Sammenfatning
Finanstilsynet vurderer, at Jyske Bank har mangler i sin IT-risikostyring. Jyske Bank har på den baggrund modtaget et påbud om at sikre en tilstrækkelig styring af området.
Jyske Banks risikostyringsfunktion fører ikke tilstrækkelig kontrol på IT-risikoområdet. Risikostyringsfunktionen har kun i et begrænset omfang selvstændigt kontrolleret, vurderet og rapporteret om, hvorvidt IT-sikkerhedspolitikken sikrer en tilstrækkelig styring af IT-risikoen, og om, hvorvidt kravene til IT-sikkerhedspolitikken og underliggende forretningsgange er fastsat i overensstemmelse med direktionens og bestyrelsens ønskede niveau for IT-sikkerhed[1].
Derudover er risikostyringsfunktionens kontrolarbejde ikke tilstrækkeligt uafhængigt af de øvrige kontrolfunktioner. Endeligt har risikostyringsfunktionen ikke sikret en tilstrækkelig fremdrift i implementering af metoder, kontrolplaner og udførelse af verifikationskontroller[2].
Manglerne medfører en risiko for, at rapporteringen til ledelsen ikke i tilstrækkeligt omfang giver ledelsen mulighed for at vurdere effektiviteten af de etablerede sikkerhedsforanstaltninger på IT-risikoområdet. Derudover kan en utilstrækkelig IT-risikostyring i Risikostyringsfunktionen have konsekvenser for, at der ikke forekommer en rettidig uafhængig overvågning og rapportering af IT-relaterede risici. På denne baggrund kan der være risiko for, at risici ikke adresseres behørigt for eksempel risikoen for, at der kan opstå forstyrrelser i services til kunderne.
Banken havde ved udgangen af 2023 fastsat et kapitaltillæg på 120 mio. kr. til afdækning af forhøjede risici på IT-området. Finanstilsynet finder ikke på baggrund af denne undersøgelse grundlag for at tilsidesætte bankens kapitaltillæg.
[1] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 5 nr. 106 og 107.
[2] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 7 nr. 4, 6 og 17.