Operasjonell risiko: Måling, styring og kontroll

Transkript

1 Operasjonell risiko: Måling, styring og kontroll Kurs Operasjonell risiko, 5. september 2017 Are Jansrud, Finans Norge

2 Risikostyring 1. Identifisere 2. Vurdere 3. Måle 4. Overvåke 5. Håndtere 6. Rapportere

3 Hvor «finnes» den operasjonelle risikoen? Prosessene Rutinene Systemene Produktene Ansatte: kompetanse erfaring holdninger «dagsform» Kapasitet Fysiske fasiliteter De eksterne omgivelsene Prosjektene

4 Identifisere og vurdere operasjonell risiko: Et meget praktisk fag! Krever god og dyp praktisk innsikt i bankens forretningsprosesser, rutiner, systemer og teknologiske løsninger! Krever god og dyp praktisk innsikt i bankens produktspekter og de enkelte produktenes egenskaper! Krever god evne til å se og forstå hvordan eksterne begivenheter kan påvirke banken bl.a. hvordan banken er integrert i ulike nettverk Krever interesse for og innsikt i samfunnstrender og utviklingstrekk på mange fagområder Krever god fantasi og vilje til å tenke på og ta inn over seg det utenkelige! Og en tverrfaglig øvelse!

5 Ulike kilder og teknikker for op risk-vurderinger Eksterne tapsdata og analyser Interne tapsdata og analyser Revisjonsfunn Risk Self Assessment (RSA) / Risk Control Self Assessment (RCSA) Prosesskartlegging - Business Process Mapping (BPM) Key Risk Indicators (KRI) Scenarioanalyser Måling - kvantifisering Sammenlignende analyser

6 Eksempel: eksterne analyser A significant increase in overall operational risk has been witnessed in the last few years, including higher conduct risk, increased cybersecurity issues (see below) and digital fraud issues, and increased outsourcing risk, while at the same time new or previously immaterial risks such as the risk of mismanagement of personal data / lack of data privacy seem to be amplified by the lack of expertise of human resources and the inadequacy of technology infrastructures.

7 Et detaljert, konkret og praktisk arbeid

8 Svarte svaner kan ofte være operasjonelle. Professor Aven definerer 3 kategorier av sorte svaner: ukjente trusler som ikke er kjent fra fortiden (såkalt "ukjente ukjente") trusler som er kjente for noen, men som er ukjente for de som gjennomfører risikoanalysen trusler som blir neglisjert i risikoanalysen, fordi sannsynligheten er veldig lav. Andre har tatt til orde for av begrepet bør reserveres for kun de fullstendig ukjente trusler. Kilde: Finnes de? Er det virkelig så mange av dem? Ser vi dem blant alle de hvite? Blir disse også svarte?

9 9 Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in sample Richard Feynman, fysiker

10 10 Eller: Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker

11 11 Eller: enda verre. It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker

12 Sannsynlighet 12 Et enkelt risikobilde Sikker Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens

13 Et mer avansert risikobilde (1) Sannsynlighet Konsekvens Hurtighet Forberedthet

14 Et mer avansert risikobilde (2) Risiko Hurtighet Sannsynlighet Konsekvens Forberedthet Totalnivå Tiltak Skala 5:Nesten sikkert 4: Sannsynlig 3: Middels 2: Lite sannsynlig 1: Usannsynlig 5: Katastrofalt 4: Alvorlig 3: Moderat 2: Lav 1: Ubetydelig 3: Hurtig 2: Middels 1: Langsomt 1: Meget godt 2: Tilfredsstillende 3: Noen mangler 4: Svakt Grønn: 1-75 Gul: Rød: Hackerangrep «Conduct risk» Brann «Rogue trader» Nye rutiner i forhold til Forskrift om kredittmarkedsføring Fullmaktsrevisjon Nytt elektronisk handelssystem

15 15 Internasjonal status bank (Kilde: 2015 risk management survey of major financial institutions: Rethinking risk management Banks focus on non-financial risks and accountability, EY) Topp fokusområder for styret og ledelsen: compliancerisiko (57%), risikoappetitt (47%), kredittrisiko (32%) Topp fokusområder for CRO: regulatorisk compliance (61%), risikoappetitt (59%), kredittrisiko (57%) 70% har en «significant linkage of risk appetite to business planning» Enkeltbeslutninger: 43% «largely tested» og 51% «somewhat tested» mot risikoappetitten Viktigste parametre: Kapitalrelaterte forholdstall (83%), mål for funding/likviditet (83%), kapitaldekning (77%), konsentrasjonsrammer (66%), Tier 1-krav (64%) 83% har startet å etablere en risikoappetitt-tilnærming for ikke-finansielle risikoer 74% benytter en tilpasset tilnærming for ikke-finansielle risikoer, som omfatter både kvantitative og kvalitative elementer innenfor rammeverket for operasjonell risiko

16 Finanstilsynets modul 1.2. Strategi og overordnede retningslinjer (policyer) innhold I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere. Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet. Strategi og policy bør inneholde kvantifiserte rammer for eksponering på ulike områder og for ulike typer operasjonell risiko. Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette.

17 17 Å finne toleransegrensen: Stresstester og scenarioanalyser Stresstester Sensitivitetsanalyser Alvorlige tenkte hendelser Scenarioanalyser Komplette, sammensatte hendelsesforløp

18 18 Å finne toleransegrensen: Omvendte stresstester FORETAKET HAR IKKE TILSTREKKELIG KAPITAL HVOR STORE TAP MÅ TIL FOR AT DETTE SKAL KUNNE SKJE? HVILKE SCENARIER KAN SKAPE SLIKE TAP? KAN DISSE SCENARIOENE INNTREFFE? ER DET SANNSYNLIG / HVOR SANNSYNLIG ER DET AT DE INNTREFFER?

19 Risikotoleranse: Eksempel operasjonell risiko (1) Grenser/rammer på overordnet nivå Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Op.risk Generelt Antall uønskede hendelser Operasjonelle tap

20 Risikotoleranse: Eksempel operasjonell risiko (2) Grenser/rammer pr tapskategori Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Generelt Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Internt bedrageri Avdekkede svindelforsøk Eksternt bedrageri Avdekkede svindelforsøk Op.risk Ansettelsesvilkår og sikkerhet på arbeidsplassen Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Avbrudd i drift eller systemer Oppgjør, levering og annen transaksjonsbehandling Medarbeidertilfredshet Kundeklager Antall hendelser Økonomisk kostnad Nedetid nettbank Nedetid mobilbank Nedetid minibank Antall hendelser Økonomisk kostnad

21 Risikotoleranse: Eksempel operasjonell risiko (3) Grenser/rammer pr forretningsområde Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Op.risk Generelt Kreditt PM Kreditt BM Betalingsformidling Sparing og plassering Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Fullmaktsbrudd (antall) Kundeklager (antall) Fullmaktsbrudd (antall) Kundeklager (antall) Nedetid nettbank Nedetid mobilbank Kundeklager (antall) Erstatninger (kroner) Kundeklager (antall) Treasury Fullmaktsbrudd (antall) IKT Medarbeidere Nedetid interne systemer Uønskede hendelse Medarbeidetilfredshet Turnover

22 Risikotoleranse: Eksempel operasjonell risiko (4) Grenser/rammer pr fokusområde / risikoklasse Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Generelt Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Anti hvitvask Avviks-% i interne kontroller Op.risk Arbeidsbelastning «Conduct risk» Prosjektrisiko IKT-risiko Antall kredittsaker i snitt pr årsverk Høyste antall saker pr årsverk i % av laveste antall saker pr årsverk Sykefravær Antall kundeklager Negative medieoppslag Avviks-% i interne kontroller Antall prosjekter forsinket Kostnadsoverskridelser Nedetid nettbank Nedetid mobilbank Nedetid interne systemer Uønskede hendelser

23 Kundeklager Måling av operasjonell risiko Scenarioanalyser «Prosessovervåkning» Tilsynsrapporter Stresstester Uønskede hendelser Operasjonelle tap «Sannsynlighet og konsekvens» Omvendte stresstester IKT-hendelser OPERASJONELL RISIKO Kulturmålinger Compliancebrudd Tids- og kostnadsoverskridelser i prosjekter Internrevisjonsrapporter

24 Operasjonelle tap / Uønskede hendelser: Mulig kategorisering for måling Type hendelse Internt bedrageri Eksternt bedrageri Ansettelsesvilkår og sikkerhet på arbeidsplassen Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Avbrudd i drift eller systemer Oppgjør, levering og annen transaksjonsbehandling Definisjon Tap som følge av handlinger med sikte på uberettiget å tilegne seg midler eller omgå lovgivning eller virksomhetens mål unntatt hendelser knyttet til forskjellsbehandling. Tap som følge av handlinger som har til hensikt å bedra, uberettiget tilegne seg midler eller omgå lovgivningen, begått av en tredjepart. Tap som følge av hendelser som er i strid med lovgivning, forskrifter og avtaler om arbeidsmiljø, utbetaling av erstatninger som følge av personskade eller andre forhold. Tap som følge av utilsiktede handlinger eller unnlatelser som medfører manglende oppfyllelse av en forpliktelse overfor bestemte kunder (herunder tillits- og egnethetskrav), eller som følge av produktets art eller utforming. Tap som følge av skade på, eller tap av, fysiske eiendeler i naturkatastrofer eller andre begivenheter. Tap som følge av driftsavbrudd eller systemfeil. Tap som følge av utilstrekkelig eller sviktende transaksjonsbehandling eller systemer for transaksjonsbehandling med handelsmotparter og leverandører

25 Forbedringsorientert risikostyring Eksempel: kundeklager Foretaket skal løpende analysere informasjonen som er mottatt i klagene for å avdekke om klagene skyldes systematiske eller grunnleggende problemer hos foretaket.» (Finanstilsynets retningslinjer for klagebehandling) Det samme prinsippet bør anvendes på alle andre operasjonelle områder ikke bare når det er et regelverkskrav: Medarbeiderundersøkelser Uønskede hendelser og operasjonelle tap IKT-hendelser Etc.

26 Forbedringsorientert risikostyring: Hva som bør registreres / måles Brutto tapt beløp / kostnad Gjenvinning (for eksempel forsikringsdekninger) Netto tap beløp / kostnad Tidspunkt Tapskategori Underkategori av risiko Forretningsområde Årsak(er) «Foretakenes taps- og hendelsesdatabase bør designes slik at den bevarer så mye informasjon som mulig og informasjonen bør systematiseres på en måte som muliggjør læring og økt kunnskap samt igangsetting av tiltak for å forhindre fremtidige uønskede hendelser.» (Finanstilsynet, Modul for operasjonell risiko)

27 Risikomåling og kapitalbehov pilar 1 Kapitalkravet beregnes på basis av en Business Indicator (BI) skalert med en Tapskomponent (TK) BI = Rente, leasing og utbyttekomponenten + Servicekomponenten + Finansiell komponent Kapitalkravet: BI under 1 mrd EUR: 11% * BI BI over 1 med EUR: 110 mill + (BIC 110) * Ln (Exp (1) 1 + TK/BIC) Gjeldende regelverk Basismetoden 12,5 * 15% * Gjennomsnittsinntekt siste 3 år Sjablongmetoden AMA-metoden Pilar 1-metodenene er ikke nødvendigvis risikosensitive

28 Risikomåling og kapitalbehov pilar 2 Statistisk analyse på intern taps- og hendelsesdatabase Ofte (for) tynt datagrunnlag men bedre enn ingen ting? Stresstester: «Worst case», men kan overdrive kapitalbehovet pga manglende justering for sannsynlighet Stresstester Sensitivitetsanalyser / Alvorlige hendelser hva med sannsynligheten? Skjønnsmessige vurderinger Grunnlaget for kvantifiseringen?

29 Håndtere operasjonell risiko - eksempel Område Risiko Kilde Tiltak Ansvar Frist Kreditt Feilaktig eller mangelfullt beslutningsgrunnlag Systemer Produktegenskaper Prosedyrer og rutiner Kompetanse Erfaring Holdninger Kapasitet Eksterne forhold Innføre «samtykkebasert lånesøknad» Klarere rutiner for hvilken dokumentasjon som skal foreligge Tydeliggjøre krav og forventninger ifht medarbeidere

30 30 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Begrense Akseptere

31 31 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Akseptere

32 32 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere

33 33 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere = Risikotoleransen

34 Men denne metoden fungerer ikke for «svarte svaner» Det er ikke mulig å avstå fra / dele / begrense / akseptere risikoer man ikke vet om / ikke vet hva er / ikke tror på!

35 Styring av operasjonell risiko: «svarte svaner» (1) «Idèdugnader» «Red teaming» Eksterne kilder Kompetansebygging Holdninger og bevissthet Løpende overvåking «Early warning» Bevisst og systematisk analyse Vær forberedt! Fleksible beredskapsplaner! Vi kan lett bli «fristet» til å finne tolkninger og forklaringsmønstre som passer inn i vårt «verdensbilde» våre «ønskede» forklaringer. 1. Hva er det jeg «ser»? X 2. Hva er det som faktisk skjer? 3. Tolkning og analyse: årsaker? 4. Tiltak

36 Styring av operasjonell risiko: «svarte svaner» (2) (c) for lav sannsynlighet til at vi tror på de

37 Styring av operasjonell risiko Risikoerkjennelse: «risk acknowledgement is about accepting the risk and making necessary conclusions and actions.» «Risk acknowledgement means taking the risk to heart, accepting the situation and drawing the necessary conclusions.» «black box risk-based thinking, which relates to numbers alone and does not inform sufficiently about the context, the limitations of the numbers to represent and express risk, as well as the knowledge and assumptions on which these judgements and numbers are founded.» Kilde: Ø. Amundrud og T. Aven: On how to understand and acknowledge risk, Reliability Engeneering and System Safety

38 Rapportere (1) Viktigste risikoer: Status Trend Tiltak Nye eller økte risikoer: Reduserte risikoer: Uønskede hendelser: Operasjonelle tap:

39 Rapportere (2) Kategori Måleparameter Toleranse Status Sone Tiltak Frist Ansvar Generelt Kreditt PM Kreditt BM Betalingsformidling Sparing og plassering Treasury IKT Medarbeidere Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Fullmaktsbrudd (antall) Kundeklager (antall) Fullmaktsbrudd (antall) Kundeklager (antall) Nedetid nettbank Nedetid mobilbank Kundeklager (antall) Erstatninger (kroner) Kundeklager (antall) Fullmaktsbrudd (antall) Nedetid interne systemer Uønskede hendelse Medarbeidetilfredshet Turnover

40

41 VEDLEGG

42 Finanstilsynets modul (1) 1.1. Strategi og overordnede retningslinjer (policyer) dokumentasjon og prosess Foretaket bør ha et rammeverk som inkluderer en strategi for styring av operasjonell risiko og som dekker hele virksomheten Rammeverket bør i tillegg til strategi inkludere rammer og retningslinjer for styring av operasjonell risiko, system for kontroller, registrering, oppfølging og rapportering, og det bør videre hensynta foretakets forretningsmodell, virksomhetsområder og konkurranseforhold, samt risikokultur. Rammeverket bør fastsettes av styret og revideres jevnlig av styret i lys av endrede rammebetingelser, makroøkonomiske utsikter, utviklingen innenfor strategiske satsningsområder, foretakets soliditet og økonomiske utvikling

43 Finanstilsynets modul (2) 1.2. Strategi og overordnede retningslinjer (policyer) innhold I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere. Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet. Strategi og policy bør inneholde kvantifiserte rammer for eksponering på ulike områder og for ulike typer operasjonell risiko. Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette.

44 Finanstilsynets modul (3) 1.3. Måltall og rammer for operasjonell risiko Styret bør gjennom den etablerte rammestrukturen sikre at foretaket har tilstrekkelig styring med den operasjonelle risikoen. Rammestrukturen bør være tilpasset aktivitets- og risikonivået i foretaket og dekke hele virksomheten.

45 Finanstilsynets modul (4) 2.1. Organisering og ansvarsforhold Syret har det overordnede ansvaret og bør etablere en sterk risikostyringskultur i hele organisasjonen. "Tonen fra toppen" er avgjørende for risikostyringen i et foretak og arbeid med organisasjonskultur antas å gi positivt bidrag til operasjonell risikostyring. Styret skal føre tilsyn med foretakets ledelse for å se til at policyer, prosesser og systemer for styring av operasjonell risiko er effektivt implementert på alle beslutningsnivåer iorganisasjonen,. Styret bør påse at det eksisterer en sunn organisasjonskultur. Organisasjonskulturen (verdier, holdninger, etikk, mv.) i et foretak kan innvirke på operasjonelle hendelser. En usunn organisasjonskultur kan øke sannsynligheten for operasjonelle tap og konsekvensene eventuelle hendelser kan få for foretaket. Foretakets godtgjørelsesordning, som skal fastsettes av styret, skal bidra til god styring og kontroll med foretakets risiko, motvirke høy risikotaking og bidra til å unngå interessekonflikter, jf. 1 i forskrift om godtgjørelse i finansinstitusjoner mv. Godtgjørelsesordninger som stimulerer til aggressiv oppførsel kan øke den operasjonelle risikoen i foretaket ved økt regelbrudd, kritikkverdig adferd og feil. Foretakets øverste administrative ledelse er ansvarlig for å utvikle en klar, effektiv og robust styringsstruktur med definerte, transparente og konsistente ansvarslinjer som godkjennes av styret. Ledelsen er ansvarlig for å implementere og vedlikeholde policyer, prosesser og systemer for styring av operasjonell risiko i hele virksomheten i samsvar med styrets definerte risikotoleranse. Foretaket må sikre at det er tilstrekkelig uavhengighet og arbeidsdeling mellom enheter og personell med utøvende funksjoner og enheter og personell med ansvar for overvåking, rapportering og kontroll av operasjonell risiko. Et finansforetak skal ha uavhengige kontrollfunksjoner med ansvar for internrevisjon, risikostyring og etterlevelse (compliance). Risikokontrollfunksjonen, som også har et ansvar for styring og kontroll av operasjonell risiko, skal være uavhengig av operative funksjoner, rapportere enten direkte eller indirekte til daglig leder, kunne rapportere direkte til styret og ikke kunne avsettes uten samtykke fra styret.

46 Finanstilsynets modul (5) 2.2. Ressurser og kompetanse Styret og foretakets ledelse må sikre at foretaket har personale med tilstrekkelig kompetanse til å styre og kontrollere de aktuelle operasjonelle risikoene. Antallet medarbeidere bør være tilpasset virksomhetens kompleksitet og omfang. Ressursene bør være tilstrekkelig til å dekke inn midlertidig fravær av nøkkelpersonell. Styret bør definere nøkkelfunksjoner, jevnlig vurdere denne risikoen og iverksette risikoreduserende tiltak dersom risikoen blir for høy. Risikokontrollfunksjonens, compliance-funksjonens og internrevisjonens ressurser innenfor operasjonell risikostyring bør være tilpasset kompleksiteten og omfanget av virksomheten, og det er avgjørende at personell med kontrollansvar har tilstrekkelig kompetanse og autoritet.

47 Finanstilsynets modul (6) 2.3. Utkontraktering Ansvar kan ikke utkontrakteres, foretaket er ansvarlig for risikostyring og internkontroll også av evt. utkontrakterte deler av virksomheten. Styret bør fastsette interne retningslinjer for utkontraktering. Retningslinjene bør inkludere rutiner for melding til Finanstilsynet før inngåelse av avtaler om utkontraktering. Utkontraktering forutsetter en skriftlig avtale som sikrer innsyn, kontroll og revisjon av den utkontrakterte virksomheten, også for Finanstilsynet. Avtaler om utkontraktering bør godkjennes av styret og sikre rimelig rett til oppsigelse av avtalen under betryggende forhold til alternativ løsning er etablert. Avtaler om utkontraktering av IKT-systemer som er av betydning for foretakets virksomhet (og endringer i slike) skal behandles av styret. Beslutning om utkontraktering skal tas på grunnlag av en risikovurdering. Foretaket må selv ha kompetanse til å vurdere om oppdragstaker utfører oppdraget tilfredsstillende. Oppdragsgiver må fortløpende ha mulighet til å identifisere og kontrollere de risikoene som er knyttet til utkontraktering av oppgavene.

48 Finanstilsynets modul (7) 3.1. System for måling av operasjonell risiko i løpende drift Foretaket bør ha system og interne retningslinjer for å identifisere og måle den operasjonelle risikoen i alle vesentlige produkter, aktiviteter, prosesser og systemer. Foretakenes taps- og hendelsesdatabase bør designes slik at den bevarer så mye informasjon som mulig og informasjonen bør systematiseres på en måte som muliggjør læring og økt kunnskap samt igangsetting av tiltak for å forhindre fremtidige uønskede hendelser. Foretaket bør ha system og interne retningslinjer som sikrer at hendelser som medfører vesentlig reduksjon i funksjonalitet i IKT-systemer rapporteres til Finanstilsynet.

49 Finanstilsynets modul (8) 3.2. Operasjonell risiko i nye produkter, aktiviteter, prosesser og systemer Foretakets ledelse må sørge for at foretaket har en godkjenningsprosess som inkluderer interne retningslinjer for nye produkter, aktiviteter, prosesser og systemer. Nye produkter, aktiviteter, prosesser og systemer av vesentlig betydning og/eller avvikende risikoprofil bør godkjennes av styret og/eller relevante organ på øverste ledelsesnivå. Foretaket skal ved endring eller etablering av produkter og rutiner av vesentlig betydning gjøre en risikovurdering før virksomheten igangsettes, en risikovurdering som må inkludere operasjonelle risikofaktorer. Risikovurderingen bør klargjøre risikoreduserende tiltak, både tiltak som skal iverksettes før igangsetting og tiltak som kan iverksettes på kort og lang sikt dersom risikoen utvikler seg negativt.

50 Finanstilsynets modul (9) 3.3. Måling av operasjonell risiko ved beregning av kapitalbehov Foretaket bør ha rutiner og prosedyrer som sikrer riktig måling og beregning av regulatorisk kapital for operasjonell risiko. Beregnet regulatorisk kapital bør vurderes mot foretakets definerte risikotoleranse og faktiske historiske tap som følge av operasjonelle feil.

51 Finanstilsynets modul (10) 4.1. Overvåking Foretaket bør ha enhetlige rutiner og prosedyrer som sikrer jevnlig overvåking av den operasjonelle risikoutviklingen og vesentlige tapseksponeringer i hele virksomheten. Foretaket bør videre ha rutiner og prosedyrer som sikrer jevnlig overvåking av etterlevelse av lov- og forskriftskrav samt interne retningslinjer og rutiner. Ved gjentatte brudd på regelverket må det vurderes om dette skyldes manglende respekt for regelverket og/eller at rutinene for overvåkningen ikke er tilfredsstillende.

52 Finanstilsynets modul (11) 4.2. Rapportering og oppfølging Foretaket bør ha rapportering og oppfølging på de strategiske måltallene og rammene som er fastsatt i foretakets strategi/policy for operasjonell risiko. Mottaker av rapporter bør være det organisatoriske nivå som har fastsatt strategi, policy, mål og rammer. Foretaket bør dokumentere hvilke rapporter som produseres, hvor ofte de produseres, hvem som er ansvarlig for innhold i rapportene, hvem som mottar hvilke rapporter og hvorledes informasjonen brukes og følges opp. Foretaket bør ha etablert rutiner for kvalitetssikring av rapporteringsdataene og systemene for rapportering, både for interne rapporter og for rapportering til myndighetene11. Det bør foretas rimelighetskontroller og stikkprøver av dataene. Rapportenes form, innhold og frekvens bør revurderes jevnlig.

53 Finanstilsynets modul (12) 4.3. Internkontroll av operasjonell risiko Styret bør utvikle og vedlikeholde robuste systemer for internkontrollen med hensiktsmessige interne kontroller som dekker operasjonelle risikoforhold i hele virksomheten. Ledelsesrapportene bør være konkrete på hvilke operasjonelle risikofaktorer som er kontrollert og vurdert, hvilke kontrollhandlinger som er foretatt, resultatene av disse og utviklingen over tid, samt risikoreduserende tiltak som er iverksatt.

54 Finanstilsynets modul (13) 4.4. Offentliggjøring av informasjon om operasjonell risiko Foretaket bør offentliggjøre tilstrekkelig med informasjon som gjør det mulig for interessenter å vurdere foretakets tilnærming til operasjonell risikostyring. Foretaket skal ha interne retningslinjer og rutiner for å oppfylle sin informasjonsplikt innenfor operasjonell risiko (pilar 3). For operasjonell risiko skal foretaket minimum offentliggjøre informasjon om strategi og prosesser, organisering av risikostyringsfunksjonen, risikorapporterings- og målesystemet samt retningslinjer og rutiner for overvåking og bruk av sikkerhetsstillelse.

55 Finanstilsynets modul (14) 5. Beredskap og kontinuitet Foretakets beredskapsplaner, både på overordnet nivå og for vesentlige virksomhetsområder, bør være dekkende for hele virksomheten, sees i sammenheng og være basert på en oppdatert risikovurdering. Foretakets beredskapsplaner bør godkjennes av styret. Beredskapsplanene skal oppdateres jevnlig og i lys av endrede rammebetingelser, utviklingen innenfor strategiske satsningsområder, mv. Beredskapsplanene må være tilgjengelige ved alle situasjoner. Foretaket bør gjennomføre opplæring regelmessig og beredskapsplanene bør testes jevnlig. Planene bør omfatte forskjellige type scenarier som kan påvirke foretakets driftssituasjon vesentlig, det være fysiske hendelser som eksempelvis brann, ran og flom, og hendelser knyttet til IKT-systemene som eksempelvis hacking, trojanerangrep og DDoS-angrep. Planene bør bl.a. inkludere interne retningslinjer og prosedyrer med tiltak, oversikt over roller og ansvarsforhold (beredskapsorganisasjon), og krav til intern og ekstern informasjon og kommunikasjon. Kriseplaner for foretakets IKT-systemer må tilfredsstille IKT-forskriftens krav. Beredskapsplaner for likviditetskriser må videre tilfredsstille likviditetsstyringsforskriftens krav.

56 Finanstilsynets modul (15) 6. Uavhengig kontroll De uavhengige kontrollfunksjonene bør foreta relevante, dokumenterbare operasjonelle risikokontroller med høy faglig standard. De uavhengige kontrollfunksjonene må ha tilstrekkelig kompetanse og ressurser innen operasjonell risiko. Rapporter fra uavhengige kontrollfunksjoner som omhandler operasjonell risiko bør adresseres til og behandles av relevant nivå i organisasjonen. Foretaket bør ha prosedyrer for hvordan påpekninger som omhandler operasjonell risiko fra uavhengige kontrollfunksjoner skal behandles og følges opp. Foretakets system for styring og kontroll av operasjonell risiko bør jevnlig evalueres av uavhengige kontrollfunksjonene. For foretak som benytter sjablongmetoden skal systemet gjennomgås og bekreftes av en uavhengig funksjon regelmessig.

57