Määräykset ja ohjeet x/2011

Määräykset ja ohjeet x/2011 Operatiivisen riskin hallinta Dnro 1/01.00/2011 Antopäivä x.x.2011 Voimaantulopäivä 1.1.2012 FINANSSIVALVONTA puh. 010 831 51 faksi 010 831 5328 etunimi.sukunimi@finanssivalvonta.fi www.finanssivalvonta.fi Lisätietoja Riskienvalvonta/Markkina- ja operatiiviset riskit

2 (39) Sisällysluettelo 1 Soveltamisala ja määritelmät 4 1.1 Soveltamisala 4 1.1.1 Riskienhallinta 4 1.1.2 Poikkeusoloihin varautuminen 5 1.2 Määritelmät 5 2 Säädöstausta ja kansainväliset suositukset 7 2.1 Lainsäädäntö 7 2.2 Euroopan unionin direktiivit 7 2.3 Finanssivalvonnan määräyksenantovaltuudet 8 2.4 Kansainväliset suositukset 9 3 Tavoitteet 10 4 Operatiivisen riskin hallinnan järjestäminen 11 4.1 Operatiivisen riskin hallinta 11 4.2 Operatiivisen riskin hallinnan organisointi 11 4.3 Operatiivisen riskin hallinnan perusteet 12 4.4 Uuden tuotteen ja palvelun hyväksymismenettely 13 4.5 Operatiivisen riskin seuranta ja raportointi 14 5 Operatiivisen riskin hallinnan osa-alueita 17 5.1 Prosessit 17 5.2 Rahoitusvälineillä käytävän kaupan riskit 17 5.3 Oikeudellinen riski 19 5.4 Henkilöstö 20 6 Tietojärjestelmät ja tietoturvallisuus 22 6.1 Tietojärjestelmät 22 6.2 Tietoturvallisuus 23 6.2.1 Tietoturvallisuuden määritelmä ja perusvaatimukset 23

3 (39) 6.2.2 Tietoturvariskien hallinta ja tietoturvatapausten käsittely 24 6.2.3 Tietoturvallisuutta koskeva ohjeistus ja koulutus 25 6.2.4 Tietoturvallisuuden varmistaminen tietoverkoissa 25 6.2.5 Tietoturvallisten palveluiden rakentaminen 26 7 Maksujärjestelmät ja maksujenvälitys 28 8 Jatkuvuus- ja valmiussuunnittelu 30 8.1 Jatkuvuussuunnittelu 30 8.2 Varautuminen poikkeusoloihin 31 8.2.1 Varautumisvelvollisuus 32 8.2.2 Valmiussuunnitelma 33 8.2.3 Toiminta poikkeusoloissa 34 9 Raportointi Finanssivalvonnalle 36 9.1 Ilmoitus toiminnan häiriöistä ja virheistä 36 9.2 Vuosi-ilmoitus operatiivisen riskin aiheuttamista tappioista 37 9.3 Ilmoitus rahasto-osuuden arvon julkistamisessa tapahtuneesta olennaisesta virheestä 37 10 Kumotut määräykset ja ohjeet 39

4 (39) 1 Soveltamisala ja määritelmät 1.1 Soveltamisala Soveltamisalaan kuuluvat yhteisöt poikkeavat toisistaan mm. toiminnan laajuudeltaan, organisaatioltaan ja asiakasrakenteeltaan sekä tarjottujen palveluiden lukumäärän ja monimutkaisuuden suhteen. Operatiivisten riskien hallinnassa ja valvonnassa voi siten olla erilaisia käytännön ratkaisuja toiminnan painopisteiden ja erityispiirteiden mukaan. 1.1.1 Riskienhallinta Näitä määräyksiä ja ohjeita sovelletaan riskienhallintaa koskevilta osin seuraavassa lueteltuihin valvottaviin ja ulkomaisiin valvottaviin. Poikkeusoloihin varautumista koskevan luvun 8.2 soveltamisala määritellään luvussa 1.1.2. luottolaitokset muussa kuin ETA-valtiossa toimiluvan saaneiden, ulkomaisten luottolaitosten sivuliikkeet sijoituspalveluyritykset, joihin sovelletaan sijoituspalveluyrityksistä annetun 46 :n mukaisesti luottolaitostoiminnasta annetun lain 5 ja 6 luvun säännöksiä rahastoyhtiöt muussa kuin ETA-valtiossa toimiluvan saaneiden, ulkomaisten rahastoyhtiöiden sivuliikkeet rahoitus- ja vakuutusryhmittymien emoyritykset ja omistusyhteisöt talletuspankkien yhteenliittymien keskusyhteisöt maksulaitokset arvopaperipörssi vakuutusyhtiöt muussa kuin ETA-valtiossa toimiluvan saaneiden, ulkomaisten vakuutusyhtiöiden sivuliikkeet vakuutusyhdistykset työeläkevakuutusyhtiöt eläkesäätiöt eläkekassat Maatalousyrittäjien eläkelaitos Merimieseläkekassa

5 (39) Lisäksi Finanssivalvonta suosittaa, että muussa kuin ETA-valtiossa toimiluvan saaneiden, ulkomaisten sijoituspalveluyritysten sivuliikkeet ja vakuutuskassalaissa tarkoitetut sairauskassat noudattaisivat näitä määräyksiä ja ohjeita. 1.1.2 Poikkeusoloihin varautuminen Näiden määräysten ja ohjeiden luvun 8.2 ohjeita sovelletaan seuraavassa lueteltuihin valvottaviin ja ulkomaisiin valvottaviin, jotka ovat velvollisia varautumaan valmiuslain (1080/1991) tarkoittamiin poikkeusoloihin. luottolaitokset rahoituslaitokset, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja rahastoyhtiöt ulkomaisten luottolaitosten Suomessa olevat sivuliikkeet arvopaperikeskus vakuutusyhtiöt ulkomaisten vakuutusyhtiöiden Suomessa olevat sivuliikkeet vakuutusyhdistykset työeläkevakuutusyhtiöt eläkesäätiöt vakuutuskassat Maatalousyrittäjien eläkelaitos Merimieseläkekassa Lisäksi Finanssivalvonta suosittaa, että arvopaperipörssi ja selvitysyhteisöt noudattaisivat luvun 8.2 ohjeita. 1.2 Määritelmät Valvottavalla tarkoitetaan kaikkia edellä luvussa 1.1 esitettyyn määräysten ja ohjeiden soveltamisalaan kuuluvia Finanssivalvonnasta annetun lain mukaisia valvottavia, ulkomaisia valvottavia ja muita finanssimarkkinoilla toimivia. Operatiivisella riskillä tarkoitetaan tappionvaara, joka aiheutuu riittämättömistä tai epäonnistuneista sisäisistä prosesseista henkilöstöstä järjestelmistä ulkoisista tekijöistä. Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on tässä rajattu operatiivisten riskien ulkopuolelle. Kontrolleilla tarkoitetaan menettelytapoja sen varmistamiseksi, että toiminta saavuttaa tavoitteensa. Kontrolleja ovat kaikki ne toimenpiteet, joiden tarkoituksena on häiriöiden, puut-

6 (39) teiden, virheiden ja väärinkäytösten ennaltaehkäisy, havaitseminen ja vähentäminen. Esimerkkejä kontrolleista ovat täsmäytykset, "neljän silmän periaate" sekä vastapuolten vahvistusten vertailu omaan sopimusdokumentaatioon. Ylimmällä johdolla tarkoitetaan valvottavan hallitusta. Jos valvottavassa on hallintoneuvosto, se muodostaa yhdessä hallituksen kanssa tässä tarkoitetun ylimmän johdon. Toimivalla johdolla tarkoitetaan toimitusjohtajaa ja hänen tuekseen nimitettyjä johtoryhmän jäseniä. Toimivaan johtoon kuuluvat myös muut toimitusjohtajan välittömässä alaisuudessa toimivat henkilöt jotka toimitusjohtajan ohella tosiasiallisesti johtavat valvottavan toimintaa.

7 (39) 2 Säädöstausta ja kansainväliset suositukset 2.1 Lainsäädäntö Näiden määräysten ja ohjeiden aihepiiriin liittyvät seuraavat säädökset: luottolaitostoiminnasta annettu laki (121/2007, jäljempänä myös LLL) sijoituspalveluyrityksistä annettu laki (922/2007, jäljempänä myös SiPaL) sijoitusrahastolaki (48/1999, jäljempänä myös SRL) ulkomaisen rahastoyhtiön toiminnasta Suomessa annettu laki (225/2004) talletuspankkien yhteenliittymästä annettu laki (599/2010) maksulaitoslaki (297/2010, jäljempänä myös MLL) rahoitus- ja vakuutusryhmittymien valvonnasta annettu laki (699/2004) arvopaperimarkkinalaki (495/1989, jäljempänä myös AML) arvo-osuusjärjestelmästä annettu laki (826/1991) vakuutusyhtiölaki (521/2008, jäljempänä myös VYL) laki ulkomaisista vakuutusyhtiöistä (398/1995, jäljempänä myös UVYL) vakuutusyhdistyslaki (1250/1987, jäljempänä myös VakYhdL) työeläkevakuutusyhtiöistä annettu laki (354/1997, jäljempänä myös TVYL) eläkesäätiölaki (1774/1995, jäljempänä myös ESL) vakuutuskassalaki (1164/1992, jäljempänä myös VKL) maatalousyrittäjän eläkelaki (1280/2006, jäljempänä myös MYEL) merimieseläkelaki (1290/2006, jäljempänä myös MEL) valtioneuvoston päätös huoltovarmuuden tavoitteista (539/2008) 2.2 Euroopan unionin direktiivit

8 (39) Näiden määräysten ja ohjeiden aihepiiriin liittyvät seuraavat Euroopan unionin direktiivit: Euroopan parlamentin ja neuvoston direktiivi 2006/48/EY luottolaitosten liiketoiminnan aloittamisesta ja harjoittamisesta (32006L0048); EUVL N:o L 177, 30.6.2006, s. 1 Euroopan parlamentin ja neuvoston direktiivi 2006/49/EY sijoituspalveluyritysten ja luottolaitosten omien varojen riittävyydestä (32006L0049); EUVL N:o L 177, 30.6.2006, s.201 Euroopan parlamentin ja neuvoston direktiivi 2007/64/EY maksupalveluista sisämarkkinoilla, direktiivien 97/7/EY, 2002/65/EY, 2005/60/EY ja 2006/48/EY muuttamisesta ja direktiivin 97/5/EY kumoamisesta; EUVL L 319, 5.12.2007, s. 1-36 Euroopan parlamentin ja neuvoston direktiivi 2002/87/EY, annettu 16 päivänä joulukuuta 2002, finanssiryhmittymään kuuluvien luottolaitosten, vakuutusyritysten ja sijoituspalveluyritysten lisävalvonnasta sekä neuvoston direktiivien 73/239/ETY, 79/267/ETY, 92/49/ETY, 92/96/ETY, 93/6/ETY ja 93/22/ETY ja Euroopan parlamentin ja neuvoston direktiivien 98/78/EY ja 2000/12/EY muuttamisesta; EUVL L35, 11.2.2003, s. 1-27. 2.3 Finanssivalvonnan määräyksenantovaltuudet Finanssivalvonnan oikeus antaa määräyksiä perustuu seuraaviin säännöksiin: Finanssivalvonnasta annetun lain (jäljempänä myös FivaL) 18 :n 2 momentti, jonka mukaan Finanssivalvonta voi antaa määräyksiä valvottavan sisäistä valvontaa ja riskienhallintaa koskevien tietojen säännöllisestä toimittamisesta Finanssivalvonnalle LLL:n 93 :n 1 momentin mukaan Finanssivalvonta antaa luottolaitosdirektiivin ja omien varojen direktiivin täytäntöönpanon edellyttämät tarkemmat määräykset 5 luvussa tarkoitetuista luottolaitostoiminnan taloudellisista edellytyksistä. LLL 5 lukuun sisältyvässä LLL 49 :ssä on säädetty sisäistä valvontaa ja riskienhallintaa koskevista vaatimuksista. LLL 74 :ssä on säädetty, että konsolidointiryhmän emoyritykseen sovelletaan, mitä 49 :n 2 4 momentissa säädetään. SipaL:n 46 :n 1 momentista ja SRL:n 6 :n 5 momentista seuraa, että LLL:n 49 :n soveltamisesta LLL:n 93 :n 1 momentin nojalla annetut Finanssivalvonnan määräykset velvoittavat myös mainituissa lainkohdissa tarkoitettuja sijoituspalveluyrityksiä, sijoituspalveluyritysten omistusyhteisöjä sekä rahastoyhtiöitä Finanssivalvonta antaa SRL:n 30 a :n 3 momentin nojalla tarkemmat määräykset rahastoyhtiön riskienhallintajärjestelmille ja muulle sisäiselle valvonnalle asetettavista vaatimuksista talletuspankkien yhteenliittymästä annetun lain 18 :stä seuraa, että LLL:n 49 :n soveltamisesta LLL:n 93 :n 1 momentin nojalla annetut Finanssivalvonnan määräykset velvoittavat myös talletuspankkien yhteenliittymän keskusyhteisöä MLL:n 19 :n 3 momentin nojalla Finanssivalvonta voi antaa maksupalveludirektiivin täytäntöön panemiseksi tarkempia määräyksiä toiminnan järjestämisestä

9 (39) rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain 16 :n 3 momentin nojalla Finanssivalvonta antaa ryhmittymän emoyritykselle ja omistusyhteisölle tarkempia määräyksiä sisäisen valvonnan ja riskienhallinnan järjestämisestä AML:n 3 luvun 17 3 momentin nojalla Finanssivalvonta antaa tarkempia määräyksiä arvopaperipörssin toiminnan järjestämisestä VYL:n 6 luvun 10 :n 3 kohdan nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä VakYhdL:n 10 luvun 4a :n nojalla Finanssivalvonta voi antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä TVYL:n 1 luvun 1 :n 2 momentin nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä ESL:n 25 :n 3 momentin nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä VKL:n 33 :n 3 momentin nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä MYEL:n 119 :n 1 momentin nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä MEL:n 184 :n 3 momentin nojalla Finanssivalvonta antaa tarkemmat määräykset sisäisen valvonnan ja riskienhallinnan järjestämisestä 2.4 Kansainväliset suositukset Näitä määräyksiä ja ohjeita laadittaessa on otettu huomioon seuraavat kansainväliset suositukset: Baselin pankkivalvontakomitean kesäkuussa 2011 antama suositus "Principles for the Sound Management of Operational Risk" Euroopan pankkiviranomaisen ohjeistus Management of Operational Risks in Market-related Activities (CEBS lokakuu.2010) Baselin pankkivalvontakomitean elokuussa 2006 antama suositus High level principles for business continuity Baselin pankkivalvontakomitean heinäkuussa 2003 antama suositus "Risk Management Principles for Electronic Banking" Baselin komitean Committee on Payment and Settlement Systems (CPSS) tammikuussa 2001 antama suositus "Core Principles for Systemically Important Payment Systems".

10 (39) 3 Tavoitteet (1) Näissä määräyksissä ja ohjeissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Lähemmin tarkastellaan prosessien hallintaan, henkilöstöön, tieto- ja maksujärjestelmiin, tietoturvallisuuteen, jatkuvuussuunnitteluun sekä oikeudellisiin riskeihin liittyviä erityisalueita. (2) Teknologian kehitys, tuotteiden ja palveluiden kehittyminen, uudet riskienhallintamenetelmät, toimintojen ulkoistaminen, yritysjärjestelyt sekä toimintojen kansainvälistyminen ovat monimutkaistaneet toimintaympäristöä ja lisänneet operatiivisia riskejä finanssipalveluiden tuottamisessa. (3) Rahoitusvälineillä käytävän kaupan operatiiviset riskit aiheutuvat yleensä väärinkäytöksistä tai muuten sisäisten ohjeiden vastaisesta toiminnasta markkinoilla, puutteellisesta kokemuksesta uusilla tuotteilla käytävässä kaupankäynnissä tai tuotteiden ja niihin kuuluvien riskimallien monimutkaisuudesta. Riittämätön sisäinen valvonta ja riskienhallinta voivat kaupankäyntitoiminnan suurten volyymien vuoksi vaarantaa valvottavan vakavaraisuuden ja toiminnan jatkuvuuden. (4) Näiden määräysten ja ohjeiden tavoitteena on varmistaa seuraavat asiat: Valvottava tunnistaa toimintaansa liittyvät operatiiviset riskit. Valvottava järjestää operatiivisten riskien hallinnan toimintansa laajuuden ja luonteen asettamien vaatimusten mukaisesti (organisointi, periaatteet ja menettelytavat, seuranta ja raportointi). Valvottava huolehtii riittävästä tietohallinnon, tietoturvallisuuden ja toiminnan jatkuvuuden tasosta. Finanssivalvonta saa tiedon merkittävistä valvottavan toiminnan häiriöistä ja virheistä ja operatiivisen riskin aiheuttamista tappioista.

11 (39) 4 Operatiivisen riskin hallinnan järjestäminen 4.1 Operatiivisen riskin hallinta (1) Operatiivisten riskien hallintaa järjestettäessä valvottavan tulee ottaa huomioon myös Finanssivalvonnan standardit 4.1 Sisäisen valvonnan järjestäminen, 4.2 Valvottavan vakavaraisuuden hallinta ja 4.3i Operatiivisen riskin vakavaraisuusvaatimus, jos kyseisiä standardeja sovelletaan valvottavaan. OHJE (KOHDAT 2-4) (2) Operatiivisen riskin hallinta on osa valvottavan riskienhallintaa. Liiketoiminnasta aiheutuvat ja siihen olennaisesti liittyvät riskit tunnistetaan, arvioidaan ja niitä mitataan, rajoitetaan ja valvotaan. Riskienhallinnalla pyritään vähentämään ennakoimattomien tappioiden todennäköisyyttä tai uhkaa valvottavan maineelle. (3) Operatiivisen riskin aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi myös toteutua viiveellä ja ilmetä välillisesti esimerkiksi valvottavan maineen ja arvostuksen heikkenemisenä. (4) Operatiiviset riskit poikkeavat luonteeltaan luotto- ja markkinariskeistä sekä vakuutustoiminnan riskeistä. Operatiivisen riskin hallinta on yleensä riskien minimoimista. Rajanveto eri riskialueiden välillä ei aina ole mahdollista. Esimerkiksi luotto- ja kaupankäyntiprosessien eri vaiheisiin sisältyy sekä operatiivisia riskejä että luotto- ja markkinariskejä. 4.2 Operatiivisen riskin hallinnan organisointi (5) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 6-1 1 ) (6) Operatiivisia riskejä on hallittava ja arvioitava itsenäisenä riskialueena. (7) Valvottavan hallituksen on hyväksyttävä operatiivisen riskin hallinnan periaatteet, ja niitä on määräajoin arvioitava uudelleen niin, että muutokset toimintaympäristössä ja valvottavan omassa liiketoiminnassa otetaan huomioon.

12 (39) (8) Vakuutusyhtiön, vakuutusyhdistyksen sekä Merimieseläkekassan ja Maatalousyrittäjien eläkelaitoksen hallituksen vuosittain hyväksymässä riskienhallintasuunnitelmassa on otettava huomioon operatiivisen riskin hallinnan järjestäminen. (9) Operatiivisen riskin hallinnan periaatteiden ja riskienhallintasuunnitelman tulee kattaa operatiivisen riskin tunnistaminen sekä riskien arvioinnissa, valvonnassa ja rajoittamisessa käytettävät menettelyt ja hallintaprosessit sekä tarpeellisessa määrin valvottavan riskinottokyky sekä riskinotolle asetetut limiitit ja muut rajoitteet. (10) Hallituksen on oltava selvillä valvottavan eri liiketoiminta-alueiden tärkeimmistä operatiivisista riskeistä. Osana sisäisen valvonnan järjestämistä hallituksen on saatava säännöllisesti raportit valvottavan tärkeimmistä operatiivisista riskeistä. (11) Toimitusjohtajan ja muun ylimmän johdon (jatkossa myös toimiva johto ) on huolehdittava operatiivisen riskin hallinnan periaatteiden käytännön toteuttamisesta kaikissa valvottavan toiminnoissa. Lisäksi tulee varmistaa, että jokainen työntekijä tunnistaa omaan toimintaansa liittyvät operatiiviset riskit ja niiden hallintaan liittyvät menettelytavat. Toimiva johto vastaa valvottavan tuotteisiin, palveluihin, toimintoihin, prosesseihin sekä järjestelmiin liittyvien operatiivisen riskin hallinnan menettelytapojen kehittämisestä ja ylläpidosta. OHJE (KOHDAT 1 2-1 5 ) (12) Valvottavan tulisi laatia sen omasta liiketoiminnasta johdettu operatiivisen riskin määritelmä, jossa otetaan huomioon valvottavan toiminnan erityispiirteet. (13) Liiketoimintayksiköiden ja muiden operatiivisen riskin hallinnasta vastaavien toimintojen vastuu- ja raportointisuhteiden tulisi olla selkeät ja kattavat. Riskinoton valvonnan tulisi olla riskiä ottavasta liiketoiminnasta ja riskienhallinnasta riippumattoman riskienhallinnan arviointitoiminnon tehtävänä. (14) Hallituksen ja toimivan johdon tulisi edistää sellaisen yrityskulttuurin muodostumista, joka hyväksyy sisäisen valvonnan normaalina ja tarpeellisena osana yritystoimintaa. (15) Hallituksen tulisi huolehtia, että sisäinen tarkastus arvioi säännöllisesti valvottavan operatiivisen riskin hallinnan tehokkuutta ja kattavuutta. 4.3 Operatiivisen riskin hallinnan perusteet (16) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 17-1 9 ) (17) Valvottavan on tunnistettava liiketoiminta-alueittain kaikkiin merkittäviin tuotteisiinsa, palveluihinsa, toimintoihinsa, prosesseihinsa ja järjestelmiinsä liittyvät operatiiviset riskit. Operatiivisen riskin tunnistaminen luo perustan niiden valvonnalle ja niitä koskevien kontrollien suunnittelulle. (18) Operatiivisen riskin arvioinnissa on otettava huomioon toiminnoittain riskien toteutumisen todennäköisyys ja vaikutukset vahingon sattuessa.

13 (39) (19) Tärkeimmistä tunnistetuista operatiivisista riskeistä valvottavan tulee päättää, miten näitä riskejä valvotaan, kannetaanko riskit sellaisenaan, pyritäänkö riskejä vähentämään vai vetäydytäänkö operatiivisia riskejä aiheuttavasta liiketoiminnasta. OHJE (KOHDAT 20-2 3 ) (20) Operatiivisesta riskistä aiheutuvia tappioita voidaan vähentää toisaalta pienentämällä riskien toteutumisen todennäköisyyksiä sekä toisaalta pienentämällä valvottavan haavoittuvuutta riskin toteutuessa. (21) Riskien arvioinnissa analysoidaan haitallisesti vaikuttavia sisäisiä ja ulkoisia tekijöitä. Sisäisiä tekijöitä ovat esimerkiksi valvottavan rakenne, organisaatiomuutokset, tarjottavien tuotteiden tai palveluiden monimutkaisuus, henkilöstön ammattitaito ja vaihtuvuus. Ulkoisia tekijöitä ovat esimerkiksi teknologian kehitys ja toimintojen kansainvälisyys. (22) Ennalta sovittujen menettelytapojen käyttö riskien arvioinnissa parantaa arvioinnin tasoa. Sovellettavia menetelmiä voivat olla määrämuotoiset itsearvioinnit, operatiivisiin riskeihin liittyvien vahinkojen tilastointi sekä valvottavalle ja sen vertaisryhmälle sattuneiden vahinkojen läpikäynti. Kun tarkastellaan muille osapuolille sattuneita vahinkoja vertaamalla niitä valvottavan omaan toimintaan, on mahdollista selvittää, olisiko jossain valvottavan omassa yksikössä voinut tapahtua vastaavaa, mitä siitä olisi voinut aiheutua sekä miten vahinkoja voitaisiin estää. (23) Operatiivisesta riskistä aiheutuvia vahinkoja voidaan rajoittaa myös vakuutuksilla. Toimivan johdon on syytä huolehtia siitä, että vakuutusturvan riittävyyttä ja kustannuksia arvioidaan säännöllisesti niin, että otetaan huomioon muutokset valvottavan liiketoiminnassa. Lisäksi tulisi arvioida vakuutussopimuksista aiheutuvia vastapuoliriskejä sekä vakuutusyhtiöiden vakavaraisuutta. 4.4 Uuden tuotteen ja palvelun hyväksymismenettely OHJE (KOHDAT 2 4-2 7 ) (24) Uuden tuotteen ja palvelun riskit tulisi arvioida ennen niiden käyttöönottoa. Arviointi on syytä tehdä myös uuden palvelumallin käyttöönoton yhteydessä, jos tuotteita ja palveluita on yhdistelty uudella tavalla. Sisäisen valvonnan ja riskienhallinnan järjestämisessä tulisi tehdä uusien tuotteiden ja palveluiden vaatimat muutokset. Valvottavan on syytä olla erityisen huolellinen laajentaessaan liiketoimintaansa markkina-alueelle, josta sillä ei ole aikaisempaa kokemusta. Tällöin tulisi myös huolehtia, että uusi toiminta kuuluu valvottavalle sallitun liiketoiminnan piiriin. (25) Valvottavan tulisi ohjeistaa uuden tuotteen ja palvelun hyväksymismenettely. Päätös uuden tuotteen tai palvelun käyttöönotosta tehdään vahvistettujen päätöksentekovaltuuksien mukaisesti. Päätökseen liitetään syntynyt dokumenttiaineisto. (26) Uuden tuotteen ja palvelun hyväksymismenettelyn on syytä sisältää seuraavia asioita: kuvaus tuotteesta tai palvelusta arvio tuotteen tai palvelun sopivuudesta toimintastrategiaan riskikartoitukset (arviot tuotteeseen tai palveluun liittyvistä riskeistä)

14 (39) kuvaus sisäisen valvonnan ja riskienhallinnan järjestämisestä uuden tuotteen tai palvelun osalta tuotteeseen tai palveluun liittyvien prosessien läpikäynti (esimerkiksi tarjousvaihe, asiakkaan tunnistaminen, myynti, tuotanto, selvitys- ja maksuliikenne) oikeudelliset kysymykset ja sopimuksentekovaltuudet kuvaus tietojärjestelmistä, tietoturvasta ja palvelun jatkuvuudesta ulkoisen ja sisäisen laskennan asettamat vaatimukset arvio vaikutuksista verotukseen kuvaus hinnoittelusta, mahdollisista arvostuksista ja hinnoittelumallien käytöstä arvio vaikutuksista kannattavuuteen ja vakavaraisuuteen kuvaus tarvittavasta koulutuksesta ja ohjeistuksesta. (27) Finanssivalvonta suosittaa, että valvottava esittelee merkittävän uuden tuotteen tai palvelun Finanssivalvonnalle hyvissä ajoin ennen sen käyttöönottoa. 4.5 Operatiivisen riskin seuranta ja raportointi (28) Finanssivalvonta pitää tärkeänä, että kaikki valvottavat toimeenpanevat tappiotietojen keräämisen ja sisäisen tappiotiedoston rakentamisen. Tappiotietojen keräämisen voidaan katsoa tukevan merkittävästi operatiivisen riskin hallintaa. (29) Luvussa 9.2 on ohjeistettu Finanssivalvonnalle toimitettava vuosi-ilmoitus merkittävistä operatiivisen riskin tappiotapahtumista. (30) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 3 1-3 3 ) (31) Valvottavan on säännöllisesti seurattava ja arvioitava havaitsemiensa operatiivisten riskien luonnetta, riskien toteutumisen todennäköisyyksiä ja tappion määrää riskien mahdollisesti toteutuessa. Lisäksi on luotava ennakoivat menettelyt ja mittarit operatiivisen riskin havaitsemiseksi. (32) Toimitusjohtajan ja muun ylimmän johdon on saatava säännöllisesti raportteja operatiivisista riskeistä ja toteutuneista vahingoista. Valvottavan on laadittava tarvittavat raportointiohjeet. Raporteista tulee ilmetä havaitut ongelma-alueet, joiden perusteella johdon tulee voida arvioida muutoksia operatiivisen riskin määrässä sekä ryhtyä ennakoiviin toimiin riskien rajoittamiseksi. (33) Toimitusjohtajan ja muun ylimmän johdon on säännöllisesti arvioitava käytettyjen menetelmien ja raportointijärjestelmien ajanmukaisuutta, tarkkuutta ja tarkoituksenmukaisuutta. Raportoinnin sisällön laajuutta ja yksityiskohtaisuutta sekä raporttien jakelua ja raportointitiheyttä on arvioitava säännöllisesti.

15 (39) OHJE (KOHDAT 34-3 7 ) (34) Valvottavan on syytä arvioida operatiivisen riskin kasvua ennakoivia tekijöitä. Näitä ovat esimerkiksi merkittävä muutos liiketoiminnan laajuudessa, uusien tuotteiden tai palveluiden käyttöönotto, työntekijöiden suuri vaihtuvuus, avoimien paikkojen vaikea tai hidas täyttäminen, asiakasvalitukset sekä lisääntyneet toiminta- tai palvelukatkokset. Laskentajärjestelmistä ja muista tietojärjestelmistä saatavaa informaatiota on syytä hyödyntää, kun arvioidaan operatiivisen riskin kasvua ennakoivia tekijöitä. (35) Johdon saamien raporttien tulisi sisältää taloudellista informaatiota, laadullisia analyysejä, arvioita sisäisten ja ulkoisten ohjeiden noudattamisesta sekä tietoa päätöksenteon kannalta merkittävistä ulkoisista tapahtumista ja toimintaympäristön muutoksista. (36) Operatiivisen riskin aiheuttamien tappioiden seuranta voidaan järjestää jäljempänä olevan esimerkkitaulukon mukaisesti. Raportoitavia tietoja ovat esimerkiksi kuvaus tapahtumasta, tapahtumaan johtaneet syyt, arvio suorista ja epäsuorista kustannuksista, mahdolliset vakuutuskorvaukset sekä toimenpiteet vahingon ennaltaehkäisemiseksi jatkossa. Lisäksi on syytä raportoida, mihin toimenpiteisiin on vahingon vuoksi ryhdytty sekä kuka on vastuussa korjaavista toimista ja mikä on niiden aikataulu. (37) Seurannan ja raportoinnin olennaisuutta varten valvottavan on syytä määritellä rahamääräinen taso, jota suuremmat tapahtumat raportoidaan. Pienistäkin vahingoista on raportoitava, jos niillä on periaatteellista merkitystä. Tappiotyyppi Sisäiset väärinkäytökset Ulkopuolisen aiheuttamat vahingot Työolot, työturvallisuus Menettelytavoista aiheutuvat tappiot Omaisuusvahingot Esimerkkejä kavallus, petos, lahjuksen ottaminen, arvopaperimarkkinarikos tai -rikkomus, vahingonteko, valtuuksien puuttuminen (tai niiden ylittäminen), asiakastietojen väärinkäyttö, tahallinen position väärinraportointi, liikesalaisuuden rikkominen, kiristys varkaus, ryöstö, petos (esim. maksuvälineellä), väärennös, rahanpesu, murtautuminen tietojärjestelmään, haittaohjelman levittäminen, tietojärjestelmään kohdistuva palvelunestohyökkäys, pommiuhkaus, henkilöstöön kohdistuva uhkailu, kiristys työsopimuslain rikkomukset (mm. työaika, työturvallisuus), syrjinnästä aiheutuva korvausvaatimus, palkka-, korvaus- tai irtisanomisriidat, työmarkkinariidat lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta, luottamuksellisten asiakastietojen väärinkäyttö (esim. markkinointiin), tiedonantovelvollisuuden laiminlyönti asiakkaille, salassapitovelvollisuuden laiminlyönti, selonottovelvollisuuden laiminlyönti, toimeksiantojen säännösten vastainen toteuttaminen, asiakasvarojen säännösten vastainen käsittely, arvopaperimarkkinarikos tai rikkomus, rahanpesu tulipalo, vesivahinko, tulva

16 (39) Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot Prosesseihin liittyvät ongelmat ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko, ulkoisen palveluntuottajan häiriö raportointivirhe, virhe asiakastiedoissa, tallennusvirhe tietojärjestelmään, hinnoitteluvirhe, sopimuksen pätemättömyys, puutteellinen dokumentointi, asiakirjan katoaminen, vakuushallinnan puutteet, asiakkaan toimeksiannon epäonnistunut toteutus, ulkoistetun palvelun häiriö, riita ulkopuolisen toimittajan kanssa, kirjanpitovirhe

17 (39) 5 Operatiivisen riskin hallinnan osaalueita 5.1 Prosessit (1) Prosessi on tietyn palvelun tai suoritteen tuottamiseksi muodostettu toimintojen ja resurssien kokonaisuus. Prosessien hallintaan liittyy asiakastyytyväisyys-, tehokkuus-, kannattavuus- ja laatunäkökohtia. Prosessien analysointi ja eri vaiheisiin liittyvien operatiivisen riskin arviointi auttavat valvottavaa tunnistamaan ja rajoittamaan operatiivisia riskejä. (2) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 3-4 ) (3) Valvottavan on tunnistettava liiketoiminnan kannalta tärkeimmät prosessit. Erityistä huomiota prosesseissa tulee kiinnittää organisaatioyksiköiden sekä eri yritysten välisiin rajapintoihin, maan rajojen yli harjoitettavaan toimintaan sekä maksuliikenteeseen. Prosessiin liittyvän ohjeistuksen on oltava riittävää ja ajantasaista. (4) Prosessien eri vaiheisiin on asetettava kontrollit ja niiden tasoa tulee arvioida säännöllisesti erityisesti kun toiminnan laajuus ja sisältö muuttuvat tai prosesseihin tehdään muutoksia. OHJE (KOHDAT 5-6) (5) Liiketoiminnan kannalta tärkeimmistä prosesseista tulisi laatia mahdollisimman yhdenmukainen kirjallinen dokumentaatio, jossa kuvataan esimerkiksi prosessiin liittyvät tehtävät, vaiheet ja niiden keskinäiset riippuvuudet, tieto- ja materiaalivirrat, raportointi, prosessin sidosryhmät (prosessin omistaja, asiakkaat, prosessiin osallistuva henkilöstö, organisaatioyksiköt, muut yritykset, muut sidosryhmät) sekä prosessiin liittyvät tietojärjestelmät. Erityisesti suurivolyymisen tapahtumakäsittelyn riittävä dokumentointi ja ohjeistus on tärkeää. Prosessikuvausten laadinnassa tulisi hyödyntää eri osa-alueita edustavien henkilöiden osaamista. Prosessikuvaukset tulisi päivittää säännöllisesti. (6) Projektien ja hankkeiden läpiviennissä on syytä noudattaa mahdollisimman yhtenäisiä periaatteita. Tärkeistä projekteista ja hankkeista tulisi laatia riskiarviot etukäteen. 5.2 Rahoitusvälineillä käytävän kaupan riskit (7) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä.

18 (39) MÄÄRÄYS (KOHDAT 9-15) (8) Hallituksen on huolehdittava, että valvottavan sisäinen valvonta ja riskienhallinta järjestetään siten, että rahoitusvälineillä käytävään kauppaan liittyvät operatiiviset riskit tunnistetaan ja niitä pystytään arvioimaan, seuraamaan ja rajoittamaan. (9) Kaupankäyntitoiminnan tavoitteita asetettaessa valvottavan hallituksen tulee pyrkiä suhteuttamaan liiketoiminnalle hyväksytyn riskinottotason rajoittava vaikutus ja kauppaa käyville toiminnoille tarjottavien tuloskannustimien riskinottoa lisäävä vaikutus. (10) Valvottavan toimitusjohtajalla ja muulla ylimmällä johdolla tulee olla riittävä asiantuntemus ja käytännön taidot kaupankäyntitoimintaan liittyvien riskien arvioimiseksi. Toimivan johdon on huolehdittava, että riskien valvonnasta vastaavilla henkilöillä on riittävä pätevyys ja että henkilöstön rekrytointiin ja koulutukseen on tarpeellisessa määrin kiinnitetty huomiota. (11) Liiketoimintaan kohdistuvan tehokkaan sisäisen valvonnan turvaamiseksi valvottavan on järjestettävä toiminta siten, että tehtävien eriyttäminen riskienvalvonnasta (middle ja back office) ja liiketoiminnasta vastaavien henkilöiden välillä toteutuu ja että mahdollisia eturistiriitatilanteita ei synny. (12) Kauppaa käyvillä henkilöillä tulee olla selkeät toimenkuvat, joissa on määritelty heille myönnetyt valtuudet tehdä valvottavaa sitovia transaktioita. Kunkin kauppaa käyvän henkilön tai henkilöryhmän osalta tulee olla määriteltynä sallitun kaupankäynnin luonne, kokonaisvolyymi ja transaktioiden koko. (13) Valvottavalla on oltava järjestelmä kauppojen vahvistusten, muutosten ja peruutusten sekä kauppojen selvitysten ja täsmäytysten seurantaa varten. Valvottavan on pyrittävä seurannan avulla välttämään vahvistamattomien kauppojen määrän lisääntymistä. Seurannan tulee koskea myös valvottavan tai sen konsernin sisäisiä kauppoja. (14) Valvottavan on seurattava kaupankäyntiä varten vahvistettujen limiittien ylityksiä sekä markkinahinnoista poikkeavaan hintaan tehtyjä kauppoja. Kaupankäyntiin liittyvät epäjohdonmukaisuudet tulee pyrkiä selvittämään niin usein, että voidaan havaita epäasianmukainen toiminta ja ryhtyä korjaaviin toimenpiteisiin riittävän varhain. Seurantajärjestelmien toimivuutta tulee arvioida säännöllisesti. OHJE (KOHDAT 1 5-2 4 ) (15) Finanssivalvonta suosittaa, että vakioehtoisten OTC-sopimuksia koskevan kaupankäynnin osalta valvottavan tulisi pyrkiä käyttämään mahdollisimman paljon asiaankuuluvien etujärjestöjen vahvistamia mallisopimuksia. Valvontatoiminnassa tulisi kiinnittää huomiota mallisopimuksista ja neuvotelluista ehdoista tehtyihin poikkeamiin. (16) Valvottavan tulisi pyrkiä ennakolta ehkäisemään kaupankäyntitoimintaan liittyvien petosten ja muiden väärinkäytösten toteutuminen. Valvottavan tulisi muun muassa tehdä riskikartoituksia kaupankäyntitoiminnasta sekä analysoida toteutuneita vahinkotapahtumia. (Lisäksi valvottavan tulee ottaa huomioon luvussa 6.2 mainitut tietoturvallisuuteen vaikuttavat seikat.) (17) Kaupankäynnin nettomäärien lisäksi valvottavan tulisi seurata transaktioiden ja positioiden nimellisarvoja. Valvottavan on syytä määritellä operatiivisen riskin vahinkotapahtumien tunnistamiseksi tarvittavat kriteerit ja seurantarajat.

19 (39) (18) Valvottavan tulisi järjestää kaupankäyntitoimintaan kuuluvien liiketapahtumien kirjausketju siten, että yhteys valvottavan tuloslaskelmaan ja taseeseen voidaan todentaa luotettavasti. Valvottavan on syytä varmistaa, että kaupankäyntitoiminnan tulos ei ole ristiriidassa kaupankäyntivaltuuksien ja markkinatilanteen kanssa. (19) Kaupankäyntitoimintaan liittyvien epäselvyyksien havaitsemiseksi valvottavan on tarpeen seurata kaupankäynnissä vaadittavien vakuuksien (margin calls) ja päätettyjen kauppojen määrien välillä olevia epäjohdonmukaisuuksia. (20) Valvottavalla tulisi olla sekä työpaikan että työajan ulkopuolella tapahtuvaa kaupankäyntiä varten ohjeistus, jossa määritellään tähän oikeutetut kauppaa käyvät henkilöt sekä sallitun kaupan luonne ja laajuus. Ohjeistuksesta tulisi ilmetä myös, miten ja milloin tehdyt kaupat on tallennettava kaupankäyntijärjestelmään, miten positiot ilmoitetaan riskiraportoinnissa sekä miten tehdyt kaupat otetaan huomioon limiiteissä. (21) Valvottavalla tulisi olla järjestelmä kaupankäyntiä koskevien puheluiden nauhoittamista varten. (22) Kaupankäyntitoiminnassa tapahtuvien väärinkäytösten ehkäisemiseksi tulisi valvottavan sisäisessä ohjeistuksessa edellyttää, että markkinoilla kauppaa käyvät henkilöt pitävät vuosittain ainakin kahden viikon pituisen yhtäjaksoisen lomajakson. Säännön noudattamista tulisi seurata säännöllisesti. (23) Valvottavan tulisi myös seurata henkilöiden tehtävänvaihdoksia kaupankäyntitoiminnan, middle ja back office toimintojen sekä IT-toimintojen välillä erityisesti tapauksissa, joissa henkilön tehtävät liittyvät myös vaihdoksen jälkeen samaan toimintoon tai tuotteeseen. (24) Valvottavalla tulisi olla vahvistetut menettelytavat poikkeavien kauppojen ja riskitapahtumien saattamiseksi hallituksen ja toimivan johdon käsiteltäväksi. Riippumattoman valvontatoiminnon tulisi tuottaa kaupankäyntitoimintaan liittyvät johdon raportit tai valmistella raporttien muoto. Valvontatoiminnon tulisi myös varmistaa, että raportointiohjeistusta noudatetaan. 5.3 Oikeudellinen riski (25) Oikeudellinen riski voi aiheutua ulkoisten tekijöiden, kuten toimintaympäristön muutosten, sekä valvottavan oman toiminnan vaikutuksesta. Oikeudellinen riski voi liittyä kaikkeen liiketoimintaan. Valvottavan toimintaan sovellettavien säädösten ja määräysten tulkintaan, soveltamisalaan sekä voimassaoloon liittyy epävarmuustekijöitä, joista voi aiheutua huomattavia tappioita ja joilla voi olla merkitystä valvottavan oikeudelliseen vastuuseen ja mahdolliseen korvausvelvollisuuteen. (26) Sopimusten voimassaoloon ja sisältöön liittyvät riitaisuudet voivat vaikuttaa haitallisesti valvottavan toimintaan. Epäedullisista sopimuksista irtautumiseen ja korvaavan sopimuksen solmimiseen voi liittyä tappion vaara. Tämä koskee erityisesti vakioehtoisten sopimusten käyttöä. Myös valvottavan julkistamiin dokumentteihin, kuten esitteisiin ja mainontaan, voi liittyä vahingonkorvauksen mahdollisuus tai maineen ja arvostuksen heikkenemisen riski. (27) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä.

20 (39) MÄÄRÄYS (KOHDAT 29-32) (28) Valvottavan hallituksen on tunnistettava toimintaan liittyvät merkittävät oikeudelliset riskit sekä varmistettava, että oikeudellisten riskien hallinta on riittävällä tavalla järjestetty. Toimitusjohtajan ja muun ylimmän johdon on järjestettävä oikeudellisten riskien hallinta ja osoitettava tarvittavat voimavarat oikeudellisen riskin tunnistamiseen, seurantaan ja rajoittamiseen eri liiketoiminta-alueilla. (29) Oikeudellisen riskin hallitsemiseksi valvottavalla tulee olla sopimusten ja muiden oikeustoimien solmimista varten riittävä asiantuntemus. Sopimusten pätevyyden varmistamiseksi valvottavalla tulee olla riittävä tietämys sopimuskumppanissa sovellettavista päätöksentekovaltuuksista. Sopimuksiin liittyvä aineisto tulee arkistoida tarpeellisella tavalla ja sopimusten voimassaoloa sekä niistä mahdollisesti johtuvia tulkintaerimielisyyksiä tai riitoja tulee seurata. (30) Valvottavalla tulee olla riittävä asiantuntemus sekä valvottavaa koskevasta lainsäädännöstä että viranomaisten antamista määräyksistä. Varsinkin keskeisten viranomaismääräysten asiantuntemus tulee aina olla valvottavan palveluksessa olevilla henkilöillä. Oikeudellisen riskin hallintaa koskevien vastuusuhteiden tulee olla selkeästi määritellyt. (31) Valvottavan on seurattava sekä lainsäädännön että kansainvälisen sääntelyn muutoksia, jolloin se voi ennakolta valmistautua uusien lakien ja määräysten asettamiin vaatimuksiin. Valvottavan on tunnettava omaan alaansa liittyvä oikeuskäytäntö. Lisäksi rahoitus- ja vakuutusryhmittymän emoyhtiön tulee huolehtia, että ryhmittymään kuuluvilla yhteisöillä on riittävä asiantuntemus molempien sektorien säännöksistä ja määräyksistä. Muissa valtioissa toimintaa harjoittavan valvottavan on otettava huomioon, että keskeiset oikeusperiaatteet ja oikeuskäytäntö voivat vaihdella huomattavasti eri valtioiden välillä. 5.4 Henkilöstö (32) Valvottavien tulisi ottaa huomioon myös Finanssivalvonnan 24.3.2011 antama palkitsemisjärjestelmiä koskeva kannanotto. (33) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 3 4-39) (34) Valvottavan hallituksen on vahvistettava periaatteet, joilla varmistetaan, että valvottavan palveluksessa työskentelevien ja rekrytoitavien henkilöiden ammattitaito on riittävä suhteutettuna työtehtäviin sekä valvottavan kokoon, toiminnan laajuuteen ja luonteeseen. (35) Valvottavalla on oltava menettelytavat, joilla varmistetaan, että henkilöstö täyttää jatkuvasti ammattitaidolle asetetut vaatimukset kuten muodollisen kelpoisuuden sekä riittävän koulutus- ja kokemustaustan. Uuden työntekijän hyvämaineisuuteen ja taustoihin on kiinnitettävä erityistä huomiota. (36) Toimivan johdon on varmistettava, että tehtävien hoitamiseen on varattu riittävästi henkilöstöä. Liiketoiminnan jatkuvuuden turvaamiseksi on erityisesti avaintehtäviä hoitavilla henkilöillä syytä olla varahenkilöt sairastumisen, tapaturman tai yllättävän palvelusuhteen päättymisen varalta. Resurssien kohdentamisessa tulee ottaa huomioon myös prosessien kuormitushuiput.

21 (39) (37) Valvottavan hallituksen on vahvistettava salassapitoa koskevat periaatteet. Niillä varmistetaan, että valvottavan toimihenkilö ei ilmaise asiakkaan tai muun valvottavan toimintaan liittyvän henkilön taloudellista asemaa tai henkilökohtaisia oloja koskevaa seikkaa taikka liiketai ammattisalaisuutta, jollei se, jonka hyväksi vaitiolovelvollisuus on annettu, anna suostumustaan sen ilmaisemiseen. (38) Hallituksen tulee vahvistaa palkitsemisjärjestelmiä koskevat periaatteet. Niissä on varmistettava, että palkitsemisjärjestelmät eivät houkuttele ei-toivottuihin menettelytapoihin tai hallitsemattomaan riskinottoon. (39) Riskien valvonnan tehtäviä hoitavien henkilöiden kannusteiden tulee perustua valvontatehtävissä asetettujen tavoitteiden saavuttamiseen ja olla riippumattomia valvonnan kohteena olevan liiketoiminnan tuloksesta.

22 (39) 6 Tietojärjestelmät ja tietoturvallisuus 6.1 Tietojärjestelmät (1) Tietojenkäsittelytoiminnan kontrolleilla pyritään turvaamaan olosuhteet tietojenkäsittelylle, töiden suorittamisen oikea-aikaisuus, toiminnan jatkuvuus, toiminnan ja sitä kuvaavan informaation luotettavuus sekä omaisuuden säilyminen. (2) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 3-12) (3) Valvottavan hallituksen on varmistettava, että valvottavalla on toiminnan luonteeseen ja laajuuteen nähden riittävät ja asianmukaisesti järjestetyt tietojärjestelmät. Tietojärjestelmien riittävyyttä ja asianmukaisuutta tulee arvioida suhteessa valvottavan oman toiminnan lähtökohtiin, hallituksen asettamiin vaatimuksiin sekä siihen, että järjestelmät tukevat liiketoimintaa hallituksen linjausten mukaisesti. (4) Valvottavalla tulee olla tarvittava osaaminen, organisaatio ja sisäinen valvonta tiedon tallentamista, siirtämistä, käsittelemistä ja arkistoimista varten konekielisessä muodossa. Jos näitä toimintoja ulkoistetaan, tulee valvottavan varmistua siitä, että tietojenkäsittelypalveluja toimittava yritys noudattaa tässä luvussa esitettyjä periaatteita. (5) Hallituksen on hyväksyttävä valvottavan nykyisten ja arvioitujen tulevien tarpeiden mukainen tietotekniikkastrategia tietoteknisen ympäristön olemassaolon, ylläpidon ja edelleen kehittämisen varmistamiseksi. Lisäksi hallituksen tulee varmistaa, että valvottavalla on menettelytavat tietotekniikkaan liittyvien kustannusten budjetointia ja seurantaa varten. (6) Valvottavan tulee määritellä tietotekniikan eri osa-alueiden toiminta-mallit, standardit, menettelytavat ja kontrollit, jotka mahdollistavat yhteistyön liiketoimintayksiköiden ja tietotekniikkapalveluja tarjoavien yksiköiden välillä. Niiden on oltava perustana, kun toimiva johto suunnittelee, valvoo ja arvioi tietotekniikkatoimintoja. (7) Valvottavan tulee varmistaa tietotekniikkatoiminnon riippumattomuus käyttäjistä. Tietotekniikkatoiminto vastaa tietojärjestelmien kehittämisestä ja toimivuudesta käyttäjien varmistaessa käsiteltävän tiedon oikeellisuuden. (8) Valvottavan tulee eriyttää järjestelmäkehitys- ja tuotantotehtävät toisistaan siten, että niissä toimivilla on välitön pääsy toistensa hallussa olevaan tietoon vain valvottujen määrämuotoisten menettelytapojen avulla. Järjestelmien tuotantoon siirtoa, muutostenhallintaa ja testausta varten on oltava määrämuotoiset menettelytavat. Järjestelmät on testattava huolellisesti ennen niiden tuotantoon ottoa.

23 (39) (9) Valvottavan tulee huolehtia, että sisäisellä tarkastuksella on pätevyys ja valmiudet arvioida tietotekniikkatoimintojen sisäisten kontrollien toimivuutta. (10) Valvottavan tulee luoda ja ylläpitää menetelmiä systeemityössä ja laadunvarmistuksessa, jotka turvaavat sen, että järjestelmät toimivat suunnitellulla tavalla. Lisäksi niistä tulee olla laadittu määrämuotoinen dokumentaatio, jolla varmistetaan niiden käyttö ja jatkokehittäminen esim. avainhenkilöiden vaihtuessa. (11) Valvottavan tulee päättää menettelytavoista, joita noudatetaan, kun hankitaan tai hyväksytään ohjelmia ja laitteita tai solmitaan sopimuksia palvelujen tuottajien kanssa. Valvottavan tulee varmistaa, että hankinnat ja sopimukset vastaavat valvottavan tarpeita ja asetettuja standardeja sekä taataan palvelun jatkuvuus. (12) Valvottavan tulee minimoida fyysiseen turvallisuuteen liittyvien menettelytapojen ja toimintamallien avulla sekä riittävin varajärjestelyin tietotekniikkatoiminnan keskeytymisriski (tulipalo, tulva, sähkön saanti, laitteiden rikkoutuminen jne.) ja rajoitettava herkkiin kohteisiin pääsy (tietojenkäsittelylaitteet, tietovälineet, dokumentit jne.) vain valtuutetuille henkilöille. 6.2 Tietoturvallisuus 6.2.1 Tietoturvallisuuden määritelmä ja perusvaatimukset (13) Tietoturvallisuudella tarkoitetaan sitä, että yrityksen tiedot, palvelut, järjestelmät ja tietoliikenne on suojattu ja varmistettu sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. (14) Tietoturvallisuuden toteuttamisessa on tapana erottaa kahdeksan toimenpidealuetta: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne-, laitteisto-, ohjelmisto-, tietoaineisto- ja käyttöturvallisuus. 1 (15) Yleisiä tietoturvallisuuteen liittyviä vaatimuksia ovat säilytettävän, siirrettävän ja käsiteltävän tiedon eheys, käytettävyys ja luottamuksellisuus. (16) Eheyden vaatimuksella tarkoitetaan sitä, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia, eivätkä ne ole muuttuneet tai muutettavissa laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan vuoksi. (17) Käytettävyydellä tarkoitetaan, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. (18) Luottamuksellisuus sisältää vaatimuksen, jonka mukaan tiedot ja tietojärjestelmät ovat vain niiden käyttöön oikeutettujen saatavilla sovituilla tavoilla ja sovittuun aikaan. Tietoja ei paljasteta sivullisille, eikä heille anneta mahdollisuutta muuttaa tai tuhota tietoja. (19) Kiistämättömyydellä tarkoitetaan, että tapahtumat voidaan todentaa jälkeenpäin. Näin voidaan varmistaa se, että tietojen käsittelyn tai siirron osapuoli ei voi jälkikäteen kiistää osuuttaan siihen. (20) Haavoittuvuudella tarkoitetaan alttiutta järjestelmiä, toimintaa tai palveluja haittaaville häiriöille. 1 Valtionhallinnon tietoturvallisuuden johtoryhmä: VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö

24 (39) (21) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 22-26) (22) Valvottavan yleisen tietoturvallisuuden tason ja eri tietojärjestelmien turvatason on oltava riittävät valvottavan toiminnan luonteeseen ja laajuuteen, tietojärjestelmien uhkien vakavuuteen sekä yleiseen tekniseen kehitystasoon nähden. (23) Valvottavan hallitus vastaa siitä, että valvottavalla on riittävä tietoturvallisuus. Valvottavan tietoturvallisuuden yleisen tason tulee olla hallituksen määrittämä ja hyväksymä. Hallituksen tulee antaa riittävät resurssit sekä määritellä vastuut riittävän tietoturvallisuuden tason ylläpitämiseksi. Valvottavan tulee arvioida tietoturvallisuuden taso säännöllisesti. Mikäli valvottavan omassa organisaatiossa ei ole riittävää tietoturvallisuuden asiantuntemusta, arvio on syytä teettää ulkopuolisella asiantuntijataholla. Havaittujen puutteiden korjaamiseksi tulee ryhtyä tarvittaviin toimenpiteisiin. (24) Valvottavan tulee määritellä säilyttämilleen ja käsittelemilleen tiedoille sekä käyttämilleen järjestelmille omistajat, jotka vastaavat tietojen ja järjestelmien käytön periaatteista, käyttövaltuuksista ja turvallisuudesta. Valvottavan tulee luokitella säilyttämänsä ja käsittelemänsä tiedot niiden turvallisuusvaatimusten mukaan sekä laatia käsittelysäännöt eri turvallisuusluokille. (25) Valvottavan tulee myöntää käyttövaltuudet tietoihin, ohjelmiin ja järjestelmiin sekä valvottava järjestelmien käyttöä johdon hyväksymien yhtenäisten periaatteiden mukaisesti. Käyttövaltuuksien tulee määräytyä käyttäjän työtehtävien perusteella. Valvottavan tulee rajata tietoihin, ohjelmiin ja järjestelmiin pääsy vain valtuutetuille henkilöille teknisin keinoin (käyttäjätunnukset, salasanat jne.) sekä raportoitava ja tutkittava käyttövaltuuksien loukkaukset. (26) Tietojärjestelmiin pääsyä tulee valvoa. Myös tietojärjestelmissä käsiteltävien tapahtumien kiistämättömyys sekä keskenään kommunikoivien osapuolten tunnistaminen ja todentaminen on hoidettava asianmukaisesti. Lisäksi tietojärjestelmissä käsiteltävät tapahtumat tulee voida aukottomasti jäljittää. 6.2.2 Tietoturvariskien hallinta ja tietoturvatapausten käsittely (27) Tietoturvatapauksella tarkoitetaan yrityksen tietoturvaperiaatteiden vastaista tapahtumaa tai tekoa (esimerkiksi virushyökkäystä), tietojärjestelmämurtoa tai tietovuotoa. (28) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 29-3 1 ) (29) Valvottavan tietoturvallisuuden tason arvioinnin tulee perustua tietoturvallisuuteen liittyvien riskien säännönmukaiseen arviointiin. Riskiarvioita tehtäessä tulee määritellä, mitkä ovat valvottavan keskeiset toiminnot ja resurssit, mitkä ovat niiden uhat, kuinka haavoittuvia valvottavan toiminnot ja resurssit ovat näille uhkille sekä miten uhkat toteutuessaan vaikuttavat valvottavan toimintaan. Havaittujen riskien hallitsemiseksi tulee rakentaa riittävät kontrollit. Käyttöönotettavien uusien tekniikoiden ja palvelujen riskit tulee myös arvioida.

25 (39) (30) Tietoturvallisuusriskien arviointi tulee liittää osaksi valvottavan riskienhallintaa, jotta voidaan taata, että hallitus ja toimiva johto saavat käsityksen liiketoiminnassa otettujen kaikkien merkittävien riskien yhteisvaikutuksesta. (31) Tietoturvatapaukset on tunnistettava, analysoitava, arkistoitava ja raportoitava organisaatiossa määrätylle vastuutaholle. 6.2.3 Tietoturvallisuutta koskeva ohjeistus ja koulutus (32) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 33-3 4 ) (33) Valvottavalla on oltava ajantasaiset hallituksen hyväksymät tietoturvallisuusperiaatteet sekä niitä tukeva tietoturvallisuusohjeistus, joka tulee saattaa valvottavan työntekijöiden tietoon. (34) Valvottavan tulee määritellä kunkin työntekijän tietoturvallisuusvastuut selkeästi sekä antaa työntekijöille säännöllisesti tietoturvallisuuskoulutusta. Tietoturvallisuuden kehittämisen on oltava jatkuva prosessi ja sille on määriteltävä selkeät esimiesvastuut. OHJE (KOHTA 35) (35) Esimerkkejä tietoturvallisuusohjeistuksesta ovat muun muassa ohjeet käyttövaltuuksien hallinnoinnista, haittaohjelmien torjunnasta sekä Internetin ja sähköpostin käytöstä. 6.2.4 Tietoturvallisuuden varmistaminen tietoverkoissa (36) Verkkopalvelujen turvallisuus koostuu muun muassa palveluissa käytettyjen toimintamallien, kuten manuaalisten työvaiheiden, käytettyjen sovellusten, teknisten järjestelmien ja tietoliikenneyhteyksien turvallisuudesta. (37) Finanssivalvonta antaa luvussa 2.3 mainittujen määräystenantovaltuutusten nojalla seuraavat määräykset riskien hallinnan järjestämisestä. MÄÄRÄYS (KOHDAT 38-3 9 ) (38) Valvottavan tulee arvioida palvelujen sopivuus tietoverkkoon ennen kuin olemassa olevia palveluja viedään tietoverkkoon tai uusia palveluja otetaan käyttöön tietoverkossa, Palveluihin liittyvät keskeiset riskit sekä niiden hallintakeinot tulee dokumentoida ja tarvittavat kontrollit tulee rakentaa riskien hallitsemiseksi. Verkkoliiketoimintaan, tietojärjestelmiin ja sisäisiin toimintaprosesseihin liittyvä sisäinen valvonta ja riskienhallinta tulee suunnitella ja rakentaa niin, että siinä otetaan huomioon organisaation toiminnan luonne ja laajuus sekä toiminnan uhkatekijät. (39) Valvottavan tulee arvioida verkkoliiketoimintaan liittyvät kokonaisriskit säännöllisin väliajoin. Valvottavan tulee jatkuvasti arvioida ja kehittää tietojärjestelmiään sekä niiden tietoturvallisuutta sekä suojautua riittävän hyvin erilaisten häiriöiden ja mahdollisten väärinkäytösten varalta.