markku koponen markkina- ja operatiiviset riskit rahoitustarkastus
DESCRIPTION
Viranomaisten vaatimukset rahoituslaitosten jatkuvuussuunnittelulle Finanssialan CERT-CIP yhteistoimintaseminaari 16.9.2008. Markku Koponen Markkina- ja operatiiviset riskit Rahoitustarkastus. Jatkuvuussuunnittelu – Ratan ohjeistus. - PowerPoint PPT PresentationTRANSCRIPT
Viranomaisten vaatimukset rahoituslaitosten
jatkuvuussuunnittelulleFinanssialan CERT-CIP
yhteistoimintaseminaari 16.9.2008
Markku KoponenMarkkina- ja operatiiviset riskit
Rahoitustarkastus
Jatkuvuussuunnittelu – Ratan ohjeistus
Ratan operatiivisten riskien hallinnan standardi (4.4b), luku 6.4 (voimaan 1.1.2005)
liiketoimintojen jatkuvuussuunnittelussa varaudutaan keskeisten liiketoimintojen merkittäviin uhkiin ja laaditaan toimintamallit näiden varalle
tietotekniikan varajärjestelyt, varautuminen erilaisiin tietotekniikan häiriöihin ja tietojärjestelmien toipumissuunnitelmien laatiminen ovat myös olennainen osa jatkuvuuden turvaamista
jatkuvuussuunnittelu riskienhallinnan osa-alue
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 2
Jatkuvuussuunnittelu – Ratan ohjeistus
keskeisillä liiketoiminnoilla oltava ajantasaiset ja riittävät jatkuvuussuunnitelmat (ylin johto vastaa)
määriteltävä vastuut jatkuvuussuunnittelulle (toimiva johto vastaa)
kartoitettava ja priorisoitava liiketoimintaprosessit
laadittava liiketoimintojen uhka- ja haavoittuvuus-analyysit
laadittava tietojärjestelmien toipumissuunnitelmat
varauduttava ulkoisten sidosryhmien toiminnan häiriöihin
jatkuvuussuunnitelmia pidettävä ajan tasalla ja testattava
jatkuvuussuunnittelu nähtävä prosessina
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 3
Jatkuvuussuunnittelu - Ratan tarkastukset
jatkuvuussuunnittelutarkastuksia vuodesta 2002 lähtien
jatkuvuusteema on kuitenkin koko ajan huomioitu osassa muita tarkastuksia (mm. maksujärjestelmä-tarkastukset)
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 4
Ratan tarkastukset - havaintoja
pankit ovat panostaneet jatkuvuussuunnitteluun
kehittämiskohteita joissakin tapauksissa:
• jatkuvuussuunnittelun koordinointi ja ohjeistus
• tehtävien vastuutus jatkuvuussuunnitteluprosessissa
• jatkuvuussuunnitelmien tarkkuus: ohjaavatko oikeasti toimintaa
• yksittäisten jatkuvuussuunnitelmien testaaminen
• jatkuvuussuunnittelun kytkeminen riskienhallintaan joskus puutteellista: jatkuvuussuunnittelu nähtiin enemmän tietotekniikka- tai tietoturvallisuusasiana kuin luonnollisena osana liiketoimintaa ja riskienhallintaa
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 5
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 6
Varautuminen poikkeusoloihin – taustaa
laki velvoittaa eräät rahoitusmarkkinoiden toimijat varautumaan poikkeusoloihin
tällaisia varautumisvelvollisia ovat
• luottolaitokset ja sellaiset rahoituslaitokset, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja
• rahastoyhtiöt
• ulkomaisten luottolaitosten sivukonttorit ja sellaisten ulkomaisten rahoituslaitosten sivukonttorit, jotka pääasiallisena liiketoimintanaan tarjoavat maksukortti- ja maksamispalveluja
• arvopaperikeskus.
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 7
Varautuminen poikkeusoloihin - taustaa
nämä toimijat joutuvat lain mukaan varmistamaan tehtäviensä mahdollisimman häiriöttömän hoitamisen myös poikkeusoloissa
• osallistumalla rahoitusmarkkinoiden valmiussuunnitteluun
• valmistelemalla etukäteen poikkeusoloissa tapahtuva toimintaa
• sekä muin toimenpitein
Rata voi antaa ohjeita em. kohdan soveltamisesta
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 8
Varautumisen haasteet
Rajojen avautumisen ja ulkomaisen omistuksen myötä toimintoja on siirretty maan rajojen ulkopuolelle ja samalla pitkälti Suomen viranomaisten ulottumattomiin. Erityisesti tämä koskee tietotekniikkaa.
Ulkoistusketjut
Poikkeusoloihin varautumisen vuoksi annettavat laajat varautumisvelvoitteet eivät ole EU-oloissa ongelmattomia.
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 9
Varautuminen poikkeusoloihin - Ratan ohje
Ratan ohjeistus osana operatiivisten riskien hallinnan standardia (4.4b), luku 6.5.
noudattelee Rahoitushuoltopoolin antamaa rahoitusmarkkinoiden varautumisohjetta
linjassa Vakuutusvalvontaviraston vastaavan ohjeen kanssa
standardimuutos tuli voimaan 1.11.2007
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 10
Ratan ohjeen sisältö
ylimmän johdon vastuu
valmiussuunnitelma, sen sisältö
toiminta poikkeusoloissa, erityisesti tietojenkäsittelyn infrastruktuuri
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 11
Ratan ohje - IT-infra
luku 6.5, varautuminen poikkeusoloihin, kohta 40:
• tietojenkäsittelyn tulee olla kahdessa erillisessä toimipisteessä, joiden kapasiteetti on sellainen, että poikkeusoloissa ylläpidettäviä palveluja voidaan tarjota, vaikka toinen toimipiste ei olisi käytettävissä
• toiminnan jatkuvuuden kannalta riittävä tietojen ja ohjelmien suojakopiointi toipumisjärjestelmineen on järjestetty riittävän etäälle varsinaisista tietojenkäsittelykeskuksista turvallisiin tiloihin mahdollisuuksien mukaan pääkaupunkiseudun ulkopuolelle
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 12
Ratan ohje - IT-infraluku 6.5, varautuminen poikkeusoloihin, kohta 41:
• Varautumisvelvollisen tulee suunnitella suojakopioiden käyttö siten, että
se pystyy suojakopioidun tiedon ja käytettävissä olevien ohjelmistojen avulla käynnistämään liiketoimintansa uudelleen siinäkin tapauksessa, että
varsinainen tietojenkäsittelykeskus ja sen lähialueet ovat pysyvästi tuhoutuneet.
Varautumisvelvollisen tulee varmistua siitä, että suojakopiot ovat koska tahansa käyttöönotettavissa ja että niiden tietosisältö on käyttökelpoista.
Ratan ohje - IT-infra
edellä oleva ei tarkoita sitä, että
• vaaditaan 3. konekeskus
vaan
• toiminnan kannalta kriittiset tiedot tulee olla palautettavissa vaikka konekeskukset eivät olisi toiminnassa
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 13
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 14
Miten Rata voi edistää poikkeusoloihin varautumista?
jatkuva valvonta ja tarkastukset
asian tärkeyden korostaminen erityisesti silloin, kun Rata on yhteydessä valvottavien ylimpään johtoon
kytkemällä poikkeusoloihin varautumisen entistä tiiviimmin osaksi valvottavien riskienhallintaa
Ratan valvontakäynnit
Rata selvitti poikkeusolojen varautumista syksyn 2007 ja kevään 2008 valvontakäynneillään
havaintoja
• jatkuvuuteen on panostettu: yleensä 2 rinnakkain toimivaa konekeskusta
• suojakopiovaatimusta ei ole täytetty nykyjärjestelyillä
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 15
Rahoitushuoltopoolin varautumisohjeen uusiminen
rahoitushuoltopoolin kokouksessa 21.4.2008 suojakopioasia kytkettiin rahoitusmarkkinoiden varautumisohjeen uusimiseen
• mitkä ovat kriittiset tiedot
• mikä on tavoiteaika tietojen palautukselle
• miten palautettua tietoa voidaan käytännössä hyödyntää
uudistettu varautumisohje on tarkoitus saada valmiiksi vuoden 2008 loppuun mennessä
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 16
21.04.23 RAHOITUSTARKASTUS • FINANSINSPEKTIONEN • FINANCIAL SUPERVISION 17
Kiitoksia!
Kommentteja?
Email [email protected]
Puhelin 010 831 5389
www.rahoitustarkastus.fi