Bilag 3

Bilag

Andre bilag

  • Bilag 1 (Forsikringsmæssige risici)

  • Bilag 2 (Investeringsområdet)

  • Bilag 3 (Operationelle risici)

  • Bilag 4 (It-sikkerhed)

  • Bilag 5 (Tilrettelæggelse af arbejdet i bestyrelsen)

  • Bilag 6 (Risikostyringssystemet, risikostyringsfunktionen og vurdering af egen risiko og solvens i gruppe 1-forsikringsselskaber)

  • Bilag 7 (Det interne kontrolsystem og compliancefunktionen i gruppe 1-forsikringsselskaber)

  • Bilag 8 (Aktuarfunktionen i gruppe 1-forsikringsselskaber)

  • Bilag 9 (Intern auditfunktionen i gruppe 1-forsikringsselskaber)

Operationelle risici
Bilag 3

Anvendelsesområder og definitioner

1) Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter de samme principper som operationelle risici.

2) Ved modelrisiko forstås virksomhedens potentielle tab som konsekvens af beslutninger, der hovedsagelig baseres på output fra interne modeller, på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af sådanne modeller.

3) Med hændelser forstås begivenheder, der kan medføre tab, har medført tab eller som kunne have medført tab, jf. nr. 1, for virksomheden.

Bestyrelsens opgaver og ansvar

Politikken for operationel risiko

4) Politikken for operationel risiko, jf. artikel 260, stk. 1, litra f, i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), skal udover de i § 5 indeholdte generelle krav omfatte

a) en identifikation af hvilke typer af hændelser, som virksomheden kan blive ramt af og som kan medføre tab, som bestyrelsen ikke kan acceptere,

b) principperne for opsamling af oplysninger om hændelser, der kan anses for henhørende under området for operationelle risici, samt i hvilket omfang sådanne hændelser skal registreres,

c) efter hvilke overordnede principper virksomheden skal indrettes med henblik på at holde operationelle risici på et for bestyrelsen acceptabelt niveau,

d) arten og størrelsen af de stedfundne hændelser og tab, der skal ske rapportering om til bestyrelsen, og

e) principperne for rapportering om operationelle risici til bestyrelsen i øvrigt.

5) Bestyrelsen skal i politikken, i det omfang det er relevant, forholde sig til

a) særlige operationelle risici knyttet til virksomhedens forretningsmodel og aktiviteter,

b) integrationen, stabiliteten og egnetheden af virksomhedens it-systemer,

c) omfanget af manuelle rutiner, f.eks. i forbindelse med kontrol og afvikling af handler, kontroller og ikke-integrerede it-systemer,

d) afhængighed af eksterne forhold, herunder underleverandører,

e) organisation, herunder omfanget af interne kontroller og eventuel manglende mulighed for at etablere funktionsadskillelse,

f) fysisk sikkerhed, og

g) modelrisiko.

6) Bestyrelsen skal være særligt opmærksom på hændelser, der forventes at indtræde med lav sandsynlighed, men med store tab.

7) Bestyrelsen skal tage stilling til relevante hændelser, og hvorledes disse forebygges eller imødegås. Politikken skal afspejle virksomhedens størrelse og kompleksitet. Hændelser, der ikke skønnes at kunne medføre tab af betydning, kan behandles summarisk i politikken. En stor eller kompleks virksomhed vil alt andet lige skulle have en mere omfattende politik end en lille og ikke-kompleks virksomhed.

Bestyrelsens retningslinjer til direktionen på området for operationel risiko

8) Bestyrelsen skal i sine retningslinjer til direktionen, jf. §§ 7 og 8, fastsætte

a) principper for indretningen og driften af virksomheden med henblik på at holde operationelle risici på et for virksomheden acceptabelt niveau,

b) principper for, hvorledes operationelle risici skal opgøres,

c) principper for, herunder eventuelle beløbsmæssige grænser for, registrering af oplysninger om hændelser, der har medført tab eller som kunne have medført tab som følge af operationelle risici, og

d) retningslinjer for rapportering til bestyrelsen om operationelle risici og tab som følge heraf, jf. litra b og c.

Direktionens opgaver og ansvar

9) Direktionen skal indrette den finansielle virksomhed således, at operationelle risici begrænses, særligt at de styres inden for de principper, der er fastsat af bestyrelsen, samt sikre, at alle relevante medarbejdere har kendskab til virksomhedens politik for operationelle risici.

10) Det påhviler direktionen at sikre, at

a) oplysninger om hændelser, der medførte tab, eller som kunne have medført tab, registreres i overensstemmelse med bestyrelsens politik for operationelle risici og retningslinjerne,

b) der er effektive systemer og metoder til at kommunikere og opbevare oplysninger om operationelle risici,

c) alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,

d) områder, systemer og produkter, der kan medføre væsentlige operationelle risici identificeres, samt at

e) der er forretningsgange for opsamling, opgørelse og rapportering om tab og eventuelt opstået risiko for tab.

11) Direktionen skal på forhånd vurdere om og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med den af bestyrelsen fastsatte politik og strategi på området. Dette gælder såvel for principielle beslutninger på forretningsmæssige områder, herunder udførelser af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den ansvarlige for risikostyringsfunktionen, jf. § 17, stk. 2, § 18, stk. 2, samt bilag 6.

12) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret, og i givet fald fastlægge en handlingsplan for dette.