תוצאות הבדיקה שערך הפיקוח על הבנקים בנושא ממשל הניהול של סיכונים טכנולוגיים במערכת הבנקאית: מאמץ משמעותי מצד המערכת הבנקאית בניהול הסיכון הטכנולוגי, כולל סיכון הסייבר • יחידות ארגוניות רבות פועלות בבנקים בתחום של ניהול סיכונים והבקרה עליהם • עם זאת, זוהו תחומים שבהם נדרש שיפור וחיזוק, וכל בנק קיבל דרישות ספציפיות בהתאם למצבו
שי קליין 21.06.2021
סייבר, אילוסטרציה | צילום: שאטרסטוק
בדומה לרגולטורים מובילים בעולם, סיכוני טכנולוגיה מצויים במוקד תשומת הלב של הפיקוח על הבנקים בישראל, לאחר שבשנים האחרונות נוצרה הסכמה רחבה כי סיכונים אלה נמצאים במגמת עלייה.
בתהליך הביקורת שערך הפיקוח על הבנקים בשנה האחרונה נבחנו, בין השאר, איכותם של ממשל ניהול הסיכונים הטכנולוגיים, המסגרת לניהול הסיכונים ובקרתם, וכן המשאבים המוקדשים לניהולם. בתהליכים אלה זיהה הפיקוח על הבנקים מאמץ משמעותי מצד המערכת הבנקאית בניהול הסיכון הטכנולוגי, כולל סיכון הסייבר. יחידות ארגוניות רבות פועלות בבנקים בתחום של ניהול סיכונים והבקרה עליהם. עם זאת, זוהו תחומים שבהם נדרש שיפור וחיזוק, וכל בנק קיבל דרישות ספציפיות בהתאם למצבו, לדוגמה:
- להמשיך ולחזק את ההבנה הטכנולוגית של הדירקטוריון.
- לוודא זיהוי והערכה מלאים של מוקדי הסיכון הטכנולוגי, לרבות אמינות ושלמות נתונים (Data Integrity Risk) והסיכון הגלום בניהול השינויים (IT Change Risk) – הטמעה של טכנולוגיות חדשות ופרויקטים טכנולוגיים אסטרטגיים שהבנקים מבצעים.
- לחזק את הפיקוח והמעקב אחר פרוייקטים אסטרטגיים, הכרוכים לא רק בהטמעת טכנולוגיה חדשה, אלא גם בשינויים בתהליכים ובמבנה הארגוני. מורכבות הפרוייקטים האמורים מחייבת את ניהולם בהתאם למתודולוגיה ברורה, תוך ליווי על ידי פונקציית ניהול הסיכונים הבלתי תלויה, ביקורת זמן אמת על ידי הביקורת הפנימית, ופיקוח הדירקטוריון.
- דרישות לחיזוק פונקציית ניהול הסיכונים הבלתי תלויה בתחום הסיכונים הטכנולוגיים.
המפקח על הבנקים, מר יאיר אבידן: "טכנולוגיה מהווה כיום תנאי הכרחי ליכולתם של בנקים לפתח ולספק שירותים ומוצרים מגוונים ותחרותיים, המביאים ערך ללקוחות ולציבור בכללו. בד בבד, יישום טכנולוגיה כרוך מטבע הדברים בסיכונים משמעותיים. כדי להגיע לתוצאות חיוביות בנות קיימא, המאזנות באופן מיטבי את יתרונות הטכנולוגיה ומזעור הסיכונים, על הבנקים להבטיח רמת משילות גבוהה בניהול הסיכון. תהליך הביקורת הרוחבי נועד בעיקרו לוודא את יישום הדרישה של שלושה קווי הגנה אפקטיביים ופיקוח משמעותי של הדירקטוריון, ובכך לחזק את הממשל התאגידי בניהול הסיכון".
