NB/BI/III/97/01 - Bezpieczeństwo operacyjne banku.

Zwracam się do państwa w sprawie, która poruszyła ostatnio całe społeczeństwo, a szczególnie środowisko bankowe. Wydarzenie to jest najtragiczniejszym spośród kilkudziesięciu napadów na placówki bankowe na przestrzeni ostatniego roku. Fakty te skłaniają do zwrócenia szczególnej wagi na potrzebę weryfikacji dotychczasowej polityki w zakresie ochrony osób i mienia, związanej z działalności banków.

Reprezentująca Narodowy Bank Polski i Komisję Nadzoru Bankowego, organy odpowiedzialne za bezpieczeństwo i stabilność całego systemu bankowego, w tym poszczególnych banków, pozwalam sobie przekazać państwu kilka uwag i sugestii, z prośbą o ich wykorzystanie w bieżącej działalności.

Zgodnie z przepisami ustawy z dn. 22.08.1997 r. o ochronie osób i mienia, obiekty i urządzenia bankowe, przebywający w nich pracownicy oraz klienci, z uwagi na ochronę interesu gospodarczego państwa podlegają szczególnej ochronie. Ustawa ta wraz z wydanymi na jej podstawie aktami wykonawczymi w sposób szczegółowy określa zasady i zakres ochrony mienia i osób. Szczególnie istotny jest z tego punktu widzenia plan ochrony danego obiektu, który - na podstawie art. 7 ust. 1 ustawy - kierownik jednostki, bezpośrednio zarządzający obiektami i urządzeniami podlegającymi ochronie, ma obowiązek uzgodnić z właściwym terytorialnie komendantem wojewódzkim Policji. Równie ważne są wewnętrzne procedury w zakresie bezpieczeństwa banku, w tym procedury postępowania pracowników banku w sytuacji zagrożenia.

Jak się wydaje, wspomniane na wstępie przypadki powinny skłonić kierownictwa banków do przeanalizowania dotychczasowej polityki bezpieczeństwa banku, w związku z nowymi rodzajami zagrożeń, celem odpowiedniego zarządzania ryzykami, jakie te zagrożenia generują. Działalność przestępcza, w tym napad na bank, jest jednym z kluczowych obszarów występowania ryzyka operacyjnego. Bank, decydując się na określoną strategię rozwoju, rozszerzanie oferty i korzystanie z zaawansowanych technologii, powinien w celu zapewnienia bezpieczeństwa dostosować proces zarządzania ryzykiem, w tym ryzykiem operacyjnym, do zmieniających się warunków działania. Podstawowe znaczenie dla zarządzania ryzykiem operacyjnym w banku ma wprowadzenie adekwatnej polityki bezpieczeństwa, obejmującej:

* określenie wymogów w zakresie bezpieczeństwa,

* wprowadzenie polityki bezpieczeństwa,

* dokumentowanie polityki bezpieczeństwa,

* monitorowanie realizacji polityki bezpieczeństwa oraz wprowadzanie zmian.

W przypadku korzystania przez bank z usług podmiotów trzecich, zarządzanie ryzykiem operacyjnym powinno obejmować usługodawcę i uwzględniać konsekwencje wynikające z braku bezpośredniej kontroli nad realizacją usług. Zarząd i rada nadzorcza banku, ponoszące pełną odpowiedzialność za funkcjonowanie banku, także w zakresie realizacji czynności powierzonych podmiotom zewnętrznym, mają obowiązek analizowania ryzyka, na jakie narażony jest bank, zarówno przed podpisaniem właściwej umowy, jak i po rozpoczęciu świadczenia usług przez podmiot zewnętrzny oraz badania wpływu tego ryzyka na profil ryzyka banku. Zarząd i rada nadzorcza banku powinny znać i przewidywać kluczowe rodzaje ryzyka, wynikające z powierzenia określonych czynności podmiotowi zewnętrznemu, a także ich znaczenie dla bezpiecznego funkcjonowania banku w przyszłości.

W świetle powyższego szczególnej rangi nabiera brzmienie art. 10 ustawy o ochronie osób i mienia. Przepis ten daje możliwość kierownictwom banków objęcia planami ochrony, uzgodnionymi z właściwymi komendantami wojewódzkimi Policji, wszystkich placówek bankowych, a nie tylko jednostek ujętych w wykazie sporządzanym na podstawie art. 5 ust. 3 tej ustawy. W związku z tym proszę o rozważenie podjęcia kroków, które spowodują stosowanie powyższej normy prawnej również w stosunku do obszarów, obiektów i urządzeń formalnie nią nie objętych.

Mając na uwadze wymienione względy, dodatkowo zwracam się z prośbą o:

* dokonanie przeglądu procedur w zakresie bezpieczeństwa banku, ze szczególnym uwzględnieniem zabezpieczeń fizycznych; w przypadku korzystania przez banki z usług podmiotów zewnętrznych weryfikacja powinna obejmować usługodawcę oraz dotyczyć potencjalnych konsekwencji wynikających z braku bezpośredniej kontroli nad realizacją usług,

* spowodowanie, aby kontrola wewnętrzna w swoich badaniach uwzględniła zagadnienia związane z systemami bezpieczeństwa stosowanymi w jednostkach organizacyjnych banków, zwracając szczególną uwagę na odpowiedzialność poszczególnych pracowników za powierzone zadania,

* dokonanie analizy zagrożeń, która powinna obejmować znajomość zjawiska, minimalizację zagrożeń, odstraszanie przestępców oraz aktywne środki ostrożności,

* zweryfikowanie planów awaryjnych pod kątem postępowania służby ochrony i pracowników banku na wypadek sytuacji zagrożenia.

Informacje na temat podjętych działań proszę przekazać do Narodowego Banku Polskiego do końca czerwca 2001 roku.