Operatiiviset riskit valvojan näkökulmasta

Transkriptio

1 Operatiiviset riskit valvojan näkökulmasta Aktuaaritoiminnan kehittämissäätiön syysseminaari Toimistopäällikkö Markku Koponen, Finanssivalvonta

2 Laki määrittelee tavoitteet ja tehtävät Finanssivalvonnan toiminnan tavoitteena on finanssimarkkinoiden vakauden edellyttämä luotto-, vakuutus- ja eläkelaitosten ja muiden valvottaviksi säädettyjen vakaa toiminta, vakuutettujen etujen turvaaminen sekä yleinen luottamus finanssimarkkinoiden toimintaan. Laki Finanssivalvonnasta 1

3 Mitkä toimijat ovat Finanssivalvonnan valvottavia? pankit ja muut luottolaitokset vahinko-, henki- ja jälleenvakuutusyhtiöt työeläkevakuutusyhtiöt eläkesäätiöt eläke-, sairaus- ja muut vakuutuskassat vakuutusyhdistykset työttömyyskassat vakuutusedustajat muut vakuutusalan toimijat sijoituspalveluyritykset rahastoyhtiöt arvopaperikeskus pörssi maksulaitokset Valvottavaluettelot kaikista Fivan valvottavista osoitteessa Finanssivalvonta.fi

4 Finanssivalvonnan organisaatio Johdon neuvonantaja Erkki Rajaniemi Hallintoyksikkö Pekka Peiponen Johtaja Anneli Tuominen Johdon sihteeristö Erkki Kontkanen Viestintä Terhi Lambert-Karjalainen Instituutiovalvonta Marja Nykänen Riskienvalvonta Jukka Vesala Markkinavalvonta Jarmo Parkkonen Menettelytapavalvonta Erja Rautanen Rahoitussektori Jyri Helenius Vakuutussektori Seppo Juutilainen Vakavaraisuuslaskenta Jaana Ladvelin Luottoriskit Veli-Jukka Lehtonen Operatiiviset riskit Markku Koponen Markkina- ja likviditeettiriskit Antti Olkinuora Vakuutustekniset riskit ja tutkimus Vesa Hänninen Taloudellinen analyysi Jaana Rantama Tietojärjestelmät Jaakko Mauranen Markkinat Sari Helminen Tilinpäätösvalvonta Tiina Visakorpi Sijoitustuotteet Paula Launiainen Asiakkaansuoja Timo Peltonen Finanssipalvelutoiminnot Esa Pitkänen Työttömyysvakuutus Marko Aarnio

5 Finanssivalvonnan toiminta Tarkastukset Suunnitellaan riskiperusteisesti (toimintasuunnitelma, valvontahavainnot, toimintaympäristön muutos) Suunnitelma vahvistetaan puolivuosittain Aiheita esim. verkkopankkipalvelujen turvallisuus, maksu- ja korttijärjestelmät, liiketoiminnan jatkuvuusjärjestelyt Jatkuva valvonta Tapaamiset, uusien palvelujen esittely, häiriöraportit, ad hoc valvonta, ym. Valvojan arviot Suurimmista valvottavista vuosittain Toimiluvat Talletuspankit, maksulaitokset, sijoituspalveluyritykset ym. Sanktiointi tarvittaessa

6 Operatiivisen riski määritelmä (Fivan standardi 4.4b) Tappionvaara, joka aiheutuu: Riittämättömistä tai epäonnistuneista sisäisistä prosesseista Henkilöstöstä Järjestelmistä Ulkoisista tekijöistä Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on rajattu määritelmän ulkopuolelle. Operatiivisen riski aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi toteutua myös viiveellä ja ilmetä välillisesti. Vakavaraisuusvaatimus Perus- ja standardimenetelmät suhteutetaan tuottotasoon Kehittynyt menetelmä sisäisen mallin mukaisesti

7 Riskialueiden merkitys finanssialalla: YLEISKUVA PANKIT HENKI-JA VAHINKOVAKUU- TUSYHTIÖT ELÄKEVAKUU- TUSLAITOKSET LUOTTORISKIT MARKKINA-/ SIJOITUSRISKIT LIKVIDITEETTIRISKIT OPERATIIVISET RISKIT VAKUUTUSTEKNISET RISKIT LIIKETOIMINTARISKIT

8 Esimerkkejä tappiotyypeistä Tappiotyyppi 1.Sisäiset väärinkäytökset 2.Ulkopuolisen aiheuttamat vahingot 3.Työolot, turvallisuus Esimerkkejä kavallus, petos, arvopaperimarkkinarikos tai - rikkomus, asiakastetojen väärinkäyttö varkaus ryöstö, petos, värwnnys, rahanpesu murtautuminen teitojärjestelmään, haittaohjelman levittäminen työsopimuslain rikkomukset, työmarkkinariidat 4.Menettelytavoista aiheutuvat tappiot lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta 5.Omaisuusvahingot tulipalo, vesiovahinko, tulva 6.Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko raportointivirhe, tallennusvirhe, sopimuksen 7.Prosesseihin liittyvät ongelmat pätemättömyys, hinnoiteluvirhe, puutteellinen dokumentointi, ulkoistetun palvelun häiriö Lähde: standardi 4.4b, sivu 17, esimerkkilista ei ole tyhjentävä! Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

9 Operatiivisten riskien hallinnan merkitys on kasvanut Finanssialan toimijoiden rakenne- ja organisaatiomuutokset Rahoitusmarkkinoiden monimutkaistuminen ja teknistyminen Toimintatavat ja liiketoimintamallit muuttuneet (aktiivisuus, myynti ja markkinointi, kilpailu) Tietojärjestelmien keskeisyys toiminnassa Tietoturvauhat - kyberuhat Sähköisten palvelujen ja palvelukanavien kasvu Finanssialan kriisi toiminnan tehostamistarpeet riskien korostuminen muutosvaiheessa -> alttius virheille kasvanut -> suorat kustannukset operatiivisten riskien toteutumisesta voivat olla suuria, epäsuorat kustannukset yleensä vielä suurempia (mutta vaikeampia arvioida luotettavasti)

10 Riskien ja vakavaraisuuden valvonta tärkeä tehtävä Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

11 Fivan operatiivisten riskien sääntely standardi 4.4b Standardissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Luottolaitokset, sijoituspalveluyritykset, rahastoyhtiöt Standardissa käsitellään seuraavia aihealueita operatiivisten riskien hallinnan järjestäminen prosessien hallinta, uudet tuotteet oikeudelliset riskit henkilöstö jatkuvuussuunnittelu ja poikkeusolojen varautuminen tieto- ja maksujärjestelmät tietoturvallisuus Uusi versio oli aikoinaan lausunnolla asti. Uusi versio lausuntokierroksen jälkeen voimaan Q2/2014 (odottaa VYL-muutoksia)

12 Fivan operatiivisten riskien sääntely standardi RA 4.2 Operatiivisiin riskeihin liittyvien tapahtumien ilmoittaminen Viipymättä Fivalle ilmoitus asiakkaille tarjotuissa palveluissa sekä maksu- ja tietojärjestelmissä esiintyneistä merkittävistä häiriöistä ja virheistä. ktori/ra_raportointi/pages/ra4_2.aspx Ulkoistaminen (1/2012) Merkittävistä ulkoistuksista ennakkoilmoitus Fivalle Ulkoistushankkeiden riskiarvio Fivan tarkastusoikeus ulkoistettuihin toimintoihin

13 Fivan operatiivisten riskien hallinnan sääntelyuudistus Fiva toiminut vuodesta 2009 koko finanssisektorin valvojana Fivan standardin 4.4b uudistushanke aloitettiin 2010 Viivästyminen solvenssi II:n takia Tilanne 2013 marraskuu: Vakuutussektori edelleen vailla Fivan yhtenäistä sääntelyä operatiivisten riskien hallinnasta Valmiina Q2/2014? Finanssivalvonta Finansinspektionen Financial Supervisory Authority

14 Vakuutussektorin solvenssi 1,5 Solvenssi 1,5: corporate governance & riskien hallinta säännökset voimaan 2014 alusta EIOPAn Guidelines on the System of Governance 9/2013 operatiivisen riskin hallinta (# 19) ulkoistaminen (# 44 47) Fivan tehtävänä siirtymäkaudella : NCAs are expected to ensure that undertakings take steps towards implementing the relevant aspects of the regulatory framework addressed by these Guidelines kansallinen implementointi (comply or explain)

15 Vakuutussektori ja Fivan sääntelyvaltuudet VYL HE 83/2013: 6 luku 21 (tilanne talousvaliokunta- ja perustuslakivaliokuntakäsittelyjen jälkeen) Fiva voi antaa tarkempia määräyksiä: (1 ja 2 kuten HE) 1) 4 :n 5 momentissa tarkoitetuista ilmoituksista, joita sille on vakuutusyhtiöiden ja vakuutusomistusyhteisöjen hallitusten jäsenten ja toimitusjohtajan osalta toimitettava; 2) vakuutusomistusyhteisöjen 8 :n 5 momentissa tarkoitetun sisäisen valvonnan ja riskienhallinnan järjestämisestä; 3) 8 :n 4 momentissa tarkoitetun jatkuvuussuunnitelman sisällöstä sekä 10 :ssä tarkoitetun riskienhallinnan ja 14 :ssä tarkoitetun sisäisen valvonnan järjestämisestä; (4 ja 5 kohta kuten HE): 4) 13 :n 1 momentissa tarkoitetuista asiakkaan tuntemisessa noudatettavista menettelytavoista ja 13 :n 2 momentissa tarkoitetusta riskienhallinnasta; 5) 16 :n 3 momentissa tarkoitetusta ulkoistamisilmoituksesta.

16 Mitä jälkeen 1,5:n? Fivan operatiivisten riskien hallinnan määräys/ohje lausunnolle Q1/2014 Fivan ulkoistamissääntelyn tekniset muutokset 1/2014 ja 7/2014 Solvenssi II voimaan direktiivi kansalliseen lainsäädäntöön Komission odotetaan julkistavan luonnoksen sääntelyä tarkentavaksi asetukseksi vielä ennen joulua - EIOPA jatkaa standardien ja ohjeiden valmistelua Erilliset kansalliset sääntelyhankkeet muille vakuutussektorin valvottaville

17 Operatiivisten riskien hallinnan perusvaatimuksia Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

18 Operatiivisten riskien hallinnan perusvaatimuksia Ylimmän johdon riskitietoisuus ja -kulttuuri Riskien valvonta liiketoiminnoista riippumaton Riskienhallinta/valvonta on riittävästi resursoitu Riskienhallinta/valvonta tuottaa oikeaa ja ajantasaista tietoa riskeistä Riskienhallinnan ohjeita noudatetaan johdonmukaisesti päivittäisessä toiminnassa

19 Miten operatiiviset riskit tulisi hallita? Riskien tunnistaminen itsearviointimenetelmä, ulkopuolinen arvioitsija, tappiotapahtumien analysointi Riskien mittaaminen ja arviointi tapahtuman todennäköisyys, euromääräinen tappio Riskien rajoittaminen sisäisten kontrollien suunnittelu, jatkuvuussuunnittelu, vakuutukset Korjaavat toimenpiteet havaitut puutteet kontrolleissa Ylimmän johdon raportointi toteutuneet tappiot, nykyinen riskiasema, trendit -> Operatiivisten riskien hallinta on lähes aina riskien minimoimista

20 Fivan suorittama operatiivisten riskien valvonta Fivan operatiivisten riskien valvontaan kuuluvat mm. operatiivisten riskien hallinta valvottavissa organisointi vastuut ohjeistus riskienhallinta- ja vähentämismenettelyt operatiivisen riskin pääomavaatimus uusien tuotteiden hyväksymisprosessi ulkoistaminen valvottavien IT- ja maksujärjestelmät tietoturvallisuus Jatkuvuussuunnittelu arvopaperi-infrastruktuurin (lähinnä selvitys- ja säilytystoiminta) valvonta rahanpesun estäminen ja asiakkaan tunteminen

21 Operatiivisten riskien hallinnan osa-alueita Riskienhallinnan periaatteiden dokumentointi Miten operatiivinen riski on määritelty? Milloin riskienhallinnan ohjeet päivitetty? Riskien mittaaminen ja arviointi Millä mittareilla riskiä mitataan? Onko asetettu limiittejä tai seurantarajoja? Tappiotapahtumien tilastointi ja analysointi Suhteessa liiketoiminnan luonteeseen ja kokoon Korjaavien toimenpiteiden suunnittelu ja toteutus vastuutus seuranta aikarajat

22 Operatiivisten riskien hallinnan osa-alueita, jatkuu Prosessit Liiketoiminnan kannalta tärkeimmät prosessit on tunnistettava Organisaatioyksiköiden väliset rajapinnat kontrollipisteet Dokumentaatio Oikeudellinen riski Voi liittyä kaikkeen liiketoimintaan Asiantuntemus lainsäädännöstä ja määräyksistä Henkilöstö Riittävä ammattitaito suhteutettuna työtehtäviin Toimivan johdon on varmistettava, että tehtävien hoitamiseen on varattu riittävästi henkilöstöä. Liiketoiminnan jatkuvuuden turvaamiseksi on erityisesti avaintehtäviä hoitavilla henkilöillä oltava varahenkilöt sairastumisen, tapaturman tai yllättävän palvelusuhteen päättymisen varalta. Resursoinnissa on otettava huomioon myös prosessien kuormitushuiput. Palkitsemisjärjestelmien periaatteet vahvistettava

23 Operatiivisten riskien hallinnan osa-alueita, jatkuu Jatkuvuussuunnittelu =Varautuminen liiketoiminnan keskeytyksiin siten, että valvottava pystyy jatkamaan toimintaansa ja rajoittamaan tappioita erilaisissa häiriötilanteissa Uhka- ja haavoittuvuusanalyysit Tärkeimmät liiketoimintaprosessit on priorisoitava It-varajärjestelyt Erityisen tärkeää, että liiketoiminnan toipumisen kannalta tärkeät järjestelmät ja tiedot on palautettavissa Suunnitelmien ajantasaisuus, säännöllinen testaaminen ja koulutus Varautuminen poikkeusoloihin Valmiuslaki ( /1080) ja sen poikkeusolot, erityinen varautumisvelvollisuus Vakavia häiriöitä tai kriisejä voivat olla esimerkiksi pandemia tai muu valvottavan henkilöstön toimintakykyä vakavasti vaarantava uhka tai valvottavan toimitilojen tai tietojenkäsittely-ympäristön tuhoutuminen. Tärkeiden tietojen säilyminen Ajantasainen valmiussuunnitelma, testattava Varautuminen ulotettava myös ulkoistettuihin toimintoihin

24 Operatiivisten riskien hallinnan osa-alueita, jatkuu Tietojärjestelmät Riittävät ja asianmukaiset tietojärjestelmät suhteessa toiminnan laajuuteen Erillinen tietotekniikkastrategia Järjestelmäkehitys- ja tuotantotehtävien eriyttäminen Tietoturvallisuus Vastuut ja organisointi, riskien arviointi, tietojen ja järjestelmien omistajuus, käyttövaltuudet, ohjeistus ja koulutus, tietoverkot Tietoturvallisten palveluiden rakentaminen Maksujärjestelmät ja maksujenvälitys Toimintavarmuus ja turvallisuus, tehokkaan ja luotettavan maksujenvälityksen varmistaminen Varajärjestelyt

25 Fivan tarkastustoiminnan tavoitteet Valvottavien riskienhallinta on riittävällä tavalla järjestetty ja noudattaa lakeja sekä Fivan ohjeita ja määräyksiä. Riskienhallinta tuottaa oikeaa ja ajantasaista tietoa valvottavan riskeistä. Varmistua siitä, että riskit eivät uhkaa valvottavan vakavaraisuutta. Valvottavan ylimmän johdon hyväksymiä riskienhallinnan periaatteita noudatetaan päivittäisessä toiminnassa systemaattisesti. Fivan tarkastuskohteet valitaan riskiperusteisesti huomioiden mm. valvottavan rooli finanssimarkkinoiden vakauden näkökulmasta. kriteereinä mm. viranomaisraportointi, valvontakäynnit, sisäinen raportointi

26 Fivan suorittamia tarkastuksia operatiivisten riskien alueella Joitakin operatiivisten riskien tarkastuksia viime vuosina verkkopankkipalvelut yksityisasiakkaille ulkoistaminen (erityisesti IT-palvelut) liiketoiminnan jatkuvuussuunnittelu tietoturvatapausten hallinta poikkeusolojen valmius yrityksille tarjottavat verkkopankkipalvelut yhteispohjoismainen IT-tarkastus, pankki x kotimaan- ja ulkomaan maksujärjestelmät valuuttakauppojen selvitysriskin hallinta maksukorttiprosessit asiakkaan tunteminen ja rahanpesun estäminen maksujärjestelmien likviditeetin hallinta operatiivisten riskien hallinnan kokonaistarkastukset yhteispohjoismaiset tarkastukset IT-järjestelmät, pankki x IT- järjestelmät, jatkuvuussuunnittelu, pörssi operat. riskin hallinta tukkupankissa jatkuvuussuunnittelu, vahinkovakuutusyhtiö

27 Luottolaitosten operatiivisia riskejä Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

28 Esimerkki: luottolaitosten operatiivisia riskejä Sisäinen tai ulkoinen väärinkäytös Asiakastietojen paljastuminen asiattomille Laajamittainen haittaohjelmahyökkäys asiakkaiden koneille Laajamittainen it-katkos

29 Esimerkki: työeläkeyhtiöiden suurimmat riskit Pohdintaa: mitkä ovat työeläkeyhtiöiden suurimmat riskit? Sijoitusomaisuuden hupeneminen It-riskit, sisäiset tai ulkoiset It:n käyttökatkot Eläkkeiden maksujen myöhästyminen Toinen suuri riski on operatiivinen riski!

30 Hyviä käytäntöjä operatiivisten riskien hallintaan Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

31 Hyviä käytäntöjä operatiivisten riskien hallintaan 1/2 Periaatteet, ohjeistus kunnossa op. riskin hallinnan periaatteet osana riskienhallinnan periaatteita ohjeet op. riskien arvioimiseksi, mittaamiseksi ja hallintaan kehikko ja toimintamalli op. riskien arvioimiseksi Organisointi, vastuutus selkeät selkeät vastuut ja raportointilinjat op. riskit yksikkö raportoi riskienhallintatoimikunnalle (tms. organisoitu riskienhallinnan osaksi oma yksikkö tai vastuuhenkilö Säännöllinen koulutus henkilöstölle ohjeet, toimintamalli Säännölliset riskiarviot liiketoimintayksiköissä op. riskien hallinta koordinoi ja opastaa mukana myös turvallisuuteen ja tietoturvallisuuteen liittyvät riskit itsearviointien tulokset riskienhallintaan, joka koostaa ja raportoi johdolle

32 Hyviä käytäntöjä operatiivisten riskien hallintaan 2/2 Operatiivisten riskien toteutumien kokoaminen aiheutuneet tappiot syy miten voidaan välttää jatkossa Säännöllinen raportointi johdolle ja hallitukselle johdolla ja hallituksella tulee olla käsitys suurimmista riskeistä ja ja siitä miten ne ovat hallinnassa kooste suurimmista toteutuneista operatiivisista riskeistä

33 Fivan tarkastuksia työeläkeyhtiöissä Työeläkelaitosten operatiivisten riskien kokonaistarkastuksia vuodesta 2010 alkaen operatiivisten riskien hallinta, rahanpesun estäminen ja asiakkaan tunteminen, it, tietoturvallisuus, jatkuvuussuunnittelu, maksujärjestelmät Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

34 Joitakin poimintoja operatiivisten riskien tarkastushavainnoista Riskienhallinnan arviointitoimintoa vahvistettava Eri osa-alueiden periaatteita ja ohjeistusta tarkennettava operatiivisten riskien hallinta, jatkuvuussuunnittelu, rahanpesun estäminen/asiakkaan tunteminen Kehitettävä riskien/toteutuneiden tapahtumien/korjaavien toimenpiteiden/eri osa-alueiden tilanteen raportointia yhtiöiden hallituksille Prosessikuvauksia ja riskikartoituksia tarkennettava It-hankkeiden seurantaa tehostettava Maksuliikenteen varajärjestelyjä kehitettävä Asiakkaan tuntemisen ja rahanpesun estämisen koulutukseen panostettava enemmän

35 Esimerkki operatiivisten riskien valvonnasta: toiminnan jatkuvuuden valvonta Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

36 Vakuutusalan varautumisohje Vakuutusalan poolin uudistettu varautumisohje Hyväksyttiin Vakuutusalan poolin kokouksessa voimaan ohjeen tarkoituksena on tukea toimijoiden varautumista ja valmiussuunnitelmien laatimista hyvä pohja toimijan omien varautumisjärjestelyjen suunnitteluun ja toteuttamiseen

37 Toiminnan jatkuvuuden valvonta Varautuminen häiriöihin on osa valvottavan operatiivisten riskien hallintaa ja valvottavan johdon vastuulla. Fivan tehtävä omalta osaltaan varmistaa, että varautumistoimet ovat riittäviä. Fivan keinovalikoima: sääntely ja ohjeistus varautumistoimenpiteiden tarkastaminen jatkuva valvonta osallistuminen viranomaisten ja toimialan yhteistyöhön varautumisasioissa Viime vuosina Fiva on tarkastanut runsaasti pankkien jatkuvuussuunnittelua. Jatkuvassa valvonnassa on korostunut jatkuvuus merkittävissä järjestelmähankkeissa. Myös vakuutusyhtiöiden, erityisesti työeläkeyhtiöiden jatkuvuussuunnittelua on tarkastettu.

38 Fivan sääntely jatkuvuussuunnittelun alueella Operatiivisten riskien hallinnan standardi (4.4 b) sisältää Fivan antamat määräykset ja suositukset jatkuvuussuunnittelusta ja poikkeusolojen varautumisesta pankeille. keskeisillä liiketoiminnoilla oltava ajantasaiset ja riittävät jatkuvuussuunnitelmat (ylin johto vastaa) määriteltävä vastuut jatkuvuussuunnittelulle (toimiva johto vastaa) kartoitettava ja priorisoitava liiketoimintaprosessit laadittava liiketoimintojen uhka- ja haavoittuvuusanalyysit laadittava tietojärjestelmien toipumissuunnitelmat varauduttava ulkoisten sidosryhmien toiminnan häiriöihin jatkuvuussuunnitelmia pidettävä ajan tasalla ja testattava jatkuvuussuunnittelu nähtävä prosessina vaatimukset poikkeusolojen tietojenkäsittelylle vaatimus valmiussuunnitelman laatimiseksi (voi olla osana jatkuvuussuunnitelmaa) Fivan antama ohje vakuutussektorille poikkeusoloihin varautumisesta

39 Fivan jatkuvuussuunnittelutarkastukset Tähän asti on tarkastettu lähinnä pankkien ja työeläkeyhtiöiden jatkuvuussuunnittelua Muillakin tarkastuksilla (esim. maksujärjestelmätarkastukset) on käyty läpi jatkuvuussuunnitelmia Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

40 Tarkastusprosessi jatkuvuussuunnittelutarkastuksilla lähetä valvottavalle tarkastuksen aloituskirje, tarkastussuunnitelma sekä ennakkokysymykset ja ennakkomateriaalipyyntö analysoi ennakkomateriaali tarkastus paikan päällä valvottavassa (2 5 päivää) laadi sisäinen tarkastusmuistio esittele keskeiset tarkastushavainnot valvottavalle (palaveri) lähetä tarkastuskirje analysoi valvottavan vastaus tarkastuskirjeeseen

41 Jatkuvuussuunnittelutarkastuksella läpikäytäviä asioita jatkuvuussuunnittelun strategiat, periaatteet ja ohjeistus jatkuvuussuunnittelun organisaatio ja vastuutus jatkuvuussuunnitteluprosessi jatkuvuussuunnitelmien tilanne ja ajantasaisuus ulkoistettujen toimintojen jatkuvuuden turvaaminen tärkeimpien jatkuvuussuunnitelmien läpikäynti IT-varajärjestelyt ja toipumissuunnittelu jatkuvuussuunnittelun kytkennät poikkeusolojen valmiussuunnitteluun jatkuvuussuunnitteluun liittyvä juridiikka

42 Havaintoja jatkuvuustarkastuksilta Valvottavat ovat panostaneet jatkuvuussuunnitteluun IT-infra: suuremmilla toimijoilla yleensä 2 rinnakkain toimivaa konekeskusta Kriittisille toiminnoille on laadittu jatkuvuussuunnitelmat Kehittämiskohteita joissakin tapauksissa Jatkuvuussuunnitelmia tulee tarkentaa, ne eivät aina ohjaa toimintaa riittävän tarkasti. Jatkuvuussuunnitelmia tulee testata paremmin. Tietoja ei yleensä ole varmistettu kahden rinnakkain toimivan konekeskuksen ulkopuolelle.

43 Mitä jatkossa? IT on IT:tä, tietoturvallisuus on tietoturvallisuutta riippumatta toimialasta, mutta toimiala vaikuttaa Valmiit kehikot, best practices Esim. Cobit, Fiva käyttänyt Cobit-pohjaista kyselyä Liiketoiminnan jatkuvuussuunnittelu Solvenssi II Sisäisten mallien hyväksyntä järjestelmät, laskentamoduulit, data? Raportointi kontrollit, järjestelmät? IT Governance? Ei kannata mennä tutkimaan lokeja tai käyttövaltuuksia jos ICT-toiminnan tavoitteet, keinot tavoitteisiin pääsemiseksi tai mittarit ovat hukassa. IT-riskienhallinta systemaattiset menettelyt, raportointi ym.? Kyberturvallisuus Ulkoistaminen

44 Finanssikriisin vaikutukset operatiivisten riskien valvontaan Finanssialan toimijoilla säästöpaineita, toimintoja tehostetaan Tehostamisen myötä haetaan koko ajan lisää myös ulkoistamismahdollisuuksia. Pilvipalvelut. Valvottavien on turvattava riittävät resurssit riskienhallintaan ja riskienvalvontaan Keskeisten palvelujen ja kanavien palvelutaso ja häiriöttömyys on turvattava (esim. verkkopankki, maksuliikenne, korttimaksut, käteisnostot) Ulkoistamiseen liittyvät riskit hallittava ja turvattava riittävä osaaminen keskeisten palvelujen tuottamisessa. Osaamistarpeen siirtyminen palvelujen tuottamisesta ja kehittämisestä palvelujen hankintaan ja toimittajaketjun hallintaan.

45 Toimintaa riskit halliten Finanssivalvonta Finansinspektionen Financial Supervisory Authority Markku Koponen

46 KIITOS! Kysymyksiä?