Standard 4.4b Hantering av operativa risker Föreskrifter och allmänna råd
FINANSINSPEKTIONEN dnr 3/120/2004 2 (37) INNEHÅLL 1 Tillämpning 4 2 Syfte 6 3 Internationella regelverk 7 4 Rättsgrund 8 5 Hantering av operativa risker 9 5.1 Definition av begreppet operativ risk 9 5.2 Riskhanteringsorganisation och tillsyn av operativa risker 10 5.3 Principer för hantering av operativa risker 11 5.3.1 Identifiering av operativa risker 11 5.3.2 Bedömning och reducering av operativa risker 11 5.4 Godkännande av nya produkter eller tjänster 12 5.5 Utläggning av verksamheter och tjänster 13 5.6 Övervakning och rapportering av operativa risker 13 6 Delområden i hantering av operativa risker 16 6.1 Processer 16 6.2 Legal risk 17 6.3 Personal 18 6.4 Kontinuitetsplanering 19 6.5 Datasystem 20
FINANSINSPEKTIONEN dnr 3/120/2004 3 (37) 6.6 Informationssäkerhet 22 6.6.1 Definition av informationssäkerhet och grundläggande krav 22 6.6.2 Uppläggning och ansvar för informationssäkerheten 22 6.6.3 Bedömning av risker som hänför sig till informationssäkerhet 23 6.6.4 Informationens och systemens ägare 23 6.6.5 Behörigheter 23 6.6.6 Informationssäkerhetsregler och utbildning 23 6.6.7 Behandlingen av informationssäkerhetsfall 24 6.6.8 Informationssäkerhet i datanätet 24 6.6.9 Utveckling av säkra onlinetjänster 24 6.7 Betalningssystem och betalningsförmedling 26 6.8 Förhindrande av lagstridigt utnyttjande av det finansiella systemet 28 6.8.1 Kundidentifikation och kundkännedom skyldigheter 28 6.8.2 Organisation, ansvarsförhållanden och rapportering 30 6.8.3 Interna instruktioner 30 6.8.4 Personalutbildning 31 7 Rapportering till Finansinspektionen 32 8 Definitioner 33 9 Ytterligare information 36 10 Upphävda anvisningar och föreskrifter 37
FINANSINSPEKTIONEN dnr 3/120/2004 4 (37) 1 TILLÄMPNING (1) Standarden tillämpas på de tillsynsobjekt som avses i 5 i lagen om Finansinspektionen (587/2003). De regler som markerats som bindande förpliktar följande tillsynsobjekt: kreditinstituten värdepappersföretagen fondbolagen holdingföretagen till kreditinstituts och värdepappersföretags konsolideringsgrupper centralinstituten enligt lagen om andelsbanker och andra kreditinstitut i andelslagsform moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat. Dessa företag skiljer sig från varandra bl.a. i fråga om verksamhetens omfattning, organisation, antalet finansiella tjänster och deras komplexitet och kundstruktur. Därför kan det finnas olika typer av praktiska lösningar för hantering och tillsyn av operativa risker beroende på prioriteringarna och särdragen i verksamheten. (2) De centrala riskhanteringsprinciperna i denna standard är bindande. De detaljerade bestämmelserna, som preciserar principerna, kan följas i tillämpliga delar om organisationen är liten, om risktagandet enligt verksamhetsplanen är lågt, om verksamheten är begränsad, enkel eller i övrigt transparent eller om den verkställande ledningen aktivt deltar i det dagliga beslutsfattandet. För att bindande bestämmelser skall kunna följas endast i tillämpliga delar krävs alltid att den högsta ledningen fattar ett separat beslut om det. Tillsynsobjektet skall alltid säkerställa att internkontrollen och riskhanteringen är tillfredsställande och avpassade efter de operativa riskerna.
FINANSINSPEKTIONEN dnr 3/120/2004 5 (37) (3) Möjligheten att följa standarden i tillämpliga delar gäller inte avsnitt 6.8 om förhindrande av lagstridigt utnyttjande av det finansiella systemet, eftersom de principer som nämns där baserar sig på rättsligt bindande regler. (4) Företag som hör till samma konsolideringsgrupp skall följa enhetliga riskhanteringsprinciper. Moderföretag till finansiellt inriktade finans- och försäkringskonglomerat skall säkerställa att alla företag som hör till konglomeratet har tillfredsställande riskhanteringssystem. (5) I standarden används beteckningen "tillsynsobjekt" om alla företag som standarden gäller. (6) I uppläggningen av hanteringen av operativa risker tillämpas även principerna för intern kontroll och riskhantering enligt standard 4.1 i huvudavsnittet Kapitaltäckning och riskhantering i Finansinspektionens föreskriftssamling.
FINANSINSPEKTIONEN dnr 3/120/2004 6 (37) 2 SYFTE (1) I denna standard behandlas principerna för hantering av operativa risker och riskhanteringens uppläggning. Särskild uppmärksamhet ägnas specialområden berör processhantering, personal, data- och betalningssystem, informationssäkerhet, kontinuitetsplanering, legala risker och förhindrande av lagstridigt utnyttjande av det finansiella systemet. (2) Den tekniska utvecklingen, utvecklingen av produkter och tjänster, nya riskhanteringsmetoder, utläggningar, strukturaffärer och globalisering har gjort omvärlden allt mer komplex och ökat de operativa riskerna vid produktion av finans- och investeringstjänster. (3) Syftet med reglerna för hanteringen av operativa risker är i första hand att säkerställa att tillsynsobjekten identifierar de operativa riskerna i verksamheten tillsynsobjekten lägger upp hanteringen av operativa risker så att den är tillfredsställande i förhållande till verksamhetens art och omfattning (organisation, policy, processer och rutiner, övervakning och rapportering) tillsynsobjekten tillämpar adekvata rutiner för informationsförvaltning och informationssäkerhet tillsynsobjekten sörjer för förhindrandet av lagstridigt utnyttjande av det finansiella systemet. (4) Skador och händelser i anslutning till operativa risker rapporteras till Finansinspektionen enligt rapporteringsstandard RA4.2.
FINANSINSPEKTIONEN dnr 3/120/2004 7 (37) 3 INTERNATIONELLA REGELVERK (1) Kapitel 5 Hantering av operativa risker bygger huvudsakligen på rekommendationen Sound Practices for the Management and Supervision of Operational Risk som Baselkommittén för banktillsyn gav ut i februari 2003 (Basel Committee Publications No. 96). Rekommendationen har använts som källa också för avsnitt Kontinuitetsplanering i kapitel 6. (2) Förhindrande av lagstridigt utnyttjande av det finansiella systemet i avsnitt 6.8 grundar sig på följande rekommendationer: Financial Action Task Force on Money Laundering (FATF), 40 rekommendationer om åtgärder mot penningtvätt (The Forty Recommendations, 2003). FATF:s åtta rekommendationer om åtgärder mot finansiering av terrorism (Special Recommendations on Terrorist Financing, 2001). Baselkommitténs rekommendation nr 15 Core Principles for Effective Banking Supervision (1997) och Core Principles Methodology (1999). Baselkommitténs rekommendation Customer due diligence for Banks (10/2001) The Committee of European Securities Regulators (CESR): (A European Regime of Investor Protection) The Harmonisation of Conduct of Business Rules (CESR/01-014D, 2002). (3) Avsnitt 6.6 Informationssäkerhet bygger på Baselkommitténs rekommendation Risk Management Principles for Electronic Banking (Basel Committee Publications No. 98). (4) Avseende betalningssystem i avsnitt 6.7 har Committee on Payment and Settlement Systems (CPSS) i januari 2001 gett ut rekommendationen Core Principles for Systemically Important Payment Systems (CPSS Publications No. 43).
FINANSINSPEKTIONEN dnr 3/120/2004 8 (37) 4 RÄTTSGRUND (1) Finansinspektionens bindande regler om hantering av operativa risker baserar sig på 68 3 mom. i kreditinstitutslagen (1607/1993), 29 3 mom. i lagen om värdepappersföretag (579/1996) och 30 a 3 mom. i lagen om placeringsfonder (48/1999). Reglerna för finans- och försäkringskonglomerat grundar sig på 16 3 mom. i lagen om tillsyn över finans- och försäkringskonglomerat). (2) Finansinspektionens regler om kundidentifikation och kundkännedom och om omsorgsplikten när det gäller att förhindra lagstridigt utnyttjande av det finansiella systemet bygger på följande bestämmelser: 95 i kreditinstitutslagen (1607/1993) 49 i lagen om värdepappersföretag (579/1996) 144 i lagen om placeringsfonder (48/1999) 29 b i lagen om värdeandelssystemet (826/1991) rådets direktiv 91/308/EEG av den 10 juni 1991 om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar (31991L308); EGT nr L 166, 28.6.1991, s. 77 Europaparlamentets och rådets direktiv 2001/97/EG av den 4 december 2001 om ändring av rådets direktiv 91/308/EEG om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar (32001L0097), EGT nr L 344, 28.12.2001, s. 76 lagen om förhindrande och utredning av penningtvätt (68/1998 och 365/2003) inrikesministeriets förordning om förhindrande och utredning av penningtvätt (890/2003). (3) Finansinspektionens granskningsrätt och rätt att få uppgifter om utlagda verksamheter baserar sig på 15 i lagen om Finansinspektionen (587/2003).
FINANSINSPEKTIONEN dnr 3/120/2004 9 (37) 5 HANTERING AV OPERATIVA RISKER 5.1 Definition av begreppet operativ risk (1) Hanteringen av operativa risker är en del av tillsynsobjektets riskhanteringsförmåga. Risker som beror på företagets verksamhet eller som väsentligt hänför sig till verksamheten skall identifieras, bedömas och mätas för att kunna begränsas och övervakas. Riskhanteringen syftar till att reducera sannolikheten för oförutsedda förluster eller hot mot tillsynsobjektets anseende. (2) Med operativ risk avses risk för förluster på grund av otillräckliga eller misslyckade interna processer personalen systemen externa faktorer. Operativa risker inkluderar legala risker men exkluderar strategiska risker. (3) Den förlust som operativ risk resulterar i är inte alltid mätbar. Risken kan också realiseras fördröjt och ge utslag indirekt t.ex. genom försämrat rykte eller minskad respekt. (4) De operativa riskerna skiljer sig till sin karaktär från kredit- och marknadsriskerna. Hanteringen av operativa risker går generellt ut på riskminimering. Det går inte alltid att dra gränser mellan olika riskområden. Exempelvis ingår det såväl operativa risker som kredit- och marknadsrisker i de olika faserna av kredit- och handelsprocesserna.
FINANSINSPEKTIONEN dnr 3/120/2004 10 (37) Rekommendation (5) Tillsynsobjektet skall i sin definition av operativa risker utgå från den egna verksamheten och beakta verksamhetens särdrag. 5.2 Riskhanteringsorganisation och tillsyn av operativa risker (6) Operativa risker skall hanteras och bedömas som ett eget riskområde. Den högsta ledningen skall fastställa principer för hantering av operativa risker och regelbundet se över dem med beaktande av förändringar i omvärlden och i tillsynsobjektets egen verksamhet. Principerna skall omfatta rutiner för identifiering, bedömning, övervakning och reducering av risker. Där bör också de viktigaste processerna för hantering av operativa risker fastställas. Den högsta och den verkställande ledningen skall medverka till att det uppstår en sådan företagskultur som godkänner den interna kontrollen som en normal och nödvändig del av verksamheten. En effektiv intern kontroll förutsätter att arbetsuppgifterna och beslutsfattandet är åtskilda på behörigt sätt. (7) Den högsta ledningen skall vara medveten om de viktigaste operativa riskerna i företagets olika affärsområden. Som en del av internkontrollen skall den högsta ledningen regelbundet få rapporter om de viktigaste operativa riskerna. (8) Den verkställande ledningen skall sörja för att principerna för hantering av operativa risker omsätts i praktiken i tillsynsobjektets samtliga verksamheter och säkerställa att varje anställd kan identifiera de operativa riskerna i sin egen verksamhet och känner till rutinerna för att hantera dessa risker. Den verkställande ledningen svarar för utvecklingen och underhållet av rutinerna för hanteringen av operativa risker i anslutning till tillsynsobjektets produkter, tjänster, verksamheter, processer och system. (9) Ansvars- och rapporteringsförhållandena i affärsområdena och andra enheter som svarar för hanteringen av operativa risker skall vara klara och täckande. För kontrollen av risktagandet svarar en riskkontrollfunktion som är oberoende av risktagandet och riskhanteringen. 1 (10) Den högsta ledningen skall säkerställa att hanteringen av operativa risker regelbundet är föremål för en effektiv och täckande internrevision. 1 Finansinspektionen; Standard 4.1, Uppläggning av intern kontroll och riskhantering, avsnitt 5.3: "Riskkontrollfunktionen skall upprätthålla, utveckla och utarbeta riskhanteringsprinciper som skall fastställas av högsta ledningen samt ta fram metoder för analys och mätning av riskerna. Den skall fortlöpande se till att varje risk håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. Riskkontrollfunktionen skall också se till att den samlade effekten av samtliga större risker i verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både till högsta ledningen och till den verkställande ledningen."
FINANSINSPEKTIONEN dnr 3/120/2004 11 (37) Internrevisionen får som funktion inte vara direkt ansvarig för hanteringen av operativa risker. 5.3 Principer för hantering av operativa risker 5.3.1 Identifiering av operativa risker (11) Tillsynsobjektet skall för varje affärsområde kunna identifiera de operativa riskerna i sina viktigaste produkter, tjänster, funktioner, processer och system. Identifieringen av de operativa riskerna skapar en grund för tillsynen av riskerna och planeringen av riskkontrollerna. 5.3.2 Bedömning och reducering av operativa risker (12) Förluster på grund av operativa risker kan förebyggas dels genom minimering av sannolikheten för att riskerna realiseras, dels genom reducering av sårbarheten för dessa risker. Schemat nedan åskådliggör denna tankegång. Sannolikhet för att risken realiseras Skada p.g.a. X realiserad = risk Väntevärde för förlusten Rekommendation Rekommendation (13) Vid kartläggningen av de operativa riskerna är det viktigt att verksamhet för verksamhet bedöma sannolikheten för och verkningarna av en förlusthändelse. Operativa risker reduceras genom dels förebyggande av skador, dels minimering av förlusterna i den händelse att risken realiseras. (14) I fråga om de viktigaste identifierade operativa riskerna måste tillsynsobjektet bedöma hur riskerna skall kontrolleras, om de skall begränsas eller accepteras, eller om verksamheten skall avvecklas helt. (15) Riskbedömningen analyserar skadliga interna och externa faktorer. Exempel på interna faktorer är företagets struktur, organisationsförändringar, komplexiteten av produkter och tjänster, de anställdas kompetens och personalomsättning. Externa faktorer är exempelvis tekniska framsteg och internationalisering av verksamheten. (16) Fastställda rutiner för bedömning av riskerna förbättrar utvärderingen. För detta ändamål kan exempelvis användas formbundna självutvärderingsblanketter, skadestatistik och genomgång av skador som har drabbat tillsynsobjektet eller andra. Utvärdering av skador som drabbat andra
FINANSINSPEKTIONEN dnr 3/120/2004 12 (37) genom jämförelse med den egna verksamheten kan klargöra om något liknande hade kunnat inträffa i någon egen enhet, vilka konsekvenser detta hade haft och hur en sådan förlust hade kunnat förhindras. (17) Förluster på grund av operativa risker kan reduceras också genom försäkringar. Den verkställande ledningen skall sörja för att försäkringsskyddet och kostnaderna för försäkringen ses över regelbundet med beaktande av förändringar i tillsynsobjektets verksamhet. Dessutom bör motpartsriskerna på grund av försäkringsavtal och försäkringsbolagens solvens bedömas. För betydande störningar i verksamheten skall tillsynsobjektet förbereda sig genom kontinuitetsplanering. 5.4 Godkännande av nya produkter eller tjänster Rekommendation (18) Nya produkter eller tjänster skall bedömas avseende inneboende risker innan de introduceras eller tas i bruk. Motsvarande bedömning skall göras också när en ny tjänstemodell introduceras om produkter och tjänster har kombinerats på nytt sätt. Internkontrollen och riskhanteringen måste ses över och ändras att gälla också de nya produkterna eller tjänsterna. Särskilt noggrann skall bedömningen vara vid etablering av verksamhet på främmande marknadsområden. Det är också nödvändigt att se till att tillsynsobjektet inte börjar bedriva förbjuden verksamhet. (19) Tillsynsobjektet skall införa rutiner för godkännande av nya produkter eller tjänster. Beslut om introduktion av nya produkter eller tjänster fattas enligt fastställda beslutsbefogenheter. Till beslutet fogas beslutsunderlagen. (20) Rutinerna för godkännande av nya produkter eller tjänster skall omfatta följande: beskrivning av produkten eller tjänsten redogörelse för produktens eller tjänstens överensstämmelse med verksamhetsstrategin kartläggning av riskerna (bedömning av vilka risker som är förknippade med produkten/tjänsten) uppläggningen av internkontrollen och riskhanteringen (åtminstone följande riskområden: kreditrisk, marknadsrisk, likviditetsrisk och operativa risker) genomgång av de processer som hänför sig till produkten eller tjänsten (exempelvis offertstadiet, identifiering av kunden, försäljning, produktion, clearing och avveckling samt betalningar) juridiska frågor, avtalsbefogenheter IT, datakommunikation och informationssäkerhet extern och intern redovisning
FINANSINSPEKTIONEN dnr 3/120/2004 13 (37) skattefrågor prissättning, eventuella värderingar och användning av prissättningsmodeller bedömning av effekterna på lönsamhet och kapitaltäckning utbildning och handledning. 5.5 Utläggning av verksamheter och tjänster Rekommendation (21) Användningen av ombud och annan utläggning av verksamhet befriar inte tillsynsobjektet från ansvar och skyldigheter. Tillsynsobjektet svarar gentemot kunder och andra avtalsparter för skada till följd av fel eller försummelser från uppdragstagarens sida. (22) Den verkställande ledningen svarar för att hanteringen och tillsynen av de operativa riskerna i de utlagda verksamheterna är tillfredsställande. Den verkställande ledningen svarar också för att de utlagda verksamheternas informationssäkerhet är tillfredsställande och att informationssäkerheten kontrolleras fortlöpande. (23) Tillsynsobjektet skall säkerställa kontinuiteten i den utlagda verksamheten och bereda sig på betydande störningar i underleverantörernas och tjänsteproducenternas verksamhet. Tillsynsobjektet skall säkerställa att leverantören av den utlagda tjänsten har tillräckliga resurser och kunskaper för att tillhandahålla tjänsterna. (24) I fråga om de utlagda verksamheterna skall tillsynsobjektet sörja för att det inte uppstår ett allt för stort beroende av en enda tjänsteleverantör. (25) Finansinspektionen har enligt lag rätt att få alla nödvändiga uppgifter om företag som fungerar som ombud eller till vilka tillsynsobjektet har lagt ut uppgifter i anslutning till redovisning, datasystem eller riskhantering. Tillsynsobjektet måste säkerställa att de får alla uppgifter som är nödvändiga för myndighetstillsynen, riskhanteringen och den interna kontrollen. (26) En bestämmelse om Finansinspektionens granskningsrätt och rätt att få uppgifter skall tas med i avtalet om de allmänna villkoren för utläggningen med tjänsteleverantören. 5.6 Övervakning och rapportering av operativa risker (27) Tillsynsobjektet skall regelbundet övervaka och bedöma arten av operativa risker, sannolikheten för att de realiseras och storleken av
FINANSINSPEKTIONEN dnr 3/120/2004 14 (37) eventuella förluster om riskerna realiseras. Ytterligare bör förebyggande rutiner och mått för identifiering av riskerna införas. Rekommendation Rekommendation Rekommendation (28) Tillsynsobjektet skall bedöma indikatorer som ger en förvarning om ökade risker, exempelvis betydande förändring i verksamhetens omfattning, introduktion av nya produkter eller tjänster, hög personalomsättning, svårigheter att besätta lediga tjänster, klagomål från kunder och ökat antal verksamhets- eller tjänsteavbrott. Den information som redovisningssystem och andra datasystem genererar skall utnyttjas vid bedömningen av indikatorer som förutser ökade operativa risker. (29) Den verkställande ledningen skall regelbundet få rapporter om operativa risker och realiserade förluster. Tillsynsobjektet skall utarbeta rapporteringsanvisningar. Rapporterna skall innehålla finansiell information, kvalitetsanalyser, information om regelefterlevnad och uppgift om externa händelser och omvärldsförändringar som är väsentliga för beslutsfattandet. Av rapporterna bör identifierade problemområden framgå. De skall ge underlag för bedömning av förändringar i de operativa riskerna och stödja en förebyggande riskhantering. (30) Den verkställande ledningen skall regelbundet verifiera punktligheten, riktigheten och relevansen av rutinerna och rapporteringssystemen. Rapporternas innehåll och detaljrikedom, målgruppen för rapporterna och rapporteringsfrekvensen skall regelbundet ses över. (31) Tabellen nedan visar exempel på hur man kan strukturera övervakningen av förluster på grund av exponering för operativa risker. Exempel på information som bör ingå i rapporterna är beskrivning av förlusthändelsen, orsakerna till händelsen, uppskattning av direkta och indirekta kostnader, eventuella försäkringsersättningar och åtgärder för att förebygga liknande skador framöver. Dessutom lämnas uppgift om vilka åtgärder som har vidtagits med anledning av skadan, vem som ansvarar för dem och tidsplanen för de korrigerande åtgärderna. (32) För att säkerställa en tillfredsställande övervakning och rapportering fastställs en beloppsgräns och transaktioner som överskrider gränsen rapporteras, dock så, att också principiellt viktiga mindre förluster rapporteras.
FINANSINSPEKTIONEN dnr 3/120/2004 15 (37) Förlusttyp Interna oegentligheter Extern brottslighet Anställnings-förhållanden, arbetarskydd Affärsförhållanden Egendomsskada Processtyrning Exempel förskingring, bedrägeri, tagande av muta, värdepappersmarknadsbrott eller -förseelse, skadegörelse, avsaknad av befogenheter (eller överskridande av dem), missbruk av kunduppgifter, avsiktlig felrapportering av positioner, yppande av affärshemlighet, utpressning stöld, rån, bedrägeri (t.ex. med betalningsmedel), förfalskning, penningtvätt, intrång i datasystem, spridning av skadliga program, överbelastningsattack mot datasystem, bombhot, hot mot personalen, utpressning brott mot arbetsavtalslagen (bl.a. arbetstid, arbetarskydd), ersättningsanspråk med anledning av diskriminering, löne-, ersättnings- eller uppsägningstvister, arbetsmarknadskonflikter marknadsföring och tillhandahållande av tjänster som strider mot god sed eller annars är otillbörlig, missbruk av konfidentiella kunduppgifter (t.ex. för marknadsföring), försummelse av informationsskyldigheten gentemot en kund, försummelse av tystnadsplikten, försummelse av utredningsplikten, uppdragsutförande som strider mot bestämmelserna, regelvidrig hantering av kundmedel, värdepappersmarknadsbrott eller -förseelse, penningtvätt Eldsvåda, vattenskada, översvämning rapporteringsfel, fel i kunduppgifterna, inmatningsfel i datasystemet, prissättningsfel, ogiltigt avtal, bristfällig dokumentation, brister i säkerhetshanteringen, misslyckat utförande av kunduppdrag, störning i utlagd verksamhet, tvist med utomstående leverantör, redovisningsfel
FINANSINSPEKTIONEN dnr 3/120/2004 16 (37) 6 DELOMRÅDEN I HANTERING AV OPERATIVA RISKER 6.1 Processer Rekommendation (1) Med process avses en helhet av verksamheter och resurser i syfte att framställa en viss tjänst eller produkt. I processhanteringen ingår aspekter på kundtillfredsställelse, effektivitet, lönsamhet och kvalitet. Denna standard fokuserar på identifiering och begränsning av de operativa risker som är förknippade med processerna. Analys av processerna och bedömning av de operativa risker som hänför sig till olika processfaser hjälper tillsynsobjektet att identifiera och reducera de operativa riskerna. (2) Tillsynsobjektet skall identifiera de processer som är viktigast för verksamheten. Särskild uppmärksamhet bör ges gränssnitten mellan olika organisatoriska enheter och företag, överskridningen av nationsgränser och betalningsförmedlingen. Det är ytterst viktigt att det finns noggrann dokumentation av och rutiner för hanteringen av stora transaktionsvolymer. Processanvisningarna skall vara tillräckliga och aktuella. (3) Kontroller skall byggas in i de olika faserna av processerna och kvaliteten på dem skall utvärderas regelbundet, särskilt när verksamhetens omfattning eller innehåll utvecklas eller processerna ändras. Exempel på kontroller är avstämningar och flera personers medverkan i hanteringen av en transaktion. (4) Processer som är viktiga för verksamheten skall dokumenteras så enhetligt som möjligt med beskrivningar t.ex. av de uppgifter som hänför sig till processen, processens olika faser och deras samband, data- och materialflöden, rapportering, processens intressegrupper (processens ägare, kunder, personal som deltar i processen, organisatoriska enheter, andra företag och andra intressegrupper) samt de datasystem som är förknippade
FINANSINSPEKTIONEN dnr 3/120/2004 17 (37) med processen. Man bör beakta vilken noggrannhet som eftersträvas i processbeskrivningarna, eftersom alltför detaljerade beskrivningar kan försvåra underhållet. För processbeskrivningarna skall kompetensen hos personer som representerar olika delområden utnyttjas. Processbeskrivningarna skall regelbundet uppdateras. Rekommendation (5) Också vid genomförandet av olika projekt är det viktigt att tillämpa så samordnade principer som möjligt. För viktiga projekt skall riskbedömningar göras på förhand. 6.2 Legal risk (6) Legal risk är en operativ risk som kan uppstå på grund av externa faktorer såsom förändringar i omvärlden men också på grund av tillsynsobjektets egen verksamhet. Legala risker kan ingå i all verksamhet. I tolkningen, tillämpningsområden och giltigheten av de regelverk och föreskrifter som gäller tillsynsobjektets verksamhet ingår osäkerhetsfaktorer som kan leda till betydande förluster och som kan inverka på tillsynsobjektets juridiska ansvar och eventuella ersättningsskyldighet. Vidare kan tvister om avtalens giltighet och innehåll skada tillsynsobjektets verksamhet. Att lösgöra sig från ogynnsamma avtal och ingå ersättande avtal kan medföra risk för förlust. Detta gäller särskilt avtal med standardvillkor. Också dokument som tillsynsobjektet har offentliggjort, exempelvis broschyrer och reklam kan vara förknippade med risk för skadeersättning eller försämrat rykte och minskad respekt. (7) Tillsynsobjektets högsta ledning måste vara medveten om de viktigaste legala riskerna i verksamheten och säkerställa att hanteringen av den legala risken är tillräcklig. Den verkställande ledningen skall säkerställa att hanteringen av den legala risken tilldelas tillräckligt med resurser för identifiering, övervakning och reducering av den legala risken inom olika affärsområden. Tillsynsobjektet skall ha tillräcklig kunskap om både den lagstiftning och de myndighetsföreskrifter som gäller tillsynsobjektet. I synnerhet om de centrala myndighetsföreskrifterna skall tillsynsobjektets anställda alltid ha tillräcklig sakkunskap. Ansvarsförhållandena avseende hanteringen av legala risker skall vara klart definierade. (8) För att kunna hantera den legala risken skall tillsynsobjektet ha den sakkunskap som behövs för att ingå avtal och andra rättshandlingar. För att kunna säkerställa avtalens giltighet skall tillsynsobjektet ha tillräcklig kunskap om de beslutsbefogenheter som tillämpas av avtalsparten. Avtalsdokumentationen skall arkiveras på lämpligt sätt och avtalens giltighet och eventuella tolkningstvister eller processer skall följas upp.
FINANSINSPEKTIONEN dnr 3/120/2004 18 (37) Rekommendation (9) För att på förhand kunna förbereda sig för de krav som nya lagar och föreskrifter ställer, bör tillsynsobjektet bevaka förändringar av såväl lagstiftning som internationella regelverk. Det är nödvändigt att känna till rättspraxis inom den egna branschen. Finans- och försäkringskonglomeratets moderbolag skall sörja för att samtliga företag som hör till konglomeratet har tillräcklig sakkunskap om de bestämmelser och föreskrifter som gäller för sektorerna. Företag med verksamhet i utlandet skall beakta att viktiga rättsprinciper och rättspraxis kan variera betydligt mellan olika stater. 6.3 Personal (10) Som en del av hanteringen av operativa risker skall den högsta ledningen slå fast principer genom vilka företaget säkerställer att de anställda och personer som rekryteras till företaget har tillräcklig kompetens i förhållande till arbetsuppgifterna, företagets storlek och verksamhetens omfattning och art. (11) Med kompetens avses de anställdas duglighet, tillräcklig utbildning och erfarenhet samt förmåga att klara av sina arbetsuppgifter. Företaget skall ha rutiner för att säkerställa att de anställda fortlöpande uppfyller kompetenskraven. Vikt skall fästas vid de nyanställdas anseende och bakgrund. (12) Den verkställande ledningen skall se till att det finns tillräckligt med personal för att klara av uppgifterna. För att kontinuiteten skall kunna säkerställas skall särskilt personer i nyckelställning ha ersättare för sjukdom, olycksfall eller plötslig upphörande av anställningsförhållandet. Belastningstoppar skall också beaktas resursplaneringen. (13) Den högsta ledningen skall fastställa principerna för sekretess. Syftet med dem är att säkerställa att företagets anställda inte yppar detaljer om en kunds eller annan med företagets verksamhet förknippad persons ekonomiska ställning eller privata förhållanden eller affärs- eller yrkeshemligheter, om inte den till vars förmån tystnadsplikten har bestämts ger sitt samtycke till att saken röjs. (14) Den högsta ledningen skall fastställa principerna för belöningssystem för att säkerställa att belöningssystemen inte lockar till icke önskvärda förfaranden eller okontrollerat risktagande.
FINANSINSPEKTIONEN dnr 3/120/2004 19 (37) 6.4 Kontinuitetsplanering (15) Med kontinuitetsplanering avses säkerställande av förmågan att upprätthålla verksamheten och begränsa förluster i händelse av olika slag av störningar i verksamheten. Hit hör till exempel skador eller avsiktliga handlingar som drabbar personalen, lokalerna, datasystemen eller datakommunikationen, vattenskador, eldsvådor samt avbrott i exempelvis el-, värme- eller vattenförsörjningen. Inom ramen för kontinuitetsplaneringen upprättas kontinuitetsplaner för viktiga verksamheter för att upprätthålla verksamheten i händelse av eventuella störningar. (16) Kontinuitetsarrangemangen för normala förhållanden bildar utgångspunkten för beredskapen inför undantagsförhållanden. Kraven på beredskap inför undantagsförhållanden grundar sig på beredskapslagen och andra myndighetsdirektiv om beredskap inför undantagsförhållanden. (17) Den högsta ledningen svarar för att det finns uppdaterade och tillräckliga kontinuitetsplaner för tillsynsobjektets centrala verksamheter. Den verkställande ledningen skall fastställa ansvaret för kontinuitetsplaneringen. Tillsynsobjektet skall ha en klar handlingsmodell för upprättande, underhåll och testning av kontinuitetsplaner och för uppföljning av kontinuitetsplaneringen. (18) Utgångspunkten för kontinuitetsplaneringen är att tillsynsobjektet kartlägger sina viktigaste verksamhetsprocesser. De viktigaste verksamhetsprocesserna bör prioriteras och återställningstider fastställas, dvs. det längsta tillåtna avbrottet som inte stör verksamheten. För prioriterade processer skall alternativa handlingsmodeller och återställningsrutiner läggas upp för eventuella avbrott. Extra uppmärksamhet bör läggas på möjligheten att återställa information som är nödvändig för att verksamheten skall kunna återupptas. (19) Datasystem och tillämpningar skall rangordnas efter det hur snabbt de skall kunna återställas efter olika typer av störningar. För datasystemen skall upprättas återställningsplaner med beskrivningar av hur systemen kan fås funktionsdugliga efter störningar. Säkerhetskopiorna och en eventuell reservanläggning skall placeras så långt bort från den egentliga datacentralen att data och säkerhetskopior inte kan förstöras samtidigt. (20) Kontinuitetsplanerna skall grunda sig på risk- och sårbarhetsanalyser. Kontinuitetsplanerna skall beakta olika hotbilder avseende verksamheten och funktionernas sårbarhet. Kontinuitetsplanerna skall dimensioneras efter verksamhetens art, omfattning och komplexitet. De skall styra verksamheten vid olika typer av störningar. I kontinuitetsplanerna skall också ingå informationsgivning vid olika typer av störningar både internt och externt till
FINANSINSPEKTIONEN dnr 3/120/2004 20 (37) intressegrupper. Rekommendation (21) Tillsynsobjektet skall bereda sig på störningar i externa intressegruppers verksamhet. Hit hör exempelvis underleverantörer, tjänsteleverantörer och viktiga kunder. (22) Kontinuitetsplanerna skall revideras regelbundet och anpassas till förändringar i verksamhet, tjänster eller strategier. Planerna skall testas och övningar ordnas regelbundet. Ansvariga skall utses för att övervaka uppdateringen och testningen av kontinuitetsplanerna. (23) Kontinuitetsplaneringsprocessen består bl.a. av följande faser: fastställande av principer och allmänna instruktioner för kontinuitetsplaneringen kontinuitetsplaneringsutbildning till personalen i verksamhetsenheterna etablering av en krisorganisation och upprättande och underhåll av listor över kontaktpersoner fastställande av centrala rutiner för informationsgivning upprättande av kontinuitetsplaner upprättande av återställningsplaner för datasystemen underhåll av kontinuitets- och återställningsplanerna testning av kontinuitets- och återställningsplanerna uppföljning av kontinuitetsplaneringen, samordning av kontinuitetsplanerna och utvärdering av deras ändamålsenlighet. 6.5 Datasystem (24) Den högsta ledningen skall säkerställa att datasystemen är tillräckliga och lämpliga i förhållande till verksamhetens art och omfattning. Detta skall avgöras utgående från företagets verksamhet, den högsta ledningens krav och det faktum att systemen skall stöda verksamheten enligt den högsta ledningens riktlinjer. (25) Tillsynsobjektet skall ha den kompetens, organisation och internkontroll som behövs för att registrera, överföra, behandla och arkivera data elektroniskt. Dessa funktioner kan vara helt eller delvis utlagda, varvid tillsynsobjektet skall säkerställa att leverantören av databehandlingstjänster följer de principer som fastställs i detta avsnitt. (26) Den högsta ledningen skall anta en IT-strategi för att säkerställa att en lämplig IT-miljö existerar, underhålls och utvecklas efter nuvarande och
FINANSINSPEKTIONEN dnr 3/120/2004 21 (37) framtida behov. Dessutom skall den högsta ledningen se till att företaget har rutiner för budgetering och uppföljning av IT-kostnader. (27) För olika delområden av datatekniken skall tillsynsobjektet fastställa riktlinjer, standarder, rutiner och kontroller som möjliggör samarbete mellan affärsområdena och IT-enheterna. Med dem som utgångspunkt skall den verkställande ledningen planera, övervaka och utvärdera IT-funktionerna. Vid behov skall ett särskilt samarbetsorgan med företrädare för olika affärsområden tillsättas för samordning av detta arbete. (28) IT-funktionens oberoende ställning i förhållande till användarna bör säkerställas. IT-funktionen svarar för datasystemens utveckling och funktionsförmåga, medan användarna svarar för att den information som behandlas är riktig. (29) Systemutveckling och datadrift bör åtskiljas så att de anställda i dessa funktioner får tillgång till varandras data endast via kontrollerade standardrutiner. Också för driftsättning, ändringshantering och testning av systemen skall det finnas standardrutiner. (30) Tillsynsobjektet skall sörja för att internrevisionen har kompetens att utvärdera de interna IT-kontrollernas funktionsförmåga. (31) Tillsynsobjektet skall utarbeta och upprätthålla metoder för systemering och kvalitetssäkring för att säkerställa att systemen fungerar på planerat sätt och att de dokumenteras i sådan standardiserad form att de går att använda och utveckla i framtiden även om exempelvis nyckelpersoner byts ut. (32) Tillsynsobjektet skall utarbeta rutiner för köp eller godkännande av program- och maskinvara eller kontraktering till externa tjänsteproducenter för att säkerställa att nyanskaffningar och avtal motsvarar dess behov och gällande standarder och garanterar fortlöpande service. (33) Tillsynsobjektet skall minimera risken för avbrott i datasystemen (eldsvåda, översvämning, elavbrott, maskinfel osv.) med olika rutiner och riktlinjer för den fysiska säkerheten och tillräckliga reservsystem. Tillsynsobjektet skall begränsa tillgången till känsligt material (datautrustning, datamedium, dokument etc.) till behörig personal.
FINANSINSPEKTIONEN dnr 3/120/2004 22 (37) 6.6 Informationssäkerhet 6.6.1 Definition av informationssäkerhet och grundläggande krav (34) Informationssäkerhet innebär att företagets data, tjänster, system och datakommunikation är skyddade och säkerställda under både normala förhållanden och undantagsförhållanden genom administrativa, tekniska och andra åtgärder. (35) Informationssäkerheten brukar indelas i åtta åtgärdsområden: administrativ säkerhet, personalsäkerhet, fysisk säkerhet, kommunikationssäkerhet, maskinvarusäkerhet, programvarusäkerhet, 2 datasäkerhet och användarsäkerhet.1f (36) Allmänna krav på säkerheten för information som förvaras, överförs och behandlas är konfidentialitet (skydd av information mot otillbörlig insyn), integritet (riktighet, dvs. skydd av information mot oönskad förändring) tillgänglighet (informationen är åtkomlig för behöriga i rätt tid). (37) Systemen skall ha en åtkomstkontroll. Också oavvisligheten av de transaktioner som utförs samt identifieringen och autentiseringen av de kommunicerande parterna skall vara säkerställd. Vidare skall de transaktioner som hanteras i systemen kunna spåras. 6.6.2 Uppläggning och ansvar för informationssäkerheten (38) Tillsynsobjektets allmänna informationssäkerhet och de olika datasystemens säkerhetsnivå skall vara tillfredsställande i förhållande till verksamhetens art och omfattning, hoten mot systemen och den allmänna tekniska utvecklingsnivån. (39) Den högsta ledningen svarar för att tillsynsobjektets informationssäkerhet är tillfredsställande. Den allmänna nivån på tillsynsobjektets informationssäkerhet skall definieras och godkännas av den högsta ledningen. Den högsta ledningen skall tilldela tillräckliga resurser och delegera ansvaret för att informationssäkerheten håller tillräckligt hög nivå. Tillsynsobjektet skall regelbundet utvärdera sin informationssäkerhetsnivå. Om det inte finns tillräcklig expertis om informationssäkerhet inom den egna organisationen, skall tillsynsobjektet ge utvärderingen i uppdrag åt en utomstående konsult med tillräcklig sakkunskap. Konstaterade brister måste 2 Ledningsgruppen för datasäkerhet i statsförvaltningen (VAHTI): VAHTI 4/2003, Valtionhallinnon tietoturvakäsitteistö
FINANSINSPEKTIONEN dnr 3/120/2004 23 (37) omedelbart åtgärdas. 6.6.3 Bedömning av risker som hänför sig till informationssäkerhet (40) Bedömningen av informationssäkerhetsnivån skall basera sig på regelbunden utvärdering av riskerna i informationssäkerheten. I riskanalyserna fastställs tillsynsobjektets viktigaste verksamheter och resurser och analyseras hotbilder och verksamheternas och resursernas sårbarhet för hoten. Vidare uppskattas eventuella effekter på tillsynsobjektets verksamhet om hoten realiseras. För hantering av identifierade risker måste tillräckliga kontroller byggas in. Också riskerna med nya tekniker och tjänster skall bedömas före introduktionen. (41) Rutiner för bedömning av informationssäkerhetsriskerna skall byggas in i riskhanteringen för att den högsta och verkställande ledningen skall kunna bilda sig en uppfattning om samverkan mellan alla väsentliga risker i verksamheten. 6.6.4 Informationens och systemens ägare (42) Tillsynsobjektet skall fastställa ägarna till de system det använder och den information som det förvarar och hanterar. Ägarna skall svara för principerna för användning av informationen och systemen, behörigheter och säkerhet. De skall också bevilja behörighet att utnyttja informationen. Tillsynsobjektet skall klassificera den information som förvaras och hanteras enligt säkerhetskraven och utarbeta hanteringsregler för olika säkerhetsklasser. 6.6.5 Behörigheter (43) Tillsynsobjektet skall bevilja behörighet att använda information, program och system, samt övervaka användningen av systemen enligt samordnade regler som godkänts av ledningen. Tilldelningen av användarbehörigheter skall basera sig på användarens arbetsuppgifter. Tillsynsobjektet skall begränsa tillträdet till data, program och system med tekniska metoder (användaridentifikationer, lösenord osv.) samt rapportera och undersöka överskridningar av användarbehörigheterna. 6.6.6 Informationssäkerhetsregler och utbildning (44) Tillsynsobjektet skall ha uppdaterade informationssäkerhetsprinciper godkända av den högsta ledningen och andra informationssäkerhetsregler, som tillsynsobjektets anställda skall ha kännedom om. Exempel på informationssäkerhetsregler är bland annat bestämmelser om fastställande av
FINANSINSPEKTIONEN dnr 3/120/2004 24 (37) behörigheter, bekämpning av skadliga program samt användningen av Internet och e-post. Tillsynsobjektet skall klart fastställa informationssäkerhetsansvaret för varje anställd och ge de anställda regelbunden informationssäkerhetsutbildning. Informationssäkerheten skall kontinuerligt utvecklas och ansvaret för detta skall klart fastställas på chefsnivå. 6.6.7 Behandlingen av informationssäkerhetsfall (45) Fall som gäller bristande informationssäkerhet skall uppmärksammas, analyseras, arkiveras och rapporteras till namngivna ansvariga inom organisationen. 6.6.8 Informationssäkerhet i datanätet (46) Onlinetjänsternas informationssäkerhet beror bl.a. på vilka handlingsmönster som använts för tjänsterna (ex. manuella arbetsmoment), vilka tillämpningar som använts, hur säkra de tekniska systemen och datakommunikationen är. (47) Innan existerande tjänster bjuds ut eller nya tjänster introduceras i datanät skall tillsynsobjektet bedöma om tjänsterna är lämpliga att tillhandahålla över nätet. De största riskerna med tjänsterna och riskhanteringsmetoderna skall dokumenteras och nödvändiga kontroller skall byggas. Riskhanteringen och internkontrollen av onlineverksamhet, datasystem och interna processer skall planeras och läggas upp så att verksamhetens art och omfattning och hoten mot verksamheten beaktas. Tillsynsobjektet skall själv analysera den totala risken i onlineverksamheten med jämna mellanrum eller låta göra en extern bedömning av den. Tillsynsobjektet skall på löpande basis analysera och utveckla sina datasystem och informationssäkerheten samt på ett tillfredsställande sätt skydda sig mot olika störningar och eventuellt missbruk. 6.6.9 Utveckling av säkra onlinetjänster (48) För att trygga informationssäkerheten skall tillsynsobjektet före lanserandet av en tjänst och då det bjuder ut en tjänst se till att åtminstone följande kriterier uppfylls: En riskanalys har utförts och nödvändiga riskhanteringsåtgärder har vidtagits. Säkerhetsbesiktning av respektive system har gjorts. Dessutom skall systemens säkerhetsnivå följas upp fortlöpande, deras sårbarhet analyseras och nödvändiga systemuppdateringar och -korrigeringar
FINANSINSPEKTIONEN dnr 3/120/2004 25 (37) installeras. Störningar i systemen och eventuella fall av missbruk och försök till missbruk skall följas upp fortlöpande och rapporteras på överenskommet sätt. För att säkerställa tillgänglighet och kontinuitet har återställningsplaner upprättas för respektive system, reservsystem lägges upp för problemsituationer och åtgärder vidtas för att reservsystemen snabbt skall kunna sättas in vid störningar. Systemen bör vid behov belastningstestas. Särskilt viktigt är det att testa att datasystemen har tillräcklig kapacitet även när exceptionellt många kunder samtidigt är uppkopplade till systemen. Systemen skall förses med nödvändiga mekanismer för bekämpning av virus och andra skadliga program. Systemen och dataförbindelserna skall skyddas så att de inte kan blockeras med onödiga förfrågningar eller på annat sätt. Systemets Internetgränssnitt kan eventuellt blockeras på ett sätt som tjänsteleverantören inte har möjlighet att påverka. För sådana situationer skall finnas beredskap, t.ex. tillräckliga reservsystem. Systemen skall förses med en mekanism för åtkomstkontroll och tillsynsobjektet skall sörja för att behörighetshanteringen har ordnats på behörigt sätt. Det externa nätet (Internet) skall skiljas åt från tillsynsobjektets interna nät med säkerhetsanordningar. Systemen skall testas med jämna mellanrum och framför allt efter systemändringar för att förhindra att obehöriga får tillträde till systemen eller kan utnyttja eventuella säkerhetshål. Upptäcks brister i säkerheten måste de omedelbart åtgärdas. Tillsynsobjektet skall säkerställa att dataöverföringen mellan tjänstemottagaren och tjänsteleverantören och databehandlingen i tjänsteleverantörens system uppfyller kraven på konfidentialitet, integritet och oavvislighet. Också identifieringen och autentiseringen av de sinsemellan kommunicerande parterna måste vara tillförlitlig.
FINANSINSPEKTIONEN dnr 3/120/2004 26 (37) Lämpliga metoder är till exempel en tillräckligt stark kryptering2f3, elektroniska certifikat och elektroniska signaturer. Kontrollmekanismer och revisionsspår skall byggas in i datasystemen för att säkerställa in- och utdatas riktighet och integritet, behörigheter, återställande av information efter avbrott i databehandlingen samt transaktionernas reviderbarhet. De transaktioner som handläggs i systemet skall kunna spåras. Systemen skall ha inbyggda kontroller som möjliggör avstämning av transaktioner som har utförts i olika delsystem. Det rekommenderas att transaktionsförloppet avstäms alltifrån det att transaktionen lämnar kunden ända tills den når tillsynsobjektets bassystem. Eventuella lösenord för kunder skall krypteras inom systemet och vid överföring mellan systemen. Vid uppläggning, behandling och överlämning till kunden av dennes identifikationsuppgifter (användaridentitet och lösenord) skall extra aktsamhet iakttas och s.k. farliga arbetskombinationer undvikas. Tillsynsobjektet skall sörja för att systemen för en tillräckligt noggrann logg över inloggning, försök till inloggning och användning av tjänsten. Loggarna och loggrapporterna skall gås igenom regelbundet. Särskilt för försök till intrång eller annat missbruk bör finnas rapporteringsrutiner. Vid genomgången av loggarna och rapporterna skall förpliktelserna och åtgärderna enligt lag genomföras omsorgsfullt och utan att äventyra kommunikationens konfidentialitet eller integritetsskyddet. I en tjänst som marknadsförs till kunder skall ges tillräckligt med information t.ex. i bruksanvisningen om den tjänst som marknadsförs, om ansvarfördelningen mellan den som tillhandahåller och den som utnyttjar tjänsten och om hur användaren tryggt kan utnyttja tjänsten. 6.7 Betalningssystem och betalningsförmedling (49) Det är viktigt att betalningssystemen är välfungerande eftersom största delen av betalningarna i samhället förmedlas i systemen. Avbrott och störningar försvårar kundernas betalningar och kan därigenom medföra 3 Riskerna med den valda krypteringsmetoden skall analyseras fall för fall. Det lönar sig alltid att göra krypteringen så bra som det på kostnadseffektiva grunder är möjligt utgående från hur väl informationen behöver skyddas.
FINANSINSPEKTIONEN dnr 3/120/2004 27 (37) problem för landets ekonomi. Rekommendation Rekommendation (50) Med betalningssystem avses i regel ett system där överenskomna betalningsmedel används där deltagarna är banker och kreditinstitut där deltagarna kommer överens om olika betalningsförmedlings- och riskhanteringsrutiner och som möjliggör förmedling av transaktioner från betalaren till mottagaren. (51) Med betalningsmedel avses ett bank-, betal- eller kreditkort, en check eller ett annat instrument varmed betalningar, uttag eller betalningsöverföringar kan utföras eller vars användning är en nödvändig förutsättning för att nämnda transaktioner skall kunna utföras. (52) Den högsta ledningen skall godkänna principer för betalningsförmedling i de betalningssystem i vilka tillsynsobjektet deltar eller de betalningstjänster som det tillhandahåller för sina kunder. Betalningsförmedlingsprinciperna skall omfatta den nuvarande verksamheten och de skall ta hänsyn till utvecklingen under de närmaste åren. Den högsta ledningen skall för betalningsförmedlingsverksamheten uppställa mål i syfte att säkerställa en effektiv och säker betalningsförmedling och övervaka verksamheten. (53) Den verkställande ledningen svarar för att det finns tillfredsställande kompetens, resurser och internkontroll för en effektiv och säker betalningsförmedling. Tillsynsobjektet skall kartlägga riskerna med de betalningssystem och betalningstjänster som används och regelbundet uppdatera kartläggningarna. (54) Tillsynsobjektets betalningssystem skall vara välfungerande och funktionssäkra och stabila. Tillsynsobjektet skall sörja för att det förekommer så få störningar som möjligt i betalningsförmedlingen. Betalningsförmedlingen skall säkras med reservsystem. (55) Tillsynsobjektet skall tillställa Finansinspektionen resultatet av riskanalyser av nya betalningstjänster och -tekniker innan tjänsterna introduceras. (56) Tillsynsobjektet skall i god tid på förhand underrätta Finansinspektionen om nya betalningstjänster och betydande ändringar i existerande tjänster. Rekommendation (57) Avseende betalningssystem har Committee on Payment and Settlement Systems (CPSS), som tillsatts av G10-ländernas centralbanker, gett ut
FINANSINSPEKTIONEN dnr 3/120/2004 28 (37) rekommendationen Core Principles for Systemically Important Payment Systems (Basel Committee Publications No. 43). Tillsynsobjektet skall i tillämpliga delar följa rekommendationen vid deltagande systemviktiga betalningssystem, exempelvis POPS eller PMJ. 6.8 Förhindrande av lagstridigt utnyttjande av det finansiella systemet (58) Ett lagstridigt utnyttjande av det finansiella systemet kan ta sig uttryck i såväl internt som externt missbruk. Den egna personalen kan genom verksamhet som strider mot regler eller lagar förorsaka förluster, exempelvis genom att förskingra medel som tillhör företaget eller kunderna. Missbruk kan också vara bedrägerier och svindlerier utförda av utomstående. Missbruk är ofta en följd av bristande internkontroll och särskilt av bristande riskhantering. (59) Genom penningtvätt och terroristfinansiering kan tillsynsobjektet också indirekt bli delaktig i brottslig verksamhet. Kundidentifikation och kundkännedom samt omsorgs- och anmälningsplikt är skyldigheter som ålagts särskilt finansmarknadsaktörerna och som bidrar till att förhindra lagstridigt utnyttjande av det finansiella systemet. Genom noggrann efterlevnad av dessa skyldigheter främjar tillsynsobjektet i första hand sin internkontroll och riskhantering samt bidrar till att öka kundernas förtroende. En bristfällig kundidentifiering och kundkännedom kan orsaka legala eller andra risker och skada såväl tillsynsobjektets anseende som det finansiella systemets tillförlitlighet. (60) Tillsynsobjektets företagsstyrning och affärsprinciper skall stödja dessa skyldigheter och tillsynsobjektets etiska regler skall innehålla principer för förhindrande av lagstridig verksamhet. Processen för kundidentifiering och kundkännedom skall ordnas så att tillsynsobjektet i efterhand i enskilda fall kan bevisa hur identifikationen gått till. Varje tillsynsobjektet svarar för identifikationen av sina egna kunder, vilket bör beaktas även när verksamheter läggs ut eller ombud anlitas. 6.8.1 Kundidentifikation och kundkännedom skyldigheter (61) Med identifiering avses kontroll av kundens identitet. I regel verifierar man identiteten med en gällande identifikationshandling. Med att handla för kundens räkning avses en situation när en fysisk person öppet agerar för en annan fysisk eller juridisk persons räkning eller som ombud, eller en situation då ombudet försöker dölja att han handlar för någon annans räkning. Det är då viktigt att fastställa och identifiera den person som drar nytta av uppdraget eller transaktionen, eller som har den verkliga bestämmanderätten gentemot