Inspektionen omfattede følgende områder:
- IT-sikkerhedsstyring
- IT-risikostyring
Sammenfatning
Finanstilsynet vurderer, at DLR Kredit har mangler i sin IT-sikkerhedsstyring og IT-risikostyring. Disse mangler medfører en risiko for, at DLR Kredit overser relevante IT-risici, og at instituttets ledelse ikke har et tilstrækkeligt beslutningsgrundlag på IT-sikkerhedsområdet.
Finanstilsynet har givet DLR Kredit en række påbud for at udbedre manglerne.
DLR Kredits forsvarslinjer har ikke et tilstrækkeligt fokus på IT-sikkerhedsområdet. Det skyldes blandt andet, at anden og tredje forsvarslinjes kontrolaktiviteter ikke tilstrækkeligt modsvarer de risici, der er på området. Derudover mangler DLR Kredit at fastlægge klare målsætninger for sin IT-sikkerhed samt at sikre, at kravene i instituttets IT-sikkerhedspolitik modsvarer instituttets IT-risici. På den baggrund har Finanstilsynet påbudt DLR Kredit at sikre en tilstrækkelig styring af sin IT-sikkerhed.
DLR Kredit har ikke sikret, at IT-risici bliver styret tilstrækkeligt og på en ensartet måde på tværs af instituttet og dets leverandører. DLR Kredit dokumenterer derudover ikke sin IT-risikostyringsproces tilstrækkeligt. Dertil kommer, at DLR Kredits anden forsvarslinje ikke i tilstrækkelig grad kvalitetssikrer alle relevante dele af IT-risikostyringsprocessen, herunder identifikation, vurdering, håndtering, overvågning og rapportering af IT-risici. På den baggrund har Finanstilsynet påbudt DLR Kredit at styrke sin IT-risikostyring.
Ovenstående mangler i DLR Kredits IT-sikkerhedsstyring og IT-risikostyring medfører en risiko for, at ledelsen ikke får et tilstrækkeligt billede af instituttets reelle IT-sikkerhedsniveau og IT-risikoeksponering. Dertil kommer, at Finanstilsynet har fundet eksempler på IT-risici, som ikke er rapporteret tydeligt til ledelsen. På den baggrund har Finanstilsynet påbudt DLR Kredit at sikre en forbedret ledelsesrapportering på IT-sikkerhedsområdet.