Operasjonell risiko: Måling, styring og kontroll

Like dokumenter
God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

Risikostyringsfunksjonen

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Risiko, risikoappetitt og risikotoleranse: Styrets verktøy

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Ulykkesrisiko Risikoanalyse og økonomiske konsekvenser. Dr. Espen Fyhn Nilsen Statoil, Sikkerhetsteknologi,

PILAR 3 - Basel II. KLP Kapitalforvaltning AS 2010

Scenarioer. Fagseminar om gjenopprettingsplaner, 7. desember Are Jansrud, Finans Norge.

Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Markedskraft har fokus på opprettholdelse av høy etisk standard, og sitt gode omdømme både i markedet og hos myndigheter.

Veileder risikostyringsfunksjonen

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr

Policy for Eierstyring og Selskapsledelse

PILAR 3 - rapport. KLP Kapitalforvaltning AS 2016

Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov

Søknad om konsesjon. Advokat Søren L. Lous. når løsningen teller

Kapitalberegning, Risikostyring og Organisasjonskultur

Godtgjørelsesordning - Oslo Asset Management AS

Utfordringer innen IKTområdet PwC 20. september 2011

Om internrevisjon. Pensjonskassekonferansen. 14. mai 2019

Jæren Sparebank. Basel II PILAR III

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Policy for Antihvitvask

Kontrollfunksjonen (compliancefunksjonen) i verdipapirforetak

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr

Etiske retningslinjer

Finanstilsynet orienterer. Pensjonskassekonferansen 18. april 2018 Seksjonssjef Hege Bunkholt Elstrand

PILAR 3 BASEL II 2011 Gothia Finans AS

Policy for Eierstyring og Selskapsledelse

Egenvurdering av risiko og solvens (ORSA) - forberedelser til Solvens II. ORSA-seminar 8. mai 2014

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Aggregering av risiko - behov og utfordringer i risikostyringen

Compliance i praksis:

Rutiner for godtgjørelser i Monobank ASA

Hva er risikostyring?

VÅR REFERANSE DERES REFERANSE DATO 16/

SKAGERRAK SPAREBANK. Basel II PILAR III

Om virksomhetsstyring

Alfred Berg Kapitalforvaltning AS

Internkontroll i Gjerdrum kommune

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

PILAR 3 BASEL II 2009 Gothia Finans AS

Statoil Kapitalforvaltning ASA Kapitalkravsforskriften (Basel II) pilar

Revisjon av styring og kontroll av likviditetsrisiko

Pensjonskassedirektivet overordnet

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET

Tilsynspraksis Bank og Forsikring. Hvitvaskingskonferansen, Sundvolden 8. november 2018 Irene Støback Johansen og Geir David Johannessen

Policy for informasjonssikkerhet og personvern i Sbanken ASA

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Paradigmeskiftet i HMS

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning ASA. Oppdatert pr

PILAR ALFRED BERG KAPITALFORVALTNING AS

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Seminar om betalingssystemer og IKT i finanssektoren,

PILAR 3 OFFENTLIGGJØRING AV FINANSIELL INFORMASJON. Jan Bendiksby

Risikokultur grunnmuren i risikostyring

ORSA og Key Functions. Solvens II-forum 3. november 2015 Jon Reiersen

Internkontroll og informasjonssikkerhet lover og standarder

Compliance funksjonen utøvelse og praktisk angrepsvinkel

«Conduct risk» og compliance

Internkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter

R102 Retningslinjer for gjennomføring av risikovurderinger

Modul for forsikringsrisiko i livsforsikring

Solvensregulering og stresstester

PILAR 3 BASEL II 2014 arvato Finance AS

Finanstilsynet tilsynspraksis

Søknadsskjema etter finansforetaksforskriften 3-2

Referansegruppen for Solvens II. Møte i Finanstilsynet 10. juni 2013

Group Compliance DNB 24. september 2019

RegleR for god opptreden 1

Eierstyring og selskapsledelse

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

TEMATILSYN VEDRØRENDE BANKENES KAPITALDEKNINGSRAPPORTERING

Bedriftens risikovurdering av anleggsarbeid. Jørn C. Evensen Regionsjef MEF region sørøst

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom:

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Konsernpolicy for helse, miljø og sikkerhet i Glitre Energi

Lovvedtak 77. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 96 L ( )

Gjenopprettingsplan DNBs erfaringer. Roar Hoff Leder av Konsern-ICAAP og Gjenopprettingsplan Oslo, 7. desember 2017

Modul for markedsrisiko

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Risikovurdering av elektriske anlegg

Risiko og sårbarhetsanalyser

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Veiledning om risikostyring. (Oppdatert 18. september 2012, redaksjonelle oppdateringer 21. august 2019)

Solvens II oppdatering på regelverksiden og forventninger til forsikringsselskapene frem mot PwC-seminar 13. mars 2014

Bakgrunnen for kravet om gjenopprettingsplaner

STYREUTVALG: Revisjonsutvalget Risikoutvalget Godtgjørelsesutvalget

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Integrering av IT i virksomhetens helhetlige risikostyring

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Transkript:

Operasjonell risiko: Måling, styring og kontroll Kurs Operasjonell risiko, 5. september 2017 Are Jansrud, Finans Norge

Risikostyring 1. Identifisere 2. Vurdere 3. Måle 4. Overvåke 5. Håndtere 6. Rapportere

Hvor «finnes» den operasjonelle risikoen? Prosessene Rutinene Systemene Produktene Ansatte: kompetanse erfaring holdninger «dagsform» Kapasitet Fysiske fasiliteter De eksterne omgivelsene Prosjektene

Identifisere og vurdere operasjonell risiko: Et meget praktisk fag! Krever god og dyp praktisk innsikt i bankens forretningsprosesser, rutiner, systemer og teknologiske løsninger! Krever god og dyp praktisk innsikt i bankens produktspekter og de enkelte produktenes egenskaper! Krever god evne til å se og forstå hvordan eksterne begivenheter kan påvirke banken bl.a. hvordan banken er integrert i ulike nettverk Krever interesse for og innsikt i samfunnstrender og utviklingstrekk på mange fagområder Krever god fantasi og vilje til å tenke på og ta inn over seg det utenkelige! Og en tverrfaglig øvelse!

Ulike kilder og teknikker for op risk-vurderinger Eksterne tapsdata og analyser Interne tapsdata og analyser Revisjonsfunn Risk Self Assessment (RSA) / Risk Control Self Assessment (RCSA) Prosesskartlegging - Business Process Mapping (BPM) Key Risk Indicators (KRI) Scenarioanalyser Måling - kvantifisering Sammenlignende analyser

Eksempel: eksterne analyser A significant increase in overall operational risk has been witnessed in the last few years, including higher conduct risk, increased cybersecurity issues (see below) and digital fraud issues, and increased outsourcing risk, while at the same time new or previously immaterial risks such as the risk of mismanagement of personal data / lack of data privacy seem to be amplified by the lack of expertise of human resources and the inadequacy of technology infrastructures.

Et detaljert, konkret og praktisk arbeid

Svarte svaner kan ofte være operasjonelle. Professor Aven definerer 3 kategorier av sorte svaner: ukjente trusler som ikke er kjent fra fortiden (såkalt "ukjente ukjente") trusler som er kjente for noen, men som er ukjente for de som gjennomfører risikoanalysen trusler som blir neglisjert i risikoanalysen, fordi sannsynligheten er veldig lav. Andre har tatt til orde for av begrepet bør reserveres for kun de fullstendig ukjente trusler. Kilde: https://snl.no/sorte_svaner_-_innen_risikostyring Finnes de? Er det virkelig så mange av dem? Ser vi dem blant alle de hvite? Blir disse også svarte?

9 Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in sample Richard Feynman, fysiker

10 Eller: Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker

11 Eller: enda verre. It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker

Sannsynlighet 12 Et enkelt risikobilde Sikker Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens

Et mer avansert risikobilde (1) Sannsynlighet Konsekvens Hurtighet Forberedthet

Et mer avansert risikobilde (2) Risiko Hurtighet Sannsynlighet Konsekvens Forberedthet Totalnivå Tiltak Skala 5:Nesten sikkert 4: Sannsynlig 3: Middels 2: Lite sannsynlig 1: Usannsynlig 5: Katastrofalt 4: Alvorlig 3: Moderat 2: Lav 1: Ubetydelig 3: Hurtig 2: Middels 1: Langsomt 1: Meget godt 2: Tilfredsstillende 3: Noen mangler 4: Svakt Grønn: 1-75 Gul: 76-150 Rød: 150-300 Hackerangrep «Conduct risk» 4 5 3 1 60 3 4 2 4 96 Brann 2 5 3 1 30 «Rogue trader» 3 5 3 4 180 Nye rutiner i forhold til Forskrift om kredittmarkedsføring Fullmaktsrevisjon Nytt elektronisk handelssystem

15 Internasjonal status bank (Kilde: 2015 risk management survey of major financial institutions: Rethinking risk management Banks focus on non-financial risks and accountability, EY) Topp fokusområder for styret og ledelsen: compliancerisiko (57%), risikoappetitt (47%), kredittrisiko (32%) Topp fokusområder for CRO: regulatorisk compliance (61%), risikoappetitt (59%), kredittrisiko (57%) 70% har en «significant linkage of risk appetite to business planning» Enkeltbeslutninger: 43% «largely tested» og 51% «somewhat tested» mot risikoappetitten Viktigste parametre: Kapitalrelaterte forholdstall (83%), mål for funding/likviditet (83%), kapitaldekning (77%), konsentrasjonsrammer (66%), Tier 1-krav (64%) 83% har startet å etablere en risikoappetitt-tilnærming for ikke-finansielle risikoer 74% benytter en tilpasset tilnærming for ikke-finansielle risikoer, som omfatter både kvantitative og kvalitative elementer innenfor rammeverket for operasjonell risiko

Finanstilsynets modul 1.2. Strategi og overordnede retningslinjer (policyer) innhold I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere. Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet. Strategi og policy bør inneholde kvantifiserte rammer for eksponering på ulike områder og for ulike typer operasjonell risiko. Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette.

17 Å finne toleransegrensen: Stresstester og scenarioanalyser Stresstester Sensitivitetsanalyser Alvorlige tenkte hendelser Scenarioanalyser Komplette, sammensatte hendelsesforløp

18 Å finne toleransegrensen: Omvendte stresstester FORETAKET HAR IKKE TILSTREKKELIG KAPITAL HVOR STORE TAP MÅ TIL FOR AT DETTE SKAL KUNNE SKJE? HVILKE SCENARIER KAN SKAPE SLIKE TAP? KAN DISSE SCENARIOENE INNTREFFE? ER DET SANNSYNLIG / HVOR SANNSYNLIG ER DET AT DE INNTREFFER?

Risikotoleranse: Eksempel operasjonell risiko (1) Grenser/rammer på overordnet nivå Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Op.risk Generelt Antall uønskede hendelser Operasjonelle tap

Risikotoleranse: Eksempel operasjonell risiko (2) Grenser/rammer pr tapskategori Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Generelt Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Internt bedrageri Avdekkede svindelforsøk Eksternt bedrageri Avdekkede svindelforsøk Op.risk Ansettelsesvilkår og sikkerhet på arbeidsplassen Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Avbrudd i drift eller systemer Oppgjør, levering og annen transaksjonsbehandling Medarbeidertilfredshet Kundeklager Antall hendelser Økonomisk kostnad Nedetid nettbank Nedetid mobilbank Nedetid minibank Antall hendelser Økonomisk kostnad

Risikotoleranse: Eksempel operasjonell risiko (3) Grenser/rammer pr forretningsområde Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Op.risk Generelt Kreditt PM Kreditt BM Betalingsformidling Sparing og plassering Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Fullmaktsbrudd (antall) Kundeklager (antall) Fullmaktsbrudd (antall) Kundeklager (antall) Nedetid nettbank Nedetid mobilbank Kundeklager (antall) Erstatninger (kroner) Kundeklager (antall) Treasury Fullmaktsbrudd (antall) IKT Medarbeidere Nedetid interne systemer Uønskede hendelse Medarbeidetilfredshet Turnover

Risikotoleranse: Eksempel operasjonell risiko (4) Grenser/rammer pr fokusområde / risikoklasse Risiko Kategori Måleparameter Grønn sone Gul sone Rød sone Generelt Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Anti hvitvask Avviks-% i interne kontroller Op.risk Arbeidsbelastning «Conduct risk» Prosjektrisiko IKT-risiko Antall kredittsaker i snitt pr årsverk Høyste antall saker pr årsverk i % av laveste antall saker pr årsverk Sykefravær Antall kundeklager Negative medieoppslag Avviks-% i interne kontroller Antall prosjekter forsinket Kostnadsoverskridelser Nedetid nettbank Nedetid mobilbank Nedetid interne systemer Uønskede hendelser

Kundeklager Måling av operasjonell risiko Scenarioanalyser «Prosessovervåkning» Tilsynsrapporter Stresstester Uønskede hendelser Operasjonelle tap «Sannsynlighet og konsekvens» Omvendte stresstester IKT-hendelser OPERASJONELL RISIKO Kulturmålinger Compliancebrudd Tids- og kostnadsoverskridelser i prosjekter Internrevisjonsrapporter

Operasjonelle tap / Uønskede hendelser: Mulig kategorisering for måling Type hendelse Internt bedrageri Eksternt bedrageri Ansettelsesvilkår og sikkerhet på arbeidsplassen Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Avbrudd i drift eller systemer Oppgjør, levering og annen transaksjonsbehandling Definisjon Tap som følge av handlinger med sikte på uberettiget å tilegne seg midler eller omgå lovgivning eller virksomhetens mål unntatt hendelser knyttet til forskjellsbehandling. Tap som følge av handlinger som har til hensikt å bedra, uberettiget tilegne seg midler eller omgå lovgivningen, begått av en tredjepart. Tap som følge av hendelser som er i strid med lovgivning, forskrifter og avtaler om arbeidsmiljø, utbetaling av erstatninger som følge av personskade eller andre forhold. Tap som følge av utilsiktede handlinger eller unnlatelser som medfører manglende oppfyllelse av en forpliktelse overfor bestemte kunder (herunder tillits- og egnethetskrav), eller som følge av produktets art eller utforming. Tap som følge av skade på, eller tap av, fysiske eiendeler i naturkatastrofer eller andre begivenheter. Tap som følge av driftsavbrudd eller systemfeil. Tap som følge av utilstrekkelig eller sviktende transaksjonsbehandling eller systemer for transaksjonsbehandling med handelsmotparter og leverandører

Forbedringsorientert risikostyring Eksempel: kundeklager Foretaket skal løpende analysere informasjonen som er mottatt i klagene for å avdekke om klagene skyldes systematiske eller grunnleggende problemer hos foretaket.» (Finanstilsynets retningslinjer for klagebehandling) Det samme prinsippet bør anvendes på alle andre operasjonelle områder ikke bare når det er et regelverkskrav: Medarbeiderundersøkelser Uønskede hendelser og operasjonelle tap IKT-hendelser Etc.

Forbedringsorientert risikostyring: Hva som bør registreres / måles Brutto tapt beløp / kostnad Gjenvinning (for eksempel forsikringsdekninger) Netto tap beløp / kostnad Tidspunkt Tapskategori Underkategori av risiko Forretningsområde Årsak(er) «Foretakenes taps- og hendelsesdatabase bør designes slik at den bevarer så mye informasjon som mulig og informasjonen bør systematiseres på en måte som muliggjør læring og økt kunnskap samt igangsetting av tiltak for å forhindre fremtidige uønskede hendelser.» (Finanstilsynet, Modul for operasjonell risiko)

Risikomåling og kapitalbehov pilar 1 Kapitalkravet beregnes på basis av en Business Indicator (BI) skalert med en Tapskomponent (TK) BI = Rente, leasing og utbyttekomponenten + Servicekomponenten + Finansiell komponent Kapitalkravet: BI under 1 mrd EUR: 11% * BI BI over 1 med EUR: 110 mill + (BIC 110) * Ln (Exp (1) 1 + TK/BIC) Gjeldende regelverk Basismetoden 12,5 * 15% * Gjennomsnittsinntekt siste 3 år Sjablongmetoden AMA-metoden Pilar 1-metodenene er ikke nødvendigvis risikosensitive

Risikomåling og kapitalbehov pilar 2 Statistisk analyse på intern taps- og hendelsesdatabase Ofte (for) tynt datagrunnlag men bedre enn ingen ting? Stresstester: «Worst case», men kan overdrive kapitalbehovet pga manglende justering for sannsynlighet Stresstester Sensitivitetsanalyser / Alvorlige hendelser hva med sannsynligheten? Skjønnsmessige vurderinger Grunnlaget for kvantifiseringen?

Håndtere operasjonell risiko - eksempel Område Risiko Kilde Tiltak Ansvar Frist Kreditt Feilaktig eller mangelfullt beslutningsgrunnlag Systemer Produktegenskaper Prosedyrer og rutiner Kompetanse Erfaring Holdninger Kapasitet Eksterne forhold Innføre «samtykkebasert lånesøknad» Klarere rutiner for hvilken dokumentasjon som skal foreligge Tydeliggjøre krav og forventninger ifht medarbeidere 30.6.18 15.9.17 15.9.17

30 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Begrense Akseptere

31 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Akseptere

32 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere

33 De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere = Risikotoleransen

Men denne metoden fungerer ikke for «svarte svaner» Det er ikke mulig å avstå fra / dele / begrense / akseptere risikoer man ikke vet om / ikke vet hva er / ikke tror på!

Styring av operasjonell risiko: «svarte svaner» (1) «Idèdugnader» «Red teaming» Eksterne kilder Kompetansebygging Holdninger og bevissthet Løpende overvåking «Early warning» Bevisst og systematisk analyse Vær forberedt! Fleksible beredskapsplaner! Vi kan lett bli «fristet» til å finne tolkninger og forklaringsmønstre som passer inn i vårt «verdensbilde» våre «ønskede» forklaringer. 1. Hva er det jeg «ser»? X 2. Hva er det som faktisk skjer? 3. Tolkning og analyse: årsaker? 4. Tiltak

Styring av operasjonell risiko: «svarte svaner» (2) (c) for lav sannsynlighet til at vi tror på de

Styring av operasjonell risiko Risikoerkjennelse: «risk acknowledgement is about accepting the risk and making necessary conclusions and actions.» «Risk acknowledgement means taking the risk to heart, accepting the situation and drawing the necessary conclusions.» «black box risk-based thinking, which relates to numbers alone and does not inform sufficiently about the context, the limitations of the numbers to represent and express risk, as well as the knowledge and assumptions on which these judgements and numbers are founded.» Kilde: Ø. Amundrud og T. Aven: On how to understand and acknowledge risk, Reliability Engeneering and System Safety

Rapportere (1) Viktigste risikoer: Status Trend Tiltak Nye eller økte risikoer: Reduserte risikoer: Uønskede hendelser: Operasjonelle tap:

Rapportere (2) Kategori Måleparameter Toleranse Status Sone Tiltak Frist Ansvar Generelt Kreditt PM Kreditt BM Betalingsformidling Sparing og plassering Treasury IKT Medarbeidere Anmerkninger internrevisjon Anmerkninger Finanstilsynet Antall uønskede hendelser Operasjonelle tap Fullmaktsbrudd (antall) Kundeklager (antall) Fullmaktsbrudd (antall) Kundeklager (antall) Nedetid nettbank Nedetid mobilbank Kundeklager (antall) Erstatninger (kroner) Kundeklager (antall) Fullmaktsbrudd (antall) Nedetid interne systemer Uønskede hendelse Medarbeidetilfredshet Turnover

VEDLEGG

Finanstilsynets modul (1) 1.1. Strategi og overordnede retningslinjer (policyer) dokumentasjon og prosess Foretaket bør ha et rammeverk som inkluderer en strategi for styring av operasjonell risiko og som dekker hele virksomheten Rammeverket bør i tillegg til strategi inkludere rammer og retningslinjer for styring av operasjonell risiko, system for kontroller, registrering, oppfølging og rapportering, og det bør videre hensynta foretakets forretningsmodell, virksomhetsområder og konkurranseforhold, samt risikokultur. Rammeverket bør fastsettes av styret og revideres jevnlig av styret i lys av endrede rammebetingelser, makroøkonomiske utsikter, utviklingen innenfor strategiske satsningsområder, foretakets soliditet og økonomiske utvikling

Finanstilsynets modul (2) 1.2. Strategi og overordnede retningslinjer (policyer) innhold I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere. Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet. Strategi og policy bør inneholde kvantifiserte rammer for eksponering på ulike områder og for ulike typer operasjonell risiko. Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette.

Finanstilsynets modul (3) 1.3. Måltall og rammer for operasjonell risiko Styret bør gjennom den etablerte rammestrukturen sikre at foretaket har tilstrekkelig styring med den operasjonelle risikoen. Rammestrukturen bør være tilpasset aktivitets- og risikonivået i foretaket og dekke hele virksomheten.

Finanstilsynets modul (4) 2.1. Organisering og ansvarsforhold Syret har det overordnede ansvaret og bør etablere en sterk risikostyringskultur i hele organisasjonen. "Tonen fra toppen" er avgjørende for risikostyringen i et foretak og arbeid med organisasjonskultur antas å gi positivt bidrag til operasjonell risikostyring. Styret skal føre tilsyn med foretakets ledelse for å se til at policyer, prosesser og systemer for styring av operasjonell risiko er effektivt implementert på alle beslutningsnivåer iorganisasjonen,. Styret bør påse at det eksisterer en sunn organisasjonskultur. Organisasjonskulturen (verdier, holdninger, etikk, mv.) i et foretak kan innvirke på operasjonelle hendelser. En usunn organisasjonskultur kan øke sannsynligheten for operasjonelle tap og konsekvensene eventuelle hendelser kan få for foretaket. Foretakets godtgjørelsesordning, som skal fastsettes av styret, skal bidra til god styring og kontroll med foretakets risiko, motvirke høy risikotaking og bidra til å unngå interessekonflikter, jf. 1 i forskrift om godtgjørelse i finansinstitusjoner mv. Godtgjørelsesordninger som stimulerer til aggressiv oppførsel kan øke den operasjonelle risikoen i foretaket ved økt regelbrudd, kritikkverdig adferd og feil. Foretakets øverste administrative ledelse er ansvarlig for å utvikle en klar, effektiv og robust styringsstruktur med definerte, transparente og konsistente ansvarslinjer som godkjennes av styret. Ledelsen er ansvarlig for å implementere og vedlikeholde policyer, prosesser og systemer for styring av operasjonell risiko i hele virksomheten i samsvar med styrets definerte risikotoleranse. Foretaket må sikre at det er tilstrekkelig uavhengighet og arbeidsdeling mellom enheter og personell med utøvende funksjoner og enheter og personell med ansvar for overvåking, rapportering og kontroll av operasjonell risiko. Et finansforetak skal ha uavhengige kontrollfunksjoner med ansvar for internrevisjon, risikostyring og etterlevelse (compliance). Risikokontrollfunksjonen, som også har et ansvar for styring og kontroll av operasjonell risiko, skal være uavhengig av operative funksjoner, rapportere enten direkte eller indirekte til daglig leder, kunne rapportere direkte til styret og ikke kunne avsettes uten samtykke fra styret.

Finanstilsynets modul (5) 2.2. Ressurser og kompetanse Styret og foretakets ledelse må sikre at foretaket har personale med tilstrekkelig kompetanse til å styre og kontrollere de aktuelle operasjonelle risikoene. Antallet medarbeidere bør være tilpasset virksomhetens kompleksitet og omfang. Ressursene bør være tilstrekkelig til å dekke inn midlertidig fravær av nøkkelpersonell. Styret bør definere nøkkelfunksjoner, jevnlig vurdere denne risikoen og iverksette risikoreduserende tiltak dersom risikoen blir for høy. Risikokontrollfunksjonens, compliance-funksjonens og internrevisjonens ressurser innenfor operasjonell risikostyring bør være tilpasset kompleksiteten og omfanget av virksomheten, og det er avgjørende at personell med kontrollansvar har tilstrekkelig kompetanse og autoritet.

Finanstilsynets modul (6) 2.3. Utkontraktering Ansvar kan ikke utkontrakteres, foretaket er ansvarlig for risikostyring og internkontroll også av evt. utkontrakterte deler av virksomheten. Styret bør fastsette interne retningslinjer for utkontraktering. Retningslinjene bør inkludere rutiner for melding til Finanstilsynet før inngåelse av avtaler om utkontraktering. Utkontraktering forutsetter en skriftlig avtale som sikrer innsyn, kontroll og revisjon av den utkontrakterte virksomheten, også for Finanstilsynet. Avtaler om utkontraktering bør godkjennes av styret og sikre rimelig rett til oppsigelse av avtalen under betryggende forhold til alternativ løsning er etablert. Avtaler om utkontraktering av IKT-systemer som er av betydning for foretakets virksomhet (og endringer i slike) skal behandles av styret. Beslutning om utkontraktering skal tas på grunnlag av en risikovurdering. Foretaket må selv ha kompetanse til å vurdere om oppdragstaker utfører oppdraget tilfredsstillende. Oppdragsgiver må fortløpende ha mulighet til å identifisere og kontrollere de risikoene som er knyttet til utkontraktering av oppgavene.

Finanstilsynets modul (7) 3.1. System for måling av operasjonell risiko i løpende drift Foretaket bør ha system og interne retningslinjer for å identifisere og måle den operasjonelle risikoen i alle vesentlige produkter, aktiviteter, prosesser og systemer. Foretakenes taps- og hendelsesdatabase bør designes slik at den bevarer så mye informasjon som mulig og informasjonen bør systematiseres på en måte som muliggjør læring og økt kunnskap samt igangsetting av tiltak for å forhindre fremtidige uønskede hendelser. Foretaket bør ha system og interne retningslinjer som sikrer at hendelser som medfører vesentlig reduksjon i funksjonalitet i IKT-systemer rapporteres til Finanstilsynet.

Finanstilsynets modul (8) 3.2. Operasjonell risiko i nye produkter, aktiviteter, prosesser og systemer Foretakets ledelse må sørge for at foretaket har en godkjenningsprosess som inkluderer interne retningslinjer for nye produkter, aktiviteter, prosesser og systemer. Nye produkter, aktiviteter, prosesser og systemer av vesentlig betydning og/eller avvikende risikoprofil bør godkjennes av styret og/eller relevante organ på øverste ledelsesnivå. Foretaket skal ved endring eller etablering av produkter og rutiner av vesentlig betydning gjøre en risikovurdering før virksomheten igangsettes, en risikovurdering som må inkludere operasjonelle risikofaktorer. Risikovurderingen bør klargjøre risikoreduserende tiltak, både tiltak som skal iverksettes før igangsetting og tiltak som kan iverksettes på kort og lang sikt dersom risikoen utvikler seg negativt.

Finanstilsynets modul (9) 3.3. Måling av operasjonell risiko ved beregning av kapitalbehov Foretaket bør ha rutiner og prosedyrer som sikrer riktig måling og beregning av regulatorisk kapital for operasjonell risiko. Beregnet regulatorisk kapital bør vurderes mot foretakets definerte risikotoleranse og faktiske historiske tap som følge av operasjonelle feil.

Finanstilsynets modul (10) 4.1. Overvåking Foretaket bør ha enhetlige rutiner og prosedyrer som sikrer jevnlig overvåking av den operasjonelle risikoutviklingen og vesentlige tapseksponeringer i hele virksomheten. Foretaket bør videre ha rutiner og prosedyrer som sikrer jevnlig overvåking av etterlevelse av lov- og forskriftskrav samt interne retningslinjer og rutiner. Ved gjentatte brudd på regelverket må det vurderes om dette skyldes manglende respekt for regelverket og/eller at rutinene for overvåkningen ikke er tilfredsstillende.

Finanstilsynets modul (11) 4.2. Rapportering og oppfølging Foretaket bør ha rapportering og oppfølging på de strategiske måltallene og rammene som er fastsatt i foretakets strategi/policy for operasjonell risiko. Mottaker av rapporter bør være det organisatoriske nivå som har fastsatt strategi, policy, mål og rammer. Foretaket bør dokumentere hvilke rapporter som produseres, hvor ofte de produseres, hvem som er ansvarlig for innhold i rapportene, hvem som mottar hvilke rapporter og hvorledes informasjonen brukes og følges opp. Foretaket bør ha etablert rutiner for kvalitetssikring av rapporteringsdataene og systemene for rapportering, både for interne rapporter og for rapportering til myndighetene11. Det bør foretas rimelighetskontroller og stikkprøver av dataene. Rapportenes form, innhold og frekvens bør revurderes jevnlig.

Finanstilsynets modul (12) 4.3. Internkontroll av operasjonell risiko Styret bør utvikle og vedlikeholde robuste systemer for internkontrollen med hensiktsmessige interne kontroller som dekker operasjonelle risikoforhold i hele virksomheten. Ledelsesrapportene bør være konkrete på hvilke operasjonelle risikofaktorer som er kontrollert og vurdert, hvilke kontrollhandlinger som er foretatt, resultatene av disse og utviklingen over tid, samt risikoreduserende tiltak som er iverksatt.

Finanstilsynets modul (13) 4.4. Offentliggjøring av informasjon om operasjonell risiko Foretaket bør offentliggjøre tilstrekkelig med informasjon som gjør det mulig for interessenter å vurdere foretakets tilnærming til operasjonell risikostyring. Foretaket skal ha interne retningslinjer og rutiner for å oppfylle sin informasjonsplikt innenfor operasjonell risiko (pilar 3). For operasjonell risiko skal foretaket minimum offentliggjøre informasjon om strategi og prosesser, organisering av risikostyringsfunksjonen, risikorapporterings- og målesystemet samt retningslinjer og rutiner for overvåking og bruk av sikkerhetsstillelse.

Finanstilsynets modul (14) 5. Beredskap og kontinuitet Foretakets beredskapsplaner, både på overordnet nivå og for vesentlige virksomhetsområder, bør være dekkende for hele virksomheten, sees i sammenheng og være basert på en oppdatert risikovurdering. Foretakets beredskapsplaner bør godkjennes av styret. Beredskapsplanene skal oppdateres jevnlig og i lys av endrede rammebetingelser, utviklingen innenfor strategiske satsningsområder, mv. Beredskapsplanene må være tilgjengelige ved alle situasjoner. Foretaket bør gjennomføre opplæring regelmessig og beredskapsplanene bør testes jevnlig. Planene bør omfatte forskjellige type scenarier som kan påvirke foretakets driftssituasjon vesentlig, det være fysiske hendelser som eksempelvis brann, ran og flom, og hendelser knyttet til IKT-systemene som eksempelvis hacking, trojanerangrep og DDoS-angrep. Planene bør bl.a. inkludere interne retningslinjer og prosedyrer med tiltak, oversikt over roller og ansvarsforhold (beredskapsorganisasjon), og krav til intern og ekstern informasjon og kommunikasjon. Kriseplaner for foretakets IKT-systemer må tilfredsstille IKT-forskriftens krav. Beredskapsplaner for likviditetskriser må videre tilfredsstille likviditetsstyringsforskriftens krav.

Finanstilsynets modul (15) 6. Uavhengig kontroll De uavhengige kontrollfunksjonene bør foreta relevante, dokumenterbare operasjonelle risikokontroller med høy faglig standard. De uavhengige kontrollfunksjonene må ha tilstrekkelig kompetanse og ressurser innen operasjonell risiko. Rapporter fra uavhengige kontrollfunksjoner som omhandler operasjonell risiko bør adresseres til og behandles av relevant nivå i organisasjonen. Foretaket bør ha prosedyrer for hvordan påpekninger som omhandler operasjonell risiko fra uavhengige kontrollfunksjoner skal behandles og følges opp. Foretakets system for styring og kontroll av operasjonell risiko bør jevnlig evalueres av uavhengige kontrollfunksjonene. For foretak som benytter sjablongmetoden skal systemet gjennomgås og bekreftes av en uavhengig funksjon regelmessig.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding