Standardi 4.4b Operatiivisten riskien hallinta Määräykset ja ohjeet
Miten luet standardia Standardi on aihealueittainen määräysten ja ohjeiden kokonaisuus, joka velvoittaa tai ohjaa valvottavia ja muita rahoitusmarkkinoilla toimivia, osoittaa valvojan tavoitteena olevan laatutason ja näkemyksen hyvästä menettelytavasta sekä perustelee sääntelyä. Standardin jokaisella kappaleella on oma marginaalimerkintänsä: Normi: Viittaus voimassa olevaan lain tai asetuksen säännökseen. : Ratan määräyksenantovaltuutensa nojalla antama velvoittava määräys valvottavalle tai muulle rahoitusmarkkinoilla toimivalle. Suositus: Ratan suositusluonteinen toimintaohje valvottavalle tai muulle rahoitusmarkkinoilla toimivalle. Soveltamisohje/-esimerkki: Normiin, an tai Suositukseen liittyvä käytännön soveltamisohje tai esimerkki. Viittaus Ratan standardiin tai standardin osaan. Katso viereinen esimerkki. Perustelu: Avaa sääntelyn ja säännösten tarkoitusta, tavoitteita ja taustaa. Oheinen kuva on vain näyte standardista Ratan standardit luettavissa
dnro 3/120/2004 3 (3) SISÄLLYSLUETTELO 1 Soveltaminen 5 2 Tavoitteet 7 3 Kansainvälinen viitekehys 8 4 Normiperusta 9 5 Operatiivisten riskien hallinnan järjestäminen 12 5.1 Operatiivisten riskien määritelmä 12 5.2 Operatiivisten riskien hallinnan organisointi ja valvonta 13 5.3 Operatiivisten riskien hallinnan perusteet 14 5.3.1 Operatiivisten riskien tunnistaminen 14 5.3.2 Operatiivisten riskien arviointi ja rajoittaminen 14 5.4 Uuden tuotteen tai palvelun hyväksymismenettely 15 5.5 Operatiivisten riskien seuranta ja raportointi 16 6 Operatiivisten riskien hallinnan osa-alueita 19 6.1 Prosessit 19 6.2 Oikeudellinen riski 20 6.3 Henkilöstö 21 6.4 Jatkuvuussuunnittelu 22 6.5 Varautuminen poikkeusoloihin 23 6.6 Tietojärjestelmät 27
dnro 3/120/2004 4 (4) 6.7 Tietoturvallisuus 28 6.7.1 Tietoturvallisuuden määritelmä ja perusvaatimukset 28 6.7.2 Tietoturvallisuusvastuut ja organisointi 29 6.7.3 Tietoturvallisuuteen liittyvien riskien arviointi 29 6.7.4 Tietojen ja järjestelmien omistajuus 29 6.7.5 Käyttövaltuudet 30 6.7.6 Tietoturvallisuusohjeistus ja koulutus 30 6.7.7 Tietoturvatapausten käsittely 30 6.7.8 Tietoturvallisuuden varmistaminen tietoverkoissa 30 6.7.9 Tietoturvallisten palveluiden rakentaminen 31 6.8 Maksujärjestelmät ja maksujenvälitys 33 6.9 Rahoitusjärjestelmän lainvastaisen hyväksikäytön estäminen 34 6.9.1 Asiakkaan tunnistamis- ja tuntemisjärjestelmään kuuluvat velvoitteet 35 6.9.2 Organisointi, vastuusuhteet ja raportointi 36 6.9.3 Sisäiset ohjeet 36 6.9.4 Henkilöstön koulutus 37 7 Raportointi Rahoitustarkastukselle 38 8 Määritelmät 39 9 Lisätiedot 43 10 Standardin muutoshistoria 44
dnro 3/120/2004 5 (5) 1 SOVELTAMINEN (1) Standardia sovelletaan Rahoitustarkastuksesta annetun lain (587/2003) 5 :n tarkoittamiin valvottaviin. Sitoviksi merkityt kohdat velvoittavat seuraavia Rahoitustarkastuksen valvottavia: luottolaitoksia sijoituspalveluyrityksiä rahastoyhtiöitä luottolaitosten ja sijoituspalveluyritysten omistusyhteisöjä osuuspankeista ja muista osuuskuntamuotoisista luottolaitoksista annetussa laissa (1504/2001) tarkoitettuja keskusyhteisöjä. (2) Lisäksi sitoviksi merkityt kappaleet velvoittavat rahoitusalapainotteisten rahoitus- ja vakuutusryhmittymien emoyrityksiä. (3) Standardin lukua 6.5. sovelletaan niihin valvottaviin ja yhteisöihin, jotka ovat velvollisia varautumaan valmiuslain (1080/1991) tarkoittamiin poikkeusoloihin. Näitä ovat luottolaitokset ja sellaiset rahoituslaitokset, jotka pääasiallisena liike- maksukortti- ja maksamispalveluja toimintanaan tarjoavat rahastoyhtiöt ulkomaisten luottolaitosten sivukonttorit ja sellaisten ulkomaisten rahoituslaitosten sivukonttorit, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja arvopaperikeskus. Varautumista koskevat rajaukset on mainittu niissä laeissa, joissa edellä mainittujen toimijoiden varautumisvelvollisuudesta on säädetty. Lisäksi Rahoitustarkastus suosittelee, että arvopaperipörssi sekä selvitysyhtei- sö noudattaisivat standardin lukua 6.5.
dnro 3/120/2004 6 (6) (4) Standardin soveltamisalaan kuuluvat yhteisöt poikkeavat toisistaan mm. toiminnan laajuudeltaan, organisaatioltaan ja asiakasrakenteeltaan sekä rahoituspalveluiden lukumäärän ja monimutkaisuuden suhteen. Siksi operatiivisten riskien hallinnassa ja valvonnassa voi olla erilaisia käytännön ratkaisuja toiminnan painopisteiden ja erityispiirteiden mukaan. (5) Standardissa esitetyt riskien hallinnan keskeiset periaatteet ovat sitovia. Periaatteita täsmentäviä yksityiskohtaisia määräyksiä on mahdollista noudat- taa soveltuvin osin, jos valvottavan organisaatio on pieni, jos liiketoimintasuunnitelmassa vahvistettu riskinottotaso on alhainen, jos valvottavan liike- on suppeata, yksinkertaista tai muuten läpinäkyvää tai jos toimiva toiminta johto osallistuu aktiivisesti päivittäisen liiketoiminnan päätöksentekoon. Jotta sitovia säännöksiä voidaan noudattaa vain soveltuvin osin, tarvitaan aina ylimmän johdon erityinen päätös. Valvottavan pitää aina varmistaa, että sisäinen valvonta ja riskienhallinta ovat riittäviä ja oikeassa suhteessa operatiivisiin riskeihin. (6) Mahdollisuus soveltaa standardia soveltuvin osin ei koske rahoitusjärjestelmän lainvastaisen hyväksikäytön estämistä käsittelevää standardin lukua 6.9, koska siinä mainitut periaatteet perustuvat sitoviin säädöksiin. (7) Samaan konsolidointiryhmään kuuluvilla yhteisöillä pitää olla yhteneväiset riskienhallintaperiaatteet. Rahoitusalapainotteisen rahoitus- ja vakuusryhmit- emoyrityksen tulee varmistaa, että ryhmittymän kaikilla yrityksillä on tymän toimintaansa nähden riittävät riskienhallintajärjestelmät. (8) Standardissa käytetään yleisnimitystä "valvottava" kaikista standardin soveltamisalaan kuuluvista yhteisöistä.
dnro 3/120/2004 7 (7) 2 TAVOITTEET (1) Tässä standardissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Lähemmin tarkastellaan prosessien hallintaan, henkilöstöön, tieto- ja maksujärjestelmiin, tietoturvallisuuteen, jatkuvuussuunnitteluun, oikeudellisiin riskeihin sekä rahoitusjärjestelmän lainvastaisen hyväksikäytön estämiseen liittyviä erityisalueita. (2) Teknologian kehitys, tuotteiden ja palveluiden kehittyminen, uudet riskienhallintamenetelmät, toimintojen ulkoistaminen, yritysjärjestelyt sekä toi- kansainvälistyminen ovat monimutkaistaneet toimintaympäristöä ja mintojen lisänneet operatiivisia riskejä rahoitus- ja sijoituspalveluiden tuottamisessa. (3) Operatiivisten riskien hallintaa koskevan sääntelyn ja tämän standardin tavoitteena on varmistaa seuraavat asiat: Valvottava tunnistaa toimintaansa liittyvät operatiiviset riskit. Valvottava järjestää operatiivisten riskien hallinnan toimintansa laajuuden ja luonteen asettamien vaatimusten mukaisesti (organisointi, periaatteet ja menettelytavat, seuranta ja raportointi). Valvottava huolehtii riittävästä tietohallinnon ja tietoturvallisuuden tasosta. Valvottava huolehtii rahoitusjärjestelmän lainvastaisen hyväksikäytön estämisestä. (4) Operatiiviseen riskiin liittyvien vahinkojen ja tapahtumien ilmoittaminen Rahoitustarkastukselle on ohjeistettu raportointistandardissa RA4.2.
dnro 3/120/2004 8 (8) 3 KANSAINVÄLINEN VIITEKEHYS (1) Standardin luku 5 "Operatiivisten riskien hallinnan järjestäminen" pohjautuu pääosin Baselin pankkivalvontakomitean helmikuussa 2003 antamaan suositukseen "Sound Practices for the Management and Supervision of Opera- tional Risk" (Basel Committee Publications No. 96). Tätä suositusta on käytetty lähteenä myös luvun 6 alaluvussa 6.4 "Jatkuvuussuunnittelu". (2) Standardin alaluku 6.9 "Rahoitusjärjestelmän lainvastaisen hyväksikäytön estäminen" perustuu seuraaviin suosituksiin: Financial Action Task Force on Money Launderingin (FATF) 40 rahanpesun vastaista suositusta vuodelta 2003 FATFin kahdeksan terrorismin rahoituksen vastaista suositusta vuodelta 2001 Baselin pankkivalvontakomitean suositus, numero 15 Core Principles for Effective Banking Supervision (9/1997) ja Core Principles Methodology (10/1999) Baselin pankkivalvontakomitean suositus Customer due diligence for banks 10/2001 The Committee of European Securities Regulatorsin (CESR) (A European regime of investor protection) The Harmonisation of Conduct of Business rules (CESR/01-014D, 4/2002). (3) Standardin alaluvun 6.7 "Tietoturvallisuus" lähteenä on käytetty Baselin pankkivalvontakomitean heinäkuussa 2003 antamaa suositusta "Risk Management Principles for Electronic Banking" (Basel Committee Publications No. 98). (4) Alaluku 6.8 "Maksujärjestelmät ja maksujenvälitys" G10-maiden keskuspankkien muodostama komitea Committee on Payment and Settlement Systems (CPSS) on antanut tammikuussa 2001 suosituksen "Core Principles for Systemically Important Payment Systems" (CPSS publications No. 43).
dnro 3/120/2004 9 (9) 4 NORMIPERUSTA (1) Riskienhallintaa koskeva kansallinen sääntely perustuu seuraaviin EU:n direktiiveihin: Euroopan parlamentin ja neuvoston direktiivi 2006/48/EY luottolaitosten liiketoiminnan aloittamisesta ja harjoittamisesta (32006L0048); EUVL N:o L 177, 30.6.2006, s. 1 sekä Euroopan parlamentin ja neuvoston direktiivi 2006/49/EY sijoituspal- veluyritysten ja luottolaitosten omien varojen riittävyydestä (32006L0049); EUVL N:o L 177, 30.6.2006, s.201. (2) Riskienhallintaa koskevat yksityiskohtaiset määräykset sisältyvät direktii- 2006/48/EY 22 artiklaan ja V liitteeseen, jotka koskevat luottolaitoksen vin luotettavan hallinnon, sisäisen valvonnan ja riskienhallinnan järjestämistä osana luottolaitoksen toiminnan aloittamisen edellytyksiä. Direktiivin 2006/48/EY liite V sisältää tarkentavia vaatimuksia päätöksenteko-, ohjausja valvontajärjestelmistä sekä riskien luokittelusta ja käsittelystä. (3) Asiakkaan tunnistamisesta ja tuntemisesta sekä huolellisuusvelvollisuu- desta rahoitusjärjestelmän lainvastaisen hyväksikäytön estämiseksi on säädetty seuraavissa EU:n direktiiveissä: neuvoston direktiivi rahoitusjärjestelmän rahanpesutarkoituksiin käyt- tämisen estämisestä 91/308/ETY (31991L0308); EYVL N:o L 166, 28.6.1991, s.77 Euroopan parlamentin ja neuvoston direktiivi 2001/97/EY rahoitusjärjestelmien rahanpesutarkoituksiin käyttämisen estämisestä annetun neuvoston direktiivin 91/308/ETY muuttamisesta (32001L0097); EYVL N:o L 344, 28.12.2001, s.76. (4) Vastaavat vaatimukset koskevat sijoituspalveluyrityksiä sijoituspalveluyritysten ja luottolaitosten oman pääoman riittävyydestä annetun neuvoston direktiivin 34 artiklan perusteella. Sen mukaan jokaisen sijoituspalveluyrityksen on täytettävä direktiivin 2006/48/EY artiklan 22 vaatimukset.
dnro 3/120/2004 10 (10) (5) Riskienhallinnasta, ml. operatiivisten riskien hallinta, on säädetty kansalli- on vakavaraisuuden hallin- sesti luottolaitostoiminnasta annetun lain (121/2007) (jäljempänä luottolaitoslaki) 49 :n 1 momentissa, joka sisältää yleissäännöksen riskienhallinnasta. Konsolidointiryhmää koskeva vastaava säännös sisältyy lain 74 :ään. luottolaitostoiminnasta annetun lain (121/2007) 54 :n 2 momentissa, joka edellyttää, että luottolaitoksella nan ja riskienhallinnan periaatteet ja menettelytavat. Konsolidointiryhmää koskeva vastaava säännös sisältyy lain 78 :n 2 momenttiin. sijoituspalveluyrityksistä annetun lain (579/1996) 31 :n 1 momen- sitissa jonka mukaan edellä mainittuja luottolaitoslain pykäliä sovelletaan myös sijoituspalveluyrityksiin sijoitusrahastolain (48/1999) 30 a :n 1 momentissa, joka sisältää säistä valvontaa ja riittäviä riskienhallintajärjestelmiä koskevat vaa- timukset osuuspankeista ja muista osuuskuntamuotoisista luottolaitoksista an- valvonnasta annetun lain netun lain 5 :ssä, joka sisältää yleissäännöksen riskienhallinnasta rahoitus- ja vakuutusryhmittymien (699/2004) 16 :n 1 ja 2 momenteissa, jotka sisältävät yleissään- nöksen riskienhallinnasta. (6) Rahoitustarkastuksen ohjeet poikkeusoloihin varautumisesta perustuvat seuraaviin säännöksiin: laki luottolaitostoiminnasta (121/2007) 123 sijoitusrahastolaki (48/1999) 4a laki ulkomaisen luotto- ja rahoituslaitoksen toiminnasta Suomessa (1608/1993) 13a laki arvo-osuusjärjestelmästä (826/1991) 13a. (7) Asiakkaan tunnistamisesta ja tuntemisesta sekä huolellisuusvelvollisuu- desta rahoitusjärjestelmän lainvastaisen hyväksikäytön estämiseksi on sää- detty kansallisesti: luottolaitostoiminnasta annetun lain 45 :n 1 ja 2 momentissa sijoituspalveluyrityksistä annetun lain 49 :n 1 ja 2 momentissa) sijoitusrahastolain 144 :ssä arvo-osuusjärjestelmästä annetun lain 29 b :ssä laissa rahanpesun estämisestä ja selvittämisestä (68/1998) sisäasiainministeriön asetuksessa rahanpesun estämisestä ja selvittämisestä (890/2003). (8) Rahoitustarkastuksen oikeus antaa standardin aihepiiriä koskevia sitovia määräyksiä perustuu seuraaviin säännöksiin:
dnro 3/120/2004 11 (11) luottolaitostoiminnasta annetun lain (121/2007) 93 :n 1 momenttiin ja 145 :n 3 momenttiin sijoituspalveluyrityksistä annetun lain (579/1996) 31 :n 1 moment- (48/1999) 30a :n 3 momenttiin ja 144 :n 3 tiin ja 49 :n 3 momenttiin sijoitusrahastolain momenttiin rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain (699/2004) 16 :n 3 momenttiin arvo-osuusjärjestelmästä annetun lain 29b :n 3 momenttiin (826/1991).
dnro 3/120/2004 12 (12) 5 OPERATIIVISTEN RISKIEN HALLINNAN JÄRJESTÄMINEN 5.1 Operatiivisten riskien määritelmä Perustelu Perustelu Perustelu Perustelu Suositus (1) Operatiivisten riskien hallinta on osa valvottavan riskienhallintaa. Liiketoi- arvi- minnasta aiheutuvat ja siihen olennaisesti liittyvät riskit tulee tunnistaa, oida, mitata, rajoittaa ja valvoa. Riskienhallinnalla pyritään vähentämään enden todennäköisyyttä tai uhkaa valvottavan nakoimattomien tappioi maineelle. (2) Operatiivisilla riskeillä tarkoitetaan tappionvaaraa, joka aiheutuu riittämättömistä tai epäonnistuneista sisäisistä prosesseista henkilöstöstä järjestelmistä ulkoisista tekijöistä. Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on tässä rajattu operatiivisten riskien ulkopuolelle. (3) Operatiivisen riskin aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi myös toteutua viiveellä ja ilmetä välillisesti esimerkiksi valvottavan maineen ja arvostuksen heikkenemisenä. (4) Operatiiviset riskit poikkeavat luonteeltaan luotto- ja markkinariskeistä. Operatiivisten riskien hallinta on yleensä riskien minimoimista. Rajanveto eri riskialueiden välillä ei aina ole mahdollista. Esimerkiksi luotto- ja kaupankäyn- tiprosessien eri vaiheisiin sisältyy sekä operatiivisia riskejä että luotto- ja markkinariskejä. (5) Valvottavan on tarpeen laatia sen omasta liiketoiminnasta johdettu operatiivisten riskien määritelmä, jossa otetaan huomioon valvottavan toiminnan erityispiirteet.
dnro 3/120/2004 13 (13) 5.2 Operatiivisten riskien hallinnan organisointi ja valvonta (6) Operatiivisia riskejä on hallittava ja arvioitava itsenäisenä riskialueena. Ylimmän johdon on hyväksyttävä operatiivisten riskien hallinnan periaatteet, ja niitä on määräajoin arvioitava uudelleen niin, että otetaan huomioon muutokset toimintaympäristössä ja valvottavan omassa liiketoiminnassa. Periaatteiden tulee kattaa operatiivisten riskien tunnistaminen sekä riskien arvioinnissa, valvonnassa ja rajoittamisessa käytettävät menettelyt. Operatiivisten riskien hallinnan periaatteissa on määriteltävä tärkeimmät operatiivisten riskien hallintaprosessit. (7) Ylimmän johdon on oltava selvillä valvottavan eri liiketoiminta-alueiden tärkeimmistä operatiivisista riskeistä. Osana sisäisen valvonnan järjestämistä ylimmän johdon on saatava säännöllisesti raportit valvottavan tärkeimmistä operatiivisista riskeistä. (8) Toimivan johdon on huolehdittava operatiivisten riskien hallinnan periaatteiden käytännön toteuttamisesta kaikissa valvottavan toiminnoissa, ja sen on varmistettava, että jokainen työntekijä tunnistaa omaan toimintaansa liittyvät operatiiviset riskit ja niiden hallintaan liittyvät menettelytavat. Toimiva johto vastaa valvottavan tuotteisiin, palveluihin, toimintoihin, prosesseihin sekä järjestelmiin liittyvien operatiivisten riskien hallinnan menettelytapojen kehittämisestä ja ylläpidosta. (9) Liiketoimintayksiköiden ja muiden operatiivisten riskien hallinnasta vastaavien toimintojen vastuu- ja raportointisuhteiden on oltava selkeät ja kattavat. Riskinoton valvonnasta vastaa riskiä ottavasta liiketoiminnasta ja riskienhallinnasta riippumaton riskienhallinnan arviointitoiminto. 1 (10) Ylimmän ja toimivan johdon on edistettävä sellaisen yrityskulttuurin muodostumista, joka hyväksyy sisäisen valvonnan normaalina ja tarpeellisena osana yritystoimintaa. Tehokas sisäinen valvonta edellyttää, että työtehtävät ja päätöksenteko on asianmukaisesti eriytetty. (11) Ylimmän johdon on huolehdittava, että sisäinen tarkastus arvioi säännöllisesti valvottavan operatiivisten riskien hallinnan tehokkuutta ja kattavuutta. Sisäinen tarkastus toimintona ei saa olla välittömästi vastuussa operatiivisten riskien hallinnasta. 1 Rahoitustarkastus; Standardi 4.1, Sisäisenvalvonnan ja riskienhallinnan järjestäminen, kappale 5.3. "Riskienhallinnan arviointitoiminto ylläpitää, kehittää ja valmistelee riskienhallinnan periaatteita ylimmän johdon vahvistettaviksi sekä laatii menetelmiä käytettäväksi riskien arvioimisessa ja mittaamisessa. Sen on jatkuvasti varmistettava, että jokainen riski pysyy sallituissa rajoissa ja että jokaista riskiä mittaavat menetelmät ovat asianmukaiset. Riskienhallinnan arviointitoiminnon on myös varmistettava, että kaikkien liiketoiminnassa otettujen merkittävien riskien yhteisvaikutus valvottavan ja sen konsolidointiryhmän tulokseen ja omiin varoihin raportoidaan ylimmälle ja toimivalle johdolle."
dnro 3/120/2004 14 (14) (12) Operatiivisten riskien hallintaa järjestettäessä tulee noudattaa myös Rahoitustarkastuksen määräyskokoelman Vakavaraisuus ja riskienhallinta -pääjaksoon kuuluvia standardeja 4.1 Sisäinen valvonta ja riskienhallinta, 4.2 Valvottavan vakavaraisuuden hallinta sekä 4.3i Operatiivisen riskin vakavaraisuusvaatimus. 5.3 Operatiivisten riskien hallinnan perusteet 5.3.1 Operatiivisten riskien tunnistaminen (13) Valvottavan on tunnistettava liiketoiminta-alueittain kaikkiin merkittäviin tuotteisiinsa, palveluihinsa, toimintoihinsa, prosesseihinsa ja järjestelmiinsä liittyvät operatiiviset riskit. Operatiivisten riskien tunnistaminen luo perustan niiden valvonnalle ja niitä koskevien kontrollien suunnittelulle. 5.3.2 Operatiivisten riskien arviointi ja rajoittaminen Perustelu (14) Operatiivisista riskeistä aiheutuvia tappioita voidaan vähentää toisaalta pienentämällä riskien toteutumisen todennäköisyyksiä sekä toisaalta pienentämällä valvottavan haavoittuvuutta riskin toteutuessa. Riskin toteutumisen todennäköisyys X Vahinko riskin toteutuessa, = vaikutus Tappion odotusarvo Soveltamisesimerkki Soveltamisesimerkki (15) Operatiivisten riskien arvioinnissa on toiminnoittain otettava huomioon riskien toteutumisen todennäköisyys ja vaikutukset vahingon sattuessa. (16) Tärkeimmistä tunnistetuista operatiivisista riskeistä on valvottavan päätettävä, miten näitä riskejä valvotaan, kannetaanko riskit sellaisenaan, pyritäänkö riskejä vähentämään vai vetäydytäänkö operatiivisia riskejä aiheuttavasta liiketoiminnasta. (17) Riskien arvioinnissa analysoidaan haitallisesti vaikuttavia sisäisiä ja ulkoisia tekijöitä. Sisäisiä tekijöitä ovat esimerkiksi valvottavan rakenne, organisaatiomuutokset, tarjottavien tuotteiden tai palveluiden monimutkaisuus, henkilöstön ammattitaito ja vaihtuvuus. Ulkoisia tekijöitä ovat esimerkiksi teknologian kehitys ja toimintojen kansainvälisyys. (18) Ennalta sovittujen menettelytapojen käyttö riskien arvioinnissa parantaa arvioinnin tasoa. Sovellettavia menetelmiä voivat olla määrämuotoiset itsearpuh. 010 831 51
dnro 3/120/2004 15 (15) viointilomakkeistot, vahinkotilastointi sekä itselle tai muille sattuneiden vahinkojen läpikäynti. Kun tarkastellaan muille osapuolille sattuneita vahinkoja vertaamalla niitä valvottavan omaan toimintaan, on mahdollista selvittää, olisiko jossain valvottavan omassa yksikössä voinut tapahtua vastaavaa, mitä siitä olisi voinut aiheutua sekä miten vahinkoja voitaisiin estää. (19) Operatiivisista riskeistä aiheutuvia vahinkoja voidaan rajoittaa myös vakuutuksilla. Toimivan johdon on huolehdittava siitä, että vakuutusturvan riittävyyttä ja kustannuksia arvioidaan säännöllisesti niin, että otetaan huomioon muutokset valvottavan liiketoiminnassa. Lisäksi tulee arvioida vakuutussopimuksista aiheutuvia vastapuoliriskejä sekä vakuutusyhtiöiden vakavaraisuutta. Toiminnan merkittäviin häiriöihin varaudutaan jatkuvuussuunnittelulla. 5.4 Uuden tuotteen tai palvelun hyväksymismenettely Soveltamisohje Suositus Soveltamisohje/-esimerkki (20) Uuden tuotteen tai palvelun riskit on arvioitava ennen käyttöönottoa. Arviointi on tehtävä myös uuden palvelumallin käyttöönoton yhteydessä, jos tuotteita ja palveluita on yhdistelty uudella tavalla. Sisäiseen valvontaan ja riskienhallintaan on tehtävä uusien tuotteiden tai palveluiden vaatimat muutokset. Valvottavan on oltava erityisen huolellinen laajentaessaan liiketoimintaansa markkina-alueelle, josta sillä ei ole aikaisempaa kokemusta. Tällöin on myös huolehdittava, että uusi toiminta kuuluu valvottavalle sallitun liiketoiminnan piiriin. (21) Valvottavan on ohjeistettava uuden tuotteen tai palvelun hyväksymismenettely. Päätös uuden tuotteen tai palvelun käyttöönotosta tehdään vahvistettujen päätöksentekovaltuuksien mukaisesti. Päätökseen liitetään syntynyt dokumenttiaineisto. (22) Uuden tuotteen tai palvelun hyväksymismenettelyn on katettava seuraavia asioita: kuvaus tuotteesta tai palvelusta tuotteen tai palvelun sopivuus toimintastrategiaan riskikartoitukset (arviot tuotteeseen/palveluun liittyvistä riskeistä) sisäisen valvonnan ja riskienhallinnan järjestäminen (ainakin seuraavat riskialueet: luottoriski, markkinariski, likviditeettiriski, operatiiviset riskit) tuotteeseen tai palveluun liittyvien prosessien läpikäynti (esimerkiksi tarjousvaihe, asiakkaan tunnistaminen, myynti, tuotanto, selvitys- ja maksuliikenne) oikeudelliset kysymykset, sopimuksentekovaltuudet tietotekniikka, tietoliikenne ja tietoturva ulkoinen ja sisäinen laskenta
dnro 3/120/2004 16 (16) verotusnäkökohdat hinnoittelu, mahdolliset arvostukset ja hinnoittelumallien käyttö arvio vaikutuksista kannattavuuteen ja vakavaraisuuteen koulutus ja ohjeistus. 5.5 Operatiivisten riskien seuranta ja raportointi Soveltamisesimerkki Soveltamisohje/-esimerkki Suositus (23) Valvottavan on säännöllisesti seurattava ja arvioitava havaitsemiensa operatiivisten riskien luonnetta, riskien toteutumisen todennäköisyyksiä ja tappion määrää riskien mahdollisesti toteutuessa. Lisäksi on luotava ennakoivat menettelyt ja mittarit operatiivisten riskien havaitsemiseksi. (24) Valvottavan on syytä arvioida operatiivisten riskien kasvua ennakoivia tekijöitä. Näitä ovat esimerkiksi merkittävä muutos liiketoiminnan laajuudessa, uusien tuotteiden tai palveluiden käyttöönotto, työntekijöiden suuri vaihtuvuus, avoimien paikkojen vaikea tai hidas täyttäminen, asiakasvalitukset sekä lisääntyneet toiminta- tai palvelukatkokset. Laskentajärjestelmistä ja muista tietojärjestelmistä saatavaa informaatiota on syytä hyödyntää, kun arvioidaan operatiivisten riskien kasvua ennakoivia tekijöitä. (25) Toimivan johdon on saatava säännöllisesti raportteja operatiivisista riskeistä ja toteutuneista vahingoista. Valvottavan tulee laatia raportointiohjeet. (26) Raporttien tulee sisältää taloudellista informaatiota, laadullisia analyysejä, arvioita sisäisten ja ulkoisten ohjeiden noudattamisesta sekä tietoa päätöksenteon kannalta merkittävistä ulkoisista tapahtumista ja toimintaympäristön muutoksista. Raporteista tulee ilmetä todetut ongelma-alueet, niiden perusteella tulee voida arvioida muutoksia operatiivisten riskien määrässä sekä niiden tulee tukea ennakoivaa riskienhallintaa. (27) Toimivan johdon on säännöllisesti arvioitava käytettyjen menetelmien ja raportointijärjestelmien ajanmukaisuutta, tarkkuutta ja tarkoituksenmukaisuutta. Raportoinnin sisällön laajuutta ja yksityiskohtaisuutta sekä raporttien jakelua ja raportointitiheyttä on säännöllisesti arvioitava. (28) Sisäisen tappiotiedon keräämistä koskeva sitova säännös Rahoitustarkastuksen standardin 4.3i luvussa 9.2.1 koskee vain kehittyneen menetelmän käyttöönottaneita valvottavia. Rahoitustarkastus suosittaa kuitenkin, että kaikki valvottavat aloittaisivat jo ennalta tappiotietojen keräämisen ja sisäisen tappiotiedoston rakentamisen, jotta mahdollinen siirtyminen kehittyneempiin menetelmiin tulevaisuudessa mahdollistuisi. Tappiotietojen keräämisen voidaan katsoa tukevan merkittävästi operatiivisten riskien hallintaa.
dnro 3/120/2004 17 (17) Soveltamisohje/-esimerkki Suositus (29) Operatiivisten riskien aiheuttamien tappioiden seuranta voidaan järjestää jäljempänä olevan esimerkkitaulukon mukaisesti. Raportoitavia tietoja ovat esimerkiksi kuvaus tapahtumasta, tapahtumaan johtaneet syyt, arvio suorista ja epäsuorista kustannuksista, mahdolliset vakuutuskorvaukset sekä toimenpiteet vahingon ennaltaehkäisemiseksi jatkossa. Lisäksi on syytä raportoida, mihin toimenpiteisiin on vahingon vuoksi ryhdytty sekä kuka on vastuussa korjaavista toimista ja mikä on niiden aikataulu. (30) Seurannan ja raportoinnin olennaisuutta varten valvottavan on syytä määritellä rahamääräinen taso, jota suuremmat tapahtumat raportoidaan. Pienistäkin vahingoista on raportoitava, jos niillä on periaatteellista merkitystä. Tappiotyyppi Sisäiset väärinkäytökset Ulkopuolisen aiheuttamat vahingot Työolot, työturvallisuus Menettelytavoista aiheutuvat tappiot Omaisuusvahingot Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot Prosesseihin liittyvät ongelmat Esimerkkejä kavallus, petos, lahjuksen ottaminen, arvopaperimarkkinarikos tai -rikkomus, vahingonteko, valtuuksien puuttuminen (tai niiden ylittäminen), asiakastietojen väärinkäyttö, tahallinen position väärinraportointi, liikesalaisuuden rikkominen, kiristys varkaus, ryöstö, petos (esim. maksuvälineellä), väärennös, rahanpesu, murtautuminen tietojärjestelmään, haittaohjelman levittäminen, tietojärjestelmään kohdistuva palvelunestohyökkäys, pommiuhkaus, henkilöstöön kohdistuva uhkailu, kiristys työsopimuslain rikkomukset (mm. työaika, työturvallisuus), syrjinnästä aiheutuva korvausvaatimus, palkka-, korvaus- tai irtisanomisriidat, työmarkkinariidat lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta, luottamuksellisten asiakastietojen väärinkäyttö (esim. markkinointiin), tiedonantovelvollisuuden laiminlyönti asiakkaille, salassapitovelvollisuuden laiminlyönti, selonottovelvollisuuden laiminlyönti, toimeksiantojen säännösten vastainen toteuttaminen, asiakasvarojen säännösten vastainen käsittely, arvopaperimarkkinarikos tai rikkomus, rahanpesu tulipalo, vesivahinko, tulva ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko, ulkoisen palveluntuottajan häiriö raportointivirhe, virhe asiakastiedoissa, tallennusvirhe tietojärjestelmään, hinnoitteluvirhe, sopimuksen pätemättömyys, puutteellinen dokumentointi, asiapuh. 010 831 51
dnro 3/120/2004 18 (18) kirjan katoaminen, vakuushallinnan puutteet, asiakkaan toimeksiannon epäonnistunut toteutus, ulkoistetun palvelun häiriö, riita ulkopuolisen toimittajan kanssa, kirjanpitovirhe
dnro 3/120/2004 19 (19) 6 OPERATIIVISTEN RISKIEN HALLINNAN OSA-ALUEITA 6.1 Prosessit Perustelu Soveltamisohje/-esimerkki Voimaan: 1.10.2007 (1) Prosessi on tietyn palvelun tai suoritteen tuottamiseksi muodostettu toimintojen ja resurssien kokonaisuus. Prosessien hallintaan liittyy asiakastyyty- tehokkuus-, kannattavuus- ja laatunäkökohtia. Tässä standardissa väisyys-, keskitytään prosesseihin liittyvien operatiivisten riskien tunnistamiseen ja rajoittamiseen. Prosessien analysointi ja eri vaiheisiin liittyvien operatiivisten riskien arviointi auttavat valvottavaa tunnistamaan ja rajoittamaan operatiivisia riskejä. (2) Valvottavan on tunnistettava liiketoiminnan kannalta tärkeimmät proses- Erityistä huomiota prosesseissa on kiinnitettävä organisaatioyksiköiden sit. sekä eri yritysten välisiin rajapintoihin, maiden rajojen ylityksiin sekä maksu- liikenteeseen. Erityisesti suurivolyymisen tapahtumakäsittelyn riittävä dokumentointi ja ohjeistus on tärkeää. Prosessiin liittyvän ohjeistuksen on oltava riittävää ja ajantasaista. (3) Prosessien eri vaiheisiin on asetettava kontrollit ja niiden tasoa on säännöllisesti arvioitava, erityisesti kun toiminnan laajuus ja sisältö muuttuvat tai prosesseihin tehdään muutoksia. Esimerkkejä kontrolleista ovat täsmäytykset ja useamman kuin yhden henkilön osallistuminen tapahtuman käsittelyyn. (4) Liiketoiminnan kannalta tärkeimmistä prosesseista on tarpeen laatia mahdollisimman yhdenmukainen kirjallinen dokumentaatio, jossa kuvataan esimerkiksi prosessiin liittyvät tehtävät, vaiheet ja niiden keskinäiset riippuvuu- det, tieto- ja materiaalivirrat, raportointi, prosessin sidosryhmät (prosessin omistaja, asiakkaat, prosessiin osallistuva henkilöstö, organisaatioyksiköt, muut yritykset, muut sidosryhmät) sekä prosessiin liittyvät tietojärjestelmät.
dnro 3/120/2004 20 (20) Prosessikuvausten tarkkuustason valintaan on kiinnitettävä huomiota, sillä esimerkiksi liian yksityiskohtaiset kuvaukset voivat olla hankalia ylläpitää. Prosessikuvausten laadinnassa on hyödynnettävä eri osa-alueita edustavien henkilöiden osaamista. Prosessikuvaukset on päivitettävä säännöllisesti. Suositus (5) Myös projektien ja hankkeiden läpiviennissä on syytä noudattaa mahdolli- projekteista ja hankkeista pitää laa- simman yhtenäisiä periaatteita. Tärkeistä tia riskiarviot etukäteen. 6.2 Oikeudellinen riski Perustelu (6) Oikeudellinen riski on operatiivinen riski, joka voi aiheutua ulkoisten tekijöiden, kuten toimintaympäristön muutosten, sekä valvottavan oman toimin- nan vaikutuksesta. Oikeudellinen riski voi liittyä kaikkeen liiketoimintaan. Valvottavan toimintaan sovellettavien säädösten ja määräysten tulkintaan, soveltamisalaan sekä voimassaoloon liittyy epävarmuustekijöitä, joista voi aiheutua huomattavia tappioita ja joilla voi olla merkitystä valvottavan oikeudelliseen vastuuseen ja mahdolliseen korvausvelvollisuuteen. Lisäksi sopimusten voimassaoloon ja sisältöön liittyvät riitaisuudet voivat vaikuttaa haitallisesti val- toimintaan. Epäedullisista sopimuksista irtautumiseen ja korvaavan vottavan sopimuksen solmimiseen voi liittyä tappion vaara. Tämä koskee erityisesti vakioehtoisten sopimusten käyttöä. Myös valvottavan julkistamiin dokumentteihin, kuten esitteisiin ja mainontaan, voi liittyä vahingonkorvauksen mahdol- lisuus tai maineen ja arvostuksen heikkenemisen riski. (7) Valvottavan ylimmän johdon on tunnistettava toimintaan liittyvät merkittävät oikeudelliset riskit sekä varmistettava, että oikeudellisten riskien hallin ta on riittävällä tavalla järjestetty. Toimivan johdon on järjestettävä oikeudellisten riskien hallinta ja osoitettava tarvittavat voimavarat oikeudellisen riskin tunnistamiseen, seurantaan ja rajoittamiseen eri liiketoiminta-alueilla. Valvot- tulee olla riittävä asiantuntemus sekä valvottavaa koskevasta lainsää- tavalla dännöstä että viranomaisten antamista määräyksistä. Varsinkin keskeisten viranomaismääräysten asiantuntemus on oltava aina valvottavan palveluksessa olevilla henkilöillä. Oikeudellisen riskin hallintaa koskevien vastuusuhteiden on oltava selkeästi määritellyt. (8) Oikeudellisen riskin hallitsemiseksi valvottavalla on oltava sopimusten ja muiden oikeustoimien solmimista varten riittävä asiantuntemus. Sopimusten pätevyyden varmistamiseksi valvottavalla on oltava riittävä tietämys sopi- sekä niistä mahdollisesti johtuvia tulkintaerimielisyyksiä tai riitoja on seurat- muskumppanissa sovellettavista päätöksentekovaltuuksista. Sopimuksiin liittyvä aineisto on tarpeellisella tavalla arkistoitava ja sopimusten voimassaoloa tava.