Standard 4.4b. Hantering av operativa risker. Föreskrifter och allmänna råd
|
|
- Jan-Olof Fransson
- för 8 år sedan
- Visningar:
Transkript
1 Standard 4.4b Hantering av operativa risker Föreskrifter och allmänna råd
2 FINANSINSPEKTIONEN dnr 3/120/ (37) INNEHÅLL 1 Tillämpning 4 2 Syfte 6 3 Internationella regelverk 7 4 Rättsgrund 8 5 Hantering av operativa risker Definition av begreppet operativ risk Riskhanteringsorganisation och tillsyn av operativa risker Principer för hantering av operativa risker Identifiering av operativa risker Bedömning och reducering av operativa risker Godkännande av nya produkter eller tjänster Utläggning av verksamheter och tjänster Övervakning och rapportering av operativa risker 13 6 Delområden i hantering av operativa risker Processer Legal risk Personal Kontinuitetsplanering Datasystem 20
3 FINANSINSPEKTIONEN dnr 3/120/ (37) 6.6 Informationssäkerhet Definition av informationssäkerhet och grundläggande krav Uppläggning och ansvar för informationssäkerheten Bedömning av risker som hänför sig till informationssäkerhet Informationens och systemens ägare Behörigheter Informationssäkerhetsregler och utbildning Behandlingen av informationssäkerhetsfall Informationssäkerhet i datanätet Utveckling av säkra onlinetjänster Betalningssystem och betalningsförmedling Förhindrande av lagstridigt utnyttjande av det finansiella systemet Kundidentifikation och kundkännedom skyldigheter Organisation, ansvarsförhållanden och rapportering Interna instruktioner Personalutbildning 31 7 Rapportering till Finansinspektionen 32 8 Definitioner 33 9 Ytterligare information Upphävda anvisningar och föreskrifter 37
4 FINANSINSPEKTIONEN dnr 3/120/ (37) 1 TILLÄMPNING (1) Standarden tillämpas på de tillsynsobjekt som avses i 5 i lagen om Finansinspektionen (587/2003). De regler som markerats som bindande förpliktar följande tillsynsobjekt: kreditinstituten värdepappersföretagen fondbolagen holdingföretagen till kreditinstituts och värdepappersföretags konsolideringsgrupper centralinstituten enligt lagen om andelsbanker och andra kreditinstitut i andelslagsform moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat. Dessa företag skiljer sig från varandra bl.a. i fråga om verksamhetens omfattning, organisation, antalet finansiella tjänster och deras komplexitet och kundstruktur. Därför kan det finnas olika typer av praktiska lösningar för hantering och tillsyn av operativa risker beroende på prioriteringarna och särdragen i verksamheten. (2) De centrala riskhanteringsprinciperna i denna standard är bindande. De detaljerade bestämmelserna, som preciserar principerna, kan följas i tillämpliga delar om organisationen är liten, om risktagandet enligt verksamhetsplanen är lågt, om verksamheten är begränsad, enkel eller i övrigt transparent eller om den verkställande ledningen aktivt deltar i det dagliga beslutsfattandet. För att bindande bestämmelser skall kunna följas endast i tillämpliga delar krävs alltid att den högsta ledningen fattar ett separat beslut om det. Tillsynsobjektet skall alltid säkerställa att internkontrollen och riskhanteringen är tillfredsställande och avpassade efter de operativa riskerna.
5 FINANSINSPEKTIONEN dnr 3/120/ (37) (3) Möjligheten att följa standarden i tillämpliga delar gäller inte avsnitt 6.8 om förhindrande av lagstridigt utnyttjande av det finansiella systemet, eftersom de principer som nämns där baserar sig på rättsligt bindande regler. (4) Företag som hör till samma konsolideringsgrupp skall följa enhetliga riskhanteringsprinciper. Moderföretag till finansiellt inriktade finans- och försäkringskonglomerat skall säkerställa att alla företag som hör till konglomeratet har tillfredsställande riskhanteringssystem. (5) I standarden används beteckningen "tillsynsobjekt" om alla företag som standarden gäller. (6) I uppläggningen av hanteringen av operativa risker tillämpas även principerna för intern kontroll och riskhantering enligt standard 4.1 i huvudavsnittet Kapitaltäckning och riskhantering i Finansinspektionens föreskriftssamling.
6 FINANSINSPEKTIONEN dnr 3/120/ (37) 2 SYFTE (1) I denna standard behandlas principerna för hantering av operativa risker och riskhanteringens uppläggning. Särskild uppmärksamhet ägnas specialområden berör processhantering, personal, data- och betalningssystem, informationssäkerhet, kontinuitetsplanering, legala risker och förhindrande av lagstridigt utnyttjande av det finansiella systemet. (2) Den tekniska utvecklingen, utvecklingen av produkter och tjänster, nya riskhanteringsmetoder, utläggningar, strukturaffärer och globalisering har gjort omvärlden allt mer komplex och ökat de operativa riskerna vid produktion av finans- och investeringstjänster. (3) Syftet med reglerna för hanteringen av operativa risker är i första hand att säkerställa att tillsynsobjekten identifierar de operativa riskerna i verksamheten tillsynsobjekten lägger upp hanteringen av operativa risker så att den är tillfredsställande i förhållande till verksamhetens art och omfattning (organisation, policy, processer och rutiner, övervakning och rapportering) tillsynsobjekten tillämpar adekvata rutiner för informationsförvaltning och informationssäkerhet tillsynsobjekten sörjer för förhindrandet av lagstridigt utnyttjande av det finansiella systemet. (4) Skador och händelser i anslutning till operativa risker rapporteras till Finansinspektionen enligt rapporteringsstandard RA4.2.
7 FINANSINSPEKTIONEN dnr 3/120/ (37) 3 INTERNATIONELLA REGELVERK (1) Kapitel 5 Hantering av operativa risker bygger huvudsakligen på rekommendationen Sound Practices for the Management and Supervision of Operational Risk som Baselkommittén för banktillsyn gav ut i februari 2003 (Basel Committee Publications No. 96). Rekommendationen har använts som källa också för avsnitt Kontinuitetsplanering i kapitel 6. (2) Förhindrande av lagstridigt utnyttjande av det finansiella systemet i avsnitt 6.8 grundar sig på följande rekommendationer: Financial Action Task Force on Money Laundering (FATF), 40 rekommendationer om åtgärder mot penningtvätt (The Forty Recommendations, 2003). FATF:s åtta rekommendationer om åtgärder mot finansiering av terrorism (Special Recommendations on Terrorist Financing, 2001). Baselkommitténs rekommendation nr 15 Core Principles for Effective Banking Supervision (1997) och Core Principles Methodology (1999). Baselkommitténs rekommendation Customer due diligence for Banks (10/2001) The Committee of European Securities Regulators (CESR): (A European Regime of Investor Protection) The Harmonisation of Conduct of Business Rules (CESR/01-014D, 2002). (3) Avsnitt 6.6 Informationssäkerhet bygger på Baselkommitténs rekommendation Risk Management Principles for Electronic Banking (Basel Committee Publications No. 98). (4) Avseende betalningssystem i avsnitt 6.7 har Committee on Payment and Settlement Systems (CPSS) i januari 2001 gett ut rekommendationen Core Principles for Systemically Important Payment Systems (CPSS Publications No. 43).
8 FINANSINSPEKTIONEN dnr 3/120/ (37) 4 RÄTTSGRUND (1) Finansinspektionens bindande regler om hantering av operativa risker baserar sig på 68 3 mom. i kreditinstitutslagen (1607/1993), 29 3 mom. i lagen om värdepappersföretag (579/1996) och 30 a 3 mom. i lagen om placeringsfonder (48/1999). Reglerna för finans- och försäkringskonglomerat grundar sig på 16 3 mom. i lagen om tillsyn över finans- och försäkringskonglomerat). (2) Finansinspektionens regler om kundidentifikation och kundkännedom och om omsorgsplikten när det gäller att förhindra lagstridigt utnyttjande av det finansiella systemet bygger på följande bestämmelser: 95 i kreditinstitutslagen (1607/1993) 49 i lagen om värdepappersföretag (579/1996) 144 i lagen om placeringsfonder (48/1999) 29 b i lagen om värdeandelssystemet (826/1991) rådets direktiv 91/308/EEG av den 10 juni 1991 om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar (31991L308); EGT nr L 166, , s. 77 Europaparlamentets och rådets direktiv 2001/97/EG av den 4 december 2001 om ändring av rådets direktiv 91/308/EEG om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar (32001L0097), EGT nr L 344, , s. 76 lagen om förhindrande och utredning av penningtvätt (68/1998 och 365/2003) inrikesministeriets förordning om förhindrande och utredning av penningtvätt (890/2003). (3) Finansinspektionens granskningsrätt och rätt att få uppgifter om utlagda verksamheter baserar sig på 15 i lagen om Finansinspektionen (587/2003).
9 FINANSINSPEKTIONEN dnr 3/120/ (37) 5 HANTERING AV OPERATIVA RISKER 5.1 Definition av begreppet operativ risk (1) Hanteringen av operativa risker är en del av tillsynsobjektets riskhanteringsförmåga. Risker som beror på företagets verksamhet eller som väsentligt hänför sig till verksamheten skall identifieras, bedömas och mätas för att kunna begränsas och övervakas. Riskhanteringen syftar till att reducera sannolikheten för oförutsedda förluster eller hot mot tillsynsobjektets anseende. (2) Med operativ risk avses risk för förluster på grund av otillräckliga eller misslyckade interna processer personalen systemen externa faktorer. Operativa risker inkluderar legala risker men exkluderar strategiska risker. (3) Den förlust som operativ risk resulterar i är inte alltid mätbar. Risken kan också realiseras fördröjt och ge utslag indirekt t.ex. genom försämrat rykte eller minskad respekt. (4) De operativa riskerna skiljer sig till sin karaktär från kredit- och marknadsriskerna. Hanteringen av operativa risker går generellt ut på riskminimering. Det går inte alltid att dra gränser mellan olika riskområden. Exempelvis ingår det såväl operativa risker som kredit- och marknadsrisker i de olika faserna av kredit- och handelsprocesserna.
10 FINANSINSPEKTIONEN dnr 3/120/ (37) Rekommendation (5) Tillsynsobjektet skall i sin definition av operativa risker utgå från den egna verksamheten och beakta verksamhetens särdrag. 5.2 Riskhanteringsorganisation och tillsyn av operativa risker (6) Operativa risker skall hanteras och bedömas som ett eget riskområde. Den högsta ledningen skall fastställa principer för hantering av operativa risker och regelbundet se över dem med beaktande av förändringar i omvärlden och i tillsynsobjektets egen verksamhet. Principerna skall omfatta rutiner för identifiering, bedömning, övervakning och reducering av risker. Där bör också de viktigaste processerna för hantering av operativa risker fastställas. Den högsta och den verkställande ledningen skall medverka till att det uppstår en sådan företagskultur som godkänner den interna kontrollen som en normal och nödvändig del av verksamheten. En effektiv intern kontroll förutsätter att arbetsuppgifterna och beslutsfattandet är åtskilda på behörigt sätt. (7) Den högsta ledningen skall vara medveten om de viktigaste operativa riskerna i företagets olika affärsområden. Som en del av internkontrollen skall den högsta ledningen regelbundet få rapporter om de viktigaste operativa riskerna. (8) Den verkställande ledningen skall sörja för att principerna för hantering av operativa risker omsätts i praktiken i tillsynsobjektets samtliga verksamheter och säkerställa att varje anställd kan identifiera de operativa riskerna i sin egen verksamhet och känner till rutinerna för att hantera dessa risker. Den verkställande ledningen svarar för utvecklingen och underhållet av rutinerna för hanteringen av operativa risker i anslutning till tillsynsobjektets produkter, tjänster, verksamheter, processer och system. (9) Ansvars- och rapporteringsförhållandena i affärsområdena och andra enheter som svarar för hanteringen av operativa risker skall vara klara och täckande. För kontrollen av risktagandet svarar en riskkontrollfunktion som är oberoende av risktagandet och riskhanteringen. 1 (10) Den högsta ledningen skall säkerställa att hanteringen av operativa risker regelbundet är föremål för en effektiv och täckande internrevision. 1 Finansinspektionen; Standard 4.1, Uppläggning av intern kontroll och riskhantering, avsnitt 5.3: "Riskkontrollfunktionen skall upprätthålla, utveckla och utarbeta riskhanteringsprinciper som skall fastställas av högsta ledningen samt ta fram metoder för analys och mätning av riskerna. Den skall fortlöpande se till att varje risk håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. Riskkontrollfunktionen skall också se till att den samlade effekten av samtliga större risker i verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både till högsta ledningen och till den verkställande ledningen."
11 FINANSINSPEKTIONEN dnr 3/120/ (37) Internrevisionen får som funktion inte vara direkt ansvarig för hanteringen av operativa risker. 5.3 Principer för hantering av operativa risker Identifiering av operativa risker (11) Tillsynsobjektet skall för varje affärsområde kunna identifiera de operativa riskerna i sina viktigaste produkter, tjänster, funktioner, processer och system. Identifieringen av de operativa riskerna skapar en grund för tillsynen av riskerna och planeringen av riskkontrollerna Bedömning och reducering av operativa risker (12) Förluster på grund av operativa risker kan förebyggas dels genom minimering av sannolikheten för att riskerna realiseras, dels genom reducering av sårbarheten för dessa risker. Schemat nedan åskådliggör denna tankegång. Sannolikhet för att risken realiseras Skada p.g.a. X realiserad = risk Väntevärde för förlusten Rekommendation Rekommendation (13) Vid kartläggningen av de operativa riskerna är det viktigt att verksamhet för verksamhet bedöma sannolikheten för och verkningarna av en förlusthändelse. Operativa risker reduceras genom dels förebyggande av skador, dels minimering av förlusterna i den händelse att risken realiseras. (14) I fråga om de viktigaste identifierade operativa riskerna måste tillsynsobjektet bedöma hur riskerna skall kontrolleras, om de skall begränsas eller accepteras, eller om verksamheten skall avvecklas helt. (15) Riskbedömningen analyserar skadliga interna och externa faktorer. Exempel på interna faktorer är företagets struktur, organisationsförändringar, komplexiteten av produkter och tjänster, de anställdas kompetens och personalomsättning. Externa faktorer är exempelvis tekniska framsteg och internationalisering av verksamheten. (16) Fastställda rutiner för bedömning av riskerna förbättrar utvärderingen. För detta ändamål kan exempelvis användas formbundna självutvärderingsblanketter, skadestatistik och genomgång av skador som har drabbat tillsynsobjektet eller andra. Utvärdering av skador som drabbat andra
12 FINANSINSPEKTIONEN dnr 3/120/ (37) genom jämförelse med den egna verksamheten kan klargöra om något liknande hade kunnat inträffa i någon egen enhet, vilka konsekvenser detta hade haft och hur en sådan förlust hade kunnat förhindras. (17) Förluster på grund av operativa risker kan reduceras också genom försäkringar. Den verkställande ledningen skall sörja för att försäkringsskyddet och kostnaderna för försäkringen ses över regelbundet med beaktande av förändringar i tillsynsobjektets verksamhet. Dessutom bör motpartsriskerna på grund av försäkringsavtal och försäkringsbolagens solvens bedömas. För betydande störningar i verksamheten skall tillsynsobjektet förbereda sig genom kontinuitetsplanering. 5.4 Godkännande av nya produkter eller tjänster Rekommendation (18) Nya produkter eller tjänster skall bedömas avseende inneboende risker innan de introduceras eller tas i bruk. Motsvarande bedömning skall göras också när en ny tjänstemodell introduceras om produkter och tjänster har kombinerats på nytt sätt. Internkontrollen och riskhanteringen måste ses över och ändras att gälla också de nya produkterna eller tjänsterna. Särskilt noggrann skall bedömningen vara vid etablering av verksamhet på främmande marknadsområden. Det är också nödvändigt att se till att tillsynsobjektet inte börjar bedriva förbjuden verksamhet. (19) Tillsynsobjektet skall införa rutiner för godkännande av nya produkter eller tjänster. Beslut om introduktion av nya produkter eller tjänster fattas enligt fastställda beslutsbefogenheter. Till beslutet fogas beslutsunderlagen. (20) Rutinerna för godkännande av nya produkter eller tjänster skall omfatta följande: beskrivning av produkten eller tjänsten redogörelse för produktens eller tjänstens överensstämmelse med verksamhetsstrategin kartläggning av riskerna (bedömning av vilka risker som är förknippade med produkten/tjänsten) uppläggningen av internkontrollen och riskhanteringen (åtminstone följande riskområden: kreditrisk, marknadsrisk, likviditetsrisk och operativa risker) genomgång av de processer som hänför sig till produkten eller tjänsten (exempelvis offertstadiet, identifiering av kunden, försäljning, produktion, clearing och avveckling samt betalningar) juridiska frågor, avtalsbefogenheter IT, datakommunikation och informationssäkerhet extern och intern redovisning
13 FINANSINSPEKTIONEN dnr 3/120/ (37) skattefrågor prissättning, eventuella värderingar och användning av prissättningsmodeller bedömning av effekterna på lönsamhet och kapitaltäckning utbildning och handledning. 5.5 Utläggning av verksamheter och tjänster Rekommendation (21) Användningen av ombud och annan utläggning av verksamhet befriar inte tillsynsobjektet från ansvar och skyldigheter. Tillsynsobjektet svarar gentemot kunder och andra avtalsparter för skada till följd av fel eller försummelser från uppdragstagarens sida. (22) Den verkställande ledningen svarar för att hanteringen och tillsynen av de operativa riskerna i de utlagda verksamheterna är tillfredsställande. Den verkställande ledningen svarar också för att de utlagda verksamheternas informationssäkerhet är tillfredsställande och att informationssäkerheten kontrolleras fortlöpande. (23) Tillsynsobjektet skall säkerställa kontinuiteten i den utlagda verksamheten och bereda sig på betydande störningar i underleverantörernas och tjänsteproducenternas verksamhet. Tillsynsobjektet skall säkerställa att leverantören av den utlagda tjänsten har tillräckliga resurser och kunskaper för att tillhandahålla tjänsterna. (24) I fråga om de utlagda verksamheterna skall tillsynsobjektet sörja för att det inte uppstår ett allt för stort beroende av en enda tjänsteleverantör. (25) Finansinspektionen har enligt lag rätt att få alla nödvändiga uppgifter om företag som fungerar som ombud eller till vilka tillsynsobjektet har lagt ut uppgifter i anslutning till redovisning, datasystem eller riskhantering. Tillsynsobjektet måste säkerställa att de får alla uppgifter som är nödvändiga för myndighetstillsynen, riskhanteringen och den interna kontrollen. (26) En bestämmelse om Finansinspektionens granskningsrätt och rätt att få uppgifter skall tas med i avtalet om de allmänna villkoren för utläggningen med tjänsteleverantören. 5.6 Övervakning och rapportering av operativa risker (27) Tillsynsobjektet skall regelbundet övervaka och bedöma arten av operativa risker, sannolikheten för att de realiseras och storleken av
14 FINANSINSPEKTIONEN dnr 3/120/ (37) eventuella förluster om riskerna realiseras. Ytterligare bör förebyggande rutiner och mått för identifiering av riskerna införas. Rekommendation Rekommendation Rekommendation (28) Tillsynsobjektet skall bedöma indikatorer som ger en förvarning om ökade risker, exempelvis betydande förändring i verksamhetens omfattning, introduktion av nya produkter eller tjänster, hög personalomsättning, svårigheter att besätta lediga tjänster, klagomål från kunder och ökat antal verksamhets- eller tjänsteavbrott. Den information som redovisningssystem och andra datasystem genererar skall utnyttjas vid bedömningen av indikatorer som förutser ökade operativa risker. (29) Den verkställande ledningen skall regelbundet få rapporter om operativa risker och realiserade förluster. Tillsynsobjektet skall utarbeta rapporteringsanvisningar. Rapporterna skall innehålla finansiell information, kvalitetsanalyser, information om regelefterlevnad och uppgift om externa händelser och omvärldsförändringar som är väsentliga för beslutsfattandet. Av rapporterna bör identifierade problemområden framgå. De skall ge underlag för bedömning av förändringar i de operativa riskerna och stödja en förebyggande riskhantering. (30) Den verkställande ledningen skall regelbundet verifiera punktligheten, riktigheten och relevansen av rutinerna och rapporteringssystemen. Rapporternas innehåll och detaljrikedom, målgruppen för rapporterna och rapporteringsfrekvensen skall regelbundet ses över. (31) Tabellen nedan visar exempel på hur man kan strukturera övervakningen av förluster på grund av exponering för operativa risker. Exempel på information som bör ingå i rapporterna är beskrivning av förlusthändelsen, orsakerna till händelsen, uppskattning av direkta och indirekta kostnader, eventuella försäkringsersättningar och åtgärder för att förebygga liknande skador framöver. Dessutom lämnas uppgift om vilka åtgärder som har vidtagits med anledning av skadan, vem som ansvarar för dem och tidsplanen för de korrigerande åtgärderna. (32) För att säkerställa en tillfredsställande övervakning och rapportering fastställs en beloppsgräns och transaktioner som överskrider gränsen rapporteras, dock så, att också principiellt viktiga mindre förluster rapporteras.
15 FINANSINSPEKTIONEN dnr 3/120/ (37) Förlusttyp Interna oegentligheter Extern brottslighet Anställnings-förhållanden, arbetarskydd Affärsförhållanden Egendomsskada Processtyrning Exempel förskingring, bedrägeri, tagande av muta, värdepappersmarknadsbrott eller -förseelse, skadegörelse, avsaknad av befogenheter (eller överskridande av dem), missbruk av kunduppgifter, avsiktlig felrapportering av positioner, yppande av affärshemlighet, utpressning stöld, rån, bedrägeri (t.ex. med betalningsmedel), förfalskning, penningtvätt, intrång i datasystem, spridning av skadliga program, överbelastningsattack mot datasystem, bombhot, hot mot personalen, utpressning brott mot arbetsavtalslagen (bl.a. arbetstid, arbetarskydd), ersättningsanspråk med anledning av diskriminering, löne-, ersättnings- eller uppsägningstvister, arbetsmarknadskonflikter marknadsföring och tillhandahållande av tjänster som strider mot god sed eller annars är otillbörlig, missbruk av konfidentiella kunduppgifter (t.ex. för marknadsföring), försummelse av informationsskyldigheten gentemot en kund, försummelse av tystnadsplikten, försummelse av utredningsplikten, uppdragsutförande som strider mot bestämmelserna, regelvidrig hantering av kundmedel, värdepappersmarknadsbrott eller -förseelse, penningtvätt Eldsvåda, vattenskada, översvämning rapporteringsfel, fel i kunduppgifterna, inmatningsfel i datasystemet, prissättningsfel, ogiltigt avtal, bristfällig dokumentation, brister i säkerhetshanteringen, misslyckat utförande av kunduppdrag, störning i utlagd verksamhet, tvist med utomstående leverantör, redovisningsfel
16 FINANSINSPEKTIONEN dnr 3/120/ (37) 6 DELOMRÅDEN I HANTERING AV OPERATIVA RISKER 6.1 Processer Rekommendation (1) Med process avses en helhet av verksamheter och resurser i syfte att framställa en viss tjänst eller produkt. I processhanteringen ingår aspekter på kundtillfredsställelse, effektivitet, lönsamhet och kvalitet. Denna standard fokuserar på identifiering och begränsning av de operativa risker som är förknippade med processerna. Analys av processerna och bedömning av de operativa risker som hänför sig till olika processfaser hjälper tillsynsobjektet att identifiera och reducera de operativa riskerna. (2) Tillsynsobjektet skall identifiera de processer som är viktigast för verksamheten. Särskild uppmärksamhet bör ges gränssnitten mellan olika organisatoriska enheter och företag, överskridningen av nationsgränser och betalningsförmedlingen. Det är ytterst viktigt att det finns noggrann dokumentation av och rutiner för hanteringen av stora transaktionsvolymer. Processanvisningarna skall vara tillräckliga och aktuella. (3) Kontroller skall byggas in i de olika faserna av processerna och kvaliteten på dem skall utvärderas regelbundet, särskilt när verksamhetens omfattning eller innehåll utvecklas eller processerna ändras. Exempel på kontroller är avstämningar och flera personers medverkan i hanteringen av en transaktion. (4) Processer som är viktiga för verksamheten skall dokumenteras så enhetligt som möjligt med beskrivningar t.ex. av de uppgifter som hänför sig till processen, processens olika faser och deras samband, data- och materialflöden, rapportering, processens intressegrupper (processens ägare, kunder, personal som deltar i processen, organisatoriska enheter, andra företag och andra intressegrupper) samt de datasystem som är förknippade
17 FINANSINSPEKTIONEN dnr 3/120/ (37) med processen. Man bör beakta vilken noggrannhet som eftersträvas i processbeskrivningarna, eftersom alltför detaljerade beskrivningar kan försvåra underhållet. För processbeskrivningarna skall kompetensen hos personer som representerar olika delområden utnyttjas. Processbeskrivningarna skall regelbundet uppdateras. Rekommendation (5) Också vid genomförandet av olika projekt är det viktigt att tillämpa så samordnade principer som möjligt. För viktiga projekt skall riskbedömningar göras på förhand. 6.2 Legal risk (6) Legal risk är en operativ risk som kan uppstå på grund av externa faktorer såsom förändringar i omvärlden men också på grund av tillsynsobjektets egen verksamhet. Legala risker kan ingå i all verksamhet. I tolkningen, tillämpningsområden och giltigheten av de regelverk och föreskrifter som gäller tillsynsobjektets verksamhet ingår osäkerhetsfaktorer som kan leda till betydande förluster och som kan inverka på tillsynsobjektets juridiska ansvar och eventuella ersättningsskyldighet. Vidare kan tvister om avtalens giltighet och innehåll skada tillsynsobjektets verksamhet. Att lösgöra sig från ogynnsamma avtal och ingå ersättande avtal kan medföra risk för förlust. Detta gäller särskilt avtal med standardvillkor. Också dokument som tillsynsobjektet har offentliggjort, exempelvis broschyrer och reklam kan vara förknippade med risk för skadeersättning eller försämrat rykte och minskad respekt. (7) Tillsynsobjektets högsta ledning måste vara medveten om de viktigaste legala riskerna i verksamheten och säkerställa att hanteringen av den legala risken är tillräcklig. Den verkställande ledningen skall säkerställa att hanteringen av den legala risken tilldelas tillräckligt med resurser för identifiering, övervakning och reducering av den legala risken inom olika affärsområden. Tillsynsobjektet skall ha tillräcklig kunskap om både den lagstiftning och de myndighetsföreskrifter som gäller tillsynsobjektet. I synnerhet om de centrala myndighetsföreskrifterna skall tillsynsobjektets anställda alltid ha tillräcklig sakkunskap. Ansvarsförhållandena avseende hanteringen av legala risker skall vara klart definierade. (8) För att kunna hantera den legala risken skall tillsynsobjektet ha den sakkunskap som behövs för att ingå avtal och andra rättshandlingar. För att kunna säkerställa avtalens giltighet skall tillsynsobjektet ha tillräcklig kunskap om de beslutsbefogenheter som tillämpas av avtalsparten. Avtalsdokumentationen skall arkiveras på lämpligt sätt och avtalens giltighet och eventuella tolkningstvister eller processer skall följas upp.
18 FINANSINSPEKTIONEN dnr 3/120/ (37) Rekommendation (9) För att på förhand kunna förbereda sig för de krav som nya lagar och föreskrifter ställer, bör tillsynsobjektet bevaka förändringar av såväl lagstiftning som internationella regelverk. Det är nödvändigt att känna till rättspraxis inom den egna branschen. Finans- och försäkringskonglomeratets moderbolag skall sörja för att samtliga företag som hör till konglomeratet har tillräcklig sakkunskap om de bestämmelser och föreskrifter som gäller för sektorerna. Företag med verksamhet i utlandet skall beakta att viktiga rättsprinciper och rättspraxis kan variera betydligt mellan olika stater. 6.3 Personal (10) Som en del av hanteringen av operativa risker skall den högsta ledningen slå fast principer genom vilka företaget säkerställer att de anställda och personer som rekryteras till företaget har tillräcklig kompetens i förhållande till arbetsuppgifterna, företagets storlek och verksamhetens omfattning och art. (11) Med kompetens avses de anställdas duglighet, tillräcklig utbildning och erfarenhet samt förmåga att klara av sina arbetsuppgifter. Företaget skall ha rutiner för att säkerställa att de anställda fortlöpande uppfyller kompetenskraven. Vikt skall fästas vid de nyanställdas anseende och bakgrund. (12) Den verkställande ledningen skall se till att det finns tillräckligt med personal för att klara av uppgifterna. För att kontinuiteten skall kunna säkerställas skall särskilt personer i nyckelställning ha ersättare för sjukdom, olycksfall eller plötslig upphörande av anställningsförhållandet. Belastningstoppar skall också beaktas resursplaneringen. (13) Den högsta ledningen skall fastställa principerna för sekretess. Syftet med dem är att säkerställa att företagets anställda inte yppar detaljer om en kunds eller annan med företagets verksamhet förknippad persons ekonomiska ställning eller privata förhållanden eller affärs- eller yrkeshemligheter, om inte den till vars förmån tystnadsplikten har bestämts ger sitt samtycke till att saken röjs. (14) Den högsta ledningen skall fastställa principerna för belöningssystem för att säkerställa att belöningssystemen inte lockar till icke önskvärda förfaranden eller okontrollerat risktagande.
19 FINANSINSPEKTIONEN dnr 3/120/ (37) 6.4 Kontinuitetsplanering (15) Med kontinuitetsplanering avses säkerställande av förmågan att upprätthålla verksamheten och begränsa förluster i händelse av olika slag av störningar i verksamheten. Hit hör till exempel skador eller avsiktliga handlingar som drabbar personalen, lokalerna, datasystemen eller datakommunikationen, vattenskador, eldsvådor samt avbrott i exempelvis el-, värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen upprättas kontinuitetsplaner för viktiga verksamheter för att upprätthålla verksamheten i händelse av eventuella störningar. (16) Kontinuitetsarrangemangen för normala förhållanden bildar utgångspunkten för beredskapen inför undantagsförhållanden. Kraven på beredskap inför undantagsförhållanden grundar sig på beredskapslagen och andra myndighetsdirektiv om beredskap inför undantagsförhållanden. (17) Den högsta ledningen svarar för att det finns uppdaterade och tillräckliga kontinuitetsplaner för tillsynsobjektets centrala verksamheter. Den verkställande ledningen skall fastställa ansvaret för kontinuitetsplaneringen. Tillsynsobjektet skall ha en klar handlingsmodell för upprättande, underhåll och testning av kontinuitetsplaner och för uppföljning av kontinuitetsplaneringen. (18) Utgångspunkten för kontinuitetsplaneringen är att tillsynsobjektet kartlägger sina viktigaste verksamhetsprocesser. De viktigaste verksamhetsprocesserna bör prioriteras och återställningstider fastställas, dvs. det längsta tillåtna avbrottet som inte stör verksamheten. För prioriterade processer skall alternativa handlingsmodeller och återställningsrutiner läggas upp för eventuella avbrott. Extra uppmärksamhet bör läggas på möjligheten att återställa information som är nödvändig för att verksamheten skall kunna återupptas. (19) Datasystem och tillämpningar skall rangordnas efter det hur snabbt de skall kunna återställas efter olika typer av störningar. För datasystemen skall upprättas återställningsplaner med beskrivningar av hur systemen kan fås funktionsdugliga efter störningar. Säkerhetskopiorna och en eventuell reservanläggning skall placeras så långt bort från den egentliga datacentralen att data och säkerhetskopior inte kan förstöras samtidigt. (20) Kontinuitetsplanerna skall grunda sig på risk- och sårbarhetsanalyser. Kontinuitetsplanerna skall beakta olika hotbilder avseende verksamheten och funktionernas sårbarhet. Kontinuitetsplanerna skall dimensioneras efter verksamhetens art, omfattning och komplexitet. De skall styra verksamheten vid olika typer av störningar. I kontinuitetsplanerna skall också ingå informationsgivning vid olika typer av störningar både internt och externt till
20 FINANSINSPEKTIONEN dnr 3/120/ (37) intressegrupper. Rekommendation (21) Tillsynsobjektet skall bereda sig på störningar i externa intressegruppers verksamhet. Hit hör exempelvis underleverantörer, tjänsteleverantörer och viktiga kunder. (22) Kontinuitetsplanerna skall revideras regelbundet och anpassas till förändringar i verksamhet, tjänster eller strategier. Planerna skall testas och övningar ordnas regelbundet. Ansvariga skall utses för att övervaka uppdateringen och testningen av kontinuitetsplanerna. (23) Kontinuitetsplaneringsprocessen består bl.a. av följande faser: fastställande av principer och allmänna instruktioner för kontinuitetsplaneringen kontinuitetsplaneringsutbildning till personalen i verksamhetsenheterna etablering av en krisorganisation och upprättande och underhåll av listor över kontaktpersoner fastställande av centrala rutiner för informationsgivning upprättande av kontinuitetsplaner upprättande av återställningsplaner för datasystemen underhåll av kontinuitets- och återställningsplanerna testning av kontinuitets- och återställningsplanerna uppföljning av kontinuitetsplaneringen, samordning av kontinuitetsplanerna och utvärdering av deras ändamålsenlighet. 6.5 Datasystem (24) Den högsta ledningen skall säkerställa att datasystemen är tillräckliga och lämpliga i förhållande till verksamhetens art och omfattning. Detta skall avgöras utgående från företagets verksamhet, den högsta ledningens krav och det faktum att systemen skall stöda verksamheten enligt den högsta ledningens riktlinjer. (25) Tillsynsobjektet skall ha den kompetens, organisation och internkontroll som behövs för att registrera, överföra, behandla och arkivera data elektroniskt. Dessa funktioner kan vara helt eller delvis utlagda, varvid tillsynsobjektet skall säkerställa att leverantören av databehandlingstjänster följer de principer som fastställs i detta avsnitt. (26) Den högsta ledningen skall anta en IT-strategi för att säkerställa att en lämplig IT-miljö existerar, underhålls och utvecklas efter nuvarande och
21 FINANSINSPEKTIONEN dnr 3/120/ (37) framtida behov. Dessutom skall den högsta ledningen se till att företaget har rutiner för budgetering och uppföljning av IT-kostnader. (27) För olika delområden av datatekniken skall tillsynsobjektet fastställa riktlinjer, standarder, rutiner och kontroller som möjliggör samarbete mellan affärsområdena och IT-enheterna. Med dem som utgångspunkt skall den verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid behov skall ett särskilt samarbetsorgan med företrädare för olika affärsområden tillsättas för samordning av detta arbete. (28) IT-funktionens oberoende ställning i förhållande till användarna bör säkerställas. IT-funktionen svarar för datasystemens utveckling och funktionsförmåga, medan användarna svarar för att den information som behandlas är riktig. (29) Systemutveckling och datadrift bör åtskiljas så att de anställda i dessa funktioner får tillgång till varandras data endast via kontrollerade standardrutiner. Också för driftsättning, ändringshantering och testning av systemen skall det finnas standardrutiner. (30) Tillsynsobjektet skall sörja för att internrevisionen har kompetens att utvärdera de interna IT-kontrollernas funktionsförmåga. (31) Tillsynsobjektet skall utarbeta och upprätthålla metoder för systemering och kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och att de dokumenteras i sådan standardiserad form att de går att använda och utveckla i framtiden även om exempelvis nyckelpersoner byts ut. (32) Tillsynsobjektet skall utarbeta rutiner för köp eller godkännande av program- och maskinvara eller kontraktering till externa tjänsteproducenter för att säkerställa att nyanskaffningar och avtal motsvarar dess behov och gällande standarder och garanterar fortlöpande service. (33) Tillsynsobjektet skall minimera risken för avbrott i datasystemen (eldsvåda, översvämning, elavbrott, maskinfel osv.) med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga reservsystem. Tillsynsobjektet skall begränsa tillgången till känsligt material (datautrustning, datamedium, dokument etc.) till behörig personal.
22 FINANSINSPEKTIONEN dnr 3/120/ (37) 6.6 Informationssäkerhet Definition av informationssäkerhet och grundläggande krav (34) Informationssäkerhet innebär att företagets data, tjänster, system och datakommunikation är skyddade och säkerställda under både normala förhållanden och undantagsförhållanden genom administrativa, tekniska och andra åtgärder. (35) Informationssäkerheten brukar indelas i åtta åtgärdsområden: administrativ säkerhet, personalsäkerhet, fysisk säkerhet, kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet, 2 datasäkerhet och användarsäkerhet.1f (36) Allmänna krav på säkerheten för information som förvaras, överförs och behandlas är konfidentialitet (skydd av information mot otillbörlig insyn), integritet (riktighet, dvs. skydd av information mot oönskad förändring) tillgänglighet (informationen är åtkomlig för behöriga i rätt tid). (37) Systemen skall ha en åtkomstkontroll. Också oavvisligheten av de transaktioner som utförs samt identifieringen och autentiseringen av de kommunicerande parterna skall vara säkerställd. Vidare skall de transaktioner som hanteras i systemen kunna spåras Uppläggning och ansvar för informationssäkerheten (38) Tillsynsobjektets allmänna informationssäkerhet och de olika datasystemens säkerhetsnivå skall vara tillfredsställande i förhållande till verksamhetens art och omfattning, hoten mot systemen och den allmänna tekniska utvecklingsnivån. (39) Den högsta ledningen svarar för att tillsynsobjektets informationssäkerhet är tillfredsställande. Den allmänna nivån på tillsynsobjektets informationssäkerhet skall definieras och godkännas av den högsta ledningen. Den högsta ledningen skall tilldela tillräckliga resurser och delegera ansvaret för att informationssäkerheten håller tillräckligt hög nivå. Tillsynsobjektet skall regelbundet utvärdera sin informationssäkerhetsnivå. Om det inte finns tillräcklig expertis om informationssäkerhet inom den egna organisationen, skall tillsynsobjektet ge utvärderingen i uppdrag åt en utomstående konsult med tillräcklig sakkunskap. Konstaterade brister måste 2 Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö
23 FINANSINSPEKTIONEN dnr 3/120/ (37) omedelbart åtgärdas Bedömning av risker som hänför sig till informationssäkerhet (40) Bedömningen av informationssäkerhetsnivån skall basera sig på regelbunden utvärdering av riskerna i informationssäkerheten. I riskanalyserna fastställs tillsynsobjektets viktigaste verksamheter och resurser och analyseras hotbilder och verksamheternas och resursernas sårbarhet för hoten. Vidare uppskattas eventuella effekter på tillsynsobjektets verksamhet om hoten realiseras. För hantering av identifierade risker måste tillräckliga kontroller byggas in. Också riskerna med nya tekniker och tjänster skall bedömas före introduktionen. (41) Rutiner för bedömning av informationssäkerhetsriskerna skall byggas in i riskhanteringen för att den högsta och verkställande ledningen skall kunna bilda sig en uppfattning om samverkan mellan alla väsentliga risker i verksamheten Informationens och systemens ägare (42) Tillsynsobjektet skall fastställa ägarna till de system det använder och den information som det förvarar och hanterar. Ägarna skall svara för principerna för användning av informationen och systemen, behörigheter och säkerhet. De skall också bevilja behörighet att utnyttja informationen. Tillsynsobjektet skall klassificera den information som förvaras och hanteras enligt säkerhetskraven och utarbeta hanteringsregler för olika säkerhetsklasser Behörigheter (43) Tillsynsobjektet skall bevilja behörighet att använda information, program och system, samt övervaka användningen av systemen enligt samordnade regler som godkänts av ledningen. Tilldelningen av användarbehörigheter skall basera sig på användarens arbetsuppgifter. Tillsynsobjektet skall begränsa tillträdet till data, program och system med tekniska metoder (användaridentifikationer, lösenord osv.) samt rapportera och undersöka överskridningar av användarbehörigheterna Informationssäkerhetsregler och utbildning (44) Tillsynsobjektet skall ha uppdaterade informationssäkerhetsprinciper godkända av den högsta ledningen och andra informationssäkerhetsregler, som tillsynsobjektets anställda skall ha kännedom om. Exempel på informationssäkerhetsregler är bland annat bestämmelser om fastställande av
24 FINANSINSPEKTIONEN dnr 3/120/ (37) behörigheter, bekämpning av skadliga program samt användningen av Internet och e-post. Tillsynsobjektet skall klart fastställa informationssäkerhetsansvaret för varje anställd och ge de anställda regelbunden informationssäkerhetsutbildning. Informationssäkerheten skall kontinuerligt utvecklas och ansvaret för detta skall klart fastställas på chefsnivå Behandlingen av informationssäkerhetsfall (45) Fall som gäller bristande informationssäkerhet skall uppmärksammas, analyseras, arkiveras och rapporteras till namngivna ansvariga inom organisationen Informationssäkerhet i datanätet (46) Onlinetjänsternas informationssäkerhet beror bl.a. på vilka handlingsmönster som använts för tjänsterna (ex. manuella arbetsmoment), vilka tillämpningar som använts, hur säkra de tekniska systemen och datakommunikationen är. (47) Innan existerande tjänster bjuds ut eller nya tjänster introduceras i datanät skall tillsynsobjektet bedöma om tjänsterna är lämpliga att tillhandahålla över nätet. De största riskerna med tjänsterna och riskhanteringsmetoderna skall dokumenteras och nödvändiga kontroller skall byggas. Riskhanteringen och internkontrollen av onlineverksamhet, datasystem och interna processer skall planeras och läggas upp så att verksamhetens art och omfattning och hoten mot verksamheten beaktas. Tillsynsobjektet skall själv analysera den totala risken i onlineverksamheten med jämna mellanrum eller låta göra en extern bedömning av den. Tillsynsobjektet skall på löpande basis analysera och utveckla sina datasystem och informationssäkerheten samt på ett tillfredsställande sätt skydda sig mot olika störningar och eventuellt missbruk Utveckling av säkra onlinetjänster (48) För att trygga informationssäkerheten skall tillsynsobjektet före lanserandet av en tjänst och då det bjuder ut en tjänst se till att åtminstone följande kriterier uppfylls: En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har vidtagits. Säkerhetsbesiktning av respektive system har gjorts. Dessutom skall systemens säkerhetsnivå följas upp fortlöpande, deras sårbarhet analyseras och nödvändiga systemuppdateringar och -korrigeringar
25 FINANSINSPEKTIONEN dnr 3/120/ (37) installeras. Störningar i systemen och eventuella fall av missbruk och försök till missbruk skall följas upp fortlöpande och rapporteras på överenskommet sätt. För att säkerställa tillgänglighet och kontinuitet har återställningsplaner upprättas för respektive system, reservsystem lägges upp för problemsituationer och åtgärder vidtas för att reservsystemen snabbt skall kunna sättas in vid störningar. Systemen bör vid behov belastningstestas. Särskilt viktigt är det att testa att datasystemen har tillräcklig kapacitet även när exceptionellt många kunder samtidigt är uppkopplade till systemen. Systemen skall förses med nödvändiga mekanismer för bekämpning av virus och andra skadliga program. Systemen och dataförbindelserna skall skyddas så att de inte kan blockeras med onödiga förfrågningar eller på annat sätt. Systemets Internetgränssnitt kan eventuellt blockeras på ett sätt som tjänsteleverantören inte har möjlighet att påverka. För sådana situationer skall finnas beredskap, t.ex. tillräckliga reservsystem. Systemen skall förses med en mekanism för åtkomstkontroll och tillsynsobjektet skall sörja för att behörighetshanteringen har ordnats på behörigt sätt. Det externa nätet (Internet) skall skiljas åt från tillsynsobjektets interna nät med säkerhetsanordningar. Systemen skall testas med jämna mellanrum och framför allt efter systemändringar för att förhindra att obehöriga får tillträde till systemen eller kan utnyttja eventuella säkerhetshål. Upptäcks brister i säkerheten måste de omedelbart åtgärdas. Tillsynsobjektet skall säkerställa att dataöverföringen mellan tjänstemottagaren och tjänsteleverantören och databehandlingen i tjänsteleverantörens system uppfyller kraven på konfidentialitet, integritet och oavvislighet. Också identifieringen och autentiseringen av de sinsemellan kommunicerande parterna måste vara tillförlitlig.
26 FINANSINSPEKTIONEN dnr 3/120/ (37) Lämpliga metoder är till exempel en tillräckligt stark kryptering2f3, elektroniska certifikat och elektroniska signaturer. Kontrollmekanismer och revisionsspår skall byggas in i datasystemen för att säkerställa in- och utdatas riktighet och integritet, behörigheter, återställande av information efter avbrott i databehandlingen samt transaktionernas reviderbarhet. De transaktioner som handläggs i systemet skall kunna spåras. Systemen skall ha inbyggda kontroller som möjliggör avstämning av transaktioner som har utförts i olika delsystem. Det rekommenderas att transaktionsförloppet avstäms alltifrån det att transaktionen lämnar kunden ända tills den når tillsynsobjektets bassystem. Eventuella lösenord för kunder skall krypteras inom systemet och vid överföring mellan systemen. Vid uppläggning, behandling och överlämning till kunden av dennes identifikationsuppgifter (användaridentitet och lösenord) skall extra aktsamhet iakttas och s.k. farliga arbetskombinationer undvikas. Tillsynsobjektet skall sörja för att systemen för en tillräckligt noggrann logg över inloggning, försök till inloggning och användning av tjänsten. Loggarna och loggrapporterna skall gås igenom regelbundet. Särskilt för försök till intrång eller annat missbruk bör finnas rapporteringsrutiner. Vid genomgången av loggarna och rapporterna skall förpliktelserna och åtgärderna enligt lag genomföras omsorgsfullt och utan att äventyra kommunikationens konfidentialitet eller integritetsskyddet. I en tjänst som marknadsförs till kunder skall ges tillräckligt med information t.ex. i bruksanvisningen om den tjänst som marknadsförs, om ansvarfördelningen mellan den som tillhandahåller och den som utnyttjar tjänsten och om hur användaren tryggt kan utnyttja tjänsten. 6.7 Betalningssystem och betalningsförmedling (49) Det är viktigt att betalningssystemen är välfungerande eftersom största delen av betalningarna i samhället förmedlas i systemen. Avbrott och störningar försvårar kundernas betalningar och kan därigenom medföra 3 Riskerna med den valda krypteringsmetoden skall analyseras fall för fall. Det lönar sig alltid att göra krypteringen så bra som det på kostnadseffektiva grunder är möjligt utgående från hur väl informationen behöver skyddas.
27 FINANSINSPEKTIONEN dnr 3/120/ (37) problem för landets ekonomi. Rekommendation Rekommendation (50) Med betalningssystem avses i regel ett system där överenskomna betalningsmedel används där deltagarna är banker och kreditinstitut där deltagarna kommer överens om olika betalningsförmedlings- och riskhanteringsrutiner och som möjliggör förmedling av transaktioner från betalaren till mottagaren. (51) Med betalningsmedel avses ett bank-, betal- eller kreditkort, en check eller ett annat instrument varmed betalningar, uttag eller betalningsöverföringar kan utföras eller vars användning är en nödvändig förutsättning för att nämnda transaktioner skall kunna utföras. (52) Den högsta ledningen skall godkänna principer för betalningsförmedling i de betalningssystem i vilka tillsynsobjektet deltar eller de betalningstjänster som det tillhandahåller för sina kunder. Betalningsförmedlingsprinciperna skall omfatta den nuvarande verksamheten och de skall ta hänsyn till utvecklingen under de närmaste åren. Den högsta ledningen skall för betalningsförmedlingsverksamheten uppställa mål i syfte att säkerställa en effektiv och säker betalningsförmedling och övervaka verksamheten. (53) Den verkställande ledningen svarar för att det finns tillfredsställande kompetens, resurser och internkontroll för en effektiv och säker betalningsförmedling. Tillsynsobjektet skall kartlägga riskerna med de betalningssystem och betalningstjänster som används och regelbundet uppdatera kartläggningarna. (54) Tillsynsobjektets betalningssystem skall vara välfungerande och funktionssäkra och stabila. Tillsynsobjektet skall sörja för att det förekommer så få störningar som möjligt i betalningsförmedlingen. Betalningsförmedlingen skall säkras med reservsystem. (55) Tillsynsobjektet skall tillställa Finansinspektionen resultatet av riskanalyser av nya betalningstjänster och -tekniker innan tjänsterna introduceras. (56) Tillsynsobjektet skall i god tid på förhand underrätta Finansinspektionen om nya betalningstjänster och betydande ändringar i existerande tjänster. Rekommendation (57) Avseende betalningssystem har Committee on Payment and Settlement Systems (CPSS), som tillsatts av G10-ländernas centralbanker, gett ut
28 FINANSINSPEKTIONEN dnr 3/120/ (37) rekommendationen Core Principles for Systemically Important Payment Systems (Basel Committee Publications No. 43). Tillsynsobjektet skall i tillämpliga delar följa rekommendationen vid deltagande systemviktiga betalningssystem, exempelvis POPS eller PMJ. 6.8 Förhindrande av lagstridigt utnyttjande av det finansiella systemet (58) Ett lagstridigt utnyttjande av det finansiella systemet kan ta sig uttryck i såväl internt som externt missbruk. Den egna personalen kan genom verksamhet som strider mot regler eller lagar förorsaka förluster, exempelvis genom att förskingra medel som tillhör företaget eller kunderna. Missbruk kan också vara bedrägerier och svindlerier utförda av utomstående. Missbruk är ofta en följd av bristande internkontroll och särskilt av bristande riskhantering. (59) Genom penningtvätt och terroristfinansiering kan tillsynsobjektet också indirekt bli delaktig i brottslig verksamhet. Kundidentifikation och kundkännedom samt omsorgs- och anmälningsplikt är skyldigheter som ålagts särskilt finansmarknadsaktörerna och som bidrar till att förhindra lagstridigt utnyttjande av det finansiella systemet. Genom noggrann efterlevnad av dessa skyldigheter främjar tillsynsobjektet i första hand sin internkontroll och riskhantering samt bidrar till att öka kundernas förtroende. En bristfällig kundidentifiering och kundkännedom kan orsaka legala eller andra risker och skada såväl tillsynsobjektets anseende som det finansiella systemets tillförlitlighet. (60) Tillsynsobjektets företagsstyrning och affärsprinciper skall stödja dessa skyldigheter och tillsynsobjektets etiska regler skall innehålla principer för förhindrande av lagstridig verksamhet. Processen för kundidentifiering och kundkännedom skall ordnas så att tillsynsobjektet i efterhand i enskilda fall kan bevisa hur identifikationen gått till. Varje tillsynsobjektet svarar för identifikationen av sina egna kunder, vilket bör beaktas även när verksamheter läggs ut eller ombud anlitas Kundidentifikation och kundkännedom skyldigheter (61) Med identifiering avses kontroll av kundens identitet. I regel verifierar man identiteten med en gällande identifikationshandling. Med att handla för kundens räkning avses en situation när en fysisk person öppet agerar för en annan fysisk eller juridisk persons räkning eller som ombud, eller en situation då ombudet försöker dölja att han handlar för någon annans räkning. Det är då viktigt att fastställa och identifiera den person som drar nytta av uppdraget eller transaktionen, eller som har den verkliga bestämmanderätten gentemot
Standard 4.1. Organisation av intern kontroll. Föreskrifter och allmänna råd
Standard 4.1 Organisation av intern kontroll Föreskrifter och allmänna råd Så här läser du standarderna Standarden är en ämnesvis indelad helhet av föreskrifter och råd som förpliktar eller vägleder tillsynsobjekt
Läs merAnvisning om riskhantering och internrevision i värdepapperscentraler
tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande
Läs merLokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar
Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer
Läs merStandard 4.4b. Hantering av operativa risker. Föreskrifter och allmänna råd
Standard 4.4b Hantering av operativa risker Föreskrifter och allmänna råd Så här läser du standarderna Standarden är en ämnesvis indelad helhet av föreskrifter och råd som förpliktar eller vägleder tillsynsobjekt
Läs merInformationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.
Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala
Läs merVASA STAD DATASÄKERHETSPOLICY
VASA STAD DATASÄKERHETSPOLICY I enlighet med styrgruppen 04.05.2005 Godkänd av ledningsgruppen för dataförvaltningen 21.06.2005 Godkänd av stadsstyrelsen 22.8.2005 1. Inledning... 3 2. Vision... 3 3. Datasäkerhetens
Läs merFöreskrifter och anvisningar x/2011
Föreskrifter och anvisningar x/2011 Tillståndsförfarande och riskhantering för Dnr 8/01.00/2011 Utfärdad 31.1.2012 Gäller fr.o.m. 1.3.2012 FINANSINSPEKTIONEN tfn 010 831 51 fax 010 831 5328 förnamn.efternamn@finansinspektionen.fi
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter om hantering av likviditetsrisker för kreditinstitut och värdepappersbolag;
Läs merStandard 4.1. Uppläggning av intern kontroll och riskhantering. Föreskrifter och allmänna råd
Standard 4.1 Uppläggning av intern kontroll och riskhantering Föreskrifter och allmänna råd FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 2 (20) INNEHÅLL 1 Tillämpning 4 2 Syfte 6 3 Internationella regelverk 7
Läs merErsättningspolicy för Rhenman & Partners Asset Management AB
Ersättningspolicy för Rhenman & Partners Asset Management AB Denna policy är fastställd av styrelsen för Rhenman & Partners Asset Management AB (Rhenman & Partners) den 15 juni 2015. Policyn ska prövas
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merStandard RA4.10. Rapportering av exponeringar mot närstående. Föreskrifter och allmänna råd
Standard RA4.10 Rapportering av exponeringar mot närstående Föreskrifter och allmänna råd FINANSINSPEKTIONEN tills vidare närstående dnr 14/120/2006 2 (2) INNEHÅLL 1 Tillämpning 3 2 Syfte 4 3 Internationella
Läs merStärkt konsumentskydd på bolånemarknaden. Danijela Pavic (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll
Lagrådsremiss Stärkt konsumentskydd på bolånemarknaden Regeringen överlämnar denna remiss till Lagrådet. Stockholm den 26 maj 2016 Morgan Johansson Danijela Pavic (Justitiedepartementet) Lagrådsremissens
Läs merInstruktion för Sveriges riksbank Bilaga 2
Instruktion för Sveriges riksbank Bilaga 2 Inledning 1 Fullmäktige i Riksbanken har beslutat om arbetsordningen i Riksbanken. Arbetsordningen anger Riksbankens övergripande organisation och reglerar vissa
Läs merFöreskrifter och anvisningar 8/2014
Föreskrifter och anvisningar 8/2014 Hantering av operativa risker i företag under tillsyn inom Dnr FIVA 8/01.00/2014 Utfärdade 4.11.2014 Gäller från 1.2.2015 FINANSINSPEKTIONEN telefon 010 831 51 fax 010
Läs merFörslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.
Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och
Läs merFöreskrifter och anvisningar 8/2014
Föreskrifter och anvisningar 8/2014 Hantering av operativa risker i företag under tillsyn inom Dnr FIVA 8/01.00/2014 Utfärdade 4.11.2014 Gäller från 1.2.2015 FINANSINSPEKTIONEN telefon 010 831 51 fax 010
Läs merZmartic Fonder AB ERSÄTTNINGSPOLICY. Fastställd av styrelsen i Zmartic Fonder AB den 28 november 2013.
Zmartic Fonder AB ERSÄTTNINGSPOLICY Fastställd av styrelsen i Zmartic Fonder AB den 28 november 2013. Sida 1 av 9 1 INNEHÅLL 1 Innehåll... 2 2 Definitioner... 3 3 Inledning... 4 4 Policyns målgrupp...
Läs merRiktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.
Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun. Antagna av kommunstyrelsen den 11 mars 2014, 29. 1. INLEDNING Malung-Sälens kommun ska, på demokratisk grund,
Läs merAMERICAN EXPRESS. Webbplats för affärspartners regler och villkor
AMERICAN EXPRESS Webbplats för affärspartners regler och villkor Webbplatsen för affärspartners tillhandahålls av American Express Payment Services Limited (här även kallat "American Express", "vår/t",
Läs merFÖRESKRIFT OM RAPPORTERING AV STORA EXPONERINGAR OCH KONSOLIDERADE STORA EXPONERINGAR
tills vidare 1 (17) Till kreditinstituten Till holdingsammanslutningarna FÖRESKRIFT OM RAPPORTERING AV STORA EXPONERINGAR OCH KONSOLIDERADE STORA EXPONERINGAR Finansinspektionen meddelar med stöd av 4
Läs merPolicy för informationssäkerhet
Policy för informationssäkerhet Informationssäkerhet är den del i organisationens lednings- och kvalitetsprocess som avser hantering av verksamhetens information. Informationssäkerhetspolicyn och särskilda
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Föreskrifter om ändring i Finansinspektionens föreskrifter (FFFS 2008:11) om investeringsfonder;
Läs merF Ö R E R S Ä T T N I N G S S Y S T E M
INTERNA RIKTLINJER F Ö R E R S Ä T T N I N G S S Y S T E M INNEHÅLLSFÖRTECKNING 1. Inledning... 1 2. Definitioner... 1 3. Identifiering av personalkategorier hos Bolaget... 2 4. Omfattning... 2 5. Balans
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merKommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018
Ansvarig namn Jonas Rydberg, kommunchef Dokumentnamn Riktlinjer säkerhetsarbete Upprättad av Bertil Håkanson, säkerhetssamordnare Reviderad: Berörda verksamheter Samtliga verksamheter Fastställd datum
Läs merPolicy för ersättningar
18. Policy för ersättningar Placerum Kapitalförvaltning Regelbok 2016 Sid. 2 (7) Policy för ersättningar Dessa riktlinjer fastställdes av styrelsen för Placerum Kapitalförvaltning AB (Bolaget) den 7 december
Läs merNorburg & Scherp ALLMÄNNA VILLKOR FÖR KLIENTER MED HEMVIST I SVERIGE (VERSION 2015:1) 3. Rådgivning
ALLMÄNNA VILLKOR FÖR KLIENTER MED HEMVIST I SVERIGE (VERSION 2015:1) 1. Tillämpningsområde och tolkning 1.1 Dessa allmänna villkor gäller utöver Sveriges Advokatsamfunds vägledande regler om god advokatsed
Läs merBankens styrelse har fastställt denna policy vid sammanträde den 14 september 2011.
Ersättningspolicy för Kinda-Ydre Sparbank, nedan benämnd Banken. Bankens styrelse har fastställt denna policy vid sammanträde den 14 september 2011. Inledning. Banken skall ha en ersättningspolicy som
Läs merLänsstyrelsen i Västra Götalands län
Länsstyrelsen i Västra Götalands län 14 FS 2009:534 14 FS 2013:66 14 FS 2015:35 14 FS 2015:64 Länsstyrelsen i Västra Götalands läns allmänna föreskrifter (14 FS 2009:534) om åtgärder mot penningtvätt och
Läs merDelbetänkandet UCITS V En uppdaterad fondlagstiftning (SOU 2015:62)
1(7) Finansdepartementet Finansmarknadsavdelningen 103 33 Stockholm Lena Orpana 0704819107 lena.orpana@tco.se Delbetänkandet UCITS V En uppdaterad fondlagstiftning (SOU 2015:62) Yttrande TCO har beretts
Läs merSvensk författningssamling
Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är
Läs merANVISNING OM PRINCIPER FÖR RISKHANTERING OCH INTERN KONTROLL OCH OM INTERNREVISION I KREDITINSTITUT. Innehåll Sida
tills vidare 1 (9) Kreditinstitutens holdingsammanslutningar Kreditinstituten ANVISNING OM PRINCIPER FÖR RISKHANTERING OCH INTERN KONTROLL OCH OM INTERNREVISION I KREDITINSTITUT Finansinspektionen meddelar
Läs merFÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG
tills vidare 1 (5) Till värdepappersföretagen FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG Finansinspektionen meddelar med stöd av 29 2 mom. lagen om värdepappersföretag
Läs merANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI
ANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI Vid behandlingen av elektroniska dokument tillämpas inom Åbo Akademi principerna om brevhemlighet, skydd för privatlivet och god förvaltningssed på
Läs merETT MÄNSKLIGARE SAMHÄLLE FÖR ALLA
ETT MÄNSKLIGARE SAMHÄLLE FÖR ALLA Policy mot oegentligheter för Stockholms Stadsmission Antagen av Stockholms Stadsmissions styrelse 2015-06-15 Antagen av Stadsmissionens Skolstiftelses och Stiftelsen
Läs merErsättningspolicy. avseende Pacific Fonder AB
Ersättningspolicy avseende Pacific Fonder AB Innehållsförteckning 1 Inledning... 2 1.1 Allmänt... 2 1.2 Relevanta externa regelverk... 2 1.3 Riskanalys... 2 2 Definitioner m.m.... 2 3 Riktlinjer för ersättningar...
Läs merSTRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige 2010-10-28 90
STRÖMSTADS KOMMUN SÄKERHETSPOLICY Antagen av Kommunfullmäktige 2010-10-28 90 INNEHÅLLSFÖRTECKNING SIDA 1. Bakgrund 3 2. Inriktningsmål 3 3. Riktlinjer för att uppnå målen 3 3.1 Inriktning 4 3.1.1 Attityder
Läs merPOLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND
POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND Oktober 2005 Innehåll Introduktion...1 Avsikten med denna policy...1 Ansvar...1 Allmän policy...2 Klassificering av data...2 Accesskontroll...3
Läs merStandard RA1.2. Förvärv av bestämmande inflytande i företag utanför Europeiska ekonomiska samarbetsområdet. Föreskrifter och allmänna råd
Standard RA1.2 Förvärv av bestämmande inflytande i Föreskrifter och allmänna råd FINANSINSPEKTIONEN tills vidare dnr 5/120/2006 2 (2) INNEHÅLL 1 Tillämpning 3 2 Syfte 4 3 Rättsgrund och internationella
Läs merVetenskapsrådets informationssäkerhetspolicy
Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17
Läs merEnligt 8 i lagen om Finansinspektionen (878/2008) ska bankfullmäktige fastställa Finansinspektionens arbetsordning.
Arbetsordning för Finansinspektionen Inledning Enligt 8 i lagen om Finansinspektionen (878/2008) ska bankfullmäktige fastställa Finansinspektionens arbetsordning. Bankfullmäktige ska 1) övervaka den allmänna
Läs merEkeby Sparbank. Ersättningspolicy
Ekeby Sparbank Ersättningspolicy Innehåll Externa regelverk... 2 Interna regelverk... 2 1. Bakgrund och syfte... 2 2. Definitioner... 2 3. Omfattning... 3 4. Organisation och ansvar... 3 4.1 Beslut om
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Informationssäkerhetspo licy Policy 2013-11-11 KF Dokumentansvarig Diarienummer Giltig till IT-chef KS.2013.182
Läs merPROMEMORIA 1 (8) 28.3.2006 PERSONALENS STÄLLNING VID KOMMUNSAMMANSLAGNINGAR OCH VID FÖRÄNDRINGAR I SAMKOMMUNER
PROMEMORIA 1 (8) PERSONALENS STÄLLNING VID KOMMUNSAMMANSLAGNINGAR OCH VID FÖRÄNDRINGAR I SAMKOMMUNER Beredningen av kommun- och servicestrukturreformen är i full gång, men vad reformen kommer att få för
Läs merInformationssäkerhetspolicy för Vetlanda kommun
1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:
Läs merPERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,
PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning
Läs merRevidering av policy och regler för informationssäkerhet i Stockholms stad
Utlåtande 2005: RI (Dnr 034-418/2005) Revidering av policy och regler för informationssäkerhet i Stockholms stad Kommunstyrelsen föreslår kommunfullmäktige besluta följande 1. Förslag till policy och riktlinjer
Läs merInformationssäkerhet - Instruktion för förvaltning
Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4
Läs merValfrihet inom hemvård i Grästorps kommun
Grästorps kommun Social verksamhet Valfrihet inom hemvård i Grästorps kommun Kapitel 4 Avtal för bedrivande av hemvård Innehållsförteckning 4. Avtal för bedrivande av hemvård... 3 4.1 Parter... 3 4.1.1
Läs merPatientsäkerhet ur ett läkarsekreterarperspektiv och patienten som en resurs i Patientsäkerhetsarbetet
Patientsäkerhet ur ett läkarsekreterarperspektiv och patienten som en resurs i Patientsäkerhetsarbetet Landstingsjurist Lena Jönsson Landstinget Dalarna Tfn 023 490640 Patientens rätt i vården stärks Patientdatalag
Läs merRiktlinjer. om processer för produktgodkännande i fråga om bankprodukter för konsumenter EBA/GL/2015/18 22/03/3016
EBA/GL/2015/18 22/03/3016 Riktlinjer om processer för produktgodkännande i fråga om bankprodukter för konsumenter 1 Riktlinjer om processer för produktgodkännande i fråga om bankprodukter för konsumenter
Läs merGäller från 1 januari 2015 ALLMÄNNA VILLKOR. 1. Team och tjänster. 2. Arvoden och kostnader 1(6)
Gäller från 1 januari 2015 ALLMÄNNA VILLKOR Dessa villkor gäller för alla tjänster som Bergh & Co Advokatbyrå AB ( Advokatbyrån eller vi ) tillhandahåller till sina klienter. Sveriges Advokatsamfunds vägledande
Läs merBilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C
Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-
Läs merFINLANDS FÖRFATTNINGSSAMLING
FINLANDS FÖRFATTNINGSSAMLING Utgiven i Helsingfors den 15 december 2014 1046/2014 Lag om ändring av lagen om arbetspensionsförsäkringsbolag Utfärdad i Helsingfors den 12 december 2014 I enlighet med riksdagens
Läs merAdvokatbyrån Gulliksson AB:s allmänna villkor (2013:1)
Advokatbyrån Gulliksson AB:s allmänna villkor (2013:1) 1. Allmänt 1.1 Om Advokatbyrån Gulliksson AB Advokatbyrån Gulliksson AB, org. nr 556 733 5319 (Gulliksson) är ett svenskt registrerat aktiebolag som
Läs merInformationssäkerhet i. Torsby kommun
2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se
Läs merDefinitioner av termer och beteckningar i denna policy återfinns i Finansinspektionens föreskrifter om ersättningssystem i kreditinstitut.
Ersättningspolicy Fastställd av styrelsen 2015-10-22 Ersätter tidigare: 2015-09-01 Senast faktaändrad: 2015-10-22 Dokumentägare: VD Fastställelse och revision: Årligen Tillämpliga regelverk: Externt regelverk
Läs merAllmänna villkor för Advokatfirman Morris AB
Version 2014:2 1(5) Allmänna villkor för Advokatfirman Morris AB Följande villkor gäller för alla tjänster som Advokatfirman Morris AB ( Morris Law, vi, våra eller oss ) tillhandahåller till våra klienter.
Läs merIT-policy Scenkonst Västernorrland AB
IT-policy Scenkonst Västernorrland AB Bakgrund och syfte Informationssäkerheten hos Scenkonst Västernorrland ska bygga på en rimlig risknivå och samtidigt tillgodose tillgänglighet, tillförlitlighet och
Läs merErsättningspolicy. Riskanalys avseende rörliga ersättningar
Med bilaga Riskanalys avseende rörliga ersättningar Fastställd av sparbankens styrelse 2014-03-19 1 Inledning. Banken skall ha en ersättningspolicy som styr hur ersättningar till anställda skall fastställas,
Läs merValfrihetssystem inom boendestöd. Boendestöd - Kapitel 4 Avtal för bedrivande av boendestöd
UPPDRAGSBESKRIVNING 1 (12) Dnr: 2015:190 Valfrihetssystem inom boendestöd Boendestöd - Kapitel 4 Avtal för bedrivande av boendestöd Socialtjänsten Sociala avdelningen Postadress Besöksadress Telefon (vx)
Läs merInförande av vissa internationella standarder i penningtvättslagen
REMISSYTTRANDE Vår referens: 2014/106 Er referens: Fi2014/2420 1 (8) 2014-09-29 Finansdepartementet Finansmarknadsavdelningen Enheten för bank och försäkring fi.registrator@regeringskansliet.se Införande
Läs merEn ny reglering av värdepappersmarknaden 2006-03-03
En ny reglering av värdepappersmarknaden 2006-03-03 INNEHÅLL MIFID 2 Bakgrund 2 Tidsplanen för MiFID 2 Finansinspektionens arbete med MiFID 3 Värdepappersföretagens arbete med MiFID 3 NYA TILLSTÅNDSPLIKTIGA
Läs merAnvisning till kommunerna om beredskap och kontinuitetsplanering. inom försörjningen av dagligvaror
Anvisning till kommunerna om beredskap och kontinuitetsplanering inom försörjningen av dagligvaror I SAMARBETE Arbets- och näringsministeriet Social- och hälsovårdsministeriet Försörjningsberedskapscentralen
Läs merRiktlinjer Riktlinjer för bedömning av kunskap och kompetens
Riktlinjer Riktlinjer för bedömning av kunskap och kompetens 22/03/2016 ESMA/2015/1886 SV Innehållsförteckning I. Tillämpningsområde... 3 II. Hänvisningar, förkortningar och definitioner... 3 III. Syfte...
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Gent Jansson, Finansinspektionen, Box 6750, 113 85 Stockholm. Beställningsadress: Thomson Fakta AB, Box 6430, 113 82 Stockholm. Tfn 08-587 671 00, Fax
Läs merIT-verksamheten, organisation och styrning
IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1
Läs merFINANSIELLA RIKTLINJER FÖR KARLSTADS KOMMUNS DONATIONSMEDELSFÖRVALTNING
2013-10-02 FINANSIELLA RIKTLINJER FÖR KARLSTADS KOMMUNS DONATIONSMEDELSFÖRVALTNING Fastställd av kommunstyrelsen 2 1 Inledning Finansiella riktlinjer för Karlstads kommuns donationsmedelsförvaltning anger
Läs merTillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå
Beslut Diarienr 1 (10) 2016-02-17 1805-2015 Södermalms stadsdelsnämnd Box 4270 102 66 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Datainspektionens beslut
Läs merDACHSER:s uppförandekod
DACHSER:s uppförandekod 1. Inledning Grunden för all verksamhet hos Dachser är att vi följer juridiskt bindande bestämmelser på nationell och internationell nivå och att vi även följer sådana förpliktelser
Läs merVägledning för kontrollmyndigheter m.fl. Kontroll av hästpass Kontroll av passutfärdande föreningar
1(10) 2014-05-06 Dnr 6.2.17-4464/14 Avdelningen för djurskydd och hälsa Vägledning för kontrollmyndigheter m.fl. Kontroll av hästpass Kontroll av passutfärdande föreningar Fastställd 2014-05-06 Jordbruksverket
Läs merInstruktion för valberedningen
1 Instruktion för valberedningen ALLMÄNT OM VALBEREDNING MM Bolaget skall ha en valberedning bestående av åtta ledamöter. Dessa ska representera kretsarna för val av fullmäktige. Av dessa ska kretsarna
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Gent Jansson, Finansinspektionen, Box 6750, 113 85 Stockholm. Beställningsadress: Fakta Info Direkt, Box 6430, 113 82 Stockholm. Tel. 08-587 671 00, Fax
Läs merBolagspolicy. Ägarroll och ägarstyrning för kommunens bolag. Antagen av kommunfullmäktige den 28 januari 2016, 1
Bolagspolicy Ägarroll och ägarstyrning för kommunens bolag Antagen av kommunfullmäktige den 28 januari 2016, 1 Innehåll 1 Inledning 5 2 Ägarroll 6 2.1 Kommunfullmäktige... 6 2.2 Kommunstyrelsen... 6 3
Läs merSvensk författningssamling
Svensk författningssamling Lag om ändring i lagen (2004:46) om investeringsfonder; SFS 2011:882 Utkom från trycket den 30 juni 2011 utfärdad den 22 juni 2011. Enligt riksdagens beslut 1 föreskrivs 2 i
Läs merVarför säkerhetsarbete? Varför systematiskt arbete?
Varför säkerhetsarbete? Att arbeta med säkerheten medför högre kvalitet och ökar värdet av tjänsten. Ett högt säkerhetstänkande höjer företagets anseende och goodwill. Kunder, ägare och anställda känner
Läs merStrategi Program Plan Policy» Riktlinjer Regler. Riktlinjer för finansverksamheten Borås kommunkoncern. Riktlinjer för finansverksamheten 1
Strategi Program Plan Policy» Riktlinjer Regler Riktlinjer för finansverksamheten Borås kommunkoncern Riktlinjer för finansverksamheten 1 Borås Stads styrdokument» Aktiverande strategi avgörande vägval
Läs merKapitel 7 Hantering av tillgångar
Kapitel 7 Hantering av tillgångar Information och data som skapas, inhämtas, distribueras, bearbetas och lagras i en organisation är en av dess viktigaste tillgångar. Graden av tillgänglighet, sekretess
Läs merANVISNINGAR OCH ÅTGÄRDER VID HOT- OCH VÅLDSSITUATIONER VID ÖREBRO UNIVERSITET
ÖREBRO UNIVERSITET Rektors beslut 101/2005 2005-03-02 Dnr CF 10-358/2004 ANVISNINGAR OCH ÅTGÄRDER VID HOT- OCH VÅLDSSITUATIONER VID ÖREBRO UNIVERSITET Inledning Anvisningarna gäller för medarbetare, studenter
Läs merFinansinspektionens författningssamling
Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts
Läs merErsättningspolicy. Adrigo Asset Management AB. Senast fastställd 2015-04-15 Fastställs
Ersättningspolicy Adrigo Asset Management AB Fastställd av Styrelsen Senast fastställd 2015-04-15 Fastställs Årligen eller vid behov Tillämpningsområde Alla anställda på Adrigo Asset Management AB Informationstyp
Läs merInstruktion för riskhantering
Instruktion för riskhantering Fastställd av Styrelsen Datum 5 mars 2013 Senast fastställd 5 mars 2013 Fastställs Årligen eller vid behov Tillämpningsområde Alla anställda i Crescit Distribution Tillgänglig
Läs merPOLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen 2009-06-25
POLISMYNDIGHETEN I IT-POLICY 1 (5) IT-policy Säkerhetsinstruktion för Användare Denna instruktion gäller för samtliga anställda vid Polismyndigheten i Östergötlands län Var medveten om att du fått förtroendet
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;
Läs merFöreskrifter och anvisningar 4/2019 Tillhandahållare av virtuella valutor
Föreskrifter och anvisningar 4/2019 Tillhandahållare av virtuella valutor Dnr FIVA 12/01.00/2019 Utfärdade 14.6.2019 Gäller från 1.7.2019 Upplysningar Digitalisering och analys/digitalisering och banktjänster
Läs merUppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787
Göran Nilsson Ordförandens förslag Diarienummer Kommunstyrelsens ordförande Datum KS-2010/605 2012-02-15 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun
Läs mer10.6 Bilaga 1 Riskanalys
10.6 Bilaga 1 Riskanalys Styrdokument: Gäller för: Beslutad av: Datum för beslut om fastställande: Datum för beslut om revidering senast: Dokumentägare: Tillhandahållande: Konfidentiell status: Rättslig
Läs merAlternativa Investeringsfonder
Alternativa Investeringsfonder ett underlag för beslutsfattare i investeringsfonder Inledning Sedan lagen (2013:561) om förvaltare av alternativa investeringsfonder (LAIF) trädde i kraft står betydligt
Läs merBilaga 17 Mall för operativt samverkansavtal med GSIT 2.0- leverantören Dnr: 2.4.2-7622/2015 Förfrågningsunderlag 2016-01-11
Bilaga 17 Mall för operativt samverkansavtal med GSIT 2.0- leverantören Dnr: 2.4.2-7622/2015 Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan
Läs merE-tjänst över näringsidkare
E-tjänst över näringsidkare Förstudie, rapport nr 1 Datum: 2010-12-07 Version: 1.0 Upprättad av: Monica Grahn Innehållsförteckning 1. E-tjänst över näringsidkare...1 1.1 Sammanfattning 1 1.2 Bakgrund 2
Läs merFINLANDS FÖRFATTNINGSSAMLING
FINLANDS FÖRFATTNINGSSAMLING Utgiven i Helsingfors den 27 mars 2015 305/2015 Lag om ändring av lagen om utländska försäkringsbolag Utfärdad i Helsingfors den 20 mars 2015 I enlighet med riksdagens beslut
Läs merSyfte...1 Omfattning...1 Beskrivning...1
Innehållsförteckning 1 Syfte...1 2 Omfattning...1 3 Beskrivning...1 3.1 Utgångspunkter och generella regler...1 3.2 Tillämpning av riktlinjerna inom Mälarenergi...1 3.3 Styrande lagar och regler...3 Bilaga
Läs merGOD FÖRVALTNINGSSED i föreningar. Rekommendation
GOD FÖRVALTNINGSSED i föreningar Rekommendation Innehåll 1 Inledning... 3 Rekommendationens syfte och tillämpning...3 Läsanvisning...3 2 Föreningens medlemmar och föreningsmötet... 4 Bakgrund...4 1. Rekommendation
Läs merRegler för behandling av personuppgifter vid Högskolan Dalarna
Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12
Läs merYttrande över remiss om betänkandet "Vägar till ett effektivare miljöarbete" SOU 2015:43
Yttrande 1 (6) Datum 2015-10-05 Beteckning 101-23920-2015 Miljö- och energidepartementet Yttrande över remiss om betänkandet "Vägar till ett effektivare miljöarbete" SOU 2015:43 M2015/1539/S Sammanfattning
Läs merDetta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet
2001L0018 SV 21.03.2008 003.001 1 Detta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet B EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2001/18/EG av den
Läs merNya regler för revisorer och revision SOU 2015:49
1(7) Justitiedepartementet Magnus Lundberg 103 33 Stockholm 08-782 91 24 magnus.lundberg@tco.se Nya regler för revisorer och revision SOU 2015:49 Ju2015/4660/L1 Utredningen syftar till att genomföra de
Läs merANVISNING OM PRINCIPER FÖR RISKHANTERING OCH INTERN KONTROLL OCH OM INTERNREVISION I VÄRDEPAPPERSFÖRETAG
tills vidare 1 (9) Till värdepappersföretagen ANVISNING OM PRINCIPER FÖR RISKHANTERING OCH INTERN KONTROLL OCH OM INTERNREVISION I VÄRDEPAPPERSFÖRETAG Finansinspektionen meddelar med stöd av 4 2 punkten
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Beslut Dnr 2008-10-01 742-2008 Utbildningsnämnden Stockholm stad Box 22049 104 22 STOCKHOLM Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Personuppgiftsbehandling
Läs mer