Standardi 4.4b. Operatiivisten riskien hallinta. Määräykset ja ohjeet

Transkriptio

1 Standardi 4.4b Operatiivisten riskien hallinta Määräykset ja ohjeet

2 dnro 3/120/ (36) SISÄLLYSLUETTELO 1 Soveltaminen 4 2 Tavoitteet 6 3 Kansainvälinen viitekehys 7 4 Normiperusta 8 5 Operatiivisten riskien hallinnan järjestäminen Operatiivisten riskien määritelmä Operatiivisten riskien hallinnan organisointi ja valvonta Operatiivisten riskien hallinnan periaatteet Operatiivisten riskien tunnistaminen Operatiivisten riskien arviointi ja rajoittaminen Uuden tuotteen tai palvelun hyväksymismenettely Ulkoistetut toiminnot ja palvelut Operatiivisten riskien seuranta ja raportointi 14 6 Operatiivisten riskien hallinnan osa-alueita Prosessit Oikeudellinen riski Henkilöstö Jatkuvuussuunnittelu Tietojärjestelmät 20

3 dnro 3/120/ (36) 6.6 Tietoturvallisuus Tietoturvallisuuden määritelmä ja perusvaatimukset Tietoturvallisuusvastuut ja organisointi Tietoturvallisuuteen liittyvien riskien arviointi Tietojen ja järjestelmien omistajuus Käyttövaltuudet Tietoturvallisuusohjeistus ja koulutus Tietoturvatapausten käsittely Tietoturvallisuuden varmistaminen tietoverkoissa Tietoturvallisten palveluiden rakentaminen Maksujärjestelmät ja maksujenvälitys Rahoitusjärjestelmän lainvastaisen hyväksikäytön estäminen Asiakkaan tunnistamis- ja tuntemisjärjestelmään kuuluvat velvoitteet Organisointi, vastuusuhteet, raportointi Sisäiset ohjeet Henkilöstön koulutus 30 7 Raportointi Rahoitustarkastukselle 31 8 Määritelmät 32 9 Lisätiedot Kumotut ohjeet ja määräykset 36

4 dnro 3/120/ (36) 1 SOVELTAMINEN (1) Standardia sovelletaan rahoitustarkastuksesta annetun lain (587/2003) 5 :n tarkoittamiin valvottaviin. Sitoviksi merkityt kohdat velvoittavat seuraavia Rahoitustarkastuksen valvottavia: luottolaitoksia sijoituspalveluyrityksiä rahastoyhtiöitä luottolaitosten ja sijoituspalveluyritysten konsolidointiryhmän omistusyhteisöjä osuuspankeista ja muista osuuskuntamuotoisista luottolaitoksista annetussa laissa tarkoitettuja keskusyhteisöjä rahoituspainotteisten rahoitus- ja vakuutusryhmittymien emoyhteisöjä. Standardin soveltamisalaan kuuluvat yhteisöt poikkeavat toisistaan mm. toiminnan laajuudeltaan, yhteisön organisaatioltaan ja asiakasrakenteeltaan sekä rahoituspalveluiden lukumäärän ja monimutkaisuuden suhteen. Siksi operatiivisten riskien hallinnassa ja valvonnassa voi olla erilaisia käytännön ratkaisuja toiminnan painopisteiden ja erityispiirteiden mukaan. (2) Standardissa esitetyt riskien hallinnan keskeiset periaatteet ovat sitovia. Periaatteita täsmentäviä yksityiskohtaisia määräyksiä on mahdollista noudattaa soveltuvin osin, jos valvottavan organisaation on pieni, jos liiketoimintasuunnitelmassa vahvistettu riskinottotaso on alhainen, jos valvottavan liiketoiminta on suppeata, yksinkertaista tai muuten läpinäkyvää tai jos toimiva johto osallistuu aktiivisesti päivittäisen liiketoiminnan päätöksentekoon. Jotta sitovia säännöksiä voidaan noudattaa vain soveltuvin osin, tarvitaan aina ylimmän johdon erityinen päätös. Valvottavan pitää aina varmistaa, että sisäinen valvonta ja riskienhallinta ovat riittäviä ja oikeassa suhteessa operatiivisiin riskeihin.

5 dnro 3/120/ (36) (3) Mahdollisuus soveltaa standardia soveltuvin osin ei koske rahoitusjärjestelmän lainvastaisen hyväksikäytön estämistä koskevaa standardin lukua 6.8, koska siinä mainitut periaatteet perustuvat sitoviin säädöksiin. (4) Samaan konsolidointiryhmään kuuluvilla yhteisöillä pitää olla yhteneväiset riskienhallintaperiaatteet. Rahoituspainotteisen rahoitus- ja vakuusryhmittymän emoyrityksen tulee varmistaa, että ryhmittymän kaikilla yrityksillä on toimintaansa nähden riittävät riskienhallintajärjestelmät. (5) Standardissa käytetään yleisnimitystä "valvottava" kaikista standardin soveltamisalaan kuuluvista yhteisöistä. (6) Operatiivisten riskien hallintaa järjestettäessä tulee soveltaa myös niitä sisäisen valvonnan ja riskienhallinnan periaatteita, jotka on esitetty Rahoitustarkastuksen määräyskokoelman Vakavaraisuus ja riskienhallinta -pääjaksoon kuuluvassa standardissa 4.1.

6 dnro 3/120/ (36) 2 TAVOITTEET (1) Tässä standardissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Lähemmin tarkastellaan prosessien hallintaan, henkilöstöön, tieto- ja maksujärjestelmiin, tietoturvallisuuteen, jatkuvuussuunnitteluun, oikeudellisiin riskeihin sekä rahoitusjärjestelmän lainvastaisen hyväksikäytön estämiseen liittyviä erityisalueita. (2) Teknologian kehitys, tuotteiden ja palveluiden kehittyminen, uudet riskienhallintamenetelmät, toimintojen ulkoistaminen, yritysjärjestelyt sekä toimintojen kansainvälistyminen ovat monimutkaistaneet toimintaympäristöä ja lisänneet operatiivisia riskejä rahoitus- ja sijoituspalveluiden tuottamisessa. (3) Operatiivisten riskien hallintaa koskevan sääntelyn ja tämän standardin tavoitteena on varmistaa seuraavat asiat Valvottava tunnistaa toimintaansa liittyvät operatiiviset riskit. Valvottava järjestää operatiivisten riskien hallinnan toimintansa laajuuden ja luonteen asettamien vaatimusten mukaisesti (organisointi, periaatteet ja menettelytavat, seuranta ja raportointi). Valvottava huolehtii riittävästä tietohallinnon ja tietoturvallisuuden tasosta. Valvottava huolehtii rahoitusjärjestelmän lainvastaisen hyväksikäytön estämisestä. (4) Operatiiviseen riskiin liittyvien vahinkojen ja tapahtumien ilmoittaminen Rahoitustarkastukselle on ohjeistettu raportointistandardissa RA4.2.

7 dnro 3/120/ (36) 3 KANSAINVÄLINEN VIITEKEHYS (1) Standardin luku 5 "Operatiivisten riskien hallinta" pohjautuu pääosin Baselin pankkivalvontakomitean helmikuussa 2003 antamaan suositukseen "Sound Practices for the Management and Supervision of Operational Risk" (Basel Committee Publications No. 96). Tätä suositusta on käytetty lähteenä myös luvun 6 kappaleessa "Jatkuvuussuunnittelu". (2) Standardin luku 6.8 "Rahoitusjärjestelmän lainvastaisen hyväksikäytön estäminen" perustuu seuraaviin suosituksiin: Financial Action Task Force on Money Launderingin (FATF) 40 rahanpesun vastaista suositusta vuodelta 2003 FATFin kahdeksan terrorismin rahoituksen vastaista suositusta vuodelta 2001 Baselin pankkivalvontakomitean suositus, numero 15 Core Principles for Effective Banking Supervision (9/1997) ja Core Principles Methodology (10/1999) Baselin pankkivalvontakomitean suositus Customer due diligence for banks 10/2001 The Committee of European Securities Regulatorsin (CESR) (A European regime of investor protection) The Harmonisation of Conduct of Business rules (CESR/01-014D, 4/2002). (3) Standardin luvun 6.6 "Tietoturvallisuus" lähteenä on käytetty Baselin pankkivalvontakomitean heinäkuussa 2003 antamaa suositusta "Risk Management Principles for Electronic Banking" (Basel Committee Publications No. 98). (4) Luku 6.7 "Maksujärjestelmät ja maksujenvälitys" G10-maiden keskuspankkien muodostama komitea Committee on Payment and Settlement Systems (CPSS) on antanut tammikuussa 2001 suosituksen "Core Principles for Systemically Important Payment Systems" (CPSS publications No. 43).

8 dnro 3/120/ (36) 4 NORMIPERUSTA (1) Rahoitustarkastuksen sitova sääntely operatiivisten riskien hallinnasta perustuu luottolaitostoiminnasta annetun lain (1607/1993) 68 :n 3 momenttiin, sijoituspalveluyrityksistä annetun lain (579/1996) 29 :n 3 momenttiin sekä sijoitusrahastolain (48/1999) 30 a :n 3 momenttiin. Rahoitus- ja vakuutusryhmittymien emoyritysten sääntely perustuu ryhmittymien valvonnasta annetun lain 16 :n 3 momenttiin. (2) Rahoitustarkastuksen sääntely asiakkaan tunnistamisesta ja tuntemisesta sekä huolellisuusvelvollisuudesta rahoitusjärjestelmän lainvastaisen hyväksikäytön estämiseksi perustuu seuraaviin säännöksiin: luottolaitostoiminnasta annettu laki (1607/1993) 95 sijoituspalveluyrityksistä annettu laki (579/1996) 49 sijoitusrahastolaki (48/1999) 144 arvo-osuusjärjestelmästä annettu laki (826/1991) 29 b neuvoston direktiivi rahoitusjärjestelmän rahanpesutarkoituksiin käyttämisen estämisestä 91/308/ETY (31991L308); EYVL N:o L 166, , s.77 Euroopan parlamentin ja neuvoston direktiivin 2001/97/EY rahoitusjärjestelmien rahanpesutarkoituksiin käyttämisen estämisestä annetun neuvoston direktiivin 91/308/ETY muuttamisesta; 2001/97/EY (32001L0097), EYVL N:o L 344, , s.76 rahanpesun estämisestä ja selvittämisestä annettu laki (68/1998 ja 365/2003) sisäasiainministeriön asetus rahanpesun estämisestä ja selvittämisestä (890/2003). (3) Rahoitustarkastuksen tarkastus- ja tietojensaantioikeus ulkoistettujen toimintojen osalta perustuu Rahoitustarkastuksesta annetun lain 15 :ään (587/2003).

9 dnro 3/120/ (36) 5 OPERATIIVISTEN RISKIEN HALLINNAN JÄRJESTÄMINEN 5.1 Operatiivisten riskien määritelmä (1) Operatiivisten riskien hallinta on osa valvottavan riskienhallintaa. Liiketoiminnasta aiheutuvat ja siihen olennaisesti liittyvät riskit tulee tunnistaa, arvioida, mitata, rajoittaa ja valvoa. Riskienhallinnalla pyritään vähentämään ennakoimattomien tappioiden todennäköisyyttä tai uhkaa valvottavan maineelle. (2) Operatiivisilla riskeillä tarkoitetaan tappionvaaraa, joka aiheutuu riittämättömistä tai epäonnistuneista sisäisistä prosesseista henkilöstöstä järjestelmistä ulkoisista tekijöistä. Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on tässä rajattu operatiivisten riskien ulkopuolelle. (3) Operatiivisen riskin aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi myös toteutua viiveellä ja ilmetä välillisesti esimerkiksi valvottavan maineen ja arvostuksen heikkenemisenä. (4) Operatiiviset riskit poikkeavat luonteeltaan luotto- ja markkinariskeistä. Operatiivisten riskien hallinta on yleensä riskien minimoimista. Rajanveto eri riskialueiden välillä ei aina ole mahdollista. Esimerkiksi luotto- ja kaupankäyntiprosessien eri vaiheisiin sisältyy sekä operatiivisia riskejä että luotto- ja markkinariskejä.

10 dnro 3/120/ (36) Suositus (5) Valvottavan on tarpeen laatia sen omasta liiketoiminnasta johdettu operatiivisten riskien määritelmä, jossa otetaan huomioon valvottavan toiminnan erityispiirteet. 5.2 Operatiivisten riskien hallinnan organisointi ja valvonta (6) Operatiivisia riskejä on hallittava ja arvioitava itsenäisenä riskialueena. Ylimmän johdon on hyväksyttävä operatiivisten riskien hallinnan periaatteet, ja niitä on määräajoin arvioitava uudelleen niin, että otetaan huomioon muutokset toimintaympäristössä ja valvottavan omassa liiketoiminnassa. Periaatteiden tulee kattaa operatiivisten riskien tunnistaminen sekä riskien arvioinnissa, valvonnassa ja rajoittamisessa käytettävät menettelyt. Operatiivisten riskien hallinnan periaatteissa on määriteltävä tärkeimmät operatiivisten riskien hallintaprosessit. Ylimmän ja toimivan johdon on edistettävä sellaisen yrityskulttuurin muodostumista, joka hyväksyy sisäisen valvonnan normaalina ja tarpeellisena osana yritystoimintaa. Tehokas sisäinen valvonta edellyttää, että työtehtävät ja päätöksenteko on asianmukaisesti eriytetty. (7) Ylimmän johdon on oltava selvillä valvottavan eri liiketoiminta-alueiden tärkeimmistä operatiivisista riskeistä. Osana sisäisen valvonnan järjestämistä ylimmän johdon on saatava säännöllisesti raportit valvottavan tärkeimmistä operatiivisista riskeistä. (8) Toimivan johdon on huolehdittava operatiivisten riskien hallinnan periaatteiden käytännön toteuttamisesta kaikissa valvottavan toiminnoissa, ja sen on varmistettava, että jokainen työntekijä tunnistaa omaan toimintaansa liittyvät operatiiviset riskit ja niiden hallintaan liittyvät menettelytavat. Toimiva johto vastaa valvottavan tuotteisiin, palveluihin, toimintoihin, prosesseihin sekä järjestelmiin liittyvien operatiivisten riskien hallinnan menettelytapojen kehittämisestä ja ylläpidosta. (9) Liiketoimintayksiköiden ja muiden operatiivisten riskien hallinnasta vastaavien toimintojen vastuu- ja raportointisuhteiden on oltava selkeät ja kattavat. Riskinoton valvonnasta vastaa riskiä ottavasta liiketoiminnasta ja riskienhallinnasta riippumaton riskienhallinnan arviointitoiminto. 1 1 Rahoitustarkastus; Standardi 4.1, Sisäisenvalvonnan ja riskienhallinnan järjestäminen, kappale 5.3. "Riskienhallinnan arviointitoiminto ylläpitää, kehittää ja valmistelee riskienhallinnan periaatteita ylimmän johdon vahvistettaviksi sekä laatii menetelmiä käytettäväksi riskien arvioimisessa ja mittaamisessa. Sen on jatkuvasti varmistettava, että jokainen riski pysyy sallituissa rajoissa ja että jokaista riskiä mittaavat menetelmät ovat asianmukaiset. Riskienhallinnan arviointitoiminnon on myös varmistettava, että kaikkien liiketoiminnassa otettujen merkittävien riskien yhteisvaikutus valvottavan ja sen konsolidointiryhmän tulokseen ja omiin varoihin raportoidaan ylimmälle ja toimivalle johdolle."

11 dnro 3/120/ (36) (10) Ylimmän johdon on huolehdittava, että sisäinen tarkastus arvioi säännöllisesti valvottavan operatiivisten riskien hallinnan tehokkuutta ja kattavuutta. Sisäinen tarkastus toimintona ei saa olla välittömästi vastuussa operatiivisten riskien hallinnasta. 5.3 Operatiivisten riskien hallinnan periaatteet Operatiivisten riskien tunnistaminen (11) Valvottavan on tunnistettava liiketoiminta-alueittain kaikkiin merkittäviin tuotteisiinsa, palveluihinsa, toimintoihinsa, prosesseihinsa ja järjestelmiinsä liittyvät operatiiviset riskit. Operatiivisten riskien tunnistaminen luo perustan niiden valvonnalle ja niitä koskevien kontrollien suunnittelulle Operatiivisten riskien arviointi ja rajoittaminen (12) Operatiivisista riskeistä aiheutuvia tappioita voidaan vähentää toisaalta pienentämällä riskien toteutumisen todennäköisyyksiä sekä toisaalta pienentämällä valvottavan haavoittuvuutta riskin toteutuessa. Seuraava kaavio havainnollistaa tätä ajattelua. Riskin toteutumisen todennäköisyys X Vahinko riskin toteutuessa, = vaikutus Tappion odotusarvo Suositus (13) Operatiivisten riskien arvioinnissa on toiminnoittain otettava huomioon riskien toteutumisen todennäköisyys ja vaikutukset vahingon sattuessa. Operatiivisia riskejä rajoitetaan ennaltaehkäisemällä vahinkojen syntymistä sekä rajoittamalla vahingon sattuessa syntyviä tappioita. (14) Tärkeimmistä tunnistetuista operatiivisista riskeistä on valvottavan päätettävä, miten näitä riskejä valvotaan, kannetaanko riskit sellaisenaan, pyritäänkö riskejä vähentämään vai vetäydytäänkö operatiivisia riskejä aiheuttavasta liiketoiminnasta. (15) Riskien arvioinnissa analysoidaan haitallisesti vaikuttavia sisäisiä ja ulkoisia tekijöitä. Sisäisiä tekijöitä ovat esimerkiksi valvottavan rakenne, organisaatiomuutokset, tarjottavien tuotteiden tai palveluiden monimutkaisuus, henkilöstön ammattitaito ja vaihtuvuus. Ulkoisia tekijöitä ovat esimerkiksi teknologian kehitys ja toimintojen kansainvälisyys.

12 dnro 3/120/ (36) Suositus (16) Ennalta sovittujen menettelytapojen käyttö riskien arvioinnissa parantaa arvioinnin tasoa. Sovellettavia menetelmiä voivat olla määrämuotoiset itsearviointilomakkeistot, vahinkotilastointi sekä itselle tai muille sattuneiden vahinkojen läpikäynti. Kun tarkastellaan muille osapuolille sattuneita vahinkoja vertaamalla niitä valvottavan omaan toimintaan, on mahdollista selvittää, olisiko jossain valvottavan omassa yksikössä voinut tapahtua vastaavaa, mitä siitä olisi voinut aiheutua sekä miten vahinkoja voitaisiin estää. (17) Operatiivisista riskeistä aiheutuvia vahinkoja voidaan rajoittaa myös vakuutuksilla. Toimivan johdon on huolehdittava siitä, että vakuutusturvan riittävyyttä ja kustannuksia arvioidaan säännöllisesti niin, että otetaan huomioon muutokset valvottavan liiketoiminnassa. Lisäksi tulee arvioida vakuutussopimuksista aiheutuvia vastapuoliriskejä sekä vakuutusyhtiöiden vakavaraisuutta. Toiminnan merkittäviin häiriöihin varaudutaan jatkuvuussuunnittelulla. 5.4 Uuden tuotteen tai palvelun hyväksymismenettely Suositus (18) Uuden tuotteen tai palvelun riskit on arvioitava ennen käyttöönottoa. Arviointi on tehtävä myös uuden palvelumallin käyttöönoton yhteydessä, jos tuotteita ja palveluita on yhdistelty uudella tavalla. Sisäiseen valvontaan ja riskienhallintaan on tehtävä uusien tuotteiden tai palveluiden vaatimat muutokset. Valvottavan on oltava erityisen huolellinen laajentaessaan liiketoimintaansa markkina-alueelle, josta sillä ei ole aikaisempaa kokemusta. Tällöin on myös huolehdittava, että valvottava ei ryhdy harjoittamaan sille kiellettyä liiketoimintaa. (19) Valvottavan on ohjeistettava uuden tuotteen tai palvelun hyväksymismenettely. Päätös uuden tuotteen tai palvelun käyttöönotosta tehdään vahvistettujen päätöksentekovaltuuksien mukaisesti. Päätökseen liitetään syntynyt dokumenttiaineisto. (20) Uuden tuotteen tai palvelun hyväksymismenettelyn on katettava seuraavia asioita: kuvaus tuotteesta tai palvelusta tuotteen tai palvelun sopivuus toimintastrategiaan riskikartoitukset (arviot tuotteeseen/palveluun liittyvistä riskeistä) sisäisen valvonnan ja riskienhallinnan järjestäminen (ainakin seuraavat riskialueet: luottoriski, markkinariski, likviditeettiriski, operatiiviset riskit) tuotteeseen tai palveluun liittyvien prosessien läpikäynti (esimerkiksi tarjousvaihe, asiakkaan tunnistaminen, myynti, tuotanto, selvitys- ja maksuliikenne) oikeudelliset kysymykset, sopimuksentekovaltuudet

13 dnro 3/120/ (36) tietotekniikka, tietoliikenne ja tietoturva ulkoinen ja sisäinen laskenta verotusnäkökohdat hinnoittelu, mahdolliset arvostukset ja hinnoittelumallien käyttö arvio vaikutuksista kannattavuuteen ja vakavaraisuuteen koulutus ja ohjeistus. 5.5 Ulkoistetut toiminnot ja palvelut Suositus (21) Liiketoimintojen siirtäminen asiamiehen hoidettavaksi tai muu toimintojen ulkoistaminen ei vapauta valvottavaa yhteisöä sille kuuluvista vastuista ja velvollisuuksista. Yhteisö vastaa siten asiakkaaseen ja muuhun sopimuskumppaniin nähden vahingosta, jonka toimeksisaanut virheellään tai laiminlyönnillään on aiheuttanut. (22) Toimiva johto vastaa siitä, että valvottavan yhteisön ulkoistamien toimintojen operatiivisten riskien hallinta ja valvonta on asianmukaisella tavalla järjestetty. Toimiva johto vastaa myös siitä, että ulkoistettujen toimintojen tietoturvallisuus on asianmukainen ja että tietoturvallisuutta valvotaan jatkuvasti. (23) Valvottavan on varmistettava ulkoistamiensa toimintojen jatkuvuus sekä varauduttava alihankkijoiden ja palveluntuottajien toiminnan merkittäviin häiriöihin. Valvottavan tulee varmistaa, että ulkoistetun palvelun tarjoajalla on riittävät resurssit ja osaaminen palvelujen tarjoamiseen. (24) Ulkoistettujen toimintojen osalta valvottavan tulee huolehtia siitä, ettei valvottava ole liian riippuvainen yhdestä palveluntuottajasta. (25) Rahoitustarkastuksella on lakiin perustuva oikeus saada tarkastettavakseen valvonnan kannalta tarpeelliset tiedot sellaisen yrityksen toimipaikassa, joka toimii valvottavan asiamiehenä tai jolle valvottava on ulkoistanut kirjanpitoon, tietojärjestelmiin tai riskienhallintaan liittyviä tehtäviä. Valvottavan on varmistuttava siitä, että se saa haltuunsa kaikki ne tiedot, jotka ovat tarpeen valvottavan viranomaisvalvontaa, riskienhallintaa ja sisäistä valvontaa varten. (26) Tietojensaantia ja Rahoitustarkastuksen tarkastusoikeutta koskeva ehto tulee sisällyttää palvelujen tarjoajan kanssa tehtävään ulkoistamisen yleisiä ehtoja koskevaan sopimukseen.

14 dnro 3/120/ (36) 5.6 Operatiivisten riskien seuranta ja raportointi Suositus Suositus Suositus (27) Valvottavan on säännöllisesti seurattava ja arvioitava havaitsemiensa operatiivisten riskien luonnetta, riskien toteutumisen todennäköisyyksiä ja tappion määrää riskien mahdollisesti toteutuessa. Lisäksi on luotava ennakoivat menettelyt ja mittarit operatiivisten riskien havaitsemiseksi. (28) Valvottavan on syytä arvioida operatiivisten riskien kasvua ennakoivia tekijöitä. Näitä ovat esimerkiksi merkittävä muutos liiketoiminnan laajuudessa, uusien tuotteiden tai palveluiden käyttöönotto, työntekijöiden suuri vaihtuvuus, avoimien paikkojen vaikea tai hidas täyttäminen, asiakasvalitukset sekä lisääntyneet toiminta- tai palvelukatkokset. Laskentajärjestelmistä ja muista tietojärjestelmistä saatavaa informaatiota on syytä hyödyntää, kun arvioidaan operatiivisten riskien kasvua ennakoivia tekijöitä. (29) Toimivan johdon on saatava säännöllisesti raportteja operatiivisista riskeistä ja toteutuneista vahingoista. Valvottavan tulee laatia raportointiohjeet. Raporttien tulee sisältää taloudellista informaatiota, laadullisia analyysejä, arvioita sisäisten ja ulkoisten ohjeiden noudattamisesta sekä tietoa päätöksenteon kannalta merkittävistä ulkoisista tapahtumista ja toimintaympäristön muutoksista. Raporteista tulee ilmetä todetut ongelma-alueet, niiden perusteella tulee voida arvioida muutoksia operatiivisten riskien määrässä sekä niiden tulee tukea ennakoivaa riskienhallintaa. (30) Toimivan johdon on säännöllisesti arvioitava käytettyjen menetelmien ja raportointijärjestelmien ajanmukaisuutta, tarkkuutta ja tarkoituksenmukaisuutta. Raportoinnin sisällön laajuutta ja yksityiskohtaisuutta sekä raporttien jakelua ja raportointitiheyttä on säännöllisesti arvioitava. (31) Operatiivisten riskien aiheuttamien tappioiden seurantaa jäsentää tapahtumien luokittelu jäljempänä olevan esimerkkitaulukon mukaisesti. Raportoitavia tietoja ovat esimerkiksi kuvaus tapahtumasta, tapahtumaan johtaneet syyt, arvio suorista ja epäsuorista kustannuksista, mahdolliset vakuutuskorvaukset sekä toimenpiteet vahingon ennaltaehkäisemiseksi jatkossa. Lisäksi on syytä raportoida, mihin toimenpiteisiin on vahingon vuoksi ryhdytty sekä kuka on vastuussa korjaavista toimista ja mikä on niiden aikataulu. (32) Seurannan ja raportoinnin olennaisuutta varten valvottavan on syytä määritellä rahamääräinen taso, jota suuremmat tapahtumat raportoidaan. Pienistäkin vahingoista on raportoitava, jos niillä on periaatteellista merkitystä.

15 dnro 3/120/ (36) Tappiotyyppi Sisäiset väärinkäytökset Ulkopuolisen aiheuttamat vahingot Työolot, työturvallisuus Menettelytavoista aiheutuvat tappiot Omaisuusvahingot Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot Prosesseihin liittyvät ongelmat Esimerkkejä kavallus, petos, lahjuksen ottaminen, arvopaperimarkkinarikos tai rikkomus, vahingonteko, valtuuksien puuttuminen (tai niiden ylittäminen), asiakastietojen väärinkäyttö, tahallinen position väärinraportointi, liikesalaisuuden rikkominen, kiristys varkaus, ryöstö, petos (esim. maksuvälineellä), väärennös, rahanpesu, murtautuminen tietojärjestelmään, haittaohjelman levittäminen, tietojärjestelmään kohdistuva palvelunestohyökkäys, pommiuhkaus, henkilöstöön kohdistuva uhkailu, kiristys työsopimuslain rikkomukset (mm. työaika, työturvallisuus), syrjinnästä aiheutuva korvausvaatimus, palkka-, korvaus- tai irtisanomisriidat, työmarkkinariidat lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta, luottamuksellisten asiakastietojen väärinkäyttö (esim. markkinointiin), tiedonantovelvollisuuden laiminlyönti asiakkaille, salassapitovelvollisuuden laiminlyönti, selonottovelvollisuuden laiminlyönti, toimeksiantojen säännösten vastainen toteuttaminen, asiakasvarojen säännösten vastainen käsittely, arvopaperimarkkinarikos tai rikkomus, rahanpesu tulipalo, vesivahinko, tulva ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko, ulkoisen palveluntuottajan häiriö raportointivirhe, virhe asiakastiedoissa, tallennusvirhe tietojärjestelmään, hinnoitteluvirhe, sopimuksen pätemättömyys, puutteellinen dokumentointi, asiakirjan katoaminen, vakuushallinnan puutteet, asiakkaan toimeksiannon epäonnistunut toteutus, ulkoistetun palvelun häiriö, riita ulkopuolisen toimittajan kanssa, kirjanpitovirhe

16 dnro 3/120/ (36) 6 OPERATIIVISTEN RISKIEN HALLINNAN OSA-ALUEITA 6.1 Prosessit Suositus (1) Prosessi on tietyn palvelun tai suoritteen tuottamiseksi muodostettu toimintojen ja resurssien kokonaisuus. Prosessien hallintaan liittyy asiakastyytyväisyys-, tehokkuus-, kannattavuus- ja laatunäkökohtia. Tässä standardissa keskitytään prosesseihin liittyvien operatiivisten riskien tunnistamiseen ja rajoittamiseen. Prosessien analysointi ja eri vaiheisiin liittyvien operatiivisten riskien arviointi auttavat valvottavaa tunnistamaan ja rajoittamaan operatiivisia riskejä. (2) Valvottavan on tunnistettava liiketoiminnan kannalta tärkeimmät prosessit. Erityistä huomiota prosesseissa on kiinnitettävä organisaatioyksiköiden sekä eri yritysten välisiin rajapintoihin, maiden rajojen ylityksiin sekä maksuliikenteeseen. Erityisesti suurivolyymisen tapahtumakäsittelyn riittävä dokumentointi ja ohjeistus on tärkeää. Prosessiin liittyvän ohjeistuksen on oltava riittävää ja ajantasaista. (3) Prosessien eri vaiheisiin on asetettava kontrollit ja niiden tasoa on säännöllisesti arvioitava, erityisesti kun toiminnan laajuus ja sisältö muuttuvat tai prosesseihin tehdään muutoksia. Esimerkkejä kontrolleista ovat täsmäytykset ja useamman kuin yhden henkilön osallistuminen tapahtuman käsittelyyn. (4) Liiketoiminnan kannalta tärkeimmistä prosesseista on tarpeen laatia mahdollisimman yhdenmukainen kirjallinen dokumentaatio, jossa kuvataan esimerkiksi prosessiin liittyvät tehtävät, vaiheet ja niiden keskinäiset riippuvuudet, tieto- ja materiaalivirrat, raportointi, prosessin sidosryhmät (prosessin omistaja, asiakkaat, prosessiin osallistuva henkilöstö, organisaatioyksiköt, muut yritykset, muut sidosryhmät) sekä prosessiin liittyvät tietojärjestelmät.

17 dnro 3/120/ (36) Prosessikuvausten tarkkuustason valintaan on kiinnitettävä huomiota, sillä esimerkiksi liian yksityiskohtaiset kuvaukset voivat olla hankalia ylläpitää. Prosessikuvausten laadinnassa on hyödynnettävä eri osa-alueita edustavien henkilöiden osaamista. Prosessikuvaukset on päivitettävä säännöllisesti. Suositus (5) Myös projektien ja hankkeiden läpiviennissä on syytä noudattaa mahdollisimman yhtenäisiä periaatteita. Tärkeistä projekteista ja hankkeista pitää laatia riskiarviot etukäteen. 6.2 Oikeudellinen riski (6) Oikeudellinen riski on operatiivinen riski, joka voi aiheutua ulkoisten tekijöiden, kuten toimintaympäristön muutosten, sekä valvottavan oman toiminnan vaikutuksesta. Oikeudellinen riski voi liittyä kaikkeen liiketoimintaan. Valvottavan toimintaan sovellettavien säädösten ja määräysten tulkintaan, soveltamisalaan sekä voimassaoloon liittyy epävarmuustekijöitä, joista voi aiheutua huomattavia tappioita ja joilla voi olla merkitystä valvottavan oikeudelliseen vastuuseen ja mahdolliseen korvausvelvollisuuteen. Lisäksi sopimusten voimassaoloon ja sisältöön liittyvät riitaisuudet voivat vaikuttaa haitallisesti valvottavan toimintaan. Epäedullisista sopimuksista irtautumiseen ja korvaavan sopimuksen solmimiseen voi liittyä tappion vaara. Tämä koskee erityisesti vakioehtoisten sopimusten käyttöä. Myös valvottavan julkistamiin dokumentteihin, kuten esitteisiin ja mainontaan, voi liittyä vahingonkorvauksen mahdollisuus tai maineen ja arvostuksen heikkenemisen riski. (7) Valvottavan ylimmän johdon on tunnistettava toimintaan liittyvät merkittävät oikeudelliset riskit sekä varmistettava, että oikeudellisten riskien hallinta on riittävällä tavalla järjestetty. Toimivan johdon on järjestettävä oikeudellisten riskien hallinta ja osoitettava tarvittavat voimavarat oikeudellisen riskin tunnistamiseen, seurantaan ja rajoittamiseen eri liiketoiminta-alueilla. Valvottavalla tulee olla riittävä asiantuntemus sekä valvottavaa koskevasta lainsäädännöstä että viranomaisten antamista määräyksistä. Varsinkin keskeisten viranomaismääräysten asiantuntemus on oltava aina valvottavan palveluksessa olevilla henkilöillä. Oikeudellisen riskin hallintaa koskevien vastuusuhteiden on oltava selkeästi määritellyt. (8) Oikeudellisen riskin hallitsemiseksi valvottavalla on oltava sopimusten ja muiden oikeustoimien solmimista varten riittävä asiantuntemus. Sopimusten pätevyyden varmistamiseksi valvottavalla on oltava riittävä tietämys sopimuskumppanissa sovellettavista päätöksentekovaltuuksista. Sopimuksiin liittyvä aineisto on tarpeellisella tavalla arkistoitava ja sopimusten voimassaoloa sekä niistä mahdollisesti johtuvia tulkintaerimielisyyksiä tai riitoja on seurattava.

18 dnro 3/120/ (36) Suositus (9) Valvottavan on tarpeen seurata sekä lainsäädännön että kansainvälisen sääntelyn muutoksia, jolloin se voi ennakolta valmistautua uusien lakien ja määräysten asettamiin vaatimuksiin. Valvottavan on tarpeellista tuntea omaan alaansa liittyvä oikeuskäytäntö. Lisäksi rahoitus- ja vakuutusryhmittymän emoyhtiön on huolehdittava, että ryhmittymään kuuluvilla yhteisöillä on riittävä asiantuntemus molempien sektorien säännöksistä ja määräyksistä. Muissa valtioissa toimintaa harjoittavan valvottavan on otettava huomioon, että keskeiset oikeusperiaatteet ja oikeuskäytäntö voivat vaihdella huomattavasti eri valtioiden välillä. 6.3 Henkilöstö (10) Osana operatiivisten riskien hallintaa valvottavan ylimmän johdon on vahvistettava periaatteet, joilla varmistetaan, että valvottavan palveluksessa työskentelevien ja rekrytoitavien henkilöiden ammattitaito on riittävä suhteutettuna työtehtäviin sekä valvottavan kokoon, toiminnan laajuuteen ja luonteeseen. (11) Ammattitaidolla tarkoitetaan henkilön kelpoisuutta, riittävää koulutusta ja kokemusta sekä henkilön kykyä suoriutua tehtävistään. Valvottavalla on oltava menettelytavat, joilla varmistetaan, että henkilöstö täyttää jatkuvasti sen ammattitaidolle asetetut vaatimukset. Uuden työntekijän hyvämaineisuuteen ja taustoihin on kiinnitettävä huomiota. (12) Toimivan johdon on varmistettava, että tehtävien hoitamiseen on varattu riittävästi henkilöstöä. Liiketoiminnan jatkuvuuden turvaamiseksi on erityisesti avaintehtäviä hoitavilla henkilöillä oltava varahenkilöt sairastumisen, tapaturman tai yllättävän palvelusuhteen päättymisen varalta. Resurssoinnissa on otettava huomioon myös prosessien kuormitushuiput. (13) Valvottavan ylimmän johdon on vahvistettava salassapitoa koskevat periaatteet. Niillä pyritään varmistamaan, ettei valvottavan toimihenkilö ilmaise asiakkaan tai muun valvottavan toimintaan liittyvän henkilön taloudellista asemaa tai henkilökohtaisia oloja koskevaa seikkaa taikka liike- tai ammattisalaisuutta, jollei se, jonka hyväksi vaitiolovelvollisuus on annettu, anna suostumustaan sen ilmaisemiseen. (14) Valvottavan ylimmän johdon on vahvistettava palkitsemisjärjestelmiä koskevat periaatteet. Niissä on varmistettava, etteivät palkitsemisjärjestelmät houkuttele ei-toivottuihin menettelytapoihin tai hallitsemattomaan riskinottoon.

19 dnro 3/120/ (36) 6.4 Jatkuvuussuunnittelu (15) Valvottavan liiketoiminnan jatkuvuussuunnittelulla tarkoitetaan varautumista liiketoiminnan keskeytyksiin siten, että valvottava pystyy jatkamaan toimintaansa ja rajoittamaan tappioita erilaisissa liiketoimintaa kohtaavissa häiriötilanteissa. Tällaisia häiriötilanteita ovat muun muassa valvottavan henkilöstöä, toimitiloja, tietojärjestelmiä tai tietoliikennettä kohdanneet vahingot tai tahalliset teot, vesivahingot, tulipalot sekä katkot esimerkiksi sähkön, lämmön tai veden saannissa. Jatkuvuussuunnittelussa laaditaan tärkeimmille liiketoiminta-alueille jatkuvuussuunnitelmat, joiden pohjalta toimintaa jatketaan mahdollisessa häiriötilanteessa. (16) Normaaliolojen jatkuvuusjärjestelyt ovat lähtökohtana poikkeusoloihin varautumiselle. Poikkeusoloihin varautumiselle asetetut vaatimukset pohjautuvat valmiuslakiin sekä muuhun viranomaisten antamaan varautumisohjeistukseen poikkeusoloja varten. (17) Valvottavan ylin johto vastaa siitä, että valvottavan keskeisillä liiketoiminnoilla on ajantasaiset ja riittävät jatkuvuussuunnitelmat. Valvottavan toimivan johdon on määriteltävä vastuut valvottavan jatkuvuussuunnittelulle. Valvottavalla on oltava selkeä toimintamalli jatkuvuussuunnitelmien laatimiseen, ylläpitoon ja testaamiseen sekä jatkuvuussuunnittelun tilanteen seuraamiseen. (18) Lähtökohtana jatkuvuussuunnittelulle on, että valvottava kartoittaa tärkeimmät liiketoimintaprosessinsa. Tärkeimmät liiketoimintaprosessit on priorisoitava. Niille on määriteltävä vähimmäistoipumisajat eli mikä on suurin sallittu katko, joka ei vielä häiritse liiketoimintaa. Priorisoiduille prosesseille on suunniteltava vaihtoehtoiset toimintamallit ja toipumismenettelyt toiminnan katkosten varalta. Erityisesti on varmistettava, että liiketoiminnan toipumisen kannalta tärkeät tiedot ovat palautettavissa ajan tasalle. (19) Tietojärjestelmät ja sovellukset on luokiteltava tärkeysjärjestykseen sen mukaan, kuinka nopeasti niiden on toivuttava erilaisissa häiriötilanteissa. Tietojärjestelmille on laadittava toipumissuunnitelmat, joissa kuvataan, kuinka eri tietojärjestelmät saadaan toimintakuntoon häiriöiden tapahtuessa. Varmuuskopiot ja mahdollinen tietojenkäsittelyn varakeskus on sijoitettava niin kauas varsinaisesta tietojenkäsittelykeskuksesta, että tiedot ja niiden varmistukset eivät voi tuhoutua samanaikaisesti. (20) Valvottavan jatkuvuussuunnitelmien on pohjauduttava liiketoimintojen uhka- ja haavoittuvuusanalyyseihin. Liiketoiminnan jatkuvuussuunnitelmissa on otettava huomioon toiminnan eri uhkatekijät sekä toimintojen haavoittuvuudet. Jatkuvuussuunnitelmien laajuus on suhteutettava valvottavan toimintojen luonteeseen, laajuuteen ja monimutkaisuuteen. Jatkuvuussuunnitelmien

20 dnro 3/120/ (36) on oltava toimintaa ohjaavia erilaisissa häiriötilanteissa. Jatkuvuussuunnitelmiin on myös sisällytettävä tiedottaminen erilaisissa häiriötilanteissa sekä valvottavan sisällä että valvottavan sidosryhmille. Suositus (21) Valvottavan on varauduttava ulkoisten sidosryhmiensä toiminnan häiriöihin. Tällaisia sidosryhmiä ovat esimerkiksi alihankkijat, valvottavan tarvitsemien palvelujen toimittajat ja merkittävät asiakkaat. (22) Jatkuvuussuunnitelmia on päivitettävä säännöllisesti ja ne on sopeutettava valvottavan toiminnan, palvelujen tai strategioiden muuttumiseen. Jatkuvuussuunnitelmia on testattava ja niiden mukaan on harjoiteltava säännöllisesti. Jatkuvuussuunnitelmien ajantasaisuuden ja testauksen seuraamiselle on määriteltävä vastuuhenkilöt. (23) Jatkuvuussuunnitteluprosessin osia ovat muun muassa jatkuvuussuunnittelun periaatteiden ja yleisohjeistuksen laatiminen jatkuvuussuunnittelun kouluttaminen henkilöstölle liiketoimintayksiköissä kriisiorganisaation rakentaminen ja yhteyshenkilölistojen laatiminen ja ylläpito keskeisten tiedottamiseen liittyvien menettelytapojen laatiminen jatkuvuussuunnitelmien laatiminen tietojärjestelmäkohtaisten toipumissuunnitelmien laatiminen jatkuvuussuunnitelmien ja toipumissuunnitelmien ylläpitäminen jatkuvuussuunnitelmien ja toipumissuunnitelmien testaaminen ja harjoittelu jatkuvuussuunnittelun seuranta, jatkuvuussuunnitelmien yhteensovittaminen ja niiden tarkoituksenmukaisuuden arviointi. 6.5 Tietojärjestelmät (24) Valvottavan ylimmän johdon on varmistettava, että valvottavalla on toiminnan luonteeseen ja laajuuteen nähden riittävät ja asianmukaisesti järjestetyt tietojärjestelmät. Tietojärjestelmien riittävyyttä ja asianmukaisuutta tulee arvioida suhteessa valvottavan oman toiminnan lähtökohtiin, ylimmän johdon vaatimuksiin sekä siihen, että järjestelmät tukevat liiketoimintaa ylimmän johdon linjausten mukaisesti. (25) Valvottavalla on oltava tarvittava osaaminen, organisaatio ja sisäinen valvonta tiedon tallentamiseksi, siirtämiseksi, käsittelemiseksi ja arkistoimiseksi konekielisessä muodossa. Nämä toiminnot voivat joko kokonaan tai osittain olla ulkoistettuja. Tällöin valvottavan on varmistuttava siitä, että sille tietojenkäsittelypalveluja toimittava yritys noudattaa tässä luvussa esitettyjä

21 dnro 3/120/ (36) periaatteita. (26) Valvottavan ylimmän johdon on hyväksyttävä valvottavan nykyisten ja arvioitujen tulevien tarpeiden mukainen tietotekniikkastrategia tietoteknisen ympäristön olemassaolon, ylläpidon ja edelleen kehittämisen varmistamiseksi. Lisäksi valvottavan ylimmän johdon on varmistettava, että valvottavalla on menettelytavat tietotekniikkaan liittyvien kustannusten budjetoimiseksi ja seuraamiseksi. (27) Valvottavan on määriteltävä ne tietotekniikan eri osa-alueiden toimintamallit, standardit, menettelytavat ja kontrollit, jotka mahdollistavat yhteistyön liiketoimintayksiköiden ja tietotekniikkapalveluja tarjoavien yksiköiden välillä. Niiden on oltava perustana, kun toimiva johto suunnittelee, valvoo ja arvioi tietotekniikkatoimintoja. Tarvittaessa tähän koordinointityöhön on nimettävä erityinen yhteistyöelin, jossa ovat edustettuina eri liiketoiminta-alueet. (28) Valvottavan on varmistettava tietotekniikkatoiminnon riippumattomuus käyttäjistä. Tietotekniikkatoiminto vastaa tietojärjestelmien kehittämisestä ja toimivuudesta, kun taas käyttäjät varmistavat käsiteltävän tiedon oikeellisuuden. (29) Valvottavan on eriytettävä järjestelmäkehitys- ja tuotantotehtävät toisistaan siten, että niissä toimivilla on välitön pääsy toistensa hallussa olevaan tietoon vain valvottujen määrämuotoisten menettelytapojen avulla. Järjestelmien tuotantoonsiirtoa, muutostenhallintaa ja testausta varten on oltava määrämuotoiset menettelytavat. (30) Valvottavan on huolehdittava, että sisäisellä tarkastuksella on kyky arvioida tietotekniikkatoimintojen sisäisten kontrollien toimivuutta. (31) Valvottavan on luotava ja ylläpidettävä sellaisia systeemityö- ja laadunvarmistusmenetelmiä, jotka turvaavat sen, että järjestelmät toimivat suunnitellulla tavalla. Lisäksi niistä on oltava määrämuotoinen dokumentaatio, jolla varmistetaan niiden käyttö ja jatkokehittäminen esim. avainhenkilöiden vaihtuessa. (32) Valvottavan on päätettävä menettelytavat, joita noudatetaan, kun hankitaan tai hyväksytään ohjelmia ja laitteita tai solmitaan sopimuksia palvelujen tuottajien kanssa. Näillä varmistetaan, että hankinnat ja sopimukset vastaavat valvottavan tarpeita ja asetettuja standardeja sekä taataan palvelun jatkuvuus. (33) Valvottavan on minimoitava fyysiseen turvallisuuteen liittyvien menettelytapojen ja toimintamallien avulla sekä riittävin varajärjestelyin tietotekniik-

22 dnro 3/120/ (36) katoiminnan keskeytymisriski (tulipalo, tulva, sähkön saanti, laitteiden rikkoutuminen jne.) ja rajoitettava herkkiin kohteisiin pääsy (tietojenkäsittelylaitteet, tietovälineet, dokumentit jne.) vain valtuutetuille henkilöille. 6.6 Tietoturvallisuus Tietoturvallisuuden määritelmä ja perusvaatimukset (34) Tietoturvallisuudella tarkoitetaan sitä, että yrityksen tiedot, palvelut, järjestelmät ja tietoliikenne on suojattu ja varmistettu sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. (35) Tietoturvallisuuden toteuttamisessa on tapana erottaa kahdeksan toimenpidealuetta: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne-, laitteisto-, ohjelmisto-, tietoaineisto- ja käyttöturvallisuus1f2. (36) Yleisiä tietoturvallisuuteen liittyviä vaatimuksia ovat säilytettävän, siirrettävän ja käsiteltävän tiedon luottamuksellisuus (tieto ei paljastu sivullisille) muuttumattomuus (tiedon eheysvaatimus) käytettävyys (tieto on saatavissa oikeaan aikaan siihen oikeutetulle). (37) Tietojärjestelmiin pääsyä on valvottava. Myös tietojärjestelmissä käsiteltävien tapahtumien kiistämättömyys sekä keskenään kommunikoivien osapuolten tunnistaminen ja todentaminen on hoidettava asianmukaisesti. Lisäksi tietojärjestelmissä käsiteltävät tapahtumat pitää voida aukottomasti jäljittää Tietoturvallisuusvastuut ja organisointi (38) Valvottavan yleisen tietoturvallisuuden tason ja eri tietojärjestelmien turvatason on oltava riittävät valvottavan toiminnan luonteeseen ja laajuuteen, tietojärjestelmien uhkien vakavuuteen sekä yleiseen tekniseen kehitystasoon nähden. (39) Valvottavan ylin johto vastaa siitä, että valvottavalla on riittävä tietoturvallisuus. Valvottavan tietoturvallisuuden yleisen tason on oltava sen ylimmän johdon määrittämä ja hyväksymä. Valvottavan ylimmän johdon on annettava riittävät resurssit sekä määriteltävä vastuut riittävän tietoturvallisuuden tason ylläpitämiseksi. Valvottavan on arvioitava tietoturvallisuutensa taso säännöllisesti. Mikäli valvottavan omassa organisaatiossa ei ole riittävää tietoturvallisuuden asiantuntemusta, arvio on teetettävä ulkopuolisella asiantuntijatahol- 2 Valtionhallinnon tietoturvallisuuden johtoryhmä: VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö

23 dnro 3/120/ (36) la. Havaittujen puutteiden korjaamiseksi on ryhdyttävä tarvittaviin toimenpiteisiin Tietoturvallisuuteen liittyvien riskien arviointi (40) Valvottavan tietoturvallisuuden tason arvioinnin on perustuttava tietoturvallisuuteen liittyvien riskien säännönmukaiseen arviointiin. Riskiarvioita tehtäessä on määriteltävä, mitkä ovat valvottavan keskeiset toiminnot ja resurssit, mitkä ovat niiden uhat, kuinka haavoittuvia valvottavan toiminnot ja resurssit ovat näille uhkille sekä miten uhkat toteutuessaan vaikuttavat valvottavan toimintaan. Havaittujen riskien hallitsemiseksi on rakennettava riittävät kontrollit. Käyttöönotettavien uusien tekniikoiden ja palvelujen riskit on myös arvioitava. (41) Tietoturvallisuusriskien arviointi on liitettävä osaksi valvottavan riskienhallintaa, jotta voidaan taata, että ylin ja toimiva johto saavat käsityksen liiketoiminnassa otettujen kaikkien merkittävien riskien yhteisvaikutuksesta Tietojen ja järjestelmien omistajuus (42) Valvottavan on määriteltävä säilyttämilleen ja käsittelemilleen tiedoille sekä käyttämilleen järjestelmille omistajat, jotka vastaavat tietojen ja järjestelmien käytön periaatteista, käyttövaltuuksista ja turvallisuudesta. Valvottavan on luokiteltava säilyttämänsä ja käsittelemänsä tiedot niiden turvallisuusvaatimusten mukaan sekä laadittava käsittelysäännöt eri turvallisuusluokille Käyttövaltuudet (43) Valvottavan on myönnettävä käyttövaltuudet tietoihin, ohjelmiin ja järjestelmiin sekä valvottava järjestelmien käyttöä johdon hyväksymien yhtenäisten periaatteiden mukaisesti. Käyttövaltuuksien tulee määräytyä käyttäjän työtehtävien perusteella. Valvottavan on rajattava tietoihin, ohjelmiin ja järjestelmiin pääsy vain valtuutetuille henkilöille teknisin keinoin (käyttäjätunnukset, salasanat jne.) sekä raportoitava ja tutkittava käyttövaltuuksien loukkaukset Tietoturvallisuusohjeistus ja koulutus (44) Valvottavalla on oltava ajantasaiset ylimmän johdon hyväksymät tietoturvallisuusperiaatteet sekä niitä tukeva tietoturvallisuusohjeistus, jonka on oltava valvottavan työntekijöiden tiedossa. Esimerkkejä tietoturvallisuusohjeistuksesta ovat muun muassa ohjeet käyttövaltuuksien hallinnoinnista, haittaohjelmien torjunnasta sekä Internetin ja sähköpostin käytöstä. Valvottavan on määriteltävä kunkin työntekijän tietoturvallisuusvastuut selkeästi sekä annettava työntekijöilleen säännöllisesti tietoturvallisuuskoulutusta. Tietoturvallisuuden kehittämisen on oltava jatkuva prosessi, ja sille on määriteltävä sel-

24 dnro 3/120/ (36) keät esimiesvastuut Tietoturvatapausten käsittely (45) Tietoturvatapaukset on havainnoitava, analysoitava, arkistoitava ja raportoitava organisaatiossa määrätylle vastuutaholle Tietoturvallisuuden varmistaminen tietoverkoissa (46) Verkkopalvelujen turvallisuus koostuu muun muassa palveluissa käytettyjen toimintamallien (kuten manuaalisten työvaiheiden), käytettyjen sovellusten, teknisten järjestelmien ja tietoliikenneyhteyksien turvallisuudesta. (47) Ennen kuin olemassa olevia palveluja viedään tietoverkkoon tai uusia palveluja otetaan käyttöön tietoverkossa, pitää valvottavan arvioida palvelujen sopivuus tietoverkkoon. Palveluihin liittyvät keskeiset riskit sekä niiden hallintakeinot on dokumentoitava sekä rakennettava tarvittavat kontrollit riskien hallitsemiseksi. Verkkoliiketoimintaan, tietojärjestelmiin ja sisäisiin toimintaprosesseihin liittyvä sisäinen valvonta ja riskienhallinta on suunniteltava ja rakennettava niin, että siinä otetaan huomioon organisaation toiminnan luonne ja laajuus sekä toiminnan uhkatekijät. Valvottavan on arvioitava verkkoliiketoimintaan liittyvät kokonaisriskit säännöllisin väliajoin tai itse teetettävä niistä ulkopuolinen arvio. Valvottavan pitää jatkuvasti arvioida ja kehittää tietojärjestelmiään sekä niiden tietoturvallisuutta sekä suojautua riittävän hyvin erilaisten häiriöiden ja mahdollisten väärinkäytösten varalta Tietoturvallisten palveluiden rakentaminen (48) Riittävän tietoturvallisuuden varmistamiseksi valvottavan tulee ennen palvelun käyttöönottoa ja palvelua tarjotessaan huolehtia ainakin seuraavista asioista: Palvelun riskianalyysi on laadittu ja sen perusteella on ryhdytty tarvittaviin toimiin riskien hallitsemiseksi. Järjestelmäkohtaiset turvakatselmukset on tehty. Lisäksi järjestelmien turvatasoa on seurattava jatkuvasti, analysoitava niiden haavoittuvuuksia sekä asennettava tarvittavat järjestelmäpäivitykset ja korjaukset. Järjestelmissä esiintyviä häiriöitä sekä mahdollisia väärinkäytöksiä sekä väärinkäytösyrityksiä on seurattava jatkuvasti ja niistä on raportoitava sovitulla tavalla. Palvelun käytettävyyden ja jatkuvuuden varmistamiseksi valvottavan on ennen palvelun käyttöönottoa laadittava järjestelmäkohtaiset toipumissuunnitelmat, varauduttava riittävin varajärjestelyin palvelussa esiintyviin ongelmiin sekä varmistettava varajärjestelyjen nopea

25 dnro 3/120/ (36) käyttöönotto häiriötilanteissa. Järjestelmille on tehtävä tarvittaessa kuormitustestaus. Erityisesti on testattava, että tietojärjestelmien kapasiteetti riittää, vaikka asiakkaiden yhteydenottoja olisi samanaikaisesti poikkeuksellisen runsaasti. Järjestelmät on varustettava tarvittavilla virusten ja muiden haittaohjelmien torjuntamekanismeilla. Järjestelmät sekä niiden tarvitsemat tietoliikennelinjat on suojattava sen varalta, että ne yritetään tukkia aiheettomilla palvelupyynnöillä tai muilla tavoin. Palvelujärjestelmän Internet-liittymä voidaan mahdollisesti tukkia menettelyllä, johon palveluntuottaja ei voi vaikuttaa. Tällaiseen tilanteeseen tulisi varautua ennalta esimerkiksi riittävin varajärjestelyin. Järjestelmät on varustettava pääsynvalvontamekanismeilla ja valvottavan on huolehdittava, että käyttövaltuuksien hallinta on järjestetty asianmukaisesti. Ulkoinen verkko (Internet) on erotettava valvottavan sisäisestä verkosta turvajärjestelyillä. Järjestelmät on testattava säännöllisin väliajoin ja varsinkin järjestelmämuutosten jälkeen sen varmistamiseksi, että järjestelmiä ei pääse valtuudettomasti käyttämään eikä kukaan pääse hyödyntämään niissä mahdollisesti olevia turva-aukkoja. Jos turvallisuudessa havaitaan puutteita, ne on välittömästi korjattava. Valvottavan on varmistettava, että verkkopalvelua käyttävän asiakkaan ja palveluntarjoajan välinen tiedonsiirto ja palveluntarjoajan järjestelmien tiedon käsittely täyttää tiedon luottamuksellisuuden, eheyden ja kiistämättömyyden vaatimukset. Myös keskenään kommunikoivien osapuolten tunnistaminen ja todentaminen on tehtävä riittävän luotettavasti. Käyttökelpoisia keinoja ovat esimerkiksi riittävän vahva salaus2f3, sähköiset varmenteet ja sähköiset allekirjoitukset. Valvottavan on varustettava tietojärjestelmät tarkistusmekanismeilla sekä jäljitysketjuilla. Näillä turvataan syöttötiedon ja tulosten oikeellisuus ja eheys sekä varmistetaan käyttövaltuuksien asianmukaisuus, käsittelykeskeytyksiä seuraavien tilanteiden palautus sekä tapahtumien tarkastettavuus. Järjestelmissä käsiteltävien tapahtumien on oltava aukottomasti jäljitettävissä. Järjestelmiin on rakennettava sellaisia kontrolleja, jotka mahdollistavat eri osajärjestelmissä käsiteltyjen tapahtumien täsmäytyksen. Suositeltavaa on, että tapahtumaketju täsmäytetään siitä asti, kun tapahtuma lähtee asiakkaalta, ja täsmäytystä jatketaan aina valvottavan perusjärjestelmiin asti. 3 Salausjärjestelmän käyttämiseen liittyvät riskit on arvioitava tapauskohtaisesti. Salaus kannattaa aina tehdä niin hyvin kuin se kustannustehokkaasti on mahdollista, kun otetaan huomioon tiedon suojaustarpeet.

26 dnro 3/120/ (36) Mahdolliset asiakaskohtaiset salasanat on salakirjoitettava järjestelmän sisällä ja välitettäessä niitä järjestelmien välillä. Asiakaskohtaisten tunnistautumistietojen (käyttäjätunnukset ja salasanat) luomisessa, käsittelyssä ja asiakkaalle toimittamisessa on noudatettava erityistä varovaisuutta ja vältettävä niin sanottuja vaarallisia työyhdistelmiä. Valvottavan on huolehdittava, että järjestelmät keräävät riittävän tarkkaa lokia sisäänkirjoittautumisesta ja palveluun sisäänkirjoittautumisyrityksistä sekä palvelun käytöstä. Lokit ja niistä tuotetut raportit tulee käydä säännöllisesti läpi. Erityisesti valtuudettomien käyttöyritysten tai muiden väärinkäytösten varalle pitää olla raportointimenettelyt. Lokien ja raporttien läpikäynnissä on noudatettava lakien velvoitteita ja toimenpiteet on suoritettava huolellisesti ja viestinnän luottamuksellisuutta ja yksityisyyden suojaa vaarantamatta. Asiakkaalle tarjottavassa palvelussa on annettava riittävästi tietoa esimerkiksi käyttöohjeissa palveluntarjoajasta, tarjotuista palveluista, vastuunjaosta palvelun tarjoajan ja palvelun käyttäjän välillä sekä siitä, miten käyttäjä voi käyttää palvelua turvallisesti. 6.7 Maksujärjestelmät ja maksujenvälitys (49) Maksujärjestelmien vakaa toiminta on tärkeää, koska järjestelmissä välitetään valtaosa yhteiskunnassa liikkuvista maksuista. Katkokset ja häiriöt järjestelmissä hankaloittavat asiakkaiden maksuliikennettä ja saattavat siten aiheuttaa ongelmia koko maan taloudelle. (50) Maksujärjestelmällä tarkoitetaan yleensä järjestelmää, jossa käytetään sovittuja maksuvälineitä jossa osapuolina on pankkeja ja luottolaitoksia jossa osapuolet sopivat erilaisista maksujenvälitys- ja riskienhallintakäytännöistä joka mahdollistaa rahan kierron maksajalta saajalle. (51) Maksuvälineellä tarkoitetaan pankki-, maksu- tai luottokorttia, sekkiä tai muuta välinettä taikka tallennetta, jolla voidaan suorittaa maksuja, tilinostoja tai tilisiirtoja tai jonka käyttäminen on välttämätön edellytys näiden suoritusten tekemiseksi. (52) Valvottavan ylimmän johdon on hyväksyttävä ne maksujenvälityksen periaatteet, jotka koskevat niitä maksujärjestelmiä, joihin valvottava osallistuu, sekä niitä maksuliikennepalveluita, joita valvottava tarjoaa asiakkailleen. Maksujenvälityksen periaatteiden on katettava nykyinen toiminta, ja niissä on otettava huomioon kehitys lähivuosina. Ylimmän johdon on asetettava tavoit-