Risikobasert tilsyn Modul for vurdering av Operasjonell risiko (oppdatert juni 2007)
1. Innledning... 2 1.1 Definisjon av operasjonell risiko... 2 1.2 Bakgrunn og formål... 2 1.3 Innhold... 2 2. Kapitalkravsreglene for operasjonell risiko... 3 2.1 Beregningsmetoder for minstekravet (Pilar 1)... 3 2.2 Lovkrav for styring og kontroll av operasjonell risiko (Pilar 2)... 3 2.2.1 Generelle krav... 3 2.2.2 Særlige krav for sjablongmetoden... 4 2.3 Tilsynsmessig oppfølging av lovkrav... 4 3. Kredittilsynets moduler i risikobasert tilsyn... 5 3.1 Modul for Overordnet styring og kontroll (Internal Governance)... 6 3.2 De øvrige modulene... 6 4. Modulens oppbygging, verktøy og prosess... 6 4.1 Inndeling i tapshendelseskategorier... 6 4.2 Verktøy og prosess... 7 4.3 Tilsynsmessige tiltak (sanksjoner)... 7 5. Vurdering av risikostyringsprosessen... 7 5.1 Styrets og daglig leders roller... 7 5.2 Konseptuell tilnærming... 8 5.2.1 Internt miljø... 9 5.2.2 Etablering av målsettinger... 9 5.2.3 Identifisering av hendelser... 9 5.2.4 Risikovurdering... 10 5.2.5 Risikohåndtering... 10 5.2.6 Kontrollaktiviteter... 10 5.2.7 Informasjon og kommunikasjon... 10 5.2.8 Oppfølging... 10 5.3 Forholdet til modulen for overordnet styring og kontroll (Internal Governance) 11 5.4 Forholdet mellom helhetlig risikostyring og intern kontroll... 11 6. Vurdering av tapshendelseskategoriene... 11 6.1 Styring og kontroll... 12 6.2 Eksponering... 12 7. Videreutvikling av modulen... 12 Vedlegg 1 Definisjoner, forkortelser Vedlegg 2 - Tapshendelseskategoriene Oversikt Vedlegg 3 - Kontrollspørsmål til kapittel 5 Vedlegg 4 - Kontrollspørsmål til kapittel 6 Dokumentansvarlig: Morten Thorbjørnsen Utgitt : 22.06.2007 Oppdatert : 03.06.2008 Side 1
1. Innledning 1.1 Definisjon av operasjonell risiko Kredittilsynet definerer operasjonell risiko 1 som risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Definisjonen omfatter juridisk risiko, men ikke strategisk risiko og omdømmerisiko som må vurderes særskilt. 1.2 Bakgrunn og formål Med bakgrunn i de nye kapitalkravsreglene har Kredittilsynet utviklet en modul, som vil være tilsynets verktøy for å kartlegge og vurdere institusjonens operasjonelle risikoer (OpRiskmodulen). Modulen er spesielt rettet mot banker og finansieringsforetak. I den grad den brukes for mindre institusjoner, må det tas hensyn til at disse vanligvis bruker enklere metoder, verktøy og prosesser i risikostyringen. Modulen er publisert på Kredittilsynets nettsted www.kredittilsynet.no med henblikk på at den kan tjene som en veiledning for institusjonene. 1.3 Innhold Kapittel 2 gir en oversikt over metodene for beregning av minstekravet til kapital og de generelle og særlige lovkravene (sjablongmetoden) til styring og kontroll av operasjonell risiko og hvordan disse blir fulgt opp tilsynsmessig. Kapittel 3 viser en illustrasjon av modulene som Kredittilsynet bruker i risikovurderingen, og omtaler deres anvendelsesområder og hvordan de bidrar til en samlet vurdering av operasjonell risiko i tilsynets SREP-prosess. Kapittel 4 gir en oversikt over de syv tapshendelseskategoriene som er grunnlaget for vurdering av operasjonell risiko i modulen. Det redegjøres for verktøy som brukes i kartleggingen (egenvurderingsskjemaer), prosessen og hvilke legale sanksjonsmuligheter som er tilgjengelig. Kapittel 5 viser Kredittilsynets tilnærming for vurdering av risikostyringen, der prosessen er delt inn i komponenter i tråd med COSO s rammeverk for Helhetlig risikostyring. Forholdet mellom helhetlig risikostyring og rammeverket for intern kontroll, overlappinger mellom OpRisk-modulen og Modul for overordnet styring, og innbyrdes mellom hendelseskategoriene i OpRisk-modulen blir berørt. Kontrollspørsmål finnes i vedlegg 3. Kapittel 6 går nærmere inn på vurdering og gradering av styring og kontroll og eksponeringen av tapshendelseskategoriene. Kontrollspørsmål finnes i vedlegg 4. Kapittel 7 omtaler videreutvikling og oppdatering av modulen. 1 Baselkomiteens definisjon. Enkelte institusjoner kan for egen del finne det hensiktsmessig å ha en videre definisjon av operasjonell risiko. Kredittilsynet legger for så vidt ingen føringer på dette, men for de institusjoner som bruker avansert metode (AMA) for beregning av minstekravet, vil det være nødvendig at datagrunnlag og modeller er tilpasset Baselkomiteens definisjon. Side 2
2. Kapitalkravsreglene for operasjonell risiko Finansdepartementet fastsatte 14. desember 2006 Forskrift om kapitalkrav for forretningsbanker, sparebanker, finansieringsforetak, holdingselskaper i finanskonsern, verdipapirforetak og forvaltningsselskaper for verdipapirfond (kapitalkravsforskriften). Forskriften inneholder regler om beregning av minstekrav til kapitaldekning og generelle og særlige krav til styring og kontroll av operasjonell risiko. Nedenfor gis en oversikt over hovedbestemmelsene. 2.1 Beregningsmetoder for minstekravet (Pilar 1) Institusjonene kan velge mellom følgende tre metoder for beregning av minstekravet, jf. forskriftens 41 og flg.: - basismetoden - sjablongmetoden - avansert metode (AMA) Metodene er tilpasset institusjonenes størrelse, virksomhetens karakter og kompleksitet. Basismetoden passer for mindre institusjoner med en oversiktlig virksomhet og enkel organisasjon, mens sjablongmetoden passer for de større og mer komplekse institusjonene. I basismetoden er beregningsgrunnlaget for minstekravet 15 % av gjennomsnittlig inntekt de tre siste år multiplisert med 12,5, jf. 42-1. Kapitalkravsforskriften inneholder nærmere bestemmelser om hvilke poster som inngår i inntektsbegrepet. I sjablongmetoden skal inntektene henføres til åtte definerte forretningsområder, der det er definert hvilke tjenestekategorier som inngår i områdene. Ved beregningen av minstekravet multipliseres inntektene med fastsatte prosentsatser som varierer mellom forretningsområdene (fra 12 % til 18 %), jf. beregningsgrunnlag og tabell i 43-2. Institusjonen skal ha interne retningslinjer for fordeling av inntekter på forretningsområdene. I avansert metode (AMA) gis institusjonene adgang til selv å beregne sitt kapitalkrav ved bruk av modeller som må godkjennes av Kredittilsynet. AMA er foreløpig ikke aktuell for norske institusjoner, og blir derfor ikke behandlet nærmere i denne utgaven av modulen. 2.2 Lovkrav for styring og kontroll av operasjonell risiko (Pilar 2) 2.2.1 Generelle krav Forskriftens 47-1 krever at styret skal godkjenne og oppdatere retningslinjer for å påta institusjonen risikoer og for å identifisere, styre, overvåke og kontrollere risikoer som institusjonen er eller kan bli utsatt for, herunder risikoer knyttet til makroøkonomiske forhold. Kravet til å godkjenne risikoprofil og risikostyringssystem gjelder for alle institusjoner uansett hvilken beregningsmetode som brukes, men dimensjoneringen av risikostyringssystemet må ses i sammenheng med institusjonens størrelse og virksomhetens omfang og kompleksitet ( forholdmessighetsprinsippet ). Styret skal videre fastsette retningslinjer for skille mellom institusjonens forskjellige funksjoner og for å forebygge interessekonflikter. Det skal her vurderes om det er innført skiller mellom utførende og kontrollerende ledd i arbeidsprosesser ( segregation of duties ), og tiltak for å unngå uheldige utslag i tilfeller der institusjonen har ulike forretningsmessige roller, for eksempel der den både er tilrettelegger og investor i prosjekter. Retningslinjene skal også omfatte beredskapsplaner for å sikre videreføring av driften og begrensning av tap ved alvorlige driftsforstyrrelser. Side 3
2.2.2 Særlige krav for sjablongmetoden Forskriftens 43-1 stiller særlige krav til at institusjoner som bruker sjablongmetoden skal: - ha et veldokumentert vurderings- og styringssystem for operasjonell risiko med tydelig ansvarsfordeling - identifisere og registrere relevante opplysninger og betydelige tap vedrørende operasjonell risiko - foreta en regelmessig gjennomgang av systemet som bekreftes av en uavhengig funksjon i institusjonen - ha et vurderingssystem for operasjonell risiko som er en integrert del av risikostyringsprosessen - ha en intern rapporteringsstruktur som sikrer at styret og andre relevante funksjoner i institusjonen får nødvendig informasjon om operasjonell risiko De særlige kravene kommer altså i tillegg til de generelle kravene for risikostyring i 47-1. I 43-1 stilles det blant annet krav til at institusjonen skal ha et veldokumentert vurderingssystem. Begrepet er ikke definert i tilknytning til forskriften, men det fremgår at systemet skal være en integrert del av risikostyringsprosessen. Det er derfor lagt til grunn at vurderingssystemet omfatter de prosesser, metoder, verktøy og teknikker som de større og mer komplekse institusjonene bruker for å identifisere og konkret vurdere den operasjonelle risikoen, jf. komponentene i kapittel 5.2.3 og 5.2.4. Det stilles videre krav til registrering av relevante opplysninger og betydelige tap vedrørende operasjonell risiko. Det stilles ikke nærmere krav til kriterier mv. for registreringen av opplysninger og tap slik som for AMA-metoden. De større institusjonene har innført interne regler og rutiner for registrering av hendelser og tap i en såkalt tapshendelsesdatabase. I denne modulen er derfor den nåværende praksis i institusjonene lagt til grunn for oppfølgingen av registreringskravet. Det kreves ikke forhåndsgodkjenning for bruk av sjablongmetoden, men institusjonene pålegges å underrette Kredittilsynet om at metoden benyttes. Institusjonene kan heller ikke endre beregningsmetode uten tillatelse fra Kredittilsynet. Kravene som er nevnt foran skal følges opp i det løpende tilsynet. 2.3 Tilsynsmessig oppfølging av lovkrav For å bidra til å sikre kvaliteten på institusjonenes rapportering av kapitaldekningen, er det under kapittel 5 i modulen tatt inn generelle kontrollspørsmål knyttet til institusjonens rutiner og prosesser mv. for beregning og rapportering av minstekravet til kapital (Pilar 1). Disse spørsmålene omfatter både for kreditt-, markeds- og operasjonell risiko. Det er dessuten tatt inn en egen gruppe med spørsmål som dekker rutiner og prosesser som er spesifikke for operasjonell risiko. De generelle lovkravene til styring og kontroll (Pilar 2) i forskriftens 47 og særkravene for sjablongmetoden i 43-1, pkt. 1-3, er dekket av kontrollspørsmålene knyttet til blant annet komponentene i risikostyringsprosessen under kapittel 5. Spørsmål knyttet til sjablongmetodens krav til registrering av opplysninger om operasjonell risiko er tatt inn som en egen gruppe under samme kapittel. Side 4
3. Kredittilsynets moduler i risikobasert tilsyn Kredittilsynet har utviklet moduler som verktøy for vurdering av de ulike risikokategoriene (kreditt-, markeds-, forsikrings-, likviditets- og operasjonell risiko). Modulenes funksjon i risikovurderingen av institusjonene blir kommentert nedenfor. Modulene er primært tilpasset institusjoner som omfattes av de nye kapitalkravene. Figuren nedenfor viser hvordan en modulbasert vurdering av de ulike risikoområder kan bygges opp for et finanskonsern, der vurderingen av de risikoområder som det beregnes kapitalkrav for (kreditt-, markeds- og operasjonell risiko) vil inngå sammen med likviditetsrisiko og forsikringsrisiko samt øvrige risikofaktorer (f.eks omdømmerisiko, strategisk risiko) som inngår i Pilar 2-vurderingen. Risikobasert tilsyn som metode er utviklet av Kredittilsynet også for andre institusjoner under tilsyn enn de som omfattes av de kapitalkravene. Begrepet omfatter også de tilsynsmetoder som er utviklet innenfor området IT-risiko, basert på Cobit-modellen. Risikobasert tilsyn - Kredittilsynets moduler Modul for overordnet styring og kontroll (Internal Governance) Modul for Kreditt - risiko Modul for Markeds - risiko Modul for Likviditets - risiko Modul for Forsikrings - risiko Modul for Operasjonell risiko Kontroll Kontroll Kontroll Kontroll Kontroll Ver. 1 Eksponering Eksponering Eksponering Eksponering Eksponering 18 Kredittilsynets risikovurdering (RAS) Institusjonenes ICAAP-prosess Kredittilsynets SREP-prosess Side 5
3.1 Modul for Overordnet styring og kontroll (Internal Governance) Modulen inneholder retningslinjer som skal ivareta oppfølgingen av de overordnete og generelle kravene til risikostyring i finansieringsvirksomhetslovens 2-9 2. Retningslinjene gir føringer for utformingen og organiseringen av risikostyringen, og er basert på beste praksis hos tilsynsmyndighetene innenfor EU. Det kan være hensiktsmessig at denne modulen, som er overbyggende for alle risikokategoriene, blir anvendt før de enkelte kategoriene vurderes. Det er foretatt en gjennomgang av grensesnittet mot de øvrige modulene for i størst mulig grad å unngå overlapping, ved at de generelle aspekter ved styring og kontroll søkes samlet i modulen for overordnet styring og kontroll. Grensesnittene til OpRisk-modulen er kommentert nærmere i kapittel 5.4. Modulen er lagt ut på Kredittilsynets nettsted:. http://www.kredittilsynet.no/archive/f-avd_word/01/06/modul028.doc 3.2 De øvrige modulene De øvrige modulene har en felles hovedstruktur, som består av en eksponerings- og en kontrolldel. Eksponeringsdelen brukes for å vurdere risikonivået, mens kontrolldelen brukes ved vurdering av kvaliteten på styring og kontroll innenfor definerte forretningsenheter. OpRisk-modulen skiller seg fra de øvrige ved at den ikke er rettet mot et spesielt forretningsområde, men omfatter ulike kategorier av hendelser som kan påvirke flere enheter, jf. kapittel 4.1. 4. Modulens oppbygging, verktøy og prosess 4.1 Inndeling i tapshendelseskategorier Modulen tar utgangspunkt kapitaldekningsforskriftens del VIII 44-2 (gjelder for AMA), som deler operasjonell risiko inn i følgende syv tapshendelseskategorier: - Internt bedrageri - Eksternt bedrageri - Ansettelsesvilkår og sikkerhet på arbeidsplassen - Kunder, produkter og forretningspraksis - Skade på fysiske eiendeler - Avbrudd i drift eller systemer - Oppgjør, levering og annen transaksjonsbehandling Kategoriene er brutt ned på undergrupper, eksempelvis Avbrudd i drift eller systemer, som inneholder IT-risiko, og Eksternt bedrageri som blant annet inneholder hvitvasking. En fullstendig oversikt over tapshendelseskategoriene og undergruppene med tilhørende kontrollspørsmål er tatt inn i vedlegg 4. 2 Fvl 2-9 implementerer EU-direktivets artikkel 22 og Annex V. CEBS har utdypet og presisert artikkelen i Guidelines on Internal Governance. Kredittilsynets modul inneholder en oversettelse av prinsippene til norsk og er forsøkt tilpassert norske forhold. Side 6
4.2 Verktøy og prosess Det er utarbeidet hjelpeskjemaer som er det praktiske verktøyet for kartleggingen. Skjemaene inneholder spørsmål som er utformet slik at egenvurderingsmetoden kan brukes. Det er lagt til grunn at spørreskjemaene kan brukes til å vurdere både eksponering og styring og kontroll. Institusjonens egenevaluering vil sammen med øvrig relevant informasjon danne grunnlaget for analysen. En viktig undergruppe i kategorien Avbrudd i drift eller systemer er IT-risiko. I OpRiskmodulen er det lagt opp til en noe forenklet vurdering av IT-risiko. Hvis det er ønskelig å foreta en grundigere gjennomgang, må dette utføres av seksjon for IT-tilsyn, som anvender egne moduler basert på Cobit-modellen. Det antas at det vil bli vanlig å vurdere alle hendelseskategoriene samtidig, men det kan også være ønskelig å se på enkelte kategorier separat, for eksempel hvitvasking og IT (temainspeksjoner). I forbindelse med oversendelse av egenvurderingsskjemaer til institusjonen, bør det vurderes om det er behov for å innhente skriftlig dokumentasjon knyttet til enkelte spørsmål eller temaer. Kredittilsynet vil ofte være i besittelse av relevant informasjon, for eksempel inspeksjonsrapporter, rapporter fra internkontrollen og intern- og eksternrevisor, samt styrets egenvurdering av retningslinjene for den overordnete styring og kontroll mv. For å unngå overlappende behandling bør det generelt vurderes om enkelte spørsmål eller temaer allerede er tilstrekkelig belyst. Dette kan spesielt gjelde styrets egenvurdering av de overordnete retningslinjene for styring og kontroll, der det kan tenkes at enkelte spørsmål allerede er tilstrekkelig belyst. Analysen eller rapporten blir på vanlig måte sendt til daglig leder og/eller styret (etter gjeldende praksis), som kommenterer faktabeskrivelser og vurderinger. Basert på rapporten og kommentarer fra institusjonen blir det sendt en endelig rapport med eventuelle anbefalinger eller pålegg om retting mv. 4.3 Tilsynsmessige tiltak (sanksjoner) Fvl. 2-9 d gir sanksjonsalternativer som kan anvendes i forhold til alvorlighetsgraden av de forhold som avdekkes. Ved pålegg om retting følges reglene i forvaltningsloven. Hvis det er aktuelt å vurdere krav til tilleggskapital eller andre mer gjennomgripende tiltak, anbefales primært at kravet vurderes i sammenheng med ICAAP-prosessen. Hvis dette av tidsmessige grunner ikke er hensiktsmessig, følges interne behandlingsprosedyrer. 5. Vurdering av risikostyringsprosessen 5.1 Styrets og daglig leders roller Styret Styret har det endelige ansvaret for å sikre styring av operasjonell risiko. Dette innebærer at styret skal godkjenne institusjonens operasjonelle risikoprofil ( påta institusjonen risiko ) og Side 7
overordnete retningslinjer for risikostyringen. Styret skal påse at målsettinger og retningslinjer blir innført i organisasjonen i samsvar med sine beslutninger. Daglig leder Daglig leder skal sørge for å operasjonalisere styrets målsettinger og retningslinjer, og sammen med den øvrige ledelsen 3 etablere, vedlikeholde og drive rammeverket for styring av operasjonell risiko. Rammeverket består av metoder, prosesser, konkrete retningslinjer og rutiner som er innført for å utføre aktivitetene i risikostyringen. Daglig leder skal sørge for at det utarbeides rapporter som gir styret grunnlag for å vurdere om den operasjonelle risikoen ligger innenfor godkjent risikoprofil. Den generelle ansvars- og arbeidsdelingen mellom styret og daglig leder er også behandlet i prinsipp 4 i Modul for overordnet styring og kontroll. 5.2 Konseptuell tilnærming Det følger av kapitalkravsforskriftens 47-1 at alle institusjoner trenger en eller annen form for prosess for å kunne dokumentere sin risikostyring 4. Omfanget og utformingen av risikostyringen vil variere i forhold til institusjonenes størrelse og kompleksitet. I denne modulen er det valgt å bygge på COSOs rammeverk for helhetlig risikostyring 5. Dette rammeverket er foretrukket fordi det har bred internasjonal aksept, og ofte brukes som mønster for risikostyringen i institusjoner. COSO-modellen er også lagt til grunn i ulike standarder og retningslinjer utarbeidet av Baselkomiteen og CEBS. Virksomhetens målsetninger deles inn i fire kategorier; strategiske (mål på overordnet nivå), driftsrelaterte (målrettet og kostnadseffektiv bruk av ressurser), rapporteringsrelaterte (pålitelig rapportering) og etterlevelsesrelaterte (etterlevelse av lover og regler). Selve rammeverket består av åtte innbyrdes relaterte komponenter; etablering av målsettinger, internt miljø, identifisering av hendelser, risikovurdering, risikohåndtering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølging. Det er en direkte sammenheng mellom målsettingskategoriene og komponentene i risikostyringsprosessen, som gjør det mulig å vurdere effektiviteten i risikostyringen. Komponentene vurderes hver for seg og samlet basert på institusjonens egenvurdering og øvrig informasjon som Kredittilsynet er i besittelse av. Svakheter eller mangler ved en eller flere av komponentene kan etterlate usikkerhet om institusjonens risikosituasjon. Slike forhold bør kommenteres i analysen. I vedlegg 3 finnes en oversikt over kontrollspørsmål som institusjonene skal besvare i sin egenvurdering. Spørsmålene bygger både på offentlig regelverk (internkontrollforskriften og kravene til styring og kontroll av operasjonell risiko i kapitalkravforskriften), beste praksis, hovedsakelig på Baselkomiteens Sound Practices for the Management and Supervision of Operational Risk, COSO-rapportene og CEBS Guidelines on Internal Governance. Så langt det har vært hensiktsmessig er det henvist til kilder. Spørsmålene er ikke nødvendigvis uttømmende. 3 Den øvrige ledelsen er ikke et entydig begrep, og institusjonens egen definisjon legges til grunn. 4 Jf. også Kredittilsynets informasjon til institusjonene om Dokumentasjon om risikoprofil og nødvendig kapitalbehov (ICAAP). 5 Helhetlig risikostyring et integrert rammeverk (COSO 2004/2005). Side 8
Det presiseres at det finnes flere tilnærmingsmåter for innføring av et (helhetlig) risikostyringssystem. De grunnleggende komponentene bør imidlertid være på plass, og innført på en måte som er hensiktsmessig for den enkelte institusjon. Nedenfor blir komponentene i risikostyringen kommentert. Kommentarene er gitt i en summarisk form, og er ikke nødvendigvis fullstendige. 5.2.1 Internt miljø Kvaliteten på det interne miljøet (styrets og ledelsens holdninger til risiko og risikostyring, integritet, etiske verdier, kompetanseutvikling, organisasjonsstruktur, delegering av ansvar og myndighet mv.) kan påvirke risikokulturen i organisasjonen i positiv eller negativ retning. Det interne miljøet er derfor en viktig komponent i vurderingen av kvaliteten på risikostyringen. Vurderingsgrunnlaget kan søkes både i skriftlige og muntlige kilder, ikke minst på grunnlag av erfaringer og inntrykk fra det operative tilsynet med institusjonen. 5.2.2 Etablering av målsettinger Etablering av målsettinger er en forutsetning for å kunne identifisere og vurdere risikoer i forhold til måloppnåelse og iverksettelse av tiltak for å håndtere risikoer. Overordnete målsettinger (kvantitative/kvalitative) etableres av styret og operasjonaliseres i form av konkrete målsettinger innenfor målsettingskategoriene drift, rapportering og etterlevelse. Styret skal godkjenne institusjonens operasjonelle risikoprofil, herunder ta stilling til hvilke operasjonelle risikoer den eventuelt ikke ønsker å påta seg. Risikoprofilen kan fastsettes for institusjonen som helhet, eventuelt også for ulike forretningsområder, grupper av operasjonelle risikoer (porteføljevurdering) og vesentlige enkeltrisikoer (nøkkelrisikoer). Det kan også fastsettes risikotoleranser, det vil si hvilke avvik som aksepteres fra målsatte risikonivåer. Styrets skal godkjenne retningslinjer for risikostyringen. Retningslinjene bør dekke alle relevante aspekter i risikostyringen, eksempelvis roller og ansvar i prosessen, organiseringen av risikostyringen, innhold/frekvens på rapporteringen, utkontraktering av virksomhet og beredskaps- og kontinuitetsplaner. 5.2.3 Identifisering av hendelser Identifisering av hendelser er en forutsetning for risikovurderingen. Hendelsene kan ha utspring i selve organisasjonen (interne hendelser) eller i omgivelsene (eksterne hendelser). Hendelser identifiseres både i den løpende forretningsvirksomheten og mer systematisk og samlet i den årlige internkontrollrapporteringen og strategiprosessen. Både interne og eksterne risikoer skal vurderes, herunder potensielle hendelser som har utspring i omgivelsene, for eksempel endringer i makroøkonomiske, politiske, sosiale og teknologiske forhold. Tapshendelsesdatabasen gir informasjon både om hendelser som har skjedd og nestenhendelser som kan gi indikasjon om sårbarhet og utvikling. Noen institusjoner vil kanskje supplere informasjonen fra tapshendelsesdatabasen med relevante hendelser hentet fra eksterne databaser. Der finnes ulike verktøy og teknikker for å identifisere hendelser, for eksempel prosessanalyser, work-shop, sjekklister, spørreskjemaer mv. De større institusjonene vil kanskje benytte risikoindikatorer (kvantitative/kvalitative) for å måle utviklingen innenfor et område, for eksempel kundelojalitet. Risikoindikatorene fungerer som varsellamper, som utløses når målsatte terskelverdier overskrides. Side 9
5.2.4 Risikovurdering De fleste institusjonene antas å ville legge til grunn en kvalitativ tilnærming i sin måling av risikoen. De større institusjonene vil sannsynligvis bruke en kombinasjon av kvalitative og kvantitative metoder og teknikker. Den kvalitative metoden er basert på kunnskap og skjønn hos den som foretar vurderingen, mens den kvantitative krever målesystemer basert på tallstørrelser. Det foretas en vurdering av hvilken sannsynlighet det er for at hendelsen inntreffer, og hvilke konsekvenser den medfører. Både iboende og gjenværende risiko (etter innføring av risikoreduserende tiltak) vurderes. Den antatte konsekvens av hendelsene vurderes mot institusjonens resultat og/eller økonomiske kapital som er allokert for å møte operasjonelle tap. 5.2.5 Risikohåndtering Når alle relevante iboende risikoer er vurdert, må det besluttes hvordan risikoene skal håndteres. Det foreligger alternative former for risikohåndtering avhengig av hvor sannsynlig det er at risikoen inntreffer og i hvilket omfang. Det kan velges mellom enten å unngå (gå ut av aktivitetene - avvikle produktområder, avstå fra ekspansjon i nytt geografisk marked), redusere (tiltak redusere sannsynlighet/konsekvens eller begge deler) dele (overføre deler av risikoen til andre, syndikere, kjøp av forsikringsprodukter, utkontraktere) eller akseptere risiko (ingen tiltak settes i verk). Det bør foretas en kostnad/nyttevurdering ved alle løsninger. Det må vurderes om den gjenværende risikoen ligger innenfor virksomhetens risikotoleranser. Denne vurderingen vil i praksis ofte bli foretatt i sammenheng med kontrollaktivitetene (se nedenfor). 5.2.6 Kontrollaktiviteter Kontrollaktivitetene består av retningslinjer og rutiner som bidrar til å sikre at de valgte former for risikohåndtering blir gjennomført. Kontrollaktivitetene har karakter av preventive, oppdagende, manuelle og maskinelle, og foregår på alle nivåer i organisasjonen. 5.2.7 Informasjon og kommunikasjon Informasjon og kommunikasjon er nødvendig på alle nivåer i organisasjonen for å identifisere og håndtere risiko. Institusjonen bør ha en klart definert informasjonsstruktur som sikrer at relevant informasjon om risiko kanaliseres til berørte personer og instanser i organisasjonen. Internt i organisasjonen vil informasjon om hendelser, rutiner, kontroller og tiltak være viktig for læring og kvalitetsforbedring. Rapportene til styret bør inneholde informasjon om operasjonell risiko i et omfang og en form som er tilstrekkelig til at styret kan vurdere om godkjent risikoprofil, målsettinger og retningslinjer er implementert og blir fulgt opp. Relevant informasjon er eksempelvis avvik fra vedtatt toleransegrenser for nøkkelrisikoer og informasjon fra tapshendelsesdatabasen. 5.2.8 Oppfølging Styret vil ha behov for å få bekreftet at risikostyringsprosessene fungerer på en effektiv måte og at nøkkelrisikoer blir holdt på et akseptabelt nivå. Slike bekreftelser kan avgis både av ledelsen og en frittstående instans. En omfattende og viktig del av oppfølgingen skjer i den løpende forretningsdriften, der svakheter og mangler ved prosesser og rutiner mv. blir avdekket og rettet. En mer samlet oppfølging av risikostyringen kan foretas ved at lederne evaluerer prosessene og effektiviteten i risikostyringen innenfor sine ansvarsområder. Den uavhengige bekreftelsen av risikostyringen foretas vanligvis Side 10
av internrevisjonen, som evaluerer risikostyringsprosessene, kvaliteten på risikovurderinger og styring og rapportering av nøkkelrisikoer. Intern kontroll er en viktig del av helhetlig risikostyring. Oppfølgingen av internkontrollen, skjer minst en gang årlig, jf. Kredittilsynets internkontrollforskrift. Risikovurderinger, avviksrapportering og den uavhengig bekreftelsen, bidrar med viktig informasjon til vurderingen av den helhetlige risikostyringen. 5.3 Forholdet til modulen for overordnet styring og kontroll (Internal Governance) Modulen for overordnet styring og kontroll gir føringer for organiseringen av risikostyringen. Det er flere klare grensesnitt mellom denne modulen og OpRisk-modulen. Mens de overordnete retningslinjene behandler styring og kontroll på et mer prinsipielt nivå, vil de i OpRisk-modulen ha en mer operasjonell karakter. Det kan imidlertid forekomme temaer i OpRisk-modulen som muligens er tilstrekkelig belyst i de overordnete retningslinjene 6. For å unngå overlappende behandling, bør det derfor vurderes gjenbruk av tidligere evalueringer. Der det forekommer overlappinger, er det i OpRisk-modulen referert til relevante prinsipper i den overordnete modulen. Det vil i noen grad også forekomme overlapping mellom kontrollspørsmålene innenfor hendelseskategorier. I slike tilfeller er det brukt krysshenvisninger. 5.4 Forholdet mellom helhetlig risikostyring og intern kontroll Helhetlig risikostyring inkluderer intern kontroll som en vesentlig del av risikostyringen. Generelt kan det sies at den helhetlige risikostyringen utvider og utdyper intern kontroll, blant annet ved at den innfører etablering av strategiske mål (risikoappetitt, akseptable risikotoleranser) som en ny målsettingskategori for styring av risiko, og at en del av de øvrige komponentene går lenger enn rammeverket for intern kontroll. Som et eksempel kan nevnes rapporteringskategorien, som i helhetlig risikostyring omfatter alle økonomiske og ikkeøkonomiske rapporter som blir laget i institusjonen til intern og ekstern bruk. Noen av kontrollspørsmålene er knyttet direkte til komponentene i Kredittilsynets internkontrollforskrift 7. Dokumentasjon i form av analyser og rapporter mv. fra internkontrollen kan også brukes i vurdering av risikostyringen. 6. Vurdering av tapshendelseskategoriene 8 I vedlegg 2 er det tatt inn en samlet oversikt over tapshendelseskategoriene, og i vedlegg 4 er kategoriene brutt ned på undergrupper av hendelser med tilhørende kontrollspørsmål. Det er lagt til grunn at flere spørsmål kan være aktuelle både for vurderingen av kvaliteten på styring og kontroll og eksponeringen. Kontrollspørsmålene er så langt mulig forsøkt gruppert etter samme struktur som komponentene i risikostyringsprosessen. 6 Modulen for overordnet styring og kontroll vil bli evaluert og justert på grunnlag av erfaringer fra bruk av modulen. I tillegg er det aktuelt å tilpasse modulen til en utvidelse av CEBS Guidelines in Internal Governance, som modulen bygger på. 7 Forskriften er under revisjon (mai 2007). 8 Begrepet tapshendelse er brukt i den norske forskriftsteksten som en oversettelse av direktivets begrep loss event (svensk oversettelse förlusttyper ; dansk oversettelse: tabsgivende begivenheder ) Side 11
Innenfor kategoriene er det gitt eksempler på type hendelser/handlinger og indikatorer/ statistikk som antas å kunne si noe om endrede verdier og risikonivå over tid. Eksemplene/ indikatorene er ikke komplett og vil bli supplert etter hvert. Hendelseskategoriene er svært uensartet, og det er ikke lagt opp til en vurdering og gradering av styring og kontroll eller eksponering for kategoriene samlet. Hvis det er ønskelig med en slik vurdering, må den bli rent skjønnsmessig. 6.1 Styring og kontroll Styring og kontroll vurderes for hver enkelt tapshendelseskategori. Vurdering og gradering foretas skjønnsmessig basert på en vurdering av konsekvensene av mangler, svikt eller svakheter. Den fremtidige kontrollprofilen skal også vurderes og kommenteres, for eksempel om styringsog kontrollsystemene er tilstrekkelig ved endringer i driftsforhold, rask ekspansjon, nye produkter eller aktiviteter, ny teknologi og omstruktureringer mv. Graderingen skjer etter følgende skala: God: Effektive og hensiktsmessige styrings- og kontrollsystemer er etablert og gjennomføres med få svakheter og liten konsekvens. Tilfredsstillende: I etableringen og/eller gjennomføringen av styrings- og kontrollsystemene er det begrensede svakheter, som ikke medfører store konsekvenser. Mindre tilfredsstillende: Begrensede svakheter i etablering og/eller gjennomføring av styrings- og kontrollsystemer. Konsekvensene av svakhetene kan være store. Ikke tilfredsstillende: Svakheter i etablering og/eller gjennomføringen av styrings- og kontrollsystemene som kan medføre store konsekvenser. 6.2 Eksponering Det er hensiktsmessig at vurderingen av eksponering baseres på institusjonens egne prosesser, metoder og systemer så fremt vi anser disse som dekkende, jf. kapittel 5. Det vil blant annet si at institusjonen bør dokumentere at den har identifisert hendelser relatert til interne og eksterne forhold, og at det er foretatt en vurdering både av iboende og gjenværende risiko basert på sannsynlighet og konsekvenser Innenfor rammen av denne modulen foretas en gradering av risikonivået for hver enkelt kategori, der eksponeringen kan vurderes i relasjon til institusjonens inntekter/resultat og/eller allokert egenkapital etter følgende skala: Høy risiko Betydelig risiko Moderat risiko Lav risiko 7. Videreutvikling av modulen Utviklingen av modulen har vært preget av at operasjonell risiko satt i system er et nytt fagfelt som inneholder flere ufordringer, ikke minst når det gjelder å kvantifisere operasjonell risiko. Modulen vil bli revidert når det er høstet erfaringer fra praktisk bruk, og sett i sammenheng med Side 12
den pågående revisjon av intern kontrollforskriften og CEBS Guidelines on Internal Governance (ref. GL03 ch 2.1 jf. Modul for overordnet styring og kontroll) Side 13
Vedlegg 1 - Definisjoner, forkortelser Operasjonell risiko Operasjonell risiko defineres som risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Definisjonen omfatter også juridisk risiko. Internal Governance Internal Governance omfatter styrets ansvar for å fastsette prinsipper og retningslinjer for den overordnete styring og kontroll av institusjonens virksomhet, herunder blant annet godkjennelse av organiseringen, fastsettelse av risikoprofil og retningslinjer for risikostyringen/internkontrollen. Kredittilsynet bruker begrepet Overordnet styring og kontroll. Helhetlig risikostyring Helhetlig risikostyring defineres som en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse (COSO 2004/2005 Helhetlig risikostyring et integrert rammeverk. Bind 1 Sammendrag rammeverk. Jf også Bind 2 Teknikker og verktøy. Rammeverket for internkontroll (COSO 1996) er en integrert del av helhetlig risikostyring. Intern kontroll Intern kontroll er en kontinuerlig prosess, iverksatt, gjennomført og overvåket av foretakets styre, ledelse og øvrige ansatte. Internkontrollen utformes for å gi rimelig sikkerhet for måloppnåelse innen følgende områder: målrettet, effektiv og hensiktsmessig drift, pålitelig intern og ekstern rapportering, overholdelse av lover og regler, samt interne retningslinjer (COSO 1996). SREP Supervisory Review and Evaluation Process Inneholder tilsynsmyndighetens prinsipper for tilsyn med institusjonene. RAS Risk Assessment Systems Inneholder tilsynsmyndighetens egne metoder og systemer for vurdering av institusjonens risikonivå og risikostyring. ICAAP Internal Capital Adequacy Assessment Process
Institusjonenes egne systemer og metoder for å identifisere, måle, kontrollere og styre sine risikoer og sitt behov for kapital sett i forhold til institusjonens totale risikoeksponering. CEBS Committee of European Banking Supervisors Et tilsynsorgan innenfor EU som består av representanter fra tilsynsmyndigheter og sentralbanker i medlemslandene. CEBS er rådgiver for EUkommisjonen i bankpolitiske spørsmål, og bidrar til konsistent implementering av EU-direktiver, konvergent tilsynspraksis og samarbeid mellom tilsynsmyndighetene i medlemslandene.
Dokumentasjon (Eksempler på dokumentasjon fra institusjonen som ønskes oversendt i forbindelse med inspeksjon (eller egenvurdering) av operasjonell risiko) I tillegg til de utfylte skjemaene for egenvurdering, ber vi banken oversende følgende dokumentasjon i fire 4 eksemplarer : (om mulig ønskes dokumentasjonen også oversendt elektronisk gjerne som.pdf-filer. Elektronisk dokumentasjon kan etter bankens valg oversendes som CD-rom eller etter avtrale som vedlegg til mail): Styring og kontroll 1. Styreinstruks 2. Etiske retningslinjer for bankens medarbeidere. 3. Oversikt over evt. avlønningssystemer som er resultat-/innsatsavhengige (incentivprogrammer). 4. Styrets prinsipper for internkontrollen. Operasjonell risiko 5. Styrets vedtatte strategi for operasjonell risiko. 6. Relevant rammeverk (strategi, retningslinjer mv) for styring og kontroll av operasjonell risiko - ref 4.2 7. Oversikt over de viktigste rapporter knyttet til operasjonell risiko, utarbeidet for styret og/eller adm. direktør, med angivelse av innhold og rapporteringsfrekvens. 8. Internrevisjonens planer og samlerapporter, eventuelle rapporter innenfor operasjonell risiko for 2 siste år 9. Kort beskrivelse av bankens system for registrering av tap og hendelser (risikokategorier, -indikatorer, prinsipper for registrering av nesten-ulykker etc.) 10. Oversikt over registrerte hendelser i inneværende og foregående år knyttet til operasjonell risiko, med en kort oppsummering av problemstillinger hendelsen gjaldt. 11. Eventuelle tiltak for å avdekke, forebygge, redusere/eliminere og granske hendelser og tap som følge av operasjonelle svikt eller mangler. Tiltakene kan beskrives sammenfattende. 12. Beredskaps- og kontinuitetsplaner på overordnet nivå - ref 6.5 & 6.6 13. Bankens retningslinjer for gjennomføring av tiltak mot hvitvasking av utbytte fra straffbare handlinger mv., jf. hvitvaskingsloven av 20. juni 2003 nr. 41, hvitvaskings-forskriften av 10. desember 2003 nr. 1487 samt Kredittilsynets rundskriv 9/2004. 14. Bankens retningslinjer for oppfølging av regelverket vedrørende egenhandel med finansielle instrumenter, jf. verdipapirhandelloven kapittel 2a og Kredittilsynets rundskriv nr 27/99 og 21/03. Operasjonell risiko IT
15. Foretakets IT-strategi 16. Oversikt over applikasjonsportefølje 17. Foretakets risiko og sårbarhetsanalyse for IT-virksomheten 18. Foretakets gjeldende prosedyrer for endringshåndtering 19. Foretakets gjeldende prosedyrer for problemhåndtering 20. Foretakets katastrofeplaner og dokumentasjon fra sist test 21. Oversikt over viktige utkontrakteringsavtaler
Vedlegg 2 - Tapshendelseskategoriene Oversikt Forkortelse IF (& UA) Engelsk (BCBS) Internal Fraud (& Unauthorized Activities) Norsk oversettelse Internt bedrageri EF External Fraud Eksternt bedrageri EPWS Employment Practices Workplace safety & Ansettelsesvil kår og sikkerhet på arbeidsplassen Definisjon (iflg norsk forskrift) Tap som følge av handlinger med sikte på uberettiget å tilegne seg midler eller omgå lovgivning eller virksomhetens mål unntatt hendelser knyttet til forskjellsbehandling. Tap som følge av handlinger som har til hensikt å bedra, uberettiget tilegne seg midler eller omgå lovgivningen, begått av en tredjepart. Tap som følge av hendelser som er i strid med lovgivning, forskrifter og avtaler om arbeidsmiljø, utbetaling av erstatninger som følge av personskade eller andre forhold. Eksempler korrupsjon underslag insider trading rogue trading svindel, bedrageri dokumentfalsk ran og annen voldskriminalitet trusler mot ansatte hvitvasking terror computer hacking yrkesskader brudd HMS-regler ekspansjon omorganisering nedbemanning diskriminering Indikatorer o oversikter saker meldt politi/forsikringsselskap o stat. over feilslutninger meldinger til Kredittilsynet o overs. faktiske tiltak ved (gjentatte) fullmaktsbrudd feriestatistikk (mangl.ferieavvikling) forsikringskrav meldt under egne forsikringsdekninger (underslag, Bankers Blanket Bond el tilsv.) meldinger til Økokrim stat. over forsøk på å forsere brannmurer sykefravær turnover overtid forholdstall forretningsvolum/årsverk køer (tapte tlf.anrop) statistikk over behandlingstid /ubehandlede saker personalstatistikk (kjønnsfordeling, etniske grupper)
CPBP Clients, Products and Business Practices DPA Damage to Physical Assets Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Tap som følge av utilsiktede handlinger eller unnlatelser som medfører manglende oppfyllelse av en forpliktelse overfor bestemte kunder (herunder tillits- og egnethetskrav), eller som følge av produktets art eller utforming. Tap som følge av skade på, eller tap av, fysiske eiendeler i naturkatastrofer eller andre begivenheter. fullmaktsbrudd mangl. prosesser for godkjennelse av nye produkter salg av uautoriserte produkter generelt endringshåndtering misbruk av konfidensielle kundedata 9.11 trusler, terrorvarsel flomutsatt område taps- & hendelsesdatabaser stat. over registrerte flm. brudd forsikringskrav meldt under egne forsikringsdekninger meldte forsikringsskader (meteorologiske data?!) BDSF Business Disruption & System Failures Avbrudd i drift og/eller systemer Tap som følge av driftsavbrudd eller systemfeil. IT: HW & SW svikt brudd i telekommunikasjon strømbrudd mangl. testing av back-up løsninger registrert nedetid på systemer stat. over forsøk på å forsere brannmurer etc - jf IKT-modul regularitet i off. strømforsyning EDPM Execution, Delivery Process Management & Oppgjør, levering og annen transaksjonsbehandling Tap som følge av utilstrekkelig eller sviktende transaksjonsbehandling eller systemer for transaksjonsbehandling med handelsmotparter og leverandører. manuelle (feil-)registreringer, f.eks. ved overføring til annet system dårlig arbeid : dårlige rutiner, dårlig dokumentasjon, dårlig opplæring, dårlig disiplin feil eller mangelfull juridisk dokumentasjon sviktende avtaler / oppfølging av outsourcingavtaler og andre leverandører feillogger klagesaker frekvens/merking v/oppdatering av retningslinjer/dokumenter