Indledning
Finanstilsynet gennemgik udvalgte dele af IT-området, herunder den generelle IT-sikkerhedsstyring, IT-strategi, organisation, beredskabsplaner, sikkerhedspolitikker og retningslinjer. Endvidere gennemgik Finanstilsynet Saxo Banks procedurer for styring af adgange til systemer og data, ændringshåndtering, systemrevision, kontrol med outsourcede IT-funktioner samt krav og procedurer til kontrol og rapportering.
Sammenfatning og risikovurdering
Saxo Banks forrentningsmodel gør banken meget afhængig af et stabilt og sikkert IT-miljø. I forlængelse heraf har Saxo Bank med afsæt i risici implementeret veldokumenterede forretningsgange, samt sikret løbende rapportering om ændringer i IT-risikobilledet til henholdsvis direktionen og bestyrelsen. Dog påbød Finanstilsynet Saxo Bank at sikre, at alle outsourcing-aftaler er tilstrækkeligt risikovurderet og i overensstemmelse med bankens politikker og forretningsgange på området.