Andre bilag
Bilag 1 (Kreditområdet)
Bilag 2 (Markedsrisiko)
Bilag 3 (Operationelle risici)
Bilag 4 (Likviditetsrisici)
Bilag 5 (It-strategi, it-risikostyringspolitik og it-sikkerhedspolitik)
Bilag 6 (Tilrettelæggelse af arbejdet i bestyrelsen)
Bilag 7 (Risikostyringsfunktionen og den risikoansvarlige)
Bilag 8 (Risikoen for overdreven gearing)
Anvendelsesområder og definitioner
1) Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici og risici som følge af outsourcing. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter de samme principper som operationel risiko.
2) Ved modelrisiko forstås risiko for tab som følge af beslutninger, der hovedsagelig baseres på resultater fra interne modeller, på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af sådanne modeller.
3) Ved risici som følge af outsourcing forstås risiko for tab som direkte eller indirekte kan henføres til virksomhedens eller leverandørens operationelle håndtering i forbindelse med outsourcing af processer, tjenesteydelser eller aktiviteter til en leverandør, herunder også ved koncernintern outsourcing.
4) Med tabshændelser forstås begivenheder, der kan medføre tab, har medført tab eller som kunne have medført tab, jf. nr. 1, for virksomheden.
Bestyrelsens opgaver og ansvar
Politik for operationel risiko
5) Med udgangspunkt i virksomhedens forretningsmodel, aktiviteter og organisering skal bestyrelsen udarbejde en politik for operationel risiko, som afspejler virksomhedens størrelse og kompleksitet og som, udover de generelle krav i § 4 skal indeholde:
a)
Identifikation af, hvilke operationelle risici virksomheden kan være udsat for, herunder risici, der forventes at indtræde med lav sandsynlighed, men med store potentielle tab til følge.
b)
Stillingtagen til, hvordan virksomhedens operationelle risici nedbringes til et acceptabelt niveau.
c)
Overordnede principper, som virksomheden skal indrettes efter med henblik på at holde operationelle risici på et for bestyrelsen acceptabelt niveau.
d)
Stillingtagen til
i.
operationelle risici som følge af outsourcing, herunder afhængighed af underleverandører,
ii.
operationelle risici knyttet til virksomhedens produkter og/eller kundegrupper,
iii.
omfanget af manuelle rutiner, for eksempel i forbindelse med kontrol og afvikling af handler,
iv.
integrationen og egnetheden af virksomhedens it-systemer,
v.
afhængighed af eksterne forhold,
vi.
operationelle risici knyttet til virksomhedens organisering, herunder manglende funktionsadskillelse, jf. § 11,
vii.
fysisk sikkerhed, og
viii.
modelrisiko.
e)
Overordnede principper for, hvordan virksomheden skal registrere og kategorisere tabshændelser.
f)
Overordnede principper for rapportering om tabshændelser til bestyrelsen, der skal sikre, at bestyrelsen til enhver tid har et tilstrækkeligt indblik i virksomhedens operationelle risici og udviklingen heri.
6) Bestyrelsen skal ved udarbejdelse af politikken, i det omfang det er relevant, forholde sig til
a)
om tidligere indtrufne hændelser kan gentage sig i fremtiden, og
b)
om medarbejdernes generelle kompetenceniveau er tilstrækkeligt.
Bestyrelsens retningslinjer til direktionen på området for operationel risiko
7) Bestyrelsens retningslinjer til direktionen, jf. §§ 6 og 7, skal indeholde følgende:
a)
Retningslinjer, for, hvordan operationelle tabshændelser identificeres.
b)
Konkrete metoder, der sikrer, at direktionen løbende vurderer de tabshændelser, der er indtruffet, eller som forventes at indtræffe med lav sandsynlighed, men med store tab til følge (halebegivenheder). Disse metoder kan for eksempel omfatte scenarioanalyser, der udarbejdes i samarbejde med de relevante ledere, eller for eksempel analyser af tabsregistreringer og risikoindikatorer.
c)
Retningslinjer for, hvordan direktionen skal registrere tabshændelser, herunder hvilke oplysninger vedrørende tabshændelserne der skal registreres, i hvilket omfang registrering skal foretages, samt eventuelle beløbsmæssige grænser for registreringen af hændelser, der har medført tab, såvel som hændelser, der kunne have medført tab.
d)
Retningslinjer for, hvordan virksomheden skal kategorisere tabshændelser.
e)
Retningslinjer for rapportering af tabshændelser. Disse retningslinjer skal som minimum indeholde nærmere angivelse af
i.
eventuelle beløbsmæssige tærskelværdier for rapportering af tabshændelser, til bestyrelse, direktion og andre relevante medarbejdere, samt
ii.
rapporteringens indhold, omfang og frekvens.
Direktionens opgaver og ansvar
8) Direktionen skal indrette den finansielle virksomhed således, at operationelle risici begrænses, særligt at de styres indenfor de principper, der er fastsat af bestyrelsen, samt sikre, at alle relevante medarbejdere har kendskab til virksomhedens politik for operationelle risici.
9) Det påhviler direktionen at sikre, at
a)
oplysninger om tabshændelser i alle virksomhedens forretningsområder registreres i overensstemmelse med bestyrelsens politik for operationelle risici og retningslinjerne til direktionen,
b)
alle relevante medarbejdere har kendskab til virksomhedens politik for operationel risiko,
c)
alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,
d)
der er etableret effektive systemer og metoder til at identificere, registrere, kategorisere, rapportere og opbevare oplysninger om tabshændelser i virksomhedens væsentlige forretningsområder,
e)
der er forretningsgange for identificering, registrering og kategorisering af tabshændelser, og
f)
der er forretningsgange for opgørelse og rapportering til bestyrelsen om operationelle tabshændelser.
10) Direktionen skal på forhånd vurdere om og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med politikken og strategien på området fastsat af bestyrelsen. Dette gælder såvel for principielle beslutninger på de forretningsmæssige områder, herunder udførelsen af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den risikoansvarlige, jf. § 16 samt bilag 7.
11) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret, og i givet fald foretage de fornødne foranstaltninger.
Orientering af Finanstilsynet
12) Direktionen skal sikre, at virksomheden orienterer Finanstilsynet ved væsentlige tabshændelser.
Modelrisiko
13) En virksomhed, som anvender modeller til risikostyring, herunder opgørelse af risiko, prisfastsættelse af aktiver, klassifikation af kunder, vurdering af sikkerheder, automatisering af beslutninger m.v., skal have passende foranstaltninger til styring af de risici, som anvendelsen af disse modeller foranlediger. Foranstaltningerne skal som minimum omfatte:
a)
Virksomhedens definition af modeller.
b)
Et register over de modeller, som virksomheden anvender.
c)
Placering af det organisatoriske ansvar for udvikling, godkendelse, anvendelse, overvågning, validering og vedligeholdelse af modeller herunder ansvar for at vurdere resultater af overvågning og validering og træffe beslutninger om nødvendige foranstaltninger.
d)
Forretningsgange for udvikling, godkendelse, anvendelse, overvågning og validering af modeller.
14) Virksomheden skal inddrage følgende hensyn i tilrettelæggelsen af foranstaltninger, jf. nr. 13, under hensyntagen til omfanget og kompleksiteten af virksomhedens anvendelse af modeller:
a)
Passende ressourcer, viden og it-ressourcer til en betryggende udvikling, implementering, validering, vedligeholdelse og anvendelse af modellerne.
b)
Identifikation, håndtering og overvågning af risici forbundet med udvikling, implementering, vedligeholdelse og anvendelse af modellerne. Herunder skal virksomheden have foranstaltninger til at identificere og håndtere utilsigtede tendenser i modellernes output, som kan give anledning til upræcis opgørelse af risikoen eller til uønsket risikotagning.
c)
Regelmæssig validering og backtest af modellernes output.
d)
Indsigt i antagelser, konsekvenser og begrænsninger ved anvendelsen af modellerne hos bestyrelsen, direktionen og andre relevante ledelsesniveauer under hensyntagen til deres opgaver og ansvar.
e)
Gennemsigtighed og sporbarhed igennem hele processen fra opsamling af data til input i modeller til anvendelse af modellernes output.
f)
Robusthed af kvaliteten i modellernes output ved ændrede niveauer af risiko.
g)
Robusthed af driften af modellerne over for driftsforstyrrelser, herunder passende nødplaner.
h)
Et passende og veldefineret kontrolmiljø.
i)
Kvaliteten af data, som modellerne anvender, herunder en klar placering af ansvaret for definitioner, dataopsamling, monitorering, kontroller og dokumentation.
j)
Dokumentation af modellernes indbyggede metodik, antagelser og dataanvendelse samt af kontrol- og overvågningsforanstaltninger herunder versionsstyring, ændringslog og testmiljø.
k)
Overholdelse af relevante regler om forbruger- og databeskyttelse.