
Audyt ZDU w banku spółdzielczym: jak kontrolować dostawców zewnętrznych, jakie dokumenty przygotować, jak często prowadzić audyt i kiedy zlecić go firmie zewnętrznej?
Dostawcy zewnętrzni usług ICT, serwisowych, hostingowych, operatorskich, informatycznych czy wspierających bieżącą działalność banku stali się jednym z kluczowych obszarów nadzoru w bankach spółdzielczych. DORA jednoznacznie wzmacnia odpowiedzialność banku za zarządzanie ryzykiem ICT, także wtedy, gdy usługa jest realizowana przez podmiot zewnętrzny.
W praktyce część największych i najważniejszych dostawców dla sektora bankowości spółdzielczej, zwłaszcza dostawców centralnych systemów bankowych, oprogramowania finansowego, usług zrzeszeniowych czy rozwiązań krytycznych dla wielu banków, jest audytowana lub weryfikowana na poziomie banków zrzeszających, grupy lub instytucji nadzorujących dany model współpracy. Nie oznacza to jednak, że bank spółdzielczy może pominąć własny nadzór nad pozostałymi dostawcami.
Problem pojawia się szczególnie przy dostawcach, którzy nie są objęci centralnym audytem, a jednocześnie mają realne znaczenie dla działania banku. Mogą to być lokalni dostawcy IT, firmy serwisowe, operatorzy łączy, hostingodawcy, dostawcy strony internetowej, usług backupu, monitoringu, wsparcia technicznego, systemów pomocniczych, ochrony fizycznej, usług dokumentowych lub innych rozwiązań wspierających procesy bankowe.
Dlaczego bank musi kontrolować ZDU?
Bank może zlecić usługę na zewnątrz, ale nie może przenieść odpowiedzialności za ryzyko. Jeżeli dostawca obsługuje dane banku, systemy ICT, dostęp administracyjny, kopie zapasowe, kanały komunikacji, stronę internetową, urządzenia, łącza, serwerownię, helpdesk albo proces wspierający funkcję krytyczną lub istotną, to bank powinien mieć dowody, że nadzoruje tego dostawcę.
Podstawą takiego podejścia są m.in.:
- DORA – Rozporządzenie (UE) 2022/2554, w szczególności obowiązki dotyczące zarządzania ryzykiem ICT oraz ryzykiem wynikającym z korzystania z usług zewnętrznych dostawców ICT;
- RTS 2024/1773, dotyczący polityki korzystania z usług ICT wspierających funkcje krytyczne lub istotne;
- RTS 2024/1774, dotyczący narzędzi, metod, procesów i polityk zarządzania ryzykiem ICT;
- Wytyczne EBA dotyczące outsourcingu EBA/GL/2019/02, które wskazują na potrzebę oceny, monitorowania i kontroli outsourcingu, w tym usług krytycznych lub istotnych;
- postanowienia umowy, SLA, aneksów DORA, polityk outsourcingu ICT oraz wewnętrznych regulacji banku.
Audyt ZDU – co powinien obejmować?
Audyt ZDU nie powinien ograniczać się do sprawdzenia, czy istnieje umowa i czy dostawca wystawia faktury. To za mało. Pracownik banku lub audytor powinien sprawdzić, czy bank ma realną kontrolę nad ryzykiem wynikającym ze współpracy z dostawcą.
W praktyce audyt powinien obejmować przede wszystkim:
1. Klasyfikację dostawcy i usługi
Na początku należy ustalić, czy dostawca świadczy usługę ICT, czy usługa wspiera funkcję krytyczną lub istotną, jakie dane są przetwarzane, czy dostawca ma dostęp do systemów banku, czy korzysta z podwykonawców i czy awaria tej usługi może wpłynąć na klientów, ciągłość działania lub bezpieczeństwo banku.
2. Umowę, SLA i aneksy DORA
Bank powinien zweryfikować, czy umowa zawiera odpowiednie zapisy dotyczące zakresu usługi, poziomów SLA, bezpieczeństwa, incydentów, lokalizacji danych, podwykonawców, prawa audytu, zakończenia współpracy i obowiązków informacyjnych dostawcy.
3. Analizę ryzyka ICT ZDU
To jeden z najważniejszych elementów. Bank powinien posiadać aktualną analizę ryzyka ICT dotyczącą dostawcy i świadczonej usługi. Analiza powinna obejmować m.in. ryzyko dostępności, poufności, integralności danych, ciągłości działania, podoutsourcingu, koncentracji, zależności od dostawcy, bezpieczeństwa fizycznego oraz możliwości zakończenia współpracy.
4. Procedury i dokumentację dostawcy
Bank powinien sprawdzić, czy ZDU posiada i stosuje procedury adekwatne do świadczonej usługi. W szczególności warto zweryfikować:
- politykę bezpieczeństwa informacji;
- procedurę zarządzania incydentami;
- procedurę zgłaszania incydentów do banku;
- procedurę ciągłości działania BCP;
- procedurę odtwarzania awaryjnego DRP;
- procedurę backupu i odtwarzania danych;
- procedurę zarządzania dostępami;
- procedurę dostępu uprzywilejowanego;
- procedurę zarządzania zmianą;
- procedurę zarządzania podatnościami i aktualizacjami;
- procedurę logowania i monitorowania zdarzeń;
- procedurę ochrony danych banku;
- procedurę ochrony danych osobowych i poufności;
- procedurę nadzoru nad podwykonawcami;
- procedurę onboardingu i offboardingu pracowników;
- program szkoleń pracowników;
- procedurę bezpieczeństwa fizycznego;
- procedurę ochrony nośników danych;
- procedurę usuwania lub zwrotu danych po zakończeniu usługi;
- plan wyjścia, jeżeli usługa jest krytyczna lub istotna.
5. Szkolenia pracowników ZDU
Bank powinien zapytać, czy pracownicy dostawcy zaangażowani w świadczenie usługi dla banku są szkoleni z bezpieczeństwa informacji, cyberbezpieczeństwa, poufności, ochrony danych, obsługi incydentów i zasad dostępu do systemów. Szczególnie ważne jest to dla administratorów, helpdesku, serwisantów, osób mających dostęp do danych banku lub środowisk produkcyjnych.
Dowodem mogą być: program szkoleń, harmonogram, lista tematów, potwierdzenie realizacji, wyniki testów, certyfikaty lub oświadczenie dostawcy.
6. Bezpieczeństwo fizyczne i środowiskowe ZDU
Ten obszar jest często pomijany, a jest bardzo ważny. Jeżeli dostawca przetwarza dane, utrzymuje infrastrukturę, serwery, kopie zapasowe, nośniki, dokumentację lub świadczy usługi z własnej lokalizacji, bank powinien sprawdzić zabezpieczenia fizyczne.
Kontrola powinna obejmować m.in. dostęp do pomieszczeń, rejestr gości, monitoring CCTV, ochronę obiektu, strefy bezpieczeństwa, serwerownie, zasilanie, klimatyzację, zabezpieczenia przeciwpożarowe, ochronę przed zalaniem, ewidencję sprzętu i nośników oraz procedury reagowania na incydenty fizyczne.
7. Podwykonawców i podoutsourcing
Bank powinien wiedzieć, czy ZDU korzysta z podwykonawców. Jeżeli tak, należy sprawdzić, jaki jest ich zakres, gdzie świadczą usługi, czy mają dostęp do danych banku, czy zostali zaakceptowani zgodnie z umową i czy dostawca nadzoruje ich w sposób adekwatny.
8. Incydenty, SLA i jakość usługi
Audyt powinien obejmować przegląd incydentów, awarii, zgłoszeń, reklamacji, czasów reakcji, czasów usunięcia problemów i raportów SLA. Nie wystarczy samo zapewnienie dostawcy, że „wszystko działa”. Bank powinien mieć dowody: raporty, tickety, protokoły, zestawienia lub potwierdzenia działań naprawczych.
9. Plan wyjścia
W przypadku usług krytycznych lub istotnych bank powinien posiadać plan wyjścia. Plan powinien odpowiadać na pytanie: co bank zrobi, jeżeli dostawca przestanie świadczyć usługę, pogorszy jakość, utraci zdolność operacyjną albo współpraca będzie musiała zostać zakończona.
Co bank powinien przygotować przed audytem ZDU?
Przed rozpoczęciem audytu bank powinien zebrać własne dokumenty i informacje, w szczególności:
- umowę z dostawcą;
- aneksy, w tym aneksy DORA;
- SLA lub OLA;
- klasyfikację usługi;
- analizę ryzyka ICT ZDU;
- wpis w rejestrze usług ICT;
- opis powiązania usługi z procesami banku;
- informacje o funkcjach krytycznych lub istotnych;
- historię incydentów i zgłoszeń;
- raporty SLA;
- wcześniejsze audyty lub przeglądy;
- listę osób odpowiedzialnych za nadzór nad umową;
- decyzję, czy audyt będzie dokumentacyjny, zdalny, onsite czy mieszany.
Co powinien przygotować ZDU na żądanie banku?
Dostawca powinien przygotować dokumenty i dowody potwierdzające, że usługa jest świadczona bezpiecznie, stabilnie i zgodnie z umową. W praktyce bank może żądać m.in.:
- wykazu procedur bezpieczeństwa;
- procedury incydentowej;
- procedury BCP/DRP;
- zasad backupu;
- zasad zarządzania dostępami;
- zasad dostępu uprzywilejowanego;
- procedury zarządzania zmianą;
- procedury podatności i aktualizacji;
- wykazu podwykonawców;
- potwierdzenia lokalizacji przetwarzania danych;
- raportów SLA;
- raportów z incydentów;
- certyfikatów, np. ISO 27001, ISO 22301, SOC 2, jeżeli występują;
- raportów z audytów zewnętrznych;
- potwierdzenia szkoleń pracowników;
- opisu zabezpieczeń fizycznych;
- planu wyjścia lub informacji wspierających plan wyjścia banku.
Czy bank może sam audytować ZDU?
Tak. Bank może samodzielnie przeprowadzić audyt ZDU, zwłaszcza gdy ma odpowiednie kompetencje, dokumentację, listę kontrolną i osobę odpowiedzialną za nadzór nad dostawcą. Taki audyt może mieć formę przeglądu dokumentacyjnego, ankiety, spotkania z dostawcą, analizy raportów SLA lub kontroli wybranych obszarów.
W przypadku dostawców krytycznych, usług istotnych, złożonych usług ICT, dostępu do danych banku, podwykonawców, środowisk technicznych, bezpieczeństwa fizycznego lub poważniejszych ryzyk warto rozważyć wsparcie zewnętrzne.
Czy audyt ZDU można zlecić firmie zewnętrznej?
Tak. Bank może zlecić audyt ZDU wyspecjalizowanej firmie zewnętrznej. Jest to szczególnie zasadne, gdy audyt wymaga wiedzy z zakresu DORA, cyberbezpieczeństwa, outsourcingu ICT, ciągłości działania, bezpieczeństwa fizycznego, procedur dostawcy, analizy ryzyka, testów technicznych lub oceny zgodności dokumentacji.
Zewnętrzny audyt daje bankowi niezależne spojrzenie, porządkuje dowody, wskazuje braki i pozwala przygotować konkretne zalecenia dla dostawcy. Dla banku jest to również mocniejszy materiał dowodowy na potrzeby kontroli, audytu wewnętrznego, audytu zrzeszeniowego lub przeglądów nadzorczych.
Jak często audytować ZDU?
Częstotliwość audytu powinna wynikać z poziomu ryzyka, rodzaju usługi i jej znaczenia dla banku. W praktyce można przyjąć następujące podejście:
- dostawcy usług krytycznych lub istotnych: co najmniej raz w roku;
- pozostali dostawcy ICT: okresowo, np. raz na 2 lata albo zgodnie z oceną ryzyka;
- monitoring SLA, incydentów i jakości usług: kwartalnie lub zgodnie z umową;
- audyt dodatkowy: po poważnym incydencie, istotnej zmianie usługi, zmianie podwykonawcy, zmianie lokalizacji danych, pogorszeniu SLA albo istotnym wzroście ryzyka.
DORA nie powinna być traktowana jako jednorazowy projekt dokumentacyjny. Nadzór nad ZDU powinien być procesem ciągłym: klasyfikacja, ocena ryzyka, umowa, monitoring, audyt, zalecenia, ponowna ocena i decyzja o dalszej współpracy.
Audyt ZDU – najczęstsze pytania i odpowiedzi
Czy każdy dostawca musi być audytowany tak samo?
Nie. Zakres audytu powinien być proporcjonalny do ryzyka. Inaczej audytuje się dostawcę systemu krytycznego, a inaczej drobną usługę pomocniczą bez dostępu do danych i systemów banku.
Czy monitoring dostawcy może być traktowany jako audyt?
Może być traktowany jako uproszczona forma kontroli okresowej, jeżeli jest udokumentowany, oparty na kryteriach i kończy się oceną. Nie zawsze zastępuje jednak pełny audyt, szczególnie przy usługach krytycznych lub istotnych.
Czy trzeba sprawdzać procedury ZDU?
Tak. Bank powinien mieć pewność, że dostawca posiada i stosuje procedury adekwatne do usługi, zwłaszcza w obszarach bezpieczeństwa ICT, incydentów, backupu, BCP/DRP, dostępu, zmian, podatności, podwykonawców, szkoleń i bezpieczeństwa fizycznego.
Czy bank powinien kontrolować szkolenia pracowników ZDU?
Tak. Jeżeli pracownicy ZDU obsługują usługę dla banku, mają dostęp do danych, systemów, środowisk technicznych, helpdesku lub procesów bezpieczeństwa, bank powinien oczekiwać potwierdzenia, że są odpowiednio szkoleni.
Czy bezpieczeństwo fizyczne ZDU ma znaczenie?
Tak. Jeżeli dostawca przetwarza dane, utrzymuje infrastrukturę, nośniki, kopie zapasowe, dokumentację lub świadczy usługę z własnej lokalizacji, bezpieczeństwo fizyczne i środowiskowe powinno być elementem audytu.
Czy główni dostawcy banków spółdzielczych są już audytowani centralnie?
Część dużych, centralnych lub zrzeszeniowych dostawców może być weryfikowana na poziomie grupy, zrzeszenia lub banku zrzeszającego. Nie zwalnia to jednak banku spółdzielczego z obowiązku posiadania własnej wiedzy, klasyfikacji, oceny ryzyka i dowodów nadzoru nad usługą. Szczególnie dotyczy to dostawców lokalnych i tych, którzy nie są objęci centralnym audytem.
10 wybranych najważniejszych tematów po ocenie KNF ryzyka ICT 2025
Strategia ICT to za mało. KNF pyta o operacyjną odporność cyfrową Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/strategia-ict-to-za-malo-knf-pyta-o-operacyjna-odpornosc-cyfrowa-banku/
Backup jest? To za mało. KNF zapyta, czy Bank potrafi się odtworzyć:
https://premiumbank.zadbajobezpieczenstwo.pl/backup-jest-to-za-malo-knf-zapyta-czy-bank-potrafi-sie-odtworzyc-strategia-ciaglosci-dzialania-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Skan to za mało. KNF zapyta, czy Bank naprawdę testuje odporność ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/skan-podatnosci-to-nie-test-odpornosci-knf-zapyta-czy-bank-naprawde-testuje-ict/Jeden dostawca, wiele systemów, jedno duże ryzyko. KNF pyta o koncentrację ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/jeden-dostawca-wiele-systemow-jedno-duze-ryzyko-knf-pyta-o-koncentracje-ict/Audyt ZDU — czy wiesz, kogo naprawdę powinien kontrolować Bank?:
https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zdu-w-banku-spoldzielczym-jak-kontrolowac-dostawcow-zewnetrznych-zgodnie-z-dora/Zarząd musi wiedzieć. KNF zapyta, kto naprawdę nadzoruje ryzyko ICT w Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/raport-ict-do-zarzadu-knf-pyta-kto-nadzoruje-ryzyko-ict-w-banku/Znalazłeś podatność? KNF zapyta, kiedy ją usunąłeś:
https://premiumbank.zadbajobezpieczenstwo.pl/znalazles-podatnosc-knf-zapyta-kiedy-ja-usunales-zarzadzanie-podatnosciami-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Masz procedury DORA? KNF zapyta: kiedy ostatnio naprawdę je przeczytałeś?:
https://premiumbank.zadbajobezpieczenstwo.pl/coroczny-przeglad-dokumentacji-ict-dora-w-banku-spoldzielczym-po-ocenie-nadzorczej-knf-ryzyka-ict-za-2025-r/DORA nie zna wymówki: pracownik nie miał czasu na szkolenie:
https://premiumbank.zadbajobezpieczenstwo.pl/szkolenia-ict-dora-po-ocenie-knf-ryzyka-ict-za-2025-r-czy-bank-przeszkolil-wszystkich-czy-tylko-ma-plan-szkolenia/Dokument jest? KNF zapyta o dowód, że działa:
https://premiumbank.zadbajobezpieczenstwo.pl/dokument-jest-knf-zapyta-o-dowod-ze-dziala/
O genezie powstania 10 wybranych tematów można dowiedzieć się więcej :
https://premiumbank.zadbajobezpieczenstwo.pl/10-wybranych-najwazniejszych-zalecen-knf-po-ocenie-ryzyka-ict-2025-praktyczne-podsumowanie-dla-bankow-spoldzielczych/
Servus Comp Kraków – audyty ZDU dla banków spółdzielczych
Na zlecenie banków spółdzielczych Servus Comp Kraków prowadzi audyty zewnętrznych dostawców usług, w tym dostawców ICT, dostawców wspierających funkcje krytyczne lub istotne, dostawców lokalnych oraz podmiotów, które nie są objęte centralnym audytem zrzeszeniowym.
Audyt może obejmować m.in.:
- klasyfikację dostawcy i usługi;
- analizę ryzyka ICT ZDU;
- ocenę umowy, SLA i aneksów DORA;
- przegląd procedur dostawcy;
- weryfikację incydentów i raportowania;
- ocenę BCP, DRP i backupu;
- kontrolę szkoleń pracowników ZDU;
- ocenę bezpieczeństwa fizycznego;
- przegląd podwykonawców;
- ocenę planu wyjścia;
- raport z wnioskami i zaleceniami dla banku.
Dzięki temu bank otrzymuje praktyczny materiał dowodowy, który może wykorzystać przy nadzorze nad dostawcami, aktualizacji rejestru usług ICT, ocenie ryzyka, rozmowach z dostawcą oraz przygotowaniu do kontroli lub audytu.
Podsumowanie
Audyt ZDU nie jest formalnością. To praktyczne narzędzie, które pozwala bankowi sprawdzić, czy dostawca rzeczywiście działa bezpiecznie, stabilnie i zgodnie z wymaganiami DORA, umową oraz oczekiwaniami banku.
Największe ryzyko nie zawsze dotyczy największych dostawców. Często realne luki pojawiają się u mniejszych, lokalnych lub pomocniczych dostawców, którzy mają dostęp do danych, systemów, infrastruktury, backupu, strony internetowej, serwisu, łączy lub procesów operacyjnych banku.
Dlatego każdy bank spółdzielczy powinien wiedzieć: kto świadczy usługę, jakie ryzyko generuje, jakie dokumenty posiada, jak szkoli pracowników, jak chroni dane, jak reaguje na incydenty i co stanie się, gdy usługa przestanie działać.
Zadzwoń lub napisz do Servus Comp, aby omówić temat.
Strona główna: https://premiumbank.zadbajobezpieczenstwo.pl
Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
#audytZDU #audytDostawców #bankSpółdzielczy #DORA #dostawcyICT #outsourcingICT #analizaRyzykaICT #bezpieczeństwoICT #ciągłośćDziałania #SLA #zarządzanieRyzykiem #compliance #cyberbezpieczeństwo #ServusComp #bankowośćSpółdzielcza

Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.