Art. 28 Sistemul de control intern al unei instituţii de credit Cadrul de administrare a activităţii instituţiilor de credit
| Comentarii |
|
Cadrul de administrare a activităţii instituţiilor de credit
SECŢIUNEA a 3-a
Sistemul de control intern al unei instituţii de credit
Art. 28
(1) În ceea ce priveşte informarea prevăzută la art. 24 lit. d), instituţiile de credit trebuie să dispună de sisteme informaţionale credibile, care să acopere toate activităţile lor.
(2) În sensul alin. (1), instituţiile de credit trebuie să organizeze gestiunea informaţiilor cu respectarea prevederilor legale incidente.
(3) Instituţiile de credit trebuie să asigure existenţa datelor financiare, operaţionale şi de conformitate, adecvate şi complete, pentru desfăşurarea activităţii lor.
(4) Instituţiile de credit trebuie să dispună de informaţii despre piaţă referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor. Informaţiile trebuie să fie credibile, relevante, complete, oportune, accesibile şi furnizate într-un format consecvent.
(5) În contextul alin. (2), instituţiile de credit trebuie să respecte cerinţele organizaţionale şi de control intern legate de procesarea electronică a informaţiilor şi să asigure existenţa unei piste de audit adecvate.
(6) Sistemele informaţionale ale instituţiilor de credit, inclusiv cele care păstrează şi utilizează date în format electronic, trebuie să fie sigure, monitorizate independent şi susţinute de planuri alternative corespunzătoare, care să le permită continuarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor informatice critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie a instituţiei de credit - centru de back-up -, fie prin intermediul unui furnizor extern de servicii.
(7) Funcţionarea planurilor alternative prevăzute la alin. (6) trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă.
(8) Instituţiile de credit trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop, se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.
(9) Controalele generale trebuie efectuate asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice - sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale utilizatorilor finali, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.
(10) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.
(11) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor.
| ← Art. 27 Sistemul de control intern al unei instituţii de... | Art. 29 Sistemul de control intern al unei instituţii de... → |
|---|
