Operatiiviset riskit valvojan näkökulmasta

Samankaltaiset tiedostot
Finanssivalvonnan painopisteet varautumisen valvonnassa

Finanssivalvonnasta. Ajankohtaista kuluttajien raha-asioista Erja Rautanen

Finanssimarkkinoiden asiantuntijana Fivassa

Pitkäaikaissäästäminen Finanssivalvonnan näkökulmasta

Solvenssi II: Sisäiset mallit

Miten Fiva valvoo pankkien ja vakuutusyhtiöiden riskejä?

S t a n d a r d i R A 4. 2

Standardi RA4.2. Operatiivisiin riskeihin liittyvien tapahtumien ilmoittaminen Rahoitustarkastukselle. Määräykset ja ohjeet

Eurooppalainen valvonnan vaikuttaja

EIOPAn ohjeet ja suositukset valitusten käsittelemisestä vakuutusyhtiöissä

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

Eurooppalainen finanssivalvonta

Sisäisen valvonnan järjestämistä ohjaava sääntely ja valvonta rahoitus- ja vakuutussektorilla

Riskien hallinnan kehityskohteita finanssikriisin valossa

Finanssivalvonta rahoitus- ja vakuutusvalvontaviranomainen

Finanssivalvonnan ajankohtaiskatsaus. Eduskunnan talousvaliokunta Johtaja Anneli Tuominen

Määräykset ja ohjeet 9/2014

Määräykset ja ohjeet 3/2013

Määräykset ja ohjeet 3/2013

Vakavaraisuuden hallinnan järjestäminen

MÄÄRÄYS LUOTTOLAITOKSEN RISKIENHAL- LINNASTA JA MUUSTA SISÄISESTÄ VALVON- NASTA

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Standardi RA1.6. Ilmoitus toiminnan ulkoistamisesta. Määräykset ja ohjeet

Riskienhallinta- ja turvallisuuspolitiikka

Standardi 4.4b. Operatiivisten riskien hallinta. Määräykset ja ohjeet

Millaista suojaa sijoittaja tarvitsee?

Finanssivalvonta pyytää lausuntoa työeläkevakuutusyhtiöiden hallintoa koskevien määräysten ja ohjeiden luonnoksesta.

Paikallispankkien vakavaraisuuden hallinnan arviointikehikko

Lausuntoyhteenveto rahoitussektorin operatiivisen riskin hallintaa koskevista määräyksistä ja ohjeista

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

Standardi RA4.11 1(5) Liite 2

Määräykset ja ohjeet 11/2014

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Keskeiset muutokset varautumisen vastuissa 2020

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Kooste riskienhallinnan valmistelusta

Kunnallisen toiminnan periaatteet, määritelty ja toimitaanko niiden mukaisesti? 3 strategialähtöiset

Määräykset ja ohjeet 1/2015

Yrityksen jatkuvuussuunnitelma

Manipulaatio on arvopaperimarkkinarikos

Määräykset ja ohjeet 9/2015

Määräykset ja ohjeet 14/2013

Määräykset ja ohjeet 5/2016

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Riskienhallinta. Minna Lehmuskero Johtaja, analyysitoiminnot Tela

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Määräykset ja ohjeet x/2011

Määräykset ja ohjeet 14/2013

Taloushallinnon ulkoistaminen ja konserniraportoinnin järjestäminen ICECAPITAL -konsernissa. Jussi Hyrylä CFO, ICECAPITAL Pankkiiriliike Oy

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Aktuaarina Suomessa tänään ja huomenna finanssiryhmittymän riskienhallinnassa. Aktuaariyhdistyksen vuosikokous Markku Miettinen

Vihdin kunnan tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Määräykset ja ohjeet 3/2013

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

SISÄLLYS ESIPUHE... 10

Standardi 4.4b. Operatiivisten riskien hallinta. Määräykset ja ohjeet

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Määräykset ja ohjeet 5/2018

Varman sisäinen tarkastus. Sisäiset tarkastajat ry:n kk-kokous Keskinäinen työeläkevakuutusyhtiö Varma Jukka Ruuth, tarkastusjohtaja

Määräykset ja ohjeet 26/2013

Määräykset ja ohjeet 10/2014

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Miten työeläkevakuuttajia Suomessa valvotaan?

Standardi 4.1. Sisäisen valvonnan ja riskienhallinnan järjestäminen. Määräykset ja ohjeet

Ohje arvopaperikeskuksen riskienhallinnasta ja muusta sisäisestä valvonnasta

Sisäinen valvonta ja riskienhallinta. Suomen Kuntaliitto Marja-Liisa Ylitalo erityisasiantuntija

Maakunnan ympäristöterveydenhuollon järjestäminen ja varautuminen. Teppo Heikkilä

Componenta Oyj. Selvitys hallinto- ja ohjausjärjestelmästä

Sovelto Oyj JULKINEN

Määräykset ja ohjeet 8/2015

Määräykset ja ohjeet 8/2014

Espoon kaupunki Tietoturvapolitiikka

Miten työeläkevakuuttajia Suomessa valvotaan?

FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN

Vesihuollon häiriötilannesuunnitelman laatiminen. Vesa Arvonen

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

Standardi RA1.4. Luotettavuutta, sopivuutta ja ammattitaitoa koskevien tietojen ilmoittaminen Rahoitustarkastukselle. Määräykset ja ohjeet

Määräykset ja ohjeet x/2014

Varautuminen sotelainsäädännössä

Standardi RA4.10. Lähipiiriluottojen ja -sijoitusten ilmoittaminen Rahoitustarkastukselle. Määräykset ja ohjeet

Paula Niemi SISÄINEN TARKASTUS KÄYTÄNNÖSSÄ

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Määräykset ja ohjeet X/2013

Vesihuollon häiriötilanne ja siihen varautuminen

Finanssivalvonnan lehdistötilaisuus

Maksamisen uudet tavat ja toimijat

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Varautumis- ja valmiussuunnittelman laadinta Fingridissä Pekka Niemi

Finanssivalvonta Tavoitteet ja tehtävät

ILMOITUSVELVOLLISEN RISKIARVION LAATIMINEN

HALLITUSPARTNERIT ESITTÄYTYY

Määräykset ja ohjeet 26/2013

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

Maakuntien asema ja rooli varautumisen toimijoina

Pilvipalveluiden arvioinnin haasteet

Keneltä ostan sijoitustuotteeni?

Sopimusrajoja koskevat ohjeet

Tietoturvapolitiikka

Transkriptio:

Operatiiviset riskit valvojan näkökulmasta Aktuaaritoiminnan kehittämissäätiön syysseminaari 19.11.2013 Toimistopäällikkö Markku Koponen, Finanssivalvonta

Laki määrittelee tavoitteet ja tehtävät Finanssivalvonnan toiminnan tavoitteena on finanssimarkkinoiden vakauden edellyttämä luotto-, vakuutus- ja eläkelaitosten ja muiden valvottaviksi säädettyjen vakaa toiminta, vakuutettujen etujen turvaaminen sekä yleinen luottamus finanssimarkkinoiden toimintaan. Laki Finanssivalvonnasta 1

Mitkä toimijat ovat Finanssivalvonnan valvottavia? pankit ja muut luottolaitokset vahinko-, henki- ja jälleenvakuutusyhtiöt työeläkevakuutusyhtiöt eläkesäätiöt eläke-, sairaus- ja muut vakuutuskassat vakuutusyhdistykset työttömyyskassat vakuutusedustajat muut vakuutusalan toimijat sijoituspalveluyritykset rahastoyhtiöt arvopaperikeskus pörssi maksulaitokset Valvottavaluettelot kaikista Fivan valvottavista osoitteessa Finanssivalvonta.fi

Finanssivalvonnan organisaatio Johdon neuvonantaja Erkki Rajaniemi Hallintoyksikkö Pekka Peiponen Johtaja Anneli Tuominen Johdon sihteeristö Erkki Kontkanen Viestintä Terhi Lambert-Karjalainen Instituutiovalvonta Marja Nykänen Riskienvalvonta Jukka Vesala Markkinavalvonta Jarmo Parkkonen Menettelytapavalvonta Erja Rautanen Rahoitussektori Jyri Helenius Vakuutussektori Seppo Juutilainen Vakavaraisuuslaskenta Jaana Ladvelin Luottoriskit Veli-Jukka Lehtonen Operatiiviset riskit Markku Koponen Markkina- ja likviditeettiriskit Antti Olkinuora Vakuutustekniset riskit ja tutkimus Vesa Hänninen Taloudellinen analyysi Jaana Rantama Tietojärjestelmät Jaakko Mauranen Markkinat Sari Helminen Tilinpäätösvalvonta Tiina Visakorpi Sijoitustuotteet Paula Launiainen Asiakkaansuoja Timo Peltonen Finanssipalvelutoiminnot Esa Pitkänen Työttömyysvakuutus Marko Aarnio

Finanssivalvonnan toiminta Tarkastukset Suunnitellaan riskiperusteisesti (toimintasuunnitelma, valvontahavainnot, toimintaympäristön muutos) Suunnitelma vahvistetaan puolivuosittain Aiheita esim. verkkopankkipalvelujen turvallisuus, maksu- ja korttijärjestelmät, liiketoiminnan jatkuvuusjärjestelyt Jatkuva valvonta Tapaamiset, uusien palvelujen esittely, häiriöraportit, ad hoc valvonta, ym. Valvojan arviot Suurimmista valvottavista vuosittain Toimiluvat Talletuspankit, maksulaitokset, sijoituspalveluyritykset ym. Sanktiointi tarvittaessa

Operatiivisen riski määritelmä (Fivan standardi 4.4b) Tappionvaara, joka aiheutuu: Riittämättömistä tai epäonnistuneista sisäisistä prosesseista Henkilöstöstä Järjestelmistä Ulkoisista tekijöistä Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on rajattu määritelmän ulkopuolelle. Operatiivisen riski aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi toteutua myös viiveellä ja ilmetä välillisesti. Vakavaraisuusvaatimus Perus- ja standardimenetelmät suhteutetaan tuottotasoon Kehittynyt menetelmä sisäisen mallin mukaisesti

Riskialueiden merkitys finanssialalla: YLEISKUVA PANKIT HENKI-JA VAHINKOVAKUU- TUSYHTIÖT ELÄKEVAKUU- TUSLAITOKSET LUOTTORISKIT MARKKINA-/ SIJOITUSRISKIT LIKVIDITEETTIRISKIT OPERATIIVISET RISKIT VAKUUTUSTEKNISET RISKIT LIIKETOIMINTARISKIT

Esimerkkejä tappiotyypeistä Tappiotyyppi 1.Sisäiset väärinkäytökset 2.Ulkopuolisen aiheuttamat vahingot 3.Työolot, turvallisuus Esimerkkejä kavallus, petos, arvopaperimarkkinarikos tai - rikkomus, asiakastetojen väärinkäyttö varkaus ryöstö, petos, värwnnys, rahanpesu murtautuminen teitojärjestelmään, haittaohjelman levittäminen työsopimuslain rikkomukset, työmarkkinariidat 4.Menettelytavoista aiheutuvat tappiot lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta 5.Omaisuusvahingot tulipalo, vesiovahinko, tulva 6.Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko raportointivirhe, tallennusvirhe, sopimuksen 7.Prosesseihin liittyvät ongelmat pätemättömyys, hinnoiteluvirhe, puutteellinen dokumentointi, ulkoistetun palvelun häiriö Lähde: standardi 4.4b, sivu 17, esimerkkilista ei ole tyhjentävä! Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Operatiivisten riskien hallinnan merkitys on kasvanut Finanssialan toimijoiden rakenne- ja organisaatiomuutokset Rahoitusmarkkinoiden monimutkaistuminen ja teknistyminen Toimintatavat ja liiketoimintamallit muuttuneet (aktiivisuus, myynti ja markkinointi, kilpailu) Tietojärjestelmien keskeisyys toiminnassa Tietoturvauhat - kyberuhat Sähköisten palvelujen ja palvelukanavien kasvu Finanssialan kriisi toiminnan tehostamistarpeet riskien korostuminen muutosvaiheessa -> alttius virheille kasvanut -> suorat kustannukset operatiivisten riskien toteutumisesta voivat olla suuria, epäsuorat kustannukset yleensä vielä suurempia (mutta vaikeampia arvioida luotettavasti)

Riskien ja vakavaraisuuden valvonta tärkeä tehtävä Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Fivan operatiivisten riskien sääntely standardi 4.4b Standardissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Luottolaitokset, sijoituspalveluyritykset, rahastoyhtiöt Standardissa käsitellään seuraavia aihealueita operatiivisten riskien hallinnan järjestäminen prosessien hallinta, uudet tuotteet oikeudelliset riskit henkilöstö jatkuvuussuunnittelu ja poikkeusolojen varautuminen tieto- ja maksujärjestelmät tietoturvallisuus Uusi versio oli aikoinaan lausunnolla 18.11.2011 asti. Uusi versio lausuntokierroksen jälkeen voimaan Q2/2014 (odottaa VYL-muutoksia) http://www.finanssivalvonta.fi/fi/saantely/maarayskokoelma/rahoitussektori/4_vakavaraisuus_ja_riskien_hallinta/pages/4_4b.aspx

Fivan operatiivisten riskien sääntely standardi RA 4.2 Operatiivisiin riskeihin liittyvien tapahtumien ilmoittaminen Viipymättä Fivalle ilmoitus asiakkaille tarjotuissa palveluissa sekä maksu- ja tietojärjestelmissä esiintyneistä merkittävistä häiriöistä ja virheistä. http://www.finanssivalvonta.fi/fi/saantely/maarayskokoelma/rahoitusse ktori/ra_raportointi/pages/ra4_2.aspx Ulkoistaminen (1/2012) Merkittävistä ulkoistuksista ennakkoilmoitus Fivalle Ulkoistushankkeiden riskiarvio Fivan tarkastusoikeus ulkoistettuihin toimintoihin

Fivan operatiivisten riskien hallinnan sääntelyuudistus Fiva toiminut vuodesta 2009 koko finanssisektorin valvojana Fivan standardin 4.4b uudistushanke aloitettiin 2010 Viivästyminen solvenssi II:n takia Tilanne 2013 marraskuu: Vakuutussektori edelleen vailla Fivan yhtenäistä sääntelyä operatiivisten riskien hallinnasta Valmiina Q2/2014? Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Vakuutussektorin solvenssi 1,5 Solvenssi 1,5: corporate governance & riskien hallinta säännökset voimaan 2014 alusta EIOPAn Guidelines on the System of Governance 9/2013 operatiivisen riskin hallinta (# 19) ulkoistaminen (# 44 47) Fivan tehtävänä siirtymäkaudella 2014-2015: NCAs are expected to ensure that undertakings take steps towards implementing the relevant aspects of the regulatory framework addressed by these Guidelines kansallinen implementointi (comply or explain)

Vakuutussektori ja Fivan sääntelyvaltuudet VYL HE 83/2013: 6 luku 21 (tilanne 14.11.2013 talousvaliokunta- ja perustuslakivaliokuntakäsittelyjen jälkeen) Fiva voi antaa tarkempia määräyksiä: (1 ja 2 kuten HE) 1) 4 :n 5 momentissa tarkoitetuista ilmoituksista, joita sille on vakuutusyhtiöiden ja vakuutusomistusyhteisöjen hallitusten jäsenten ja toimitusjohtajan osalta toimitettava; 2) vakuutusomistusyhteisöjen 8 :n 5 momentissa tarkoitetun sisäisen valvonnan ja riskienhallinnan järjestämisestä; 3) 8 :n 4 momentissa tarkoitetun jatkuvuussuunnitelman sisällöstä sekä 10 :ssä tarkoitetun riskienhallinnan ja 14 :ssä tarkoitetun sisäisen valvonnan järjestämisestä; (4 ja 5 kohta kuten HE): 4) 13 :n 1 momentissa tarkoitetuista asiakkaan tuntemisessa noudatettavista menettelytavoista ja 13 :n 2 momentissa tarkoitetusta riskienhallinnasta; 5) 16 :n 3 momentissa tarkoitetusta ulkoistamisilmoituksesta.

Mitä jälkeen 1,5:n? Fivan operatiivisten riskien hallinnan määräys/ohje lausunnolle Q1/2014 Fivan ulkoistamissääntelyn tekniset muutokset 1/2014 ja 7/2014 Solvenssi II voimaan 1.1.2016 - direktiivi kansalliseen lainsäädäntöön 31.12.2015 - Komission odotetaan julkistavan luonnoksen sääntelyä tarkentavaksi asetukseksi vielä ennen joulua - EIOPA jatkaa standardien ja ohjeiden valmistelua Erilliset kansalliset sääntelyhankkeet muille vakuutussektorin valvottaville

Operatiivisten riskien hallinnan perusvaatimuksia Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Operatiivisten riskien hallinnan perusvaatimuksia Ylimmän johdon riskitietoisuus ja -kulttuuri Riskien valvonta liiketoiminnoista riippumaton Riskienhallinta/valvonta on riittävästi resursoitu Riskienhallinta/valvonta tuottaa oikeaa ja ajantasaista tietoa riskeistä Riskienhallinnan ohjeita noudatetaan johdonmukaisesti päivittäisessä toiminnassa

Miten operatiiviset riskit tulisi hallita? Riskien tunnistaminen itsearviointimenetelmä, ulkopuolinen arvioitsija, tappiotapahtumien analysointi Riskien mittaaminen ja arviointi tapahtuman todennäköisyys, euromääräinen tappio Riskien rajoittaminen sisäisten kontrollien suunnittelu, jatkuvuussuunnittelu, vakuutukset Korjaavat toimenpiteet havaitut puutteet kontrolleissa Ylimmän johdon raportointi toteutuneet tappiot, nykyinen riskiasema, trendit -> Operatiivisten riskien hallinta on lähes aina riskien minimoimista

Fivan suorittama operatiivisten riskien valvonta Fivan operatiivisten riskien valvontaan kuuluvat mm. operatiivisten riskien hallinta valvottavissa organisointi vastuut ohjeistus riskienhallinta- ja vähentämismenettelyt operatiivisen riskin pääomavaatimus uusien tuotteiden hyväksymisprosessi ulkoistaminen valvottavien IT- ja maksujärjestelmät tietoturvallisuus Jatkuvuussuunnittelu arvopaperi-infrastruktuurin (lähinnä selvitys- ja säilytystoiminta) valvonta rahanpesun estäminen ja asiakkaan tunteminen

Operatiivisten riskien hallinnan osa-alueita Riskienhallinnan periaatteiden dokumentointi Miten operatiivinen riski on määritelty? Milloin riskienhallinnan ohjeet päivitetty? Riskien mittaaminen ja arviointi Millä mittareilla riskiä mitataan? Onko asetettu limiittejä tai seurantarajoja? Tappiotapahtumien tilastointi ja analysointi Suhteessa liiketoiminnan luonteeseen ja kokoon Korjaavien toimenpiteiden suunnittelu ja toteutus vastuutus seuranta aikarajat

Operatiivisten riskien hallinnan osa-alueita, jatkuu Prosessit Liiketoiminnan kannalta tärkeimmät prosessit on tunnistettava Organisaatioyksiköiden väliset rajapinnat kontrollipisteet Dokumentaatio Oikeudellinen riski Voi liittyä kaikkeen liiketoimintaan Asiantuntemus lainsäädännöstä ja määräyksistä Henkilöstö Riittävä ammattitaito suhteutettuna työtehtäviin Toimivan johdon on varmistettava, että tehtävien hoitamiseen on varattu riittävästi henkilöstöä. Liiketoiminnan jatkuvuuden turvaamiseksi on erityisesti avaintehtäviä hoitavilla henkilöillä oltava varahenkilöt sairastumisen, tapaturman tai yllättävän palvelusuhteen päättymisen varalta. Resursoinnissa on otettava huomioon myös prosessien kuormitushuiput. Palkitsemisjärjestelmien periaatteet vahvistettava

Operatiivisten riskien hallinnan osa-alueita, jatkuu Jatkuvuussuunnittelu =Varautuminen liiketoiminnan keskeytyksiin siten, että valvottava pystyy jatkamaan toimintaansa ja rajoittamaan tappioita erilaisissa häiriötilanteissa Uhka- ja haavoittuvuusanalyysit Tärkeimmät liiketoimintaprosessit on priorisoitava It-varajärjestelyt Erityisen tärkeää, että liiketoiminnan toipumisen kannalta tärkeät järjestelmät ja tiedot on palautettavissa Suunnitelmien ajantasaisuus, säännöllinen testaaminen ja koulutus Varautuminen poikkeusoloihin Valmiuslaki (22.7.1991/1080) ja sen poikkeusolot, erityinen varautumisvelvollisuus Vakavia häiriöitä tai kriisejä voivat olla esimerkiksi pandemia tai muu valvottavan henkilöstön toimintakykyä vakavasti vaarantava uhka tai valvottavan toimitilojen tai tietojenkäsittely-ympäristön tuhoutuminen. Tärkeiden tietojen säilyminen Ajantasainen valmiussuunnitelma, testattava Varautuminen ulotettava myös ulkoistettuihin toimintoihin

Operatiivisten riskien hallinnan osa-alueita, jatkuu Tietojärjestelmät Riittävät ja asianmukaiset tietojärjestelmät suhteessa toiminnan laajuuteen Erillinen tietotekniikkastrategia Järjestelmäkehitys- ja tuotantotehtävien eriyttäminen Tietoturvallisuus Vastuut ja organisointi, riskien arviointi, tietojen ja järjestelmien omistajuus, käyttövaltuudet, ohjeistus ja koulutus, tietoverkot Tietoturvallisten palveluiden rakentaminen Maksujärjestelmät ja maksujenvälitys Toimintavarmuus ja turvallisuus, tehokkaan ja luotettavan maksujenvälityksen varmistaminen Varajärjestelyt

Fivan tarkastustoiminnan tavoitteet Valvottavien riskienhallinta on riittävällä tavalla järjestetty ja noudattaa lakeja sekä Fivan ohjeita ja määräyksiä. Riskienhallinta tuottaa oikeaa ja ajantasaista tietoa valvottavan riskeistä. Varmistua siitä, että riskit eivät uhkaa valvottavan vakavaraisuutta. Valvottavan ylimmän johdon hyväksymiä riskienhallinnan periaatteita noudatetaan päivittäisessä toiminnassa systemaattisesti. Fivan tarkastuskohteet valitaan riskiperusteisesti huomioiden mm. valvottavan rooli finanssimarkkinoiden vakauden näkökulmasta. kriteereinä mm. viranomaisraportointi, valvontakäynnit, sisäinen raportointi

Fivan suorittamia tarkastuksia operatiivisten riskien alueella Joitakin operatiivisten riskien tarkastuksia viime vuosina verkkopankkipalvelut yksityisasiakkaille ulkoistaminen (erityisesti IT-palvelut) liiketoiminnan jatkuvuussuunnittelu tietoturvatapausten hallinta poikkeusolojen valmius yrityksille tarjottavat verkkopankkipalvelut yhteispohjoismainen IT-tarkastus, pankki x kotimaan- ja ulkomaan maksujärjestelmät valuuttakauppojen selvitysriskin hallinta maksukorttiprosessit asiakkaan tunteminen ja rahanpesun estäminen maksujärjestelmien likviditeetin hallinta operatiivisten riskien hallinnan kokonaistarkastukset yhteispohjoismaiset tarkastukset IT-järjestelmät, pankki x IT- järjestelmät, jatkuvuussuunnittelu, pörssi operat. riskin hallinta tukkupankissa jatkuvuussuunnittelu, vahinkovakuutusyhtiö

Luottolaitosten operatiivisia riskejä Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Esimerkki: luottolaitosten operatiivisia riskejä Sisäinen tai ulkoinen väärinkäytös Asiakastietojen paljastuminen asiattomille Laajamittainen haittaohjelmahyökkäys asiakkaiden koneille Laajamittainen it-katkos

Esimerkki: työeläkeyhtiöiden suurimmat riskit Pohdintaa: mitkä ovat työeläkeyhtiöiden suurimmat riskit? Sijoitusomaisuuden hupeneminen It-riskit, sisäiset tai ulkoiset It:n käyttökatkot Eläkkeiden maksujen myöhästyminen Toinen suuri riski on operatiivinen riski!

Hyviä käytäntöjä operatiivisten riskien hallintaan Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Hyviä käytäntöjä operatiivisten riskien hallintaan 1/2 Periaatteet, ohjeistus kunnossa op. riskin hallinnan periaatteet osana riskienhallinnan periaatteita ohjeet op. riskien arvioimiseksi, mittaamiseksi ja hallintaan kehikko ja toimintamalli op. riskien arvioimiseksi Organisointi, vastuutus selkeät selkeät vastuut ja raportointilinjat op. riskit yksikkö raportoi riskienhallintatoimikunnalle (tms. organisoitu riskienhallinnan osaksi oma yksikkö tai vastuuhenkilö Säännöllinen koulutus henkilöstölle ohjeet, toimintamalli Säännölliset riskiarviot liiketoimintayksiköissä op. riskien hallinta koordinoi ja opastaa mukana myös turvallisuuteen ja tietoturvallisuuteen liittyvät riskit itsearviointien tulokset riskienhallintaan, joka koostaa ja raportoi johdolle

Hyviä käytäntöjä operatiivisten riskien hallintaan 2/2 Operatiivisten riskien toteutumien kokoaminen aiheutuneet tappiot syy miten voidaan välttää jatkossa Säännöllinen raportointi johdolle ja hallitukselle johdolla ja hallituksella tulee olla käsitys suurimmista riskeistä ja ja siitä miten ne ovat hallinnassa kooste suurimmista toteutuneista operatiivisista riskeistä

Fivan tarkastuksia työeläkeyhtiöissä Työeläkelaitosten operatiivisten riskien kokonaistarkastuksia vuodesta 2010 alkaen operatiivisten riskien hallinta, rahanpesun estäminen ja asiakkaan tunteminen, it, tietoturvallisuus, jatkuvuussuunnittelu, maksujärjestelmät Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Joitakin poimintoja operatiivisten riskien tarkastushavainnoista Riskienhallinnan arviointitoimintoa vahvistettava Eri osa-alueiden periaatteita ja ohjeistusta tarkennettava operatiivisten riskien hallinta, jatkuvuussuunnittelu, rahanpesun estäminen/asiakkaan tunteminen Kehitettävä riskien/toteutuneiden tapahtumien/korjaavien toimenpiteiden/eri osa-alueiden tilanteen raportointia yhtiöiden hallituksille Prosessikuvauksia ja riskikartoituksia tarkennettava It-hankkeiden seurantaa tehostettava Maksuliikenteen varajärjestelyjä kehitettävä Asiakkaan tuntemisen ja rahanpesun estämisen koulutukseen panostettava enemmän

Esimerkki operatiivisten riskien valvonnasta: toiminnan jatkuvuuden valvonta Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Vakuutusalan varautumisohje Vakuutusalan poolin uudistettu varautumisohje Hyväksyttiin Vakuutusalan poolin kokouksessa 30.11.2011 voimaan 30.11.2011 ohjeen tarkoituksena on tukea toimijoiden varautumista ja valmiussuunnitelmien laatimista hyvä pohja toimijan omien varautumisjärjestelyjen suunnitteluun ja toteuttamiseen

Toiminnan jatkuvuuden valvonta Varautuminen häiriöihin on osa valvottavan operatiivisten riskien hallintaa ja valvottavan johdon vastuulla. Fivan tehtävä omalta osaltaan varmistaa, että varautumistoimet ovat riittäviä. Fivan keinovalikoima: sääntely ja ohjeistus varautumistoimenpiteiden tarkastaminen jatkuva valvonta osallistuminen viranomaisten ja toimialan yhteistyöhön varautumisasioissa Viime vuosina Fiva on tarkastanut runsaasti pankkien jatkuvuussuunnittelua. Jatkuvassa valvonnassa on korostunut jatkuvuus merkittävissä järjestelmähankkeissa. Myös vakuutusyhtiöiden, erityisesti työeläkeyhtiöiden jatkuvuussuunnittelua on tarkastettu.

Fivan sääntely jatkuvuussuunnittelun alueella Operatiivisten riskien hallinnan standardi (4.4 b) sisältää Fivan antamat määräykset ja suositukset jatkuvuussuunnittelusta ja poikkeusolojen varautumisesta pankeille. keskeisillä liiketoiminnoilla oltava ajantasaiset ja riittävät jatkuvuussuunnitelmat (ylin johto vastaa) määriteltävä vastuut jatkuvuussuunnittelulle (toimiva johto vastaa) kartoitettava ja priorisoitava liiketoimintaprosessit laadittava liiketoimintojen uhka- ja haavoittuvuusanalyysit laadittava tietojärjestelmien toipumissuunnitelmat varauduttava ulkoisten sidosryhmien toiminnan häiriöihin jatkuvuussuunnitelmia pidettävä ajan tasalla ja testattava jatkuvuussuunnittelu nähtävä prosessina vaatimukset poikkeusolojen tietojenkäsittelylle vaatimus valmiussuunnitelman laatimiseksi (voi olla osana jatkuvuussuunnitelmaa) Fivan antama ohje vakuutussektorille poikkeusoloihin varautumisesta

Fivan jatkuvuussuunnittelutarkastukset Tähän asti on tarkastettu lähinnä pankkien ja työeläkeyhtiöiden jatkuvuussuunnittelua Muillakin tarkastuksilla (esim. maksujärjestelmätarkastukset) on käyty läpi jatkuvuussuunnitelmia Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

Tarkastusprosessi jatkuvuussuunnittelutarkastuksilla lähetä valvottavalle tarkastuksen aloituskirje, tarkastussuunnitelma sekä ennakkokysymykset ja ennakkomateriaalipyyntö analysoi ennakkomateriaali tarkastus paikan päällä valvottavassa (2 5 päivää) laadi sisäinen tarkastusmuistio esittele keskeiset tarkastushavainnot valvottavalle (palaveri) lähetä tarkastuskirje analysoi valvottavan vastaus tarkastuskirjeeseen

Jatkuvuussuunnittelutarkastuksella läpikäytäviä asioita jatkuvuussuunnittelun strategiat, periaatteet ja ohjeistus jatkuvuussuunnittelun organisaatio ja vastuutus jatkuvuussuunnitteluprosessi jatkuvuussuunnitelmien tilanne ja ajantasaisuus ulkoistettujen toimintojen jatkuvuuden turvaaminen tärkeimpien jatkuvuussuunnitelmien läpikäynti IT-varajärjestelyt ja toipumissuunnittelu jatkuvuussuunnittelun kytkennät poikkeusolojen valmiussuunnitteluun jatkuvuussuunnitteluun liittyvä juridiikka

Havaintoja jatkuvuustarkastuksilta Valvottavat ovat panostaneet jatkuvuussuunnitteluun IT-infra: suuremmilla toimijoilla yleensä 2 rinnakkain toimivaa konekeskusta Kriittisille toiminnoille on laadittu jatkuvuussuunnitelmat Kehittämiskohteita joissakin tapauksissa Jatkuvuussuunnitelmia tulee tarkentaa, ne eivät aina ohjaa toimintaa riittävän tarkasti. Jatkuvuussuunnitelmia tulee testata paremmin. Tietoja ei yleensä ole varmistettu kahden rinnakkain toimivan konekeskuksen ulkopuolelle.

Mitä jatkossa? IT on IT:tä, tietoturvallisuus on tietoturvallisuutta riippumatta toimialasta, mutta toimiala vaikuttaa Valmiit kehikot, best practices Esim. Cobit, Fiva käyttänyt Cobit-pohjaista kyselyä Liiketoiminnan jatkuvuussuunnittelu Solvenssi II Sisäisten mallien hyväksyntä järjestelmät, laskentamoduulit, data? Raportointi kontrollit, järjestelmät? IT Governance? Ei kannata mennä tutkimaan lokeja tai käyttövaltuuksia jos ICT-toiminnan tavoitteet, keinot tavoitteisiin pääsemiseksi tai mittarit ovat hukassa. IT-riskienhallinta systemaattiset menettelyt, raportointi ym.? Kyberturvallisuus Ulkoistaminen

Finanssikriisin vaikutukset operatiivisten riskien valvontaan Finanssialan toimijoilla säästöpaineita, toimintoja tehostetaan Tehostamisen myötä haetaan koko ajan lisää myös ulkoistamismahdollisuuksia. Pilvipalvelut. Valvottavien on turvattava riittävät resurssit riskienhallintaan ja riskienvalvontaan Keskeisten palvelujen ja kanavien palvelutaso ja häiriöttömyys on turvattava (esim. verkkopankki, maksuliikenne, korttimaksut, käteisnostot) Ulkoistamiseen liittyvät riskit hallittava ja turvattava riittävä osaaminen keskeisten palvelujen tuottamisessa. Osaamistarpeen siirtyminen palvelujen tuottamisesta ja kehittämisestä palvelujen hankintaan ja toimittajaketjun hallintaan.

Toimintaa riskit halliten Finanssivalvonta Finansinspektionen Financial Supervisory Authority 12.12.2013 Markku Koponen

KIITOS! Kysymyksiä? Markku.Koponen@finanssivalvonta.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute