Liite 2 1 (16) Esimerkki ohjeen/määräyksen rakenteesta FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMA x.x Sisäinen valvonta Sisäistä valvontaa koskevat määräykset ja ohjeet luottolaitoksille, vakuutusyhtiöille, työeläkevakuutusyhtiöille, rahastoyhtiöille, sijoituspalveluyrityksille, vakuutusyhdistyksille, eläkekassoille ja -säätiöille, lailla perustetuille eläkelaitoksille sekä omistusyhteisöille Annettu x.x.2010 Voimassa x.x.2010 lukien toistaiseksi Viimeksi muutettu x.x.2010 HUOM!!!! Tämä määräys/ohje on tehty havainnollistamaan uuden määräys- ja ohjekokoelman ehdotettua muotoa. Sisältöä on yhdistelty Ratan ja VVV:n määräyksistä ja ohjeista, mutta sen ei ole tarkoitus olla kattava esitys eikä Fivan kanta sisäisestä valvonnasta. Tekstissä on merkitty termillä "määräys" ne kohdat, jotka on tarkoitettu sitovaksi (määräyksiksi) ja termillä "ohje" ne osat, jotka on tarkoitettu suositukseksi (ohjeistusta, soveltamisohjeita tai esimerkkejä)
Liite 2 2 (16) NORMIPERUSTA/VALTUUTUSSÄÄNNÖS Finanssivalvonnan valtuutus antaa sitovia määräyksiä perustuu seuraaviin lainsäännöksiin. Vakuutusyhtiölaki 6 luku 10 3 kohta, 26 luku 21 1 kohta Vakuutusyhdistyslaki 10 luku 4 a 2 mom. Merimieseläkelaki184 3 mom. Maatalousyrittäjien eläkelaki 119 1 mom. Vakuutuskassalaki 77 Eläkesäätiölaki 42 Luottolaitoslain 2 :n 5 momenttiin ja 93 :n 1 momentti Sijoituspalveluyrityksistä annetun lain 35 :ä ja 46 :n 1 momentti (viittaussäännös luottolaitoslakiin) ja 2 momenttiin Sijoitusrahastolain 5 :n 5 momentti, 26 :n 3 momentti ja 30a :n 3 momentti sekä SRL:n 6 :n 5 momentti (omaisuudenhoitoa tarjoavia rahastoyhtiöitä koskeva viittaus sipal 46 :n 1 momenttiin ja sitä kautta LLL:iin) Osuuspankeista ja muista osuuskuntamuotoisista luottolaitoksista annetun lain 5 :ään ja 8 :n 5 momentti (vakavaraisuuden hallinta) Rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain 16 :n 3 momentti Arvopaperimarkkinalain 3 luvun 17 :n 3 momenttiin sekä 4 luvun 12 :n 4 momentti [Lisäksi kussakin sitovaa sisältävässä kohdassa tuodaan erikseen esiin juuri siihen valtuuttava säännös] LISÄTIEDOT Lisätietoja antaa Finanssivalvonnan instituutiovalvontaosasto. Finanssivalvonnan internet-sivuston "ten ja ohjeiden vastuuhenkilöt" -luettelossa on henkilökohtaiset yhteystiedot.
Liite 2 3 (16) SISÄLLYSLUETTELO 1. Yleistä / johdanto 2. Sisäisen valvonnan järjestäminen 2.1 Sisäinen valvonta 2.2 Vastuu sisäisen valvonnan järjestämisestä ja ylläpitämisestä 2.3 Liiketoiminnoista riippumattomien toimintojen järjestäminen 2.3.1 Riskienhallinnan arviointitoiminto 2.3.2 Säännösten noudattamisesta vastaava toiminto (compliance) 2.3.3 Sisäinen tarkastus 2.4 Sisäisen valvonnan osa-alueet 2.4.1 Johtamistapa ja valvontakulttuuri 2.4.2 Riskienhallinta (riskien tunnistaminen, arviointi, rajoittaminen ja valvonta) 2.4.3 Päivittäinen valvonta ja tehtävien eriyttäminen 2.4.4 Raportointi ja tiedonvälitys 2.4.5 Sisäisen valvonnan toimivuuden seuranta ja puutteiden korjaaminen 2.4.6 Järjestelmät ja turvallisuus 3. Raportointi Finanssivalvonnalle 4. Muutoshistoria 5. Kumotut määräykset ja ohjeet
Liite 2 4 (16) 1. YLEISTÄ / JOHDANTO Sisäisen valvonnan järjestämisellä on keskeinen merkitys Finanssivalvonnan valvottavien johtamisessa ammattitaitoisesti sekä terveiden ja varovaisten liikeperiaatteiden mukaisesti Sisäisen valvonnan järjestämistä koskevan sääntelyn tavoitteena on varmistaa, että valvottavan ja sen (konsolidointiryhmään kuuluvan yrityksen) sisäinen valvonta on riittävän korkeatasoista, että valvottava (ja sen konsolidointiryhmään kuuluva yritys) eivät toiminnassaan ota niin suurta riskiä, että siitä aiheutuu olennaista vaaraa valvottavan vakavaraisuudelle tai maksuvalmiudelle taikka konsolidoidulle vakavaraisuudelle, että valvottavan sisäiset valvontamenetelmät mahdollistavat liike-toimintaan liittyvien riskien havaitsemisen, arvioimisen ja rajoittamisen ja että valvottava noudattaa asiakassuhteissaan asianmukaisia menettelytapoja. Riskienhallinta on olennainen osa sisäistä valvontaa. Riskienhallinnan tehtävänä on varmistaa, että merkittävät riskit tunnistetaan, arvioidaan ja mitataan ja että niitä seurataan osana päivittäistä liiketoimintojen johtamista. Sisäisen valvonnan järjestäminen koskee kaiken tyyppisiä valvottavia, mutta sen käytännön toteuttamisessa on otettava huomioon laatu, laajuus ja monimuotoisuus.
Liite 2 5 (16) 2. SISÄISEN VALVONNAN JÄRJESTÄMIMEN (20.8.2010) 2.1 Sisäinen valvonta 1. Sisäinen valvonta käsittää taloudellisen ja muun valvonnan. Sisäistä valvontaa toteuttavat yrityksessä hallitus, toimitusjohtaja ja muu ylin johto sekä koko henkilökunta. Sisäisellä valvonnalla tarkoitetaan johtamisen ja toiminnan sitä osaa, jolla pyritään varmistamaan asetettujen päämäärien ja tavoitteiden saavuttaminen voimavarojen taloudellinen ja tehokas käyttö toimintaan liittyvien riskien riittävä hallinta taloudellisen ja muun johtamisinformaation luotettavuus ja oikeellisuus säännösten noudattamisen valvonta (compliance) toiminnan, tietojen sekä valvottavan omaisuuden ja asiakkaiden varojen riittävä turvaaminen riittävät ja asianmukaisesti järjestetyt manuaaliset ja tietotekniset järjestelmät toiminnan tueksi. 2.2 Vastuu sisäisen valvonnan järjestämisestä ja ylläpitämisestä 2. Kokonaisvastuu sisäisen valvonnan järjestämisestä on valvottavan hallituksella. Hallituksen tehtävänä on määrittää sisältö sisäiselle valvonnalle ja huolehtia sen organisoinnista. 3. Hallituksen tulee vuosittain arvioida, onko sisäinen valvonta asianmukaisesti järjestetty ja tarvittaessa ryhtyä korjaaviin toimenpiteisiin. 4. Konsernin emoyrityksenä olevan valvottavan hallituksen tulee vahvistaa yhteiset periaatteet koko konsernin tai ryhmittymän sisäiselle valvonnalle ja huolehtia, että näitä periaatteita noudatetaan. Tämä ei kuitenkaan poista yksittäisen valvottavan hallituksen vastuuta sisäisen valvonnan järjestämisestä omassa yrityksessään. 5. Sisäisen valvonnan tulee kattaa kaikki toiminnot ja sen tulee olla oikeassa suhteessa eri toimintojen sisältämiin riskeihin. 6. Toimiva sisäinen valvonta edellyttää, että luodaan selkeä, luotettava, tarpeellinen, oikeaaikainen ja tulevaisuuden huomioonottava raportointi. Raportoinnin, joka koskee tulosta ja olennaisia riskejä, tulee olla riippumaton raportoitavasta toiminnosta. 7. Valvottavan johdon tulee vahvistaa yritykselle organisaatio, jossa tehtävät, päätösvalta ja vastuu on asianmukaisesti jaettu ja raportointisuhteet selkeästi määritelty. Työnjaot ja tehtävänkuvat tulee määritellä siten, ettei kukaan yksin ilman asianmukaista valvontaa hoida toimenpidettä läpi koko käsittelyketjun. Vastuun määritykset on dokumentoitava kirjallisesti.
Liite 2 6 (16) Organisaatiorakenteen tulee olla sellainen, että se tukee tehokkaan sisäisen valvonnan ja riskienhallinnan järjestämistä. 8. Valvottavan tulee varmistaa, että hallintoelimet saavat tiedon olennaisista sisäisen tarkastuksen ja riskienhallintatoiminnon havainnoista sekä tilintarkastajien ja viranomaisten valvottavalle toimittamista tarkastushavainnoista. 9. Toiminnan jatkuvuuden varmistamiseksi ja varojen turvaamiseksi tulee valvottavalla olla tietoja muuta turvallisuutta koskien riittävät valvontatoimet. 1 10. Hallituksen ja toimitusjohtajan vastuualueet ja tehtävät määräytyvät yhteisölainsäädännön ja valvottavan yhtiöjärjestyksen tai sääntöjen perusteella. (23.12.2010) 2 11. Toiminnan asianmukaiseen järjestämiseen kuuluu myös riittävän ja toimivan sisäisen valvonnan järjestäminen ja ylläpito. 12. Tässä määräyksessä hallituksen tehtävien osalta on otettu huomioon se, että valvottavassa voi olla myös hallintoneuvosto. Silloin kun valvottavassa on hallintoneuvosto, on tärkeää, että hallituksen ja hallintoneuvoston välinen työnjako määritellään selvästi. 13. Sisäisen valvonnan järjestämisessä on tarpeen ottaa huomioon valvottavan toiminnan laatu ja laajuus, jota voidaan arvioida mm. liiketoiminnan volyymilla, liiketoiminnan moninaisuudella, liiketoiminnan maantieteellisellä ulottuvuudella, liiketoimintojen määrällä ja koolla sekä vakavaraisuuteen liittyvillä vaatimuksilla. 14. Koska vastuu ulkoistetuista toiminnoista säilyy toimintojen ulkoistajalla, sisäinen valvonta koskee myös soveltuvin osin niitä toimintoja, jotka valvottava on ulkoistanut. 2.3 Liiketoiminnoista riippumattomien toimintojen järjestäminen 15. Valvottavaan on järjestettävä seuraavat liiketoiminnoista riippumattomat toiminnot varmistamaan tehokas ja kattava sisäinen valvonta kaikille valvottavan toiminnan alueille: Riskienhallinnan arviointitoiminto (risk control function), Säännösten noudattamisen varmistamisesta vastaava toiminto (compliance function) ja sisäisen tarkastuksen toiminto (internal audit function). 1 Tässä ohjeet on koottu yhdeksi kokonaisuudeksi määräysten jälkeen. Asiayhteydestä riippuen ohjeistusta on mahdollista esittää myös tietyn määräyskohdan yhteydessä. 2 Alkuperäisestä voimaantulopäivämäärästä poikkeava voimaantulo (esim. muutostilanteissa) merkitään asianosaiseen kohtaan
Liite 2 7 (16) 16. Riskienhallinnan arviointitoiminnolla, compliance-toiminnolla ja sisäisen tarkastuksen toiminnolla on valvottavan toiminnan laatuun, laajuuteen ja monimuotoisuuteen nähden riittävät ja ammattitaitoiset henkilövoimavarat. 2.3.1 Riskienhallinnan arviointitoiminto 17. Riskinoton valvontaan on luotava riskiä ottavasta liiketoiminnasta riippumaton riskienhallinnan arviointitoiminto (x.x.2011) 18. Riskienhallinnan arviointitoiminnon on riskejä ja riskienhallintaa kontrolloimalla varmistettava, että valvottavassa noudatetaan hallituksen hyväksymiä riskienhallinnan periaatteita ja riskistrategiaa. Toiminnon tulee ylläpitää, kehittää ja valmistella riskienhallinnan periaatteita hallituksen vahvistettaviksi sekä suunnitella ja kehittää riskien ja riskienhallinnan kontrollointiin liittyviä menettelytapoja. Sen on valvottava, että jokainen riski pysyy vahvistetuissa rajoissa. Lisäksi sen on varmistettava, että jokaista riskiä mittaavat menetelmät ovat asianmukaiset ja luotettavat. Näiden menetelmien tulee myös sisältää poikkeuksellisten tilanteiden vaikutusten arviointia (stressitestejä). 19. Riskienhallinnan arviointitoiminnon on myös varmistettava, että kaikkien liiketoiminnassa otettujen merkittävien riskien yhteisvaikutus valvottavan ja sen konsolidointiryhmän tulokseen ja omiin varoihin raportoidaan hallitukselle 20. Hallitukselle on lisäksi vähintään vuosittain annettava kattava yhteenveto tai selvitys riskienhallinnan arviointitoiminnon toiminnasta ja sen tekemistä havainnoista. Yhteenvedossa tai selvityksessä on mainittava mahdollisten puutteiden korjaamiseksi toteutetut toimenpiteet. 21. Jos valvottavaan ei perusteta riskienhallinnan arviointitoimintoa, hallituksen on erikseen päätettävä tästä. Päätöksestä on käytävä ilmi, miten hallitus tällöin varmistaa riskienhallinnan toimivuuden ja tehokkuuden. 22. Jos valvottavalla ei ole erillistä ja riippumatonta riskienhallinnan arviointitoimintoa, valvottavaan on nimettävä riskienhallinnan arviointitoiminnon tehtäväalueesta vastaava henkilö. 23. Hallitus arvioi yhteenvedon tai selvityksen perusteella riskienhallinnan luotettavuutta ja tehokkuutta valvottavassa. 24. Riskienhallinnan arviointitoiminnon perustaminen ei ole välttämätöntä, jos valvottavan harjoittaman liiketoiminnan laatu ja laajuus ovat sellaiset, että hallitus pystyy muutoin varmistumaan riskienhallinnan toimivuudesta ja tehokkuudesta.
Liite 2 8 (16) 2.3.2 Säännösten noudattamisesta vastaava toiminto (Compliance) 25. Valvottavassa on oltava säännösten noudattamisesta vastaava toiminto. 26. Finanssimarkkinoilla toimivien yritysten menestyminen edellyttää, että niiden toiminnalla on asiakkaiden ja markkinoiden luottamus. Lainsäädännön, viranomaisten antamien ohjeiden ja määräysten sekä markkinoiden itsesääntelyn huolellinen noudattaminen ylläpitää osaltaan tätä luottamusta. Sitä tukee myös valvottavan omien sisäisten ohjeiden, henkilöstöä sitovien eettisten periaatteiden ja muiden ohjeiden noudattaminen. 27. Säännösten noudattamisesta vastaavan toiminnon (compliance) järjestämisestä on säädetty viittaus hyvän hallinnon määräyksiin ja ohjeisiin] 2.3.3 Sisäinen tarkastus 28. Mikäli valvottavan toiminnan laatu ja laajuus edellyttävät sisäisen tarkastuksen toiminnon järjestämistä, tulee sen organisaatioaseman olla sellainen, että se varmistaa riippumattoman ja objektiivisen tarkastuksen. 29. Sisäisen tarkastuksen tulee olla kiinteä osa valvottavan toiminnallista organisaatiota. Sisäisen tarkastuksen palveluja voidaan ostaa ulkopuoliselta palveluntuottajalta. Sisäisen tarkastuksen johdon ja valvonnan tulee aina olla organisaation oma osa eikä sitä voi ostaa palveluntuottajilta. 30. Sisäisen tarkastuksen järjestäminen on organisointitavasta riippuen aina valvottavan hallituksen tai toimitusjohtajan vastuulla. 31. Sisäisen tarkastuksen tulee olla valvottavan kokoon ja toimintaan nähden oikein mitoitettu, ja sillä tulee olla riittävä ammattitaito ja kokemus. 32. Sisäisen tarkastuksen tulee olla riippumaton tarkastettavista toiminnoista. Sen tulee olla riippumaton myös ulkoisesta tilintarkastuksesta. Riippumattomuuspäätelmän tekeminen kuuluu valvottavan hallitukselle, toimitusjohtajalle ja sisäisestä tarkastuksesta vastaavalle henkilölle. 33. Sisäisellä tarkastuksella tulee olla toimintaohje ja vuosittainen toimintasuunnitelma, jotka hallitus hyväksyy. 34. Sisäisen tarkastuksen tulee valvottavassa mm. arvioida
Liite 2 9 (16) laskenta-, vakuutus-, korvaus- ja sijoitustoiminnan ja niiden atk-järjestelmien ja näihin liittyvien sisäisten kontrollien suunnittelua, toteutusta ja toimivuutta taloudellisen ja operatiivisen tiedon luotettavuutta ja eheyttä toimintaperiaatteiden, suunnitelmien, menetelmien, lakien ja määräysten noudattamista omaisuuden turvaamista resurssien taloudellista ja tehokasta käyttöä operatiiviselle toiminnalle ja projekteille asetettujen päämäärien ja tavoitteiden saavuttamista merkittäviä riskiasemia sekä edistää riskienhallinta- ja valvontajärjestelmien kehittämistä. 35. Sisäisen tarkastuksen johtajan tulee raportoida hallitukselle, ylimmälle johdolle ja toimitusjohtajalle vähintään kerran vuodessa. Raportoinnin tulee sisältää tiedot ainakin toimintasuunnitelman toteutumisesta ja merkittävistä tarkastushavainnoista. 36. Valvottavan hallitukselle tai tarkastusvaliokunnalle tulisi varata tilaisuus sisäisestä tarkastuksesta vastaavan henkilön kuulemiseen ilman toimivan johdon läsnäoloa. 37. Jos sisäinen tarkastus on konsernissa tai ryhmittymässä järjestetty keskitetysti, tulee varmistaa, että jokaisella erillisellä valvottavalla on sen omaan toimintaan suhteutettuna riittävästi tarkastustoiminnan resursseja käytettävissä. Sisäisen tarkastuksen johtajan tulee raportoida jokaisen valvottavan hallitukselle erikseen. 2.4 Sisäisen valvonnan osa-alueet 38. Jäljempänä sisäinen valvonta on jaoteltu osa-alueisiin ja kultakin alueelta on mainittu ne sisäisen valvonnan vaatimukset, jotka hyvän sisäisen valvonnan tulisi vähintään täyttää. Valvottava voi käyttää myös muita sisäisen valvonnan osa-alueiden jaotteluita. 2.4.1 Johtamistapa ja valvontakulttuuri 39. Hallitus huolehtii valvottavan hallinnosta ja sen toiminnan asianmukaisesta järjestämisestä 40. Toimivan ja tehokkaan sisäisen valvonnan perustana on, että hallitus, toimitusjohtaja ja muu ylin johto edistävät sellaisen yrityskulttuurin muodostumista, joka hyväksyy sisäisen valvonnan normaaliksi ja tarpeelliseksi osaksi yritystoimintaa huolehtivat siitä, että henkilökunta on ammattitaitoista, tehtäviinsä sopivaa ja sitoutunutta ja että se on selvillä sisäisen valvonnan tärkeydestä ja omasta tehtävästään sisäisessä valvonnassa. 41. Toimitusjohtaja hoitaa yhtiön juoksevaa hallintoa hallituksen antamien ohjeiden mukaisesti
Liite 2 10 (16) 42. Sisäisen valvonnan näkökulmasta tyypillisesti hallitukselle kuuluvia tehtäviä ovat: ensisijaisen vastuun kantaminen sisäisestä valvonnasta ja sen toimivuudesta riskienhallinnan periaatteiden vahvistaminen sekä sen varmistaminen, että riskienhallinnan periaatteet sisältävät menettelytavat uuteen liiketoimintaan ryhtymisestä ja uuden tuotteen käyttöön ottamisesta riskienhallinnan toimivuudesta varmistuminen sekä varmistuminen siitä, että se on lakien ja viranomaismääräysten tai ohjeiden mukaista päättäminen raportoinnista ja muista sisäisen valvonnan menetelmistä, joilla hallitus seuraa toimintaa, toiminnan tulosta ja toimintaan sisältyviä riskejä. 43. Toimitusjohtajan ja muun ylimmän johdon tehtäviä ovat mm.: sisäisen valvonnan käytännön toimenpiteiden toteutumisesta huolehtiminen hallituksen hyväksymien riskienhallinnan periaatteiden mukaisten menettelytapojen kehittäminen ja ylläpitäminen, joilla riskit tunnistetaan, arvioidaan ja mitataan ja joilla riskejä valvotaan ja rajoitetaan; nämä menettelytavat dokumentoidaan sellaisen organisaatiorakenteen ylläpitäminen, jossa vastuut, valtuudet ja raportointisuhteet ovat selkeästi ja kattavasti sekä kirjallisesti määritelty liiketoiminnasta riippumattomien toimintojen järjestäminen varmistamaan tehokas ja kattava sisäinen valvonta kaikille valvottavan toiminnan alueille. 2.4.2 Riskienhallinta (Riskien tunnistaminen, arviointi, rajoittaminen ja valvonta) 44. Riskienhallinnan on katettava kaikki olennaiset valvottavan liiketoimintaan liittyvät riskit: niin sisäiset kuin ulkoiset, niin mitattavissa olevat kuin ne, joita ei voi mitata, niin valvottavan omassa vaikutusvallassa olevat kuin ne, joihin valvottava ei voi itse suoraan vaikuttaa vaan joilta se voi vain suojautua. Valvottavan on määriteltävä mitattavissa oleville riskeille mittaamistavat, ja kehitettävä ei-mitattavissa olevien riskien hallintaan tarkoituksenmukaiset arviointimenetelmät. 45. Valvottavan on jatkuvasti ylläpidettävä ja kehitettävä riskienhallinnan menettelytapoja sen varmistamiseksi, että myös kaikki uudet, olennaiset mutta aikaisemmin tunnistamattomat riskit tulevat riskienhallinnan piiriin. 46. Riskialuekohtaisesta riskienhallinnasta on yksityiskohtaisesti säädetty [viittaus riskienhallintaa käsitteleviin määräyksiin ja ohjeisiin]]
Liite 2 11 (16) 47. Tehokas sisäisen valvonnan järjestelmä edellyttää, että valvottavan sekä sisäiset että ulkoiset riskit, jotka voivat haitallisesti vaikuttaa liiketoiminnan tavoitteiden saavuttamiseen, tunnistetaan ja arvioidaan säännöllisesti ja, että niitä rajoitetaan ja rajoitteita valvotaan. Sekä määrällisille että laadullisille riskeille tulee olla arviointi- ja hallintamenetelmät. 48. Mikäli toiminnan laatu ja laajuus sitä edellyttävät, tulee valvottavalla olla riskienvalvontatoiminto. Se valvoo, mittaa ja raportoi riskeistä sekä tarvittaessa ylläpitää, kehittää ja valmistelee riskienhallinnan periaatteita ylimmän johdon vahvistettaviksi sekä laatii menetelmiä käytettäväksi riskien arvioimisessa ja mittaamisessa. 2.4.3 Päivittäinen valvonta ja tehtävien eriyttäminen 49. Valvontatoimenpiteiden tulee olla osa valvottavan päivittäisiä toimintoja. Asianmukainen valvontarakenne ja valvontatoimenpiteet on luotava jokaiselle organisaation tasolle ja kaikille toiminnan osa-alueille 50. Toimiva ja tehokas sisäinen valvonta perustuu osaltaan siihen, että työtehtävät on asianmukaisesti eriytetty eri henkilöille ja että on huolehdittu myös siitä, ettei valvottavan henkilökunta käsittele valvottavan edustajana omaa tai lähipiiriään koskevaa liiketointa tai vaikuta ja/tai osallistu muutoinkaan tällaista liiketointa koskevaan päätöksentekoon. Mahdolliset vaaralliset työyhdistelmät henkilön tehtävänkuvassa tai eturistiriitatilanteet on tunnistettu ja mahdollisuuksien mukaan poistettu 51. Päivittäisen valvonnan toimenpiteitä ovat esimerkiksi hallitukselle, toimitusjohtajalle ja muulle ylimmälle johdolle tehtävät selonteot, kunkin liiketoiminta-alueen ja -yksikön toimintaan sovitut tarkoituksenmukaiset mittarit, fyysiset valvontatoimenpiteet, sovittujen riskirajojen ja toimintaperiaatteiden/-ohjeiden noudattamisen valvonta ja poikkeamien seuranta, hyväksymis- ja valtuutusjärjestelmä sekä erilaiset varmistus- ja täsmäytystoimenpiteet 2.4.4 Raportointi ja tiedonvälitys 52. Tehokas sisäinen valvontajärjestelmä edellyttää, että valvottavalla on päätöksentekoon ja toiminnan arviointiin riittävät ja kattavat raportointi- ja tiedonvälitysmenetelmät, jotka tuottavat taloudellista, toiminnallista ja valvonnallista tietoa sekä ulkopuolista markkinatietoa. 53. Valvottavan toimitusjohtajan ja muun ylimmän johdon on varmistettava, että henkilöt organisaation kaikilla tasoilla saavat tehtäviensä suorittamisessa tarvitsemansa tiedot. 54. Sisäisen valvonnan toimivuuden yhtenä lähtökohtana on, että hallituksella, toimitusjohtajalla ja muulla ylimmällä johdolla on päätöksenteon pohjaksi käytettävissään riittävät ja kattavat
Liite 2 12 (16) tiedot: sisäistä tietoa valvottavan taloudesta, toiminnasta ja ulkoisten säännösten ja sisäisten menettelytapojen noudattamisesta sekä ulkoista tietoa toimintaympäristöstä ja markkinoiden kehityksestä. Tiedon tulee olla luotettavaa, olennaista, ajan tasalla olevaa ja sovitussa muodossa esitettyä. 55. Tarpeellisen tiedon kulun tulisi olla avointa ylöspäin ja alaspäin organisaatiossa sekä läpi koko organisaation, jotta sisäinen valvonta toimii tehokkaasti. 56. Hyvin toteutettuna organisaatiorakenne tukee tiedonkulkua ylöspäin niin, että hallitus, toimitusjohtaja ja muu ylin johto saavat vastuidensa hoitamiseen tarvitsemansa tiedot (tuloksellisuus, riskit, poikkeamat, havainnot valvonnan toimivuudesta, jne.). Riittävä tiedonkulku alaspäin varmistaa, että henkilökunta tuntee tehtäviensä suorittamisessa tarvittavat, hallituksen vahvistamat toimintaperiaatteet ja menettelytavat, joita heidän tulee noudattaa, ja että henkilökunta saa myös muuta tarpeellista tietoa tehtäviensä toteuttamiseksi 2.4.5 Sisäisen valvonnan toimivuuden seuranta ja puutteiden korjaaminen 57. Sisäisen valvonnan toimivuutta on arvioitava valvottavassa tehokkaasti ja monipuolisesti. Sovituin väliajoin sisäistä valvontaa on tarkasteltava myös isompana kokonaisuutena. 58. Tehokkaan ja monipuolisen sisäisen valvonnan lähtökohtana on, että valvottavan liiketoiminnassa havaitut sisäisen valvonnan puutteet ja kehittämiskohteet dokumentoidaan ja niistä raportoidaan vastuulliselle esimiestasolle tarvittavia korjaavia toimenpiteitä varten 59. Merkittävistä havainnoista on suositeltavaa raportoida aina toimitusjohtajalle ja hallitukselle asti. Tehdyistä havainnoista ja korjaavista toimenpiteistä olisi myös hyvä laatia kattavat yhteenvetoraportit, jotta valvottavan hallitus ja toimitusjohtaja voivat muodostaa kokonaiskuvan sisäisen valvonnan toimivuudesta ja tehokkuudesta. 2.4.6 Järjestelmät ja turvallisuus 60. Valvottavalla on oltava toiminnan laatuun ja laajuuteen nähden riittävät ja asianmukaisesti järjestetyt manuaaliset ja tietotekniset järjestelmät, jotka ovat operatiivisen toiminnan perustana. 61. Valvottavan toiminnan, tietojenkäsittelyn sekä tiedonsiirron on oltava riittävän turvallista sekä omaisuuden ja tietojen riittävällä tavalla turvatut.
Liite 2 13 (16) 62. "[Operatiivisten riskien hallinta]"ohjeissa on säädetty yksityiskohtaisesti tietojärjestelmistä ja tietoturvallisuudesta.
Liite 2 14 (16) 3. RAPORTOINTI FINANSSIVALVONNALLE Näihin määräyksiin ja ohjeisiin ei sisälly erillisiä Finanssivalvonnalle toimitettavia raportteja.
Liite 2 15 (16) 4. MUUTOSHISTORIA
Liite 2 16 (16) 5. KUMOTUT MÄÄÄRYKSET JA OHJEET VVV (vakuutusyhtöt, eläkesäätiöt ja eläkekassat) asianomaiset kohdat RATA Standrdi vakavaraisuus ja riskien hallinta