Indledning
Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer eller menneskelige og systemmæssige fejl eller som følge af eksterne begivenheder.
Væsentlig operationel risiko i et pengeinstitut vil ofte skyldes svagheder ved it-systemerne, herunder med hensyn til deres integration samt svagheder ved foranstaltninger mod nedbrud og mod angreb fra it-kriminelle. Operationel risiko kan også opstå som følge af et stort omfang af manuelle rutiner, manglende effektiv funktionsadskillelse eller utilstrækkelige kontroller, fejlrådgivning af kunder og mangelfulde foranstaltninger mod hvidvask af penge og finansiering af terrorisme. Større ændringer i instituttet kan også bidrage væsentligt til operationel risiko, for eksempel ibrugtagning af nye it-systemer, etablering af nye forretningsaktiviteter, større organisatoriske ændringer og stærk vækst på et eller flere forretningsområder.
Sammenfatning og risikovurdering
Banken havde inden inspektionen identificeret en række mangler i sin styring af operationelle risici og havde iværksat initiativer til at løse disse. Manglerne omfattede utilstrækkelig stillingtagen til, hvor store operationelle risici banken er parat til at acceptere, og utilstrækkelig analyse af de operationelle risici, som banken er udsat for. Der havde desuden forekommet eksempler på tab som følge af operationel risiko, som bankens bestyrelse først var blevet orienteret om, længe efter at den efter bankens egne retningslinjer skulle have været orienteret. Banken havde identificeret et særligt behov for en bedre styring af operationelle risici i de udenlandske enheder. Endvidere havde banken konkluderet, at der var for få medarbejdere til området, for uklar arbejdsdeling og for lidt intern undervisning af bankens medarbejdere om operationel risiko. Finanstilsynet gav banken en påtale for den manglende overholdelse af kravene til styring af operationel risiko.
Udover de områder, som banken havde identificeret, konstaterede Finanstilsynet, at Group Operational Risk, som er den enhed i banken, der skal overvåge operationel risiko, har haft en meget begrænset rolle i forbindelse med beslutninger i banken, som kunne involvere væsentlig operationel risiko, fx bankens beslutning om flytning af en række opgaver til bankens filial i Litauen. Banken fik derfor et påbud om, at Group Operational Risk skal have en mere fremtrædende rolle ved analyser i forbindelse med sådanne beslutninger.
Finanstilsynet konstaterede også, at bankens interne rapportering om operationelle risici ikke var tilstrækkelig detaljeret, idet der manglede særskilt rapportering om operationelle risici på landeniveau. Desuden var bankens interne formidling af observerede operationelle risici ikke overskuelig. Banken har tilkendegivet, at den løbende arbejder på at forbedre rapporteringen til bestyrelsen og direktionen, og at nogle af forbedringerne vil ske i takt med, at bankens datagrundlag bliver bedre.
Danske Bank koncernen har opgjort sit solvensbehov pr. 31. december 2015 til 10,7 procent. Den faktiske solvens pr. 31. december 2015 var 21,0 procent. Inspektionen gav ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.