Bankovní institut vysoká škola Praha Katedra managementu firem a institucí
Systém řízení jakosti v bankovnictví včetně ochrany dat Diplomová práce
Autor:
Petra Bredlová Finance
Vedoucí práce:
Ing., Milan Novotný
Praha
Červen, 2010
1
Prohlášení: Prohlašuji, ţe jsem diplomovou práci vypracovala samostatně a s pouţitím uvedené literatury.
V Teplicích dne 29. června 2010
2
ANOTACE Tato diplomová práce zpracovává Systém řízení jakosti v bankovnictví včetně ochrany dat, coţ představuje poměrně specifické odvětví bankovnictví, které je úzce spjato s výpočetní technikou a její bezpečností a zabezpečením. Od historického exkurzu přes výčet základních ISO norem a bank jich vyuţívajících se práce dostává v aplikační části do konfrontace s uţití norem v praxi, čímţ si práce klade za cíl provést jakousi analýzu procesu zavádění systému kvality v bankovním sektoru, a to včetně přínosů tak problémů s tím spojených.
ANNOTATION This thesis handles quality control system in the banking sector, including data protection, which is relatively specific department of banking, which is closely linked to computer technology and its safety and security. From a historical excursion through the list of basic ISO standards and banks that use them to get work in the application of the confrontation with the use of standards in practice, so the work aims to analyze the process of introducing some sort of quality in the banking sector, including the benefits and problems associated.
3
Obsah Obsah ..................................................................................................................................... 4 1 Historie řízení kvality ......................................................................................................... 8 1.1 Pojem kvalita ............................................................................................................... 8 1.2 Podněty vedoucí ke kvalitě .......................................................................................... 8 1.3 Management kvality .................................................................................................. 10 1.3.1 Historie managementu kvality ............................................................................ 10 1.3.2 Koncepce řízení kvality ve světě ........................................................................ 13 1.3.3 Směry řízení kvality v České republice .............................................................. 16 1.3.4 Česká společnost pro jakost – ČSJ ..................................................................... 18 1.3.5 Management kvality současnosti ........................................................................ 19 2. Normy ISO zaváděné v bankovním sektoru .................................................................... 21 2.1 Vysvětlení pojmu ISO ............................................................................................... 21 2.2 Význam norem ISO ................................................................................................... 21 2.3 Struktura norem ISO 9000......................................................................................... 22 2.5 Poţadavky normy ISO 9001 ...................................................................................... 25 2.6 Normy ISO 27001 a 27002........................................................................................ 26 2.6.1 Důvody zavedení norem ISO řady 27000 .......................................................... 26 2.6.2 Přínosy po zavedení ISO řady 27000 ................................................................. 27 2.6.3 Části normy ISO 27000 ...................................................................................... 27 2.7 Další podpůrné normy v bankovnictví ...................................................................... 27 3. Přehled bankovních domů, které mají zavedeny normy ISO a jejich přínosy po zavedení ............................................................................................................................................. 29 3.1 Česká národní banka.................................................................................................. 31 3.2 ČNB vs. ÚOOÚ ......................................................................................................... 31 4. Jak se projevuje zavedení norem kvality při jednání s klientem ..................................... 34 4.1 Ochrana klienta .......................................................................................................... 34 4.1.1 Platební styk ....................................................................................................... 35 4.1.2 Elektronické bankovnictví .................................................................................. 37 4.1.3 Zaloţení běţného účtu fyzické osobě podnikatele ............................................. 40 4.2 Jednání s klientem o úvěru ........................................................................................ 40 4.2.1 Ţádost o úvěr ...................................................................................................... 41 4.2.2 Schválení a poskytnutí úvěru .............................................................................. 44 4.2.3 Zajištění úvěrové angaţovanosti ........................................................................ 46 4.2.4 Monitoring .......................................................................................................... 47 4
5. ISO/IEC 27001 (ISMS) – Systém managementu bezpečnosti informací ....................... 49 5.1 Ochrana informací a bezpečnost informačních systémů ........................................... 51 5.1.1 Zásady ochrany informací a bezpečnost informačních systémů ........................ 53 5.1.2 Základní poţadavky na ochranu informací a bezpečnost informačního systému (BIS) banky ................................................................................................................. 54 5.1.3 Bezpečnostní politika ......................................................................................... 55 5.2 Bankovní bezpečnost ................................................................................................. 55 5.2.1 Vnější bezpečnost banky .................................................................................... 56 5.2.2 Ochrana banky zevnitř ........................................................................................ 58 Seznam pouţité literatury .................................................................................................... 63 Seznam pouţitých zkratek ................................................................................................... 65 Seznam pouţitých obrázků .................................................................................................. 66 Seznam pouţitých grafů ...................................................................................................... 66 Seznam tabulek .................................................................................................................... 66 Seznam příloh ...................................................................................................................... 66
5
Úvod Obchod, směna či výměna provázejí lidstvo od svého počátku, a to ve všech moţných formách aţ do doby vzniku peněz v takové formě, jak je známe dnes. Od této doby je s penězi neodmyslitelně spjat obor bankovnictví. Stejně jako všechny obory i bankovnictví se vyvíjí a má svá specifika, a jedním z nich je také důvod pro vznik této práce. V historii je známa celá řada bankovních loupeţí a přepadení či různých druhů podvodů nebo ztrát informací apod. Právě proto vznikl obor, kterým se tato práce zabývá, a sice management bezpečnosti informací, který také úzce souvisí s ochranou osobních dat v bankovním styku. Po vstupu České republiky do EU je tato problematika ovlivňována společnými normami platnými pro celou unii, kde pro management bezpečnosti informací je nadřazena norma ISO 27001, zatímco ochrana osobních údajů podléhá zákonu na ochranu spotřebitele a zákonu o bankách, s dohledem ČNB a ÚOOÚ, jako kontrolním orgánem. Právě výše zmíněné bylo poloţeno jako základ pro cíl této práce, a sice cílem této práce je podrobně popsat postup při zavádění a provádění managementu bezpečnosti informací na základě norem ISO v bankovním sektoru, a vytvořit tak v teoretické části práce ucelený popis této problematiky v součinnosti s ochranou dat. V praktické rovině je práce zaměřena na konkrétní poznatky z kaţdodenní praxe v bankovnictví, kde je management bezpečnosti aplikován. Tyto základní předpoklady jsou nutné pro vytvoření určité konfrontace mezi tzv. „suchým“ teoretickým výkladem norem a zákonů, a konkrétní praxí, z čehoţ je závěrem této práce vytvořen vlastní ucelený názor a zhodnocení. V úvodní části teoretického aparátu této práce jsou popsány základní pojmy, které jsou pro tuto práci a pochopení dané problematiky nutné. Následuje historický exkurz, který je poměrně důleţitý, neboť vlivem změny politického uspořádání v dnešní České republice v průběhu devadesátých let bylo způsobeno mnoho důleţitých změn. Za základní body je povaţována transformace ekonomiky v roce 1990 a následný rozmach bankovního sektoru v devadesátých letech minulého století, a vstup České republiky do EU v roce 2004, coţ přineslo společné evropské směrnice a normy ISO, kterými, jak bylo jiţ uvedeno, se tato problematika řídí. Tyto normy jsou dále popsány v dalším tematickém celku této práce, coţ představuje hlavní teoretickou rovinu, z které bude poté vycházeno pro konfrontaci s praxí. Další část práce, a sice přehled bankovních domů, které mají zavedené normy kvality, lze označit za určitý přechod mezi teoretickou rovinou a praktickou částí práce, neboť je zde
6
nutný určitý přínos z praxe, aby bylo moţno obecně zhodnotit přínosy norem pro jednotlivé banky. Jako ryze aplikační část lze nazvat kapitolu Normy při jednání s klienty, neboť zde je vycházeno konkrétně z praxe v jednom z tuzemských bankovních domů, kde je kaţdodenní styk s normami a jejich aplikací samozřejmostí. Z těchto praktických poznatků vychází zhodnocení a jiţ výše zmíněná jakási konfrontace teorie s praxí, kde jsou nastíněny výhody a přínosy zavedených norem, jakoţto i negativní poznatky nabyté pracovními zkušenostmi. Tato konfrontace s dílčím hodnocením jsou základními předpoklady pro vytvoření závěru práce, kde je opět v obecnější rovině zhodnoceno celkové téma a cíl práce.
7
1 Historie řízení kvality 1.1 Pojem kvalita Pojem kvalita je moţné interpretovat různě. Je to však pojem, se kterým se setkáváme jiţ dlouho. Kvalita se vztahuje k výrobkům či sluţbám, ale i k prováděným činnostem a je charakteristikou, která má svou historii. Do povědomí širokých vrstev společnosti vstoupila s masivním rozšířením řemeslné a průmyslové výroby, a snahou uplatnit své výrobky na trhu. Nejstarší definice pojmu „kvalita“ je přisuzován řeckému filozofu Aristotelovi. V jeho spisech je kvalita definována jako kategorie myšlení, coţ však pro vyuţití v ekonomii, potaţmo v této práci není vhodná definice. Významněji však z pohledu řízení organizace začal být pojem kvality vnímán kolem druhé poloviny 20. století, coţ lze povaţovat za počátky kvality v dnešním slova smyslu. Do podvědomí širší veřejnosti se pojem kvalita dostal díky výborné práci celé řady odborníků: W. Edwards Deming, Joseph M. Juran, Armand V. Fiegentbaum či Kuara Ishikawa. Z práce těchto odborníků se postupem času vytvořila obecná definice, kterou lze povaţovat za určující, a sice „kvalita je stupeň splnění poţadavků souborem inherentních znaků, kde poţadavek je potřeba nebo očekávání, které jsou stanoveny spotřebitelem (zákazníkem), závazným předpisem a obvykle se předpokládají.“ Pojetí kvality není jen z pohledu kvality výrobku, ale je nutné, aby tento pojem obsáhl vše tj. zmíněnou kvalitu výrobku či sluţby, také kvalitu procesů, zdrojů a v neposlední řadě kvalitu samotného managementu. Zde je nutné uvést také pojem jakost, se kterým je pojem kvality často zaměňován, avšak pro potřeby této práce je nutné jejich přesné vymezení. A sice pojem jakost je pouţíván především v průmyslové výrobě či u hmotných statků, naproti tomu pojem kvalita charakterizuje především procesy a sluţby, coţ je v této práci obsaţeno, tudíţ pojem jakost v obsahovém významu tato práce dále nevyuţívá.
1.2 Podněty vedoucí ke kvalitě Existuje velké mnoţství podnětů, které mohou současné firmy vést k tomu, aby zvolily cestu pro zapojení systémů kvality managementu. Obecně lze tento trend přičíst zejména vývoji dosavadní ekonomiky a s tím úzce spjaté další faktory, které jsou dále v práci podrobněji popsány.
8
Jak je jiţ od počátků obchodu a sluţeb známo, určující faktor vycházející s principu trhu, kde se střetává nabídka s poptávkou, je cena. Základní konkurenční zbraň plní svou úlohu při boji o zákazníky, je stále vytvářen tlak na její úroveň, avšak samotná cena statku či sluţby jiţ nestačí pro komplexní rozhodování. Další nedílnou součástí konkurenčního boje, či pouhého úspěchu na trhu, je bezpochyby kvalita produktu či sluţby, avšak v tomto případě chápána jako úroveň, kvalita zpracování, výrobní postup, pouţity materiál apod. Tento faktor je samozřejmě neodmyslitelně spjat s cenou, respektive má podstatný vliv na její určení výrobcem či poskytovatelem. Veličinou spojující oba předešlé faktory je bezpochyby čas. Doba, za kterou je subjekt schopen daný statek či sluţbu vyprodukovat na určité úrovni, je v dnešní „uspěchané“ době stále důleţitějším faktorem. S postupem času se tato doba zkracovala a stále zkracuje, coţ by samozřejmě nebylo moţné bez technologického a technického pokroku. Tento jev, kdy se subjekt snaţí za co nejkratší dobu, za co nejniţší cenu a v co moţná na nejvyšší úrovni uspokojit poptávku, lze nazvat jako zvyšování kvality, bráno v obecné formě. Výsledkem součinnosti těchto výše uvedených faktorů je narůstající konkurence, a tím pádem zvyšující se konkurenční tlaky. Tím, ţe se na trhu postupem času vytvořil určitý převis nabídky nad poptávkou, se kaţdý z řad výrobců a poskytovatelů sluţeb pokouší najít co moţná největší konkurenční výhodu. Mnozí se proto obrací na systém kvality. Jak bylo výše uvedeno, zpočátku se firmy snaţily nalézt výhodu v niţší prodejní ceně, později se na konkurenční boje reagovalo tím, ţe se právě zaměřili na kvalitu svých výrobků a sluţeb v součinnosti s urychlováním procesů, tedy časem. Z toho tedy vyplívá, ţe dnešní firmy, pokud chtějí uspět se svým produktem či sluţbou, musí se zaměřit ve svém snaţení nejen na jeden ze tří faktorů, ale nejlépe splnit všechny a to ve vysoké kvalitě. Dalším důvodem proč je dobré se zaměřit na kvalitu je bezesporu samotný zákazník, a to především dobře informovaný zákazník. Právě díky vysoké konkurenci má zákazník velké spektrum moţností, pro který produkt či sluţbu se rozhodne. Zákazník se naučí rozlišovat, má představu o tom, co je pro něho to nejlepší, disponuje prostě více informacemi, a proto odpovědněji vybírá. Všechny tyto aspekty přinášejí sebou právě to, ţe zákazník začíná být vnímavější na sebemenší odlišnosti v nabídkách daných firem a to ve smyslu, ţe se probouzí vzrůstající citlivost na úroveň kvality produktů a sluţeb. Zákazník má proto moţnosti si zvolit takový výrobek či sluţbu, která nejen naplní jeho očekávání, ale také mu přinese něco navíc. Jako například
9
originálnost řešení, doprovodné sluţby, moţnost získat výrobek či sluţbu přímo pro něj tedy „na míru“, atd. Všechny tyto aspekty by měl kvalitní management kvality splňovat. Samozřejmě dle základů trţního hospodářství, velí instinkt dosáhnout co nejvyššího zisku či výnosu, který se skládá z několika následně uvedených součástí. • Výnosy – „kvalita“ můţe vést k rozšíření prodejů jak u stávajících, tak i nových zákazníků, ke zvýšení podílu na trhu, k zisku spokojenosti zákazníků a jejich loajality apod. • Náklady – můţe jít o zmenšení různých sankcí placených zákazníkům v důsledku nekvalitních dodávek, o sníţení ztrát souvisejících s vadnou produkcí, o omezení více nákladů na opravy či přepracování nekvalitních výrobků, atd. Logickým předpokladem fungování celého systému je samozřejmě určitý rámec, který dává tomuto systému řád, a sice správná legislativa, a to ve všech moţných úrovních, od zákonů EU, aţ po vyhlášky či normy. Za pomoci tohoto aparátu stát hájí zájmy občanů a tím pádem je do určité míry chrání před výrobky, které dané normy a kvóty nesplňují. V tomto směru se právě normy ISO zaměřují na splnění legislativního rámce, spojeného s výrobou či poskytováním sluţeb. Při dodrţování všeho uvedeného v souladu s veškerou legislativou firma získává další konkurenční výhodu.
1.3 Management kvality 1.3.1 Historie managementu kvality Slova kvalita/jakost se pouţívá uţ od starověku, kdy se lidé zajímali o tom, jak jim zboţí směňované na trhu slouţí. Nejstarší definice pojmu je však přisuzována Aristotelovi. Za první písemně doloţený akt jakosti se povaţuje ustanovení z Chammurapiho zákoníku, které se týká jakosti a bezpečnosti na stavbě. Stavitel, který postavil dům s nevyhovující konstrukcí, a ten se v důsledku toho zřítil a zabil majitele, byl potrestán smrtí. Pokud zahynul i majitelův syn, byl i syn stavitele potrestán smrtí. Další doloţené informace jsou z roku 1700 př. n. l. a hovoří o Féničanech, kteří na pobřeţí Středozemního moře rozvinuli řemeslnou výrobu. Do královského paláce dodávali podle poţadavků různé výrobky, na jejich kvalitu dohlíţeni královští kontroloři. Nedodrţení poţadavků se trestalo useknutím ruky. Sankce byly dost kruté, ke zmírnění došlo aţ ve středověku, ale například ve Francii usekávání rukou přeţilo aţ do počátku novověku. Ve středověku hlídala jakost výrobku různá nařízení řemeslnických cechů. Příkladem jsou zlatnické dílny v Německu, které nesměly pro trh vyrábět zlato s ryzostí niţší neţ 16 10
karátů. Předpisy toto povolovaly pouze v případě, kdy se jednalo o individuální přání zákazníka. Ryzost však nikdy nesměla být sníţena pod 14 karátů. Zlatníci tak chránili svou pověst, ale i pověst svého města. Za vlády cara Petra I. Velikého byla zjištěna špatná jakost děl dodávaných vojsku ze zbrojní továrny v tulské oblasti. Car nařídil přísné tresty pro viníky, kteří byli v jeho sluţbách – pokutovat, degradovat, vyhodit ze zaměstnání, zbít do bezvědomí apod. Zároveň nařídil nápravná opatření spočívající ve zpřísněné kontrole všech děl a pravidelné zkoušení vybraných kusů střelbou aţ do jejich zničení. Rozvoj fyziky v 18. století výrazně přispěl k systematické péči o jakost. Nejdůleţitějším bylo zavedení měření fyzikálních veličin, poznání principu vyměnitelnosti mechanických součástí v technických zařízeních a rozvoj metrologie. Druhá světová válka výrazně zesílila poţadavek na kvalitu ve výrobě. Obrovské mnoţství válečného materiálu mohlo být vyráběno pouze za podstatného zlepšení kvality výroby a jejího plánování. Kvalita výroby byla cíleně vyţadována, průběh výroby byl pečlivě sledován, prováděla se pravidelná měření, která se následně vyhodnocovala. Poţadavky na hodnoty technických vlastností byly stanoveny v normách a představovaly základní kritérium pro ověřování jakosti. Za kvalitu byl povaţován produkt se stoprocentní úrovní výrobního provedení. Díky masové výrobě se dařilo uspokojovat velkou poptávku po výrobcích a sluţbách, která vznikla strádáním během druhé světové války. Zároveň rostly poţadavky na kvalitu výrobků a bylo zřejmé, ţe výrobek, který plní předepsané technologické parametry, nemusí být na trhu úspěšný. Zákazníky byly navíc zohledňovány i jiné parametry jako například vzhled a spolehlivost. Japonci byli první, kteří pochopili přínos kvality jako konkurenční výhody pro podniky i pro celou společnost a zavedli všechny poznatky do kaţdodenní praxe. Díky doporučení E. Deminga a J. Jurana ukázali celému světu taţení na ekonomickou prosperitu zaloţené i na kvalitě výrobků a sluţeb. Díky tomu si i ostatní průmyslové společnosti začaly uvědomovat nebezpečí pro konkurenceschopnost svých produktů. Poţadavky na management jakosti byly poprvé stanoveny v normách AQAP (Allied Quality Assurance Publications) pro NATO. Pravidla se osvědčila i v civilních oborech a v roce 1980 byla ustanovena technická komise ISO/TC 176. Výsledkem byl návrh a v roce 1987 přijetí norem ISO řady 9000 pro řízení jakosti. Od té doby byly ISO normy dvakrát revidovány a to v letech 1994 a 2000.
11
V současné době existuje velké mnoţství organizací, které splňují ustanovení nejrůznějších poţadavků na řízení jakosti - AQAP, normy ISO 9000, QSF pro letectví a kosmonautiku, GMP pro výrobce potravin a léků, stanovených Světovou zdravotnickou organizací WHO, VDA či QS pro automobilový průmysl atd. S vývojem řízení jakosti je spojena celá řada významných osobností. Kaţdý z nich přispěl svými poznatky i jejich praktickou aplikací k dalšímu rozvoji řízení jakosti. Následuje výčet těch nejdůleţitějších osobností, jejichţ vliv na rozvoj nelze opomenout. Dr. W. Edwards Deming americký statistik, který proslul prací statistického řízení jakosti v Japonsku v období po druhé světové válce, začal zavádět statistické metody při zabezpečování kvality produkce, v návaznosti na to připojil myšlenku trvalého zlepšování jakosti a výkonů podniků. A zároveň se stal autorem metody PDCA (Plan-Do-Check-Act) dle Deminga byla nazvána jedna z celosvětově uznávaných cen udělovaných za jakost Demingova cena Prof. Joseph M. Juran nejbliţší spolupracovníka pokračovatel Deminga chápal řízení kvality jako nedílnou a významnou součástí celkového managementu vytvořil koncept známý jako celopodnikové řízení jakosti, který hlásal, ţe jakost je záleţitostí všech podnikových činností Armand V. Fiegentbaum je znám svou koncepcí komplexního řízení kvality TQC, vyţadující zapojení všech funkcí podniku do procesu zajišťování jakosti produktů kvalita pro něj znamenala naprosté splnění poţadavků zákazníka Prof. Koaru Ishikawa dle jména je moţné zjistit, ţe Ishikawa je představitel japonské školy řízení kvality je známý především jako zakladatel tzv. krouţků jakosti, tedy nástrojů pro zapojení řadových pracovníků do problematiky jakosti Dr. Genichi Taguchi rozvinul zejména praktické pouţívání metod navrhování experimentů 12
otevřel nové pohledy na vztah mezi úrovní jakosti a ekonomickými ztrátami vzniklými špatnou jakostí
Phil Crosby propagoval, ţe péče o jakost není ztrátovou záleţitostí, ale naopak přínosem pro společnost zachránil například státní projekt rozvoje dálkových raket v USA, kterému hrozil neúspěch právě díky problémy s jakostí Prof. Dr. Walter Masing odborník především na jakost elektronických řídících systémů jeden ze zakladatelů EOQ a její první předseda zasadil se i rozvoj výuky problematiky jakosti na německých školách 1.3.2 Koncepce řízení kvality ve světě 50. a 60. léta Po druhé světové válce se řízení jakosti orientuje na vlastnosti produktu. Prohloubila se dělba práce a rozvíjela se velkosériová výroba na automatizovaných linkách. Řízení jakosti spočívalo v kontrole parametrů polotovarů a zkoušení hotových výrobků, aby se zabránilo dodání nevyhovujících výrobků zákazníkům. Priority „řízení jakosti u zmíněného období zachycuje obrázek 1. Obrázek 1: Řízení jakosti typický pro 50. a 60. léta
Dodavatelé
Vstupy
Zákazníci
Interní procesy
Zdroj: vlastní konstrukce
13
Produkt
70. léta Jakost byla směřována především na potřeby stabilizovat vlastnosti produktu. Začaly se uplatňovat myšlenky pro tvorbu TQM ( Total Quality Management). Základem je, ţe realizace zabezpečování jakosti probíhá ve všech fázích procesu, ve kterých se vstupy transformují na výstupy poţadovaných vlastností. Proto je nutné, aby se ţádný z procesů neodchyloval od zaručených parametrů. Pokud by došlo k odchýlení, znamenalo by to, ţe výrobek uţ není schopen dosáhnout zaručené jakosti produktu. Obrázek 2: Řízení jakosti typický pro 70. Léta
Dodavatelé
Vstupy
Zákazníci
Interní procesy
Produkt
Zdroj: vlastní konstrukce
80. léta Jak bylo jiţ uvedeno výše, v osmdesátých letech se začalo projevovat, ţe výrobek bez vady je obtíţně prodejný. Proto se jakost začíná spojovat s uţitečností výrobku a jeho funkcemi ve spotřebě. V tomto období se firmy začínají orientovat na zákazníka. Hlavním faktorem určujícím jakost výrobku je jeho přijetí zákazníkem. Výrobek se stejnými parametry a vlastnostmi, nemusí být jinými zákazníky akceptován, tudíţ ho nelze označit jako jakostní výrobek. Vzniká nový fenomén, který má dva aspekty. O jakosti výrobků rozhoduje zákazník, rozhodnutí je vţdy individuální, mění se od jedince k jedinci. Heslo „náš zákazník, náš pán“1 tuto etapu přesně popisuje.
1
Zdeněk Bednarčík :Mezinárodní systémové standardy.Slezská univerzita v Opavě, Obchodně podnikatelská fakulta v Karviné 2009. ISBN 978-80-7248-532-1, str. 22 14
Obrázek 3: Řízení jakosti typický pro 80. léta
Dodavatelé
Zákazníci
Vstupy
Interní procesy
Produkt
Zdroj: vlastní konstrukce
90. léta Kvalita produktů, interních procesů a produktů uţ zcela odpovídala poţadavkům zákazníka. Největší slabinou se naopak staly externí procesy jako je distribuce výrobků, servis u zákazníka ale hlavně jakost vstupů. Nekvalitní vstupy totiţ mají vliv na riziko vzniku neshod způsobených dodavateli, coţ má negativní vliv na konečného zákazníka. Z tohoto důvodu vzniká poţadavek na stabilizaci jakosti vstupů. Prioritou organizací je tak na základě spolupráce s dodavateli dosahovat dodávek s vysokou kvalitou, které budou dodávat vstupy správně a přesně přizpůsobené potřebám efektivního průběhu podnikových procesů. Díky tomu vyţaduje řada organizací u svých dodavatelů zavádění norem zajišťujících průhlednost a přehlednost v jednotlivých činnostech a procesech, které ovlivňují jakost odebírané produkce. Obrázek 4: Řízení jakosti typický pro 90. Léta
Dodavatelé
Vstupy
Zákazníci
Interní procesy
Zdroj: vlastní konstrukce 15
Produkt
Na počátku devadesátých let představila Evropská nadace pro management kvality model excelence - EFQM, který slouţí jako doporučující rámec pro řízení organizací v podnikatelské sféře i ve veřejných sluţbách. Model EFQM lze pouţívat jako metodický nástroj pro zlepšování manaţerských praktik a téţ jako souhrn kritérií pro jejich hodnocení. Model je základem pro hodnocení organizací v soutěţi o Evropskou cenu kvality. Je aplikován a vyuţíván i v soutěţích o národní ceny jakosti ve většině evropských zemí. Ve Spojených státech amerických je na podobných principech udělována Baldringova cena za jakost a v Japonsku Demingova cena za jakost. V Evropské unii je problematice kvality věnována mimořádná pozornost. Pro dosaţení evropské konkurenceschopnosti byla v roce 1993 podpora jakosti zařazena do Bílé knihy „Rozvoj, konkurenceschopnost a zaměstnanost“ a rada ministrů tuto iniciativu schválila. Byly přijaty dokumenty „A European Quality Promotion Policy for Improving European Competitiveness“ a „Benchmarking the competitiveness of European Industry“. Ty se staly základem obdobných politik v členských státech EU. V roce 1998 byla na Evropském konventu jakosti v Paříţi podepsána „Evropská charta kvality“. 1.3.3 Směry řízení kvality v České republice Vývoj na území České republiky byl silně ovlivněn politickým uspořádáním, proto lze ryze „českou“ kvalitu datovat aţ od počátku devadesátých let, nicméně sluší se uvést některé významné osobnosti, které se o rozvoj kvality postaraly. Prof. RNDr. František Egermayer, DrSc. zabýval se aplikací statistických metod v řízení jakosti koncem 30. let 20. století ve Škodových závodech v Plzni byl jedním z iniciátorů vzniku Československé společnosti pro jakost a jejím předsedou otevřel postgraduální studium řízení jakosti na ČVUT v Praze PhDr. Anežka Žaludová po 2. světové válce se také zabývala řízením jakosti s pouţitím statistických metod hlavně ve strojírenství patřila k zakladatelům ČSVTS, ČSJ a navázala kontakty se zahraničními odborníky z vyspělých států 16
Jak je jiţ výše uvedeno, řízení kvality se začalo vyvíjet v České republice v devadesátých letech. Jeho protagonisty byly zejména nadnárodní a zahraniční společnosti, které při hledání místních dodavatelů poţadovaly důkazy, ţe dodavatelské společnosti jsou řízeny věrohodně a v souladu s praxí obvyklou v zahraničí. Doloţení těchto skutečností nejlépe plnila certifikace podle norem ISO. Od poloviny devadesátých let došlo k dynamickému růstu počtu organizací, které zavedly systém řízení kvality podle standardů ISO, a to prakticky ve všech oborech. Nejvýrazněji se však na počtu certifikovaných organizací podílejí obory automobilového průmyslu, elektrotechniky, stavebnictví a potravinářství. V sektoru bankovnictví nastal tento jev o něco později, coţ zachycuje práce v dalších částech, a to především v aplikační rovině. Velká revize ISO norem proběhla v České republice v roce 2000, kdy 15. prosince bylo v rámci CEN ( Evropského výboru pro normalizaci) schváleno definitivní znění norem řady EN ISO 9000:2000. Revize přiblíţila tyto standardy i organizacím podnikajícím ve sluţbách. Byly vydány 3 základní klíčové normy z plánovaného souboru norem zaměřených na systém managementu kvality. Jejich cílem je usnadnit porozumění ve vnitrostátním a mezinárodním obchodu. Snahy o sjednocení a kodifikaci přístupů našly odezvu i u nás, a to v roce 1995, kdy byl představen Program Ceny České republiky za jakost. Ten důsledně respektuje a vychází z modelu EFQM a soutěţe o evropskou cenu kvality. V roce 2001 byl tomuto programu udělen vládou České republiky statut Národní ceny ČR za jakost. V národním prostředí existují i další aktivity, které sledují podporu kvality a mají právní nebo dobrovolný základ jako: akreditace – oficiální uznání, ţe subjekt akreditace (laboratoř, certifikační organizace) je způsobilý provádět specifické činnosti (zkoušky, kalibrace, certifikaci výrobků nebo systémů jakosti). V České republice plní tuto roli Český institut pro akreditaci – ČIA. značky shody – vychází ze zákona o technických poţadavcích na výrobky (č.22/1997 Sb.) a vyjadřují, ţe výrobek odpovídá stanoveným poţadavkům a při posuzování shody byly dodrţeny podmínky stanovené zákonem. značky jakosti - jsou udělovány na základě splnění stanovených transparentních poţadavků a to sdruţeními výrobců nebo distributorů. Na národní úrovni je rozšířená značka Czech Made, kterou přiznává Sdruţení pro Cenu ČR za jakost výrobkům nebo sluţbám. Značka
17
vyjadřuje, ţe výrobek nebo sluţba splňuje poţadavky dané obecně závaznými předpisy a svými parametry minimálně odpovídá srovnatelným zahraničním produktům. Stát, jako subjekt trhu, se začíná problematikou jakosti významněji zabývat aţ koncem devadesátých let. V roce 2000 dne 10.5. přijala vláda ČR dokument „Národní politika podpory jakosti“, který poprvé naformuloval vztah státu k potřebám rozvoje jakosti. Je to vyhlášený souhrn metod a nástrojů ovlivňování jakosti výrobků, sluţeb, činností v rámci národní ekonomiky a sluţeb veřejné správy. Stěţejním cílem je vytvoření prostředí, v němţ je jakost přirozenou součástí ţivota společnosti. Dokument stanovil úkoly státu v politice podpory jakosti na národní úrovni, spočívající v ochraně veřejných zájmů tzn. optimalizovat legislativu a související činnosti včetně práce inspekčních a dozorových orgánů. V podpoře podnikatelských subjektů, ve vytváření podmínek pro rozvoj a podporu všech aktivit, jejichţ cílem je podnikatelská úspěšnost, růst jakosti domácí produkce, její lepší uplatnění na světových trzích a zvýšení důvěry občanů v domácí výrobce a poskytovatele sluţeb a jejich produkty. Národní politika podpory jakosti na nadnárodní úrovni zahrnuje vytvoření podmínek pro vstup českých subjektů na jednotný trh EU, dosaţení konkurenceschopnosti českých výrobců na světových trzích a účastí na standardizaci aktivit v rámci členství v NATO. Koordinačním, poradním a iniciačním orgánem Národní politiky podpory jakosti je Rada ČR pro jakost, která byla ustanovena při Ministerstvu průmyslu a obchodu. V Radě ČR pro jakost jsou zastoupeny všechny resorty, podnikatelská sdruţení a svazy, nevládní organizace, které působí v oblasti jakosti. Velmi významnou roli v oblasti managementu kvality plní také Česká společnost pro jakost, která je nositelem a koordinátorem řady aktivit v této oblasti a respektovanou názorovou platformou. 1.3.4 Česká společnost pro jakost – ČSJ Česká společnost pro jakost byla zaloţena v roce 1990, sjednotila a soustředila názory a myšlenky, které ovlivňují vývoj pohledů na jakost v České republice. ČSJ je občanské sdruţení, které sdruţuje občany a firmy, které buď působí v oblasti jakosti, nebo se o jakost zajímají jako spotřebitelé či zákazníci. V současné době má více neţ 1500 individuálních členů a 120 členů kolektivních.
18
Posláním ČSJ je: podpora podnikatelské úspěšnosti českých organizací a rozvoje státní správy v oblasti jakosti sdruţení a uspokojování profesních zájmů a potřeb členů společnosti, občanů a organizací v oblasti managementu jakosti a souvisejících oblastech ČSJ je členem a spolupracuje s Asociací institucí vzdělávání dospělých (AIVD), Sdruţení pro oceňování kvality (SOK), Sdruţení automobilového průmyslu České republiky (SAP), Svaz
obchodu
a
cestovního
ruchu
České
republiky
(SOCR),
Český
svaz
vědeckotechnických společností (ČSVTS), Sdruţení pro Cenu České republiky za jakost. V zahraniční spolupracuje s Americkou společností pro jakost ASQ, Evropskou nadací pro
management
kvality,
Evropskou
organizací
pro
kvalitu,
Celosvětovou
benchmarketingovou sítí, Výsadním institutem kvality, Svazem automobilového průmyslu, Centrem managementu kvality, Národní technickou skupinou GLOBAL G.A.P.2 1.3.5 Management kvality současnosti Systém kvality a kvalita sama o sobě je neoddělitelnou součásti dnešního podnikání. V poslední době stoupl význam kvality v celosvětovém měřítku tak dramaticky, ţe se někdy hovoří o „revoluci kvality“3. Tento velký zájem o kvalitu výrobků a sluţeb vedl společnosti k tomu, ţe se rozhodly určitým způsobem začít kvalitu řídit. Mezi parametry, které vedly firmy k tomu, aby se začaly na kvalitu svých výrobků a sluţeb zaměřovat, jsou bezpochyby: narůstající náročnost spotřebitelů vzrůstající sloţitost výrobků změna v pohledu na odpovědnost výrobců či distributorů z hlediska kvality důleţitost konkurenční výhody ekonomická výhodnost zavedení systému kvality zákony a další předpisy včetně technických norem Zavedením systému managementu kvality by mělo být strategickým rozhodnutím organizace. Návrh a implementace systému managementu kvality organizace jsou ovlivňovány následujícím:
2
http://www.csq.cz/ NENADÁL, J. a kol. : Moderní systémy řízení jakosti. Management Press, Praha 2002. ISBN 80-7261-0716, str. 12 3
19
podnikatelským prostředím, jeho změnami nebo riziky spojenými s tímto prostředím měnícími se potřebami konkrétními cíli poskytovanými produkty pouţívanými procesy velikostí a strukturou organizace Vztah kvality a managementu má i druhou stránku a to je kvalita managementu, a ta je v mnohých organizacích jen popelkou. Jedná se především o kvalitu manaţerů, jejich způsobilost pro manaţerskou funkci, a kvalitu jejich výsledků, o kvalitu toho, jak vedou organizaci, o jejich jednání se všemi zájmovými skupinami atd. Tady se hodně manaţerů stále dopouští hrubých chyb, které mají neblahé důsledky pro organizaci a její okolí. Obrázek 5: Analýza účinků systému managementu jakosti
Pozitivní reference Spokojenost a loajalita zákazníka
Podíl na trhu Zvýšení konkurence schopnosti
Externí účinky Systém Jakosti
Změny cen
Interní účinky
Sníţení nákladů Zlepšení hospodářských výsledků podniku
Zvýšení produktivity a účinnosti procesů Zdroj: vlastní konstrukce 20
2. Normy ISO zaváděné v bankovním sektoru 2.1 Vysvětlení pojmu ISO ISO je zkratka pro International Organization for Standardization - Mezinárodní organizace pro normalizaci sídlící Ţenevě. Je tvořena národnímu instituty pro normalizaci z mnoha zemí světa. Organizace sdruţuje přes 100 členských zemí, kaţdá země (ať malá či velká) má jeden „rovný“ hlas. ISO se zabývá tvorbou a neustálým vývojem mezinárodních norem v mnoha různých oblastech, zkoušením a certifikací pro podporu obchodu s kvalitními výrobky a sluţbami. Představitel ČR v ISO je organizace Český normalizační institut ČSNI. V Evropě je určen pro systém ISO orgán CEN – European Committee for Standardization (Evropský výbor pro normalizaci). Členy CEN jsou národní normalizační orgány, celkem devatenácti evropských státu. ISO normy jsou poţadované trhem, jejich zavedení není povinné, ale pokud se podnik rozhodne je zavést, pak jejich znění je závazné. Normy přispívají k větší bezpečnosti spotřebitelů a uţivatelů jako celku. Cílem ISO norem je: vytvoření jednotné národní a mezinárodní zásady pro management a zabezpečování jakosti v organizacích zabezpečení jakosti ve smluvních vztazích dodavatel-odběratel a výrobce-zákazník Kromě ISO norem existují také normy vztahující se ke konkrétnímu odvětví. Např. normy řady VDA upravují kvalitativní poţadavky v automobilovém průmyslu a normy ISO 22 000 otázku bezpečnosti potravin.
2.2 Význam norem ISO Zabezpečování kvality v souladu s normami ISO 9000 je zaměřeno především na zavádění pořádku a disciplíny, společně se zaměřením na stabilitu jakosti. Jednotlivé činnosti musí byt dokumentovány. Písemnými specifikacemi úkolů se tak určují nejlepší postupy chování kaţdému jedinci s ohledem na dosaţení poţadované jakosti. Vynikající metody a zkušenosti mohou být snadno k ničemu, pokud zůstaly nezdokumentované a lidé, kteří je znají, odejdou pryč z organizace. Aby bylo zřejmé, zda poţadované aktivity byly skutečně provedeny a s jakým výsledkem, je nutné vypracovávat průběţné záznamy. Na základě dokumentace a dokladovosti všech postupů a podnikových
21
činnosti je moţno provádět zpětnou vazbu, na jejímţ základě je moţno uskutečnit potřebná nápravná opatření. Formování moderních systémů jakosti je investicí, jejíţ realizací nikdy nekončí. Je to nejlepší cesta, jakou lze v souvislosti s jakostí v současné době nastoupit. Nejde totiţ pouze o certifikaci, ale hlavně o uspokojení zákazníků a efektivní fungování systému jakosti, který můţe přispět podniku v konkurenčním boji na trhu.
2.3 Struktura norem ISO 9000 Normy ISO 9000 byly přijaty v roce 1987 a přibliţně v sedmiletém cyklu byly aktualizovány. Velká revize byla provedena a schválena na konci roku 2000. Na konci roku 2008 proběhla plánovaná revize této normy a vydání jejího nového znění. Toto vydání nepřináší takové změny jako v roce 2000, jedná se spíše o technickou revizi vedoucí k lepší srozumitelnosti. Systém managementu jakosti - ISO 9000 je dokumentovaný systém řízení, který je nedílnou součástí systému řízení společnosti. Je to vhodný nástroj pro zlepšení organizace a řízení procesů s cílem dosáhnout toho, aby jejich poţadované výstupy byly vţdy v poţadované kvalitě, mnoţství a čase pro externí i interní zákazníky. Zde je uveden přehled základních norem ISO 9000: ČSN EN ISO 9000:2006 – Systém managementu kvality – základy, zásady a slovník Z názvu je moţné vyčíst, ţe norma ISO 9000 obsahuje základní zásady managementu jakosti, jeho výklad základů a v neposlední řade definování základních pojmů týkajících se kvality a jejího zabezpečení. Uvádí základní poţadavky na konečnou podobu systému řízení kvality, který je vyhovující pro certifikaci. ČSN EN ISO 9001:2008 – Systém managementu kvality – poţadavky Normu 9001 je moţné povaţovat za stěţejní. Stěţejní je právě proto, ţe tato norma udává, jak se provádí zavádění, udrţování a zvláště pak prověřování systému formou auditů. Díky tomu je tato norma označována jako „norma kriteriální“ tzn., ţe obsahuje poţadavky, které musí organizace splnit, pokud potřebuje úspěšně prokázat fungování QMS.
22
Na konci roku 2008 proběhla plánovaná revize této normy a vydání jejího nového znění. Toto vydání nepřináší takové změny jako v roce 2000, jedná se spíše o technickou revizi vedoucí k lepší srozumitelnosti. ČSN EN ISO 9004:2001 – Systém managementu kvality – směrnice pro zlepšování výkonnosti Předmětem této normy je návod na aplikování managementu kvality. Popisuje, jaké procesy mají systémy managementu jakosti zahrnovat, zvaţuje jak efektivnost, tak účinnost. Má organizaci pomoci při vytváření a zlepšování jejího systému managementu kvality. Je zaměřena na zlepšování procesů organizace, aby zvýšila její výkonnost. Tato norma však není určena jako nástroj certifikace. Podpůrné normy – normy ISO řady 10 000 Vznik těchto norem je moţné zařadit do devadesátých let. Jsou zaměřeny na rozvinutí některých prvků systému kvality a přístupy pro management kvality ve specifických podmínkách. Ani tyto normy nejsou normami slouţícími jako nástroj certifikace. ČSN ISO 10 002:05 – Management kvality – Spokojenost zákazníka – Směrnice pro vyřizování stíţností v organizaci ČSN ISO 10 005:97 – Management kvality – Směrnice pro plány kvality ČSN ISO 10 006:04 – Management kvality – Směrnice pro plány managementu projektu ČSN ISO 10 007:04 – Management kvality – Směrnice pro management konfigurace ČSN ISO 10 012:03 – Systém managementu měření – Poţadavky na procesy měření a měřící vybavení ČSN ISO/TR 10 013:02 – Směrnice pro dokumentaci systému managementu kvality ČSN ISO/TR 10 014:99 – Směrnice pro management ekonomiky kvality ČSN ISO 10 015:01 – Management kvality – Směrnice pro výcvik ČSN ISO/TR 10 017:04 – Návod k aplikaci statistických metod v ISO 9001:2008 Z předešlého výčtu je zřejmé, ţe právě norma ISO 9001:2008 má významné postavení co se týče poţadavků na zabezpečení kvality v organizaci, pro potřeby a naplnění této práce 23
v sektoru bankovnictví. Uvádí poţadavky na podobu systému managementu kvality, včetně jeho následné implementace, tak aby byla firma úspěšně certifikována.
2.4 Základní principy fungování managementu kvality na základě ISO 9000 Normy ISO řady 9000 jsou zaloţeny právě na těchto zásadách. Zásad pro management kvality je osm a jsou určeny především pro vrcholný management a platí pro jakýkoliv typ organizace, banky nevyjímaje. Zaměření na zákazníka Společnosti jsou závislé na zákaznících, proto musí dobře porozumět současným, ale i budoucím potřebám zákazníka. Aplikování této zásady vyţaduje pochopení úplného poţadavku zákazníka a jeho očekávání. Myslí se tím uţitná hodnota výrobku, způsob dodání, cena, spolehlivost, dostupnost. Vedení Vedoucí pracovníci by měli být schopni učinit výběr hlavního směru vývoje dané společnosti tak, aby dokázali své záměry uskutečnit pomocí iniciace, aktivizace a plného zapojení podřízených pracovníků k dosaţení tíţeného záměru. Pro vrcholové manaţery proto platí, aby byli sami aktivní a byli příkladem kreativity pro ostatní, byli chápavý a uměli reagovat na změny ve svém okolí, budovali důvěru a eliminovali strach svých podřízených, vzdělávali, vedli a trénovali pracovníky a v neposlední řadě neustále zohledňovali potřeby všech zúčastněných stran, mezi které patří zákazníci, majitelé, akcionáři, dodavatelé, partneři i společnost jako celek. Zapojení pracovníků Pracovníci na všech úrovních jsou podstatou kaţdé organizace a jejich plné zapojení umoţňuje vyuţití jejich schopností v co největší prospěch organizace. Procesní přístup Poţadovaného výsledku se nejlépe dosáhne, kdyţ jsou související zdroje a činnosti řízeny jako proces. Procesní přístup zahrnuje např. definování procesů pro dosaţení poţadovaného výsledku, identifikaci vstupů a výstup, externích a interních dodavatelů a zákazníků, optimalizaci průběhu procesů, stanovení jasných odpovědností a pravomocí pro řízení procesů. Systémový přístup k managementu Zajišťuje vzájemné souvislosti procesů zaměřených na daný cíl, coţ přispívá k efektivnosti v organizaci. 24
Neustálé zlepšování Je trvalým cílem, který by se měl projevit ve výkonnosti kaţdé organizace. Jedná se o zlepšování výroby, procesů a systémů. Jako metody zlepšování je leze pouţít lineární zlepšování, přírůstkové zlepšování (PDCA) a skokové zlepšování. Rozhodování založené na faktech Veškeré rozhodování v organizaci by mělo být zaloţen na důkladné analýze informací a údajů. K tomuto rozhodování napomáhá shromaţdování informací pro daný cíl. Informace by měly být dostatečně přesné, spolehlivé a přístupné. Vzájemné výhodné dodavatelské vztahy Organizace by si měla vytvořit velmi dobré vztahy s dodavateli, nemělo by se jednat pouze o smluvní pouta, ale mělo by být docíleno určitého partnerství. Dodavatel, který je partnerem, má zájem na tom, aby svému zákazníkovi dodával správné produkty. Takovýto model je spolehlivější neţ dříve uplatňovaná vstupní kontrola. U dodavatele-partnera je do zajištění shodných výstupů zapojen celý systém dodavatelské organizace, přístup je komplexní. Sebelepší vstupní kontrola je ve srovnání s působením celého systému vţdy relativně jednostranná a proto nemůţe být zárukou bezchybnosti.
2.5 Požadavky normy ISO 9001 Ve směru poţadavků na manaţerské systémy norma vyţaduje: Specifikovat oblast pro použití managementu kvality v organizaci, popřípadě právě vyspecifikovat s odůvodněním vyloučení. Před počátkem zavádění případně v situaci, kdy o tomto procesu začne organizace uvaţovat, by se měla rozhodnout, v jakém rozsahu dané normy implementuje. Respektive na jaké organizační sloţky se zavádění systému bude či nebude vztahovat. Při rozhodování, které je v tomto případě velmi důleţité, by se měla organizace obrátit pro konzultaci na certifikační organizaci. Je moţné certifikaci provést v celé společnosti, ale i v jejich dílčích částech (divizích, pobočkových závodech), avšak tato skutečnost musí být uvedena na certifikátu. Vymezit procesy a identifikovat vzájemné působení mezi procesy systému managementu kvality. Nadále je nutné identifikovat všechny procesy systému managementu kvality a stanovit jejich vzájemné vazby. Určit kritéria pro zajišťování efektivního fungování těchto procesů, zajistit monitorování procesů, analyzovat a přijímat nezbytná opatření k dosaţení 25
naplánovaných výsledků a následné zlepšování těchto procesů. Za předpokladu, ţe organizace dodrţí veškeré předpisy pro vymezení procesů, je pak pouze na ní, jaké procesy si právě ona zvolí. Je však nutné, aby tyto dané procesy zahrnovaly všechny činnosti firmy, které mají konečný vliv na kvalitu výrobku. Pro vytvoření systému procesů je moţné přistupovat z různých hledisek.
2.6 Normy ISO 27001 a 27002 Kromě jiţ uvedených norem řady 9000 by pro bankovnictví další důleţitou součást měla také představovat řada norem ISO 27000. Tato skupina norem se zabývá především systémy řízení bezpečnosti informací. Základem či podnětem vytvoření a zavedení skupiny těchto norem byl bezesporu rozmach informačních technologií a vytvoření postupné závislosti fungování společností na těchto systémech. V dnešní době je bankovnictví doslova závislé na IT a nebylo by jiţ schopno fungovat bez této podpory. Tento jev s sebou přináší celou řady rizik a problémů, a to především bezpečnostního charakteru. Obě normy ISO 27001 a ISO 27002 jsou velmi úzce propojeny, avšak existuje mezi nimi určitý významový rozdíl. Norma ISO 27001 poskytuje model pro zavedení efektivního systému řízení bezpečnosti informací (ISMS) v organizaci a doplňuje tak normu ISO 27002. Obě normy jsou úzce propojeny, kaţdá z nich však plní jinou roli. Zatímco norma ISO 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, které mohou být vybrány při budování ISMS, norma ISO 27001 specifikuje poţadavky na to jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001. Je také třeba uvést, ţe tyto normy jsou zaváděny za účelem vytvoření souladu s dalšími standardy systému řízení, jako jsou např. právě jiţ výše uvedené normy řady 9000. Lze tedy konstatovat, ţe tato řada norem 27000 vytváří jakýsi podpůrný mechanismus, který pouze zdokonaluje úroveň sluţeb, a to především z hlediska jejich bezpečnosti. 2.6.1 Důvody zavedení norem ISO řady 27000 informace jsou klíčovou podmínkou pro správné fungování podnikatelských procesů oblast bezpečnosti informací nebyla prozatím řešena vedení organizace poţaduje efektivní systémové řešení nejsou k dispozici vlastní odborné kapacity 26
předpokládá se certifikace organizace 2.6.2 Přínosy po zavedení ISO řady 27000 řešení problematiky bezpečnosti informací v souladu s odpovídajícími normami a poţadavky organizace nepřetrţitá informovanost vedení organizace a jeho vliv na bezpečnost informací organizace zvýšení partnerské důvěryhodnosti a konkurenční schopnosti v rámci EU efektivnost vyuţívání zdrojů a kapacit 2.6.3 Části normy ISO 27000 ISO 27000 – definice pojmů a terminologický slovník pro všechny ostatní normy této série ISO 27001 – hlavní norma pro Systém řízení bezpečnosti informací ISMS, dříve BS7799 podle které jsou systémy certifikovány ISO 27002 – základní návody a doručení pro zajištění bezpečnosti informací ISO 27003 – návod k implementaci ostatních norem ISO 27007 – doporučení pro auditovaní ISMS ISO 27011 – doporučení a poţadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů
2.7 Další podpůrné normy v bankovnictví ISO 13616 (norma IBAN) – tato norma specifikuje strukturu vytváření a pouţívání mezinárodního čísla bankovního účtu, známé jako IBAN ( International Bank Account Number). Konkrétní podobu čísla účtu ve formátu IBAN vytváří banka, která účet vede, avšak standard stanovuje mezinárodní formát čísla účtu takto: znaky - kód země (CZ pro Českou republiku) 2 znaky - kontrolní číslice - umoţňuje programovou kontrolu čísla - ochrana proti chybně zadanému číslu účtu (např. z důvodu překlepu) Max. 30 znaků - kód banky a číslo účtu v rámci banky Číslo účtu ve formátu IBAN má dvě podoby - elektronickou (bez mezer) a písemnou (s mezerou za kaţdou čtveřicí znaků pro lepší orientaci). ISO 9362 (norma BIC) - určuje prvky a struktury univerzálního kódu Bank Identifier (BIC) pro pouţití v automatizované zpracování v bankovnictví a související finanční 27
prostředí. BIC se skládá z 8 nebo 11 sousedících znaků (písmena a / nebo číslic bez zvláštních znaků, jako jsou formuláře, separátory, interpunkce, atd.) a zahrnuje první tři nebo všechny čtyři z následujících čtyř sloţek: kód banky, kód země, místa kódu, větev kódu. ISO 10202 (norma PIN) – tato norma specifikuje z bezpečnostního hlediska vyuţívání PIN kódu (Personal Identification Number), a to zejména v kontextu bezpečnostních poţadavků na ověření drţitele karty. ISO 4217 (norma měn a fondů) – tato mezinárodní norma stanovuje strukturu třípísmenného abecedního kódu a ekvivalentního třímístného číslicového kódu pro měny a fondy. U měn majících i dílčí jednotky uvádí v desítkovém řádu také vztah mezi nimi a základní měnovou jednotkou. Mezinárodní norma také stanoví postupy pro orgán odpovědný za její aktualizaci a metodu pro pouţívání kódů. Tato mezinárodní norma je určena k vyuţití ve všech obchodních a bankovních případech, kdy je zapotřebí popsat měny nebo fondy. Je vhodná jak pro ruční, tak i pro automatizované systémy. ISO 7982 (norma telekomunikace) - zprávy při převodu finančních prostředků. Norma obsahuje slovník a universální sadu datových segmentů a datových prvků pro zprávy při elektronických převodech finančních prostředků. ISO 19092 (norma biometriky) – tato norma patří mezi nejnovější v segmentu bankovnictví, byla vydána v roce 2009. Stanovuje principy bezpečnostních standardů v uţívání biometrických prvků, které představují nejbezpečnější formu zabezpečení, a to především díky své jedinečnosti.
28
3. Přehled bankovních domů, které mají zavedeny normy ISO a jejich přínosy po zavedení Bankovnictví jako obor podnikání, či jako sektor hospodářství má svou dlouhou historii, avšak pro potřeby této práce je nutná pouze nedávná minulost, z které současnost vychází, nebo jí byla značně ovlivněna. Na území České republiky lze vývoj bankovnictví v „západním“ slova smyslu i významu datovat do devadesátých let minulého století, kdy po politickém převratu a vytvoření trţního modelu hospodářství, vznikl prostor pro volný pohyb kapitálu, coţ představuje základní předpoklad pro bankovní byznys. V této bouřlivé době privatizací majetku, liberalizace trhu, vzniklo velké mnoţství bankovních domů, avšak mnoho z nich mělo pouze jepičí ţivot, a to z několika následujících důvodů. Po „sešněrované“ době komunismu, nastal čas „volných rukou“, čehoţ se spousta bankéřů snaţilo vyuţít pro svůj vlastní prospěch a obohacení, nehledě na záměry banky, či její renomé, image. Tyto procesy podvodných úvěrů, pochybných transakcí a katastrofálního hospodaření bank, jsou známi pod pojmem „tunelování“, a nevyhnuly se ani českému státu jako takovému, viz stále trvající arbitráţe atd. Postupem času, uklidněním a určitou stabilizací českého finančního sektoru, se ustálilo malé mnoţství bank, které vsadily od svého počátku na kvalitu a dobrou pověst. Je třeba také dodat, ţe většinou se jedná o pobočky zahraničních bank, či později zahraniční banky do některé z českých bank vstoupily jako akcionář. Vzhledem k faktu, ţe v západním světě normy kvality, bezpečnosti a dalších segmentů bankovního podnikání, měly svou opodstatněnou tradici, přenesl se tento jev také do jejich poboček či partnerů i do České republiky. V případě české konkurence byla i tato na základě srovnání konkurenčních parametrů nucena zavést tyto standardy. Absolutní samozřejmostí se tyto procesy staly po vstupu ČR do EU, kdy volným pohybem pracovních sil, volným pohybem kapitálu, vstupem zahraničních subjektů na český trh, a konečně i devizovými obchody byl vytvořen tlak na bankovní domy působící v České republice. Bezpečnost bank ve všech moţných podobách, jako i bezpečnost informací a samozřejmě zaznamenaly obrovské změny, které byly způsobeny také rozmachem IT technologií, na základě kterých dnes bankovnictví funguje.
29
Tímto tematickým celkem práce vytváří předpoklad pro následnou konfrontaci s aplikační částí práce, a to především v oblasti řízení kvality včetně bezpečnosti informací v kontextu jednání banky a klienta, jakoţto základního vztahu. Základem této kapitoly bylo zjištění informace, které bankovní domy na českém trhu mají zavedeny normy ISO a zejména pak normu ISO 27001 Bezpečnost informačních systémů. První ţádost o poskytnutí takovýchto informací vedla směrem na Českou bankovní asociaci4, která však takovéto informace nemá vůbec k dispozici. V současné době sdruţuje v rámci plného členství 33 bank, reprezentujících více neţ 99% bankovního sektoru. K jejím úkolům patří zejména: zastupovat a prosazovat společné zájmy členů ve vztahu k Parlamentu, vládě, České národní bance a dalším právním subjektům prezentovat roli a zájmy bankovnictví vůči veřejnosti a zahraničí podílet se na standardizaci postupů v bankovnictví a na vytváření odborných usancí, podporovat harmonizaci bankovní legislativy s legislativou Evropské unie Dalším krokem byla Česká národní banka potaţmo Ministerstvo financí. Ani takovéto instituce však tyto informace neměli k dispozici, ale vzhledem k tomu, ţe ani ČNB nemá tuto normu zavedenou, dalo se tušit, ţe obdobně na tom budou i komerční banky na českém trhu. Všechny společnosti, které prošly certifikací, prezentují tuto informaci téměř vţdy na internetových stránkách. Důvodem zveřejňování informací o zavedených normách je, jak jiţ bylo řečeno, zvýšení prestiţe a konkurenceschopnosti podniku.
Na internetových
stránkách bank vystupujících na českém trhu tato informace uvedena není a dle informací poskytnutých přímo jednotlivými bankami nejsou ISO normy zavedeny ani v jedné z bank z velké čtyřky – Komerční banka, a.s., Česká Spořitelna, a.s., ČSOB a.s., Unicredit Bank Czech Republic, a.s.
Například ČSOB a.s. dle pracovníka informačních systému o
zavedení ani neusiluje, jednalo by se o velmi nákladný a náročný proces. Normy ISO by do takto velké společnosti bylo velmi obtíţné implementovat a jeho dodrţování, vzhledem k neustále se měnícím poţadavkům na bezpečnost, téměř nemoţné. Kaţdá z bank má, co se bezpečnosti informací týká, však zavedené své normy neboli bezpečnostní politiky informačních systémů, pro které byla norma ISO 27001 předlohou. 4
http://www.czech-ba.cz/ 30
Informace a informační systémy pro banky představují rozhodující a významná aktiva, bez nichţ by rychle ztratily svá postavení na trhu v oblasti bankovnictví případně dalších sluţeb, které banky nabízejí např. pojišťovací sluţby. Ochrana informací, jejich uchovávání a zlepšování informačních systémů patří k povinnostem kaţdé banky. Informace jsou rozřazeny do čtyř klasifikačních stupňů a to na přísně důvěrné, důvěrné, interní a veřejné. Cílem informační bezpečnosti je zajištění kontinuity činnosti společnosti a minimalizace moţných škod. Informační bezpečnost zahrnuje všechny procesy, postupy a techniky, systémy a kodexy, s jejichţ pomocí banky usilují o ochranu svých informací, dat a databází, svých systémů na zapracování informací a telekomunikačních sítí. I přesto, ţe banky na tuzemském trhu nemají zavedeny normy ISO, je zřejmé, ţe bezpečnost informačních systémů a ochrana dat je jejich prioritou.
3.1 Česká národní banka Česká národní banka, vnímána jako banka bank, má samozřejmě jako centrální banka mnoho úkolů a povinností. Pro potřeby této práce však je třeba zmínit především její funkci kontrolní, či moţno nazvat dozorovou nebo dohledovou. ČNB samozřejmě musí jít příkladem všem komerčním bankám, tudíţ má zavedeny veškeré ISO normy týkající se bankovnictví, a to v souladu s trendy EU. V souvislosti s ČNB je také nutné a nezbytné uvést ÚOOÚ (Úřad na ochranu osobních údajů). Tyto dvě instituce dohlíţejí a kontrolují celý peněţní a kapitálový trh, co se legislativního a legálního rámce týká. Neţ bude moţno rozdělit a vymezit pravomoc těchto dvou institucí, je třeba uvést výčet zákonů, kterými se bankovnictví v České republice řídí. 5
V kontextu těchto zákonů, ze kterých plynou jasné povinnosti a práva bank lze následně
vystihnout rozdíl mezi normami a zákony. Zatímco dodrţování zákonů a jejich ctění je naprostou povinností, která je důsledně kontrolována a nelze je opomenout, naproti tomu standardy plynoucí ze zavedení ISO norem jsou naprosto dobrovolné a nepovinné a nepodléhají ţádným zákonům, ale pouze normám a pravidlům ISO.
3.2 ČNB vs. ÚOOÚ Podle § 37 odst. 2 zákona o bankách jsou banky a pobočky zahraničních bank povinny pro účely bankovních obchodů zjišťovat a zpracovávat údaje o osobách, včetně citlivých údajů
5
Zákon č. 126/2002 Sb. o bankách Zákon č. 101/2000 Sb. o ochraně osobních údajů 31
o fyzických osobách, potřebné k tomu, aby bylo moţné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku. Účelem citovaného ustanovení je dosaţení stavu, kdy se na činnost banky jako správce osobních údajů bude vztahovat ustanovení § 5 odst. 2 písm. a), respektive v případě tzv. citlivých údajů § 9 písm. d) zákona o ochraně osobních údajů, které umoţňují provádět zpracování osobních údajů bez souhlasu subjektu údajů. Citovaná ustanovení však pouze dovolují zpracování osobních údajů bez souhlasu subjektu údajů. Vlastní zpracování ve smyslu široké definice podle § 4 písm. e) zákona o ochraně osobních údajů se však nadále řídí zákonem o ochraně osobních údajů, zejména § 5 odst. 1. Výjimka podle zákona o bankách umoţňující zpracování osobních údajů bez souhlasu subjektu údajů se vztahuje pouze na údaje o fyzických osobách, které jsou potřebné k tomu, aby bylo moţné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku. Všechny ostatní osobní údaje podléhají obecnému reţimu zákona o ochraně osobních údajů, tedy včetně poţadavků na souhlas subjektu údajů a informační povinnost banky jako správce osobních údajů. Právě vymezení toho, jaké osobní údaje jsou potřebné k tomu, aby bylo moţné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku (dále i jako "údaje o bonitě a důvěryhodnosti"), představuje závaţný problém. Na straně jedné jsou banky podle zákona o bankách povinny tyto údaje zjišťovat a zpracovávat, na straně druhé nesmí podle zákona o ochraně osobních údajů zpracovávat údaje jdoucí nad rámec citovaného vymezení bez souhlasu subjektu údajů. 6 Banky a pobočky zahraničních bank jsou na straně jedné podle výše citovaného § 37 odst. 2 zákona o bankách povinny údaje o bonitě a důvěryhodnosti zjišťovat a zpracovávat. Nesplnění této povinnosti můţe být sankcionováno podle § 26 odst. 3 písm. b) zákona o bankách jako nedostatek v činnosti, přičemţ dozorovým orgánem je zde Česká národní banka (ČNB), která si v rámci správního uváţení pro účely konkrétního řízení provede konkretizaci neurčitého pojmu údajů o osobách potřebných k tomu, aby bylo moţno bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku. Naproti tomu si však Úřad pro ochranu osobních údajů (ÚOOÚ) při výkonu kontroly tentýţ pojem v rámci svého vlastního správního uváţení můţe vykládat nezávisle na stanovisku ČNB, coţ mu mimo jiné nejen umoţňuje, ale přímo ukládá ustanovení §28 odst. 1 zákona o ochraně osobních údajů. Problémem bude zejména § 5 odst. 1 písm. d) zákona o ochraně osobních údajů stanovující správci osobních údajů povinnost shromaţďovat osobní údaje odpovídající pouze 6
Martin Frimmel, AK JUDr. Chobolová, Brno , http://www.chobolova.cz 32
stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu. Jak vyplývá z výše uvedeného, lze tedy očekávat, ţe právě v důsledku odlišného vymezení údajů potřebných k tomu, aby bylo moţno bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku, v jednotlivých případech odlišnými orgány dozoru budou banky při zpracování "hraničních" osobních údajů vystaveny sankci buď za jejich nezpracování ze strany ČNB nebo naopak za jejich neoprávněné zpracování ze strany ÚOOÚ.7
7
Martin Frimmel, AK JUDr. Chobolová, Brno, http://www.chobolova.cz
33
4. Jak se projevuje zavedení norem kvality při jednání s klientem Normy ISO zavedly do řízení kvality z pohledu praxe některé nové postupy: důraz na pořádek dodrţování zákonů a jiných předpisů orientace na zákazníka/klienta dokumentování rozhodujících provozních činností vedení záznamů zapojení všech pracovníků do úsilí o kvalitu identifikování klíčových procesů a zabezpečení jejich způsobilosti vyhodnocení zjištěných údajů a přijímání zlepšovacích opatření monitorování a měření procesů a výrobků zjišťování případných neshod a určování nápravných a preventivních opatření Z tohoto tedy vyplývá, ţe systém managementu kvality a jeho přístupů k organizaci, přináší do firmy určitý pevný řád. Velkou výhodou je, ţe do tohoto systému je potřeba zapojit také samotné vrcholové vedení managementu tzn., ţe se dotýká všech vrstev řízení. Do výsledného výrobku či sluţby a jejich kvality se musí promítnout zejména poţadavky zákazníků a musí splňovat zákonné podmínky. Proto je potřebné, aby kvalita nebyla zaručována pouze výstupní kontrolou, ale aby celková péče o kvalitu byla garantována ve všech činnostech společnosti.
4.1 Ochrana klienta Pro provádění bankovních operací i ochranu všech zúčastněných stran je pro banky důleţitou povinností dodrţování bankovního tajemství, představující nedílnou součást Zákona o bankách. Bankovní tajemství zajišťuje ochranu identifikace kaţdého klienta banky, nutnou pro všechny bankovní operace a transakce. Bankovní tajemství je jedním z nejcitovanějších pojmů v bankovnictví a je také jedním z nejdůleţitějších, protoţe je na něm zaloţena důvěryhodnost kaţdé banky. Znamená povinnost nesdělovat bez výslovného
34
souhlasu klienta nic a nikomu o něm, o sluţbách, které vyuţívá, a samozřejmě ani o stavu jeho prostředků na účtu. I kdyţ v České republice, jako součást opatření proti praní špinavých peněz, nelze realizovat anonymní operace či obchod, banka má povinnost drţet všechny informace o klientovi a jeho finančních transakcí v tajnosti a neseš zákonnou odpovědnost za to, ţe bez výslovného souhlasu klienta nebudou informace o něm sděleny jiným osobám či institucím. Výjimkou jsou pouze sdělení informací soudům nebo finančním úřadům. Informace o klientech si tyto instituce smějí vyţádat pouze tehdy, pokud je potřebují pro svoji činnost jako státních orgánů v rámci svých zákonných oprávnění a musí být tak učiněno písemnou formou. Odpovědnost za zneuţití těchto informací tak přechází na tyto orgány. 4.1.1 Platební styk Při jakékoliv hotovostní transakci od výplaty hotovosti přes vklady hotovosti aţ po nákup a prodej valut je zaměstnanec banky povinen provést identifikaci klienta. Identifikací se rozumí zjištění a ověření totoţnosti podle zákonem stanovených údajů o klientovi. Součástí identifikace je předloţení a kontrola stanovených dokladů, pořízení kopií dokladů totoţnosti a zanesení údajů do systému případně jejich ověření a aktualizace. Fyzické osoby Zaměstnanec banky si u klientů fyzických osob vyţádá platný doklad totoţnosti. Banka akceptuje jako doklad totoţnosti občanský průkaz či cestovní pas. Zkontroluje, zda fyziognomie klienta odpovídá fotografii na dokladu, zkontroluje platnost a pravost předloţeného dokumentu a pokud ve sloţce klienta není fotokopii aktuálního dokladu totoţnosti, se souhlasem klienta ji pořídí. Na pořízené fotokopii dokladu musí být podpis klienta a zaměstnance banky, který fotokopii prováděl. Fyzické osoby podnikatelé, právnické osoby U fyzických osob podnikatelů a právnických osob probíhá identifikace obdobným způsobem jen s tím rozdílem, ţe klient je navíc vyzván k předloţení oprávnění k podnikatelské činnosti nebo aktuálního dokladu o právní subjektivitě v originále nebo v úředně ověřené kopii. Zaměstnanec opět zkontroluje, zda jsou údaje v předloţeném dokumentu aktuální, coţ znamená, ţe obsahuje údaje, které odpovídají stavu zápisu v příslušné evidenci. 35
Souhlasnost si ověří v některých z doporučených evidencí na internetu, v ţivnostenském rejstříku, nebo pokud se jedná o PO, prostřednictvím portálu Justice Ministerstva spravedlnosti ČR nebo v Administrativním registru ekonomických subjektů MF ČR známém pod zkratkou ARES8. Společenství vlastníků jednotek, bytová družstva U společenství vlastníků jednotek a bytových druţstev je ve většině případů pravidlem, podle výpisu z obchodního rejstříku, nutný podpis dvou členů výboru. Výjimkou jsou taková společenství, která si schválila a do výpisu z obchodního rejstříku nechala zapsat pověřeného vlastníka. V tomto případě je pak vyţadován pouze jeden podpis. Výběr hotovosti je u tohoto typu právnické osoby moţný dvěma způsoby, a to výběrem na přepáţce za přítomnosti dvou členů výboru, většinou předsedy a dalšího člena výboru nebo formou šeků. Pokud je realizován výběr na přepáţce, je nutné, aby fyzicky byli přítomni ti členové výboru, kteří jsou oprávněni nakládat s peněţními prostředky. Naopak při výběru formou šeků je pouze nutný podpis osob podle PV, které jsou oprávněné nakládat s finančními prostředky. Do banky tak nemusí oba, ale jen jeden člen. Při výběru hotovosti, podání příkazu k úhradě, trvalých příkazů, svolení k inkasu je dalším kontrolním prvkem podpisový vzor. Podpisový vzor je vytvářen při otevírání účtů klienta, účinnosti nabývá následujícího dne a je uloţen v databázi banky. Podpisový vzor má dvě části, první je oprávnění k nakládání s peněţními prostředky a druhý je samotný podpisový vzor. Klient si můţe tudíţ sám určit, kdo všechno můţe s jeho penězi nakládat respektive, kdo má přístup k penězům na účtu. Podpisový vzor je uloţen ve sloţce klienta, která je řádně uloţena v místnosti, kam mají přístup pouze zaměstnanci banky. Vstup do této místnosti je moţný pouze přes identifikační kartu zaměstnance, která je zabezpečena čipem případně pomocí speciálního klíče. Tento klíč spolu s identifikační kartou získává zaměstnanec při uzavření smlouvy o pracovním poměru. Na klíči jsou přesně nastaveny okruhy v bance, do kterých mají jednotlivý zaměstnanci přístup. Například do místnosti s trezorem se dostanou pouze ti zaměstnanci, kteří pracují s hotovostí, jejich manaţer a v neposlední řadě ředitel pobočky. Podání příkazu formou příkazu k úhradě (viz. Příloha č. 1) ve výši do 100.000,-Kč je moţné vhozením do sběrného boxu, tyto příkazy se pak předávají k dalšímu zpracování,
8
http://wwwinfo.mfcr.cz/ares/ares_es.html.cz 36
kde se ověřují podpisy podle podpisových vzorů, čísla účtů atd. Ve chvíli, kdy podpis na příkazu neodpovídá PV, není tento příkaz proveden a pokud je v systému uveden kontakt na klienta, tak se mu tato informace oznámí. Pokud se jedná o příkaz nad 100.000,-Kč je nutné, aby klientovi podpis ověřil přímo zaměstnanec na přepáţce. Pokud jsou podpisy shodné dle systému, kde se PV shromaţďují, zaměstnanec k podpisu klienta připojí razítko se svým podpisem. Při částce nad 500.000,-Kč je potřeba, aby klientův podpis ověřili dva zaměstnanci banky. Na razítku je uvedeno číslo, díky kterému se dá, v případě vzniku problému dohledat, který zaměstnanec podpis klienta ověřoval. Samotní zaměstnanci banky mají své podpisové vzory, které jsou rozděleny podle pravomocí na dva typy a to A, B dle moţnosti podpisu smluvní dokumentace. Ti zaměstnanci, kteří mají PV typu A, mohou smluvní dokumentaci podepisovat na prvním místě. Typ B je opravňuje k podpisu aţ na druhém místě. Výběr hotovosti je moţné uskutečnit takové pomocí bankomatů. K výběru z bankomatu je nutné, aby měl klient vydanou platební kartu a PIN. Kaţdý klient by měl být při zadání PIN kódu ke kartě obezřetný, PIN kód by neměl mít přímo u platební karty. Nejlépe by si ho měl pamatovat a tím pádem předejít neoprávněným výběrům při ztrátě platební karty. Bezpečnost u bankomatů je ve většině případů během dne zajišťována pracovníkem ostrahy. Po ukončení pracovní doby banky je moţné se k bankomatům dostat přes snímač platební karty. V místnosti je nainstalovaný kamerový systém, a pokud je v místnosti klient, není moţné, aby se tam ještě někdo dostal. Zaměstnanci banky, vyjma pracovníků call centra, kteří klienty identifikují podle náhodně vybraných čísel z identifikačního čísla (stejný jako u přihlašování do tektonického bankovnictví) a hesla, mají striktně zakázáno sdělovat jakékoliv informace o zůstatku na účtu, příchozích či odchozích platbách na ţádost klienta prostřednictvím telefonu či elektronickou poštou, jelikoţ není moţné provést identifikaci. 4.1.2 Elektronické bankovnictví Ochrana dat klienta při platebním styku zahrnuje i elektronickou formu platebního styku. Banky nabízejí několik typů elektronického bankovnictví podle toho, kdo bude těchto sluţeb vyuţívat. Většina bank na českém trhu má rozděleno elektronické bankovnictví pro fyzické osoby a fyzické osoby podnikatele, a právnické osoby.
37
Samotné přihlášení do sluţeb elektronického bankovnictví probíhá několika způsoby. Ke zřízení sluţeb elektronického bankovnictví je ve většině případů nutná návštěva klienta na pobočce banky. Po řádné identifikaci je jen nutné se s klientem domluvit, jaké má představy o obsluze svého účtu přes internet. Výčet moţností přihlášení následuje níţe. Přihlášení pomocí identifikačního čísla a PIN kódu PIN je klientovi předán v uzavřené obálce. Pokud se klientovi nepodaří třikrát zadat správný PIN, sluţba se zablokuje, pro odblokování je opět nutné navštívit pobočku. Přihlášení pomocí identifikačního čísla, PIN kódu a SMS klíčem Klient zadá identifikační číslo a PIN a kliknutí na tlačítko Přihlásit mu na mobilní telefon přijde SMS zpráva s autorizačním kódem, po jeho zadání proběhne přihlášení do systému. U těchto dvou variant není nutné stahování nějakých aplikací pro přihlášení, stačí jen zadat internetové stránky banky. Autorizace aktivních operací probíhá formou SMS klíče vygenerovaného na základě poţadavku klienta. Autorizační kód má podobu devítimístného alfanumerického řetězce (např. Asd-v1b-gh7). Pro jeho zadání je časový limit 10 minut, po jeho potvrzení probíhá autorizace a poté je příkaz odeslán ke zpracování do banky. Přihlášení pomocí čipové karty s elektronickým podpisem Před zneuţitím je čipová karty chráněna PIN kódem, údaje klienta jsou na ni uloţeny a není moţné je z karty přehrát jinam. Vydání čipové karty probíhá opět na pobočce, čipová karta se předává klientovi v zapečetěné obálce společně s PIN kódem. K tomu, aby klient mohl tuto sluţbu vyuţívat, je nutné nahrání certifikátu na čipovou kartu. Certifikát je datová zpráva, která je vydávaná autorizovanou certifikační autoritou (I.CA) a spojuje data pro ověřování podpisů s podepisujícím subjektem a umoţňuje ověřit totoţnost klienta. Při nahrávání certifikátu je klient povinen předloţit občanský průkaz a druhý doklad totoţnosti, v praxi většinou řidičský průkaz. Součástí smluvní dokumentace je Ţádost o vydání certifikátu, kde jsou uvedeny údaje z občanského průkazu a ŘP klienta, Smlouva o vydání certifikátu a Příloha č. I Smlouvy, na které klient svým podpisem stvrdí souhlas s poskytnutím osobních údajů Ministerstvu práce a sociálních věci. Společně s fotokopiemi dokladů s podpisem klienta se tyto formuláře posílají na První certifikační autoritu a.s, kde jsou uloţeny a archivovány. Banka nabízí 2 typy certifikátu – komerční a kvalifikovaný. Komerční certifikát je určen pro běţné pouţití, kvalifikovaný certifikát je moţné pouţívat i 38
pro komunikaci mimo sluţby banky a je ze zákona akceptován stejně jako občanský průkaz například pro komunikaci se státní správou, zdravotními pojišťovnami apod. Platnost takto vydaného certifikátu je jeden rok, poté se musí certifikát obnovit. Před prvním přihlášením je nutné mít nainstalovanou čtečku čipových karet. Při přihlášení a po celou dobu, kdy je vyţadován elektronický podpis, musí být čipová karta v čtečce. Autorizace probíhá elektronickým podpisem, který se generuje přímo v čipu karty na základě údajů, které jsou uloţeny na kryptografické čipové kartě. Autentizační kalkulátor, tzv. bezpečnostní kalkulátor Přihlášení probíhá pomocí kalkulátoru, kdy zadá se PIN, který je součástí balíčku, který klient obdrţí. Po zadání PIN kódu vygeneruje kalkulátor jednorázový bezpečnostní kód. Tento kód se generuje na základě času, přihlašovacího pořadí a unikátního klíče nahraného do Bezpečnostního klíče. Server ověří, zda se Jednorázový bezpečnostní kód shoduje s očekávaným kódem pro příslušného klienta. Po jeho zadání je klient přihlášen do sluţeb internetového bankovnictví. Jedná se dobře zabezpečený způsob přihlášení. Osobní certifikát v souboru Tento certifikát má podobu souboru, který je uloţen na CD nebo USB flash disku, lze jej libovolně kopírovat. Pro přihlášení je nutné zadat certifikát a heslo, který si můţe klient změnit. Banky navíc, pro vyšší bezpečnost, vyuţívají tzv. digitální certifikát, který uţivatel obdrţí od certifikační agentury jako důkaz, ţe se jedná skutečně o server poskytovatele sluţeb. Certifikát ochraňuje uţivatele před komunikací se servery, jeţ se mohou vydávat za server, ke kterému se chce uţivatel přihlásit, za účelem získání osobních dat. Digitální certifikát je označen ikonou zamknutého zámku v dolním rohu prohlíţeče, po kliknutí na tento symbol a zobrazení správné certifikátu příslušné banky, je moţné se přihlásit. Kaţdý uţivatel by měl dodrţovat zásady pro bezpečné uţívání elektronického bankovnictví, které jsou dostupné na internetových stránkách všech bank. Mezi ty nejdůleţitější patří: Ochrana osobního certifikátu Pouţití bezpečného PIN kódu Ochrana PIN kódu 39
Ochrana počítače proti virům a spyware9 Pouţívání osobního počítače Obezřetnost při stahování neznámých souborů z internetu Otevírání důvěryhodných emailů 4.1.3 Založení běžného účtu fyzické osobě podnikatele Pro zaloţení běţného účtu je nutné nejdříve zaloţit fyzickou osobu, tedy je nutná identifikace klienta podle dokladu totoţnosti. Při zakládaní nové osoby se do systému vyplňují nejdříve údaje z občanského průkazu jako je jméno a příjmení, rodné číslo, adresa trvalého bydliště, číslo OP jeho platnost a identifikace, kdo OP vydal. Po zadání těchto údajů je nutné vytisknout formulář o zaloţení FO a nechat ho podepsat klientem spolu s fotokopií dokladu totoţnosti. Teprve poté se můţe přejít k zaloţení fyzické osoby podnikatele, dále jen FOP. Do systému je nutné zadat údaje o oprávnění k podnikatelské činnosti (originál nebo úředně ověřená kopie), číslo dokladu a jaká instituce dokument vydala, i zde je nutné mít tyto informace klientem podepsány. Ověření, zda je klientem předloţené oprávněné k podnikatelské činnosti aktuální, probíhá v doporučených evidencích na internetu, v tomto případě většinou v Ţivnostenském rejstříku. Po zaloţení účtu musí zaměstnanec s klientem zřídit podpisový vzor. Všechny dokumenty se zakládají do sloţky klienta. Při zaloţení běţného účtu pro právnickou osobu je postup stejný jen s rozdílem, ţe zde je nutná identifikace osoby oprávněné jednat za společnost, v případě s.r.o. jednatele společnosti, a alespoň jednoho z majitelů společnosti. ČSOB a.s. například neuznáváme ţádnou formu plné moci.
4.2 Jednání s klientem o úvěru Jednání s klientem je vţdy otázkou zjištění potřeb. Ke zjištění reálných potřeb slouţí zaměstnanci banky tzv. cílený rozhovor, který je rozdělen do tří fází. První fází je zjištění, zda se jedná o stávajícího klienta banky či nového klienta a jeho oblast podnikání. U stávajícího klienta je nutné provést jeho identifikace dle platného dokladu totoţnosti a ověření aktuálního stavu společnosti v doporučených evidencích. Oblastí podnikání se myslí geografická oblast. Není totiţ moţné poskytovat úvěru mimo geografickou působnost pobočky. Součástí druhé fáze je pak zjištění maximálního moţného objemu informací tak, aby si zaměstnanec mohl udělat ucelenou představu o úvěrové potřebě klienta. Třetí fáze je pak spojena s vyplněním ţádosti o úvěr a přenesením informací do 9
Spyware - software, který pod pláštěm uţitečné aplikace nelegálně posílá informace z hostitelského počítače výrobci spywaru 40
úvěrového návrhu, který je součástí schvalovacího systému. Formulář ţádosti o úvěr viz. příloha č.2. Obrázek 7: Úvěrový proces Potřeba klienta
Cílený rozhovor Ţádost o úvěr
Stanovení ratingu Úvěrový návrh Zajištění Schvalování
Smluvní dokumentace Čerpání Monitoring Zdroj: vlastní konstrukce
4.2.1 Žádost o úvěr Vyplnění ţádosti o úvěr je moţné několika způsoby, preferuje se však vyplnění společně se zaměstnancem banky, čímţ je garantováno správné vyplnění všech poloţek. Ţádost o úvěr je sestavena z pěti oddílů. Ve stručnosti je zde popis jednotlivých oddílů ţádosti, pro potřeby této diplomové práce je však nejdůleţitější pátý oddíl ţádosti, ve kterém klient dává souhlas se zpracováním osobních údajů. 41
V první oddílu jsou uvedeny identifikační údaje o klientovi, jako je obchodní jméno, identifikační číslo, místo podnikání, popis činnosti klienta, typ účetnictví a kontakt na klienta. Jestliţe je ţádost sepisována s FOP, jsou součástí ţádosti i sociodemografická data a stávající angaţovanost klienta mimo podnikání. Do stávající angaţovanosti klienta mimo podnikání se zahrnují výdaje spojené s pojištěním či spořením, měsíční splátky úvěrů, limity na kreditních kartách či kontokorentech. Další části ţádosti jsou shodné jak pro FOP tak PO. Volba produktu podle toho, zda se jedná o provozní financování či účelové financování se nachází ve druhém oddílu. Informace o podnikání, jeho začátku, počtu zaměstnanců, přehledu odběratelů a dodavatelů jsou součástí třetího oddílu. Při vyplňování prohlášení klienta, které je náplní čtvrtého oddílu, je nutné zeptat se klienta, zda na jeho majetek nebylo v posledních pěti letech vedeno konkurzní nebo exekuční řízení, nemá ţádné závazky vůči státu po splatnosti (ČSSZ, FÚ a celní úřady), přehled úvěrových angaţovaností u jiných bank včetně leasingových smluv, vlastnická struktura společnosti a podíly vlastníků v jiných společnostech. Podpisem ţádosti klient stvrzuje souhlas se zpracováním osobních údajů v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a seznámení se s pátým oddílem ţádosti o úvěr. Osobní údaje jsou zpracovávány automatizovaně i manuálně a jsou přístupny pouze zaměstnancům banky, zpracovatelům, se kterými má banka uzavřenou smlouvu o zpracování osobních údajů a osobám oprávněným na základě právních předpisů. Poskytnutí osobních údajů je dobrovolné, ale ze strany banky podmínkou k uzavření smluvního vztahu. Klient zároveň souhlasí s tím, aby banka předala provozovateli registru klientských informací, jeho osobní údaje ke shromaţďování, zpracování a uchování. Účelem zpracování osobních údajů klienta jsou evidenční účely, vytvoření souboru informací vypovídajících o bonitě a důvěryhodnosti klienta. Díky podpisu je souhlas udělována na dobu trvání smluvního vztahu a na další čtyři roky po ukončení tohoto vztahu. Ve chvíli porušení smluvní povinnosti je banka oprávněna, za účelem ochránění jejich práv, předat informaci k dalšímu zpracování sdruţení SOLUS, které vede databázi osob porušující smluvní závazek řádně platit za poskytnutou sluţbu tj. úvěr, leasing, pojištění, kreditní karty, prodej na splátky atd. K předání informací dochází ve chvíli, kdy se jedná o pohledávky po splatnosti nad 30 dnů. Údaje jsou sdruţením SOLUS zpřístupněny po dobu 3 let po datu úhrady posledního finančního závazku vůči bance. Aktuální seznam je uveden na internetových stránkách sdruţení SOLUS10.
10
http:// www.solus.cz/ 42
Ověření podpisu můţe být na základě podpisového vzoru případně ověření dle platného dokladu totoţnosti. Číslo dokladu musí být napsáno pod podpisem klienta a pracovník k takovémuto podpisu připojí ověřovací razítko a svůj podpis. Pokud není ţádost podepsána klientem, není moţné takto podanou ţádost dále zpracovávat. Zaměstnanec vyhotoví kopii originálu ţádosti o úvěr podepsané klientem a uloţí ji do úvěrové sloţky klienta. Originál je spolu s originálem úvěrové smluvní dokumentace archivován na pobočce. Povinností klienta je spolu se ţádostí o úvěr předloţit i dokumenty předkládané klientem při ţádosti o úvěr. Tyto dokumenty dokládají podnikatelskou činnost, historii jeho podnikání, podnikatelský záměr a postavení klienta ve vztahu ke státním institucím. Dokumenty se různí ve vazbě na skutečnost, zda se jedná o stávajícího klienta banky či nového klienta. Dokumenty by měly být dodávány v originálech nebo úředně ověřených kopiích. Pokud si zaměstnanec vyhotovuje kopii, musí být vţdy označena datem dodání a podpisem klienta. Přehled předkládaných dokumentů je uveden v následující tabulce s rozdělením, zda se jedná o stávajícího či nového klienta.
43
Tabulka č. 1 : Dokumenty předkládané klientem při žádosti o úvěr DOKUMET
NOVÝ KLIENT
STÁVAJÍCÍ KLIENT
Žádost o úvěr
Originál s podpisem klienta
Originál s podpisem klienta
Oprávnění k podnikání
Originál/úředně ověřená
Musí být provedena kontrola
kopie oprávnění k podnikání
shodnosti údajů jiţ dříve předloţeného oprávnění k podnikání s údaji na internetu.
Předloţení dvou daňových přiznání za dvě na sebe
Daňové přiznání
navazující období. DP s razítkem potvrzující jeho předání na příslušném FÚ. Finanční výkazy v případě Roční závěrka za poslední dva roky, tj. rozvaha, výkaz podvojného účetnictví
zisku a ztrát, příloha k účetní závěrce
Prohlášení o bezdlužnosti
V závislosti na schvalovací m systému a jeho zařazení
od FÚ, ČSSZ, ZP
klienta do procesních skupin.
Výpisy
z běžného
klienta za 6 měsíců Smlouva vkladu
o
účtu Pouze v případě ţádosti o Historie účtu lze dohledat provozní financování
v systému.
podřízenosti Pouze v případě, ţe o úvěr poţádal klient, který má záporný vlastní kapitál. Tento vklad ve společnosti klient ponechá do doby celkového zaplacení úvěru Zdroj: vlastní konstrukce
4.2.2 Schválení a poskytnutí úvěru Podnikatelské subjekty potřebují financování k zajištění kontinuity jejich činnosti či k finančnímu růstu. Často volí externí financování, konkrétně financování poskytované bankami. Banka tak hraje důleţitou roli poskytovatele úvěru pro podnikání. Cílem banky je navázání dobrého a dlouhodobého vztahu se svými klienty. Takový vztah musí být vystavěn na vzájemné důvěře, zejména v případě poskytování úvěrů. Jedním z nejdůleţitějších článků úvěrového vztahu je konkrétní pracovník banky, který s klientem jedná. Právě zaměstnanec je ve vztahu ke klientovi utváří „ tvář banky“. Podrobná znalost činnosti klienta, jeho finanční situace, znalost zaměstnanců a trhu, na kterém se klient pohybuje, je ze strany pracovníka velmi důleţitou součástí procesu poskytování úvěru.
44
Základním kritériem pro poskytnutí úvěru je ekonomická a finanční situace klienta. Poskytování úvěru i jeho kaţdoroční obnova musí být vţdy podloţeno ekonomickou ţivotaschopností klienta. Banka má za povinnost posoudit úvěruschopnost (bonitu) a finanční situaci klienta tak, aby byla poskytnuta nejvhodnější forma úvěru. Po celou dobu trvání úvěrového vztahu má banka rovněţ povinnost pravidelně kontrolovat, zda situace klienta zůstává i nadále pozitivní. Musí být schopna včas zjistit signály, ţe se klient dostal do finančních potíţí. Není moţné poskytnout úvěrovou angaţovanost klientovi, který vykazuje záporný vlastní kapitál. Zároveň zaměstnanec prověří, zda na klientově účtu není exekuce či účet není v debetu. Poskytování a schvalování úvěrů probíhá v bance podle rozdělení klientů dle obchodního obratu. Klientům do 30 milionů obchodního obratů jsou poskytovány úvěry v omezené nabídce, jedná se tzv. parametrizované produkty. U těchto produktů probíhá zpracování úvěrového návrhu, zařazení klienta do příslušné procesní skupiny a konečné schválení v rámci schvalovacího systému. Schvalovací systém je navíc propojen s Bankovním registrem klientským informací provozovaný společností Czech Banking Credit Bureau11, a stahuje si informace o tom, kolik má klient úvěrů poskytnutých bankovními domy, o jaké úvěry se jedná a zda jsou řádně spláceny. I tato organizace plně garantuje bankovní tajemství, je provozována v souladu se Zákonem o ochraně osobních údajů. Usnadňuje bankám poskytování úvěrů a klientům s dobrou platební morálkou umoţňuje jednodušší přístup k úvěrům. Informace jsou aktualizovány vţdy k ultimu předchozího měsíce. Pokud se jedná o provozní financování, a na základě finanční situace je klient zařazen do procesní skupiny LOW, je nastaven schvalovací systém tak, ţe poskytnutí úvěru schválí sám. Pokud naopak finanční situace klienta není optimální a je zařazen do procesní skupiny MEDIUM nebo HIGH, určí systém sám příslušnou schvalovací úroveň a odešle návrh
na
schválení.
Schválení
konkrétním
schvalovatel
je
vyţadováno
vţdy
při poskytování účelového úvěru. Náročnějším na zpracování úvěrového návrhu a následného schválení je poskytování úvěrů pro Společenství vlastníků jednotek. V tomto případě je schvalovací systém pouze nosičem. Bonita klienta se v tomto případě stanuje pomocí ratingového nástroje, do kterého se zadávají účetní výkazy a nefinanční informace, které tvoří informace ohledně počtu bytových jednotek, počtu neplatičů, pohledávek po lhůtě splatnosti, ročního příspěvku do fondu oprav a jeho zůstatku a ročního předpisu nájemného. Schválení
11
http://www.cbcb.cz/ 45
v tomto případě je vţdy na konkrétním schvalovateli. Pokud je úvěr poskytován maximálně na období do deseti let splatnosti, je schválení v pravomoci jednoho schvalovatele. Jestliţe se jedná o úvěr se splatností nad 10 let, je před konečným schválením nutné vyjádření risk manaţera. Při poskytování úvěrové angaţovanosti ve výši nad 500.000,-Kč je nutné u klienta provést alespoň jednu návštěvu. V případě angaţovanosti ve výši 500.000,-Kč aţ 1.500.000,-Kč jsou vyţadovány alespoň dvě jednání s klientem za rok, z toho jedno jednání musí probíhat u klienta. 4.2.3 Zajištění úvěrové angažovanosti Zajištění je důleţitým prvkem, který bance pomáhá drţet úvěrové náklady pod kontrolou. Není moţné poskytovat úvěry pouze proti zajištění. Úvěry mohou být poskytovány pouze na základě posouzení úvěruschopnosti klienta a jeho schopnosti úvěr splácet. Pokud tomu tak není, i dobré zajištění nemůţe nahradit neexistenci těchto základních parametrů. Brát majetek do zástavy je pro banku drahá záleţitost. Jedná se o zdlouhavý, časově náročný a pracný proces. U některých druhů zajištění bývá i sporná jejich realizace, zejména pokud jde o oběţná aktiva. Parametrizované produkty mají jasně stanoveny podmínky na typ zajištění. U provozního financování je zajištění úvěru formou bianco směnky a to jen v případě, pokud se jedná o úvěrovou angaţovanost nad 100.000,-Kč. Do 100.000,-Kč jsou úvěry poskytovány bez zajištění, pokud není schváleno jinak. V případě poskytnutí úvěru nad 500.000,-Kč je nutnost avalu směnky a souhlasu manţela/manţelky. Při nákupu či rekonstrukci nemovitosti je poţadována zástava nemovitosti, pojištění nemovitosti a vinkulace pojistné smlouvy ve prospěch banky. Obdobné je to při nákupu automobilu, formou zajištění je opět bianco směnka a dodání pojistné smlouvy a vinkulace této pojistné smlouvy ve prospěch banky. Zajištění u úvěrů poskytovaných společenství vlastníků jednotek je zcela rozdílné. Forma zajištění se posuzuje dle výše úvěru připadající na jednu bytovou jednotku. Blokace peněţních prostředků na účtu klienta ve výši dvou splátek úvěru je formou zajištění pokud výše úvěru na jednu bytovou jednotku nepřesáhne 300.000,-Kč. Nad 300.000,-Kč je poţadováno ručitelské prohlášení vlastníků jednotek.
46
4.2.4 Monitoring Úvěrové riziko daného případu se vyjadřuje moţnou finanční ztrátou vzniklou v rámci úvěrové činnosti banky. Účelem monitoringu je maximálně sníţit úvěrové ztráty. Důkladný a správný monitoring patří mezi běţné, kaţdodenní aktivity pobočky a zejména zaměstnance banky. V úvěrové smlouvě se klient zavazuje k plnění smluvních podmínek. Kontrola plnění podmínek probíhá pomocí monitorovacího systému, který kaţdé čtvrtletí zpětně upozorní na nedodrţení podmínek. Například v případě poskytnutí kontokorentního úvěru, u kterého se stanovuje limit na základě obratů na účtu klienta, se sleduje plnění obratu na účtu, vyrovnání úvěrového účtu tzv. clean-up. Monitoring u společenství vlastníků jednotek probíhá jednou za rok, kdy se dělá obnova poskytnutého limitu. Probíhá na základě předloţených aktuálních nefinančních informace. Je nutné zpracovat úvěrový návrh, který je schvalován na příslušné schvalovací úrovni. Mezi základní součást monitoringu patří: pravidelný kontakt s klientem analýza a pravidelný monitoring poskytnutých finančních informací kontrola pouţívání schválených limitů, splátek, smluvních ujednání monitorování vývoje hodnoty zajištění kaţdoroční review úvěrové angaţovanosti pravidelná kontrola peněţních toků nasměrovaných na účet Díky hospodářské krize, která se dotkla i bankovního sektoru, přistoupila banka ke změně a dá se říci i ke zpřísnění podmínek pro poskytnutí úvěru. Při poskytování úvěrů některým oborům, převáţně těm, kterých se krize dotkla nejvíce, se přistupovala s opatrností. Jednalo se zejména obory jako je stavebnictví a autodoprava. První čtvrtletí roku 2009 byl niţší zájem o poskytnutí úvěrů zřejmý i ze strany klientů, u některých tento jev přetrvává stále. V následující tabulce je znázorněn přehled úspěšnosti poskytnutých úvěrů na pobočce banky v Ústí nad Labem.
47
Tabulka č. 2: Úspěšnost poskytnutých úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem Žádosti o úvěr
Počet v ks
Počet v %
Schválené ţádosti
53
60,92
Zamítnuté ţádosti
34
39,08
Celkem
87
100
Zdroj: vlastní konstrukce
Tabulka č. 3: Poměr provozních a účelových úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem) Typ úvěru
Počet v ks
Počet v %
Provozní financování
34
64,15
Investiční financování
19
35,85
Celkem
53
100
Zdroj: vlastní konstrukce
schválené žádosti
Provozní financování
zamítnuté žádosti
investiční financování
48
5. ISO/IEC 27001 (ISMS) – Systém managementu bezpečnosti informací Vzhledem k neustále se zvyšujícím nárokům na zabezpečení informací v organizaci byla zpracována a následně vyuţívána k certifikaci třetí stranou norma ISO/IEC 27001. Jedná se o mezinárodní normu, která byla připravena proto, aby poskytla podporu pro ustavení, zavádění, provozování, monitorování, udrţování a zlepšování systému managementu bezpečnosti informací - ISMS. Systém managementu bezpečnosti informací je systematický přístup k řízení bezpečnosti důvěrných informací zahrnující zaměstnance, procesy, IT systém a strategii firmy. Norma pomáhá identifikovat, řídit a minimalizovat hrozby zneuţití důvěrných informací. Základní normy systému managementu bezpečnosti informací jsou rozčleněny: ISO/IEC 17799:2005 Informační technologie – Soubor postupů pro management bezpečnosti informací12 ISO/IEC 27001:2005sytsém managementu bezpečnosti informací – specifikace s návodem pro pouţití Tato norma je určena všem organizacím, které si chtějí uspořádat své informace podle důleţitosti a mají v úmyslu k nim přistupovat systematicky. Díky zavedení systém managementu dle poţadavků normy ISO 27001 získají organizace nejen konkurenční výhodu, ale také ochranu svých informačních aktiv s vysokou hodnotou a tím minimalizují ztráty způsobené jejich únikem. Ti, kdo nakládají s citlivými informacemi nebo osobními údaji mohou touto cestou předejít finančním postihům a trestům, vyplývajících ze zákona, při úniku informací nebo neoprávněným nakládáním s osobními údaji. Aby organizace fungovala efektivně, musí identifikovat a řídit mnoho vzájemně propojených činností. Činnost, která vyuţívá zdroje a je řízena účelem přeměny vstupů na výstupy, můţe být povaţována za proces. Výstup z jednoho procesu často tvoří vstup pro následující proces. Aplikace systému procesů v organizaci spolu s identifikací těchto procesů, jejich vzájemným působením a řízením můţe být označován jako procesní přístup.
12
http://www.iso.cz/iso17799.html 49
Při pouţití procesního přístupu pro management bezpečnosti informací je kladen důraz na : pochopení poţadavků na bezpečnost informací organizace a potřebu stanovení politiky a cílů bezpečnosti informací zavedení a provozování opatření pro management bezpečnosti informací v kontextu s řízením celkových informací monitorování a přezkoumání výkonnosti a účinnosti ISMS neustálé zlepšování zaloţené na objektivním měření Model „Plánuj – Dělej – Kontroluj – Jednej“ ( Plan – Do – Chcek – Act, PDCA) můţe být aplikován na všechny procesy ISMS. Následující obrázek znázorňuje, jak ISMS přijímá poţadavky bezpečnosti informací a očekávání zainteresovaných stran jako vstup, a jak pomocí nezbytných činností a procesů vytváří výstupy bezpečnosti informací, které splňují tyto poţadavky a očekávání. Obrázek 8: PDCA model aplikovaný na procesy ISMS
Zúčastněné strany
Zúčastněné strany
Plánuj Ustavení ISMS
Dělej
Bezpečnost informací, poţadavky a očekávání
Zavádění a provozování ISMS
Udrţování a zlepšování ISMS
Monitorování a přezkoumání ISMS Kontroluj Zdroj: vlastní konstrukce
50
Jednej
Řízení bezpečnosti informací
Plánuj (ustaveni ISMS)
Ustavení politiky ISMS, cílů, procesů a postupů souvisejících s managementem rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace.
Dělej (zavádění a provozování ISMS) Zavedení a vyuţívání politiky ISMS, opatření, procesů a postupů.
Kontroluj (monitorování a přezkoumání ISMS)
Jednej ISMS)
(udržování
a
Posouzení, kde je to moţné i měření výkonu procesu vůči politice ISMS, cílům a praktickým zkušenostem a hlášení výsledků vedení organizace k přezkoumání.
zlepšování Přijetí opatření k nápravě a preventivních opatření, zaloţených na výsledcích interního auditu ISMS a přezkoumání systému řízení ze strany vedení organizace tak, aby bylo dosaţeno neustálého zlepšování ISMS.
Zdroj: vlastní konstrukce
5.1 Ochrana informací a bezpečnost informačních systémů V průběhu uplynulých čtyřiceti let začaly informační systémy a informační technologie hrát důleţitou roli téměř ve všech oblastech organizované společnosti a zejména v bankách. Bezpečnost se tak stala důleţitým hlediskem informačních systémů. Nárůst mnoţství zpracovávaných, přenášených a archivovaných dat v informačních systémech znamená zvyšující se riziko neúmyslných chyb a vytváření příleţitostí pro úmyslné útoky, podvody, zneuţití a krádeţe dat všeho druhu, které jsou často vyuţívány hackery, zaměstnanci, ale i průmyslovými špiony. Nedokonalá ochrana dat, nedostatečná úroveň bezpečnosti a počítačová kriminalita způsobují rozsáhlé škody na majetku banky. V bance jsou bezpečnost informačních systémů a ochrana dat důleţitější neţ v řadě jiných odvětví, protoţe její činnost je postavena na práci s obrovským mnoţstvím informací o klientech banky. Na ochraně těchto dat je postavena důvěryhodnost banky. Velmi váţné důsledky by měla ztráta důvěryhodnosti pro její existenci. Kaţdá banka musí mít v rámci svých obchodních aktivit jasně definovanou obchodní strategii a celou řadu cílů. Pro úspěšné naplnění strategií je třeba, aby dokázala včas zachytit a případně odstranit neţádoucí odchylky. K tomu je třeba se rychle a operativně rozhodovat, pruţně a efektivně
51
získávat, přenášet a zpracovávat informace a neustále zdokonalovat celý informační systém. Informace jsou pro činnost banky velmi důleţité. Banka podniká jako kaţdý jiný subjekt. Zboţím jsou peníze, technologií jsou bankovní operace a nástrojem je informační systém. Informace dělíme podle druhu na : bankovní, právní – banka musí ovládat všechny právní předpisy, které se její činnosti týkají, na kaţdé větší pobočce je k dispozici podnikový právník ekonomické – podobně je tomu s problematikou ekonomiky a zejména účetnictví, informace o trhu – důleţité jsou informace marketingové, informace o partnerech a konkurenci, hodnocení potenciálu banky, zahraniční – přehled i o dění v bankovním oboru ve světě, obchodní – informace o obchodní politice, smlouvách, úrokových sazbách, druzích produktů, marţích, cenové politice, obchodních záměrech a plánech, organizační – interní informace o organizaci, personální – informace z personální politiky, klasifikace potenciálů lidských zdrojů, informace a informačním systému banky - většinou se jedná o citlivé informace. Získané informace od klienta se ukládají do systému přímo do elektronické sloţky klienta, napomáhají k vytvoření lepšího vztahu mezi klientem a zaměstnancem banky. U firemní klientely se jedná hlavně o informace související s podnikatelskou činností klienta jako je obor podnikání, počet zaměstnanců, plány a investice a také jeho konkurence. U fyzických osob jsou to informace o zaměstnání klienta, jeho rodině, zájmech a koníčcích. Důleţitá jsou i telefonní kontakty a emaily, které se vyuţívají například při chybně vyplněném příkazu k úhradě. Informace o klientech by se měly aktualizovat při kaţdé návštěvě klienta na pobočce, minimálně však jednou do roka. Kvalita evidence přijímaných a odesílaných informací ovlivňuje vlastní pořádek v informačním systému banky. Na kvalitě ukládání informací a systému jejich uchovávání závisí rychlost a kvalita jejich pozdějšího vyhledávání. Součást informačního systému je tzv. spisová značka, která vytváří jednotný účelně organizovaný podsystém, který sjednocuje pracovní postupy a písemnosti. Do spisové sluţby zahrnujeme systém 52
registrace spisů, soubor předpisů pro spisovou agendu, různé spisové pomůcky, obecně pouţívané tiskopisy i speciální formuláře, které jsme vytvořili pro svoji vlastní potřebu, systém ukládání (archivace), systém likvidace nepotřebných písemností. 5.1.1 Zásady ochrany informací a bezpečnost informačních systémů Účelem ochrany informací a bezpečnosti informačních systémů v bance je zajistit kontinuitu obchodní činnosti banky a minimalizovat škody v její obchodní činnosti tím, ţe se předejde vzniku tzv. bezpečnostních příhod nebo se co nejvíce omezí jejich vliv. Řízení ochrany informací zajišťují sdílení informací s patřičnou ochranou informačních aktiv. Řízení je postaveno na třech základních bezpečnostních vlastnostech informací, jimiţ jsou: důvěrnost – tato vlastnost zajišťuje, ţe informace nebude zpřístupněna neautorizovaným subjektům, integrita – tato vlastnost zajišťuje, ţe informace nebude změněna, dostupnost – zajišťuje ochranu proti neautorizovanému odmítnutí informace nebo odmítnuté či zadrţení zdrojů informačního systému. Informace mají mnoho podob. Mohou být ukládány v počítačích, přenášeny sítí, vytištěny nebo zapsány na papír, sděleny při rozhovoru. Z bezpečnostního hlediska by měla být zajištěna náleţitá ochrana všech podob informací. Proto by zaměstnanci neměli vyuţívat elektronickou poštu k soukromým účelům. Veškeré chybně vytištěné smlouvy, ţádosti o úvěru či ofocené kopie dokladů totoţnosti by se měli ihned vhodit do speciální popelnice, jejíţ obsah je určen ke skartaci. Informace a informační systémy, které se propojují, znamenají pro banku důleţitá bankovní aktiva. Jejich dostupnost, integrita a důvěrná povaha mohou mít zvláštní důleţitost pro udrţení konkurenční výhody, finančních toků, ziskovosti, zachované souladu se zákony a také zachování dobré image banky. Informační sestavy jsou vystaveny stále se zvyšujícím rizikům ohroţení bezpečnosti ze široké škály zdrojů. Systémy informačních technologií banky mohou být cílem mnoha různých druhů napadení a zneuţití včetně zpronevěry prostřednictvím počítače, špionáţe, vandalismu. Neustále se ukazují nové zdroje nebezpečí např. ohroţení počítačovými viry nebo počítačovými hackery. Bezpečnostní opatření na ochranu IS jsou značně levnější a daleko účinnější, jsou-li zabudována do systémů a sluţeb informační techniky banky jiţ ve stádiích specifikace 53
poţadavků a návrhu systému. Platí zde obecné pravidlo, ţe čím dřív jsou přijata opatření na ochranu informací a zabezpečení informačních systémů banky, tím levnější bude tato ochrana pro banku z dlouhodobého pohledu. Zásady ochrany informací a bezpečnosti informačních systémů banky vycházejí z desítky obecně pouţívaných základních kategorií, kterými jsou: bezpečnostní politika v informačních systémech (IS) banky, organizace bezpečnosti IS banky, klasifikace a kontrola informačních aktiv, zabezpečení personálu banky, fyzické zabezpečení a bezpečnost prostředí IS, správa počítače a sítě banky, kontrola přístupů do IS banky, bezpečnost při vývoji a údrţbě IS banky, plánování zajištění kontinuity obchodní činnosti banky, zachování souladu s platnými předpisy. Těchto deset kategorií představuje celý soubor bezpečnostních opatření a kontrolních mechanizmů, které jsou v současnosti pouţívány v řadě předních zahraničních bank. 5.1.2 Základní požadavky na ochranu informací a bezpečnost informačního systému (BIS) banky Ve všech typech organizací existují tři hlavní zdroje poţadavků na ochranu informací a bezpečnost informačních systémů. Prvním zdrojem je jedinečný soubor moţných rizik, která mohou působit v oblasti informačních aktiv, a jejich případný vliv na obchodní činnost banky. Druhým zdrojem poţadavků je soubor zákonných a smluvních poţadavků, které musí banka splnit vzhledem k rostoucí potřebě normalizace spojené s tím, jak se zvyšuje úroveň síťového propojení banky. Třetím zdrojem bezpečnostních poţadavků je soubor zásad, cílů a poţadavků na zpracování informací, který si banka vytvořila na podporu jednotlivých druhů své obchodní činnosti. Je důleţité, aby tyto poţadavky podporovala i bezpečnostní politika banky. Zavádění bezpečnostních opatření a kontrolních mechanizmů infrastruktuře IS banky by navíc nemělo představovat ţádnou velkou překáţku v dosaţení efektivní obchodní činnosti banky.
54
5.1.3 Bezpečnostní politika Bezpečnostní
politika
a
její
stanovení
je
základním
předpokladem
budování
bezpečnostního systému IT banky. Jedná se o dokument, který obsahuje definici bezpečnosti informací banky, cíle a zásady bezpečnosti informací, vysvětlení specifických zásad a poţadavků na ochranu IT banky, definici obecných odpovědností banky a specifických odpovědností jednotlivých útvarů banky ve vztahu ke všem stránkám ochrany informací banky a v neposlední řadě vysvětlení postupů vykazování bezpečnostních příhod v bance. Je schvalován na úrovni představenstva banky. Všichni zaměstnanci musí chránit informace, se kterými přijdou do styku v souladu s právními a vnitřními předpisy banky a to i pět let po skončení pracovního poměru (závazek mlčenlivosti). Prvotní přihlášení do systému probíhá pomocí přihlašovacího jména, které se sestává ze jména a příjmení uţivatele, a hesla, které musí být kombinací písmen a čísel a je na kaţdém zaměstnanci, jaké si zvolí. Poté má pracovník přístup i do ostatních systémů, které vyuţívá při kaţdodenní pracovní činnosti, opět samozřejmě pomocí uţivatelského jména a hesla. Heslo je základní prostředek, kterým uţivatel informačních sluţeb banky potvrzuje oprávněnost přístupu k dané informační sluţbě. Hesla jsou známa jen jemu samotnému, neměl by je mít nikde zapsán a pravidelně je měnit. Proto, aby kaţdý nově příchozí zaměstnanec, mohl pracovat v bankovních systémech, je nutné schválení přístupových oprávnění vedoucím zaměstnancem. Vedoucí pracovník zároveň zodpovídá za absolvování školení a testů v oblasti bezpečnosti informačních systémů jako je například bezpečnost IS. Tyto testy se musí obnovovat jednou za jeden aţ dva roky podle toho, jak je stanoveno. Tyto aktivity by měla iniciovat především oddělení, která se zabývají dohledem nad dodrţováním předpisů jako je oddělení compliance, interního auditu atd. Správce informačních systémů odpovídá za bezpečnost provozu určeného IS, za zajištění dat, za přístupová oprávnění pouţívaná pro správu a servis IS. Musí zároveň řešit bezpečnostní incidenty IS, dokumentovat a vyhodnocovat všechny případy selhání a zajistit jejich nápravu ve spolupráci s dalšími útvary.
5.2 Bankovní bezpečnost Obecně můţeme bankovní bezpečnost rozdělit na vnější a vnitřní bezpečnost. Vnější bezpečností se zabývá ochranou objektů a prostor. Oproti tomu vnitřní bezpečnost je podstatně sloţitější oblastí bezpečnosti banky. Pracuje na podkladě soustředěných informací z celé sféry bankovního ţivota, tyto informace vyhodnocuje a posuzuje, zda se nevyskytují jakékoli vlivy ohroţující zájmy banky. Díky kvalitně vyhodnoceným 55
informacím je moţné včas zajistit negativní jevy a přijmout adekvátní opatření k eliminaci vznikající nebo jiţ vzniklého nebezpečí. 5.2.1 Vnější bezpečnost banky Vnější bezpečnost tvoří fyzická bezpečnost a technická nebezpečnost. Fyzická bezpečnost je zajišťována fyzickou přítomností osob přímo v prostředí banky. Je to nejstarší a stále ještě nejčastější forma ochrany objektů. Tento typ ochrany můţe být zajišťován vlastními pracovníky banky nebo některou ze soukromých bezpečnostních agentur případně kombinovaným způsobem. Fyzická bezpečnost je z hlediska času nepřetrţitá, vázaná na pracovní dobu a nárazová. Formy fyzické bezpečnosti jsou: kontrola vstupu – zajištění reţimu vstupu osob do chráněného objektu stráţní sluţba – zajišťování ochrany z vnějšku, sledování objektu a jeho okolí bezpečnostní dohled – zajišťován uvnitř objektu či prostoru fyzickým pracovníkem či elektronickým zařízením ochranný doprovod – uplatňován při transportu peněţní hotovosti a jiných cenností, platí přísná pravidla zásahová činnost v rámci fyzické bezpečnosti – provádí se na základě signálu tísně popř. signálu narušení z elektronického zabezpečovacího systému případně z pultu centralizované ochrany PCO Na pobočce ČSOB a.s. v Ústí nad Labem je fyzická bezpečnost zajišťována pomocí bezpečnostní agentury, která pro banku vyškolila dva své zaměstnance, kteří se zde střídají. V otevíracích hodinách jsou přítomni v zóně u pokladen. Zabezpečují otevření a uzavření pobočky přesně ve stanovený čas. Po skončení pracovní doby zapnutí bezpečnostního systému zajišťují vedoucí pracovníci banky. Pro výběr bezpečnostní agentury existují základní kritéria jako, je odborná způsobilost agentury a jejich zaměstnanců, garance kvality poskytovaných sluţeb a pojištění bezpečnostní agentury. Do souboru technické bezpečnosti jsou zahrnovány veškeré prvky technického, elektronického, ale i mechanického charakteru. Technická bezpečnost představuje systémy a zařízení, pomocí nichţ se vytvářejí podmínky bránící nepovolaným osobám vniknout do chráněného objektu, ale také systémy signalizující mimořádnou situaci jako je napadení objektu, vznik poţáru, stejně jako signalizační systémy informující o změnách různých 56
stavů, které mohou vést k haváriím. Technická bezpečnost zahrnuje čtyři velmi důleţité subsystémy bezpečnosti, kterými jsou mechanická bezpečnost, elektronické systémy bezpečnosti, dohledové elektronické systémy a reţimová opatření. Mechanická bezpečnost je komplex různých prvků a zařízení, které mají za úkol znesnadnit nebo případně zcela znemoţnit vniknutí nepovolaným osobám a neţádoucích předmětů do chráněného prostředí a zabránit tak znehodnocení nebo neoprávněné manipulaci s instalovaným materiálem a zařízením, krádeţi zařízené a cenností a umístění nebezpečného materiálu v chráněném prostoru. Například bezpečnost pracovníků na diskrétních pokladnách je zajištěna bezpečnostním sklem, které je neprůstřelné. Komunikace s klientem tedy probíhá pomocí mikrofonu. Pracovníci na pokladnách nemají ani moţnost komunikace mezi sebou, jejich pracoviště jsou odděleny zdí se skleněnou přepáţkou. K otevření trezoru je zapotřebí vţdy dvou oprávněných zaměstnanců. Dvojici jsou pevně stanoveny vedoucím pracovníkem a časový limit pro otevření trezoru je 15 minut. Elektronické systémy bezpečnosti plní v ochraně objektů několik základních úkolů: prevence, podpůrné informace, záznamy a dokumentace. V souvislosti s elektronickými systémy bezpečnosti je vhodné zmínit PCO – Pult centralizované ochrany, EZS – elektronická zabezpečovací signalizace a EPS – elektronická poţární signalizace. Dohledové elektronické (kamerové) systémy monitorují dění v chráněném prostoru. Tento systém je neocenitelným pomocníkem při vyšetřování mimořádných událostí, loupeţí, vandalství, ale i podvodů. Na obchodních místech banky jsou kamery umísťovány u vstupů určených pro veřejnost a pro
zaměstnance,
v samoobsluţné
zóně,
na
bankovní
hale
a
na
pokladních
pracovištích;v dotační místnosti, dotačním boxu a počítárně, v předtrezoří, v místnosti pro trezory a v komorovém trezoru, na pracovištích v zázemí bankovní haly pracujících s hotovostí a jinými ceninami, na trasách přesunu hotovosti z centrální úschovy na pokladní pracoviště. Mimo hotovostní pracoviště se instalují kamery hlavně u zaměstnaneckých vstupů. Kamerou jsou navíc vybaveny i všechny bankomaty. Záznamy z kamerových systémů musí být archivovány minimálně po dobu 40 dnů. Doba uchování snímků z bankomatů je závislá na kapacitě jeho paměťového disku. Snímky jsou uchovány v rozmezí 120-360 dnů podle počtu provedených transakcí. Pobočky jsou rozděleny na zóny podle bezpečnosti. Zóna mimořádné důleţitosti zahrnuje prostory, kde se nacházejí trezor, pokladny, počítárny hotovostí, zázemí pokladen, dotační box, diskrétní box, dotační místnost, výpočetní středisko, technické místnosti s IT, pracoviště dealingu, úloţnu zbraní a střeliva. Druhou zónou je zóna zvláštní důleţitosti, která zahrnuje prostory dotačních cest a dotačního zázemí, místnosti řídících jednotek technologií objektu, pracovny členů 57
představenstva, vybrané telefonní ústředny a archiv. Poslední zónou, která je označována jako důleţité prostory, jsou zaměstnanecké prostory v bankovním zázemí, spisovny, strojovny výtahů, garáţe atd. Zaměstnanci navíc musejí kaţdé dva roky skládat testy na téma ohroţení bombovým útokem a loupeţné přepadení a únos. Testy jsou v elektronické podobě, kdy zaměstnanec nejdříve, musí projít teoretickou části a teprve po jejím splnění je připuštěn k testu, který má přibliţně 20 otázek. K úspěšnému sloţení je zapotřebí odpovědět alespoň na 15 otázek. Obrázek 6 - Model pasivní bezpečnosti banky Bezpečnost objektů banky
Technická
Fyzická
obecná cílená kontrolní místnosti
Řešení mimořádných událostí mechanická
Projektování Kontrolní činnost
kriminální činy
dohledová ţivelné pohromy elektronická elektronická zabezpečovací signalizace elektronická protipoţární signalizace Zdroj: vlastní konstrukce
5.2.2 Ochrana banky zevnitř Nedílnou součástí ochrany banky je i její ochrana zevnitř, tedy před zaměstnanci. Podvody vlastních zaměstnanců jsou citlivým tématem v kaţdé firmě. Pro banku jde o zvlášť citlivé téma, jelikoţ pracuje s penězi. Je důleţité si uvědomit skutečnost, ţe banky na území České republiky zaměstnávají téměř 55 tisíc osob a ţe vedou více neţ 2,5 milionu účtů. Změny ve společnosti v posledních letech znamenaly nárůst počtu bank, objemu bankovních transakcí, a tím i nárůst počtu zaměstnanců. Tyto změny v mnoha případech 58
vedly k určitému sníţení úrovně profesionálních zkušeností a předávání větší míry odpovědnosti mladším a někdy méně zkušeným zaměstnancům. ČSOB a.s. byla jiţ několikráte oceněna cenou Zaměstnavatel roku. Toto ocenění získala hlavně díky tomu, ţe dává šanci absolventů. Tento trend je zřejmý i na jiţ zmíněné pobočce v Ústí nad Labem. Výběrová řízení vyhrávají většinou čerství absolventi vysokých škol, kteří bohuţel většinou nemají ţádné zkušenosti s prací v bankovním sektoru. Ve většině případů se jedná o jejich první zaměstnání. V takových to případech můţe banka poţádat o doporučení ze školy včetně zprávy o chování a charakterových vlastnostech ţadatele o zaměstnání. Platí zde zásada „poznej svého zaměstnance“. Ochrana banky zevnitř je o to sloţitější, ţe pachatelem je profesionál, který zná bankovní operace, prostředí a systémy konkrétní banky. Kaţdý zaměstnanec by se měl seznámit s pracovním řádem, etickým kodexem a podstupovat pravidelná školení. Je zakázáno, aby zaměstnanec banky nahlíţel či prováděl neoprávněné transakce na účtech svých kolegů ani svých vlastních, bezdůvodně nahlíţet na účty klientů a provádět neoprávněné transakce. Všechny pohyby zaměstnanců v systémech se dají zpětně dohledat. V případě zjištění takového to chování, je zaměstnavatel oprávněn rozvázat s tímto zaměstnancem pracovní poměr, jelikoţ se jedná o hrubé porušení pracovní kázně. Jelikoţ je kaţdý zaměstnanec zároveň i klientem banky, má přiděleného svého kontaktního pracovníka, který je oprávněn na jeho účtu provádět změny, od změny zasílací adresy aţ po poskytnutí úvěru, ale pouze za předpokladu, ţe je vše podloţeno písemným souhlasem. Vnitřní bezpečnostní incidenty mají ve většině případů mnohem menší mediální ohlas, protoţe zpravidla nemají přímý dopad na klienty a management většinou případy řeší v tajnosti, jelikoţ se obává negativní publicity. O to horší jsou pak dopady v případech, kdy se incidenty vymknou kontrole, jako například krádeţ a následný prodej informací v jednom z finančních ústavů v Lichtenštejnsku.13 Na základě studie společnosti PricewaterhousCooper vytvořené ve spolupráci s CIO magazínem14 v roce 2007, ţe dvě třetiny bezpečnostních problémů způsobili zaměstnanci. To představuje nárůst oproti předchozím letům, kdy poměr byl přibliţně 1:1. Neznamená 13
CIO magazin, http://www.cio.com/article/133600/The_Fifth_Annual_Global_State_of_Information_Security 14 CIO magazin, http://www.cio.com/article/133600/The_Fifth_Annual_Global_State_of_Information_Security 59
to ale, ţe by zaměstnanci byli méně zodpovědní, ve skutečnosti je poměr vnitřních a vnějších hrozeb v čase stálý, mění se pouze podvědomí managementu a jeho schopnost identifikovat takovéto hrozby a zavádět příslušná bezpečnostní opatření. Náchylnější k výskytu bezpečnostních rizik jsou samozřejmě instituce, které nemají důsledně aplikovány oddělení neslučitelných pravomocí.
60
Závěr Bankovnictví jako vyspělý sektor ekonomiky, který má svá specifika, a je do jisté míry měřítkem hospodářství jako celku, vyţaduje stále vyšší stupeň a úroveň zabezpečení a kvality. Bezpečnostní poţadavky vycházejí jak z řad klientů, jako výsledek kaţdodenní praxe či různých průzkumů, tak z řad institucí, kontrolních a dohledových orgánů a institucí. Zatímco v prvním případě je výsledkem snaha o vylepšení či změnu přístupu apod., v tom druhém jde většinou o zákonnou normu či jinou formu regulace a nařízení. Řízení bezpečnosti informací v bankovnictví je součástí velkého celku, a sice systému kvality managementu. Jinak řečeno kvalita řízení společnosti (banky) úzce koresponduje s úrovní zabezpečení, jakoţto i bezpečnosti informací, jako výsledek aplikace a dodrţování správných systémů a postupů. Právě tato problematika byla stanovena v úvodu práce jako hlavní cíl. Přes teoretický aparát v úvodu práce, kde je komplexně popsán management kvality včetně jeho chronologického a logického uspořádání, práce přechází k ISO normám, jakoţto nositelům certifikovaných standardů, tedy jakýchsi „dobrovolných zákonů“, které se vybrané společnosti zavazují při certifikaci dodrţovat. Pojem ISO, jeho vznik, význam atd. jsou stěţejní částí práce popsány tak, aby bylo moţno přejít do více aplikační části, kde jsou normy ISO popsány v kontextu bankovnictví. Tímto dochází k bliţšímu vymezení ISO norem pouţívaných v bankovnictví, coţ lze chápat jako hlavní úkol aplikační části této práce. Dochází ke konfrontaci norem v jejich podstatě a významu s realitou a jejich vyuţitím v konkrétní praxi. Veškeré tyto poznatky uvedené v této diplomové práci jsou opřeny o více neţ dvouletou pracovní praxi v bankovnictví, především v sektoru úvěrového bankovnictví v rámci renomovaného bankovního domu v České republice. Proto čistě praktickou ukázkou konfrontace ISO norem s praxí při jednání s klientem, představuje úvěrová problematika, konkrétně ţádost klienta o úvěr. Ţádost o úvěru, její zpracování a odeslání na určitou schvalovací úroveň probíhalo před zavedením jednotného schvalovacího systému velmi komplikovaně a mohlo dojít k tomu, ţe tyto informace se omylem dostal do nepovolaných rukou. Zavedení systému se těmto případným pochybení předešlo a urychlilo se schvalování případů. Před zavedením schvalovacího systému probíhalo veškeré schvalování přímo konkrétním schvalovatel, coţ kolikrát bylo zdlouhavé a kontrola všech registrů probíhalo přímo pracovníkem. Například schvalování ţádosti o minimální limit, tj. 50.000,-Kč trvalo i týden, jelikoţ schvalovatel se věnoval významnějším obchodům. V současné době se tyto limity schvalují v rámci schvalovacího 61
procesu samy a smluvní dokumentaci si pracovník zajišťuje sám přímo na pobočce. Kontrola registrů přímo pracovníkem probíhá i nadále, ale v menším mnoţství, jelikoţ schvalovací systém si stahuje aktuální výpis z CBCB sám, a tím se sniţuje i moţnost opomenutí ze strany zaměstnance banky. Zavedení systému je zároveň lepší pro ochranu dat klienta. Na základě analýzy veškerých dostupných informací týkajících se dané problematiky a porovnání s empirickou součástí lze vyvodit určité poznatky a závěr této práce tak, aby bylo dosaţeno splnění v úvodu vyřčeného cíle. Bankovnictví se řídí několika málo základními zákony, které nemohou logicky obsáhnout veškeré detaily, neboť mají jediný úkol a povinnost, a sice zaručit vymahatelnou bezpečnost klienta (v tomto případě občana) ve vztahu s bankami. Na základě získaných informací bylo však zjištěno, ţe banky na českém trhu nemají ISO normy zavedené. Zavedení norem ISO je velmi nákladné pro společnosti natoţ pak takové instituce, jako jsou bankovní domy. Pro banky by navíc plnění poţadavků dle norem ISO bylo velmi obtíţné vzhledem k neustále se měnícím bezpečnostním podmínkám. Jelikoţ téměř všechny banky na českém trhu jsou vlastněny zahraničními společnostmi (ČSOB a.s. vlastněna belgickou KBC, KB a.s. ve vlastnictví francouzské Société Générale, ČS a.s. člen ERSTE Group) rozhodnutí o zavedení by muselo přijít právě odtud. Norma ISO 27001 Systém bezpečnosti informačních systémů slouţí bankám jako benchmarketingový nástroj. Kaţdá banka má stanovenou bezpečnostní politiku, podle které se řídí a která zahrnuje jak bezpečnost informační systémů, tak fyzickou ochranu banky. Na základě více jak dvouleté praxi mohu říci, ţe se zvýšily některé bezpečnostní poţadavky a zdokonalily systémy, se kterými denně pracuje kaţdý zaměstnanec banky. V rámci zdokonalení systémů se například upravily podmínky pro zaloţení účtu pro cizozemce, prověřování těchto osob probíhá přímo na centrále banky a díky tomu se předchází komplikacím při ţádosti těchto klientů o úvěr. Jedná se sice o zdlouhavý proces, ale velmi účinný. Banky i bez zavedených norem ISO dbají na ochranu dat a bezpečnost informačních systémů. Činnost bank je postavena právě na práci s velkým mnoţstvím informací o klientech banky, na jejich ochraně je postavena důvěryhodnost bank.
62
Seznam použité literatury 1. BEDNARČÍK, Zdeněk. Mezinárodní systémové standardy. Slezská univerzita v Opavě, Obchodně podnikatelská fakulta v Karviné 2009. ISBN 978-80-7248-5321. 2. Česká technická norma, ČSN ISO/IEC 27001. Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Poţadavky. Praha: Český normalizační institut, 2006. 3. GABRYŠOVÁ, Marie. Řízení jakosti A. Karvinná: Slezká universita v Opavě, Obchodně podnikatelská fakulta v Karviné, 2009. ISBN 978-7248-524-6. 4. NENADÁL, J. a kol. Moderní systémy řízení jakosti. Praha: Management Press, 2002. ISBN 80-7261-071-6 5. NENADÁL, Jaroslav; PLURA, Jiří; HUTYRA, Milan; PETŘÍKOVÁ, Růţena. Základy managementu jakosti. Ostrava: Vysoká škola báňská, Technická universita Ostrava, 2005. ISBN 80-248-0969-9. 6. NENADÁL, Jaroslav; NOSKIEVIČOVÁ, Darja; PETŘÍKOVÁ, Růţena; PLURA, Jiří; TOŠENOVSKÝ, Josef. Moderní systémy řízení jakosti, Quality Management, 2. doplněné vydání. Praha: Management Press, 2002. ISBN 80-7261-071-6. 7. SLOUPENSKÝ, Aleš; ŢEHRA, František. Bankovní bezpečnost. Praha: Bankovní institut, a.s., 1997. 8. Zákon č. 126/2002 Sb. o bankách 9. Zákon č. 101/2000 Sb. o ochraně osobních údajů 10. Dostupný z WWW: < Martin Frimmel, AK JUDr. Chobolová, Brno , http://www.chobolova.cz> 11. Dostupný z WWW: < http://www.csq.cz> 12. Dostupný z WWW: < http://www.czech-ba.cz> 13. http://wwwinfo.mfcr.cz/ares/ares_es.html.cz> 63
14. Dostupný z WWW: < http:// www.solus.cz> 15. http://www.cbcb.cz> 16. Dostupný z http://www.iso.cz/iso17799.html> 17. Dostupný z WWW: < http://www.cio.com/article/133600/The_Fifth_Annual_Global_State_of_Informatio n_Security>
64
Seznam použitých zkratek BIC
Bank Identifier Code
ČNB
Česká národní banka
ČSJ
Česká společnost pro jakost
ČSN EN
Česká státní norma převzatá z evropských norem
ČSSZ
Česká správa sociálního zabezpečení
ČSVTS
Český svaz vědeckotechnických společností
DP
Daňové přiznání
EFQM
European Foundation for Quality Management Evropská nadace pro management kvality
EOQ
European Organization for Quality Evropská organizace jakosti
EU
Evropská unie
FO/FOP
Fyzická osoba/ Fyzická osoba podnikatel
FÚ
Finanční úřad
IBAN
International Bank Account Number Mezinárodní číslo bankovního účtu
IS
Informační systém
ISMS
Systém managementu bezpečnosti informací
ISO
Organization for Standardization Mezinárodní organizace pro normalizaci
OP
Občanský průkaz
PIN
Personal Identification Number Osobní identifikační číslo
PO
Právnická osoba
PV
Podpisový vzor
QMS
Quality management systém Systém management kvality
ŘP
Řidičský průkaz
TQM
Total quality management Komplexní management kvality 65
ÚOOÚ
Úřad pro ochranu osobních údajů
Seznam použitých obrázků Obr. č. 1
Řízení jakosti typický pro 50. a 60. léta
Obr. č. 2
Řízení jakosti typický pro 70. Léta
Obr. č. 3
Řízení jakosti typický pro 80. Léta
Obr. č. 4
Řízení jakosti typický pro 90. Léta
Obr. č. 5
Analýza účinků systému managementu jakosti
Obr. č. 6
Úvěrový proces
Obr. č 7
PDCA model aplikovaný na procesy ISMS
Obr. č. 8
Model pasivní bezpečnosti banky
Seznam použitých grafů Graf č. 1
Úspěšnost poskytnutých úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem)
Graf č. 2
Poměr provozních a investičních úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem)
Seznam tabulek Tab. č 1
Dokumenty předkládané klientem při ţádosti o úvěr
Tab. č. 2
Úspěšnost poskytnutých úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem
Tab. č. 3
Poměr provozních a investičních úvěrů v roce 2009 (ČSOB, pobočka Ústí nad Labem)
Seznam příloh č. 1
Příkaz k úhradě
č. 2
Ţádost o úvěr pro FOP
66
Příloha č.1
67
Přílohač.2
68
69
70