| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Poradniki > Proces wdrażania systemu IT

Proces wdrażania systemu IT

Proces wdrożenia IT obejmuje zazwyczaj kilka etapów: od wyboru wykonawcy, poprzez negocjacje umowy, wdrożenie i uruchomienie pilota systemu, wdrożenie masowe, na starcie produkcyjnym skończywszy. Po końcowym etapie rozpoczyna się użytkowanie systemu, któremu zwykle towarzyszy jego utrzymanie (serwis). Każdy z tych etapów i sprawność przechodzenia kolejno przez każdy z nich odgrywa bardzo ważną rolę w powstaniu końcowego produktu - wdrożenia i działania systemu IT.

Systemy informatyczne są niezbędnym elementem infrastruktury każdej instytucji finansowej, a w szczególności banku, którego głównymi atutami są niezawodność, szybkość oraz duży wolumen możliwych do przeprowadzenia transakcji. Banki nie mogą sobie pozwolić na przerwę lub błąd w funkcjonowaniu takiego systemu, gdyż jest on głównym kanałem umożliwiającym dystrybucję ich usług. Dlatego przykładają one niezwykłą wagę do treści oraz formalnej poprawności umów zawieranych z dostawcami systemów informatycznych.
Podstawowe zagadnienia związane z wdrażaniem kompleksowych systemów informatycznych reguluje ustawa Prawo bankowe, która tworzy szereg wymogów odnoszących się do możliwości posługiwania się tzw. outsourcingiem, czyli powierzaniem przez banki innym przedsiębiorcom wykonywania określonych czynności bankowych oraz czynności faktycznych związanych z działalnością bankową. Regulacja ta ma przede wszystkim na celu zapewnienie klientom banków maksymalnego bezpieczeństwa ich środków oraz ochronę danych krytycznych, w posiadanie których wchodzi bank w związku z wykonywaniem czynności bankowych.
Z perspektywy prawa bankowego działalność dostawców usług informatycznych polega na wykonywaniu czynności faktycznych związanych z działalnością bankową, dlatego też umowy z nimi muszą spełniać wymogi ustawowe ustanowione dla outsourcingu czynności bankowych. W praktyce oznacza to, iż umowy te, oprócz formalnego wymogu formy pisemnej, nie mogą wyłączać ani też w żaden sposób ograniczać odpowiedzialności dostawcy usług IT za szkody wyrządzone klientom banku wskutek niewykonania lub nienależytego wykonania umowy. Dodatkowo zamiar zawarcia lub zmiany takiej umowy podlega notyfikacji do Komisji Nadzoru Bankowego, która musi mieć zapewnioną możliwość efektywnego nadzoru nad wykonywaniem powierzonych dostawcy czynności. Bank oraz przedsiębiorca muszą m.in. określić w umowie plan działania, zapewniający ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową oraz sposób ochrony tajemnicy prawnie chronionej. KNB, po dokonaniu szczegółowej analizy konkretnej umowy, np. w przypadku stwierdzenia zagrożenia dla ostrożnego i stabilnego zarządzania bankiem, może nawet nakazać bankowi jej rozwiązanie.
Istotnym ułatwieniem stosowania outsourcingu przez banki jest zasada, iż obowiązek zachowania tajemnicy bankowej nie dotyczy przypadków ujawnienia informacji nią objętych przedsiębiorcom, którym bank powierzył wykonywanie, stale lub okresowo czynności związanych z działalnością bankową, w zakresie niezbędnym do należytego wykonywania tych obowiązków. Tym samym bank może udostępnić podmiotowi zewnętrznemu informacje poufne bez konieczności uzyskiwania pisemnego upoważnienia od osoby, której one dotyczą.
Sprawne działanie systemu informatycznego banku zostało również uznane przez nadzór bankowy za istotne na tyle, iż w celu zapewnienia odpowiedniego standardu funkcjonowania bankowych systemów IT, Komisja Nadzoru Bankowego wydała tzw. Rekomendację D, która dotyczy zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki. Wskazuje ona metody analizy zagrożeń oraz tworzenia zabezpieczeń bankowych systemów IT oraz kładzie nacisk na wiodącą rolę odpowiednich władz banku w ramach procesu ich tworzenia oraz implementacji. Zgodnie z zaleceniami tej rekomendacji banki, w umowach z dostawcami systemów IT, muszą zapewnić, aby system taki posiadał odpowiedni plan reagowania awaryjnego, co faktycznie wiąże się z koniecznością posiadania zapasowych serwerów, baz danych oraz dodatkowego centrum zarządzania, umieszczonych fizycznie w lokalizacji odległej od standardowego miejsca, w którym na co dzień działają. Dostawca musi zapewnić bankowi odpowiednie możliwości kontroli wewnętrznej, a w szczególności realizacji tzw. śladu audytorskiego dotyczącego wprowadzenia oraz wycofania każdej istotnej informacji bankowej. Umowy na wykonanie poszczególnych systemów muszą przewidywać również wykonanie przez dostawcę odpowiednich szkoleń dla personelu.

IRENEUSZ STOLARSKI
radca prawny, Kancelaria Baker & McKenzie
reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

FPA Group

Outsourcing księgowości, kadr i płac oraz usługi prawne i konsultingowe

Zostań ekspertem portalu Infor.pl »