Etterlyser tydeligere rapporteringsfordeling etter tilsyn: – Uklart hvor finmasket vi skal rapportere

Finanstilsynet har avdekket flere svakheter i Skagerrak Sparebank sin håndtering av IT-risiko og sikkerhet, det skriver tilsynet i en fersk rapport. I en fersk tilsynsrapport pekes det spesielt på mangelfull risikostyring, svakheter i internkontrollen og mangel på lovpålagte rutiner.

Etter et stedlig tilsyn i januar 2025 er Finanstilsynettydelig i sin konklusjon: Banken har ikke hatt tilstrekkelig kontroll på flere sentrale områder.S

– Vi hadde en god dialog med tilsynet rundt rapporten, og det var en ryddig og nyttig prosess. Det kom mange gode innspill underveis, og vi opplevde tilsynet som konstruktivt. Dette er et komplisert område som er i sterk endring, og det er ikke lett å være hundre prosent compliant på nåværende tidspunkt – dette er noe alle jobber med, sier Jan Kleppe, administrerende direktør i Skagerrak Sparebank, til BankShift.

Hvem gjør hva

Hovedoverskriften i rapporten er svak overordnet risikostyring. 

En særlig utfordring var at IT-strategien banken fulgte, nemlig Eika Gruppens strategi, ikke var behandlet eller godkjent av Skagerraks eget styre. 

Tilsynet etterlyste også en tydeliggjøring av hvilke deler av Eikas strategi som faktisk gjelder for banken selv. 

– Det blir komplisert når man opererer i et trepartsområde med Tietoevry og Eika, men likevel sitter med alt ansvaret selv som bank. Man må ha mye dokumentasjon på området, og det er generelt en jobb å gjøre på området.

– Mener du at det må gjøres en jobb i banken, eller mer overordnet?

– Tilsynet fant sted i januar, og vi er tre små banker som har fusjonert. Det var 7–8 måneder etter den tekniske konverteringen, og vi har brukt tiden på å få på plass rutiner. Alt var ikke helt på stell i henhold til tilsynets forventninger, men vi har jobbet hardt i ettertid for å få gode rutiner.

Rapportfordelingen må være tydeligere

Tilsynet bemerket også at ting ikke var helt på stell når det kom til internkommunikasjonen.

Styret hadde ikke mottatt god nok informasjon om IT-virksomheten, og den interne kontrollen over IT-risiko var mangelfull, ifølge rapporten. Ifølge tilsynet hadde banken i tillegg ikke sørget for at styret hadde godkjent sentrale dokumenter som IT-strategi og sikkerhetsmål. 

– Det at det var uklart hvilke deler av Eikas strategi som gjaldt for Skagerrak – har Eika noe av skylden for det som ble avdekket?

– Nei, arbeidsdelingen mellom Eika og bankene er avklart, og den oppleves ikke som komplisert. Det som har vært uklart, er hvor finmasket vi skal rapportere til vårt styre om hva Eika leverer, og status på underleverandørene våre, sier Kleppe.

Han vedgår at Skagerrak ikke har hatt omfattende nok rapportering til styret, og presiserer at «det er vårt styre som sitter med ansvaret». 

– Det har vi ikke vært gode nok på: å gi jevnlige rapporter fra våre underleverandører. Den rapportfordelingen må være tydeligere enn den var på tidspunktet for tilsynet, sier Kleppe, og legger til at banken i etterkant har etablert nye rutiner og varsler at status på IT-kontroll og risiko skal rapporteres kvartalsvis til styret.

«Litt overrasket»

Kleppe sier at dialogen med tilsynet har vært god hele veien, men innrømmer at han under det opprinnelige besøket av Finanstilsynet ble litt overrasket over hva tilsynet forventer og hvor omfattende deler av arbeidet er, og av presisjonsnivået. 

– Tilsynet strammer til med det oppdaterte regelverket som er i ferd med å implementeres, og det merkes. Man kan få beskjed om ting man ikke har tenkt på selv, så på den måten blir man alltid overrasket over detaljnivå og omfang ved et tilsyn, forteller Kleppe.

– Men når man først har fått på plass systemene, blir det mer effektivt å følge opp. Det er overgangene som kan være krevende rent arbeidsmessig, legger han til.

Testet ikke kriseplaner

Banken hadde heller ikke gjennomført test av kriseplanene i 2024, noe som er et brudd på regelverket.

«Det stedlige tilsynet avdekket at foretaket ikke gjennomførte øvelse eller test av sine kriseplaner i 2024. Foretaket etterlever dermed ikke IKT-forskriften § 11.», heter det i rapporten.

– Hvordan forklarer du at banken ikke gjennomførte den lovpålagte testingen av kriseplanene i 2024?

– Det har vært en enorm jobb for IT-folkene de siste årene, først knyttet til konverteringen fra SDC til Tietoevry, og så kom fusjonen på toppen av det. Jeg har ikke et helt konkret svar på om det ble glemt eller hva som skjedde. Testen skulle vært gjennomført, det ble den ikke – men nå har vi gjort det og lagt det inn i årshjulet vårt, forteller Kleppe.

Han legger til at det er en forklaring, men ikke en unnskyldning:

– Dette legger jeg meg flat for, sier Kleppe.