Redegørelse om inspektion af styring af operationel risiko i Jyske Bank

Finanstilsynet gennemførte i december 2021 en inspektion af styring af operationel risiko i Jyske Bank A/S. Formålet med inspektionen var at vurdere, om bankens styring af operationel risiko lever op til ledelsesbekendtgørelsen, og om den er effektiv med hensyn til at fastlægge bankens risikoappetit og overvåge risikoeksponeringen.

Sammenfatning og risikovurdering

Finanstilsynet gennemgik bankens politikker, retningslinjer, forretningsgange, organisering, funktionsbeskrivelser, ledelsesrapporter mv. Inspektionen blev gennemført ved møder med bankens risikostyringsfunktion og interne revision.

Finanstilsynet konstaterede mangler i bankens politik for operationel risiko:

  • Risikoappetitten i politikken for operationel risiko indeholdt ikke i tilstrækkeligt omfang bankens strategiske mål og afgrænsning af de operationelle risici, som banken ønsker at påtage sig.
  • I praksis betragter banken meget alvorlige risici (røde risici) og alvorlige risici (orange risici) for at være uden for risikoappetitten. Bestyrelsen var imidlertid ikke involveret i vurderingen af røde og orange risici, mens direktionen alene var involveret i vurderingen af røde risici.
  • Bankens klassifikation af operationelle risici umuliggjorde, at risici med en frekvens sjældnere end hvert 10. år kunne blive røde uanset de mulige konsekvenser og dermed kvalificere til den mest omfattende risikoreaktion.
  • Klassifikationen omfattede alene den vurderede residualrisiko. Ved at undlade indarbejdelse af iboende risiko i risikoklassifikationen fik bestyrelsen og ledere på andre niveauer ikke lejlighed til at forholde sig til effektiviteten af risikomitigerende foranstaltninger. I anden sammenhæng er vurdering af iboende risiko, residualrisiko og kontroleffektivitet dog et fast element i scenarieanalyse af de væsentligste IT-risici.

Finanstilsynet har påbudt banken at tilrette politikken for operationel risiko, så den omfatter bestyrelsens strategiske mål for operationelle risici og reelt identificerer og afgrænser de operationelle risici, som banken ønsker at påtage sig.

Banken dokumenterede ikke i tilstrækkelig grad den risikoansvarliges vurderinger og anbefalinger om operationel risiko ved væsentlige beslutninger. I sin rapport fra november 2021 om inspektion af bankens compliancefunktion og risikostyringsfunktion påpegede Finanstilsynet en tilsvarende mangel i risikostyringsfunktionens dokumentation af opfølgning på anbefalinger. Ved nærværende inspektion oplyste banken, at den arbejder på at udbedre manglen. Finanstilsynet fandt derfor ikke anledning til yderligere reaktioner.