Dne 11. května 2017 Evropský orgán pro bankovnictví (EBA) publikoval své finální Obecné pokyny pro hodnocení rizika informační a komunikační technologie (ICT) v kontextu procesu dohledu a hodnocení orgány dohledu (SREP). Obecné pokyny se zaměřují na společné postupy a metodologie pro hodnocení ICT rizika. EBA vyvinula tyto pokyny z vlastní iniciativy, aby pomohla dohledovým orgánům.
Obecné pokyny musí být chápány jako součást SREP a čteny ve spojitosti s platnými obecnými pokyny EBA pro SREP publikovanými 19. prosince 2014. SREP je zejména upraven v článcích 97 a 107 Směrnice 2013/36/EU (tzv. CRD). Podle pokynů EBA ke SREP se ICT riziko popisuje jako jedna z podkategorií operačního rizika, kterému by měla být věnována obzvláštní pozornost kvůli jeho všudypřítomné povaze a významnosti pro většinu institucí (viz zejména odstavce 258 – 261).
Obecné pokyny k ICT sestávají ze třech hlav. Hlava 1 popisuje, jak hodnocení ICT rizika přispívá k celkovému hodnocení SREP instituce. Hlava 2 popisuje, jak celkový interní řídicí a kontrolní systém instituce řeší ICT, včetně odpovídající znalosti a pochopení na úrovni managementu a včetně hodnocení ICT strategie instituce, která by měla zohlednit její řídicí a kontrolní systém a obchodní model. Hlava 3 zahrnuje hodnocení ICT rizika a přítomných kontrol jakožto rizika pro kapitál. Obecné pokyny obsahují v příloze také taxonomii ICT rizik, která zahrnuje následující kategorie:
Mapování ICT rizik do jednotlivých rizikových kategorií pomůže dohledovým orgánům při určování, které riziko je významné a které proto vyžaduje bližší nebo hlubší dohled. Obecné pokyny k ICT jsou účinné od 1. ledna 2018.
13-7-2017