Indledning
Finanstilsynet foretog i oktober 2015 en inspektion af Jyske Banks håndtering af operationelle risici. Inspektionen var led i en tværgående undersøgelse, hvor operationelle risici også blev undersøgt i andre SIFI banker.
Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer eller menneskelige og systemmæssige fejl eller som følge af eksterne begivenheder.
Væsentlig operationel risiko i et pengeinstitut vil ofte skyldes svagheder ved it-systemerne, herunder med hensyn til deres integration samt svagheder ved foranstaltninger mod nedbrud og mod angreb fra it-kriminelle. Operationel risiko kan også opstå som følge af et stort omfang af manuelle rutiner, manglende effektiv funktionsadskillelse eller utilstrækkelige kontroller, fejlrådgivning af kunder og mangelfulde foranstaltninger mod hvidvask af penge og finansiering af terrorisme. Større ændringer i instituttet kan også bidrage væsentligt til operationel risiko, for eksempel ibrugtagning af nye it-systemer, etablering af nye forretningsaktiviteter, større organisatoriske ændringer og stærk vækst på et eller flere forretningsområder.
Sammenfatning og risikovurdering
Et element i bankens styring af operationel risiko er registrering af operationelle risikohændelser, som har givet banken et tab og i nogle få tilfælde en gevinst. Banken foretager derimod ikke en systematisk registrering af fejl, hvor der ikke er konstateret et tab, men som kunne have medført tab. En sådan registrering kan give banken indsigt i potentielle operationelle risikohændelser og sammen med de allerede registrerede hændelser være et vigtigt element ved fastlæggelse af indsatsområder for nedbringelse af risikoen. Banken fik derfor et påbud om systematisk at registrere disse fejl.
Et andet element i styringen af operationel risiko er bankens scenarieanalyser, hvis formål er at identificere potentielle risikohændelser og effekten heraf. Banken har bl.a. identificeret de risikoscenarier, hvor den vurderer, at risikoen er særligt stor. Finanstilsynet finder, at banken har foretaget nogle relevante analyser. Bestyrelsen og direktionen mangler dog eksplicit at tage stilling til, hvorvidt der er behov for at udarbejde handlingsplaner for disse risici, eller om bestyrelsen og direktionen kan acceptere, at banken har risiciene. Banken fik derfor påbud om at tage stilling til dette.
Bestyrelsen og bestyrelsens risikoudvalg modtager en årlig rapport om bankens operationelle risiko, og emnet bliver også drøftet i forbindelse med bestyrelsens årlige behandling af solvensbehovsrapporten. Derudover modtager bestyrelsen orientering om operationelle risikohændelser, som har medført tab over 1 mio. kr. Henset til at banken er en SIFI bank, finder Finanstilsynet, at der er behov for en hyppigere intern rapportering om operationel risiko og forbedret dokumentation af bankens drøftelser heraf, og banken fik derfor et påbud herom.
Finanstilsynet gjorde banken opmærksom på, at i nogle andre SIFI banker har intern revision udført en mere omfattende revision af den operationelle risikostyring og af bankens processer, ressourcer og kompetencer på området. Finanstilsynet vurderer, at disse revisioner bidrager med viden og indsigt, som kan styrke risikostyringen af operationelle risici.
Jyske Bank koncernen har opgjort sit solvensbehov pr. 31. december 2015 til 10,5 procent. Den faktiske solvens pr. 31. december 2015 var 17,0 procent. Inspektionen gav ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.