Standardi 4.4b Operatiivisten riskien hallinta Määräykset ja ohjeet
Miten luet standardia Standardi on aihealueittainen määräysten ja ohjeiden kokonaisuus, joka velvoittaa tai ohjaa valvottavia ja muita rahoitusmarkkinoilla toimivia, osoittaa valvojan tavoitteena olevan laatutason ja näkemyksen hyvästä menettelytavasta sekä perustelee sääntelyä. Standardissa esitetyt päivämäärät: Annettu Finanssivalvonta on tehnyt päätöksen ko. kappaleen antamisesta. Voimaan Kappale on astunut voimaan. Standardin jokaisella kappaleella on oma marginaali-merkintänsä: Normi: Viittaus voimassa olevaan lain tai asetuksen säännökseen. : Finanssivalvonnan määräyksenantovaltuutensa nojalla antama velvoittava määräys valvottavalle tai muulle rahoitusmarkkinoilla toimivalle. Suositus: Finanssivalvonnan suositusluonteinen toimintaohje valvottavalle tai muulle rahoitusmarkkinoilla toimivalle. Soveltamisohje/-esimerkki: Normiin, an tai Suositukseen liittyvä käytännön soveltamisohje tai esimerkki. Viittaus Finanssivalvonnan standardiin tai standardin osaan. Katso viereinen esimerkki. Perustelu: Avaa sääntelyn ja säännösten tarkoitusta, tavoitteita ja taustaa. Finanssivalvonnan standardit ovat luettavissa osoitteessa.
dnro 3/120/2004 3 (41) SISÄLLYSLUETTELO 1 Soveltaminen 5 2 Tavoitteet 7 3 Kansainvälinen viitekehys 8 4 Normiperusta 9 5 Operatiivisten riskien hallinnan järjestäminen 12 5.1 Operatiivisten riskien määritelmä 12 5.2 Operatiivisten riskien hallinnan organisointi ja valvonta 13 5.3 Operatiivisten riskien hallinnan perusteet 14 5.3.1 Operatiivisten riskien tunnistaminen 14 5.3.2 Operatiivisten riskien arviointi ja rajoittaminen 14 5.4 Uuden tuotteen tai palvelun hyväksymismenettely 15 5.5 Operatiivisten riskien seuranta ja raportointi 16 6 Operatiivisten riskien hallinnan osa-alueita 19 6.1 Prosessit 19 6.2 Oikeudellinen riski 20 6.3 Henkilöstö 21 6.4 Jatkuvuussuunnittelu 22 6.5 Varautuminen poikkeusoloihin 23 6.6 Tietojärjestelmät 27
dnro 3/120/2004 4 (41) 6.7 Tietoturvallisuus 28 6.7.1 Tietoturvallisuuden määritelmä ja perusvaatimukset 28 6.7.2 Tietoturvallisuusvastuut ja organisointi 29 6.7.3 Tietoturvallisuuteen liittyvien riskien arviointi 29 6.7.4 Tietojen ja järjestelmien omistajuus 29 6.7.5 Käyttövaltuudet 30 6.7.6 Tietoturvallisuusohjeistus ja koulutus 30 6.7.7 Tietoturvatapausten käsittely 30 6.7.8 Tietoturvallisuuden varmistaminen tietoverkoissa 30 6.7.9 Tietoturvallisten palveluiden rakentaminen 31 6.8 Maksujärjestelmät ja maksujenvälitys 33 6.9 Rahoitusjärjestelmän lainvastaisen hyväksikäytön estäminen (kumottu) 34 7 Raportointi Finanssivalvonnalle 35 8 Määritelmät 36 9 Lisätiedot 40 10 Standardin muutoshistoria 41
dnro 3/120/2004 5 (41) 1 SOVELTAMINEN Annettu: 12.10.2010 Voimaan: 1.11.2010 (1) Tätä standardia sovelletaan seuraaviin yhteisöihin: luottolaitokset sijoituspalveluyritykset, joihin sovelletaan sijoituspalveluyrityksistä annetun 46 :n mukaisesti luottolaitostoiminnasta annetun lain (LLL) 5 ja 6 luvun säännöksiä rahastoyhtiöt, jotka harjoittavat sijoitusrahastolain 5 :n 2 momentissa tarkoitettua toimintaa luottolaitosten ja sijoituspalveluyritysten omistusyhteisöt talletuspankkien yhteenliittymien keskusyhteisöt (2) Lisäksi sitoviksi merkityt kappaleet velvoittavat rahoitusalapainotteisten rahoitus- ja vakuutusryhmittymien emoyrityksiä. Annettu: 22.6.2010 Voimaan: 1.9.2010 (3) Standardin lukua 6.5. sovelletaan niihin valvottaviin ja yhteisöihin, jotka ovat velvollisia varautumaan valmiuslain (1080/1991) tarkoittamiin poikkeusoloihin. Näitä ovat luottolaitokset ja sellaiset rahoituslaitokset, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja rahastoyhtiöt ulkomaisten luottolaitosten sivukonttorit ja sellaisten ulkomaisten rahoituslaitosten sivukonttorit, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja arvopaperikeskus. Varautumista koskevat rajaukset on mainittu niissä laeissa, joissa edellä mainittujen toimijoiden varautumisvelvollisuudesta on säädetty. Lisäksi Finanssivalvonta suosittelee, että arvopaperipörssi sekä selvitysyhteisö noudattaisivat standardin lukua 6.5.
dnro 3/120/2004 6 (41) (4) Standardin soveltamisalaan kuuluvat yhteisöt poikkeavat toisistaan mm. toiminnan laajuudeltaan, organisaatioltaan ja asiakasrakenteeltaan sekä rahoituspalveluiden lukumäärän ja monimutkaisuuden suhteen. Siksi operatiivisten riskien hallinnassa ja valvonnassa voi olla erilaisia käytännön ratkaisuja toiminnan painopisteiden ja erityispiirteiden mukaan. Annettu: 22.6.2010 Voimaan: 1.9.2010 (5) Standardissa esitetyt riskien hallinnan keskeiset periaatteet ovat sitovia. Periaatteita täsmentäviä yksityiskohtaisia määräyksiä on mahdollista noudattaa soveltuvin osin, jos valvottavan organisaatio on pieni, jos liiketoimintasuunnitelmassa vahvistettu riskinottotaso on alhainen, jos valvottavan liiketoiminta on suppeata, yksinkertaista tai muuten läpinäkyvää tai jos toimiva johto osallistuu aktiivisesti päivittäisen liiketoiminnan päätöksentekoon. Jotta sitovia säännöksiä voidaan noudattaa vain soveltuvin osin, tarvitaan aina ylimmän johdon erityinen päätös. Valvottavan pitää aina varmistaa, että sisäinen valvonta ja riskienhallinta ovat riittäviä ja oikeassa suhteessa operatiivisiin riskeihin. (6) Kumottu 1.9.2010 voimaantulleella standardilla 2.4 Asiakkaan tunteminen - rahanpesun, terrorismin rahoittamisen sekä markkinoiden väärinkäytön estäminen. (7) Samaan konsolidointiryhmään kuuluvilla yhteisöillä pitää olla yhteneväiset riskienhallintaperiaatteet. Rahoitusalapainotteisen rahoitus- ja vakuusryhmittymän emoyrityksen tulee varmistaa, että ryhmittymän kaikilla yrityksillä on toimintaansa nähden riittävät riskienhallintajärjestelmät. (8) Standardissa käytetään yleisnimitystä "valvottava" kaikista standardin soveltamisalaan kuuluvista yhteisöistä.
dnro 3/120/2004 7 (41) 2 TAVOITTEET Annettu: 22.6.2010 Voimaan: 1.9.2010 (1) Tässä standardissa käsitellään operatiivisten riskien hallinnan periaatteita ja järjestämistä. Lähemmin tarkastellaan prosessien hallintaan, henkilöstöön, tieto- ja maksujärjestelmiin, tietoturvallisuuteen, jatkuvuussuunnitteluun sekä oikeudellisiin riskeihin liittyviä erityisalueita. (2) Teknologian kehitys, tuotteiden ja palveluiden kehittyminen, uudet riskienhallintamenetelmät, toimintojen ulkoistaminen, yritysjärjestelyt sekä toimintojen kansainvälistyminen ovat monimutkaistaneet toimintaympäristöä ja lisänneet operatiivisia riskejä rahoitus- ja sijoituspalveluiden tuottamisessa. Annettu: 22.6.2010 Voimaan: 1.9.2010 (3) Operatiivisten riskien hallintaa koskevan sääntelyn ja tämän standardin tavoitteena on varmistaa seuraavat asiat: Valvottava tunnistaa toimintaansa liittyvät operatiiviset riskit. Valvottava järjestää operatiivisten riskien hallinnan toimintansa laajuuden ja luonteen asettamien vaatimusten mukaisesti (organisointi, periaatteet ja menettelytavat, seuranta ja raportointi). Valvottava huolehtii riittävästä tietohallinnon ja tietoturvallisuuden tasosta. (4) Operatiiviseen riskiin liittyvien vahinkojen ja tapahtumien ilmoittaminen Finanssivalvonnalle on ohjeistettu raportointistandardissa RA4.2.
dnro 3/120/2004 8 (41) 3 KANSAINVÄLINEN VIITEKEHYS (1) Standardin luku 5 "Operatiivisten riskien hallinnan järjestäminen" pohjautuu pääosin Baselin pankkivalvontakomitean helmikuussa 2003 antamaan suositukseen "Sound Practices for the Management and Supervision of Operational Risk" (Basel Committee Publications No. 96). Tätä suositusta on käytetty lähteenä myös luvun 6 alaluvussa 6.4 "Jatkuvuussuunnittelu". Annettu: 22.6.2010 Voimaan: 1.9.2010 (2) Kumottu 1.9.2010 voimaantulleella standardilla 2.4 Asiakkaan tunteminen - rahanpesun, terrorismin rahoittamisen sekä markkinoiden väärinkäytön estäminen. (3) Standardin alaluvun 6.7 "Tietoturvallisuus" lähteenä on käytetty Baselin pankkivalvontakomitean heinäkuussa 2003 antamaa suositusta "Risk Management Principles for Electronic Banking" (Basel Committee Publications No. 98). (4) Alaluku 6.8 "Maksujärjestelmät ja maksujenvälitys" G10-maiden keskuspankkien muodostama komitea Committee on Payment and Settlement Systems (CPSS) on antanut tammikuussa 2001 suosituksen "Core Principles for Systemically Important Payment Systems" (CPSS publications No. 43).
dnro 3/120/2004 9 (41) 4 NORMIPERUSTA (1) Riskienhallintaa koskeva kansallinen sääntely perustuu seuraaviin EU:n direktiiveihin: Euroopan parlamentin ja neuvoston direktiivi 2006/48/EY luottolaitosten liiketoiminnan aloittamisesta ja harjoittamisesta (32006L0048); EUVL N:o L 177, 30.6.2006, s. 1 sekä Euroopan parlamentin ja neuvoston direktiivi 2006/49/EY sijoituspalveluyritysten ja luottolaitosten omien varojen riittävyydestä (32006L0049); EUVL N:o L 177, 30.6.2006, s.201. (2) Riskienhallintaa koskevat yksityiskohtaiset määräykset sisältyvät direktiivin 2006/48/EY 22 artiklaan ja V liitteeseen, jotka koskevat luottolaitoksen luotettavan hallinnon, sisäisen valvonnan ja riskienhallinnan järjestämistä osana luottolaitoksen toiminnan aloittamisen edellytyksiä. Direktiivin 2006/48/EY liite V sisältää tarkentavia vaatimuksia päätöksenteko-, ohjausja valvontajärjestelmistä sekä riskien luokittelusta ja käsittelystä. Annettu: 22.6.2010 Voimaan: 1.9.2010 (3) Kumottu 1.9.2010 voimaantulleella standardilla 2.4 Asiakkaan tunteminen - rahanpesun, terrorismin rahoittamisen sekä markkinoiden väärinkäytön estäminen Annettu: 12.10.2010 Voimaan: 1.11.2010 (4) Vastaavat vaatimukset koskevat sijoituspalveluyrityksiä sijoituspalveluyritysten ja luottolaitosten oman pääoman riittävyydestä annetun neuvoston direktiivin 34 artiklan perusteella. Sen mukaan jokaisen sijoituspalveluyrityksen on täytettävä direktiivin 2006/48/EY artiklan 22 vaatimukset. (5) Riskienhallinnasta, ml. operatiivisten riskien hallinta, on säädetty kansallisesti luottolaitostoiminnasta annetun lain (121/2007) (jäljempänä luottolaitoslaki) 49 :n 1 momentissa, joka sisältää yleissäännöksen riskienhallinnasta. Konsolidointiryhmää koskeva vastaava säännös sisältyy lain 74 :ään. luottolaitostoiminnasta annetun lain (121/2007) 54 :n 2 momentis-
dnro 3/120/2004 10 (41) sa, joka edellyttää, että luottolaitoksella on vakavaraisuuden hallinnan ja riskienhallinnan periaatteet ja menettelytavat. Konsolidointiryhmää koskeva vastaava säännös sisältyy lain 78 :n 2 momenttiin. sijoituspalveluyrityksistä annetun lain (922/2007) 46 :n 1 momentissa, jonka mukaan LLL:n 49 ja 52 :iä sovelletaan myös lainkohdassa tarkoitettuihin sijoituspalveluyrityksiin sijoitusrahastolain (48/1999) 6 :n 5 momentissa, jonka mukaan rahastoyhtiön, joka harjoittaa lain 5 :n 2 momentissa tarkoitettua toimintaa, on täytettävä sijoituspalveluyrityksistä annetun lain 46 :n 1 momentissa säädetyt vaatimukset sijoitusrahastolain (48/1999) 30 a :n 1 momentissa, joka sisältää sisäistä valvontaa ja riittäviä riskienhallintajärjestelmiä koskevat vaatimukset talletuspankkien yhteenliittymästä annetun lain (599/2010) 18 :ssä, joka sisältää yleissäännöksen riskienhallinnasta rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain (699/2004) 16 :n 1 ja 2 momenteissa, jotka sisältävät yleissäännöksen riskienhallinnasta. Annettu: 22.6.2010 Voimaan: 1.9.2010 (6) Finanssivalvonnan ohjeet poikkeusoloihin varautumisesta perustuvat seuraaviin säännöksiin: laki luottolaitostoiminnasta (121/2007) 123 sijoitusrahastolaki (48/1999) 4a laki ulkomaisen luotto- ja rahoituslaitoksen toiminnasta Suomessa (1608/1993) 13a laki arvo-osuusjärjestelmästä (826/1991) 13a. Annettu: 22.6.2010 Voimaan: 1.9.2010 (7) Kumottu 1.9.2010 voimaantulleella standardilla 2.4 Asiakkaan tunteminen - rahanpesun, terrorismin rahoittamisen sekä markkinoiden väärinkäytön estäminen Annettu: 12.10.2010 Voimaan: 1.11.2010 (8) Finanssivalvonnan oikeus antaa standardin aihepiiriä koskevia sitovia määräyksiä perustuu seuraaviin säännöksiin: luottolaitostoiminnasta annetun lain (121/2007) 93 :n 1 momenttiin ja 145 :n 3 momenttiin sijoituspalveluyrityksistä annetun lain 46 :n 1 momentista ja sijoitusrahastolain 6 :n 5 momentista seuraa, että LLL 49 :n ja LLL 52 :n soveltamisesta LLL 93 :n 1 momentin nojalla annetut Finanssivalvonnan määräykset velvoittavat myös mainituissa lainkohdissa tarkoitettuja sijoituspalveluyrityksiä, sijoituspalveluyritysten omistusyhteisöjä sekä rahastoyhtiöitä talletuspankkien yhteenliittymästä annetun lain 18 :stä seuraa, että LLL 49 :n soveltamisesta LLL 93 :n 1 momentin nojalla annetut Fi-
dnro 3/120/2004 11 (41) nanssivalvonnan määräykset velvoittavat myös talletuspankkien yhteenliittymän keskusyhteisöä sijoitusrahastolain 30 a :n 3 momentin nojalla Finanssivalvonta voi antaa määräyksiä rahastoyhtiön riskienhallintajärjestelmille ja muulle sisäiselle valvonnalle sekä luotettavalle hallinnolle asetettavista vaatimuksista. rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain 16 :n nojalla Finanssivalvonta voi antaa ryhmittymän emoyritykselle määräyksiä sisäisen valvonnan ja riskienhallinnan järjestämisestä sekä luotettavaa hallintoa koskevista vaatimuksista.
dnro 3/120/2004 12 (41) 5 OPERATIIVISTEN RISKIEN HALLINNAN JÄRJESTÄMINEN 5.1 Operatiivisten riskien määritelmä Perustelu (1) Operatiivisten riskien hallinta on osa valvottavan riskienhallintaa. Liiketoiminnasta aiheutuvat ja siihen olennaisesti liittyvät riskit tulee tunnistaa, arvioida, mitata, rajoittaa ja valvoa. Riskienhallinnalla pyritään vähentämään ennakoimattomien tappioiden todennäköisyyttä tai uhkaa valvottavan maineelle. Perustelu (2) Operatiivisilla riskeillä tarkoitetaan tappionvaaraa, joka aiheutuu riittämättömistä tai epäonnistuneista sisäisistä prosesseista henkilöstöstä järjestelmistä ulkoisista tekijöistä. Oikeudelliset riskit sisältyvät operatiivisiin riskeihin. Strategiset riskit on tässä rajattu operatiivisten riskien ulkopuolelle. Perustelu (3) Operatiivisen riskin aiheuttama tappio ei ole kaikissa tapauksissa mitattavissa. Riski voi myös toteutua viiveellä ja ilmetä välillisesti esimerkiksi valvottavan maineen ja arvostuksen heikkenemisenä. Perustelu (4) Operatiiviset riskit poikkeavat luonteeltaan luotto- ja markkinariskeistä. Operatiivisten riskien hallinta on yleensä riskien minimoimista. Rajanveto eri riskialueiden välillä ei aina ole mahdollista. Esimerkiksi luotto- ja kaupankäyntiprosessien eri vaiheisiin sisältyy sekä operatiivisia riskejä että luotto- ja markkinariskejä. Suositus (5) Valvottavan on tarpeen laatia sen omasta liiketoiminnasta johdettu operatiivisten riskien määritelmä, jossa otetaan huomioon valvottavan toiminnan erityispiirteet.
dnro 3/120/2004 13 (41) 5.2 Operatiivisten riskien hallinnan organisointi ja valvonta (6) Operatiivisia riskejä on hallittava ja arvioitava itsenäisenä riskialueena. Ylimmän johdon on hyväksyttävä operatiivisten riskien hallinnan periaatteet, ja niitä on määräajoin arvioitava uudelleen niin, että otetaan huomioon muutokset toimintaympäristössä ja valvottavan omassa liiketoiminnassa. Periaatteiden tulee kattaa operatiivisten riskien tunnistaminen sekä riskien arvioinnissa, valvonnassa ja rajoittamisessa käytettävät menettelyt. Operatiivisten riskien hallinnan periaatteissa on määriteltävä tärkeimmät operatiivisten riskien hallintaprosessit. (7) Ylimmän johdon on oltava selvillä valvottavan eri liiketoiminta-alueiden tärkeimmistä operatiivisista riskeistä. Osana sisäisen valvonnan järjestämistä ylimmän johdon on saatava säännöllisesti raportit valvottavan tärkeimmistä operatiivisista riskeistä. (8) Toimivan johdon on huolehdittava operatiivisten riskien hallinnan periaatteiden käytännön toteuttamisesta kaikissa valvottavan toiminnoissa, ja sen on varmistettava, että jokainen työntekijä tunnistaa omaan toimintaansa liittyvät operatiiviset riskit ja niiden hallintaan liittyvät menettelytavat. Toimiva johto vastaa valvottavan tuotteisiin, palveluihin, toimintoihin, prosesseihin sekä järjestelmiin liittyvien operatiivisten riskien hallinnan menettelytapojen kehittämisestä ja ylläpidosta. (9) Liiketoimintayksiköiden ja muiden operatiivisten riskien hallinnasta vastaavien toimintojen vastuu- ja raportointisuhteiden on oltava selkeät ja kattavat. Riskinoton valvonnasta vastaa riskiä ottavasta liiketoiminnasta ja riskienhallinnasta riippumaton riskienhallinnan arviointitoiminto. 1 (10) Ylimmän ja toimivan johdon on edistettävä sellaisen yrityskulttuurin muodostumista, joka hyväksyy sisäisen valvonnan normaalina ja tarpeellisena osana yritystoimintaa. Tehokas sisäinen valvonta edellyttää, että työtehtävät ja päätöksenteko on asianmukaisesti eriytetty. (11) Ylimmän johdon on huolehdittava, että sisäinen tarkastus arvioi säännöllisesti valvottavan operatiivisten riskien hallinnan tehokkuutta ja kattavuutta. Sisäinen tarkastus toimintona ei saa olla välittömästi vastuussa operatiivisten riskien hallinnasta. 1 Finanssivalvonta; Standardi 4.1, Sisäisen valvonnan järjestäminen, kappale 5.3. "Riskienhallinnan arviointitoiminto ylläpitää, kehittää ja valmistelee riskienhallinnan periaatteita ylimmän johdon vahvistettaviksi sekä laatii menetelmiä käytettäväksi riskien arvioimisessa ja mittaamisessa. Sen on jatkuvasti varmistettava, että jokainen riski pysyy sallituissa rajoissa ja että jokaista riskiä mittaavat menetelmät ovat asianmukaiset. Riskienhallinnan arviointitoiminnon on myös varmistettava, että kaikkien liiketoiminnassa otettujen merkittävien riskien yhteisvaikutus valvottavan ja sen konsolidointiryhmän tulokseen ja omiin varoihin raportoidaan ylimmälle ja toimivalle johdolle."
dnro 3/120/2004 14 (41) (12) Operatiivisten riskien hallintaa järjestettäessä tulee noudattaa myös Finanssivalvonnan määräyskokoelman Vakavaraisuus ja riskienhallinta -pääjaksoon kuuluvia standardeja 4.1 Sisäinen valvonta ja riskienhallinta, 4.2 Valvottavan vakavaraisuuden hallinta sekä 4.3i Operatiivisen riskin vakavaraisuusvaatimus. 5.3 Operatiivisten riskien hallinnan perusteet 5.3.1 Operatiivisten riskien tunnistaminen (13) Valvottavan on tunnistettava liiketoiminta-alueittain kaikkiin merkittäviin tuotteisiinsa, palveluihinsa, toimintoihinsa, prosesseihinsa ja järjestelmiinsä liittyvät operatiiviset riskit. Operatiivisten riskien tunnistaminen luo perustan niiden valvonnalle ja niitä koskevien kontrollien suunnittelulle. 5.3.2 Operatiivisten riskien arviointi ja rajoittaminen Perustelu (14) Operatiivisista riskeistä aiheutuvia tappioita voidaan vähentää toisaalta pienentämällä riskien toteutumisen todennäköisyyksiä sekä toisaalta pienentämällä valvottavan haavoittuvuutta riskin toteutuessa. Riskin toteutumisen todennäköisyys X Vahinko riskin toteutuessa, = vaikutus Tappion odotusarvo Soveltamisesimerkki Soveltamisesimerkki (15) Operatiivisten riskien arvioinnissa on toiminnoittain otettava huomioon riskien toteutumisen todennäköisyys ja vaikutukset vahingon sattuessa. (16) Tärkeimmistä tunnistetuista operatiivisista riskeistä on valvottavan päätettävä, miten näitä riskejä valvotaan, kannetaanko riskit sellaisenaan, pyritäänkö riskejä vähentämään vai vetäydytäänkö operatiivisia riskejä aiheuttavasta liiketoiminnasta. (17) Riskien arvioinnissa analysoidaan haitallisesti vaikuttavia sisäisiä ja ulkoisia tekijöitä. Sisäisiä tekijöitä ovat esimerkiksi valvottavan rakenne, organisaatiomuutokset, tarjottavien tuotteiden tai palveluiden monimutkaisuus, henkilöstön ammattitaito ja vaihtuvuus. Ulkoisia tekijöitä ovat esimerkiksi teknologian kehitys ja toimintojen kansainvälisyys. (18) Ennalta sovittujen menettelytapojen käyttö riskien arvioinnissa parantaa arvioinnin tasoa. Sovellettavia menetelmiä voivat olla määrämuotoiset itsear-
dnro 3/120/2004 15 (41) viointilomakkeistot, vahinkotilastointi sekä itselle tai muille sattuneiden vahinkojen läpikäynti. Kun tarkastellaan muille osapuolille sattuneita vahinkoja vertaamalla niitä valvottavan omaan toimintaan, on mahdollista selvittää, olisiko jossain valvottavan omassa yksikössä voinut tapahtua vastaavaa, mitä siitä olisi voinut aiheutua sekä miten vahinkoja voitaisiin estää. (19) Operatiivisista riskeistä aiheutuvia vahinkoja voidaan rajoittaa myös vakuutuksilla. Toimivan johdon on huolehdittava siitä, että vakuutusturvan riittävyyttä ja kustannuksia arvioidaan säännöllisesti niin, että otetaan huomioon muutokset valvottavan liiketoiminnassa. Lisäksi tulee arvioida vakuutussopimuksista aiheutuvia vastapuoliriskejä sekä vakuutusyhtiöiden vakavaraisuutta. Toiminnan merkittäviin häiriöihin varaudutaan jatkuvuussuunnittelulla. 5.4 Uuden tuotteen tai palvelun hyväksymismenettely Soveltamisohje Suositus (20) Uuden tuotteen tai palvelun riskit on arvioitava ennen käyttöönottoa. Arviointi on tehtävä myös uuden palvelumallin käyttöönoton yhteydessä, jos tuotteita ja palveluita on yhdistelty uudella tavalla. Sisäiseen valvontaan ja riskienhallintaan on tehtävä uusien tuotteiden tai palveluiden vaatimat muutokset. Valvottavan on oltava erityisen huolellinen laajentaessaan liiketoimintaansa markkina-alueelle, josta sillä ei ole aikaisempaa kokemusta. Tällöin on myös huolehdittava, että uusi toiminta kuuluu valvottavalle sallitun liiketoiminnan piiriin. (21) Valvottavan on ohjeistettava uuden tuotteen tai palvelun hyväksymismenettely. Päätös uuden tuotteen tai palvelun käyttöönotosta tehdään vahvistettujen päätöksentekovaltuuksien mukaisesti. Päätökseen liitetään syntynyt dokumenttiaineisto. Soveltamisohje/-esimerkki (22) Uuden tuotteen tai palvelun hyväksymismenettelyn on katettava seuraavia asioita: kuvaus tuotteesta tai palvelusta tuotteen tai palvelun sopivuus toimintastrategiaan riskikartoitukset (arviot tuotteeseen/palveluun liittyvistä riskeistä) sisäisen valvonnan ja riskienhallinnan järjestäminen (ainakin seuraavat riskialueet: luottoriski, markkinariski, likviditeettiriski, operatiiviset riskit) tuotteeseen tai palveluun liittyvien prosessien läpikäynti (esimerkiksi tarjousvaihe, asiakkaan tunnistaminen, myynti, tuotanto, selvitys- ja maksuliikenne) oikeudelliset kysymykset, sopimuksentekovaltuudet tietotekniikka, tietoliikenne ja tietoturva ulkoinen ja sisäinen laskenta
dnro 3/120/2004 16 (41) verotusnäkökohdat hinnoittelu, mahdolliset arvostukset ja hinnoittelumallien käyttö arvio vaikutuksista kannattavuuteen ja vakavaraisuuteen koulutus ja ohjeistus. 5.5 Operatiivisten riskien seuranta ja raportointi Soveltamisesimerkki (23) Valvottavan on säännöllisesti seurattava ja arvioitava havaitsemiensa operatiivisten riskien luonnetta, riskien toteutumisen todennäköisyyksiä ja tappion määrää riskien mahdollisesti toteutuessa. Lisäksi on luotava ennakoivat menettelyt ja mittarit operatiivisten riskien havaitsemiseksi. (24) Valvottavan on syytä arvioida operatiivisten riskien kasvua ennakoivia tekijöitä. Näitä ovat esimerkiksi merkittävä muutos liiketoiminnan laajuudessa, uusien tuotteiden tai palveluiden käyttöönotto, työntekijöiden suuri vaihtuvuus, avoimien paikkojen vaikea tai hidas täyttäminen, asiakasvalitukset sekä lisääntyneet toiminta- tai palvelukatkokset. Laskentajärjestelmistä ja muista tietojärjestelmistä saatavaa informaatiota on syytä hyödyntää, kun arvioidaan operatiivisten riskien kasvua ennakoivia tekijöitä. (25) Toimivan johdon on saatava säännöllisesti raportteja operatiivisista riskeistä ja toteutuneista vahingoista. Valvottavan tulee laatia raportointiohjeet. Soveltamisohje/-esimerkki (26) Raporttien tulee sisältää taloudellista informaatiota, laadullisia analyysejä, arvioita sisäisten ja ulkoisten ohjeiden noudattamisesta sekä tietoa päätöksenteon kannalta merkittävistä ulkoisista tapahtumista ja toimintaympäristön muutoksista. Raporteista tulee ilmetä todetut ongelma-alueet, niiden perusteella tulee voida arvioida muutoksia operatiivisten riskien määrässä sekä niiden tulee tukea ennakoivaa riskienhallintaa. (27) Toimivan johdon on säännöllisesti arvioitava käytettyjen menetelmien ja raportointijärjestelmien ajanmukaisuutta, tarkkuutta ja tarkoituksenmukaisuutta. Raportoinnin sisällön laajuutta ja yksityiskohtaisuutta sekä raporttien jakelua ja raportointitiheyttä on säännöllisesti arvioitava. Suositus Annettu: 22.6.2010 Voimaan: 1.9.2010 (28) Sisäisen tappiotiedon keräämistä koskeva sitova säännös Finanssivalvonnan standardin 4.3i luvussa 9.2.1 koskee vain kehittyneen menetelmän käyttöönottaneita valvottavia. Finanssivalvonta suosittaa kuitenkin, että kaikki valvottavat aloittaisivat jo ennalta tappiotietojen keräämisen ja sisäisen tappiotiedoston rakentamisen, jotta mahdollinen siirtyminen kehittyneempiin menetelmiin tulevaisuudessa mahdollistuisi. Tappiotietojen keräämisen voidaan katsoa tukevan merkittävästi operatiivisten riskien hallintaa.
dnro 3/120/2004 17 (41) Soveltamisohje/-esimerkki Suositus (29) Operatiivisten riskien aiheuttamien tappioiden seuranta voidaan järjestää jäljempänä olevan esimerkkitaulukon mukaisesti. Raportoitavia tietoja ovat esimerkiksi kuvaus tapahtumasta, tapahtumaan johtaneet syyt, arvio suorista ja epäsuorista kustannuksista, mahdolliset vakuutuskorvaukset sekä toimenpiteet vahingon ennaltaehkäisemiseksi jatkossa. Lisäksi on syytä raportoida, mihin toimenpiteisiin on vahingon vuoksi ryhdytty sekä kuka on vastuussa korjaavista toimista ja mikä on niiden aikataulu. (30) Seurannan ja raportoinnin olennaisuutta varten valvottavan on syytä määritellä rahamääräinen taso, jota suuremmat tapahtumat raportoidaan. Pienistäkin vahingoista on raportoitava, jos niillä on periaatteellista merkitystä. Tappiotyyppi Sisäiset väärinkäytökset Ulkopuolisen aiheuttamat vahingot Työolot, työturvallisuus Menettelytavoista aiheutuvat tappiot Omaisuusvahingot Tietojärjestelmiin liittyvät ongelmat ja keskeytysvahingot Prosesseihin liittyvät ongelmat Esimerkkejä kavallus, petos, lahjuksen ottaminen, arvopaperimarkkinarikos tai -rikkomus, vahingonteko, valtuuksien puuttuminen (tai niiden ylittäminen), asiakastietojen väärinkäyttö, tahallinen position väärinraportointi, liikesalaisuuden rikkominen, kiristys varkaus, ryöstö, petos (esim. maksuvälineellä), väärennös, rahanpesu, murtautuminen tietojärjestelmään, haittaohjelman levittäminen, tietojärjestelmään kohdistuva palvelunestohyökkäys, pommiuhkaus, henkilöstöön kohdistuva uhkailu, kiristys työsopimuslain rikkomukset (mm. työaika, työturvallisuus), syrjinnästä aiheutuva korvausvaatimus, palkka-, korvaus- tai irtisanomisriidat, työmarkkinariidat lain ja hyvän tavan vastainen tai harhaanjohtava markkinointi ja palveluntarjonta, luottamuksellisten asiakastietojen väärinkäyttö (esim. markkinointiin), tiedonantovelvollisuuden laiminlyönti asiakkaille, salassapitovelvollisuuden laiminlyönti, selonottovelvollisuuden laiminlyönti, toimeksiantojen säännösten vastainen toteuttaminen, asiakasvarojen säännösten vastainen käsittely, arvopaperimarkkinarikos tai rikkomus, rahanpesu tulipalo, vesivahinko, tulva ohjelmistovirhe, tietoliikennehäiriö, käyttökatkos, laiterikko, sähkökatko, ulkoisen palveluntuottajan häiriö raportointivirhe, virhe asiakastiedoissa, tallennusvirhe tietojärjestelmään, hinnoitteluvirhe, sopimuksen pätemättömyys, puutteellinen dokumentointi, asiakirjan katoaminen, vakuushallinnan puutteet, asiak-
dnro 3/120/2004 18 (41) kaan toimeksiannon epäonnistunut toteutus, ulkoistetun palvelun häiriö, riita ulkopuolisen toimittajan kanssa, kirjanpitovirhe
dnro 3/120/2004 19 (41) 6 OPERATIIVISTEN RISKIEN HALLINNAN OSA-ALUEITA 6.1 Prosessit Perustelu (1) Prosessi on tietyn palvelun tai suoritteen tuottamiseksi muodostettu toimintojen ja resurssien kokonaisuus. Prosessien hallintaan liittyy asiakastyytyväisyys-, tehokkuus-, kannattavuus- ja laatunäkökohtia. Tässä standardissa keskitytään prosesseihin liittyvien operatiivisten riskien tunnistamiseen ja rajoittamiseen. Prosessien analysointi ja eri vaiheisiin liittyvien operatiivisten riskien arviointi auttavat valvottavaa tunnistamaan ja rajoittamaan operatiivisia riskejä. (2) Valvottavan on tunnistettava liiketoiminnan kannalta tärkeimmät prosessit. Erityistä huomiota prosesseissa on kiinnitettävä organisaatioyksiköiden sekä eri yritysten välisiin rajapintoihin, maiden rajojen ylityksiin sekä maksuliikenteeseen. Erityisesti suurivolyymisen tapahtumakäsittelyn riittävä dokumentointi ja ohjeistus on tärkeää. Prosessiin liittyvän ohjeistuksen on oltava riittävää ja ajantasaista. Soveltamisohje/-esimerkki Voimaan: 1.10.2007 (3) Prosessien eri vaiheisiin on asetettava kontrollit ja niiden tasoa on säännöllisesti arvioitava, erityisesti kun toiminnan laajuus ja sisältö muuttuvat tai prosesseihin tehdään muutoksia. Esimerkkejä kontrolleista ovat täsmäytykset ja useamman kuin yhden henkilön osallistuminen tapahtuman käsittelyyn. (4) Liiketoiminnan kannalta tärkeimmistä prosesseista on tarpeen laatia mahdollisimman yhdenmukainen kirjallinen dokumentaatio, jossa kuvataan esimerkiksi prosessiin liittyvät tehtävät, vaiheet ja niiden keskinäiset riippuvuudet, tieto- ja materiaalivirrat, raportointi, prosessin sidosryhmät (prosessin omistaja, asiakkaat, prosessiin osallistuva henkilöstö, organisaatioyksiköt, muut yritykset, muut sidosryhmät) sekä prosessiin liittyvät tietojärjestelmät. Prosessikuvausten tarkkuustason valintaan on kiinnitettävä huomiota, sillä esimerkiksi liian yksityiskohtaiset kuvaukset voivat olla hankalia ylläpitää. Prosessikuvausten laadinnassa on hyödynnettävä eri osa-alueita edustavien
dnro 3/120/2004 20 (41) henkilöiden osaamista. Prosessikuvaukset on päivitettävä säännöllisesti. Suositus (5) Myös projektien ja hankkeiden läpiviennissä on syytä noudattaa mahdollisimman yhtenäisiä periaatteita. Tärkeistä projekteista ja hankkeista pitää laatia riskiarviot etukäteen. 6.2 Oikeudellinen riski Perustelu (6) Oikeudellinen riski on operatiivinen riski, joka voi aiheutua ulkoisten tekijöiden, kuten toimintaympäristön muutosten, sekä valvottavan oman toiminnan vaikutuksesta. Oikeudellinen riski voi liittyä kaikkeen liiketoimintaan. Valvottavan toimintaan sovellettavien säädösten ja määräysten tulkintaan, soveltamisalaan sekä voimassaoloon liittyy epävarmuustekijöitä, joista voi aiheutua huomattavia tappioita ja joilla voi olla merkitystä valvottavan oikeudelliseen vastuuseen ja mahdolliseen korvausvelvollisuuteen. Lisäksi sopimusten voimassaoloon ja sisältöön liittyvät riitaisuudet voivat vaikuttaa haitallisesti valvottavan toimintaan. Epäedullisista sopimuksista irtautumiseen ja korvaavan sopimuksen solmimiseen voi liittyä tappion vaara. Tämä koskee erityisesti vakioehtoisten sopimusten käyttöä. Myös valvottavan julkistamiin dokumentteihin, kuten esitteisiin ja mainontaan, voi liittyä vahingonkorvauksen mahdollisuus tai maineen ja arvostuksen heikkenemisen riski. (7) Valvottavan ylimmän johdon on tunnistettava toimintaan liittyvät merkittävät oikeudelliset riskit sekä varmistettava, että oikeudellisten riskien hallinta on riittävällä tavalla järjestetty. Toimivan johdon on järjestettävä oikeudellisten riskien hallinta ja osoitettava tarvittavat voimavarat oikeudellisen riskin tunnistamiseen, seurantaan ja rajoittamiseen eri liiketoiminta-alueilla. Valvottavalla tulee olla riittävä asiantuntemus sekä valvottavaa koskevasta lainsäädännöstä että viranomaisten antamista määräyksistä. Varsinkin keskeisten viranomaismääräysten asiantuntemus on oltava aina valvottavan palveluksessa olevilla henkilöillä. Oikeudellisen riskin hallintaa koskevien vastuusuhteiden on oltava selkeästi määritellyt. Suositus (8) Oikeudellisen riskin hallitsemiseksi valvottavalla on oltava sopimusten ja muiden oikeustoimien solmimista varten riittävä asiantuntemus. Sopimusten pätevyyden varmistamiseksi valvottavalla on oltava riittävä tietämys sopimuskumppanissa sovellettavista päätöksentekovaltuuksista. Sopimuksiin liittyvä aineisto on tarpeellisella tavalla arkistoitava ja sopimusten voimassaoloa sekä niistä mahdollisesti johtuvia tulkintaerimielisyyksiä tai riitoja on seurattava. (9) Valvottavan on tarpeen seurata sekä lainsäädännön että kansainvälisen sääntelyn muutoksia, jolloin se voi ennakolta valmistautua uusien lakien ja
dnro 3/120/2004 21 (41) määräysten asettamiin vaatimuksiin. Valvottavan on tarpeellista tuntea omaan alaansa liittyvä oikeuskäytäntö. Lisäksi rahoitus- ja vakuutusryhmittymän emoyhtiön on huolehdittava, että ryhmittymään kuuluvilla yhteisöillä on riittävä asiantuntemus molempien sektorien säännöksistä ja määräyksistä. Muissa valtioissa toimintaa harjoittavan valvottavan on otettava huomioon, että keskeiset oikeusperiaatteet ja oikeuskäytäntö voivat vaihdella huomattavasti eri valtioiden välillä. 6.3 Henkilöstö (10) Osana operatiivisten riskien hallintaa valvottavan ylimmän johdon on vahvistettava periaatteet, joilla varmistetaan, että valvottavan palveluksessa työskentelevien ja rekrytoitavien henkilöiden ammattitaito on riittävä suhteutettuna työtehtäviin sekä valvottavan kokoon, toiminnan laajuuteen ja luonteeseen. (11) Ammattitaidolla tarkoitetaan henkilön kelpoisuutta, riittävää koulutusta ja kokemusta sekä henkilön kykyä suoriutua tehtävistään. Valvottavalla on oltava menettelytavat, joilla varmistetaan, että henkilöstö täyttää jatkuvasti sen ammattitaidolle asetetut vaatimukset. Uuden työntekijän hyvämaineisuuteen ja taustoihin on kiinnitettävä huomiota. (12) Toimivan johdon on varmistettava, että tehtävien hoitamiseen on varattu riittävästi henkilöstöä. Liiketoiminnan jatkuvuuden turvaamiseksi on erityisesti avaintehtäviä hoitavilla henkilöillä oltava varahenkilöt sairastumisen, tapaturman tai yllättävän palvelusuhteen päättymisen varalta. Resurssoinnissa on otettava huomioon myös prosessien kuormitushuiput. (13) Valvottavan ylimmän johdon on vahvistettava salassapitoa koskevat periaatteet. Niillä pyritään varmistamaan, ettei valvottavan toimihenkilö ilmaise asiakkaan tai muun valvottavan toimintaan liittyvän henkilön taloudellista asemaa tai henkilökohtaisia oloja koskevaa seikkaa taikka liike- tai ammattisalaisuutta, jollei se, jonka hyväksi vaitiolovelvollisuus on annettu, anna suostumustaan sen ilmaisemiseen. (14) Valvottavan ylimmän johdon on vahvistettava palkitsemisjärjestelmiä koskevat periaatteet. Niissä on varmistettava, etteivät palkitsemisjärjestelmät houkuttele ei-toivottuihin menettelytapoihin tai hallitsemattomaan riskinottoon.
dnro 3/120/2004 22 (41) 6.4 Jatkuvuussuunnittelu Perustelu (15) Valvottavan liiketoiminnan jatkuvuussuunnittelulla tarkoitetaan varautumista liiketoiminnan keskeytyksiin siten, että valvottava pystyy jatkamaan toimintaansa ja rajoittamaan tappioita erilaisissa liiketoimintaa kohtaavissa häiriötilanteissa. Tällaisia häiriötilanteita ovat muun muassa valvottavan henkilöstöä, toimitiloja, tietojärjestelmiä tai tietoliikennettä kohdanneet vahingot tai tahalliset teot, vesivahingot, tulipalot sekä katkot esimerkiksi sähkön, lämmön tai veden saannissa. Jatkuvuussuunnittelussa laaditaan tärkeimmille liiketoiminta-alueille jatkuvuussuunnitelmat, joiden pohjalta toimintaa jatketaan mahdollisessa häiriötilanteessa. (16) Valvottavan ylin johto vastaa siitä, että valvottavan keskeisillä liiketoiminnoilla on ajantasaiset ja riittävät jatkuvuussuunnitelmat. Valvottavan toimivan johdon on määriteltävä vastuut valvottavan jatkuvuussuunnittelulle. Valvottavalla on oltava selkeä toimintamalli jatkuvuussuunnitelmien laatimiseen, ylläpitoon ja testaamiseen sekä jatkuvuussuunnittelun tilanteen seuraamiseen. (17) Lähtökohtana jatkuvuussuunnittelulle on, että valvottava kartoittaa tärkeimmät liiketoimintaprosessinsa. Tärkeimmät liiketoimintaprosessit on priorisoitava. Niille on määriteltävä vähimmäistoipumisajat eli mikä on suurin sallittu katko, joka ei vielä häiritse liiketoimintaa. Priorisoiduille prosesseille on suunniteltava vaihtoehtoiset toimintamallit ja toipumismenettelyt toiminnan katkosten varalta. Erityisesti on varmistettava, että liiketoiminnan toipumisen kannalta tärkeät tiedot ovat palautettavissa ajan tasalle. (18) Tietojärjestelmät ja sovellukset on luokiteltava tärkeysjärjestykseen sen mukaan, kuinka nopeasti niiden on toivuttava erilaisissa häiriötilanteissa. Tietojärjestelmille on laadittava toipumissuunnitelmat, joissa kuvataan, kuinka eri tietojärjestelmät saadaan toimintakuntoon häiriöiden tapahtuessa. Varmuuskopiot ja mahdollinen tietojenkäsittelyn varakeskus on sijoitettava niin kauas varsinaisesta tietojenkäsittelykeskuksesta, että tiedot ja niiden varmistukset eivät voi tuhoutua samanaikaisesti. (19) Valvottavan jatkuvuussuunnitelmien on pohjauduttava liiketoimintojen uhka- ja haavoittuvuusanalyyseihin. Liiketoiminnan jatkuvuussuunnitelmissa on otettava huomioon toiminnan eri uhkatekijät sekä toimintojen haavoittuvuudet. Jatkuvuussuunnitelmien laajuus on suhteutettava valvottavan toimintojen luonteeseen, laajuuteen ja monimutkaisuuteen. Jatkuvuussuunnitelmien on oltava toimintaa ohjaavia erilaisissa häiriötilanteissa. Jatkuvuussuunnitelmiin on myös sisällytettävä tiedottaminen erilaisissa häiriötilanteissa sekä valvottavan sisällä että valvottavan sidosryhmille.
dnro 3/120/2004 23 (41) (20) Valvottavan on varauduttava ulkoisten sidosryhmiensä toiminnan häiriöihin. Tällaisia sidosryhmiä ovat esimerkiksi alihankkijat, valvottavan tarvitsemien palvelujen toimittajat ja merkittävät asiakkaat. (21) Jatkuvuussuunnitelmia on päivitettävä säännöllisesti ja ne on sopeutettava valvottavan toiminnan, palvelujen tai strategioiden muuttumiseen. Jatkuvuussuunnitelmia on testattava ja niiden mukaan on harjoiteltava säännöllisesti. Jatkuvuussuunnitelmien ajantasaisuuden ja testauksen seuraamiselle on määriteltävä vastuuhenkilöt. Soveltamisohje Voimaan: 1.10.2007 (22) Jatkuvuussuunnitteluprosessin osia ovat muun muassa jatkuvuussuunnittelun periaatteiden ja yleisohjeistuksen laatiminen jatkuvuussuunnittelun kouluttaminen henkilöstölle liiketoimintayksiköissä kriisiorganisaation rakentaminen ja yhteyshenkilölistojen laatiminen ja ylläpito keskeisten tiedottamiseen liittyvien menettelytapojen laatiminen jatkuvuussuunnitelmien laatiminen tietojärjestelmäkohtaisten toipumissuunnitelmien laatiminen jatkuvuussuunnitelmien ja toipumissuunnitelmien ylläpitäminen jatkuvuussuunnitelmien ja toipumissuunnitelmien testaaminen ja harjoittelu jatkuvuussuunnittelun seuranta, jatkuvuussuunnitelmien yhteensovittaminen ja niiden tarkoituksenmukaisuuden arviointi. 6.5 Varautuminen poikkeusoloihin Perustelu (23) Poikkeusoloihin varautumisella tarkoitetaan valmistautumista valmiuslaissa (22.7.1991/1080) määriteltyihin poikkeusoloihin. Määritelmä poikkeusoloille on esitetty tämän standardin luvussa 8. Soveltamisohje Annettu: 22.6.2010 Voimaan: 1.9.2010 Soveltamisohje/esimerkki (24) Finanssivalvonnan näkemyksen mukaan rahoitusmarkkinoilla toimiva varautumisvelvollinen täyttää sille laissa säädetyn varautumisvelvollisuuden, kun se noudattaa Rahoitushuoltopoolin Rahoitusmarkkinoiden varautumisohjetta ja tätä standardia. (25) Tässä standardissa annettuja varautumista koskevia ohjeita voidaan soveltaa myös muihin vakaviin häiriöihin ja kriiseihin kuin valmiuslaissa määriteltyihin poikkeusoloihin. Tällaisia vakavia häiriöitä ja kriisejä voivat olla esimerkiksi pandemia tai muu valvottavan henkilöstön toimintakykyä vakavasti vaarantava uhka tai valvottavan toimitilojen tai tietojenkäsittely-ympäristön tuhoutuminen.
dnro 3/120/2004 24 (41) (26) Varautuminen poikkeusoloihin on osa varautumisvelvollisen riskienhallintaa ja sisäistä valvontaa. Siitä vastaa varautumisvelvollisen ylin johto. Perustelu (27) Poikkeusoloihin varautumiselle asetetut vaatimukset perustuvat valmiuslakiin ja viranomaisten antamaan poikkeusolojen varautumisohjeistukseen. Poikkeusoloihin varautuminen pohjautuu normaaliolojen jatkuvuusjärjestelyihin. Normi Soveltamisohje (28) Varautumisvelvollisen tulee varmistaa toimintansa mahdollisimman häiriötön sujuminen poikkeusoloissa osallistumalla rahoitusmarkkinoiden valmiussuunnitteluun ja valmistelemalla etukäteen poikkeusoloissa tapahtuvaa toimintaa. 2 (29) Varautumisvelvollisen on turvattava toimintansa kannalta tärkeiden tietojen säilyminen ja riittävä tapahtumien kirjaaminen myös poikkeusoloissa. Perustelu Soveltamisohje (30) Rahoitushuoltopoolin (ennen Rahoitushuoltotoimikunta) antamassa Rahoitusmarkkinoiden varautumisohjeessa on tätä standardia yksityiskohtaisemmat ohjeet poikkeusoloihin varautumisesta. Siihen sisältyy myös malli valmiussuunnitelman laadintaa varten. (31) Rahoitusmarkkinoiden varautumisohjeessa uhkakuvat ja varautumisen tavoitteet on määritelty yleisellä tasolla koko toimialalle. Varautumisvelvollisen on täsmennettävä näitä omaan toimintaansa soveltuviksi ja suunniteltava toimenpiteet, joilla se saavuttaa nämä tavoitteet. Soveltamisohje (32) Varautumisen lähtökohtana on se, että kriisitilanne voi kestää 12 kuukautta. 3 Valmiussuunnitelma Soveltamisohje Soveltamisohje (33) Varautumisvelvollisella tulee olla ajantasainen valmiussuunnitelma. Valmiussuunnitelman toimivuutta tulee testata säännöllisesti yhdessä muiden rahoitusmarkkinoilla toimivien kanssa. (34) Valmiussuunnitelma voi olla osana varautumisvelvollisen jatkuvuussuunnitelmaa sillä edellytyksellä, että siinä on riittävästi otettu huomioon poikkeusolojen varautumisen tarpeet. Poikkeusolojen häiriötilanne kestää tyypillisesti pidempään kuin ne tilanteet, joihin normaaliolojen jatkuvuussuunnitelmassa on varauduttu. Lisäksi uhat, joihin tulee varautua, ovat tyypillisesti vakavam- 2 laki luottolaitostoiminnasta (121/2007) 123, sijoitusrahastolaki (48/1999) 4 a, laki ulkomaisen luotto- ja rahoituslaitoksen toiminnasta Suomessa (1608/1993) 13 a, laki arvo-osuusjärjestelmästä (826/1991) 13 a 3 Valtioneuvoston päätös huoltovarmuuden tavoitteista (annettu 8.5.2002).
dnro 3/120/2004 25 (41) pia kuin ne uhat, joihin jatkuvuussuunnitelmassa varaudutaan. Soveltamisohje Soveltamisohje (35) Valmiussuunnitelmaan tulisi sisältyä ainakin: uhkatekijät varautumisvelvollisen toiminnan kannalta arvio varautumisvelvollisen toiminnan kriisiherkkyydestä varautumisvelvollisen toiminnan tavoitteet ja toimintaperiaatteet vakavissa häiriötilanteissa ja poikkeusoloissa normaaliaikana suoritettavat varautumistoimenpiteet varautumisvelvollisen tietojärjestelmien varmistaminen varautumisvelvollisen toiminnassa tarvittavien muiden resurssien varmistaminen yritysturvallisuus vakavissa häiriötilanteissa ja poikkeusoloissa käynnissä pidettävät toiminnot ja palvelut sekä niiden toimivuusvaatimukset varautumisvelvollisen poikkeusolojen toimintaorganisaatio henkilövarauksineen varautumisvelvollisen palvelujen hallitun supistamisen vaiheet siltä varalta, että palveluja joudutaan karsimaan varautumisvelvollisen toipumistoimenpiteet normaalioloihin palaamiseksi varautumisvelvollisen tarvitsema yhteistyö sidosryhmiensä kanssa johtaminen, tiedottaminen ja yhteydenpito poikkeusoloissa vastuut ja toimintamalli valmiussuunnitelman ylläpitämiseksi ja harjoittelemiseksi (36) Varautumisvelvollisen tulee nimetä henkilö tai henkilöt, jotka vastaavat valmiussuunnitelman ylläpidosta ja siitä tiedottamisesta. Toiminta poikkeusoloissa Soveltamisohje (37) Poikkeusoloissa toimintoja on pyrittävä jatkamaan normaalioloja vastaavalla tavalla niin pitkään kuin mahdollista. Mahdollisesti toimintoja joudutaan kuitenkin sopeuttamaan vallitseviin olosuhteisiin. Varautumisvelvollisen tulisi muun muassa varautua liiketapahtumien manuaaliseen kirjaamiseen siltä varalta, että tietojenkäsittelykapasiteettia, sähköä tai tietoliikenneyhteyksiä ei ole saatavilla tai niiden saatavuus on rajoitettua. Perustelu (38) Rahoitusmarkkinoiden toimivuuden kannalta keskeisiä toimintoja ovat muun muassa ottolainaus, antolainaus, koti- ja ulkomaan maksuliikenne (tilisiirrot ja toistuvaissuoritukset), rahahuolto, arvopapereiden kaupankäynti, arvopaperien selvitys ja toimitus sekä arvopaperisäilytykset. Siten keskeisiä järjestelmiä ovat muun muassa maksujärjestelmät sekä arvopaperikeskuksen, arvopaperipörssin ja selvitysyhteisön järjestelmät.
dnro 3/120/2004 26 (41) Soveltamisohje Soveltamisohje (39) Poikkeusoloissakin varautumisvelvollisen on niin pitkään kuin mahdollista pystyttävä tarjoamaan edellisessä kappaleessa luetellut palvelut. Varautumisvelvollisen on sen vuoksi varmistettava, että sillä on poikkeusoloissa ja vakavissa häiriötilanteissa palvelujen tarjoamisessa tarvittavat resurssit ja kapasiteetti. Myös henkilöresurssien ja varatoimitilojen saatavuus on suunniteltava etukäteen. Näiden saatavuus on turvattava etukäteistoimin niitä tilanteita varten, joissa merkittävä osa henkilöstöä ei ole käytettävissä, osa keskeisiä toimitiloja, laitteita ja järjestelmiä on tuhoutunut tai ei muutoin ole käytettävissä tai toiminta laajalla maantieteellisellä alueella on estynyt. (40) Varautumisvelvollisen keskitetyn tietojenkäsittelyn infrastruktuurin tulee olla sellainen, että poikkeusoloissa tietojenkäsittelyn tulee olla kahdessa erillisessä toimipisteessä, joiden kapasiteetti on sellainen, että poikkeusoloissa ylläpidettäviä palveluja voidaan tarjota, vaikka toinen toimipiste ei olisi käytettävissä sähkönsaanti on varmistettu häiriötilanteiden varalle on varmuuskopiot ja tiedot ovat palautettavissa varmuuskopioilta toiminnan jatkuvuuden kannalta riittävä tietojen ja ohjelmien suojakopiointi toipumisjärjestelmineen on järjestetty riittävän etäälle varsinaisista tietojenkäsittelykeskuksista turvallisiin tiloihin mahdollisuuksien mukaan pääkaupunkiseudun ulkopuolelle tietoliikenneyhteydet tarpeellisiin yhteistyökumppaneihin ja tarvittaviin tietovarastoihin toimivat Soveltamisohje (41) Varautumisvelvollisen tulee suunnitella suojakopioiden käyttö siten, että se pystyy suojakopioidun tiedon ja käytettävissä olevien ohjelmistojen avulla käynnistämään liiketoimintansa uudelleen siinäkin tapauksessa, että varsinainen tietojenkäsittelykeskus ja sen lähialueet ovat pysyvästi tuhoutuneet. Varautumisvelvollisen tulee varmistua siitä, että suojakopiot ovat koska tahansa käyttöönotettavissa ja että niiden tietosisältö on käyttökelpoista. Soveltamisohje Soveltamisesimerkki (42) Varautumisvelvollisen on ulotettava varautuminen myös ulkoistettuihin toimintoihin siinä laajuudessa kuin poikkeusoloissa ylläpidettävien ydintoimintojen ja -palvelujen turvaaminen edellyttää. Varautumisvaatimukset on otettava huomioon jo ulkoistamissopimuksia laadittaessa. Varautumisvelvollisen on arvioitava palvelun tarjoajan varautumista ja huolehdittava siitä, että se vastaa asetettuja vaatimuksia. (43) Varautumisvelvollinen voi arvioida palvelun tarjoajan varautumista esimerkiksi yhteisillä harjoituksilla tämän kanssa.
dnro 3/120/2004 27 (41) (44) Varautumisvelvollisen on kartoitettava ulkoistusketjujen ja alihankintasopimusten vaikutukset omaan toimintaansa poikkeusoloissa ja varmistettava myös niiden osalta riittävä varautuminen poikkeusoloissa ylläpidettävien toimintojen osalta. 6.6 Tietojärjestelmät (45) Valvottavan ylimmän johdon on varmistettava, että valvottavalla on toiminnan luonteeseen ja laajuuteen nähden riittävät ja asianmukaisesti järjestetyt tietojärjestelmät. Tietojärjestelmien riittävyyttä ja asianmukaisuutta tulee arvioida suhteessa valvottavan oman toiminnan lähtökohtiin, ylimmän johdon vaatimuksiin sekä siihen, että järjestelmät tukevat liiketoimintaa ylimmän johdon linjausten mukaisesti. (46) Valvottavalla on oltava tarvittava osaaminen, organisaatio ja sisäinen valvonta tiedon tallentamiseksi, siirtämiseksi, käsittelemiseksi ja arkistoimiseksi konekielisessä muodossa. Nämä toiminnot voivat joko kokonaan tai osittain olla ulkoistettuja. Tällöin valvottavan on varmistuttava siitä, että sille tietojenkäsittelypalveluja toimittava yritys noudattaa tässä luvussa esitettyjä periaatteita. (47) Valvottavan ylimmän johdon on hyväksyttävä valvottavan nykyisten ja arvioitujen tulevien tarpeiden mukainen tietotekniikkastrategia tietoteknisen ympäristön olemassaolon, ylläpidon ja edelleen kehittämisen varmistamiseksi. Lisäksi valvottavan ylimmän johdon on varmistettava, että valvottavalla on menettelytavat tietotekniikkaan liittyvien kustannusten budjetoimiseksi ja seuraamiseksi. (48) Valvottavan on määriteltävä ne tietotekniikan eri osa-alueiden toimintamallit, standardit, menettelytavat ja kontrollit, jotka mahdollistavat yhteistyön liiketoimintayksiköiden ja tietotekniikkapalveluja tarjoavien yksiköiden välillä. Niiden on oltava perustana, kun toimiva johto suunnittelee, valvoo ja arvioi tietotekniikkatoimintoja. Tarvittaessa tähän koordinointityöhön on nimettävä erityinen yhteistyöelin, jossa ovat edustettuina eri liiketoiminta-alueet. (49) Valvottavan on varmistettava tietotekniikkatoiminnon riippumattomuus käyttäjistä. Tietotekniikkatoiminto vastaa tietojärjestelmien kehittämisestä ja toimivuudesta, kun taas käyttäjät varmistavat käsiteltävän tiedon oikeellisuuden. (50) Valvottavan on eriytettävä järjestelmäkehitys- ja tuotantotehtävät toisistaan siten, että niissä toimivilla on välitön pääsy toistensa hallussa olevaan tietoon vain valvottujen määrämuotoisten menettelytapojen avulla. Järjestelmien tuotantoonsiirtoa, muutostenhallintaa ja testausta varten on oltava mää-
dnro 3/120/2004 28 (41) rämuotoiset menettelytavat. (51) Valvottavan on huolehdittava, että sisäisellä tarkastuksella on kyky arvioida tietotekniikkatoimintojen sisäisten kontrollien toimivuutta. (52) Valvottavan on luotava ja ylläpidettävä sellaisia systeemityö- ja laadunvarmistusmenetelmiä, jotka turvaavat sen, että järjestelmät toimivat suunnitellulla tavalla. Lisäksi niistä on oltava määrämuotoinen dokumentaatio, jolla varmistetaan niiden käyttö ja jatkokehittäminen esim. avainhenkilöiden vaihtuessa. (53) Valvottavan on päätettävä menettelytavat, joita noudatetaan, kun hankitaan tai hyväksytään ohjelmia ja laitteita tai solmitaan sopimuksia palvelujen tuottajien kanssa. Näillä varmistetaan, että hankinnat ja sopimukset vastaavat valvottavan tarpeita ja asetettuja standardeja sekä taataan palvelun jatkuvuus. (54) Valvottavan on minimoitava fyysiseen turvallisuuteen liittyvien menettelytapojen ja toimintamallien avulla sekä riittävin varajärjestelyin tietotekniikkatoiminnan keskeytymisriski (tulipalo, tulva, sähkön saanti, laitteiden rikkoutuminen jne.) ja rajoitettava herkkiin kohteisiin pääsy (tietojenkäsittelylaitteet, tietovälineet, dokumentit jne.) vain valtuutetuille henkilöille. 6.7 Tietoturvallisuus 6.7.1 Tietoturvallisuuden määritelmä ja perusvaatimukset Perustelu Perustelu Perustelu (55) Tietoturvallisuudella tarkoitetaan sitä, että yrityksen tiedot, palvelut, järjestelmät ja tietoliikenne on suojattu ja varmistettu sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. (56) Tietoturvallisuuden toteuttamisessa on tapana erottaa kahdeksan toimenpidealuetta: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne-, laitteisto-, ohjelmisto-, tietoaineisto- ja käyttöturvallisuus 4. (57) Yleisiä tietoturvallisuuteen liittyviä vaatimuksia ovat säilytettävän, siirrettävän ja käsiteltävän tiedon luottamuksellisuus (tieto ei paljastu sivullisille) muuttumattomuus (tiedon eheysvaatimus) käytettävyys (tieto on saatavissa oikeaan aikaan siihen oikeutetulle). 4 Valtionhallinnon tietoturvallisuuden johtoryhmä: VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö