Standard 4.4b. Hantering av operativa risker. Föreskrifter och allmänna råd

Transkript

1 Standard 4.4b Hantering av operativa risker Föreskrifter och allmänna råd

2 Så här läser du standarderna Standarden är en ämnesvis indelad helhet av föreskrifter och råd som förpliktar eller vägleder tillsynsobjekt och andra aktörer på finansmarknaden, anger tillsynsmyndighetens mål för kvalitetsnivå och syn på god praxis samt motiverar regleringen. Datumangivelser i standardens marginal: Utfärdad: Anger när Finansinspektionen fattat beslutet att utfärda texten. Gäller fr.o.m.: Anger när textavsnittet trätt i kraft. Varje stycke i standarden har en egen marginalanteckning: Norm: Hänvisningar till gällande bestämmelser i lag eller förordning. : Föreskrifter som Finansinspektionen enligt lag har rätt att meddela företag under tillsyn och andra finansmarknadsaktörer. Rekommendation: Finansinspektionens riktgivande råd till företag under tillsyn eller andra finansmarknadsaktörer. Tillämpningsråd/-exempel: Praktiska anvisningar eller tillämpningsråd till eller -exempel på norm, bindande föreskrifter och rekommendationer. Hänvisning till Finansinspektionens standard eller en del av en standard. Se exemplet intill. Motivering: Redogör för regelverkens mål, syfte och bakgrund. Standarderna finns på Finansinspektionens webbplats

3 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) INNEHÅLL 1 Tillämpning 5 2 Syfte 7 3 Internationella regelverk 8 4 Rättsgrund 9 5 Hantering av operativa risker Definition av begreppet operativ risk Riskhanteringsorganisation och tillsyn av operativa risker Grunderna för hanteringen av operativa risker Identifiering av operativa risker Bedömning och reducering av operativa risker Godkännande av nya produkter eller tjänster Övervakning och rapportering av operativa risker 15 6 Delområden i hantering av operativa risker Processer Legal risk Personal Kontinuitetsplanering Beredskap för undantagsförhållanden Datasystem 25

4 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 6.7 Informationssäkerhet Definition av informationssäkerhet och grundläggande krav Uppläggning och ansvar för informationssäkerheten Bedömning av risker som hänför sig till informationssäkerhet Informationens och systemens ägare Behörigheter Informationssäkerhetsregler och utbildning Behandlingen av informationssäkerhetsfall Informationssäkerhet i datanätet Utveckling av säkra onlinetjänster Betalningssystem och betalningsförmedling Förhindrande av lagstridigt utnyttjande av det finansiella systemet (upphävts) 33 7 Rapportering till Finansinspektionen 34 8 Definitioner 35 9 Ytterligare information Ändringshistorik 40

5 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 1 TILLÄMPNING Utfärdad Gäller fr.o.m (1) Standarden tillämpas på de följande institut: kreditinstitut värdepappersföretag på vilka 5 och 6 kapitel i lagen om kreditinstitut tillämpas på grund av 46 i lagen om värdepappersföretag fondbolag som bedriver verksamhet enligt 5 2 mom. i lagen om placeringsfonder kreditinstituts och värdepappersföretags holdingföretag centralinstitutet enligt lagen om andelsbanker och andra kreditinstitut i andelslagsform (1504/2001) (2) De stycken som markerats som bindande tillämpas dessutom på moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat. (3) Standardens avsnitt 6.5 tillämpas på institut och juridiska personer som är skyldiga att upprätthålla beredskap för sådana undantagsförhållanden som avses i beredskapslagen (1080/1991). Hit hör kreditinstitut och de finansiella finansinstitut vilkas huvudsakliga affärsverksamhet består av att tillhandahålla betalkorts- och betalningstjänster fondbolag utländska kreditinstituts filialer och filialer till sådana utländska finansiella institut vilkas huvudsakliga affärsverksamhet består av att tillhandahålla betalkorts- och betalningstjänster värdepapperscentralen. Gränserna för beredskapen nämns i de lagar i vilka de ovannämnda aktörernas beredskapsskyldighet regleras. Finansinspektionen rekommenderar dessutom att fondbörser och clearingorganisationer tillämpar avsnitt 6.5 i denna standard.

6 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) (4) De företag som omfattas av denna standard skiljer sig från varandra bl.a. i fråga om verksamhetens omfattning, organisation och kundstruktur samt antalet finansiella tjänster och deras komplexitet. Därför kan det finnas olika typer av praktiska lösningar för hanteringen och tillsynen av operativa risker beroende på prioriteringarna och särdragen i verksamheten. (5) De centrala riskhanteringsprinciperna i denna standard är bindande. De detaljerade bestämmelserna, som preciserar principerna, kan följas i tillämpliga delar om organisationen är liten, om risktagandet enligt verksamhetsplanen är lågt, om verksamheten är begränsad, enkel eller i övrigt genomblickbar eller om verkställande ledningen aktivt deltar i det dagliga beslutsfattandet. För att bindande bestämmelser ska kunna följas endast i tillämpliga delar krävs alltid att högsta ledningen fattar ett separat beslut om det. Institutet ska alltid säkerställa att internkontrollen och riskhanteringen är tillfredsställande och avpassade efter de operativa riskerna. Utfärdad Gäller fr.o.m (6) Upphävts med standard 2.4. Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk, som gäller fr.o.m (7) Företag som hör till samma finansiella företagsgrupp ska följa enhetliga riskhanteringsprinciper. Moderföretag till finansiellt inriktade finans- och försäkringskonglomerat ska säkerställa att alla företag som hör till konglomeratet har tillfredsställande riskhanteringssystem. (8) I standarden används beteckningen institut (eller tillsynsobjekt) för alla företag som standarden gäller.

7 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 2 SYFTE Utfärdad Gäller fr.o.m (1) I denna standard behandlas principerna för hantering av operativa risker och riskhanteringens uppläggning. Särskild uppmärksamhet ägnas specialområden som har samband med processhantering, personal, data- och betalningssystem, informationssäkerhet, kontinuitetsplanering och legala risker. Utfärdad Gäller fr.o.m (2) Den tekniska utvecklingen, utvecklingen av produkter och tjänster, nya riskhanteringsmetoder, utläggningar, strukturaffärer och globalisering har gjort omvärlden allt mer komplex och ökat de operativa riskerna vid produktion av finans- och investeringstjänster. (3) Syftet med reglerna för hanteringen av operativa risker och denna standard är i första hand att säkerställa att instituten identifierar de operativa riskerna i verksamheten Instituten lägger upp hanteringen av operativa risker så att den är tillfredsställande i förhållande till verksamhetens art och omfattning (organisation, policy, processer och rutiner, övervakning och rapportering) instituten tillämpar adekvata rutiner för informationsförvaltning och informationssäkerhet (4) Skador och händelser i anslutning till operativa risker rapporteras till Finansinspektionen enligt rapporteringsstandard RA4.2.

8 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 3 INTERNATIONELLA REGELVERK (1) Kapitel 5 Hantering av operativa risker bygger huvudsakligen på rekommendationen Sound Practices for the Management and Supervision of Operational Risk som Baselkommittén för banktillsyn gav ut i februari 2003 (Basel Committee Publications No. 96). Rekommendationen har använts som källa också för avsnitt 6.4 Kontinuitetsplanering i kapitel 6. Utfärdad Gäller fr.o.m (2) Upphävts med Standard 2.4. Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk, som gäller fr.o.m (3) Avsnitt 6.7 Informationssäkerhet bygger på Baselkommitténs rekommendation Risk Management Principles for Electronic Banking (Basel Committee Publications No. 98) från juli (4) Avseende Betalningssystem och betalningsförmedling i avsnitt 6,8 har Committee on Payment and Settlement Systems (CPSS) i januari 2001 gett ut rekommendationen Core Principles for Systemically Important Payment Systems (CPSS Publications No. 43).

9 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 4 RÄTTSGRUND (1) Den nationella lagstiftningen om riskhantering bygger på följande EUdirektiv: Europaparlamentets och rådets direktiv 2006/48/EG om rätten att starta och driva verksamhet i kreditinstitut ; EUT L 177, , s. 1 (Celex 32006L0048) Europaparlamentets och rådets direktiv 2006/49/EG om kapitalkrav för värdepappersföretag och kreditinstitut, EUT L 177, , s. 201 (Celex 32006L0049). Utfärdad Gäller fr.o.m (2) De detaljerade bestämmelserna om riskhantering finns i artikel 22 och bilaga V i direktiv 2006/48/EG som gäller organisationen av kreditinstitutens interna styrning, internkontroll och riskhantering som en del av villkoren för rätten att starta verksamhet i kreditinstitut. Bilaga V till direktiv 2006/48/EG innehåller tekniska kriterier för besluts-, styrnings- och kontrollsystemen samt klassificeringen och hanteringen av risker. (3) Upphävts med Standard 2.4. Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk, som gäller fr.o.m (4) Motsvarande krav gäller för värdepappersföretag enligt artikel 34 i direktivet om kapitalkrav för värdepappersföretag och kreditinstitut. Enligt det ska varje värdepappersföretag uppfylla kraven enligt artikel 22 i direktiv 2006/48/EG. Utfärdad Gäller fr.o.m (5) Nationella bestämmelser om riskhantering inklusive hantering av operativa risker finns i följande lagar: 49 1 mom. i kreditinstitutslagen (121/2007) som innehåller en allmän bestämmelse om riskhantering. Motsvarande bestämmelse om finansiella företagsgrupper finns i 74.

10 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 54 2 mom. i kreditinstitutslagen (121/2007) som föreskriver att kreditinstitutet ska ha principer och rutiner för kapitalutvärdering och riskhantering. Motsvarande bestämmelse om finansiella företagsgrupper finns i 78 2 mom mom. i lagen om värdepappersföretag (922/2007) enligt vilket bestämmelserna 49 och 52 i kreditinstitutslagen tillämpas också på värdepappersföretag. 6 5 mom. i lagen om placeringsfonder (48/1999) enligt vilken fondbolag som bedriver verksamhet som avses i 5 2 mom. ska uppfylla kraven enligt 46 1 mom. i lagen om värdepappersföretag. 30a 1 mom i lagen om placeringsforder (48/1999) som innehåller krav på fondbolanges internkontroll och riskhanteringsystem. 5 i lagen om andelsbanker och andra kreditinstitut i andelslagsform (1504/2001) som innehåller en allmän bestämmelse om riskhantering och 2 mom. i lagen om tillsyn över finans- och försäkringskonglomerat (699/2004) som innehåller en allmän bestämmelse om riskhantering. (6) Finansinspektionens anvisningar om beredskap för undantagsförhållanden bygger på följande bestämmelser: 123 i kreditinstitutslagen (121/2007) 4a i lagen om placeringsfonder (48/1999) 13a i lagen om utländska kreditinstituts och finansiella instituts verksamhet i Finland (1608/1993) 13a i lagen om värdeandelssystemet (826/1991). Utfärdad Gäller fr.o.m (7) Upphävts med Standard 2.4. Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk, som gäller fr.o.m (8) Finansinspektionens rätt att meddela bindande föreskrifter om ämnesområdet för standarden baserar sig på följande bestämmelser: 93 1 mom. och mom. i kreditinstitutslagen (121/2007) 31 1 mom. och 49 3 mom. i lagen om värdepappersföretag (579/1996) 30a 3 mom. och mom. i lagen om placeringsfonder (48/1999) 16 3 mom. i lagen om tillsyn över finans- och försäkringskonglomerat (699/2004) 29b 3 mom. i lagen om värdeandelssystemet (826/1991).

11 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 5 HANTERING AV OPERATIVA RISKER 5.1 Definition av begreppet operativ risk Motivering (1) Hanteringen av operativa risker är en del av institutets riskhanteringsförmåga. Risker som beror på företagets verksamhet eller som väsentligt hänför sig till verksamheten ska identifieras, bedömas och mätas för att kunna begränsas och övervakas. Riskhanteringen syftar till att minska sannolikheten för oförutsedda förluster eller hot mot institutets anseende. Motivering (2) Med operativ risk avses risk för förluster på grund av otillräckliga eller misslyckade interna processer personalen systemen externa faktorer. Operativa risker inkluderar legala risker men exkluderar strategiska risker. Motivering (3) Den förlust som operativ risk resulterar i är inte alltid mätbar. Risken kan också realiseras med fördröjning och ge utslag indirekt t.ex. genom försämrat rykte eller minskad respekt. Motivering Rekommendation (4) De operativa riskerna skiljer sig till sin karaktär från kredit- och marknadsrisker. Hanteringen av operativa risker går generellt ut på riskminimering. Det går inte alltid att dra gränser mellan olika riskområden. Exempelvis ingår det såväl operativa risker som kredit- och marknadsrisker i de olika faserna av kredit- och handelsprocesserna. (5) Institutet ska i sin definition av operativa risker utgå från den egna verksamheten och beakta verksamhetens särdrag.

12 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 5.2 Riskhanteringsorganisation och tillsyn av operativa risker (6) Operativa risker ska hanteras och bedömas som ett eget riskområde. Högsta ledningen ska fastställa principer för hantering av operativa risker och regelbundet se över dem med beaktande av förändringar i omvärlden och i institutets egen verksamhet. Principerna ska omfatta rutiner för identifiering, bedömning, övervakning och reducering av risker. Där bör också de viktigaste processerna för hantering av operativa risker fastställas. (7) Högsta ledningen ska vara medveten om de viktigaste operativa riskerna i företagets olika affärsområden. Som en del av internkontrollen ska högsta ledningen regelbundet få rapporter om de viktigaste operativa riskerna. (8) Verkställande ledningen ska sörja för att principerna för hantering av operativa risker omsätts i praktiken i institutets samtliga verksamheter och säkerställa att varje anställd kan identifiera de operativa riskerna i sin egen verksamhet och känner till rutinerna för att hantera dessa risker. Verkställande ledningen svarar för utvecklingen och underhållet av rutinerna för hanteringen av operativa risker i anslutning till institutets produkter, tjänster, verksamheter, processer och system. (9) Ansvars- och rapporteringsförhållandena i affärsområdena och andra enheter som svarar för hanteringen av operativa risker ska vara klara och täckande. För kontrollen av risktagandet svarar en riskkontrollfunktion som är oberoende av risktagandet och riskhanteringen. 1 (10) Högsta och verkställande ledningen ska medverka till att det uppstår en sådan företagskultur som godkänner den interna kontrollen som en normal och nödvändig del av verksamheten. En effektiv intern kontroll förutsätter att arbetsuppgifterna och beslutsfattandet är åtskilda på behörigt sätt. (11) Högsta ledningen ska säkerställa att hanteringen av operativa risker regelbundet är föremål för en effektiv och täckande internrevision. Internrevisionen får som funktion inte vara direkt ansvarig för hanteringen av operativa risker. (12) I uppläggningen av riskhanteringen tillämpas också principerna för intern kontroll och riskhantering enligt standard 4.1 Intern kontroll och 1 Finansinspektionen, Standard 4.1 Uppläggning av intern kontroll, avsnitt 5.3: "Riskkontrollfunktionen ska upprätthålla, utveckla och utarbeta riskhanteringsprinciper som ska fastställas av högsta ledningen samt ta fram metoder för analys och mätning av riskerna. Den ska fortlöpande se till att varje risk håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. Riskkontrollfunktionen ska också se till att den samlade effekten av samtliga större risker i verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både till högsta ledningen och till den verkställande ledningen."

13 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) riskhantering, 4.2 Företagens interna kapitalutvärdering och 4.3i Kapitalkrav för operativa risker i huvudavsnittet Kapitaltäckning och riskhantering i Finansinspektionens föreskriftssamling. 5.3 Grunderna för hanteringen av operativa risker Identifiering av operativa risker (13) Institutet ska för varje affärsområde kunna identifiera de operativa riskerna i sina viktigaste produkter, tjänster, funktioner, processer och system. Identifieringen av de operativa riskerna skapar en grund för tillsynen av riskerna och planeringen av riskkontrollerna Bedömning och reducering av operativa risker Motivering (14) Förluster på grund av operativa risker kan förebyggas dels genom minimering av sannolikheten för att riskerna realiseras, dels genom reducering av sårbarheten för dessa risker. Tillämpningsexempel (15) Vid kartläggningen av de operativa riskerna måste man verksamhet för verksamhet bedöma sannolikheten för och verkningarna av en förlusthändelse. (16) I fråga om de viktigaste identifierade operativa riskerna måste instituten bedöma hur riskerna ska kontrolleras, om de ska begränsas eller accepteras, eller om verksamheten ska avvecklas helt. (17) Riskbedömningen analyserar skadliga interna och externa faktorer. Exempel på interna faktorer är företagets struktur, organisationsförändringar, komplexiteten av produkter och tjänster, de anställdas kompetens och personalomsättning. Externa faktorer är exempelvis tekniska framsteg och internationalisering. Tillämpningsexempel (18) Fastställda rutiner för bedömning av riskerna förbättrar utvärderingen. För detta ändamål kan exempelvis användas formbundna självutvärderingsblanketter, skadestatistik och genomgång av skador som har drabbat tillsynsobjektet eller andra. Utvärdering av skador som drabbat andra genom jämförelse med den egna verksamheten kan klargöra om något

14 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) liknande hade kunnat inträffa i någon egen enhet, vilka konsekvenser detta hade haft och hur en sådan förlust hade kunnat förhindras. (19) Förluster på grund av operativa risker kan reduceras också genom försäkringar. Verkställande ledningen ska sörja för att försäkringsskyddet och kostnaderna för försäkringen ses över regelbundet med beaktande av förändringar i institutets verksamhet. Dessutom bör motpartsriskerna på grund av försäkringsavtal och försäkringsbolagens solvens bedömas. För betydande störningar i verksamheten ska institutet förbereda sig genom kontinuitetsplanering. 5.4 Godkännande av nya produkter eller tjänster Tillämpningsråd (20) Nya produkter eller tjänster ska bedömas avseende inneboende risker innan de introduceras eller tas i bruk. Motsvarande bedömning ska göras också när en ny tjänstemodell introduceras om produkter och tjänster har kombinerats på nytt sätt. Internkontrollen och riskhanteringen måste ses över och ändras att gälla också de nya produkterna eller tjänsterna. Särskilt noggrann ska bedömningen vara vid etablering av verksamhet på främmande marknadsområden. Det är också nödvändigt att se till att den nya verksamheten är tillåten affärsverksamhet för institutet. Rekommendation (21) Institutet ska införa rutiner för godkännande av nya produkter eller tjänster. Beslut om introduktion av nya produkter eller tjänster fattas enligt fastställda beslutsbefogenheter. Till beslutet fogas beslutsunderlagen. Tillämpningsråd/-exempel (22) Rutinerna för godkännande av nya produkter eller tjänster ska omfatta följande: beskrivning av produkten eller tjänsten redogörelse för produktens eller tjänstens överensstämmelse med verksamhetsstrategin kartläggning av riskerna (bedömning av vilka risker som är förknippade med produkten/tjänsten) uppläggningen av internkontrollen och riskhanteringen (åtminstone följande riskområden: kreditrisk, marknadsrisk, likviditetsrisk och operativa risker) genomgång av de processer som hänför sig till produkten eller tjänsten (exempelvis offertstadiet, identifiering av kunden, försäljning, produktion, clearing och avveckling samt betalningar) juridiska frågor, avtalsbefogenheter IT, datakommunikation och informationssäkerhet extern och intern redovisning skattefrågor

15 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) prissättning, eventuella värderingar och användning av prissättningsmodeller bedömning av effekterna på lönsamhet och kapitaltäckning utbildning och handledning. 5.5 Övervakning och rapportering av operativa risker Tillämpningsexempel (23) Institutet ska regelbundet övervaka och bedöma arten av operativa risker, sannolikheten för att de realiseras och storleken av eventuella förluster om riskerna realiseras. Ytterligare bör förebyggande rutiner och mått för identifiering av riskerna införas. (24) Institutet ska bedöma indikatorer som ger en förvarning om ökade risker, exempelvis betydande förändring av verksamhetens omfattning, introduktion av nya produkter eller tjänster, hög personalomsättning, svårigheter att besätta lediga tjänster, klagomål från kunder och ökat antal verksamhets- eller tjänsteavbrott. Den information som redovisningssystem och andra datasystem genererar ska utnyttjas vid bedömningen av indikatorer som förutser ökade operativa risker. (25) Verkställande ledningen ska regelbundet få rapporter om operativa risker och realiserade förluster. Instituten ska utarbeta rapporteringsanvisningar. Tillämpningsråd/-exempel (26) Rapporterna ska innehålla finansiell information, kvalitetsanalyser, regelefterlevnadsinformation och uppgift om externa händelser och omvärldsförändringar som är väsentliga för beslutsfattandet. Av rapporterna bör identifierade problemområden framgå. De ska ge underlag för bedömning av förändringar i de operativa riskerna och stödja en förebyggande riskhantering. (27) Verkställande ledningen ska regelbundet verifiera punktligheten, riktigheten och relevansen av rutinerna och rapporteringssystemen. Rapporternas innehåll och detaljrikedom, målgruppen för rapporterna och rapporteringsfrekvensen ska regelbundet ses över. Rekommendation (28) Den bindande föreskriften om sammanställningen av interna förlustuppgifter i avsnitt i Finansinspektionens standard 4.3i gäller endast institut som beräknar kapitalkravet för operativa risker enligt en internmätningsmetod. Finansinspektionen rekommenderar dock att samtliga institut redan på förhand börjar samla in interna förlustuppgifter och bygga upp ett förlustregister för att göra det möjligt för dem att framöver övergå till mer avancerade metoder. Insamling av förlustuppgifter anses avsevärt stödja hanteringen av operativa risker.

16 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) Tillämpningsråd/-exempel Rekommendation (29) Tabellen nedan visar exempel på hur man kan strukturera övervakningen av förluster på grund av exponering för operativa risker. Exempel på information som bör ingå i rapporterna är beskrivning av förlusthändelsen, orsakerna till händelsen, uppskattning av direkta och indirekta kostnader, eventuella försäkringsersättningar och åtgärder för att förebygga liknande skador framöver. Dessutom lämnas uppgift om vilka åtgärder som har vidtagits med anledning av skadan, vem som ansvarar för dem och tidsplanen för de korrigerande åtgärderna. (30) För att övervakningen och rapporteringen ska vara tillfredsställande ska instituten fastställa en beloppsgräns och transaktioner som överskrider gränsen rapporteras. Även små förluster rapporteras om de är principiellt viktiga. Förlusttyp Interna oegentligheter Extern brottslighet Anställningsförhållanden, arbetarskydd Affärspraxis Egendomsskada Störningar och avbrott i Exempel förskingring, bedrägeri, tagande av muta, värdepappersmarknadsbrott eller -förseelse, skadegörelse, avsaknad av befogenheter (eller överskridande av dem), missbruk av kunduppgifter, avsiktlig felrapportering av positioner, yppande av affärshemlighet, utpressning stöld, rån, bedrägeri (t.ex. med betalningsmedel), förfalskning, penningtvätt, intrång i datasystem, spridning av skadliga program, överbelastningsattack mot datasystem, bombhot, hot mot personalen, utpressning brott mot arbetsavtalslagen (bl.a. arbetstid, arbetarskydd), ersättningsanspråk med anledning av diskriminering, löne-, ersättnings- eller uppsägningstvister, arbetsmarknadskonflikter marknadsföring och tillhandahållande av tjänster som strider mot god sed eller annars är otillbörlig, missbruk av konfidentiella kunduppgifter (t.ex. för marknadsföring), försummelse av informationsskyldigheten gentemot en kund, försummelse av tystnadsplikten, försummelse av utredningsplikten, uppdragsutförande som strider mot bestämmelserna, regelvidrig hantering av kundmedel, värdepappersmarknadsbrott eller - förseelse, penningtvätt eldsvåda, vattenskada, översvämning programfel, störning i datakommunikationen,

17 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) datasystemen Processproblem driftsavbrott, maskinfel, elavbrott, störning hos en extern tjänsteproducent rapporteringsfel, fel i kunduppgifterna, inmatningsfel i datasystemet, prissättningsfel, ogiltigt avtal, bristfällig dokumentation, försvunna dokument, brister i säkerhetshanteringen, misslyckat utförande av kunduppdrag, störning i utlagd verksamhet, tvist med utomstående leverantör, redovisningsfel

18 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) 6 DELOMRÅDEN I HANTERING AV OPERATIVA RISKER 6.1 Processer Motivering (1) Med process avses en helhet av verksamheter och resurser i syfte att framställa en viss tjänst eller produkt. I processhanteringen ingår aspekter på kundtillfredsställelse, effektivitet, lönsamhet och kvalitet. Denna standard fokuserar på identifiering och begränsning av de operativa risker som är förknippade med processerna. Analys av processerna och bedömning av de operativa risker som hänför sig till olika processfaser hjälper instituten att identifiera och reducera de operativa riskerna. (2) Instituten ska identifiera de processer som är viktigast för verksamheten. Särskild uppmärksamhet bör ges gränssnitten mellan olika organisatoriska enheter och företag, överskridningen av nationsgränser och betalningarna. Det är ytterst viktigt att det finns noggrann dokumentation av och rutiner för hanteringen av stora transaktionsvolymer. Processanvisningarna ska vara tillräckliga och aktuella. Tillämpningsråd/-exempel (3) Kontroller ska byggas in i de olika faserna av processerna och kvaliteten på dem utvärderas regelbundet, särskilt när verksamhetens omfattning eller innehåll utvecklas eller processerna ändras. Exempel på kontroller är avstämningar och flera personers medverkan i hanteringen av en transaktion. (4) Processer som är viktiga för verksamheten ska dokumenteras så enhetligt som möjligt med beskrivningar t.ex. av de uppgifter som hänför sig till processen, processens olika faser och deras samband, data- och materialflöden, rapportering, processens intressegrupper (processens ägare, kunder, personal som deltar i processen, organisatoriska enheter, andra företag och andra intressegrupper) samt de datasystem som är förknippade med processen. Beaktas bör vilken noggrannhet som eftersträvas i processbeskrivningarna, eftersom alltför detaljerade beskrivningar kan försvåra underhållet. För processbeskrivningarna ska kompetensen hos

19 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) personer som representerar olika delområden utnyttjas. Processbeskrivningarna ska regelbundet uppdateras. Rekommendation (5) Också vid genomförandet av olika projekt är det viktigt att tillämpa så samordnade principer som möjligt. För viktiga projekt ska riskbedömningar göras på förhand. 6.2 Legal risk Motivering (6) Legal risk är en operativ risk som kan uppstå på grund av externa faktorer såsom förändringar i omvärlden men också på grund av institutens egen verksamhet. Legala risker kan ingå i all verksamhet. I tolkningen, räckvidden och giltigheten av de regelverk och föreskrifter som gäller tillsynsobjektens verksamhet ingår osäkerhetsfaktorer som kan leda till betydande förluster och som kan inverka på institutets juridiska ansvar och eventuella ersättningsskyldighet. Vidare kan tvister om avtalens giltighet och innehåll skada institutets verksamhet. Att lösgöra sig från ogynnsamma avtal och ingå ersättande avtal kan medföra risk för förlust. Detta gäller särskilt avtal med standardvillkor. Också dokument som institutet har offentliggjort, exempelvis broschyrer och reklam kan vara förknippade med risk för skadeersättning eller försämrat rykte och minskad respekt. (7) Institutets högsta ledning måste vara medvetna om de viktigaste legala riskerna i verksamheten och säkerställa att hanteringen av den legala risken är tillräcklig. Verkställande ledningen ska säkerställa att hanteringen av den legala risken tilldelas tillräckligt med resurser för identifiering, övervakning och reducering av den legala risken inom olika affärsområden. Institutet ska ha tillräcklig kunskap om både den lagstiftning och de myndighetsföreskrifter som gäller tillsynsobjektet. I synnerhet om de centrala myndighetsföreskrifterna ska institutets anställda alltid ha sakkunskap. Ansvarsförhållandena avseende hanteringen av legala risker ska vara klart definierade. (8) För att kunna hantera den legala risken ska instituten ha den sakkunskap som behövs för att ingå avtal och andra rättshandlingar. För att kunna säkerställa avtalens giltighet ska institutet ha tillräcklig kunskap om de beslutsbefogenheter som tillämpas av avtalsparten. Avtalsdokumentationen ska arkiveras på lämpligt sätt och avtalens giltighet och eventuella tolkningstvister eller processer ska följas upp. Rekommendation (9) För att på förhand kunna förbereda sig för de krav som nya lagar och föreskrifter ställer, bör instituten bevaka förändringar av såväl lagstiftning som internationella regelverk. Det är nödvändigt att känna till rättspraxis

20 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) inom den egna branschen. Finans- och försäkringskonglomeratets moderbolag ska sörja för att samtliga företag som hör till konglomeratet har tillräcklig sakkunskap om de bestämmelser och föreskrifter som gäller för båda sektorerna. Företag med verksamhet i utlandet ska beakta att viktiga rättsprinciper och rättspraxis kan variera betydligt mellan olika stater. 6.3 Personal (10) Som en del av hanteringen av operativa risker ska högsta ledningen slå fast principer genom vilka företaget säkerställer att de anställda och personer som rekryteras till företaget har tillräcklig kompetens i förhållande till arbetsuppgifterna, företagets storlek och verksamhetens omfattning och art. (11) Med kompetens avses de anställdas duglighet, utbildning, erfarenhet och förmåga att klara av sina arbetsuppgifter. Företaget ska ha rutiner för att säkerställa att de anställda fortlöpande uppfyller kompetenskraven. Vikt ska fästas vid nyanställdas anseende och bakgrund. (12) Verkställande ledningen ska se till att det finns tillräckligt med personalresurser för att klara av uppgifterna. För att kontinuiteten ska kunna säkerställas ska särskilt personer i nyckelställning ha ersättare för sjukdom, olycksfall eller anställningsförhållanden som plötslig upphör. I resursplaneringen ska också belastningstopparna beaktas. (13) Högsta ledningen ska fastställa principerna för sekretess. Syftet med dem är att säkerställa att företagets anställda inte yppar detaljer om en kunds eller annan med företagets verksamhet förknippad persons ekonomiska ställning eller privata förhållanden eller affärs- eller yrkeshemligheter, om den som tystnadsplikten avser inte ger sitt samtycke till det. (14) Högsta ledningen ska fastställa principerna för belöningssystemen för att säkerställa att belöningssystemen inte lockar till icke önskvärda förfaranden eller okontrollerat risktagande. 6.4 Kontinuitetsplanering Motivering (15) Med kontinuitetsplanering avses säkerställande av förmågan att upprätthålla verksamheten och begränsa förluster i händelse av olika slag av störningar i verksamheten. Hit hör till exempel skador eller avsiktliga handlingar som drabbar personalen, lokalerna, datasystemen eller datakommunikationen, vattenskador, eldsvådor samt avbrott i exempelvis el-, värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen upprättas kontinuitetsplaner för viktiga verksamheter för att upprätthålla

21 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) verksamheten i händelse av eventuella störningar. (16) Högsta ledningen svarar för att det finns uppdaterade och tillräckliga kontinuitetsplaner för företagets centrala verksamheter. Verkställande ledningen ska fastställa ansvaret för kontinuitetsplaneringen. Instituten ska ha en klar handlingsmodell för upprättande, underhåll och testning av kontinuitetsplaner och för uppföljning av kontinuitetsplaneringen. (17) Utgångspunkten för kontinuitetsplaneringen är att instituten kartlägger sina viktigaste verksamhetsprocesser. De viktigaste verksamhetsprocesserna bör prioriteras. Återställningstider ska fastställas för dem, dvs. det längsta tillåtna avbrottet som inte stör verksamheten. För prioriterade processer ska alternativa handlingsmodeller och återställningsrutiner läggas upp för eventuella avbrott. Extra uppmärksamhet bör ges möjligheten att återställa information som är nödvändig för att verksamheten ska kunna återupptas. (18) Datasystem och tillämpningar ska rangordnas efter det hur snabbt de ska kunna återställas efter olika typer av störningar. För datasystemen ska upprättas återställningsplaner med beskrivningar av hur systemen kan fås funktionsdugliga efter störningar. Säkerhetskopiorna och en eventuell reservanläggning ska placeras så långt bort från den egentliga datacentralen att data och säkerhetskopior inte kan förstöras samtidigt. (19) Kontinuitetsplanerna ska grunda sig på risk- och sårbarhetsanalyser. Kontinuitetsplanerna ska beakta olika hotbilder avseende verksamheten och funktionernas sårbarhet. Kontinuitetsplanerna ska dimensioneras efter verksamhetens art, omfattning och komplexitet. De ska styra verksamheten vid olika typer av störningar. I kontinuitetsplanerna ska också ingå informationsgivning vid olika typer av störningar både internt och externt till intressegrupper. (20) Instituten ska bereda sig på störningar i externa intressegruppers verksamhet. Hit hör exempelvis underleverantörer, tjänsteleverantörer och viktiga kunder. Tillämpningsråd (21) Kontinuitetsplanerna ska uppdateras regelbundet och anpassas till förändringar i verksamhet, tjänster eller strategier. Kontinuitetsplanerna ska också testas och övningar hållas regelbundet. Ansvariga ska utses för att övervaka uppdateringen och testningen av kontinuitetsplanerna. (22) Kontinuitetsplaneringsprocessen består bl.a. av följande faser: fastställande av principer och allmänna instruktioner för kontinuitetsplaneringen

22 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) kontinuitetsplaneringsutbildning till personalen i verksamhetsenheterna etablering av en krisorganisation och upprättande och underhåll av listor över kontaktpersoner fastställande av centrala rutiner för informationsgivning upprättande av kontinuitetsplaner upprättande av en återställningsplaner för datasystemen underhåll av kontinuitets- och återställningsplanerna testning av kontinuitets- och återställningsplanerna uppföljning av kontinuitetsplaneringen, samordning av kontinuitetsplanerna och utvärdering av deras ändamålsenlighet. 6.5 Beredskap för undantagsförhållanden Motivering Tillämpningsråd Tillämpningsråd/-exempel (23) Med beredskap för undantagsförhållanden avses förberedelser inför undantagsförhållanden enligt beredskapslagen ( /1080). En definition av undantagsförhållanden finns i kapititel 8. (24) Finansinspektionen anser att de finansmarknadsaktörer som enligt lag ska upprätthålla beredskap uppfyller sin beredskapsskyldighet om de följer Finansförsörjningspoolens beredskapsanvisning för finansmarknaden och denna standard. (25) Anvisningarna i denna standard kan tillämpas också på andra allvarliga störningar än de undantagsförhållanden som definieras i beredskapslagen. Sådana allvarliga störningar och kriser kan exempelvis vara en pandemi eller något annat hot som allvarligt äventyrar personalens funktionsförmåga eller att driftstället eller databehandlingsmiljön förstörs. (26) Beredskapen för undantagsförhållanden är en del av riskhanteringen och den interna kontrollen. Ansvaret för beredskapen vilar på högsta ledningen. Motivering Norm (27) Kraven på beredskap för undantagsförhållanden grundar sig på beredskapslagen och andra myndighetsanvisningar om beredskap för undantagsförhållanden. Beredskapen för undantagsförhållanden går ut på att verksamheten ska kunna fortsätta normalt. (28) Den som är skyldig att upprätthålla beredskap ska genom deltagande i beredskapsplanering och genom förberedelser för undantagsförhållanden säkerställa att verksamheten kan fortgå så störningsfritt som möjligt också

23 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) under undantagsförhållanden. 2 Tillämpningsråd (29) Den beredskapsskyldige ska säkerställa att för verksamheten viktig information bevaras och att transaktioner kan registreras i tillräckligt hög grad också under undantagsförhållanden. Motivering Tillämpningsråd Tillämpningsråd (30) Beredskapsanvisningen för finansmarknaden, som utarbetats av Finansförsörjningspoolen (tidigare Finansförsörjningskommittén), ger detaljerade anvisningar om beredskapen för undantagsförhållanden. Den innehåller också en mall för upprättande av en beredskapsplan. (31) I Beredskapsanvisningen för finansmarknaden har hotbilderna och beredskapsmålen fastställts på allmän nivå för hela branschen. Syftet är att den beredskapsskyldige preciserar dem enligt sin egen verksamhet och planerar lämpliga åtgärder för att nå målen. (32) Utgångspunkten för beredskapen är att krisläget kan pågå i 12 månader. 3 Beredskapsplan Tillämpningsråd (33) Den beredskapsskyldige ska ha en uppdaterad beredskapsplan. Den ska testas regelbundet tillsammans med andra aktörer på finansmarknaden. Tillämpningsråd (34) Beredskapsplanen kan utgöra som en del av den beredskapsskyldiges kontinuitetsplan förutsatt att den i tillräckligt hög grad beaktar behoven av beredskap för undantagsförhållanden. Vid undantagsförhållanden pågår störningen i regel längre än de situationer som omfattas av kontinuitetsplanen under normala förhållanden. Dessutom är hoten i regel allvarligare än de hotbilder som omfattas av kontinuitetsplanen. Tillämpningsråd (35) Beredskapsplanen ska innehålla information åtminstone om hoten mot den beredskapsskyldiges verksamhet bedömning av verksamhetens kriskänslighet målet med den beredskapsskyldiges verksamhet och verksamhetsprinciperna vid allvarliga störningar och undantagsförhållanden beredskapsåtgärder under normala tider tryggande av datasystemen i kreditinstitutslagen (121/2007), 4 a i placeringsfondslagen (48/1999), 13 a i lagen om utländska kreditinstituts och finansiella instituts verksamhet i Finland (1608/1993), 13 a i lagen om värdeandelssystemet. 3 Statsrådets beslut om målen med försörjningsberedskapen (350/ ).

24 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) tryggande av andra resurser som behövs för verksamheten företagssäkerhet funktioner och tjänster som ska upprätthållas under svåra störningar och undantagsförhållanden och deras funktionskrav organisation och personreserveringar under undantagsförhållanden de olika faserna i en behärskad reducering av tjänsterna för den händelse att de måste gallras återställningsåtgärder vid återgång till normala förhållanden nödvändigt samarbete med intressegrupper ledning, informationsgivning och kommunikation vid undantagsförhållanden ansvar och handlingsplan för att upprätthålla och testa beredskapsplanen Tillämpningsråd (36) Den beredskapsskyldige ska utse en eller fler personer som svarar för underhåll av beredskapsplanen och informationsgivningen om den. Verksamhet under undantagsförhållanden Tillämpningsråd Motivering Tillämpningsråd Tillämpningsråd (37) Under undantagsförhållanden ska verksamheten så länge som möjligt fortgå på motsvarande sätt som under normala förhållanden. Eventuellt måste den dock anpassas till de rådande omständigheterna. Den beredskapsskyldige bör bl.a. ha beredskap att registrera transaktioner manuellt för den händelse att databehandlingskapacitet, elektricitet eller dataförbindelser inte finns att tillgå eller är begränsade. (38) De viktigaste funktionerna för att den finansiella infrastrukturen ska fungera är bl.a. inlåning, utlåning, inhemsk och utländsk betalningsförmedling (gireringar och periodiska betalningar), kontantförsörjning, värdepappershandel och clearing, avveckling och förvaring av värdepapper. Viktiga system är således bl.a. betalningssystemen samt värdepapperscentralens, fondbörsens och clearingorganisationens system. (39) Också under undantagsförhållanden ska den beredskapsskyldige så länge som möjligt klara av att tillhandahålla de ovan nämnda tjänsterna. Den beredskapsskyldige ska därför försäkra sig om att det finns resurser och kapacitet att tillhandahålla dessa tjänster under undantagsförhållanden och allvarliga störningar. Också tillgången på personal och reservlokaler ska planeras på förhand. Tillgången ska tryggas genom förhandsåtgärder med tanke på situationer då en stor del av personalen är frånvarande, en del av lokalerna, utrustningen och systemen har förstörts eller är otillgängliga och verksamheten är förhindrad på ett omfattande geografiskt område. (40) Infrastrukturen för den centraliserade databehandlingen ska vara upplagd med tanke på undantagsförhållanden

25 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) databehandlingen ska fysiskt vara utspridd på två separata driftställen med kapacitet att tillhandahålla tjänster som ska upprätthållas under undantagsförhållanden även när det ena driftstället är ur bruk tillgången på elektricitet är säkerställd säkerhetskopior finns med tanke på undantagsförhållanden och data kan återställas från säkerhetskopiorna en tillräcklig skyddskopiering av data och program inklusive återställningssystem har ordnats i trygga lokaler på tillräckligt långt avstånd från de egentliga databehandlingscentralerna, om möjligt utanför huvudstadsregionen datakommunikationsförbindelserna till viktiga samarbetspartner och nödvändiga databaser fungerar. Tillämpningsråd Tillämpningsråd Tillämpningsexempel (41) Den beredskapsskyldige ska planera användningen av skyddskopior så att det är möjligt att med den skyddskopierade informationen och tillgängliga program på nytt starta upp verksamheten även i sådana fall när den egentliga databehandlingscentralen och dess närområden är totalförstörda. Den beredskapsskyldige ska sörja för att skyddskopiorna när som helst kan läsas in och att deras datainnehåll är användbart. (42) Den beredskapsskyldige ska utsträcka sin beredskap också till utlagda verksamheter i den omfattning som tryggandet av de kärnverksamheter och kärntjänster som ska upprätthållas under undantagsförhållanden förutsätter. Beredskapskraven ska beaktas redan när uppdragsavtalet upprättas. Den beredskapsskyldige ska bedöma uppdragstagarens beredskap och sörja för att den motsvarar kraven. (43) Uppdragstagarens beredskap kan exempelvis utvärderas genom gemensamma övningar. (44) Den beredskapsskyldige ska kartlägga utläggningskedjornas och underleverantörsavtalens effekt på den egna verksamheten under undantagsförhållanden och sörja för en tillräcklig beredskap avseende sådana funktioner som ska upprätthållas under undantagsförhållanden. 6.6 Datasystem (45) Högsta ledningen ska säkerställa att datasystemen är tillräckliga och lämpliga i förhållande till verksamhetens art och omfattning. Detta ska avgöras utgående från företagets verksamhet, högsta ledningens krav och det faktum att systemen ska stödja verksamheten enligt högsta ledningens riktlinjer.

26 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) (46) Instituten ska ha den kompetens, organisation och internkontroll som behövs för att registrera, överföra, behandla och arkivera data elektroniskt. Dessa funktioner kan vara helt eller delvis utlagda, varvid institutet ska säkerställa att leverantören av databehandlingstjänster följer de principer som fastställs i detta avsnitt. (47) Högsta ledningen ska anta en IT-strategi för att säkerställa att en lämplig IT-miljö existerar, underhålls och utvecklas efter nuvarande och framtida behov. Dessutom ska högsta ledningen se till att företaget har rutiner för budgetering och uppföljning av IT-kostnader. (48) För olika delområden av datatekniken ska instituten fastställa riktlinjer, standarder, rutiner och kontroller som möjliggör samarbete mellan affärsområdena och IT-enheterna. Med dem som utgångspunkt ska verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid behov ska ett särskilt samarbetsorgan med företrädare för olika affärsområden tillsättas för samordning av detta arbete. (49) IT-funktionens oberoende ställning i förhållande till användarna ska säkerställas. IT-funktionen svarar för datasystemens utveckling och funktionsförmåga, medan användarna svarar för att den information som behandlas är riktig. (50) Systemutveckling och datadrift ska åtskiljas så att de anställda i dessa funktioner får tillgång till varandras data endast via kontrollerade standardrutiner. Också för driftsättning, ändringshantering och testning av systemen ska det finnas standardrutiner. (51) Instituten ska sörja för att internrevisionen har kompetens att utvärdera de interna IT-kontrollernas funktionsförmåga. (52) Instituten ska utarbeta och upprätthålla metoder för systemering och kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och att de dokumenteras i sådan standardiserad form att de går att använda och utveckla i framtiden även om exempelvis nyckelpersoner byts ut. (53) Instituten ska utarbeta rutiner för köp eller godkännande av programoch maskinvara eller kontraktering till externa tjänsteproducenter för att säkerställa att nyanskaffningar och avtal motsvarar företagets behov och gällande standarder och garanterar fortlöpande service. (54) Med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga reservsystem minimeras risken för avbrott i datasystemen (eldsvåda, översvämning, elavbrott, maskinfel osv.) och tillgången till känsligt material

27 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) (datautrustning, datamedium, dokument etc.) begränsas till behörig personal. 6.7 Informationssäkerhet Definition av informationssäkerhet och grundläggande krav Motivering Motivering Motivering (55) Informationssäkerhet innebär att företagets data, tjänster, system och datakommunikation är skyddade och säkerställda under både normala och exceptionella förhållanden genom administrativa, tekniska och andra åtgärder. (56) Informationssäkerheten brukar indelas i åtta åtgärdsområden: administrativ säkerhet, personalsäkerhet, fysisk säkerhet, kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet, datasäkerhet och användarsäkerhet 4. (57) Allmänna krav på säkerheten för information som förvaras, överförs och behandlas är konfidentialitet (skydd av information mot otillbörlig insyn) integritet (riktighet, dvs. skydd av information mot oönskad förändring) tillgänglighet (informationen är åtkomlig för behöriga i rätt tid). (58) Systemen ska ha en åtkomstkontroll. Också oavvisligheten av de transaktioner som utförs samt identifieringen och autentiseringen av de kommunicerande parterna ska vara säkerställd. Vidare ska de transaktioner som hanteras i systemen kunna spåras Uppläggning och ansvar för informationssäkerheten (59) Institutets allmänna informationssäkerhet och de olika datasystemens säkerhetsnivå ska vara tillfredsställande i förhållande till verksamhetens art och omfattning, hoten mot systemen och den allmänna tekniska utvecklingsnivån. (60) Högsta ledningen svarar för att institutets informationssäkerhet är tillfredsställande. Den allmänna nivån på företagets informationssäkerhet ska fastställas och godkännas av högsta ledningen. Högsta ledningen ska tilldela tillräckliga resurser och delegera ansvaret för att informationssäkerheten håller tillräckligt hög nivå. Instituten ska regelbundet utvärdera sin 4 Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö.

28 FINANSINSPEKTIONEN 4 Kapitaltäckning och riskhantering tills vidare dnr 3/120/ (40) informationssäkerhetsnivå. Om det inte finns tillräcklig datasäkerhetsexpertis inom den egna organisationen, ska instituten uppdra utvärderingen åt en utomstående konsult med tillräcklig sakkunskap. Konstaterade brister i säkerheten måste omedelbart åtgärdas Bedömning av risker som hänför sig till informationssäkerhet (61) Bedömningen av informationssäkerhetsnivån ska basera sig på regelbunden utvärdering av riskerna i informationssäkerheten. I riskanalyserna fastställs institutets viktigaste verksamheter och resurser och analyseras hotbilder och verksamheternas och resursernas sårbarhet för hoten. Vidare uppskattas eventuella effekter på institutets verksamhet om hoten realiseras. För hantering av identifierade risker måste tillräckliga kontroller byggas in. Också riskerna med nya tekniker och tjänster ska bedömas före introduktionen. (62) Rutiner för bedömning av informationssäkerhetsriskerna ska byggas in i riskhanteringen för att högsta ledningen ska kunna bilda sig en uppfattning om samverkan mellan alla väsentliga risker i verksamheten Informationens och systemens ägare (63) Instituten ska fastställa ägarna till den information som företaget förvarar och hanterar. Ägarna ska svara för principerna för användning av informationen och systemen, behörigheter och säkerhet. De ska också bevilja behörighet att utnyttja informationen. Instituten ska klassificera den information som förvaras och hanteras enligt säkerhetskraven och utarbeta hanteringsregler för olika säkerhetsklasser Behörigheter (64) Instituten ska bevilja behörighet att använda information, program och system, samt övervaka användningen av systemen enligt samordnade regler som godkänts av ledningen. Tilldelningen av användarbehörigheter ska basera sig på användarens arbetsuppgifter. Instituten ska begränsa tillträdet till data, program och system med tekniska metoder (användaridentifikationer, lösenord osv.) samt rapportera och undersöka överskridningar av användarbehörigheterna Informationssäkerhetsregler och utbildning (65) Instituten ska ha uppdaterade informationssäkerhetsprinciper godkända av högsta ledningen och andra informationssäkerhetsregler, som företagets anställda ska känna till. Exempel på informationssäkerhetsregler är bland annat bestämmelser om fastställande av behörigheter, bekämpning av skadliga program samt användningen av Internet och e-post. Instituten ska