Opatření ze dne 29.12.1998, kterým se stanoví požadavky na zajištění bezpečného provozu bank a poboček zahraničních bank s ohledem na riziko roku 2000

29.1.1999 | Sbírka:  6/1998 (CBN) | Částka:  9/1999ASPI

Vztahy

Nadřazené: 21/1992 Sb.
Pasivní derogace: 309/1999 Sb.
6/1998
Opatření
České národní banky
ze dne 29. prosince 1998,
kterým se stanoví požadavky na zajištění bezpečného provozu bank a poboček zahraničních bank s ohledem na riziko roku 2000
Česká národní banka podle § 11 odst. 3, § 14 a § 15 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, stanoví:
§ 1
Vymezení některých pojmů
Pro účely tohoto opatření se:
a) zajištěním bezpečného provozu banky1) a pobočky zahraniční banky2) s ohledem na rizika související s nezajištěním odolnosti automatizovaných systémů při změně letopočtu z 1999 na 2000 rozumí minimalizace rizika roku 2000;
b) rizikem roku 2000 rozumí riziko ohrožení bezpečného provozu banky a pobočky zahraniční banky z důvodů nezajištění odolnosti automatizovaných systémů banky a pobočky zahraniční banky, dceřiných společností banky, klientů a obchodních partnerů banky a pobočky zahraniční banky vůči změně letopočtu; riziko roku 2000 úzce souvisí s dalšími riziky, především rizikem ztráty likvidity, úvěrovým rizikem, rizikem podvodného jednání, rizikem "ztráty dobrého jména" a rizikem ztráty konkurenceschopnosti;
c) odolností automatizovaných systémů vůči změně letopočtu rozumí přizpůsobení těchto systémů změně data z 1999 na 2000;
d) přizpůsobením automatizovaných systémů roku 2000 rozumí, že provoz a funkčnost těchto systémů nebudou ovlivněny datem před, během i po změně letopočtu z 1999 na 2000. Přizpůsobení automatizovaných systémů roku 2000 spočívá v tom, že:
- změna hodnoty data nezpůsobí přerušení provozu těchto systémů před, během i po změně letopočtu,
- rok 2000 musí být v systémech rozpoznán jako rok přestupný,
- funkčnost systémů, používajících data, musí být stejná před, během i po změně letopočtu z 1999 na 2000,
- funkčnost systémů, používajících rodná čísla, musí být stejná před, během i po změně letopočtu z 1999 na 2000,
- ve všech systémových rozhraních (interface) i při ukládání a uchovávání dat musí být letopočet specifikován v jakémkoliv datu jednoznačně (buď explicitně, nebo jednoznačnými algoritmy a nebo jednoznačnými implikačními pravidly);
e) automatizovanými systémy rozumí především počítačové prostředí (včetně hardware, systémového software, síťového software, komunikačního software), aplikační software, software zajišťovaný a provozovaný třetími stranami v rámci smluv o externí spolupráci, technické vybavení se zabudovanými řídícími počítači nebo čipy apod.;
f) dceřinou společností rozumí společnost, ve které má banka kontrolu.3)
§ 2
Banka a pobočka zahraniční banky minimalizuje riziko roku 2000, především zajistí odolnost svých automatizovaných systémů vůči změně letopočtu.
§ 3
(1) Banka a pobočka zahraniční banky musí mít strategii k minimalizaci rizika roku 2000. Tato strategie bude v případě banky předložena ke schválení představenstvu a dozorčí radě banky, v případě pobočky zahraniční banky osobě pověřené vedením pobočky zahraniční banky. Strategie musí zahrnovat zejména oblasti organizačního, finančního a personálního zabezpečení, inventury automatizovaných systémů, přizpůsobení automatizovaných systémů, ověření odolnosti automatizovaných systémů, spolupráce s dodavateli automatizovaných systémů, spolupráce s auditory, komunikace s veřejností, klienty a obchodními partnery banky a pobočky zahraniční banky.
(2) Banka a pobočka zahraniční banky určí vedoucího zaměstnance, který je odpovědný za dohled nad řízením rizika roku 2000 a jeho jméno sdělí České národní bance do 31. ledna 1999.
(3) Banka a pobočka zahraniční banky vyhradí na minimalizaci rizik roku 2000 takové finanční prostředky, které budou odpovídat charakteru a rozsahu rizika roku 2000, jemuž je banka a pobočka zahraniční banky vystavena.
(4) Banka a pobočka zahraniční banky vyčlení dostatečný počet odborných pracovníků, kteří se budou věnovat minimalizaci rizika roku 2000. Počet i kvalifikační struktura těchto pracovníků musí odpovídat charakteru a rozsahu všech dílčích rizik, kterým je banka a pobočka zahraniční banky vystavena.
(5) Banka a pobočka zahraniční banky seznámí všechny své zaměstnance, kteří pracují s automatizovanými systémy nebo přicházejí do styku s klienty s rizikem roku 2000 a se způsobem jeho minimalizace.
(6) Vedoucí zaměstnanec banky a pobočky zahraniční banky pověřený řízením rizika roku 2000 spolupracuje úzce s útvarem vnitřního auditu bank a pobočky zahraniční banky a auditory bank a poboček zahraničních bank v této věci.
§ 4
(1) Banka a pobočka zahraniční banky identifikuje všechny automatizované systémy provozované přímo bankou, pobočkou zahraniční banky nebo třetími stranami, které mohou být rizikem roku 2000 dotčeny.
(2) Banka a pobočka zahraniční banky vyhodnotí, zda servisní organizace, výrobci a dodavatelé automatizovaných systémů, se kterými spolupracuje, budou schopni splnit její požadavky na minimalizaci rizika roku 2000 a na základě tohoto vyhodnocení přijme banka a pobočka zahraniční banky příslušná opatření.
(3) Banka a pobočka zahraniční banky provede rovněž všechny potřebné kroky k omezení rizika roku 2000 z důvodů, že automatizované systémy dceřiných společností banky, klientů a obchodních partnerů banky a pobočky zahraniční banky nebudou odolné vůči změně letopočtu. Tyto kroky budou zahrnovat především vyhodnocení zajištění bezpečného provozu dceřiných společností banky, klientů a obchodních partnerů banky a pobočky zahraniční banky s ohledem na riziko roku 2000, vyhodnocení možných dopadů na banku a pobočku zahraniční banky, pokud bezpečný provoz dceřiných společností banky, klientů a obchodních partnerů banky a pobočky zahraniční banky zajištěn nebude, a způsob omezení těchto dopadů na banku a pobočku zahraniční banky.
(4) Banka a pobočka zahraniční banky přizpůsobí a otestuje automatizované systémy fungující uvnitř banky a pobočky zahraniční banky do 31. března 1999.4) Banka a pobočka zahraniční banky provádí další testování i po tomto datu.
(5) Banka a pobočka zahraniční banky povede podrobné záznamy o průběhu testování. Tyto záznamy na požádání předloží České národní bance. Záznamy musí zahrnovat zejména popis testovacího prostředí, použité metody testování, použitá testovací data, průběh testování, výsledky testování a vyhodnocení testování.
§ 5
(1) Banka a pobočka zahraniční banky musí mít nouzový plán (plán kontinuity podnikání, havarijní plán) pro případ, že některé z automatizovaných systémů i přes všechny učiněné kroky nebudou odolné vůči změně letopočtu tak, aby byla na jejich základě schopna zajistit náhradní provoz.
(2) Nouzový plán (plán kontinuity podnikání, havarijní plán) obsahuje i popis způsobu zajištění náhradního provozu v případě, že dojde k chybné funkci telekomunikačních prostředků, k poruchám v dodávkách energetických a dalších zdrojů nebo jiným obdobným problémům a řešení potřeby likvidity v případě zvýšeného výběru hotovosti ze strany klientů.
§ 6
(1) Banka a pobočka zahraniční banky informuje vhodným způsobem (například inzerátem v tisku nebo zveřejněním na internetu), nejpozději do 30. června 1999 veřejnost o zajištění odolnosti svých automatizovaných systémů vůči změně letopočtu, jakož i o dalších krocích vedoucích k minimalizaci rizika roku 2000 a obsahu modifikované zprávy5) auditora k riziku roku 2000.
(2) Banka a pobočka zahraniční banky předává svým zaměstnancům pravidelně pokyny, jaké informace poskytovat klientům, obchodním partnerům a dalším zájemcům o postupu banky a pobočky zahraniční banky při minimalizaci rizika roku 2000 v bance a pobočce zahraniční banky.
§ 7
Závěrečná ustanovení
(1) Banka a pobočka zahraniční banky předloží strategii podle § 3 odst. 1 České národní bance do jednoho měsíce ode dne účinnosti tohoto opatření. Banka a pobočka zahraniční banky předloží nouzový plán (plán kontinuity podnikání, havarijní plán) podle § 5 tohoto opatření České národní bance do 31. března 1999. Banka a pobočka zahraniční banky předloží České národní bance veškeré změny těchto dokumentů bezodkladně po jejich schválení.
(2) Banka a pobočka zahraniční banky měsíčně vyhodnocuje proces minimalizace rizika roku 2000. Výsledky tohoto vyhodnocení budou předávány dozorčí radě banky nebo osobě pověřené řízením pobočky zahraniční banky a na požádání rovněž České národní bance.
§ 8
Účinnost
(1) Toto opatření nabývá účinnosti dnem vyhlášení.
(2) Účinnost tohoto opatření končí dnem 31. prosince 2000.
Guvernér
v z. Ing. Kysilka, CSc., v. r.
Sekce politiky bankovního dohledu
Odpovědný zaměstnanec:
Ing. Urban,
tel. 2441 2996
1) § 1 odst. 1 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů.
2) § 1 odst. 6 zákona č. 21/1992 Sb.
3) § 17a zákona č. 21/1992 Sb.
4) § 4 odst. 3 Opatření ČNB č. 4 ze dne 29. 9. 1998, kterým se stanoví požadavky na zprávu o hospodaření banky.
5) Auditorská směrnice š. 3 Zpráva auditora k účetní závěrce.