim z kolei wskazano kierunki postępowania w odniesieniu do projektów IT i rozwoju systemów teleinformatycznych, bardzo ważny obszar zyskujący na znaczeniu w kontekście konieczności zmian systemów czy sprzętu komputerowego w odpowiedzi na nowy reżim nadzorczy Solvency II. Najbardziej rozbudowany jest jednak obszar trzeci. – Rzeczywiście, w najobszerniejszym obszarze trzecim Komisja wskazała oczekiwane z jej punktu widzenia działania z zakresu zarządzania danymi – ich architekturą i jakością. Uważamy bowiem, że podejście towarzystwa do zarządzania jakością danych powinno uwzględniać zarówno zbierane przez podmiot dane, ich kompletność, poprawność i szczegółowość, jak również szczególne uwarunkowania, związane z ograniczoną kontrolą towarzystwa ubezpieczeniowego nad jakością danych pochodzących ze źródeł zewnętrznych, np. od agentów, brokerów, likwidatorów szkód, operatorów medycznych, OI UFG, PBUK. Towarzystwo powinno oceniać jakość danych oraz możliwości ich poprawy, w szczególności poprzez wymaganie od dostawców danych zewnętrznych przedstawiania Konferencja Wytyczne IT dla zakładów ubezpieczeń – wyzwania czy konieczność ● Jak przygotować się do wdrożenia Wytycznych IT w bieżącym otoczeniu prawnym i w nowym reżimie Wypłacalność II? ● Czy zakłady ubezpieczeń są przygotowane na wdrożenie standardów wskazanych w Wytycznych IT i w jakim zakresie firmy IT mogą im w tym pomóc? Czwartek 2 października 2014 r. w Centrum Konferencyjnym, ul. Ogrodowa 58 w Warszawie tel. 604 171 771, 727 597 086, [email protected]. potwierdzenia ich odpowiedniej jakości, np. popartego wynikami niezależnego audytu zewnętrznego. W obszarze, o którym tu mówimy, nadzór przekazał również swoje oczekiwania, dotyczące zarządzania infrastrukturą teleinformatyczną, współpracy z zewnętrznymi dostawcami usług, kontroli dostępu do danych i infrastruktury IT czy ochrony przed szkodliwym oprogramowaniem. A w przypadku poważnych awarii systemu? – Komisja jasno wyłożyła swoje racje, wskazała, by adresaci jej wytycznych