TILSYN
Finanstilsynet om Sparebanken Vest sine IKT-rutiner: – Finner det kritikkverdig
Finanstilsynet påpeker det de mener er vesentlige mangler innen IKT-virksomheten hos Sparebanken Vest, og skriver at banken, «til tross for fusjonsprosess, er nødt til å være bevisst sitt ansvar».
Publisert
Sist oppdatert
I et IKT-tilsyn gjennomført i juni 2024 hos Sparebanken Vest påpeker Finanstilsynet «til dels vesentlige mangler ved foretakets styring med og kontroll av IKT-virksomheten», heter det i tilsynsrapporten.
Mulige interessekonflikter mellom ulike roller som innehas av samme person, er det første tilsynet peker på. Sparebanken Vest har svart at det er fokus på dette området, gjennom fusjonen med Sparebanken Sør. Ressursene er til stede, men det må allokeres riktig, noe som det gjøres en vurdering på i fusjonsprosessen.
«Finanstilsynet forutsetter at styret, uavhengig av fusjonsprosessen, er bevisst sitt ansvar for forsvarlig organisering av virksomheten», skrives det i tilsynsrapporten.
Finanstilsynet opplever at Sparebanken Vest ikke har hatt tilstrekkelig risikostyring før april i fjor, mens styret i banken svarer med at det har vært tilstrekkelig gjennom risikostrategier og styringsdokumenter. Likevel påpeker Finanstilsynet følgende gjennom rapporten:
«Finanstilsynet finner det kritikkverdig at foretaket før april 2024 ikke hadde en strategi for styring av en så vesentlig risiko som IKT-risiko. … Finanstilsynet har merket seg at det er viktig for foretaket å videreutvikle foretakets rammeverk på området, ikke minst i lys av den kommende fusjonen».
– Banken har svart Finanstilsynet og redegjort for at styring av IKT-risiko var forankret og beskrevet i en rekke andre styringsdokumenter før vi etablerte en dedikert risikostrategi inn mot IKT-området, skriver kommunikasjonsdirketør Hanne Dankertsen i Sparebanken Vest i en epost til BankShift, og påpeker at tilsynet tok bankens svar til etterretning, noe som gjør saken «nyansert og kvittert ut».
Når det gjelder IKT-driften, påpeker Finanstilsynet at Sparebanken Vest har hatt manglende dokumenterte prosesser, og at Sparebanken Vest ikke synes å ha dokumenterte prosedyrer som sikrer fullstendig, rettidig og korrekt håndtering av data.
På utkontraktering påpekes det også mangler i forhold til innhold av innsikten hos tjenesteleverandørene, men Sparebanken Vest viser til at det er igangsatt flere tiltak, som tilsynet legger til grunn at blir iverksatt, også på andre områder av rapporten.
Viktigere enn kredittkontroll
I et nylig intervju med BankShift, påpekte Olav Johannessen, seksjonsleder for tilsyn med IT og betalingstjenester i Finanstilsynet, viktigheten av kontroll med denne delen av virksomheten.
– Viktigheten av god styring og kontroll med IKT-virksomheten er like viktig som god styring og kontroll med kreditt og likviditet. Kanskje er det nesten viktigere, skulle IT-systemene være nede over en lang periode, hjelper det ikke hvor god kontroll foretakene har med de andre delene av virksomheten, sier han.
På spørsmål om hva de vanligste feilene de finner er, svarer Johannessen:
– Styring og kontroll er en tematikk som vært en gjenganger i flere år. Vi har blant annet pekt på dette med manglende gjennomføring av business impact-analyser, altså analyser av virksomheten, hva som er kritisk og ikke kritisk.
Fusjon
I tilsynsrapporten svarer også banken med at det er ting som skal gjennomgås nærmere i fusjonsprosessen. På spørsmål om man allerede har fått gjort flere av tiltakene, eller om de vil komme gjennom fusjonsprosessen, svarer Sparebanken Vest at man er godt i gang.
– Vi har allerede iverksatt flere tiltak, og er godt i rute med øvrige tiltak som etter planen skal gjennomføres innen andre kvartal 2025. Flere av tiltakene gjøres i lys av den pågående fusjonsprosessen, siden vi nå skal samordne prosessene våre.
– Må man gjøre vurderinger på nytt når man får en slik rapport midt i en fusjonsprosess?
– Rapporten er, som øvrige stedelige tilsyn, nyttig og viktig input inn i vårt ordinære og løpende forbedringsarbeid. Det har naturlig betydning for fusjonsarbeidet, i den grad at vi hensyntar anbefalingene når vi skal utarbeide prosesser for den nye banken, skriver Dankertsen.
