Indledning
Finanstilsynet var i februar 2011 på funktionsundersøgelse i it-området hos DLR Kredit A/S.
Denne redegørelse offentliggøres efter reglerne i bekendtgørelse om finansielle virksomheders pligt til at offentliggøre Finanstilsynets vurdering af virksomheden.
Sammenfatning og risikovurdering
Finanstilsynet gennemgik it-området, herunder it-strategi og organisation, retningslinjer, beredskab samt selskabets styring af outsourcede it-funktioner samt kontroller og rapportering vedrørende it-sikkerhed.
Finanstilsynet vurderer, at realkreditinstituttet på nogle områder ikke lever op til kravene om it-sikkerhed i lovgivningen for finansielle virksomheder.
DLR Kredits A/S’ interne retningslinjer for outsourcing er ikke tilstrækkelige til at sikre, at bestyrelsen kan foretage fornøden kontrol og opfølgning på outsourcede funktioner. Retningslinjerne levede således ikke op til de krav, der følger af outsourcingbekendtgørelsen.
Realkreditinstituttet havde ikke udarbejdet forretningsmæssige beredskabsplaner, eksempelvis til brug ved længerevarende nedbrud i it-driften.
Finanstilsynet har påbudt realkreditinstituttet at bringe ovennævnte forhold i overensstemmelse med kravene i lovgivningen for finansielle virksomheder.
Finanstilsynet påpegede desuden, at realkreditinstituttet ikke havde en strategi for tilstrækkeligt sikkert og hurtigt at kunne håndtere af en situation, hvor samarbejdet med it-driftsleverandøren vil ophøre med kort varsel.