Standard 4.4b Hantering av operativa risker - Finanssivalvonta

Standard 4.4b 

Hantering av operativa risker 

Föreskrifter och allmänna råd

Så här läser du standarderna 

Standarden är en ämnesvis indelad helhet av föreskrifter och råd som förpliktar eller vägleder 

tillsynsobjekt och andra aktörer på finansmarknaden, anger tillsynsmyndighetens mål för kvalitetsnivå 

och syn på god praxis samt motiverar regleringen. 

Datumangivelser i standardens marginal: 

• Utfärdad: Anger när Finansinspektionen fattat beslutet att utfärda texten. 

• Gäller fr.o.m.: Anger när textavsnittet trätt i kraft. 

Varje stycke i standarden har en egen marginalanteckning: 

• Norm: Hänvisningar till gällande bestämmelser i lag eller förordning. 

• Bindande: Föreskrifter som Finansinspektionen enligt lag har rätt att meddela företag under 

tillsyn och andra finansmarknadsaktörer. 

• Rekommendation: Finansinspektionens riktgivande råd till företag under tillsyn eller andra 

finansmarknadsaktörer. 

• Tillämpningsråd/-exempel: Praktiska anvisningar eller tillämpningsråd till eller -exempel på 

norm, bindande föreskrifter och rekommendationer. Hänvisning till Finansinspektionens 

standard eller en del av en standard. Se exemplet intill. 

• Motivering: Redogör för regelverkens mål, syfte och bakgrund. 

Standarderna finns på Finansinspektionens webbplats www.finansinspektionen.fi

FINANSINSPEKTIONEN Utfärdad 25.5.2004 

4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 

4.4b Hantering av operativa risker Ändrad senast 22.6.2010 

INNEHÅLL 

dnr 3/120/2004 3 (40) 

1 Tillämpning ___________________________________________ 5 

2 Syfte ________________________________________________ 7 

3 Internationella regelverk ________________________________ 8 

4 Rättsgrund ___________________________________________ 9 

5 Hantering av operativa risker ____________________________ 11 

5.1 Definition av begreppet operativ risk ________________________ 11 

5.2 Riskhanteringsorganisation och tillsyn av operativa risker ________ 12 

5.3 Grunderna för hanteringen av operativa risker ________________ 13 

5.3.1 Identifiering av operativa risker ________________________ 13 

5.3.2 Bedömning och reducering av operativa risker ____________ 13 

5.4 Godkännande av nya produkter eller tjänster _________________ 14 

5.5 Övervakning och rapportering av operativa risker ______________ 15 

6 Delområden i hantering av operativa risker _________________ 18 

6.1 Processer _____________________________________________ 18 

6.2 Legal risk______________________________________________ 19 

6.3 Personal ______________________________________________ 20 

6.4 Kontinuitetsplanering ____________________________________ 20 

6.5 Beredskap för undantagsförhållanden _______________________ 22 

6.6 Datasystem ____________________________________________ 25 

tfn 010 831 51 Upplysningar: 

fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 

förnamn.efternamn@fiva.fi 

www.finanssivalvonta.fi 

831 5208




dnr 3/120/2004 4 (40) 

6.7 Informationssäkerhet ____________________________________ 27 

6.7.1 Definition av informationssäkerhet och grundläggande krav __ 27 

6.7.2 Uppläggning och ansvar för informationssäkerheten ________ 27 

6.7.3 Bedömning av risker som hänför sig till informationssäkerhet 28 

6.7.4 Informationens och systemens ägare ___________________ 28 

6.7.5 Behörigheter ______________________________________ 28 

6.7.6 Informationssäkerhetsregler och utbildning ______________ 28 

6.7.7 Behandlingen av informationssäkerhetsfall _______________ 29 

6.7.8 Informationssäkerhet i datanätet_______________________ 29 

6.7.9 Utveckling av säkra onlinetjänster ______________________ 29 

6.8 Betalningssystem och betalningsförmedling ___________________ 31 

6.9 Förhindrande av lagstridigt utnyttjande av det finansiella systemet 

(upphävts) ____________________________________________ 33 

7 Rapportering till Finansinspektionen ______________________ 34 

8 Definitioner _________________________________________ 35 

9 Ytterligare information _________________________________ 39 

10 Ändringshistorik ______________________________________ 40 





831 5208

Utfärdad 22.6.2010 

Gäller fr.o.m. 1.9.2010 



1 TILLÄMPNING 






dnr 3/120/2004 5 (40) 

(1) Standarden tillämpas på de följande institut: 

• kreditinstitut 

• värdepappersföretag på vilka 5 och 6 kapitel i lagen om kreditinstitut 

• tillämpas på grund av 46 § i lagen om värdepappersföretag 

• fondbolag som bedriver verksamhet enligt 5 § 2 mom. i lagen om 

placeringsfonder 

• kreditinstituts och värdepappersföretags holdingföretag 

• centralinstitutet enligt lagen om andelsbanker och andra kreditinstitut 

i andelslagsform (1504/2001) 

(2) De stycken som markerats som bindande tillämpas dessutom på 

moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat. 

(3) Standardens avsnitt 6.5 tillämpas på institut och juridiska personer som är 

skyldiga att upprätthålla beredskap för sådana undantagsförhållanden som 

avses i beredskapslagen (1080/1991). Hit hör 

• kreditinstitut och de finansiella finansinstitut vilkas huvudsakliga 

affärsverksamhet består av att tillhandahålla betalkorts- och 

betalningstjänster 

• fondbolag 

• utländska kreditinstituts filialer och filialer till sådana utländska 

finansiella institut vilkas huvudsakliga affärsverksamhet består av att 

tillhandahålla betalkorts- och betalningstjänster 

• värdepapperscentralen. 

Gränserna för beredskapen nämns i de lagar i vilka de ovannämnda 

aktörernas beredskapsskyldighet regleras. 

Finansinspektionen rekommenderar dessutom att fondbörser och 

clearingorganisationer tillämpar avsnitt 6.5 i denna standard. 





831 5208














dnr 3/120/2004 6 (40) 

(4) De företag som omfattas av denna standard skiljer sig från varandra bl.a. 

i fråga om verksamhetens omfattning, organisation och kundstruktur samt 

antalet finansiella tjänster och deras komplexitet. Därför kan det finnas olika 

typer av praktiska lösningar för hanteringen och tillsynen av operativa risker 

beroende på prioriteringarna och särdragen i verksamheten. 

(5) De centrala riskhanteringsprinciperna i denna standard är bindande. De 

detaljerade bestämmelserna, som preciserar principerna, kan följas i 

tillämpliga delar om organisationen är liten, om risktagandet enligt 

verksamhetsplanen är lågt, om verksamheten är begränsad, enkel eller i 

övrigt genomblickbar eller om verkställande ledningen aktivt deltar i det 

dagliga beslutsfattandet. För att bindande bestämmelser ska kunna följas 

endast i tillämpliga delar krävs alltid att högsta ledningen fattar ett separat 

beslut om det. Institutet ska alltid säkerställa att internkontrollen och 

riskhanteringen är tillfredsställande och avpassade efter de operativa 

riskerna. 

(6) Upphävts med standard 2.4. Kundkontroll och åtgärder mot penningtvätt, 

finansiering av terrorism och marknadsmissbruk, som gäller fr.o.m. 1.9.2010. 

(7) Företag som hör till samma finansiella företagsgrupp ska följa enhetliga 

riskhanteringsprinciper. Moderföretag till finansiellt inriktade finans- och 

försäkringskonglomerat ska säkerställa att alla företag som hör till 

konglomeratet har tillfredsställande riskhanteringssystem. 

(8) I standarden används beteckningen ”institut” (eller tillsynsobjekt) för alla 

företag som standarden gäller. 





831 5208









2 SYFTE 




dnr 3/120/2004 7 (40) 

(1) I denna standard behandlas principerna för hantering av operativa risker 

och riskhanteringens uppläggning. Särskild uppmärksamhet ägnas 

specialområden som har samband med processhantering, personal, data- och 

betalningssystem, informationssäkerhet, kontinuitetsplanering och legala 

risker. 

(2) Den tekniska utvecklingen, utvecklingen av produkter och tjänster, nya 

riskhanteringsmetoder, utläggningar, strukturaffärer och globalisering har 

gjort omvärlden allt mer komplex och ökat de operativa riskerna vid 

produktion av finans- och investeringstjänster. 

(3) Syftet med reglerna för hanteringen av operativa risker och denna 

standard är i första hand att säkerställa att 

• instituten identifierar de operativa riskerna i verksamheten 

• Instituten lägger upp hanteringen av operativa risker så att den är 

tillfredsställande i förhållande till verksamhetens art och omfattning 

(organisation, policy, processer och rutiner, övervakning och 

rapportering) 

• instituten tillämpar adekvata rutiner för informationsförvaltning och 

informationssäkerhet 

(4) Skador och händelser i anslutning till operativa risker rapporteras till 

Finansinspektionen enligt rapporteringsstandard RA4.2. 





831 5208









3 INTERNATIONELLA 




dnr 3/120/2004 8 (40) 

REGELVERK 

(1) Kapitel 5 ”Hantering av operativa risker” bygger huvudsakligen på 

rekommendationen Sound Practices for the Management and Supervision of 

Operational Risk som Baselkommittén för banktillsyn gav ut i februari 2003 

(Basel Committee Publications No. 96). Rekommendationen har använts som 

källa också för avsnitt 6.4 ”Kontinuitetsplanering” i kapitel 6. 

(2) Upphävts med Standard 2.4. Kundkontroll och åtgärder mot penningtvätt, 


(3) Avsnitt 6.7 ”Informationssäkerhet” bygger på Baselkommitténs 

rekommendation Risk Management Principles for Electronic Banking (Basel 

Committee Publications No. 98) från juli 2003. 

(4) Avseende ”Betalningssystem och betalningsförmedling” i avsnitt 6,8 har 

Committee on Payment and Settlement Systems (CPSS) i januari 2001 gett ut 

rekommendationen Core Principles for Systemically Important Payment 

Systems (CPSS Publications No. 43). 





831 5208

4 RÄTTSGRUND 














dnr 3/120/2004 9 (40) 

(1) Den nationella lagstiftningen om riskhantering bygger på följande EUdirektiv: 

• Europaparlamentets och rådets direktiv 2006/48/EG om rätten att 

starta och driva verksamhet i kreditinstitut ; EUT L 177, 30.6.2006, s. 

1 (Celex 32006L0048) 

• Europaparlamentets och rådets direktiv 2006/49/EG om kapitalkrav 

för värdepappersföretag och kreditinstitut, EUT L 177, 30.6.2006, s. 

201 (Celex 32006L0049). 

(2) De detaljerade bestämmelserna om riskhantering finns i artikel 22 och 

bilaga V i direktiv 2006/48/EG som gäller organisationen av kreditinstitutens 

interna styrning, internkontroll och riskhantering som en del av villkoren för 

rätten att starta verksamhet i kreditinstitut. 

Bilaga V till direktiv 2006/48/EG innehåller tekniska kriterier för besluts-, 

styrnings- och kontrollsystemen samt klassificeringen och hanteringen av 

risker. 



(4) Motsvarande krav gäller för värdepappersföretag enligt artikel 34 i 

direktivet om kapitalkrav för värdepappersföretag och kreditinstitut. 

Enligt det ska varje värdepappersföretag uppfylla kraven enligt artikel 22 i 

direktiv 2006/48/EG. 

(5) Nationella bestämmelser om riskhantering inklusive hantering av operativa 

risker finns i följande lagar: 

• 49 § 1 mom. i kreditinstitutslagen (121/2007) som innehåller en 

allmän bestämmelse om riskhantering. Motsvarande bestämmelse 

om finansiella företagsgrupper finns i 74 §. 





831 5208




Gäller fr.o.m. 1.9..2010 






dnr 3/120/2004 10 (40) 

• 54 § 2 mom. i kreditinstitutslagen (121/2007) som föreskriver att 

kreditinstitutet ska ha principer och rutiner för kapitalutvärdering och 

riskhantering. Motsvarande bestämmelse om finansiella 

företagsgrupper finns i 78 § 2 mom. 

• 46 § 1 mom. i lagen om värdepappersföretag (922/2007) enligt vilket 

bestämmelserna 49 § och 52 § i kreditinstitutslagen tillämpas också 

på värdepappersföretag. 

• 6 § 5 mom. i lagen om placeringsfonder (48/1999) enligt vilken 

fondbolag som bedriver verksamhet som avses i 5 § 2 mom. ska 

uppfylla kraven enligt 46 § 1 mom. i lagen om värdepappersföretag. 

• 30a § 1 mom i lagen om placeringsforder (48/1999) som innehåller 

krav på fondbolanges internkontroll och riskhanteringsystem. 

• 5 § i lagen om andelsbanker och andra kreditinstitut i andelslagsform 

(1504/2001) som innehåller en allmän bestämmelse om 

riskhantering. 

• 16 § 1 och 2 mom. i lagen om tillsyn över finans- och 

försäkringskonglomerat (699/2004) som innehåller en allmän 

bestämmelse om riskhantering. 

(6) Finansinspektionens anvisningar om beredskap för undantagsförhållanden 

bygger på följande bestämmelser: 

• 123 § i kreditinstitutslagen (121/2007) 

• 4a § i lagen om placeringsfonder (48/1999) 

• 13a § i lagen om utländska kreditinstituts och finansiella instituts 

verksamhet i Finland (1608/1993) 

• 13a § i lagen om värdeandelssystemet (826/1991). 



(8) Finansinspektionens rätt att meddela bindande föreskrifter om 

ämnesområdet för standarden baserar sig på följande bestämmelser: 

• 93 § 1 mom. och 145 § 3 mom. i kreditinstitutslagen (121/2007) 

• 31 § 1 mom. och 49 § 3 mom. i lagen om värdepappersföretag 

(579/1996) 

• 30a § 3 mom. och 144 § 3 mom. i lagen om placeringsfonder 

(48/1999) 

• 16 § 3 mom. i lagen om tillsyn över finans- och 

försäkringskonglomerat (699/2004) 

• 29b § 3 mom. i lagen om värdeandelssystemet (826/1991). 





831 5208

Motivering 



Motivering 



Motivering 



Motivering 



Rekommendation 






dnr 3/120/2004 11 (40) 

5 HANTERING AV OPERATIVA RISKER 

5.1 Definition av begreppet operativ risk 

(1) Hanteringen av operativa risker är en del av institutets riskhanteringsförmåga. 

Risker som beror på företagets verksamhet eller som väsentligt 

hänför sig till verksamheten ska identifieras, bedömas och mätas för att 

kunna begränsas och övervakas. Riskhanteringen syftar till att minska 

sannolikheten för oförutsedda förluster eller hot mot institutets anseende. 

(2) Med operativ risk avses risk för förluster på grund av 

• otillräckliga eller misslyckade interna processer 

• personalen 

• systemen 

• externa faktorer. 

Operativa risker inkluderar legala risker men exkluderar strategiska risker. 

(3) Den förlust som operativ risk resulterar i är inte alltid mätbar. Risken kan 

också realiseras med fördröjning och ge utslag indirekt t.ex. genom försämrat 

rykte eller minskad respekt. 

(4) De operativa riskerna skiljer sig till sin karaktär från kredit- och 

marknadsrisker. Hanteringen av operativa risker går generellt ut på 

riskminimering. Det går inte alltid att dra gränser mellan olika riskområden. 

Exempelvis ingår det såväl operativa risker som kredit- och marknadsrisker i 

de olika faserna av kredit- och handelsprocesserna. 

(5) Institutet ska i sin definition av operativa risker utgå från den egna 

verksamheten och beakta verksamhetens särdrag. 





831 5208

Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 






dnr 3/120/2004 12 (40) 

5.2 Riskhanteringsorganisation och tillsyn av operativa 

risker 

(6) Operativa risker ska hanteras och bedömas som ett eget riskområde. 

Högsta ledningen ska fastställa principer för hantering av operativa risker och 

regelbundet se över dem med beaktande av förändringar i omvärlden och i 

institutets egen verksamhet. Principerna ska omfatta rutiner för identifiering, 

bedömning, övervakning och reducering av risker. Där bör också de viktigaste 

processerna för hantering av operativa risker fastställas. 

(7) Högsta ledningen ska vara medveten om de viktigaste operativa riskerna i 

företagets olika affärsområden. Som en del av internkontrollen ska högsta 

ledningen regelbundet få rapporter om de viktigaste operativa riskerna. 

(8) Verkställande ledningen ska sörja för att principerna för hantering av 

operativa risker omsätts i praktiken i institutets samtliga verksamheter och 

säkerställa att varje anställd kan identifiera de operativa riskerna i sin egen 

verksamhet och känner till rutinerna för att hantera dessa risker. 

Verkställande ledningen svarar för utvecklingen och underhållet av rutinerna 

för hanteringen av operativa risker i anslutning till institutets produkter, 

tjänster, verksamheter, processer och system. 

(9) Ansvars- och rapporteringsförhållandena i affärsområdena och andra 

enheter som svarar för hanteringen av operativa risker ska vara klara och 

täckande. För kontrollen av risktagandet svarar en riskkontrollfunktion som är 

oberoende av risktagandet och riskhanteringen. 1 

(10) Högsta och verkställande ledningen ska medverka till att det uppstår en 

sådan företagskultur som godkänner den interna kontrollen som en normal 

och nödvändig del av verksamheten. En effektiv intern kontroll förutsätter att 

arbetsuppgifterna och beslutsfattandet är åtskilda på behörigt sätt. 

(11) Högsta ledningen ska säkerställa att hanteringen av operativa risker 

regelbundet är föremål för en effektiv och täckande internrevision. 

Internrevisionen får som funktion inte vara direkt ansvarig för hanteringen av 

operativa risker. 

(12) I uppläggningen av riskhanteringen tillämpas också principerna för intern 

kontroll och riskhantering enligt standard 4.1 Intern kontroll och 

1 Finansinspektionen, Standard 4.1 Uppläggning av intern kontroll, avsnitt 5.3: "Riskkontrollfunktionen 

ska upprätthålla, utveckla och utarbeta riskhanteringsprinciper som ska fastställas av högsta ledningen 

samt ta fram metoder för analys och mätning av riskerna. Den ska fortlöpande se till att varje risk 

håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. … 

Riskkontrollfunktionen ska också se till att den samlade effekten av samtliga större risker i 

verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både 

till högsta ledningen och till den verkställande ledningen." 





831 5208

Bindande 



Motivering 



Bindande 



Bindande 



Tillämpningsexempel 









dnr 3/120/2004 13 (40) 

riskhantering, 4.2 Företagens interna kapitalutvärdering och 4.3i Kapitalkrav 

för operativa risker i huvudavsnittet Kapitaltäckning och riskhantering i 

Finansinspektionens föreskriftssamling. 

5.3 Grunderna för hanteringen av operativa risker 

5.3.1 Identifiering av operativa risker 

(13) Institutet ska för varje affärsområde kunna identifiera de operativa 

riskerna i sina viktigaste produkter, tjänster, funktioner, processer och 

system. Identifieringen av de operativa riskerna skapar en grund för tillsynen 

av riskerna och planeringen av riskkontrollerna. 

5.3.2 Bedömning och reducering av operativa risker 

(14) Förluster på grund av operativa risker kan förebyggas dels genom 

minimering av sannolikheten för att riskerna realiseras, dels genom 

reducering av sårbarheten för dessa risker. 

(15) Vid kartläggningen av de operativa riskerna måste man verksamhet för 

verksamhet bedöma sannolikheten för och verkningarna av en 

förlusthändelse. 

(16) I fråga om de viktigaste identifierade operativa riskerna måste instituten 

bedöma hur riskerna ska kontrolleras, om de ska begränsas eller accepteras, 

eller om verksamheten ska avvecklas helt. 

(17) Riskbedömningen analyserar skadliga interna och externa faktorer. 

Exempel på interna faktorer är företagets struktur, organisationsförändringar, 

komplexiteten av produkter och tjänster, de anställdas kompetens och 

personalomsättning. Externa faktorer är exempelvis tekniska framsteg och 

internationalisering. 

(18) Fastställda rutiner för bedömning av riskerna förbättrar utvärderingen. 

För detta ändamål kan exempelvis användas formbundna 

självutvärderingsblanketter, skadestatistik och genomgång av skador som har 

drabbat tillsynsobjektet eller andra. Utvärdering av skador som drabbat andra 

genom jämförelse med den egna verksamheten kan klargöra om något 





831 5208

Bindande 



Tillämpningsråd 






Tillämpningsråd/-exempel 






dnr 3/120/2004 14 (40) 

liknande hade kunnat inträffa i någon egen enhet, vilka konsekvenser detta 

hade haft och hur en sådan förlust hade kunnat förhindras. 

(19) Förluster på grund av operativa risker kan reduceras också genom 

försäkringar. Verkställande ledningen ska sörja för att försäkringsskyddet och 

kostnaderna för försäkringen ses över regelbundet med beaktande av 

förändringar i institutets verksamhet. Dessutom bör motpartsriskerna på 

grund av försäkringsavtal och försäkringsbolagens solvens bedömas. För 

betydande störningar i verksamheten ska institutet förbereda sig genom 

kontinuitetsplanering. 

5.4 Godkännande av nya produkter eller tjänster 

(20) Nya produkter eller tjänster ska bedömas avseende inneboende risker 

innan de introduceras eller tas i bruk. Motsvarande bedömning ska göras 

också när en ny tjänstemodell introduceras om produkter och tjänster har 

kombinerats på nytt sätt. Internkontrollen och riskhanteringen måste ses över 

och ändras att gälla också de nya produkterna eller tjänsterna. Särskilt 

noggrann ska bedömningen vara vid etablering av verksamhet på främmande 

marknadsområden. Det är också nödvändigt att se till att den nya 

verksamheten är tillåten affärsverksamhet för institutet. 

(21) Institutet ska införa rutiner för godkännande av nya produkter eller 

tjänster. Beslut om introduktion av nya produkter eller tjänster fattas enligt 

fastställda beslutsbefogenheter. Till beslutet fogas beslutsunderlagen. 

(22) Rutinerna för godkännande av nya produkter eller tjänster ska omfatta 

följande: 

• beskrivning av produkten eller tjänsten 

• redogörelse för produktens eller tjänstens överensstämmelse med 

verksamhetsstrategin 

• kartläggning av riskerna (bedömning av vilka risker som är 

förknippade med produkten/tjänsten) 

• uppläggningen av internkontrollen och riskhanteringen (åtminstone 

följande riskområden: kreditrisk, marknadsrisk, likviditetsrisk och 

operativa risker) 

• genomgång av de processer som hänför sig till produkten eller 

tjänsten (exempelvis offertstadiet, identifiering av kunden, 

försäljning, produktion, clearing och avveckling samt betalningar) 

• juridiska frågor, avtalsbefogenheter 

• IT, datakommunikation och informationssäkerhet 

• extern och intern redovisning 

• skattefrågor 





831 5208

Bindande 






Bindande 






Bindande 









dnr 3/120/2004 15 (40) 

• prissättning, eventuella värderingar och användning av 

prissättningsmodeller 

• bedömning av effekterna på lönsamhet och kapitaltäckning 

• utbildning och handledning. 

5.5 Övervakning och rapportering av operativa risker 

(23) Institutet ska regelbundet övervaka och bedöma arten av operativa 

risker, sannolikheten för att de realiseras och storleken av eventuella förluster 

om riskerna realiseras. Ytterligare bör förebyggande rutiner och mått för 

identifiering av riskerna införas. 

(24) Institutet ska bedöma indikatorer som ger en förvarning om ökade 

risker, exempelvis betydande förändring av verksamhetens omfattning, 

introduktion av nya produkter eller tjänster, hög personalomsättning, 

svårigheter att besätta lediga tjänster, klagomål från kunder och ökat antal 

verksamhets- eller tjänsteavbrott. Den information som redovisningssystem 

och andra datasystem genererar ska utnyttjas vid bedömningen av 

indikatorer som förutser ökade operativa risker. 

(25) Verkställande ledningen ska regelbundet få rapporter om operativa risker 

och realiserade förluster. Instituten ska utarbeta rapporteringsanvisningar. 

(26) Rapporterna ska innehålla finansiell information, kvalitetsanalyser, 

regelefterlevnadsinformation och uppgift om externa händelser och 

omvärldsförändringar som är väsentliga för beslutsfattandet. Av rapporterna 

bör identifierade problemområden framgå. De ska ge underlag för bedömning 

av förändringar i de operativa riskerna och stödja en förebyggande 

riskhantering. 

(27) Verkställande ledningen ska regelbundet verifiera punktligheten, 

riktigheten och relevansen av rutinerna och rapporteringssystemen. 

Rapporternas innehåll och detaljrikedom, målgruppen för rapporterna och 

rapporteringsfrekvensen ska regelbundet ses över. 

(28) Den bindande föreskriften om sammanställningen av interna 

förlustuppgifter i avsnitt 9.2.1 i Finansinspektionens standard 4.3i gäller 

endast institut som beräknar kapitalkravet för operativa risker enligt en 

internmätningsmetod. Finansinspektionen rekommenderar dock att samtliga 

institut redan på förhand börjar samla in interna förlustuppgifter och bygga 

upp ett förlustregister för att göra det möjligt för dem att framöver övergå till 

mer avancerade metoder. Insamling av förlustuppgifter anses avsevärt stödja 

hanteringen av operativa risker. 





831 5208










dnr 3/120/2004 16 (40) 

(29) Tabellen nedan visar exempel på hur man kan strukturera övervakningen 

av förluster på grund av exponering för operativa risker. Exempel på 

information som bör ingå i rapporterna är beskrivning av förlusthändelsen, 

orsakerna till händelsen, uppskattning av direkta och indirekta kostnader, 

eventuella försäkringsersättningar och åtgärder för att förebygga liknande 

skador framöver. Dessutom lämnas uppgift om vilka åtgärder som har 

vidtagits med anledning av skadan, vem som ansvarar för dem och tidsplanen 

för de korrigerande åtgärderna. 

(30) För att övervakningen och rapporteringen ska vara tillfredsställande ska 

instituten fastställa en beloppsgräns och transaktioner som överskrider 

gränsen rapporteras. Även små förluster rapporteras om de är principiellt 

viktiga. 

Förlusttyp Exempel 

Interna oegentligheter förskingring, bedrägeri, tagande av muta, 

värdepappersmarknadsbrott eller -förseelse, 

skadegörelse, avsaknad av befogenheter (eller 

överskridande av dem), missbruk av 

kunduppgifter, avsiktlig felrapportering av 

positioner, yppande av affärshemlighet, 

utpressning 

Extern brottslighet stöld, rån, bedrägeri (t.ex. med 

betalningsmedel), förfalskning, penningtvätt, 

intrång i datasystem, spridning av skadliga 

program, överbelastningsattack mot datasystem, 

bombhot, hot mot personalen, utpressning 

Anställningsförhållanden, 

arbetarskydd 

brott mot arbetsavtalslagen (bl.a. arbetstid, 

arbetarskydd), ersättningsanspråk med anledning 

av diskriminering, löne-, ersättnings- eller 

uppsägningstvister, arbetsmarknadskonflikter 

Affärspraxis marknadsföring och tillhandahållande av tjänster 

som strider mot god sed eller annars är 

otillbörlig, missbruk av konfidentiella 

kunduppgifter (t.ex. för marknadsföring), 

försummelse av informationsskyldigheten 

gentemot en kund, försummelse av 

tystnadsplikten, försummelse av 

utredningsplikten, uppdragsutförande som strider 

mot bestämmelserna, regelvidrig hantering av 

kundmedel, värdepappersmarknadsbrott eller - 

förseelse, penningtvätt 

Egendomsskada eldsvåda, vattenskada, översvämning 

Störningar och avbrott i programfel, störning i datakommunikationen, 





831 5208




dnr 3/120/2004 17 (40) 

datasystemen driftsavbrott, maskinfel, elavbrott, störning hos 

en extern tjänsteproducent 

Processproblem rapporteringsfel, fel i kunduppgifterna, 

inmatningsfel i datasystemet, prissättningsfel, 

ogiltigt avtal, bristfällig dokumentation, 

försvunna dokument, brister i 

säkerhetshanteringen, misslyckat utförande av 

kunduppdrag, störning i utlagd verksamhet, tvist 

med utomstående leverantör, redovisningsfel 





831 5208

Motivering 



Bindande 



Bindande 



6 DELOMRÅDEN 







dnr 3/120/2004 18 (40) 

I HANTERING AV 

OPERATIVA RISKER 

6.1 Processer 

(1) Med process avses en helhet av verksamheter och resurser i syfte att 

framställa en viss tjänst eller produkt. I processhanteringen ingår aspekter på 

kundtillfredsställelse, effektivitet, lönsamhet och kvalitet. Denna standard 

fokuserar på identifiering och begränsning av de operativa risker som är 

förknippade med processerna. Analys av processerna och bedömning av de 

operativa risker som hänför sig till olika processfaser hjälper instituten att 

identifiera och reducera de operativa riskerna. 

(2) Instituten ska identifiera de processer som är viktigast för verksamheten. 

Särskild uppmärksamhet bör ges gränssnitten mellan olika organisatoriska 

enheter och företag, överskridningen av nationsgränser och betalningarna. 

Det är ytterst viktigt att det finns noggrann dokumentation av och rutiner för 

hanteringen av stora transaktionsvolymer. Processanvisningarna ska vara 

tillräckliga och aktuella. 

(3) Kontroller ska byggas in i de olika faserna av processerna och kvaliteten 

på dem utvärderas regelbundet, särskilt när verksamhetens omfattning eller 

innehåll utvecklas eller processerna ändras. Exempel på kontroller är 

avstämningar och flera personers medverkan i hanteringen av en transaktion. 

(4) Processer som är viktiga för verksamheten ska dokumenteras så enhetligt 

som möjligt med beskrivningar t.ex. av de uppgifter som hänför sig till 

processen, processens olika faser och deras samband, data- och 

materialflöden, rapportering, processens intressegrupper (processens ägare, 

kunder, personal som deltar i processen, organisatoriska enheter, andra 

företag och andra intressegrupper) samt de datasystem som är förknippade 

med processen. Beaktas bör vilken noggrannhet som eftersträvas i 

processbeskrivningarna, eftersom alltför detaljerade beskrivningar kan 

försvåra underhållet. För processbeskrivningarna ska kompetensen hos 





831 5208




Motivering 



Bindande 



Bindande 









personer som representerar olika delområden utnyttjas. 

Processbeskrivningarna ska regelbundet uppdateras. 

dnr 3/120/2004 19 (40) 

(5) Också vid genomförandet av olika projekt är det viktigt att tillämpa så 

samordnade principer som möjligt. För viktiga projekt ska riskbedömningar 

göras på förhand. 

6.2 Legal risk 

(6) Legal risk är en operativ risk som kan uppstå på grund av externa faktorer 

såsom förändringar i omvärlden men också på grund av institutens egen 

verksamhet. Legala risker kan ingå i all verksamhet. I tolkningen, räckvidden 

och giltigheten av de regelverk och föreskrifter som gäller tillsynsobjektens 

verksamhet ingår osäkerhetsfaktorer som kan leda till betydande förluster och 

som kan inverka på institutets juridiska ansvar och eventuella 

ersättningsskyldighet. Vidare kan tvister om avtalens giltighet och innehåll 

skada institutets verksamhet. Att lösgöra sig från ogynnsamma avtal och ingå 

ersättande avtal kan medföra risk för förlust. Detta gäller särskilt avtal med 

standardvillkor. Också dokument som institutet har offentliggjort, exempelvis 

broschyrer och reklam kan vara förknippade med risk för skadeersättning eller 

försämrat rykte och minskad respekt. 

(7) Institutets högsta ledning måste vara medvetna om de viktigaste legala 

riskerna i verksamheten och säkerställa att hanteringen av den legala risken 

är tillräcklig. Verkställande ledningen ska säkerställa att hanteringen av den 

legala risken tilldelas tillräckligt med resurser för identifiering, övervakning 

och reducering av den legala risken inom olika affärsområden. Institutet ska 

ha tillräcklig kunskap om både den lagstiftning och de myndighetsföreskrifter 

som gäller tillsynsobjektet. I synnerhet om de centrala 

myndighetsföreskrifterna ska institutets anställda alltid ha sakkunskap. 

Ansvarsförhållandena avseende hanteringen av legala risker ska vara klart 

definierade. 

(8) För att kunna hantera den legala risken ska instituten ha den sakkunskap 

som behövs för att ingå avtal och andra rättshandlingar. För att kunna 

säkerställa avtalens giltighet ska institutet ha tillräcklig kunskap om de 

beslutsbefogenheter som tillämpas av avtalsparten. Avtalsdokumentationen 

ska arkiveras på lämpligt sätt och avtalens giltighet och eventuella 

tolkningstvister eller processer ska följas upp. 

(9) För att på förhand kunna förbereda sig för de krav som nya lagar och 

föreskrifter ställer, bör instituten bevaka förändringar av såväl lagstiftning 

som internationella regelverk. Det är nödvändigt att känna till rättspraxis 





831 5208

Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Motivering 






dnr 3/120/2004 20 (40) 

inom den egna branschen. Finans- och försäkringskonglomeratets moderbolag 

ska sörja för att samtliga företag som hör till konglomeratet har tillräcklig 

sakkunskap om de bestämmelser och föreskrifter som gäller för båda 

sektorerna. Företag med verksamhet i utlandet ska beakta att viktiga 

rättsprinciper och rättspraxis kan variera betydligt mellan olika stater. 

6.3 Personal 

(10) Som en del av hanteringen av operativa risker ska högsta ledningen slå 

fast principer genom vilka företaget säkerställer att de anställda och personer 

som rekryteras till företaget har tillräcklig kompetens i förhållande till 

arbetsuppgifterna, företagets storlek och verksamhetens omfattning och art. 

(11) Med kompetens avses de anställdas duglighet, utbildning, erfarenhet och 

förmåga att klara av sina arbetsuppgifter. Företaget ska ha rutiner för att 

säkerställa att de anställda fortlöpande uppfyller kompetenskraven. Vikt ska 

fästas vid nyanställdas anseende och bakgrund. 

(12) Verkställande ledningen ska se till att det finns tillräckligt med 

personalresurser för att klara av uppgifterna. För att kontinuiteten ska kunna 

säkerställas ska särskilt personer i nyckelställning ha ersättare för sjukdom, 

olycksfall eller anställningsförhållanden som plötslig upphör. I 

resursplaneringen ska också belastningstopparna beaktas. 

(13) Högsta ledningen ska fastställa principerna för sekretess. Syftet med 

dem är att säkerställa att företagets anställda inte yppar detaljer om en kunds 

eller annan med företagets verksamhet förknippad persons ekonomiska 

ställning eller privata förhållanden eller affärs- eller yrkeshemligheter, om den 

som tystnadsplikten avser inte ger sitt samtycke till det. 

(14) Högsta ledningen ska fastställa principerna för belöningssystemen för att 

säkerställa att belöningssystemen inte lockar till icke önskvärda förfaranden 

eller okontrollerat risktagande. 

6.4 Kontinuitetsplanering 

(15) Med kontinuitetsplanering avses säkerställande av förmågan att 

upprätthålla verksamheten och begränsa förluster i händelse av olika slag av 

störningar i verksamheten. Hit hör till exempel skador eller avsiktliga 

handlingar som drabbar personalen, lokalerna, datasystemen eller 

datakommunikationen, vattenskador, eldsvådor samt avbrott i exempelvis el-, 

värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen 

upprättas kontinuitetsplaner för viktiga verksamheter för att upprätthålla 





831 5208

Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 









verksamheten i händelse av eventuella störningar. 

dnr 3/120/2004 21 (40) 

(16) Högsta ledningen svarar för att det finns uppdaterade och tillräckliga 

kontinuitetsplaner för företagets centrala verksamheter. Verkställande 

ledningen ska fastställa ansvaret för kontinuitetsplaneringen. Instituten ska 

ha en klar handlingsmodell för upprättande, underhåll och testning av 

kontinuitetsplaner och för uppföljning av kontinuitetsplaneringen. 

(17) Utgångspunkten för kontinuitetsplaneringen är att instituten kartlägger 

sina viktigaste verksamhetsprocesser. De viktigaste verksamhetsprocesserna 

bör prioriteras. Återställningstider ska fastställas för dem, dvs. det längsta 

tillåtna avbrottet som inte stör verksamheten. För prioriterade processer ska 

alternativa handlingsmodeller och återställningsrutiner läggas upp för 

eventuella avbrott. Extra uppmärksamhet bör ges möjligheten att återställa 

information som är nödvändig för att verksamheten ska kunna återupptas. 

(18) Datasystem och tillämpningar ska rangordnas efter det hur snabbt de ska 

kunna återställas efter olika typer av störningar. För datasystemen ska 

upprättas återställningsplaner med beskrivningar av hur systemen kan fås 

funktionsdugliga efter störningar. Säkerhetskopiorna och en eventuell 

reservanläggning ska placeras så långt bort från den egentliga datacentralen 

att data och säkerhetskopior inte kan förstöras samtidigt. 

(19) Kontinuitetsplanerna ska grunda sig på risk- och sårbarhetsanalyser. 

Kontinuitetsplanerna ska beakta olika hotbilder avseende verksamheten och 

funktionernas sårbarhet. Kontinuitetsplanerna ska dimensioneras efter 

verksamhetens art, omfattning och komplexitet. De ska styra verksamheten 

vid olika typer av störningar. I kontinuitetsplanerna ska också ingå 

informationsgivning vid olika typer av störningar både internt och externt till 

intressegrupper. 

(20) Instituten ska bereda sig på störningar i externa intressegruppers 

verksamhet. Hit hör exempelvis underleverantörer, tjänsteleverantörer och 

viktiga kunder. 

(21) Kontinuitetsplanerna ska uppdateras regelbundet och anpassas till 

förändringar i verksamhet, tjänster eller strategier. Kontinuitetsplanerna ska 

också testas och övningar hållas regelbundet. Ansvariga ska utses för att 

övervaka uppdateringen och testningen av kontinuitetsplanerna. 

(22) Kontinuitetsplaneringsprocessen består bl.a. av följande faser: 

• fastställande av principer och allmänna instruktioner för 

kontinuitetsplaneringen 





831 5208

Motivering 









Bindande 



Motivering 



Norm 






dnr 3/120/2004 22 (40) 

• kontinuitetsplaneringsutbildning till personalen i 

verksamhetsenheterna 

• etablering av en krisorganisation och upprättande och underhåll av 

listor över kontaktpersoner 

• fastställande av centrala rutiner för informationsgivning 

• upprättande av kontinuitetsplaner 

• upprättande av en återställningsplaner för datasystemen 

• underhåll av kontinuitets- och återställningsplanerna 

• testning av kontinuitets- och återställningsplanerna 

• uppföljning av kontinuitetsplaneringen, samordning av 

kontinuitetsplanerna och utvärdering av deras ändamålsenlighet. 

6.5 Beredskap för undantagsförhållanden 

(23) Med beredskap för undantagsförhållanden avses förberedelser inför 

undantagsförhållanden enligt beredskapslagen (22.7.1991/1080). En 

definition av undantagsförhållanden finns i kapititel 8. 

(24) Finansinspektionen anser att de finansmarknadsaktörer som enligt lag 

ska upprätthålla beredskap uppfyller sin beredskapsskyldighet om de följer 

Finansförsörjningspoolens beredskapsanvisning för finansmarknaden och 

denna standard. 

(25) Anvisningarna i denna standard kan tillämpas också på andra allvarliga 

störningar än de undantagsförhållanden som definieras i beredskapslagen. 

Sådana allvarliga störningar och kriser kan exempelvis vara en pandemi eller 

något annat hot som allvarligt äventyrar personalens funktionsförmåga eller 

att driftstället eller databehandlingsmiljön förstörs. 

(26) Beredskapen för undantagsförhållanden är en del av riskhanteringen och 

den interna kontrollen. Ansvaret för beredskapen vilar på högsta ledningen. 

(27) Kraven på beredskap för undantagsförhållanden grundar sig på 

beredskapslagen och andra myndighetsanvisningar om beredskap för 

undantagsförhållanden. Beredskapen för undantagsförhållanden går ut på att 

verksamheten ska kunna fortsätta normalt. 

(28) Den som är skyldig att upprätthålla beredskap ska genom deltagande i 

beredskapsplanering och genom förberedelser för undantagsförhållanden 

säkerställa att verksamheten kan fortgå så störningsfritt som möjligt också 





831 5208




Motivering 





















under undantagsförhållanden. 2 

dnr 3/120/2004 23 (40) 

(29) Den beredskapsskyldige ska säkerställa att för verksamheten viktig 

information bevaras och att transaktioner kan registreras i tillräckligt hög grad 

också under undantagsförhållanden. 

(30) Beredskapsanvisningen för finansmarknaden, som utarbetats av 

Finansförsörjningspoolen (tidigare Finansförsörjningskommittén), ger 

detaljerade anvisningar om beredskapen för undantagsförhållanden. Den 

innehåller också en mall för upprättande av en beredskapsplan. 

(31) I Beredskapsanvisningen för finansmarknaden har hotbilderna och 

beredskapsmålen fastställts på allmän nivå för hela branschen. Syftet är att 

den beredskapsskyldige preciserar dem enligt sin egen verksamhet och 

planerar lämpliga åtgärder för att nå målen. 

(32) Utgångspunkten för beredskapen är att krisläget kan pågå i 12 

månader. 3 

Beredskapsplan 

(33) Den beredskapsskyldige ska ha en uppdaterad beredskapsplan. Den ska 

testas regelbundet tillsammans med andra aktörer på finansmarknaden. 

(34) Beredskapsplanen kan utgöra som en del av den beredskapsskyldiges 

kontinuitetsplan förutsatt att den i tillräckligt hög grad beaktar behoven av 

beredskap för undantagsförhållanden. Vid undantagsförhållanden pågår 

störningen i regel längre än de situationer som omfattas av kontinuitetsplanen 

under normala förhållanden. Dessutom är hoten i regel allvarligare än de 

hotbilder som omfattas av kontinuitetsplanen. 

(35) Beredskapsplanen ska innehålla information åtminstone om 

• hoten mot den beredskapsskyldiges verksamhet 

• bedömning av verksamhetens kriskänslighet 

• målet med den beredskapsskyldiges verksamhet och 

verksamhetsprinciperna vid allvarliga störningar och 

undantagsförhållanden 

• beredskapsåtgärder under normala tider 

• tryggande av datasystemen 

2 123 § i kreditinstitutslagen (121/2007), 4 a § i placeringsfondslagen (48/1999), 13 a § i lagen om 

utländska kreditinstituts och finansiella instituts verksamhet i Finland (1608/1993), 13 a § i lagen om 

värdeandelssystemet. 

3 Statsrådets beslut om målen med försörjningsberedskapen (350/8.5.2002). 





831 5208







Motivering 












dnr 3/120/2004 24 (40) 

• tryggande av andra resurser som behövs för verksamheten 

• företagssäkerhet 

• funktioner och tjänster som ska upprätthållas under svåra störningar 

och undantagsförhållanden och deras funktionskrav 

• organisation och personreserveringar under undantagsförhållanden 

• de olika faserna i en behärskad reducering av tjänsterna för den 

händelse att de måste gallras 

• återställningsåtgärder vid återgång till normala förhållanden 

• nödvändigt samarbete med intressegrupper 

• ledning, informationsgivning och kommunikation vid 

undantagsförhållanden 

• ansvar och handlingsplan för att upprätthålla och testa 

beredskapsplanen 

(36) Den beredskapsskyldige ska utse en eller fler personer som svarar för 

underhåll av beredskapsplanen och informationsgivningen om den. 

Verksamhet under undantagsförhållanden 

(37) Under undantagsförhållanden ska verksamheten så länge som möjligt 

fortgå på motsvarande sätt som under normala förhållanden. Eventuellt 

måste den dock anpassas till de rådande omständigheterna. Den 

beredskapsskyldige bör bl.a. ha beredskap att registrera transaktioner 

manuellt för den händelse att databehandlingskapacitet, elektricitet eller 

dataförbindelser inte finns att tillgå eller är begränsade. 

(38) De viktigaste funktionerna för att den finansiella infrastrukturen ska 

fungera är bl.a. inlåning, utlåning, inhemsk och utländsk betalningsförmedling 

(gireringar och periodiska betalningar), kontantförsörjning, 

värdepappershandel och clearing, avveckling och förvaring av värdepapper. 

Viktiga system är således bl.a. betalningssystemen samt 

värdepapperscentralens, fondbörsens och clearingorganisationens system. 

(39) Också under undantagsförhållanden ska den beredskapsskyldige så länge 

som möjligt klara av att tillhandahålla de ovan nämnda tjänsterna. Den 

beredskapsskyldige ska därför försäkra sig om att det finns resurser och 

kapacitet att tillhandahålla dessa tjänster under undantagsförhållanden och 

allvarliga störningar. Också tillgången på personal och reservlokaler ska 

planeras på förhand. Tillgången ska tryggas genom förhandsåtgärder med 

tanke på situationer då en stor del av personalen är frånvarande, en del av 

lokalerna, utrustningen och systemen har förstörts eller är otillgängliga och 

verksamheten är förhindrad på ett omfattande geografiskt område. 

(40) Infrastrukturen för den centraliserade databehandlingen ska vara 

upplagd med tanke på undantagsförhållanden 





831 5208










Bindande 



Bindande 






dnr 3/120/2004 25 (40) 

• databehandlingen ska fysiskt vara utspridd på två separata 

driftställen med kapacitet att tillhandahålla tjänster som ska 

upprätthållas under undantagsförhållanden även när det ena 

driftstället är ur bruk 

• tillgången på elektricitet är säkerställd 

• säkerhetskopior finns med tanke på undantagsförhållanden och data 

kan återställas från säkerhetskopiorna 

• en tillräcklig skyddskopiering av data och program inklusive 

återställningssystem har ordnats i trygga lokaler på tillräckligt långt 

avstånd från de egentliga databehandlingscentralerna, om möjligt 

utanför huvudstadsregionen 

• datakommunikationsförbindelserna till viktiga samarbetspartner och 

nödvändiga databaser fungerar. 

(41) Den beredskapsskyldige ska planera användningen av skyddskopior så 

att det är möjligt att med den skyddskopierade informationen och tillgängliga 

program på nytt starta upp verksamheten även i sådana fall när den egentliga 

databehandlingscentralen och dess närområden är totalförstörda. Den 

beredskapsskyldige ska sörja för att skyddskopiorna när som helst kan läsas 

in och att deras datainnehåll är användbart. 

(42) Den beredskapsskyldige ska utsträcka sin beredskap också till utlagda 

verksamheter i den omfattning som tryggandet av de kärnverksamheter och 

kärntjänster som ska upprätthållas under undantagsförhållanden förutsätter. 

Beredskapskraven ska beaktas redan när uppdragsavtalet upprättas. Den 

beredskapsskyldige ska bedöma uppdragstagarens beredskap och sörja för att 

den motsvarar kraven. 

(43) Uppdragstagarens beredskap kan exempelvis utvärderas genom 

gemensamma övningar. 

(44) Den beredskapsskyldige ska kartlägga utläggningskedjornas och 

underleverantörsavtalens effekt på den egna verksamheten under 

undantagsförhållanden och sörja för en tillräcklig beredskap avseende sådana 

funktioner som ska upprätthållas under undantagsförhållanden. 

6.6 Datasystem 

(45) Högsta ledningen ska säkerställa att datasystemen är tillräckliga och 

lämpliga i förhållande till verksamhetens art och omfattning. Detta ska 

avgöras utgående från företagets verksamhet, högsta ledningens krav och det 

faktum att systemen ska stödja verksamheten enligt högsta ledningens 

riktlinjer. 





831 5208

Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 



Bindande 






dnr 3/120/2004 26 (40) 

(46) Instituten ska ha den kompetens, organisation och internkontroll som 

behövs för att registrera, överföra, behandla och arkivera data elektroniskt. 

Dessa funktioner kan vara helt eller delvis utlagda, varvid institutet ska 

säkerställa att leverantören av databehandlingstjänster följer de principer som 

fastställs i detta avsnitt. 

(47) Högsta ledningen ska anta en IT-strategi för att säkerställa att en lämplig 

IT-miljö existerar, underhålls och utvecklas efter nuvarande och framtida 

behov. Dessutom ska högsta ledningen se till att företaget har rutiner för 

budgetering och uppföljning av IT-kostnader. 

(48) För olika delområden av datatekniken ska instituten fastställa riktlinjer, 

standarder, rutiner och kontroller som möjliggör samarbete mellan 

affärsområdena och IT-enheterna. Med dem som utgångspunkt ska 

verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid 

behov ska ett särskilt samarbetsorgan med företrädare för olika 

affärsområden tillsättas för samordning av detta arbete. 

(49) IT-funktionens oberoende ställning i förhållande till användarna ska 

säkerställas. IT-funktionen svarar för datasystemens utveckling och 

funktionsförmåga, medan användarna svarar för att den information som 

behandlas är riktig. 

(50) Systemutveckling och datadrift ska åtskiljas så att de anställda i dessa 

funktioner får tillgång till varandras data endast via kontrollerade 

standardrutiner. Också för driftsättning, ändringshantering och testning av 

systemen ska det finnas standardrutiner. 

(51) Instituten ska sörja för att internrevisionen har kompetens att utvärdera 

de interna IT-kontrollernas funktionsförmåga. 

(52) Instituten ska utarbeta och upprätthålla metoder för systemering och 

kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och 

att de dokumenteras i sådan standardiserad form att de går att använda och 

utveckla i framtiden även om exempelvis nyckelpersoner byts ut. 

(53) Instituten ska utarbeta rutiner för köp eller godkännande av program- 

och maskinvara eller kontraktering till externa tjänsteproducenter för att 

säkerställa att nyanskaffningar och avtal motsvarar företagets behov och 

gällande standarder och garanterar fortlöpande service. 

(54) Med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga 

reservsystem minimeras risken för avbrott i datasystemen (eldsvåda, 

översvämning, elavbrott, maskinfel osv.) och tillgången till känsligt material 





831 5208

Motivering 



Motivering 



Motivering 



Bindande 



Bindande 



Bindande 






dnr 3/120/2004 27 (40) 

(datautrustning, datamedium, dokument etc.) begränsas till behörig personal. 

6.7 Informationssäkerhet 

6.7.1 Definition av informationssäkerhet och grundläggande krav 

(55) Informationssäkerhet innebär att företagets data, tjänster, system och 

datakommunikation är skyddade och säkerställda under både normala och 

exceptionella förhållanden genom administrativa, tekniska och andra 

åtgärder. 

(56) Informationssäkerheten brukar indelas i åtta åtgärdsområden: 

administrativ säkerhet, personalsäkerhet, fysisk säkerhet, 

kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet, 

datasäkerhet och användarsäkerhet 4 

. 

(57) Allmänna krav på säkerheten för information som förvaras, överförs och 

behandlas är 

• konfidentialitet (skydd av information mot otillbörlig insyn) 

• integritet (riktighet, dvs. skydd av information mot oönskad 

förändring) 

• tillgänglighet (informationen är åtkomlig för behöriga i rätt tid). 

(58) Systemen ska ha en åtkomstkontroll. Också oavvisligheten av de 

transaktioner som utförs samt identifieringen och autentiseringen av de 

kommunicerande parterna ska vara säkerställd. Vidare ska de transaktioner 

som hanteras i systemen kunna spåras. 

6.7.2 Uppläggning och ansvar för informationssäkerheten 

(59) Institutets allmänna informationssäkerhet och de olika datasystemens 

säkerhetsnivå ska vara tillfredsställande i förhållande till verksamhetens art 

och omfattning, hoten mot systemen och den allmänna tekniska 

utvecklingsnivån. 

(60) Högsta ledningen svarar för att institutets informationssäkerhet är 

tillfredsställande. Den allmänna nivån på företagets informationssäkerhet ska 

fastställas och godkännas av högsta ledningen. Högsta ledningen ska tilldela 

tillräckliga resurser och delegera ansvaret för att informationssäkerheten 

håller tillräckligt hög nivå. Instituten ska regelbundet utvärdera sin 

4 

Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon 

tietoturvakäsitteistö. 





831 5208

Bindande 



Bindande 



Bindande 



Bindande 



Bindande 






dnr 3/120/2004 28 (40) 

informationssäkerhetsnivå. Om det inte finns tillräcklig datasäkerhetsexpertis 

inom den egna organisationen, ska instituten uppdra utvärderingen åt en 

utomstående konsult med tillräcklig sakkunskap. Konstaterade brister i 

säkerheten måste omedelbart åtgärdas. 

6.7.3 Bedömning av risker som hänför sig till informationssäkerhet 

(61) Bedömningen av informationssäkerhetsnivån ska basera sig på 

regelbunden utvärdering av riskerna i informationssäkerheten. I 

riskanalyserna fastställs institutets viktigaste verksamheter och resurser och 

analyseras hotbilder och verksamheternas och resursernas sårbarhet för 

hoten. Vidare uppskattas eventuella effekter på institutets verksamhet om 

hoten realiseras. För hantering av identifierade risker måste tillräckliga 

kontroller byggas in. Också riskerna med nya tekniker och tjänster ska 

bedömas före introduktionen. 

(62) Rutiner för bedömning av informationssäkerhetsriskerna ska byggas in i 

riskhanteringen för att högsta ledningen ska kunna bilda sig en uppfattning 

om samverkan mellan alla väsentliga risker i verksamheten. 

6.7.4 Informationens och systemens ägare 

(63) Instituten ska fastställa ägarna till den information som företaget 

förvarar och hanterar. Ägarna ska svara för principerna för användning av 

informationen och systemen, behörigheter och säkerhet. De ska också bevilja 

behörighet att utnyttja informationen. Instituten ska klassificera den 

information som förvaras och hanteras enligt säkerhetskraven och utarbeta 

hanteringsregler för olika säkerhetsklasser. 

6.7.5 Behörigheter 

(64) Instituten ska bevilja behörighet att använda information, program och 

system, samt övervaka användningen av systemen enligt samordnade regler 

som godkänts av ledningen. Tilldelningen av användarbehörigheter ska basera 

sig på användarens arbetsuppgifter. Instituten ska begränsa tillträdet till data, 

program och system med tekniska metoder (användaridentifikationer, 

lösenord osv.) samt rapportera och undersöka överskridningar av 

användarbehörigheterna. 

6.7.6 Informationssäkerhetsregler och utbildning 

(65) Instituten ska ha uppdaterade informationssäkerhetsprinciper godkända 

av högsta ledningen och andra informationssäkerhetsregler, som företagets 

anställda ska känna till. Exempel på informationssäkerhetsregler är bland 

annat bestämmelser om fastställande av behörigheter, bekämpning av 

skadliga program samt användningen av Internet och e-post. Instituten ska 





831 5208

Bindande 



Motivering 



Bindande 









dnr 3/120/2004 29 (40) 

klart fastställa informationssäkerhetsansvaret för varje anställd och ge de 

anställda regelbunden informationssäkerhetsutbildning. 

Informationssäkerheten ska kontinuerligt utvecklas och ansvaret för detta ska 

klart fastställas på chefsnivå. 

6.7.7 Behandlingen av informationssäkerhetsfall 

(66) Fall som gäller bristande informationssäkerhet ska åskådliggöras, 

analyseras, dokumenteras och rapporteras till namngivna ansvariga inom 

organisationen. 

6.7.8 Informationssäkerhet i datanätet 

(67) Onlinetjänsternas informationssäkerhet beror bland annat på vilka 

handlingsmönster som använts för tjänsterna (ex. manuella arbetsmoment), 

vilka tillämpningar som använts, hur säkra de tekniska systemen och 

datakommunikationen är. 

(68) Innan existerande tjänster börjar bjudas ut eller nya tjänster 

introduceras i datanät ska instituten bedöma om tjänsterna är lämpliga att 

tillhandahålla över nätet. De största riskerna med tjänsterna och 

riskhanteringsmetoderna ska dokumenteras och nödvändiga kontroller ska 

byggas in i systemet. Riskhanteringen och internkontrollen av onlineverksamhet, 

datasystem och interna processer ska planeras och läggas upp 

så att verksamhetens art och omfattning och hoten mot verksamheten 

beaktas. Instituten ska själva analysera den totala risken i onlineverksamheten 

med jämna mellanrum eller låta göra en extern bedömning av 

den. Instituten ska på löpande basis analysera och utveckla sina datasystem 

och informationssäkerheten samt på ett tillfredsställande sätt skydda sig mot 

olika störningar och eventuellt missbruk. 

6.7.9 Utveckling av säkra onlinetjänster 

(69) För att trygga informationssäkerheten ska instituten innan de lanserar en 

tjänst se till att åtminstone följande kriterier uppfylls: 

• En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har 

vidtagits. 

• Säkerhetsbesiktning av respektive system har gjorts. Dessutom ska 

systemens säkerhetsnivå följas upp fortlöpande, deras sårbarhet 

analyseras och nödvändiga systemuppdateringar och -korrigeringar 

installeras. 

• Störningar i systemen och eventuella fall av missbruk och försök till 

missbruk ska följas upp fortlöpande och rapporteras på 





831 5208




överenskommet sätt. 

dnr 3/120/2004 30 (40) 

• För att säkerställa tillgänglighet och kontinuitet ska 

återställningsplaner upprättas för respektive system, reservsystem 

läggas upp för problemsituationer och åtgärder vidtas för att 

reservsystemen snabbt ska kunna sättas in vid störningar. 

• Systemen bör vid behov belastningstestas. Särskilt viktigt är det att 

testa att datasystemen har tillräcklig kapacitet även när exceptionellt 

många kunder samtidigt är uppkopplade till systemen. 

• Systemen ska förses med nödvändiga mekanismer för bekämpning 

av virus och andra skadliga program. 

• Systemen och dataförbindelserna ska skyddas så att de inte kan 

blockeras med onödiga förfrågningar eller på annat sätt. Systemets 

Internetgränssnitt kan eventuellt blockeras på ett sätt som 

tjänsteleverantören inte har möjlighet att påverka. För sådana 

situationer ska finnas beredskap, t.ex. tillräckliga reservsystem. 

• Systemen ska förses med en mekanism för behörighetskontroll och 

instituten ska sörja för att behörighetshanteringen har ordnats på 

behörigt sätt. 

• Det externa nätet (Internet) ska skiljas åt från institutets interna nät 

med säkerhetsanordningar. 

• Systemen ska testas med jämna mellanrum och framför allt efter 

systemändringar för att förhindra att obehöriga får tillträde till 

systemen eller kan utnyttja eventuella säkerhetshål. Upptäcks brister 

i säkerheten måste de omedelbart åtgärdas. 

• Instituten ska säkerställa att dataöverföringen mellan 

tjänstemottagaren och tjänsteleverantören och databehandlingen i 

tjänsteleverantörens system uppfyller kraven på konfidentialitet, 

integritet och oavvislighet. Också identifieringen och autentiseringen 

av de sinsemellan kommunicerande parterna måste vara tillförlitlig. 

Lämpliga metoder är till exempel en tillräckligt stark kryptering 5 

, 

elektroniska certifikat och elektroniska signaturer. 

• Kontrollmekanismer och revisionsspår ska byggas in i datasystemen 

för att säkerställa in- och utdatas riktighet och integritet, 

5 Riskerna med krypteringsmetoden ska analyseras fall för fall. Det lönar sig alltid att göra krypteringen 

så bra som det på kostnadseffektiva grunder är möjligt utgående från hur väl informationen behöver 

skyddas. 





831 5208

Motivering 



Motivering 






dnr 3/120/2004 31 (40) 

behörigheter, återställande av information efter avbrott i 

databehandlingen samt transaktionernas reviderbarhet. De 

transaktioner som handläggs i systemet ska kunna spåras. 

• Systemen ska ha inbyggda kontroller som möjliggör avstämning av 

transaktioner som har utförts i olika delsystem. Det rekommenderas 

att transaktionsförloppet avstäms alltifrån det att transaktionen 

lämnar kunden ända tills den når institutets bassystem. 

• Eventuella lösenord för kunder ska krypteras inom systemet och vid 

överföring mellan systemen. 

• Vid uppläggning, behandling och överlämning till kunden av dennes 

identifikationsuppgifter (användaridentitet och lösenord) ska extra 

aktsamhet iakttas och s.k. farliga arbetskombinationer undvikas. 

• Instituten ska sörja för att systemen för en tillräckligt noggrann logg 

över inloggning, försök till inloggning och användning av tjänsten. 

Loggarna och loggrappporterna ska gås igenom regelbundet. Särskilt 

för försök till intrång eller annat missbruk bör finnas 

rapporteringsrutiner. Vid genomgången av loggarna och rapporterna 

ska förpliktelserna och åtgärderna enligt lag genomföras omsorgsfullt 

och utan att äventyra kommunikationens konfidentialitet eller 

integritetsskyddet. 

• I en tjänst som marknadsförs till kunder ska ges tillräckligt med 

information exempelvis i bruksanvisningen om den tjänst som 

marknadsförs, om ansvarfördelningen mellan den som tillhandahåller 

och den som utnyttjar tjänsten och om hur användaren tryggt kan 

utnyttja tjänsten. 

6.8 Betalningssystem och betalningsförmedling 

(70) Det är viktigt att betalningssystemen är välfungerande eftersom största 

delen av betalningarna i samhället förmedlas i systemen. Avbrott och 

störningar försvårar kundernas betalningar och kan därigenom medföra 

problem för landets ekonomi. 

(71) Med betalningssystem avses i regel ett system 

• där överenskomna betalningsmedel används 

• där deltagarna är banker och kreditinstitut 

• där deltagarna kommer överens om olika betalningsförmedlings- och 

riskhanteringsrutiner 

• som möjliggör förmedling av transaktioner från betalaren till 





831 5208

Motivering 



Bindande 



Bindande 



Bindande 















mottagaren. 

dnr 3/120/2004 32 (40) 

(72) Med betalningsmedel avses ett bank-, betal- eller kreditkort, en check 

eller ett annat instrument varmed betalningar, uttag eller 

betalningsöverföringar kan utföras eller vars användning är en nödvändig 

förutsättning för att nämnda transaktioner ska kunna utföras. 

(73) Högsta ledningen ska godkänna principer för betalningsförmedling i de 

betalningssystem i vilka institutet deltar eller de betalningstjänster som 

företaget tillhandahåller för sina kunder. Betalningsförmedlingsprinciperna ska 

omfatta den nuvarande verksamheten och de ska ta hänsyn till utvecklingen 

under de närmaste åren. Högsta ledningen ska för betalningsförmedlingsverksamheten 

uppställa mål i syfte att säkerställa en effektiv och säker 

betalningsförmedling och övervaka verksamheten. 

(74) Verkställande ledningen svarar för att det finns tillfredsställande 

kompetens, resurser och internkontroll för en effektiv och säker 

betalningsförmedling. Instituten ska kartlägga riskerna med de 

betalningssystem och betalningstjänster som används och regelbundet 

uppdatera kartläggningarna. 

(75) Institutens betalningssystem ska vara välfungerande och funktionssäkra 

och stabila. Instituten ska sörja för att det förekommer så få störningar som 

möjligt i betalningsförmedlingen. Betalningsförmedlingen ska säkras med 

reservsystem. 

(76) Instituten ska tillställa Finansinspektionen resultatet av riskanalyser av 

nya betalningstjänster och -tekniker innan tjänsterna introduceras. 

(77) Instituten ska i god tid på förhand underrätta Finansinspektionen om nya 

betalningstjänster och betydande ändringar i existerande tjänster. 

(78) Avseende betalningssystem har Committee on Payment and Settlement 

Systems (CPSS), som tillsatts av G10-ländernas centralbanker, gett ut 

rekommendationen Core Principles for Systemically Important Payment 

Systems (Basel Committee Publications No. 43). Institutet ska i tillämpliga 

delar följa rekommendationen vid deltagande i systemviktiga 

betalningssystem, exempelvis POPS eller PMJ. 





831 5208




dnr 3/120/2004 33 (40) 

6.9 Förhindrande av lagstridigt utnyttjande av det 

finansiella systemet (upphävts) 

Avsnittet 6.9 upphävts med Standard 2.4. Kundkontroll och åtgärder mot 

penningtvätt, finansiering av terrorism och marknadsmissbruk, som gäller 

fr.o.m. 1.9.2010. 





831 5208

Bindande 



7 RAPPORTERING 




TILL 

FINANSINSPEKTIONEN 

dnr 3/120/2004 34 (40) 

(1) De rapporteringsskyldigheter som hänför sig till denna standard fastställs i 

rapporteringsstandard RA4.2 om rapportering till Finansinspektionen av 

händelser relaterade till operativa risker. 





831 5208



8 DEFINITIONER 








dnr 3/120/2004 35 (40) 

(1) Kontroller 6 

är rutiner för att säkerställa att en verksamhet når sitt mål. 

Kontroller är alla åtgärder i syfte att förebygga, upptäcka och reducera 

störningar, brister, fel och missbruk. Exempel på kontroller är avstämningar, 

principen att "fyra ögon ser mer än två” och jämförelser av motparternas 

bekräftelser med företagets egen avtalsdokumentation. 

(2) Pandemi: 

En sjukdomsepedemi som fått stor spridning. 

(3) Undantagsförhållanden: 

Undantagsförhållanden enligt beredskapslagen 

(22.7.1991/1080): 

1) mot Finland riktat väpnat angrepp och krig samt efterkrigstillstånd 

2) allvarlig kränkning av Finlands territoriella integritet samt krigshot mot 

landet 

3) krig eller krigshot mellan främmande stater och en sådan allvarlig 

internationell spänning som innebär krigshot och som förutsätter åtgärder 

som är nödvändiga för höjande av Finlands försvarsberedskap, samt någon 

annan därmed jämförbar särskild händelse som har inträffat utanför Finland, 

om den kan vålla allvarlig fara för de grunder för den nationella existensen 

och välfärden som avses i 1 § 1 mom. 

4) sådant allvarligt hot mot befolkningens utkomst eller mot grunderna för 

landets näringsliv som beror på försvårad eller förhindrad import av 

nödvändiga bränslen och annan energi samt råvaror och andra varor eller på 

någon annan till sina verkningar därmed jämförbar plötslig störning i det 

6 Källa: Tietojärjestelmien tarkastuksen ja riskienhallinnan käsikirja, Gummerus 1997. 





831 5208
















internationella handelsutbytet, samt 

5) en storolycka 

dnr 3/120/2004 36 (40) 

förutsatt att myndigheterna inte med normala befogenheter kan få kontroll 

över situationen. 

(4) Beredskapsplan: en på förhand upprättad beskrivning av de åtgärder med 

vilka den beredskapsskyldige säkerställer att verksamheten kan fortgå under 

allvarliga störningssituationer under normala förhållanden och under 

undantagsförhållanden. 

(5) Med högsta ledningen avses här det organ som fastställer de allmänna 

verksamhetsramarna för institutet och som har det övergripande ansvaret för 

organisationens verksamhet, besluten om verksamhetsplaner och mål och en 

fungerande intern kontroll. I praktiken är högsta ledningen ofta företagets 

styrelse. Om företaget har både förvaltningsråd och styrelse bildar de 

tillsammans högsta ledningen. De interna instruktionerna ska i så fall 

innehålla detaljerade bestämmelser om vilka av högsta ledningens uppgifter 

förvaltningsrådet ansvarar för och vilka styrelsen ansvarar för. 

(6) Med verkställande ledningen avses det organ som svarar för den dagliga 

operativa ledningen i företaget och verkställer högsta ledningens beslut. 

Verkställande ledningen består av verkställande direktören och en eventuell 

ledningsgrupp. 

Definitioner i anslutning till datasystemen 7 

(7) Integritet: Informationen och datasystemen är tillförlitliga, riktiga och 

tidsenliga och de har inte förändrats eller kan inte förändras på grund av 

maskinvaru- eller programvarufel, naturkatastrofer eller mänsklig 

verksamhet. 

(8) Sårbarhetsanalys: Systematisk kartläggning av sårbarheter och risker som 

information, system, funktioner och tjänster utsätts för. Med sårbarhet avses 

exponering för störningar i system, verksamhet eller tjänster. 

(9) Oavvislighet: 

Transaktionerna kan verifieras i efterhand. Oavvislighet 

innebär att en part i behandlingen eller överföringen av information inte i 

efterhand kan förneka sin delaktighet. 

7 En del av definitionerna baserar sig på följande källor: Ledningsgruppen för datasäkerheten inom 

statsförvaltningen 1/2001 Allmän anvisning om datasäkerhetsarbetet vid statliga myndigheter och 

Anvisning om datasäkerhetsbegreppen inom statsförvaltningen Valtionhallinnon 

tietoturvallisuuskäsitteistö, Vahti 1/2000 och Vahti 4/2003. 





831 5208




























dnr 3/120/2004 37 (40) 

(10) Kontroller: 

Syftet med kontroller av databehandlingen är att trygga 

databehandlingsförhållandena, sörja för att arbetet utförs i rätt tid, säkerställa 

kontinuiteten i verksamheten och sörja för att verksamheten och 

informationen om den är tillförlitliga och att egendomen är intakt. 

(11) Belastningstestning: 

Datasystemens betjänings- och prestationsförmåga 

testas i syfte att undersöka om systemet har tillräcklig kapacitet också när 

antalet uppdrag ökar. 

(12) Tillgänglighet: 

En egenskap som sörjer för att informationen, 

datasystemen eller tjänsten är tillgängliga för behöriga användare inom 

önskad tid och på överenskommet sätt. 

(13) Logg: 

En fil i vilken systemet registrerar transaktionerna och användarna 

kronologiskt. 

(14) Konfidentialitet: 

Information och system är tillgängliga endast för 

behöriga användare på överenskommet sätt och på avtalad tid. Utomstående 

har inte tillgång till informationen och kommer inte åt att ändra eller förstöra 

data. 

(15) Överbelastningsattack: 

En attack riktad mot en tjänst eller server i syfte 

att få datasystemet att krångla eller låsa sig. 

(16) Åtkomstkontroll: 

Funktioner eller rutiner för behörighetskontroll av alla 

som loggar in sig i systemet. 

(17) Riskanalys: 

Systematisk analys av sårbarheter, hot och eventuella 

följdverkningar av realiserade hot, riktade mot data, system, verksamhet och 

tjänster. 

(18) Skyddskopia: 

En säkerhetskopia som förvaras på en säker plats och 

används om originalfilen eller säkerhetskopian inte kan användas. 

(19) Incident: 

Händelse eller åtgärd som strider mot företagets 

datasäkerhetsprinciper, exempelvis virusattack, intrång i datasystemet eller 

informationsläckage. 

(20) Autentisering: 

Kontroll av systemanvändarens eller den andra partens 

identitet (person, organisation eller utrustning). 

(21) Återställningsplan: Är en del av kontinuitetsplanen och innehåller 

anvisningar om åtgärder för att få datasystemet funktionsdugligt efter en 

allvarlig störning eller katastrof, för att fortsätta verksamheten och återgå till 

normal verksamhet. I planen fastställs även reservsystemkrav, ansvar och 





831 5208














dnr 3/120/2004 38 (40) 

åtgärder för att skapa beredskap för viktiga datasystem. Dessutom ges 

anvisningar om åtgärder vid olika störningar. 

(22) Säkerhetsbesiktning: 

Systematisk granskning av säkerhetsnivån i ett 

system, en tjänst eller en verksamhet för att säkerställa att den fastställda 

säkerhetsnivån har uppnåtts. 

(23) Säkerhetsteknik: 

Utrustning, program och metoder med vilka data, 

system och tjänster skyddas. 

(24) Reservsystem: 

Förberedelser för störningar och avbrott i verksamhet 

eller system genom alternativa verksamhetsmodeller eller system. 

Reservsystem är exempelvis dubblering av viktiga komponenter som behövs i 

databehandlingen och datakommunikationen samt säkerhetskopiering. 

(25) Säkerhetskopia: 

Kopia av en fil. Används om den ursprungliga filen 

förstörs eller skadas. 

(26) Virus 

: Ett skadegörande program som är dolt i ett program eller i data 

och som sprider sig till andra program i samma dator eller till program i andra 

datorer genom att duplicera sig så att de duplicerade virusen i sin tur 

duplicerar sig. 





831 5208

9 YTTERLIGARE 




dnr 3/120/2004 39 (40) 

INFORMATION 

Kontaktinformation finns i listan över standardansvariga på 

Finansinspektionens webbplats. Upplysningar lämnas också av: 

• Risktillsyn, Marknadsrisker och operativa risker, tfn 010 831 5208 





831 5208

10 ÄNDRINGSHISTORIK 




dnr 3/120/2004 40 (40) 

(1) När denna standard trädde i kraft (1.1.2005) upphävdes följande av 

Finansinspektionens föreskrifter och anvisningar: 

• Anvisning om principer för riskhantering och intern kontroll och 

internrevision i kreditinstitut (108.2) till den del som gäller 

databehandling 

• Anvisning om riskhantering och övrig intern kontroll i fondbörser 

(202.13) till den del som gäller databehandling 

• Anvisning om principer för riskhantering och intern kontroll och 

internrevision i värdepappersföretag (203.28) till den del som gäller 

databehandling 

• Anvisning om riskhantering och internrevision i värdepapperscentraler 

(206.4) till den del som gäller databehandling. 

(2) Standarden har ändrats enligt följande: 

• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: avsnitt 5.5 har 

upphävts Utläggning av verksamheter och tjänster. 

• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: avsnitt 6.5 har lagts till 

Beredskap för undantagsförhållanden. 

• Utfärdad 18.9.2007, gäller fr.o.m. 1.11.2007: uppdatering enligt 

ändringarna i kreditinstitutslagen och komplettering med nya 

marginaltexter. 

• Utfärdad 22.6.2010, gäller fr.o.m. 1.9.2010: avsnittet 6.9. 

Förhindrande av lagstridigt utnyttjande av det finansiella systemet 

har upphävts och behövliga ändringar på kapitel 1-4 tillagts. 





831 5208

Standard 4.4b Hantering av operativa risker - Finanssivalvonta

Create successful ePaper yourself

Delete template?

Save as template?