Standard 4.4b Hantering av operativa risker - Finanssivalvonta
Standard 4.4b Hantering av operativa risker - Finanssivalvonta
Standard 4.4b Hantering av operativa risker - Finanssivalvonta
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Standard</strong> <strong>4.4b</strong><br />
<strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
Föreskrifter och allmänna råd
Så här läser du standarderna<br />
<strong>Standard</strong>en är en ämnesvis indelad helhet <strong>av</strong> föreskrifter och råd som förpliktar eller vägleder<br />
tillsynsobjekt och andra aktörer på finansmarknaden, anger tillsynsmyndighetens mål för kvalitetsnivå<br />
och syn på god praxis samt motiverar regleringen.<br />
Datumangivelser i standardens marginal:<br />
• Utfärdad: Anger när Finansinspektionen fattat beslutet att utfärda texten.<br />
• Gäller fr.o.m.: Anger när text<strong>av</strong>snittet trätt i kraft.<br />
Varje stycke i standarden har en egen marginalanteckning:<br />
• Norm: Hänvisningar till gällande bestämmelser i lag eller förordning.<br />
• Bindande: Föreskrifter som Finansinspektionen enligt lag har rätt att meddela företag under<br />
tillsyn och andra finansmarknadsaktörer.<br />
• Rekommendation: Finansinspektionens riktgivande råd till företag under tillsyn eller andra<br />
finansmarknadsaktörer.<br />
• Tillämpningsråd/-exempel: Praktiska anvisningar eller tillämpningsråd till eller -exempel på<br />
norm, bindande föreskrifter och rekommendationer. Hänvisning till Finansinspektionens<br />
standard eller en del <strong>av</strong> en standard. Se exemplet intill.<br />
• Motivering: Redogör för regelverkens mål, syfte och bakgrund.<br />
<strong>Standard</strong>erna finns på Finansinspektionens webbplats www.finansinspektionen.fi
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
INNEHÅLL<br />
dnr 3/120/2004 3 (40)<br />
1 Tillämpning ___________________________________________ 5<br />
2 Syfte ________________________________________________ 7<br />
3 Internationella regelverk ________________________________ 8<br />
4 Rättsgrund ___________________________________________ 9<br />
5 <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ____________________________ 11<br />
5.1 Definition <strong>av</strong> begreppet operativ risk ________________________ 11<br />
5.2 Riskhanteringsorganisation och tillsyn <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ________ 12<br />
5.3 Grunderna för hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ________________ 13<br />
5.3.1 Identifiering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ________________________ 13<br />
5.3.2 Bedömning och reducering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ____________ 13<br />
5.4 Godkännande <strong>av</strong> nya produkter eller tjänster _________________ 14<br />
5.5 Övervakning och rapportering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ______________ 15<br />
6 Delområden i hantering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> _________________ 18<br />
6.1 Processer _____________________________________________ 18<br />
6.2 Legal risk______________________________________________ 19<br />
6.3 Personal ______________________________________________ 20<br />
6.4 Kontinuitetsplanering ____________________________________ 20<br />
6.5 Beredskap för undantagsförhållanden _______________________ 22<br />
6.6 Datasystem ____________________________________________ 25<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 4 (40)<br />
6.7 Informationssäkerhet ____________________________________ 27<br />
6.7.1 Definition <strong>av</strong> informationssäkerhet och grundläggande kr<strong>av</strong> __ 27<br />
6.7.2 Uppläggning och ansvar för informationssäkerheten ________ 27<br />
6.7.3 Bedömning <strong>av</strong> <strong>risker</strong> som hänför sig till informationssäkerhet 28<br />
6.7.4 Informationens och systemens ägare ___________________ 28<br />
6.7.5 Behörigheter ______________________________________ 28<br />
6.7.6 Informationssäkerhetsregler och utbildning ______________ 28<br />
6.7.7 Behandlingen <strong>av</strong> informationssäkerhetsfall _______________ 29<br />
6.7.8 Informationssäkerhet i datanätet_______________________ 29<br />
6.7.9 Utveckling <strong>av</strong> säkra onlinetjänster ______________________ 29<br />
6.8 Betalningssystem och betalningsförmedling ___________________ 31<br />
6.9 Förhindrande <strong>av</strong> lagstridigt utnyttjande <strong>av</strong> det finansiella systemet<br />
(upphävts) ____________________________________________ 33<br />
7 Rapportering till Finansinspektionen ______________________ 34<br />
8 Definitioner _________________________________________ 35<br />
9 Ytterligare information _________________________________ 39<br />
10 Ändringshistorik ______________________________________ 40<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
1 TILLÄMPNING<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 5 (40)<br />
(1) <strong>Standard</strong>en tillämpas på de följande institut:<br />
• kreditinstitut<br />
• värdepappersföretag på vilka 5 och 6 kapitel i lagen om kreditinstitut<br />
• tillämpas på grund <strong>av</strong> 46 § i lagen om värdepappersföretag<br />
• fondbolag som bedriver verksamhet enligt 5 § 2 mom. i lagen om<br />
placeringsfonder<br />
• kreditinstituts och värdepappersföretags holdingföretag<br />
• centralinstitutet enligt lagen om andelsbanker och andra kreditinstitut<br />
i andelslagsform (1504/2001)<br />
(2) De stycken som markerats som bindande tillämpas dessutom på<br />
moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat.<br />
(3) <strong>Standard</strong>ens <strong>av</strong>snitt 6.5 tillämpas på institut och juridiska personer som är<br />
skyldiga att upprätthålla beredskap för sådana undantagsförhållanden som<br />
<strong>av</strong>ses i beredskapslagen (1080/1991). Hit hör<br />
• kreditinstitut och de finansiella finansinstitut vilkas huvudsakliga<br />
affärsverksamhet består <strong>av</strong> att tillhandahålla betalkorts- och<br />
betalningstjänster<br />
• fondbolag<br />
• utländska kreditinstituts filialer och filialer till sådana utländska<br />
finansiella institut vilkas huvudsakliga affärsverksamhet består <strong>av</strong> att<br />
tillhandahålla betalkorts- och betalningstjänster<br />
• värdepapperscentralen.<br />
Gränserna för beredskapen nämns i de lagar i vilka de ovannämnda<br />
aktörernas beredskapsskyldighet regleras.<br />
Finansinspektionen rekommenderar dessutom att fondbörser och<br />
clearingorganisationer tillämpar <strong>av</strong>snitt 6.5 i denna standard.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 6 (40)<br />
(4) De företag som omfattas <strong>av</strong> denna standard skiljer sig från varandra bl.a.<br />
i fråga om verksamhetens omfattning, organisation och kundstruktur samt<br />
antalet finansiella tjänster och deras komplexitet. Därför kan det finnas olika<br />
typer <strong>av</strong> praktiska lösningar för hanteringen och tillsynen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
beroende på prioriteringarna och särdragen i verksamheten.<br />
(5) De centrala riskhanteringsprinciperna i denna standard är bindande. De<br />
detaljerade bestämmelserna, som preciserar principerna, kan följas i<br />
tillämpliga delar om organisationen är liten, om risktagandet enligt<br />
verksamhetsplanen är lågt, om verksamheten är begränsad, enkel eller i<br />
övrigt genomblickbar eller om verkställande ledningen aktivt deltar i det<br />
dagliga beslutsfattandet. För att bindande bestämmelser ska kunna följas<br />
endast i tillämpliga delar krävs alltid att högsta ledningen fattar ett separat<br />
beslut om det. Institutet ska alltid säkerställa att internkontrollen och<br />
riskhanteringen är tillfredsställande och <strong>av</strong>passade efter de <strong>operativa</strong><br />
<strong>risker</strong>na.<br />
(6) Upphävts med standard 2.4. Kundkontroll och åtgärder mot penningtvätt,<br />
finansiering <strong>av</strong> terrorism och marknadsmissbruk, som gäller fr.o.m. 1.9.2010.<br />
(7) Företag som hör till samma finansiella företagsgrupp ska följa enhetliga<br />
riskhanteringsprinciper. Moderföretag till finansiellt inriktade finans- och<br />
försäkringskonglomerat ska säkerställa att alla företag som hör till<br />
konglomeratet har tillfredsställande riskhanteringssystem.<br />
(8) I standarden används beteckningen ”institut” (eller tillsynsobjekt) för alla<br />
företag som standarden gäller.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
2 SYFTE<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 7 (40)<br />
(1) I denna standard behandlas principerna för hantering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
och riskhanteringens uppläggning. Särskild uppmärksamhet ägnas<br />
specialområden som har samband med processhantering, personal, data- och<br />
betalningssystem, informationssäkerhet, kontinuitetsplanering och legala<br />
<strong>risker</strong>.<br />
(2) Den tekniska utvecklingen, utvecklingen <strong>av</strong> produkter och tjänster, nya<br />
riskhanteringsmetoder, utläggningar, strukturaffärer och globalisering har<br />
gjort omvärlden allt mer komplex och ökat de <strong>operativa</strong> <strong>risker</strong>na vid<br />
produktion <strong>av</strong> finans- och investeringstjänster.<br />
(3) Syftet med reglerna för hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> och denna<br />
standard är i första hand att säkerställa att<br />
• instituten identifierar de <strong>operativa</strong> <strong>risker</strong>na i verksamheten<br />
• Instituten lägger upp hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> så att den är<br />
tillfredsställande i förhållande till verksamhetens art och omfattning<br />
(organisation, policy, processer och rutiner, övervakning och<br />
rapportering)<br />
• instituten tillämpar adekvata rutiner för informationsförvaltning och<br />
informationssäkerhet<br />
(4) Skador och händelser i anslutning till <strong>operativa</strong> <strong>risker</strong> rapporteras till<br />
Finansinspektionen enligt rapporteringsstandard RA4.2.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
3 INTERNATIONELLA<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 8 (40)<br />
REGELVERK<br />
(1) Kapitel 5 ”<strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong>” bygger huvudsakligen på<br />
rekommendationen Sound Practices for the Management and Supervision of<br />
Operational Risk som Baselkommittén för banktillsyn g<strong>av</strong> ut i februari 2003<br />
(Basel Committee Publications No. 96). Rekommendationen har använts som<br />
källa också för <strong>av</strong>snitt 6.4 ”Kontinuitetsplanering” i kapitel 6.<br />
(2) Upphävts med <strong>Standard</strong> 2.4. Kundkontroll och åtgärder mot penningtvätt,<br />
finansiering <strong>av</strong> terrorism och marknadsmissbruk, som gäller fr.o.m. 1.9.2010.<br />
(3) Avsnitt 6.7 ”Informationssäkerhet” bygger på Baselkommitténs<br />
rekommendation Risk Management Principles for Electronic Banking (Basel<br />
Committee Publications No. 98) från juli 2003.<br />
(4) Avseende ”Betalningssystem och betalningsförmedling” i <strong>av</strong>snitt 6,8 har<br />
Committee on Payment and Settlement Systems (CPSS) i januari 2001 gett ut<br />
rekommendationen Core Principles for Systemically Important Payment<br />
Systems (CPSS Publications No. 43).<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
4 RÄTTSGRUND<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9.2010<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 9 (40)<br />
(1) Den nationella lagstiftningen om riskhantering bygger på följande EUdirektiv:<br />
• Europaparlamentets och rådets direktiv 2006/48/EG om rätten att<br />
starta och driva verksamhet i kreditinstitut ; EUT L 177, 30.6.2006, s.<br />
1 (Celex 32006L0048)<br />
• Europaparlamentets och rådets direktiv 2006/49/EG om kapitalkr<strong>av</strong><br />
för värdepappersföretag och kreditinstitut, EUT L 177, 30.6.2006, s.<br />
201 (Celex 32006L0049).<br />
(2) De detaljerade bestämmelserna om riskhantering finns i artikel 22 och<br />
bilaga V i direktiv 2006/48/EG som gäller organisationen <strong>av</strong> kreditinstitutens<br />
interna styrning, internkontroll och riskhantering som en del <strong>av</strong> villkoren för<br />
rätten att starta verksamhet i kreditinstitut.<br />
Bilaga V till direktiv 2006/48/EG innehåller tekniska kriterier för besluts-,<br />
styrnings- och kontrollsystemen samt klassificeringen och hanteringen <strong>av</strong><br />
<strong>risker</strong>.<br />
(3) Upphävts med <strong>Standard</strong> 2.4. Kundkontroll och åtgärder mot penningtvätt,<br />
finansiering <strong>av</strong> terrorism och marknadsmissbruk, som gäller fr.o.m. 1.9.2010.<br />
(4) Motsvarande kr<strong>av</strong> gäller för värdepappersföretag enligt artikel 34 i<br />
direktivet om kapitalkr<strong>av</strong> för värdepappersföretag och kreditinstitut.<br />
Enligt det ska varje värdepappersföretag uppfylla kr<strong>av</strong>en enligt artikel 22 i<br />
direktiv 2006/48/EG.<br />
(5) Nationella bestämmelser om riskhantering inklusive hantering <strong>av</strong> <strong>operativa</strong><br />
<strong>risker</strong> finns i följande lagar:<br />
• 49 § 1 mom. i kreditinstitutslagen (121/2007) som innehåller en<br />
allmän bestämmelse om riskhantering. Motsvarande bestämmelse<br />
om finansiella företagsgrupper finns i 74 §.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 22.6.2010<br />
Gäller fr.o.m. 1.9..2010<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 10 (40)<br />
• 54 § 2 mom. i kreditinstitutslagen (121/2007) som föreskriver att<br />
kreditinstitutet ska ha principer och rutiner för kapitalutvärdering och<br />
riskhantering. Motsvarande bestämmelse om finansiella<br />
företagsgrupper finns i 78 § 2 mom.<br />
• 46 § 1 mom. i lagen om värdepappersföretag (922/2007) enligt vilket<br />
bestämmelserna 49 § och 52 § i kreditinstitutslagen tillämpas också<br />
på värdepappersföretag.<br />
• 6 § 5 mom. i lagen om placeringsfonder (48/1999) enligt vilken<br />
fondbolag som bedriver verksamhet som <strong>av</strong>ses i 5 § 2 mom. ska<br />
uppfylla kr<strong>av</strong>en enligt 46 § 1 mom. i lagen om värdepappersföretag.<br />
• 30a § 1 mom i lagen om placeringsforder (48/1999) som innehåller<br />
kr<strong>av</strong> på fondbolanges internkontroll och riskhanteringsystem.<br />
• 5 § i lagen om andelsbanker och andra kreditinstitut i andelslagsform<br />
(1504/2001) som innehåller en allmän bestämmelse om<br />
riskhantering.<br />
• 16 § 1 och 2 mom. i lagen om tillsyn över finans- och<br />
försäkringskonglomerat (699/2004) som innehåller en allmän<br />
bestämmelse om riskhantering.<br />
(6) Finansinspektionens anvisningar om beredskap för undantagsförhållanden<br />
bygger på följande bestämmelser:<br />
• 123 § i kreditinstitutslagen (121/2007)<br />
• 4a § i lagen om placeringsfonder (48/1999)<br />
• 13a § i lagen om utländska kreditinstituts och finansiella instituts<br />
verksamhet i Finland (1608/1993)<br />
• 13a § i lagen om värdeandelssystemet (826/1991).<br />
(7) Upphävts med <strong>Standard</strong> 2.4. Kundkontroll och åtgärder mot penningtvätt,<br />
finansiering <strong>av</strong> terrorism och marknadsmissbruk, som gäller fr.o.m. 1.9.2010.<br />
(8) Finansinspektionens rätt att meddela bindande föreskrifter om<br />
ämnesområdet för standarden baserar sig på följande bestämmelser:<br />
• 93 § 1 mom. och 145 § 3 mom. i kreditinstitutslagen (121/2007)<br />
• 31 § 1 mom. och 49 § 3 mom. i lagen om värdepappersföretag<br />
(579/1996)<br />
• 30a § 3 mom. och 144 § 3 mom. i lagen om placeringsfonder<br />
(48/1999)<br />
• 16 § 3 mom. i lagen om tillsyn över finans- och<br />
försäkringskonglomerat (699/2004)<br />
• 29b § 3 mom. i lagen om värdeandelssystemet (826/1991).<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 11 (40)<br />
5 HANTERING AV OPERATIVA RISKER<br />
5.1 Definition <strong>av</strong> begreppet operativ risk<br />
(1) <strong>Hantering</strong>en <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> är en del <strong>av</strong> institutets riskhanteringsförmåga.<br />
Risker som beror på företagets verksamhet eller som väsentligt<br />
hänför sig till verksamheten ska identifieras, bedömas och mätas för att<br />
kunna begränsas och övervakas. Riskhanteringen syftar till att minska<br />
sannolikheten för oförutsedda förluster eller hot mot institutets anseende.<br />
(2) Med operativ risk <strong>av</strong>ses risk för förluster på grund <strong>av</strong><br />
• otillräckliga eller misslyckade interna processer<br />
• personalen<br />
• systemen<br />
• externa faktorer.<br />
Operativa <strong>risker</strong> inkluderar legala <strong>risker</strong> men exkluderar strategiska <strong>risker</strong>.<br />
(3) Den förlust som operativ risk resulterar i är inte alltid mätbar. Risken kan<br />
också realiseras med fördröjning och ge utslag indirekt t.ex. genom försämrat<br />
rykte eller minskad respekt.<br />
(4) De <strong>operativa</strong> <strong>risker</strong>na skiljer sig till sin karaktär från kredit- och<br />
marknads<strong>risker</strong>. <strong>Hantering</strong>en <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> går generellt ut på<br />
riskminimering. Det går inte alltid att dra gränser mellan olika riskområden.<br />
Exempelvis ingår det såväl <strong>operativa</strong> <strong>risker</strong> som kredit- och marknads<strong>risker</strong> i<br />
de olika faserna <strong>av</strong> kredit- och handelsprocesserna.<br />
(5) Institutet ska i sin definition <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> utgå från den egna<br />
verksamheten och beakta verksamhetens särdrag.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 12 (40)<br />
5.2 Riskhanteringsorganisation och tillsyn <strong>av</strong> <strong>operativa</strong><br />
<strong>risker</strong><br />
(6) Operativa <strong>risker</strong> ska hanteras och bedömas som ett eget riskområde.<br />
Högsta ledningen ska fastställa principer för hantering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> och<br />
regelbundet se över dem med beaktande <strong>av</strong> förändringar i omvärlden och i<br />
institutets egen verksamhet. Principerna ska omfatta rutiner för identifiering,<br />
bedömning, övervakning och reducering <strong>av</strong> <strong>risker</strong>. Där bör också de viktigaste<br />
processerna för hantering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> fastställas.<br />
(7) Högsta ledningen ska vara medveten om de viktigaste <strong>operativa</strong> <strong>risker</strong>na i<br />
företagets olika affärsområden. Som en del <strong>av</strong> internkontrollen ska högsta<br />
ledningen regelbundet få rapporter om de viktigaste <strong>operativa</strong> <strong>risker</strong>na.<br />
(8) Verkställande ledningen ska sörja för att principerna för hantering <strong>av</strong><br />
<strong>operativa</strong> <strong>risker</strong> omsätts i praktiken i institutets samtliga verksamheter och<br />
säkerställa att varje anställd kan identifiera de <strong>operativa</strong> <strong>risker</strong>na i sin egen<br />
verksamhet och känner till rutinerna för att hantera dessa <strong>risker</strong>.<br />
Verkställande ledningen svarar för utvecklingen och underhållet <strong>av</strong> rutinerna<br />
för hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> i anslutning till institutets produkter,<br />
tjänster, verksamheter, processer och system.<br />
(9) Ansvars- och rapporteringsförhållandena i affärsområdena och andra<br />
enheter som svarar för hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ska vara klara och<br />
täckande. För kontrollen <strong>av</strong> risktagandet svarar en riskkontrollfunktion som är<br />
oberoende <strong>av</strong> risktagandet och riskhanteringen. 1<br />
(10) Högsta och verkställande ledningen ska medverka till att det uppstår en<br />
sådan företagskultur som godkänner den interna kontrollen som en normal<br />
och nödvändig del <strong>av</strong> verksamheten. En effektiv intern kontroll förutsätter att<br />
arbetsuppgifterna och beslutsfattandet är åtskilda på behörigt sätt.<br />
(11) Högsta ledningen ska säkerställa att hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
regelbundet är föremål för en effektiv och täckande internrevision.<br />
Internrevisionen får som funktion inte vara direkt ansvarig för hanteringen <strong>av</strong><br />
<strong>operativa</strong> <strong>risker</strong>.<br />
(12) I uppläggningen <strong>av</strong> riskhanteringen tillämpas också principerna för intern<br />
kontroll och riskhantering enligt standard 4.1 Intern kontroll och<br />
1 Finansinspektionen, <strong>Standard</strong> 4.1 Uppläggning <strong>av</strong> intern kontroll, <strong>av</strong>snitt 5.3: "Riskkontrollfunktionen<br />
ska upprätthålla, utveckla och utarbeta riskhanteringsprinciper som ska fastställas <strong>av</strong> högsta ledningen<br />
samt ta fram metoder för analys och mätning <strong>av</strong> <strong>risker</strong>na. Den ska fortlöpande se till att varje risk<br />
håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. …<br />
Riskkontrollfunktionen ska också se till att den samlade effekten <strong>av</strong> samtliga större <strong>risker</strong> i<br />
verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både<br />
till högsta ledningen och till den verkställande ledningen."<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsexempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsexempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 13 (40)<br />
riskhantering, 4.2 Företagens interna kapitalutvärdering och 4.3i Kapitalkr<strong>av</strong><br />
för <strong>operativa</strong> <strong>risker</strong> i huvud<strong>av</strong>snittet Kapitaltäckning och riskhantering i<br />
Finansinspektionens föreskriftssamling.<br />
5.3 Grunderna för hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
5.3.1 Identifiering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
(13) Institutet ska för varje affärsområde kunna identifiera de <strong>operativa</strong><br />
<strong>risker</strong>na i sina viktigaste produkter, tjänster, funktioner, processer och<br />
system. Identifieringen <strong>av</strong> de <strong>operativa</strong> <strong>risker</strong>na skapar en grund för tillsynen<br />
<strong>av</strong> <strong>risker</strong>na och planeringen <strong>av</strong> riskkontrollerna.<br />
5.3.2 Bedömning och reducering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
(14) Förluster på grund <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> kan förebyggas dels genom<br />
minimering <strong>av</strong> sannolikheten för att <strong>risker</strong>na realiseras, dels genom<br />
reducering <strong>av</strong> sårbarheten för dessa <strong>risker</strong>.<br />
(15) Vid kartläggningen <strong>av</strong> de <strong>operativa</strong> <strong>risker</strong>na måste man verksamhet för<br />
verksamhet bedöma sannolikheten för och verkningarna <strong>av</strong> en<br />
förlusthändelse.<br />
(16) I fråga om de viktigaste identifierade <strong>operativa</strong> <strong>risker</strong>na måste instituten<br />
bedöma hur <strong>risker</strong>na ska kontrolleras, om de ska begränsas eller accepteras,<br />
eller om verksamheten ska <strong>av</strong>vecklas helt.<br />
(17) Riskbedömningen analyserar skadliga interna och externa faktorer.<br />
Exempel på interna faktorer är företagets struktur, organisationsförändringar,<br />
komplexiteten <strong>av</strong> produkter och tjänster, de anställdas kompetens och<br />
personalomsättning. Externa faktorer är exempelvis tekniska framsteg och<br />
internationalisering.<br />
(18) Fastställda rutiner för bedömning <strong>av</strong> <strong>risker</strong>na förbättrar utvärderingen.<br />
För detta ändamål kan exempelvis användas formbundna<br />
självutvärderingsblanketter, skadestatistik och genomgång <strong>av</strong> skador som har<br />
drabbat tillsynsobjektet eller andra. Utvärdering <strong>av</strong> skador som drabbat andra<br />
genom jämförelse med den egna verksamheten kan klargöra om något<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Rekommendation<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd/-exempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 14 (40)<br />
liknande hade kunnat inträffa i någon egen enhet, vilka konsekvenser detta<br />
hade haft och hur en sådan förlust hade kunnat förhindras.<br />
(19) Förluster på grund <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> kan reduceras också genom<br />
försäkringar. Verkställande ledningen ska sörja för att försäkringsskyddet och<br />
kostnaderna för försäkringen ses över regelbundet med beaktande <strong>av</strong><br />
förändringar i institutets verksamhet. Dessutom bör motparts<strong>risker</strong>na på<br />
grund <strong>av</strong> försäkrings<strong>av</strong>tal och försäkringsbolagens solvens bedömas. För<br />
betydande störningar i verksamheten ska institutet förbereda sig genom<br />
kontinuitetsplanering.<br />
5.4 Godkännande <strong>av</strong> nya produkter eller tjänster<br />
(20) Nya produkter eller tjänster ska bedömas <strong>av</strong>seende inneboende <strong>risker</strong><br />
innan de introduceras eller tas i bruk. Motsvarande bedömning ska göras<br />
också när en ny tjänstemodell introduceras om produkter och tjänster har<br />
kombinerats på nytt sätt. Internkontrollen och riskhanteringen måste ses över<br />
och ändras att gälla också de nya produkterna eller tjänsterna. Särskilt<br />
noggrann ska bedömningen vara vid etablering <strong>av</strong> verksamhet på främmande<br />
marknadsområden. Det är också nödvändigt att se till att den nya<br />
verksamheten är tillåten affärsverksamhet för institutet.<br />
(21) Institutet ska införa rutiner för godkännande <strong>av</strong> nya produkter eller<br />
tjänster. Beslut om introduktion <strong>av</strong> nya produkter eller tjänster fattas enligt<br />
fastställda beslutsbefogenheter. Till beslutet fogas beslutsunderlagen.<br />
(22) Rutinerna för godkännande <strong>av</strong> nya produkter eller tjänster ska omfatta<br />
följande:<br />
• beskrivning <strong>av</strong> produkten eller tjänsten<br />
• redogörelse för produktens eller tjänstens överensstämmelse med<br />
verksamhetsstrategin<br />
• kartläggning <strong>av</strong> <strong>risker</strong>na (bedömning <strong>av</strong> vilka <strong>risker</strong> som är<br />
förknippade med produkten/tjänsten)<br />
• uppläggningen <strong>av</strong> internkontrollen och riskhanteringen (åtminstone<br />
följande riskområden: kreditrisk, marknadsrisk, likviditetsrisk och<br />
<strong>operativa</strong> <strong>risker</strong>)<br />
• genomgång <strong>av</strong> de processer som hänför sig till produkten eller<br />
tjänsten (exempelvis offertstadiet, identifiering <strong>av</strong> kunden,<br />
försäljning, produktion, clearing och <strong>av</strong>veckling samt betalningar)<br />
• juridiska frågor, <strong>av</strong>talsbefogenheter<br />
• IT, datakommunikation och informationssäkerhet<br />
• extern och intern redovisning<br />
• skattefrågor<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsexempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsråd/-exempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 15 (40)<br />
• prissättning, eventuella värderingar och användning <strong>av</strong><br />
prissättningsmodeller<br />
• bedömning <strong>av</strong> effekterna på lönsamhet och kapitaltäckning<br />
• utbildning och handledning.<br />
5.5 Övervakning och rapportering <strong>av</strong> <strong>operativa</strong> <strong>risker</strong><br />
(23) Institutet ska regelbundet övervaka och bedöma arten <strong>av</strong> <strong>operativa</strong><br />
<strong>risker</strong>, sannolikheten för att de realiseras och storleken <strong>av</strong> eventuella förluster<br />
om <strong>risker</strong>na realiseras. Ytterligare bör förebyggande rutiner och mått för<br />
identifiering <strong>av</strong> <strong>risker</strong>na införas.<br />
(24) Institutet ska bedöma indikatorer som ger en förvarning om ökade<br />
<strong>risker</strong>, exempelvis betydande förändring <strong>av</strong> verksamhetens omfattning,<br />
introduktion <strong>av</strong> nya produkter eller tjänster, hög personalomsättning,<br />
svårigheter att besätta lediga tjänster, klagomål från kunder och ökat antal<br />
verksamhets- eller tjänste<strong>av</strong>brott. Den information som redovisningssystem<br />
och andra datasystem genererar ska utnyttjas vid bedömningen <strong>av</strong><br />
indikatorer som förutser ökade <strong>operativa</strong> <strong>risker</strong>.<br />
(25) Verkställande ledningen ska regelbundet få rapporter om <strong>operativa</strong> <strong>risker</strong><br />
och realiserade förluster. Instituten ska utarbeta rapporteringsanvisningar.<br />
(26) Rapporterna ska innehålla finansiell information, kvalitetsanalyser,<br />
regelefterlevnadsinformation och uppgift om externa händelser och<br />
omvärldsförändringar som är väsentliga för beslutsfattandet. Av rapporterna<br />
bör identifierade problemområden framgå. De ska ge underlag för bedömning<br />
<strong>av</strong> förändringar i de <strong>operativa</strong> <strong>risker</strong>na och stödja en förebyggande<br />
riskhantering.<br />
(27) Verkställande ledningen ska regelbundet verifiera punktligheten,<br />
riktigheten och relevansen <strong>av</strong> rutinerna och rapporteringssystemen.<br />
Rapporternas innehåll och detaljrikedom, målgruppen för rapporterna och<br />
rapporteringsfrekvensen ska regelbundet ses över.<br />
(28) Den bindande föreskriften om sammanställningen <strong>av</strong> interna<br />
förlustuppgifter i <strong>av</strong>snitt 9.2.1 i Finansinspektionens standard 4.3i gäller<br />
endast institut som beräknar kapitalkr<strong>av</strong>et för <strong>operativa</strong> <strong>risker</strong> enligt en<br />
internmätningsmetod. Finansinspektionen rekommenderar dock att samtliga<br />
institut redan på förhand börjar samla in interna förlustuppgifter och bygga<br />
upp ett förlustregister för att göra det möjligt för dem att framöver övergå till<br />
mer <strong>av</strong>ancerade metoder. Insamling <strong>av</strong> förlustuppgifter anses <strong>av</strong>sevärt stödja<br />
hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong>.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Tillämpningsråd/-exempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 16 (40)<br />
(29) Tabellen nedan visar exempel på hur man kan strukturera övervakningen<br />
<strong>av</strong> förluster på grund <strong>av</strong> exponering för <strong>operativa</strong> <strong>risker</strong>. Exempel på<br />
information som bör ingå i rapporterna är beskrivning <strong>av</strong> förlusthändelsen,<br />
orsakerna till händelsen, uppskattning <strong>av</strong> direkta och indirekta kostnader,<br />
eventuella försäkringsersättningar och åtgärder för att förebygga liknande<br />
skador framöver. Dessutom lämnas uppgift om vilka åtgärder som har<br />
vidtagits med anledning <strong>av</strong> skadan, vem som ansvarar för dem och tidsplanen<br />
för de korrigerande åtgärderna.<br />
(30) För att övervakningen och rapporteringen ska vara tillfredsställande ska<br />
instituten fastställa en beloppsgräns och transaktioner som överskrider<br />
gränsen rapporteras. Även små förluster rapporteras om de är principiellt<br />
viktiga.<br />
Förlusttyp Exempel<br />
Interna oegentligheter förskingring, bedrägeri, tagande <strong>av</strong> muta,<br />
värdepappersmarknadsbrott eller -förseelse,<br />
skadegörelse, <strong>av</strong>saknad <strong>av</strong> befogenheter (eller<br />
överskridande <strong>av</strong> dem), missbruk <strong>av</strong><br />
kunduppgifter, <strong>av</strong>siktlig felrapportering <strong>av</strong><br />
positioner, yppande <strong>av</strong> affärshemlighet,<br />
utpressning<br />
Extern brottslighet stöld, rån, bedrägeri (t.ex. med<br />
betalningsmedel), förfalskning, penningtvätt,<br />
intrång i datasystem, spridning <strong>av</strong> skadliga<br />
program, överbelastningsattack mot datasystem,<br />
bombhot, hot mot personalen, utpressning<br />
Anställningsförhållanden,<br />
arbetarskydd<br />
brott mot arbets<strong>av</strong>talslagen (bl.a. arbetstid,<br />
arbetarskydd), ersättningsanspråk med anledning<br />
<strong>av</strong> diskriminering, löne-, ersättnings- eller<br />
uppsägningstvister, arbetsmarknadskonflikter<br />
Affärspraxis marknadsföring och tillhandahållande <strong>av</strong> tjänster<br />
som strider mot god sed eller annars är<br />
otillbörlig, missbruk <strong>av</strong> konfidentiella<br />
kunduppgifter (t.ex. för marknadsföring),<br />
försummelse <strong>av</strong> informationsskyldigheten<br />
gentemot en kund, försummelse <strong>av</strong><br />
tystnadsplikten, försummelse <strong>av</strong><br />
utredningsplikten, uppdragsutförande som strider<br />
mot bestämmelserna, regelvidrig hantering <strong>av</strong><br />
kundmedel, värdepappersmarknadsbrott eller -<br />
förseelse, penningtvätt<br />
Egendomsskada eldsvåda, vattenskada, översvämning<br />
Störningar och <strong>av</strong>brott i programfel, störning i datakommunikationen,<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 17 (40)<br />
datasystemen drifts<strong>av</strong>brott, maskinfel, el<strong>av</strong>brott, störning hos<br />
en extern tjänsteproducent<br />
Processproblem rapporteringsfel, fel i kunduppgifterna,<br />
inmatningsfel i datasystemet, prissättningsfel,<br />
ogiltigt <strong>av</strong>tal, bristfällig dokumentation,<br />
försvunna dokument, brister i<br />
säkerhetshanteringen, misslyckat utförande <strong>av</strong><br />
kunduppdrag, störning i utlagd verksamhet, tvist<br />
med utomstående leverantör, redovisningsfel<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
6 DELOMRÅDEN<br />
Tillämpningsråd/-exempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 18 (40)<br />
I HANTERING AV<br />
OPERATIVA RISKER<br />
6.1 Processer<br />
(1) Med process <strong>av</strong>ses en helhet <strong>av</strong> verksamheter och resurser i syfte att<br />
framställa en viss tjänst eller produkt. I processhanteringen ingår aspekter på<br />
kundtillfredsställelse, effektivitet, lönsamhet och kvalitet. Denna standard<br />
fokuserar på identifiering och begränsning <strong>av</strong> de <strong>operativa</strong> <strong>risker</strong> som är<br />
förknippade med processerna. Analys <strong>av</strong> processerna och bedömning <strong>av</strong> de<br />
<strong>operativa</strong> <strong>risker</strong> som hänför sig till olika processfaser hjälper instituten att<br />
identifiera och reducera de <strong>operativa</strong> <strong>risker</strong>na.<br />
(2) Instituten ska identifiera de processer som är viktigast för verksamheten.<br />
Särskild uppmärksamhet bör ges gränssnitten mellan olika organisatoriska<br />
enheter och företag, överskridningen <strong>av</strong> nationsgränser och betalningarna.<br />
Det är ytterst viktigt att det finns noggrann dokumentation <strong>av</strong> och rutiner för<br />
hanteringen <strong>av</strong> stora transaktionsvolymer. Processanvisningarna ska vara<br />
tillräckliga och aktuella.<br />
(3) Kontroller ska byggas in i de olika faserna <strong>av</strong> processerna och kvaliteten<br />
på dem utvärderas regelbundet, särskilt när verksamhetens omfattning eller<br />
innehåll utvecklas eller processerna ändras. Exempel på kontroller är<br />
<strong>av</strong>stämningar och flera personers medverkan i hanteringen <strong>av</strong> en transaktion.<br />
(4) Processer som är viktiga för verksamheten ska dokumenteras så enhetligt<br />
som möjligt med beskrivningar t.ex. <strong>av</strong> de uppgifter som hänför sig till<br />
processen, processens olika faser och deras samband, data- och<br />
materialflöden, rapportering, processens intressegrupper (processens ägare,<br />
kunder, personal som deltar i processen, organisatoriska enheter, andra<br />
företag och andra intressegrupper) samt de datasystem som är förknippade<br />
med processen. Beaktas bör vilken noggrannhet som eftersträvas i<br />
processbeskrivningarna, eftersom alltför detaljerade beskrivningar kan<br />
försvåra underhållet. För processbeskrivningarna ska kompetensen hos<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
personer som representerar olika delområden utnyttjas.<br />
Processbeskrivningarna ska regelbundet uppdateras.<br />
dnr 3/120/2004 19 (40)<br />
(5) Också vid genomförandet <strong>av</strong> olika projekt är det viktigt att tillämpa så<br />
samordnade principer som möjligt. För viktiga projekt ska riskbedömningar<br />
göras på förhand.<br />
6.2 Legal risk<br />
(6) Legal risk är en operativ risk som kan uppstå på grund <strong>av</strong> externa faktorer<br />
såsom förändringar i omvärlden men också på grund <strong>av</strong> institutens egen<br />
verksamhet. Legala <strong>risker</strong> kan ingå i all verksamhet. I tolkningen, räckvidden<br />
och giltigheten <strong>av</strong> de regelverk och föreskrifter som gäller tillsynsobjektens<br />
verksamhet ingår osäkerhetsfaktorer som kan leda till betydande förluster och<br />
som kan inverka på institutets juridiska ansvar och eventuella<br />
ersättningsskyldighet. Vidare kan tvister om <strong>av</strong>talens giltighet och innehåll<br />
skada institutets verksamhet. Att lösgöra sig från ogynnsamma <strong>av</strong>tal och ingå<br />
ersättande <strong>av</strong>tal kan medföra risk för förlust. Detta gäller särskilt <strong>av</strong>tal med<br />
standardvillkor. Också dokument som institutet har offentliggjort, exempelvis<br />
broschyrer och reklam kan vara förknippade med risk för skadeersättning eller<br />
försämrat rykte och minskad respekt.<br />
(7) Institutets högsta ledning måste vara medvetna om de viktigaste legala<br />
<strong>risker</strong>na i verksamheten och säkerställa att hanteringen <strong>av</strong> den legala risken<br />
är tillräcklig. Verkställande ledningen ska säkerställa att hanteringen <strong>av</strong> den<br />
legala risken tilldelas tillräckligt med resurser för identifiering, övervakning<br />
och reducering <strong>av</strong> den legala risken inom olika affärsområden. Institutet ska<br />
ha tillräcklig kunskap om både den lagstiftning och de myndighetsföreskrifter<br />
som gäller tillsynsobjektet. I synnerhet om de centrala<br />
myndighetsföreskrifterna ska institutets anställda alltid ha sakkunskap.<br />
Ansvarsförhållandena <strong>av</strong>seende hanteringen <strong>av</strong> legala <strong>risker</strong> ska vara klart<br />
definierade.<br />
(8) För att kunna hantera den legala risken ska instituten ha den sakkunskap<br />
som behövs för att ingå <strong>av</strong>tal och andra rättshandlingar. För att kunna<br />
säkerställa <strong>av</strong>talens giltighet ska institutet ha tillräcklig kunskap om de<br />
beslutsbefogenheter som tillämpas <strong>av</strong> <strong>av</strong>talsparten. Avtalsdokumentationen<br />
ska arkiveras på lämpligt sätt och <strong>av</strong>talens giltighet och eventuella<br />
tolkningstvister eller processer ska följas upp.<br />
(9) För att på förhand kunna förbereda sig för de kr<strong>av</strong> som nya lagar och<br />
föreskrifter ställer, bör instituten bevaka förändringar <strong>av</strong> såväl lagstiftning<br />
som internationella regelverk. Det är nödvändigt att känna till rättspraxis<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 20 (40)<br />
inom den egna branschen. Finans- och försäkringskonglomeratets moderbolag<br />
ska sörja för att samtliga företag som hör till konglomeratet har tillräcklig<br />
sakkunskap om de bestämmelser och föreskrifter som gäller för båda<br />
sektorerna. Företag med verksamhet i utlandet ska beakta att viktiga<br />
rättsprinciper och rättspraxis kan variera betydligt mellan olika stater.<br />
6.3 Personal<br />
(10) Som en del <strong>av</strong> hanteringen <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> ska högsta ledningen slå<br />
fast principer genom vilka företaget säkerställer att de anställda och personer<br />
som rekryteras till företaget har tillräcklig kompetens i förhållande till<br />
arbetsuppgifterna, företagets storlek och verksamhetens omfattning och art.<br />
(11) Med kompetens <strong>av</strong>ses de anställdas duglighet, utbildning, erfarenhet och<br />
förmåga att klara <strong>av</strong> sina arbetsuppgifter. Företaget ska ha rutiner för att<br />
säkerställa att de anställda fortlöpande uppfyller kompetenskr<strong>av</strong>en. Vikt ska<br />
fästas vid nyanställdas anseende och bakgrund.<br />
(12) Verkställande ledningen ska se till att det finns tillräckligt med<br />
personalresurser för att klara <strong>av</strong> uppgifterna. För att kontinuiteten ska kunna<br />
säkerställas ska särskilt personer i nyckelställning ha ersättare för sjukdom,<br />
olycksfall eller anställningsförhållanden som plötslig upphör. I<br />
resursplaneringen ska också belastningstopparna beaktas.<br />
(13) Högsta ledningen ska fastställa principerna för sekretess. Syftet med<br />
dem är att säkerställa att företagets anställda inte yppar detaljer om en kunds<br />
eller annan med företagets verksamhet förknippad persons ekonomiska<br />
ställning eller privata förhållanden eller affärs- eller yrkeshemligheter, om den<br />
som tystnadsplikten <strong>av</strong>ser inte ger sitt samtycke till det.<br />
(14) Högsta ledningen ska fastställa principerna för belöningssystemen för att<br />
säkerställa att belöningssystemen inte lockar till icke önskvärda förfaranden<br />
eller okontrollerat risktagande.<br />
6.4 Kontinuitetsplanering<br />
(15) Med kontinuitetsplanering <strong>av</strong>ses säkerställande <strong>av</strong> förmågan att<br />
upprätthålla verksamheten och begränsa förluster i händelse <strong>av</strong> olika slag <strong>av</strong><br />
störningar i verksamheten. Hit hör till exempel skador eller <strong>av</strong>siktliga<br />
handlingar som drabbar personalen, lokalerna, datasystemen eller<br />
datakommunikationen, vattenskador, eldsvådor samt <strong>av</strong>brott i exempelvis el-,<br />
värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen<br />
upprättas kontinuitetsplaner för viktiga verksamheter för att upprätthålla<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
verksamheten i händelse <strong>av</strong> eventuella störningar.<br />
dnr 3/120/2004 21 (40)<br />
(16) Högsta ledningen svarar för att det finns uppdaterade och tillräckliga<br />
kontinuitetsplaner för företagets centrala verksamheter. Verkställande<br />
ledningen ska fastställa ansvaret för kontinuitetsplaneringen. Instituten ska<br />
ha en klar handlingsmodell för upprättande, underhåll och testning <strong>av</strong><br />
kontinuitetsplaner och för uppföljning <strong>av</strong> kontinuitetsplaneringen.<br />
(17) Utgångspunkten för kontinuitetsplaneringen är att instituten kartlägger<br />
sina viktigaste verksamhetsprocesser. De viktigaste verksamhetsprocesserna<br />
bör prioriteras. Återställningstider ska fastställas för dem, dvs. det längsta<br />
tillåtna <strong>av</strong>brottet som inte stör verksamheten. För prioriterade processer ska<br />
alternativa handlingsmodeller och återställningsrutiner läggas upp för<br />
eventuella <strong>av</strong>brott. Extra uppmärksamhet bör ges möjligheten att återställa<br />
information som är nödvändig för att verksamheten ska kunna återupptas.<br />
(18) Datasystem och tillämpningar ska rangordnas efter det hur snabbt de ska<br />
kunna återställas efter olika typer <strong>av</strong> störningar. För datasystemen ska<br />
upprättas återställningsplaner med beskrivningar <strong>av</strong> hur systemen kan fås<br />
funktionsdugliga efter störningar. Säkerhetskopiorna och en eventuell<br />
reservanläggning ska placeras så långt bort från den egentliga datacentralen<br />
att data och säkerhetskopior inte kan förstöras samtidigt.<br />
(19) Kontinuitetsplanerna ska grunda sig på risk- och sårbarhetsanalyser.<br />
Kontinuitetsplanerna ska beakta olika hotbilder <strong>av</strong>seende verksamheten och<br />
funktionernas sårbarhet. Kontinuitetsplanerna ska dimensioneras efter<br />
verksamhetens art, omfattning och komplexitet. De ska styra verksamheten<br />
vid olika typer <strong>av</strong> störningar. I kontinuitetsplanerna ska också ingå<br />
informationsgivning vid olika typer <strong>av</strong> störningar både internt och externt till<br />
intressegrupper.<br />
(20) Instituten ska bereda sig på störningar i externa intressegruppers<br />
verksamhet. Hit hör exempelvis underleverantörer, tjänsteleverantörer och<br />
viktiga kunder.<br />
(21) Kontinuitetsplanerna ska uppdateras regelbundet och anpassas till<br />
förändringar i verksamhet, tjänster eller strategier. Kontinuitetsplanerna ska<br />
också testas och övningar hållas regelbundet. Ansvariga ska utses för att<br />
övervaka uppdateringen och testningen <strong>av</strong> kontinuitetsplanerna.<br />
(22) Kontinuitetsplaneringsprocessen består bl.a. <strong>av</strong> följande faser:<br />
• fastställande <strong>av</strong> principer och allmänna instruktioner för<br />
kontinuitetsplaneringen<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd/-exempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Norm<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 22 (40)<br />
• kontinuitetsplaneringsutbildning till personalen i<br />
verksamhetsenheterna<br />
• etablering <strong>av</strong> en krisorganisation och upprättande och underhåll <strong>av</strong><br />
listor över kontaktpersoner<br />
• fastställande <strong>av</strong> centrala rutiner för informationsgivning<br />
• upprättande <strong>av</strong> kontinuitetsplaner<br />
• upprättande <strong>av</strong> en återställningsplaner för datasystemen<br />
• underhåll <strong>av</strong> kontinuitets- och återställningsplanerna<br />
• testning <strong>av</strong> kontinuitets- och återställningsplanerna<br />
• uppföljning <strong>av</strong> kontinuitetsplaneringen, samordning <strong>av</strong><br />
kontinuitetsplanerna och utvärdering <strong>av</strong> deras ändamålsenlighet.<br />
6.5 Beredskap för undantagsförhållanden<br />
(23) Med beredskap för undantagsförhållanden <strong>av</strong>ses förberedelser inför<br />
undantagsförhållanden enligt beredskapslagen (22.7.1991/1080). En<br />
definition <strong>av</strong> undantagsförhållanden finns i kapititel 8.<br />
(24) Finansinspektionen anser att de finansmarknadsaktörer som enligt lag<br />
ska upprätthålla beredskap uppfyller sin beredskapsskyldighet om de följer<br />
Finansförsörjningspoolens beredskapsanvisning för finansmarknaden och<br />
denna standard.<br />
(25) Anvisningarna i denna standard kan tillämpas också på andra allvarliga<br />
störningar än de undantagsförhållanden som definieras i beredskapslagen.<br />
Sådana allvarliga störningar och kriser kan exempelvis vara en pandemi eller<br />
något annat hot som allvarligt äventyrar personalens funktionsförmåga eller<br />
att driftstället eller databehandlingsmiljön förstörs.<br />
(26) Beredskapen för undantagsförhållanden är en del <strong>av</strong> riskhanteringen och<br />
den interna kontrollen. Ansvaret för beredskapen vilar på högsta ledningen.<br />
(27) Kr<strong>av</strong>en på beredskap för undantagsförhållanden grundar sig på<br />
beredskapslagen och andra myndighetsanvisningar om beredskap för<br />
undantagsförhållanden. Beredskapen för undantagsförhållanden går ut på att<br />
verksamheten ska kunna fortsätta normalt.<br />
(28) Den som är skyldig att upprätthålla beredskap ska genom deltagande i<br />
beredskapsplanering och genom förberedelser för undantagsförhållanden<br />
säkerställa att verksamheten kan fortgå så störningsfritt som möjligt också<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
under undantagsförhållanden. 2<br />
dnr 3/120/2004 23 (40)<br />
(29) Den beredskapsskyldige ska säkerställa att för verksamheten viktig<br />
information bevaras och att transaktioner kan registreras i tillräckligt hög grad<br />
också under undantagsförhållanden.<br />
(30) Beredskapsanvisningen för finansmarknaden, som utarbetats <strong>av</strong><br />
Finansförsörjningspoolen (tidigare Finansförsörjningskommittén), ger<br />
detaljerade anvisningar om beredskapen för undantagsförhållanden. Den<br />
innehåller också en mall för upprättande <strong>av</strong> en beredskapsplan.<br />
(31) I Beredskapsanvisningen för finansmarknaden har hotbilderna och<br />
beredskapsmålen fastställts på allmän nivå för hela branschen. Syftet är att<br />
den beredskapsskyldige preciserar dem enligt sin egen verksamhet och<br />
planerar lämpliga åtgärder för att nå målen.<br />
(32) Utgångspunkten för beredskapen är att krisläget kan pågå i 12<br />
månader. 3<br />
Beredskapsplan<br />
(33) Den beredskapsskyldige ska ha en uppdaterad beredskapsplan. Den ska<br />
testas regelbundet tillsammans med andra aktörer på finansmarknaden.<br />
(34) Beredskapsplanen kan utgöra som en del <strong>av</strong> den beredskapsskyldiges<br />
kontinuitetsplan förutsatt att den i tillräckligt hög grad beaktar behoven <strong>av</strong><br />
beredskap för undantagsförhållanden. Vid undantagsförhållanden pågår<br />
störningen i regel längre än de situationer som omfattas <strong>av</strong> kontinuitetsplanen<br />
under normala förhållanden. Dessutom är hoten i regel allvarligare än de<br />
hotbilder som omfattas <strong>av</strong> kontinuitetsplanen.<br />
(35) Beredskapsplanen ska innehålla information åtminstone om<br />
• hoten mot den beredskapsskyldiges verksamhet<br />
• bedömning <strong>av</strong> verksamhetens kriskänslighet<br />
• målet med den beredskapsskyldiges verksamhet och<br />
verksamhetsprinciperna vid allvarliga störningar och<br />
undantagsförhållanden<br />
• beredskapsåtgärder under normala tider<br />
• tryggande <strong>av</strong> datasystemen<br />
2 123 § i kreditinstitutslagen (121/2007), 4 a § i placeringsfondslagen (48/1999), 13 a § i lagen om<br />
utländska kreditinstituts och finansiella instituts verksamhet i Finland (1608/1993), 13 a § i lagen om<br />
värdeandelssystemet.<br />
3 Statsrådets beslut om målen med försörjningsberedskapen (350/8.5.2002).<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 24 (40)<br />
• tryggande <strong>av</strong> andra resurser som behövs för verksamheten<br />
• företagssäkerhet<br />
• funktioner och tjänster som ska upprätthållas under svåra störningar<br />
och undantagsförhållanden och deras funktionskr<strong>av</strong><br />
• organisation och personreserveringar under undantagsförhållanden<br />
• de olika faserna i en behärskad reducering <strong>av</strong> tjänsterna för den<br />
händelse att de måste gallras<br />
• återställningsåtgärder vid återgång till normala förhållanden<br />
• nödvändigt samarbete med intressegrupper<br />
• ledning, informationsgivning och kommunikation vid<br />
undantagsförhållanden<br />
• ansvar och handlingsplan för att upprätthålla och testa<br />
beredskapsplanen<br />
(36) Den beredskapsskyldige ska utse en eller fler personer som svarar för<br />
underhåll <strong>av</strong> beredskapsplanen och informationsgivningen om den.<br />
Verksamhet under undantagsförhållanden<br />
(37) Under undantagsförhållanden ska verksamheten så länge som möjligt<br />
fortgå på motsvarande sätt som under normala förhållanden. Eventuellt<br />
måste den dock anpassas till de rådande omständigheterna. Den<br />
beredskapsskyldige bör bl.a. ha beredskap att registrera transaktioner<br />
manuellt för den händelse att databehandlingskapacitet, elektricitet eller<br />
dataförbindelser inte finns att tillgå eller är begränsade.<br />
(38) De viktigaste funktionerna för att den finansiella infrastrukturen ska<br />
fungera är bl.a. inlåning, utlåning, inhemsk och utländsk betalningsförmedling<br />
(gireringar och periodiska betalningar), kontantförsörjning,<br />
värdepappershandel och clearing, <strong>av</strong>veckling och förvaring <strong>av</strong> värdepapper.<br />
Viktiga system är således bl.a. betalningssystemen samt<br />
värdepapperscentralens, fondbörsens och clearingorganisationens system.<br />
(39) Också under undantagsförhållanden ska den beredskapsskyldige så länge<br />
som möjligt klara <strong>av</strong> att tillhandahålla de ovan nämnda tjänsterna. Den<br />
beredskapsskyldige ska därför försäkra sig om att det finns resurser och<br />
kapacitet att tillhandahålla dessa tjänster under undantagsförhållanden och<br />
allvarliga störningar. Också tillgången på personal och reservlokaler ska<br />
planeras på förhand. Tillgången ska tryggas genom förhandsåtgärder med<br />
tanke på situationer då en stor del <strong>av</strong> personalen är frånvarande, en del <strong>av</strong><br />
lokalerna, utrustningen och systemen har förstörts eller är otillgängliga och<br />
verksamheten är förhindrad på ett omfattande geografiskt område.<br />
(40) Infrastrukturen för den centraliserade databehandlingen ska vara<br />
upplagd med tanke på undantagsförhållanden<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Tillämpningsexempel<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 25 (40)<br />
• databehandlingen ska fysiskt vara utspridd på två separata<br />
driftställen med kapacitet att tillhandahålla tjänster som ska<br />
upprätthållas under undantagsförhållanden även när det ena<br />
driftstället är ur bruk<br />
• tillgången på elektricitet är säkerställd<br />
• säkerhetskopior finns med tanke på undantagsförhållanden och data<br />
kan återställas från säkerhetskopiorna<br />
• en tillräcklig skyddskopiering <strong>av</strong> data och program inklusive<br />
återställningssystem har ordnats i trygga lokaler på tillräckligt långt<br />
<strong>av</strong>stånd från de egentliga databehandlingscentralerna, om möjligt<br />
utanför huvudstadsregionen<br />
• datakommunikationsförbindelserna till viktiga samarbetspartner och<br />
nödvändiga databaser fungerar.<br />
(41) Den beredskapsskyldige ska planera användningen <strong>av</strong> skyddskopior så<br />
att det är möjligt att med den skyddskopierade informationen och tillgängliga<br />
program på nytt starta upp verksamheten även i sådana fall när den egentliga<br />
databehandlingscentralen och dess närområden är totalförstörda. Den<br />
beredskapsskyldige ska sörja för att skyddskopiorna när som helst kan läsas<br />
in och att deras datainnehåll är användbart.<br />
(42) Den beredskapsskyldige ska utsträcka sin beredskap också till utlagda<br />
verksamheter i den omfattning som tryggandet <strong>av</strong> de kärnverksamheter och<br />
kärntjänster som ska upprätthållas under undantagsförhållanden förutsätter.<br />
Beredskapskr<strong>av</strong>en ska beaktas redan när uppdrags<strong>av</strong>talet upprättas. Den<br />
beredskapsskyldige ska bedöma uppdragstagarens beredskap och sörja för att<br />
den motsvarar kr<strong>av</strong>en.<br />
(43) Uppdragstagarens beredskap kan exempelvis utvärderas genom<br />
gemensamma övningar.<br />
(44) Den beredskapsskyldige ska kartlägga utläggningskedjornas och<br />
underleverantörs<strong>av</strong>talens effekt på den egna verksamheten under<br />
undantagsförhållanden och sörja för en tillräcklig beredskap <strong>av</strong>seende sådana<br />
funktioner som ska upprätthållas under undantagsförhållanden.<br />
6.6 Datasystem<br />
(45) Högsta ledningen ska säkerställa att datasystemen är tillräckliga och<br />
lämpliga i förhållande till verksamhetens art och omfattning. Detta ska<br />
<strong>av</strong>göras utgående från företagets verksamhet, högsta ledningens kr<strong>av</strong> och det<br />
faktum att systemen ska stödja verksamheten enligt högsta ledningens<br />
riktlinjer.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 26 (40)<br />
(46) Instituten ska ha den kompetens, organisation och internkontroll som<br />
behövs för att registrera, överföra, behandla och arkivera data elektroniskt.<br />
Dessa funktioner kan vara helt eller delvis utlagda, varvid institutet ska<br />
säkerställa att leverantören <strong>av</strong> databehandlingstjänster följer de principer som<br />
fastställs i detta <strong>av</strong>snitt.<br />
(47) Högsta ledningen ska anta en IT-strategi för att säkerställa att en lämplig<br />
IT-miljö existerar, underhålls och utvecklas efter nuvarande och framtida<br />
behov. Dessutom ska högsta ledningen se till att företaget har rutiner för<br />
budgetering och uppföljning <strong>av</strong> IT-kostnader.<br />
(48) För olika delområden <strong>av</strong> datatekniken ska instituten fastställa riktlinjer,<br />
standarder, rutiner och kontroller som möjliggör samarbete mellan<br />
affärsområdena och IT-enheterna. Med dem som utgångspunkt ska<br />
verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid<br />
behov ska ett särskilt samarbetsorgan med företrädare för olika<br />
affärsområden tillsättas för samordning <strong>av</strong> detta arbete.<br />
(49) IT-funktionens oberoende ställning i förhållande till användarna ska<br />
säkerställas. IT-funktionen svarar för datasystemens utveckling och<br />
funktionsförmåga, medan användarna svarar för att den information som<br />
behandlas är riktig.<br />
(50) Systemutveckling och datadrift ska åtskiljas så att de anställda i dessa<br />
funktioner får tillgång till varandras data endast via kontrollerade<br />
standardrutiner. Också för driftsättning, ändringshantering och testning <strong>av</strong><br />
systemen ska det finnas standardrutiner.<br />
(51) Instituten ska sörja för att internrevisionen har kompetens att utvärdera<br />
de interna IT-kontrollernas funktionsförmåga.<br />
(52) Instituten ska utarbeta och upprätthålla metoder för systemering och<br />
kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och<br />
att de dokumenteras i sådan standardiserad form att de går att använda och<br />
utveckla i framtiden även om exempelvis nyckelpersoner byts ut.<br />
(53) Instituten ska utarbeta rutiner för köp eller godkännande <strong>av</strong> program-<br />
och maskinvara eller kontraktering till externa tjänsteproducenter för att<br />
säkerställa att nyanskaffningar och <strong>av</strong>tal motsvarar företagets behov och<br />
gällande standarder och garanterar fortlöpande service.<br />
(54) Med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga<br />
reservsystem minimeras risken för <strong>av</strong>brott i datasystemen (eldsvåda,<br />
översvämning, el<strong>av</strong>brott, maskinfel osv.) och tillgången till känsligt material<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 27 (40)<br />
(datautrustning, datamedium, dokument etc.) begränsas till behörig personal.<br />
6.7 Informationssäkerhet<br />
6.7.1 Definition <strong>av</strong> informationssäkerhet och grundläggande kr<strong>av</strong><br />
(55) Informationssäkerhet innebär att företagets data, tjänster, system och<br />
datakommunikation är skyddade och säkerställda under både normala och<br />
exceptionella förhållanden genom administrativa, tekniska och andra<br />
åtgärder.<br />
(56) Informationssäkerheten brukar indelas i åtta åtgärdsområden:<br />
administrativ säkerhet, personalsäkerhet, fysisk säkerhet,<br />
kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet,<br />
datasäkerhet och användarsäkerhet 4<br />
.<br />
(57) Allmänna kr<strong>av</strong> på säkerheten för information som förvaras, överförs och<br />
behandlas är<br />
• konfidentialitet (skydd <strong>av</strong> information mot otillbörlig insyn)<br />
• integritet (riktighet, dvs. skydd <strong>av</strong> information mot oönskad<br />
förändring)<br />
• tillgänglighet (informationen är åtkomlig för behöriga i rätt tid).<br />
(58) Systemen ska ha en åtkomstkontroll. Också o<strong>av</strong>visligheten <strong>av</strong> de<br />
transaktioner som utförs samt identifieringen och autentiseringen <strong>av</strong> de<br />
kommunicerande parterna ska vara säkerställd. Vidare ska de transaktioner<br />
som hanteras i systemen kunna spåras.<br />
6.7.2 Uppläggning och ansvar för informationssäkerheten<br />
(59) Institutets allmänna informationssäkerhet och de olika datasystemens<br />
säkerhetsnivå ska vara tillfredsställande i förhållande till verksamhetens art<br />
och omfattning, hoten mot systemen och den allmänna tekniska<br />
utvecklingsnivån.<br />
(60) Högsta ledningen svarar för att institutets informationssäkerhet är<br />
tillfredsställande. Den allmänna nivån på företagets informationssäkerhet ska<br />
fastställas och godkännas <strong>av</strong> högsta ledningen. Högsta ledningen ska tilldela<br />
tillräckliga resurser och delegera ansvaret för att informationssäkerheten<br />
håller tillräckligt hög nivå. Instituten ska regelbundet utvärdera sin<br />
4<br />
Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon<br />
tietoturvakäsitteistö.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 28 (40)<br />
informationssäkerhetsnivå. Om det inte finns tillräcklig datasäkerhetsexpertis<br />
inom den egna organisationen, ska instituten uppdra utvärderingen åt en<br />
utomstående konsult med tillräcklig sakkunskap. Konstaterade brister i<br />
säkerheten måste omedelbart åtgärdas.<br />
6.7.3 Bedömning <strong>av</strong> <strong>risker</strong> som hänför sig till informationssäkerhet<br />
(61) Bedömningen <strong>av</strong> informationssäkerhetsnivån ska basera sig på<br />
regelbunden utvärdering <strong>av</strong> <strong>risker</strong>na i informationssäkerheten. I<br />
riskanalyserna fastställs institutets viktigaste verksamheter och resurser och<br />
analyseras hotbilder och verksamheternas och resursernas sårbarhet för<br />
hoten. Vidare uppskattas eventuella effekter på institutets verksamhet om<br />
hoten realiseras. För hantering <strong>av</strong> identifierade <strong>risker</strong> måste tillräckliga<br />
kontroller byggas in. Också <strong>risker</strong>na med nya tekniker och tjänster ska<br />
bedömas före introduktionen.<br />
(62) Rutiner för bedömning <strong>av</strong> informationssäkerhets<strong>risker</strong>na ska byggas in i<br />
riskhanteringen för att högsta ledningen ska kunna bilda sig en uppfattning<br />
om samverkan mellan alla väsentliga <strong>risker</strong> i verksamheten.<br />
6.7.4 Informationens och systemens ägare<br />
(63) Instituten ska fastställa ägarna till den information som företaget<br />
förvarar och hanterar. Ägarna ska svara för principerna för användning <strong>av</strong><br />
informationen och systemen, behörigheter och säkerhet. De ska också bevilja<br />
behörighet att utnyttja informationen. Instituten ska klassificera den<br />
information som förvaras och hanteras enligt säkerhetskr<strong>av</strong>en och utarbeta<br />
hanteringsregler för olika säkerhetsklasser.<br />
6.7.5 Behörigheter<br />
(64) Instituten ska bevilja behörighet att använda information, program och<br />
system, samt övervaka användningen <strong>av</strong> systemen enligt samordnade regler<br />
som godkänts <strong>av</strong> ledningen. Tilldelningen <strong>av</strong> användarbehörigheter ska basera<br />
sig på användarens arbetsuppgifter. Instituten ska begränsa tillträdet till data,<br />
program och system med tekniska metoder (användaridentifikationer,<br />
lösenord osv.) samt rapportera och undersöka överskridningar <strong>av</strong><br />
användarbehörigheterna.<br />
6.7.6 Informationssäkerhetsregler och utbildning<br />
(65) Instituten ska ha uppdaterade informationssäkerhetsprinciper godkända<br />
<strong>av</strong> högsta ledningen och andra informationssäkerhetsregler, som företagets<br />
anställda ska känna till. Exempel på informationssäkerhetsregler är bland<br />
annat bestämmelser om fastställande <strong>av</strong> behörigheter, bekämpning <strong>av</strong><br />
skadliga program samt användningen <strong>av</strong> Internet och e-post. Instituten ska<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Tillämpningsråd<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 29 (40)<br />
klart fastställa informationssäkerhetsansvaret för varje anställd och ge de<br />
anställda regelbunden informationssäkerhetsutbildning.<br />
Informationssäkerheten ska kontinuerligt utvecklas och ansvaret för detta ska<br />
klart fastställas på chefsnivå.<br />
6.7.7 Behandlingen <strong>av</strong> informationssäkerhetsfall<br />
(66) Fall som gäller bristande informationssäkerhet ska åskådliggöras,<br />
analyseras, dokumenteras och rapporteras till namngivna ansvariga inom<br />
organisationen.<br />
6.7.8 Informationssäkerhet i datanätet<br />
(67) Onlinetjänsternas informationssäkerhet beror bland annat på vilka<br />
handlingsmönster som använts för tjänsterna (ex. manuella arbetsmoment),<br />
vilka tillämpningar som använts, hur säkra de tekniska systemen och<br />
datakommunikationen är.<br />
(68) Innan existerande tjänster börjar bjudas ut eller nya tjänster<br />
introduceras i datanät ska instituten bedöma om tjänsterna är lämpliga att<br />
tillhandahålla över nätet. De största <strong>risker</strong>na med tjänsterna och<br />
riskhanteringsmetoderna ska dokumenteras och nödvändiga kontroller ska<br />
byggas in i systemet. Riskhanteringen och internkontrollen <strong>av</strong> onlineverksamhet,<br />
datasystem och interna processer ska planeras och läggas upp<br />
så att verksamhetens art och omfattning och hoten mot verksamheten<br />
beaktas. Instituten ska själva analysera den totala risken i onlineverksamheten<br />
med jämna mellanrum eller låta göra en extern bedömning <strong>av</strong><br />
den. Instituten ska på löpande basis analysera och utveckla sina datasystem<br />
och informationssäkerheten samt på ett tillfredsställande sätt skydda sig mot<br />
olika störningar och eventuellt missbruk.<br />
6.7.9 Utveckling <strong>av</strong> säkra onlinetjänster<br />
(69) För att trygga informationssäkerheten ska instituten innan de lanserar en<br />
tjänst se till att åtminstone följande kriterier uppfylls:<br />
• En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har<br />
vidtagits.<br />
• Säkerhetsbesiktning <strong>av</strong> respektive system har gjorts. Dessutom ska<br />
systemens säkerhetsnivå följas upp fortlöpande, deras sårbarhet<br />
analyseras och nödvändiga systemuppdateringar och -korrigeringar<br />
installeras.<br />
• Störningar i systemen och eventuella fall <strong>av</strong> missbruk och försök till<br />
missbruk ska följas upp fortlöpande och rapporteras på<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
överenskommet sätt.<br />
dnr 3/120/2004 30 (40)<br />
• För att säkerställa tillgänglighet och kontinuitet ska<br />
återställningsplaner upprättas för respektive system, reservsystem<br />
läggas upp för problemsituationer och åtgärder vidtas för att<br />
reservsystemen snabbt ska kunna sättas in vid störningar.<br />
• Systemen bör vid behov belastningstestas. Särskilt viktigt är det att<br />
testa att datasystemen har tillräcklig kapacitet även när exceptionellt<br />
många kunder samtidigt är uppkopplade till systemen.<br />
• Systemen ska förses med nödvändiga mekanismer för bekämpning<br />
<strong>av</strong> virus och andra skadliga program.<br />
• Systemen och dataförbindelserna ska skyddas så att de inte kan<br />
blockeras med onödiga förfrågningar eller på annat sätt. Systemets<br />
Internetgränssnitt kan eventuellt blockeras på ett sätt som<br />
tjänsteleverantören inte har möjlighet att påverka. För sådana<br />
situationer ska finnas beredskap, t.ex. tillräckliga reservsystem.<br />
• Systemen ska förses med en mekanism för behörighetskontroll och<br />
instituten ska sörja för att behörighetshanteringen har ordnats på<br />
behörigt sätt.<br />
• Det externa nätet (Internet) ska skiljas åt från institutets interna nät<br />
med säkerhetsanordningar.<br />
• Systemen ska testas med jämna mellanrum och framför allt efter<br />
systemändringar för att förhindra att obehöriga får tillträde till<br />
systemen eller kan utnyttja eventuella säkerhetshål. Upptäcks brister<br />
i säkerheten måste de omedelbart åtgärdas.<br />
• Instituten ska säkerställa att dataöverföringen mellan<br />
tjänstemottagaren och tjänsteleverantören och databehandlingen i<br />
tjänsteleverantörens system uppfyller kr<strong>av</strong>en på konfidentialitet,<br />
integritet och o<strong>av</strong>vislighet. Också identifieringen och autentiseringen<br />
<strong>av</strong> de sinsemellan kommunicerande parterna måste vara tillförlitlig.<br />
Lämpliga metoder är till exempel en tillräckligt stark kryptering 5<br />
,<br />
elektroniska certifikat och elektroniska signaturer.<br />
• Kontrollmekanismer och revisionsspår ska byggas in i datasystemen<br />
för att säkerställa in- och utdatas riktighet och integritet,<br />
5 Riskerna med krypteringsmetoden ska analyseras fall för fall. Det lönar sig alltid att göra krypteringen<br />
så bra som det på kostnadseffektiva grunder är möjligt utgående från hur väl informationen behöver<br />
skyddas.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 31 (40)<br />
behörigheter, återställande <strong>av</strong> information efter <strong>av</strong>brott i<br />
databehandlingen samt transaktionernas reviderbarhet. De<br />
transaktioner som handläggs i systemet ska kunna spåras.<br />
• Systemen ska ha inbyggda kontroller som möjliggör <strong>av</strong>stämning <strong>av</strong><br />
transaktioner som har utförts i olika delsystem. Det rekommenderas<br />
att transaktionsförloppet <strong>av</strong>stäms alltifrån det att transaktionen<br />
lämnar kunden ända tills den når institutets bassystem.<br />
• Eventuella lösenord för kunder ska krypteras inom systemet och vid<br />
överföring mellan systemen.<br />
• Vid uppläggning, behandling och överlämning till kunden <strong>av</strong> dennes<br />
identifikationsuppgifter (användaridentitet och lösenord) ska extra<br />
aktsamhet iakttas och s.k. farliga arbetskombinationer undvikas.<br />
• Instituten ska sörja för att systemen för en tillräckligt noggrann logg<br />
över inloggning, försök till inloggning och användning <strong>av</strong> tjänsten.<br />
Loggarna och loggrappporterna ska gås igenom regelbundet. Särskilt<br />
för försök till intrång eller annat missbruk bör finnas<br />
rapporteringsrutiner. Vid genomgången <strong>av</strong> loggarna och rapporterna<br />
ska förpliktelserna och åtgärderna enligt lag genomföras omsorgsfullt<br />
och utan att äventyra kommunikationens konfidentialitet eller<br />
integritetsskyddet.<br />
• I en tjänst som marknadsförs till kunder ska ges tillräckligt med<br />
information exempelvis i bruksanvisningen om den tjänst som<br />
marknadsförs, om ansvarfördelningen mellan den som tillhandahåller<br />
och den som utnyttjar tjänsten och om hur användaren tryggt kan<br />
utnyttja tjänsten.<br />
6.8 Betalningssystem och betalningsförmedling<br />
(70) Det är viktigt att betalningssystemen är välfungerande eftersom största<br />
delen <strong>av</strong> betalningarna i samhället förmedlas i systemen. Avbrott och<br />
störningar försvårar kundernas betalningar och kan därigenom medföra<br />
problem för landets ekonomi.<br />
(71) Med betalningssystem <strong>av</strong>ses i regel ett system<br />
• där överenskomna betalningsmedel används<br />
• där deltagarna är banker och kreditinstitut<br />
• där deltagarna kommer överens om olika betalningsförmedlings- och<br />
riskhanteringsrutiner<br />
• som möjliggör förmedling <strong>av</strong> transaktioner från betalaren till<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Motivering<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Rekommendation<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
mottagaren.<br />
dnr 3/120/2004 32 (40)<br />
(72) Med betalningsmedel <strong>av</strong>ses ett bank-, betal- eller kreditkort, en check<br />
eller ett annat instrument varmed betalningar, uttag eller<br />
betalningsöverföringar kan utföras eller vars användning är en nödvändig<br />
förutsättning för att nämnda transaktioner ska kunna utföras.<br />
(73) Högsta ledningen ska godkänna principer för betalningsförmedling i de<br />
betalningssystem i vilka institutet deltar eller de betalningstjänster som<br />
företaget tillhandahåller för sina kunder. Betalningsförmedlingsprinciperna ska<br />
omfatta den nuvarande verksamheten och de ska ta hänsyn till utvecklingen<br />
under de närmaste åren. Högsta ledningen ska för betalningsförmedlingsverksamheten<br />
uppställa mål i syfte att säkerställa en effektiv och säker<br />
betalningsförmedling och övervaka verksamheten.<br />
(74) Verkställande ledningen svarar för att det finns tillfredsställande<br />
kompetens, resurser och internkontroll för en effektiv och säker<br />
betalningsförmedling. Instituten ska kartlägga <strong>risker</strong>na med de<br />
betalningssystem och betalningstjänster som används och regelbundet<br />
uppdatera kartläggningarna.<br />
(75) Institutens betalningssystem ska vara välfungerande och funktionssäkra<br />
och stabila. Instituten ska sörja för att det förekommer så få störningar som<br />
möjligt i betalningsförmedlingen. Betalningsförmedlingen ska säkras med<br />
reservsystem.<br />
(76) Instituten ska tillställa Finansinspektionen resultatet <strong>av</strong> riskanalyser <strong>av</strong><br />
nya betalningstjänster och -tekniker innan tjänsterna introduceras.<br />
(77) Instituten ska i god tid på förhand underrätta Finansinspektionen om nya<br />
betalningstjänster och betydande ändringar i existerande tjänster.<br />
(78) Avseende betalningssystem har Committee on Payment and Settlement<br />
Systems (CPSS), som tillsatts <strong>av</strong> G10-ländernas centralbanker, gett ut<br />
rekommendationen Core Principles for Systemically Important Payment<br />
Systems (Basel Committee Publications No. 43). Institutet ska i tillämpliga<br />
delar följa rekommendationen vid deltagande i systemviktiga<br />
betalningssystem, exempelvis POPS eller PMJ.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 33 (40)<br />
6.9 Förhindrande <strong>av</strong> lagstridigt utnyttjande <strong>av</strong> det<br />
finansiella systemet (upphävts)<br />
Avsnittet 6.9 upphävts med <strong>Standard</strong> 2.4. Kundkontroll och åtgärder mot<br />
penningtvätt, finansiering <strong>av</strong> terrorism och marknadsmissbruk, som gäller<br />
fr.o.m. 1.9.2010.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Bindande<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
7 RAPPORTERING<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
TILL<br />
FINANSINSPEKTIONEN<br />
dnr 3/120/2004 34 (40)<br />
(1) De rapporteringsskyldigheter som hänför sig till denna standard fastställs i<br />
rapporteringsstandard RA4.2 om rapportering till Finansinspektionen <strong>av</strong><br />
händelser relaterade till <strong>operativa</strong> <strong>risker</strong>.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
8 DEFINITIONER<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 35 (40)<br />
(1) Kontroller 6<br />
är rutiner för att säkerställa att en verksamhet når sitt mål.<br />
Kontroller är alla åtgärder i syfte att förebygga, upptäcka och reducera<br />
störningar, brister, fel och missbruk. Exempel på kontroller är <strong>av</strong>stämningar,<br />
principen att "fyra ögon ser mer än två” och jämförelser <strong>av</strong> motparternas<br />
bekräftelser med företagets egen <strong>av</strong>talsdokumentation.<br />
(2) Pandemi:<br />
En sjukdomsepedemi som fått stor spridning.<br />
(3) Undantagsförhållanden:<br />
Undantagsförhållanden enligt beredskapslagen<br />
(22.7.1991/1080):<br />
1) mot Finland riktat väpnat angrepp och krig samt efterkrigstillstånd<br />
2) allvarlig kränkning <strong>av</strong> Finlands territoriella integritet samt krigshot mot<br />
landet<br />
3) krig eller krigshot mellan främmande stater och en sådan allvarlig<br />
internationell spänning som innebär krigshot och som förutsätter åtgärder<br />
som är nödvändiga för höjande <strong>av</strong> Finlands försvarsberedskap, samt någon<br />
annan därmed jämförbar särskild händelse som har inträffat utanför Finland,<br />
om den kan vålla allvarlig fara för de grunder för den nationella existensen<br />
och välfärden som <strong>av</strong>ses i 1 § 1 mom.<br />
4) sådant allvarligt hot mot befolkningens utkomst eller mot grunderna för<br />
landets näringsliv som beror på försvårad eller förhindrad import <strong>av</strong><br />
nödvändiga bränslen och annan energi samt råvaror och andra varor eller på<br />
någon annan till sina verkningar därmed jämförbar plötslig störning i det<br />
6 Källa: Tietojärjestelmien tarkastuksen ja riskienhallinnan käsikirja, Gummerus 1997.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
internationella handelsutbytet, samt<br />
5) en storolycka<br />
dnr 3/120/2004 36 (40)<br />
förutsatt att myndigheterna inte med normala befogenheter kan få kontroll<br />
över situationen.<br />
(4) Beredskapsplan: en på förhand upprättad beskrivning <strong>av</strong> de åtgärder med<br />
vilka den beredskapsskyldige säkerställer att verksamheten kan fortgå under<br />
allvarliga störningssituationer under normala förhållanden och under<br />
undantagsförhållanden.<br />
(5) Med högsta ledningen <strong>av</strong>ses här det organ som fastställer de allmänna<br />
verksamhetsramarna för institutet och som har det övergripande ansvaret för<br />
organisationens verksamhet, besluten om verksamhetsplaner och mål och en<br />
fungerande intern kontroll. I praktiken är högsta ledningen ofta företagets<br />
styrelse. Om företaget har både förvaltningsråd och styrelse bildar de<br />
tillsammans högsta ledningen. De interna instruktionerna ska i så fall<br />
innehålla detaljerade bestämmelser om vilka <strong>av</strong> högsta ledningens uppgifter<br />
förvaltningsrådet ansvarar för och vilka styrelsen ansvarar för.<br />
(6) Med verkställande ledningen <strong>av</strong>ses det organ som svarar för den dagliga<br />
<strong>operativa</strong> ledningen i företaget och verkställer högsta ledningens beslut.<br />
Verkställande ledningen består <strong>av</strong> verkställande direktören och en eventuell<br />
ledningsgrupp.<br />
Definitioner i anslutning till datasystemen 7<br />
(7) Integritet: Informationen och datasystemen är tillförlitliga, riktiga och<br />
tidsenliga och de har inte förändrats eller kan inte förändras på grund <strong>av</strong><br />
maskinvaru- eller programvarufel, naturkatastrofer eller mänsklig<br />
verksamhet.<br />
(8) Sårbarhetsanalys: Systematisk kartläggning <strong>av</strong> sårbarheter och <strong>risker</strong> som<br />
information, system, funktioner och tjänster utsätts för. Med sårbarhet <strong>av</strong>ses<br />
exponering för störningar i system, verksamhet eller tjänster.<br />
(9) O<strong>av</strong>vislighet:<br />
Transaktionerna kan verifieras i efterhand. O<strong>av</strong>vislighet<br />
innebär att en part i behandlingen eller överföringen <strong>av</strong> information inte i<br />
efterhand kan förneka sin delaktighet.<br />
7 En del <strong>av</strong> definitionerna baserar sig på följande källor: Ledningsgruppen för datasäkerheten inom<br />
statsförvaltningen 1/2001 Allmän anvisning om datasäkerhetsarbetet vid statliga myndigheter och<br />
Anvisning om datasäkerhetsbegreppen inom statsförvaltningen Valtionhallinnon<br />
tietoturvallisuuskäsitteistö, Vahti 1/2000 och Vahti 4/2003.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 18.9.2007<br />
Gäller fr.o.m. 1.11.2007<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 37 (40)<br />
(10) Kontroller:<br />
Syftet med kontroller <strong>av</strong> databehandlingen är att trygga<br />
databehandlingsförhållandena, sörja för att arbetet utförs i rätt tid, säkerställa<br />
kontinuiteten i verksamheten och sörja för att verksamheten och<br />
informationen om den är tillförlitliga och att egendomen är intakt.<br />
(11) Belastningstestning:<br />
Datasystemens betjänings- och prestationsförmåga<br />
testas i syfte att undersöka om systemet har tillräcklig kapacitet också när<br />
antalet uppdrag ökar.<br />
(12) Tillgänglighet:<br />
En egenskap som sörjer för att informationen,<br />
datasystemen eller tjänsten är tillgängliga för behöriga användare inom<br />
önskad tid och på överenskommet sätt.<br />
(13) Logg:<br />
En fil i vilken systemet registrerar transaktionerna och användarna<br />
kronologiskt.<br />
(14) Konfidentialitet:<br />
Information och system är tillgängliga endast för<br />
behöriga användare på överenskommet sätt och på <strong>av</strong>talad tid. Utomstående<br />
har inte tillgång till informationen och kommer inte åt att ändra eller förstöra<br />
data.<br />
(15) Överbelastningsattack:<br />
En attack riktad mot en tjänst eller server i syfte<br />
att få datasystemet att krångla eller låsa sig.<br />
(16) Åtkomstkontroll:<br />
Funktioner eller rutiner för behörighetskontroll <strong>av</strong> alla<br />
som loggar in sig i systemet.<br />
(17) Riskanalys:<br />
Systematisk analys <strong>av</strong> sårbarheter, hot och eventuella<br />
följdverkningar <strong>av</strong> realiserade hot, riktade mot data, system, verksamhet och<br />
tjänster.<br />
(18) Skyddskopia:<br />
En säkerhetskopia som förvaras på en säker plats och<br />
används om originalfilen eller säkerhetskopian inte kan användas.<br />
(19) Incident:<br />
Händelse eller åtgärd som strider mot företagets<br />
datasäkerhetsprinciper, exempelvis virusattack, intrång i datasystemet eller<br />
informationsläckage.<br />
(20) Autentisering:<br />
Kontroll <strong>av</strong> systemanvändarens eller den andra partens<br />
identitet (person, organisation eller utrustning).<br />
(21) Återställningsplan: Är en del <strong>av</strong> kontinuitetsplanen och innehåller<br />
anvisningar om åtgärder för att få datasystemet funktionsdugligt efter en<br />
allvarlig störning eller katastrof, för att fortsätta verksamheten och återgå till<br />
normal verksamhet. I planen fastställs även reservsystemkr<strong>av</strong>, ansvar och<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
Utfärdad 25.5.2004<br />
Gäller fr.o.m. 1.1.2005<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 38 (40)<br />
åtgärder för att skapa beredskap för viktiga datasystem. Dessutom ges<br />
anvisningar om åtgärder vid olika störningar.<br />
(22) Säkerhetsbesiktning:<br />
Systematisk granskning <strong>av</strong> säkerhetsnivån i ett<br />
system, en tjänst eller en verksamhet för att säkerställa att den fastställda<br />
säkerhetsnivån har uppnåtts.<br />
(23) Säkerhetsteknik:<br />
Utrustning, program och metoder med vilka data,<br />
system och tjänster skyddas.<br />
(24) Reservsystem:<br />
Förberedelser för störningar och <strong>av</strong>brott i verksamhet<br />
eller system genom alternativa verksamhetsmodeller eller system.<br />
Reservsystem är exempelvis dubblering <strong>av</strong> viktiga komponenter som behövs i<br />
databehandlingen och datakommunikationen samt säkerhetskopiering.<br />
(25) Säkerhetskopia:<br />
Kopia <strong>av</strong> en fil. Används om den ursprungliga filen<br />
förstörs eller skadas.<br />
(26) Virus<br />
: Ett skadegörande program som är dolt i ett program eller i data<br />
och som sprider sig till andra program i samma dator eller till program i andra<br />
datorer genom att duplicera sig så att de duplicerade virusen i sin tur<br />
duplicerar sig.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
9 YTTERLIGARE<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 39 (40)<br />
INFORMATION<br />
Kontaktinformation finns i listan över standardansvariga på<br />
Finansinspektionens webbplats. Upplysningar lämnas också <strong>av</strong>:<br />
• Risktillsyn, Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010 831 5208<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208
10 ÄNDRINGSHISTORIK<br />
FINANSINSPEKTIONEN Utfärdad 25.5.2004<br />
4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare<br />
<strong>4.4b</strong> <strong>Hantering</strong> <strong>av</strong> <strong>operativa</strong> <strong>risker</strong> Ändrad senast 22.6.2010<br />
dnr 3/120/2004 40 (40)<br />
(1) När denna standard trädde i kraft (1.1.2005) upphävdes följande <strong>av</strong><br />
Finansinspektionens föreskrifter och anvisningar:<br />
• Anvisning om principer för riskhantering och intern kontroll och<br />
internrevision i kreditinstitut (108.2) till den del som gäller<br />
databehandling<br />
• Anvisning om riskhantering och övrig intern kontroll i fondbörser<br />
(202.13) till den del som gäller databehandling<br />
• Anvisning om principer för riskhantering och intern kontroll och<br />
internrevision i värdepappersföretag (203.28) till den del som gäller<br />
databehandling<br />
• Anvisning om riskhantering och internrevision i värdepapperscentraler<br />
(206.4) till den del som gäller databehandling.<br />
(2) <strong>Standard</strong>en har ändrats enligt följande:<br />
• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: <strong>av</strong>snitt 5.5 har<br />
upphävts Utläggning <strong>av</strong> verksamheter och tjänster.<br />
• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: <strong>av</strong>snitt 6.5 har lagts till<br />
Beredskap för undantagsförhållanden.<br />
• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: uppdatering enligt<br />
ändringarna i kreditinstitutslagen och komplettering med nya<br />
marginaltexter.<br />
• Utfärdad 22.6.2010, gäller fr.o.m. 1.9.2010: <strong>av</strong>snittet 6.9.<br />
Förhindrande <strong>av</strong> lagstridigt utnyttjande <strong>av</strong> det finansiella systemet<br />
har upphävts och behövliga ändringar på kapitel 1-4 tillagts.<br />
tfn 010 831 51 Upplysningar:<br />
fax 010 831 5297 Marknads<strong>risker</strong> och <strong>operativa</strong> <strong>risker</strong>, tfn 010<br />
förnamn.efternamn@fiva.fi<br />
www.finanssivalvonta.fi<br />
831 5208