Arbejder du stadig i regneark?
Har du sikret, at din operationelle risikostyring og tabs- og IT-sikkerhedshændelsesstyring efterlever krav i lov om finansiel virksomhed?
Løsning
LinkGRC har de sidste 15 år leveret løsninger til den danske finansielle sektor med fokus på praktisk håndtering af operationelle risici, tabs- og IT-sikkerhedshændelser.
I løsningerne kan dokumentationen sikres for at opnå efterlevelse af lov om finansiel virksomhed ligesom ejerskaber, årshjul og opgaver kan håndtere. Man kan samle tabs- og it-sikkerhedshændelses håndteringen, løbende skabe overblik, rapportere men også rapportere til eksterne parter i kendte formater som fx KORS/KORC til Finanstilsynet.
Værktøjet spiller sammen med anden funktionalitet i vores platform som fx IT-risikostyring, dokumenthåndtering og kontroldesign og udførsel hvor relevante IT-risici, dokumenter og kontroller kan dokumenteres og vedligeholdes i relation til operationel risikostyring og tabs- IT-sikkerhedshændelsesstyringen.
De tre områder, som du skal have styr på!
Operationelle risici
For at sikre efterlevelse af lov om finansiel virksomhed skal der som minimum arbejdes med følgende aktiviteter:
- kontrollerbare rammer for, hvilke og hvor store risici direktionen må påføre virksomheden
- principperne for opgørelse af de enkelte risikotyper
- regler for, hvordan og i hvilket omfang direktionen skal rapportere til bestyrelsen
- Bestyrelsen skal løbende tage stilling til, om virksomhedens risikoprofil.
- Etablering af en Politik for operationel risiko og forretningsgange der sikrer implementering og som minimum omhandler hvorledes risici identificere, måles, styres, håndteres, overvågers og rapporteres
De operationelle risici der skal identificeres skal inkludere følger af:
- af outsourcing, herunder afhængighed af underleverandører
- risici knyttet til virksomhedens produkter og/eller kundegrupper
- omfanget af manuelle rutiner
- afhængighed af eksterne forhold
- risici knyttet til virksomhedens organisering, herunder manglende funktionsadskillelse
- fysisk sikkerhed.
Operationelle Tabshændelser
Operationelle tabshændelser skal som minimum løbende identificeres, registreres, vurderes, opbevares og rapporteres. Specifikke aktiviteter vil være f.eks:
- Anvisning til hvorledes direktionen skal registrere tabshændelser, herunder hvilke oplysninger vedrørende tabshændelserne der skal registrere og i hvilket omfang registrering skal foretages
- beløbsmæssige grænser for registreringen af hændelser, der har medført tab, såvel som hændelser, der kunne have medført tab. Dette skal beskrives i forretningsgang for operationelle tabshændelser.
- Hvorledes virksomheden kategoriserer tabshændelser.
- Hyppighed, indhold, interessenter for rapportering af tabshændelser,
- Der skal etableres effektive systemer og metoder til at identificere, registrere, kategorisere, rapportere og opbevare oplysninger om tabshændelser i virksomhedens væsentlige forretningsområder
IT-sikkerhedshændelser
Alle finansielle virksomheder skal registrere, kategorisere, klassificere og rapportere it-sikkerhedshændelser. Specifikke aktiviteter vil være:
- Etablering af forretningsgange som beskriver hvorledes it-sikkerhedshændelser identificeres, registreres, kategoriseres, klassificeres og rapporteres
- It-sikkerhedshændelser skal prioriteret på baggrund af hvor kritiske de vurderes af forretningen
- Der skal etableres notifikationer om it-sikkerheds-hændelser fra interne medarbejdere og eksterne leverandører/konsulenter
- Rapportering af væsentlige it-sikkerhedshændelser med potentielt stor negativ indvirkning på kritiske it-systemer og it-services til ledelse og direktionen og i relevant omfang til bestyrelse
Kom godt i gang med dit arbejde omkring operationel risikostyring. Vi står klar til at hjælpe i alle faser. Send os en besked og vi kontakter dig hurtigst muligt.
