Osiodłać krowę?
Rekomendacja D definiuje nie ryzyka IT, lecz bezpieczeństwo banku, i to w sposób dyskusyjny, jeżeli nie wadliwy. Jak można oceniać coś, co nie zostało właściwie zdefiniowane? - pytał dr Dariusz Wawrzyniak podczas V Forum Technologii Bankowości Spółdzielczej 2013.
W prezentacji nt. specyfiki zarządzania obszarem IT w działalności bankowej, dr D. Wawrzyniak przypomniał normę ISO-27001, która określa ryzyko informatyczne, jako kombinację prawdopodobieństwa wystąpienia incydentu oraz jego negatywnych skutków wyrażonych w pieniądzu. Czy jesteśmy w stanie zmierzyć i analizować to ryzyko, a więc de facto zarządzać nim tak jak ryzykiem kredytowym, rynkowym, stóp procentowych i operacyjnym? – Nie, a zatem bycie w zgodzie z Rekomendacją D jest w sensie teoretycznym niewykonalne – odpowiada dr Wawrzyniak.
– Mamy dane historyczne, wiemy, co wydarzyło się w banku i możemy policzyć w dowolnym okresie liczbę określonych incydentów. Ta prosta analiza uzupełniona wiedzą ekspercką może stanowić podstawę pomiaru ryzyka, nie zaś normatywne pojęcie prawdopodobieństwa, które jest nieuprawnione merytorycznie – uważa dr D. Wawrzyniak. – Szacowanie wartości ryzyka IT w pieniądzu jest absurdem. Można co najwyżej przygotować plan działania na wypadek incydentu w systemie, i kropka.
Stwierdzenie, że prawdopodobieństwo awarii serwera w banku przykładowo: w ciągu najbliższego miesiąca wynosi 0,002 – to bzdura. Po pierwsze, zostało wzięte z sufitu, po drugie – jest skrajnie nieprecyzyjne. Bo co to oznacza, że serwer przestanie działać? Zatrzyma się i natychmiast uruchomimy go ponownie? Nie będzie pracował godzinę, dwie, tydzień, a może już w ogóle się nie podniesie? Jaką stratę przypisać temu zdarzeniu? Milion złotych, sto milionów, miliard? Jeżeli zastosujemy normatywną definicję ryzyka, czyli pomnożymy niezwykle małe prawdopodobieństwo przez wysoką stratę otrzymamy ryzyko na poziomie… 100 zł. Każdy normalny człowiek zapyta: po co czymś takim się zajmować?
Banki zostały przeregulowane potwornie. Nadzorcy poszukują nowych instrumentów i regulacji, ustanawiają kolejne normy i rekomendacje, pod hasłem bezpieczeństwa depozytariuszy na poziomie globalnym, europejskim i lokalnym. W dość zgodnej opinii środowiska bankowców spółdzielców „śruba”, która trzyma w rękach UKNF jest przezeń dokręcana zbyt mocno, co sprzyja tylko biurokracji. Przykład: system Badania i Oceny Nadzorczej (BION), który obliguje do udzielenia opisowych odpowiedzi na dziesiątki pytań dotyczących szczegółowych wskaźników, co zajmuje kilkaset stron maszynopisu.
Zwiazek Banków Polskich apeluje do KNF o wypracowanie porządnej metodologii wdrażania zasady proporcjonalności. Nie należy stosować jednolitych standardów nadzoru wobec wielkich instytucji działających w 100 krajach oraz wobec małego banku gminnego, który zatrudnia 50-60 osób i prowadzi dwa oddziały. Czy jest sensowne przeprowadzanie w nich testów warunków skrajnych dla wszystkich ryzyk? Nie ma takiej potrzeby, jest to nieracjonalne.