Redegørelse om IT-undersøgelse af Jyske Bank-koncernen

18-12-2024

Finanstilsynet gennemførte i december 2023 en IT-undersøgelse af Jyske Bank-koncernen. Undersøgelsen vedrørte virksomhedens IT-anvendelse og IT-risici. I den forbindelse gjorde Finanstilsynet en væsentlig observation på område for IT-risikostyring.

Sammenfatning

Finanstilsynet vurderer, at Jyske Bank har mangler i sin IT-risikostyring. Jyske Bank har på den baggrund modtaget et påbud om at sikre en tilstrækkelig styring af området.

Jyske Banks risikostyringsfunktion fører ikke tilstrækkelig kontrol på IT-risikoområdet. Risikostyringsfunktionen har kun i et begrænset omfang selvstændigt kontrolleret, vurderet og rapporteret om, hvorvidt IT-sikkerhedspolitikken sikrer en tilstrækkelig styring af IT-risikoen, og om, hvorvidt kravene til IT-sikkerhedspolitikken og underliggende forretningsgange er fastsat i overensstemmelse med direktionens og bestyrelsens ønskede niveau for IT-sikkerhed[1].

Derudover er risikostyringsfunktionens kontrolarbejde ikke tilstrækkeligt uafhængigt af de øvrige kontrolfunktioner. Endeligt har risikostyringsfunktionen ikke sikret en tilstrækkelig fremdrift i implementering af metoder, kontrolplaner og udførelse af verifikationskontroller[2].

Manglerne medfører en risiko for, at rapporteringen til ledelsen ikke i tilstrækkeligt omfang giver ledelsen mulighed for at vurdere effektiviteten af de etablerede sikkerhedsforanstaltninger på IT-risikoområdet. Derudover kan en utilstrækkelig IT-risikostyring i Risikostyringsfunktionen have konsekvenser for, at der ikke forekommer en rettidig uafhængig overvågning og rapportering af IT-relaterede risici. På denne baggrund kan der være risiko for, at risici ikke adresseres behørigt for eksempel risikoen for, at der kan opstå forstyrrelser i services til kunderne.

Banken havde ved udgangen af 2023 fastsat et kapitaltillæg på 120 mio. kr. til afdækning af forhøjede risici på IT-området. Finanstilsynet finder ikke på baggrund af denne undersøgelse grundlag for at tilsidesætte bankens kapitaltillæg.

 

[1] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 5 nr. 106 og 107.

[2] Bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.fl., § 1. stk. 3, jf. bilag 7 nr. 4, 6 og 17.