Hvor meget fylder IT i danske bestyrelser Torben Nielsen
Baggrund 25 år i finansielle sektor 15 år i Danmarks Nationalbank Bestyrelsesposter i sektorselskaber (VP-securities, NETS, BKS) Professionelt bestyrelsesmedlem med poster i bl.a. Tryg Forsikring, EIK Bank, SPARINVEST DK og LUXEMBOURG, DLR KREDIT, PLASSDATA, Museerne Vordingborg mfl. 2
PBS-clearing: Betalingsservice Dankortkøb Internetkøb Dokumentløs clearing: Netbank Kontanthævninger Giroindbetalingskort Nets Sumclearing Danmarks Nationalbank = pengeinstitut = datacentral 3
Eksempel IT - problemer i Danske Bank Stort it-nedbrud i Danske Bank i marts 2003. Det varer en hel arbejdsuge Årsag: Rutinemæssig udskiftning af en strømforsyningsenhed i et disksystem fra IBM Konsekvenser: Aktie og valutahandelssystemer er nede Bankens 450.000 netbank-kunder har ikke adgang til deres konti Lønudbetalinger for ca. 75.000 personer bliver ikke gennemført Banken var ikke i stand til at foretage betalinger til andre banker, men kunne godt modtage betalinger For at forhindre mangel på likviditet i pengemarkedet tilfører Nationalbanken fem mia. kr. i ekstra likviditet på nedbruddets 3. dag. Banken bliver genstand for skarp kritik for sin håndtering af nedbruddet ikke mindst for mangelfuld kommunikation 4
Eksempel - Strømsvigt 23. september 2003 om eftermiddagen rammes det østlige Danmark af et omfattende strømsvigt, der varer i flere timer Beskedne konsekvenser for betalingsformidlingen Nødstrømsberedskabet i sektoren er generelt velfungerende Betalinger i Kronos afvikles primært om formiddagen Det besluttes at udskyde lukketiden for Kronos med en halv time for at hjælpe de deltagere, der har haft problemer (Nordea?) I Nationalbanken fungerer nødstrømsanlægget tilfredsstillende, men hændelsen leder frem til beslutning om en udskiftning af anlægget 5
Placering af it-anvendelsen i risikobilledet 6
IT Strategi DLR Kredits forretningsmodel forudsætter, at der løbende kan foretages de nødvendige tilpasninger i DLRs it-systemer. DLR Kredit baserer derfor it-driften på egen programudvikling, for så vidt angår realkreditspecifikke områder, mens der på øvrige områder anvendes standardprogrammel. DLR Kredit har valgt at outsource den tekniske it-driftsafvikling 7
IT Risici Som følge af it-systemernes vigtighed for DLR Kredits forretningsmæssige aktivitet er der stor fokus på de it-risici, DLR Kredit er udsat for. DLR Kredit fastlægger på baggrund af en risiko- og konsekvensanalyse et sikkerhedsniveau, som svarer til betydningen af de pågældende it-systemer. Med henblik på at minimere de risici, som DLRs it-drift er udsat for, er der truffet en række foranstaltninger, dels vedrørende driftsforstyrrelse, dels vedrørende katastrofesituationer. Samlet vurderes det, at DLR Kredits it-sikkerhed og beredskabsplaner medvirker til, at risikoniveauet for DLR Kredits it-afvikling må betegnes som lavt, og risikoen for tab som følge af it-risici må vurderes som meget begrænset. Som et led i den it-mæssige drift anvendes outsourcing. Outsourcing er nært overvåget i henhold til Finanstilsynets særskilte bekendtgørelse herom, ligesom der er udarbejdet særskilte retningslinjer for outsourcing. Risikoen vurderes hermed at være meget begrænset. 8
Et af virksomhedens vigtigste aktiver - Data Uden data ville virksomheden ikke have viden og umådeligt svært ved at drive forsikringsforretning, fx. ikke håndtere skader, kontakte kunder mv. Derfor vigtigt, at sikre af data Data Database sikkerhed Operativ system sikkerhed Applikationer Segmenteret netværk Firewall / IDS Etc. Sikkerheden er sat under pres af forventningerne, både virksomhedsdrevet (tjene penge) og kunderelateret (det skal være nemt) Hvad tænker bestyrelsen om det?? 9
Specielt for finansielle selskaber Finansielle selskaber har et væsentligt samfundsmæssigt ansvar så derfor findes der særlig lovgivning for finansielle selskaber, herunder eksempelvis bekendtgørelse om ledelse og styring af forsikringsselskaber og tværgående pensionskasser. I bekendtgørelsen er defineret Kapital 1, Anvendelsesområder Kapital 2, Bestyrelsens opgaver og ansvar Kapital 3, Direktionens opgaver og ansvar Kapital 4, Organisation og ansvarsfordeling Kapital 5, Administrativ og regnskabsmæssige praksis Kapital 6, Forretningsgange Kapital 7, Risikostyring Kapital 8, Straffebestemmelser Kapital 9, Ikrafttrædelse og overvangsbestemmelser 10
Bilag til bekendtgørelsen Der er 5 bilag til bekendtgørelsen, som omfatter Bilag 1, Forsikringsmæssige risici Bilag 2, Investeringsområdet Bilag 3, Operationelle risici (inkl. forretningsberedskab) Bilag 4, IT-sikkerhed Bilag 5, Tilrettelæggelse af arbejdet i bestyrelsen 11
Selskabsledelse i Tryg Efterlever god selskabsledelse (www.corporategovernance.dk) Bestyrelsen Risikoudvalg Revisionsudvalg Nomineringsudvalg Aflønningsudvalg 12
Processen i bestyrelsen - Årshjul 27002 Beslutning og godkendelse af politikker og beredskab Rapportering af efterlevelse af politikker og beredskab Opfølgning på manglende efterlevelse (Revisionsudvalg) 13
Rapportering af efterlevelse af it-sikkerhed 14
Revisionsudvalg Revisionsudvalget skal blandt andet: Sikre, at planlægningen er tilstrækkelig (Godkendelse, revisionsudvalg og bestyrelse) Gennemgå kvartalsvis afrapportering om udførte revisioner Gennemgå fremlagde observationer og handlingsplaner Vurdere udviklingen i observationer Til det arbejde er virksomhedens interne og eksterne revisorer den af bestyrelsen forlængede arm 15
Trygs risikostyringsmiljø Bestyrelses opgaver 16
Kontrolniveauer i Tryg - Three Lines of Defence Model 17
IT 1 st line of defence Procedurer og 1 linie kontroler (Ledelseskontroller) Transition, IT & Proces Planlægning, projektkontor Arkitektur, Metode og kvalitetssikring Forvaltning eksisterende platforme Etablering af ny platform IT-drift IT drift (inkl. håndtering CSC) og indkøb Telefoni Infrastruktur Profil- og brugeradministration 18
IT - 2 nd line of defence Koncernsikkerhed Risikoanalyse Sikkerhedspolitik Review af nye tiltag og systemer, dispensationer Decentral risk management Kontrol af 1 linie kontrollerne Compliance funktionen Kontrol af den juridiske efterlevelse på området Udvalg i virksomheden IT sikkerhedsudvalg (CSC, IT og koncernsikkerhed) Operationel Risiko kommittee 19
IT - 3 rd line of defence Revisionen skal sikre, At 1 og 2 linie kontrollerne er designet, implementeret og fungerer effektivt. At der er betryggende system-, data og driftssikkerhed At de politikker som er godkendte af bestyrelsen er implementeret og at der rapporteres korrekt i forhold til virkeligheden At vi skal kunne vælge at udføre den mest effektive form for revision i processer 20
Outsourcing Tryg Serviceleverandører Drift af IT Telefoni Forvaltning af eksisterende platform Etablering af ny platform Væk fra virksomheden Tryg modtager revisionserklæring fra flere områder: CSC erklæring Accenture TATA Group Forsikring & Pension (EDI løsning) Mfl. 21
Fremtiden Endnu mere fokus på IT og IT-udvikling Samarbejde med intern/ekstern revision Nødplaner sikres og testes Outsourcing Krav til leverandør - Systemrevision 22
Spørgsmål? 23