Indledning
Finanstilsynet foretog i oktober 2015 en inspektion af Nordea Bank Danmarks håndtering af operationelle risici. Inspektionen var led i en tværgående undersøgelse, hvor operationelle risici også blev undersøgt i andre SIFI banker.
Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer eller menneskelige og systemmæssige fejl eller som følge af eksterne begivenheder.
Væsentlig operationel risiko i et pengeinstitut vil ofte skyldes svagheder ved it-systemerne, herunder med hensyn til deres integration samt svagheder ved foranstaltninger mod nedbrud og mod angreb fra it-kriminelle. Operationel risiko kan også opstå som følge af et stort omfang af manuelle rutiner, manglende effektiv funktionsadskillelse eller utilstrækkelige kontroller, fejlrådgivning af kunder og mangelfulde foranstaltninger mod hvidvask af penge og finansiering af terrorisme. Større ændringer i instituttet kan også bidrage væsentligt til operationel risiko, for eksempel ibrugtagning af nye it-systemer, etablering af nye forretningsaktiviteter, større organisatoriske ændringer og stærk vækst på et eller flere forretningsområder.
Resultaterne fra inspektionen skal også ses i lyset af, at Finanstilsynet tidligere i 2015 foretog en vurdering af opgørelsen af Nordea Bank Danmark koncernens solvens. Vurderingen var et led i den årlige risikovurdering af den nordiske Nordea Bank AB koncern foretaget af de nordiske tilsynsmyndigheder og ECB. Finanstilsynet fandt bl.a. et behov for et øget tillæg til solvensbehovet ved opgørelse af koncernens operationelle risiko primært på grund af svagheder ved bankens forebyggelse af hvidvask af penge og finansiering af terrorisme og svagheder ved it-systemerne, herunder en væsentligt forhøjet risiko i forbindelse med indførelse af nye it-systemer.
Sammenfatning og risikovurdering
Banken havde inden inspektionen identificeret mangler i sin styring af operationelle risici og havde iværksat initiativer til at løse disse. Finanstilsynet konstaterede imidlertid yderligere mangler.
Rapporteringen om operationel risiko til bestyrelsen og bestyrelsens risikoudvalg var ikke dækkende for bankens faktiske operationelle risiko. Finanstilsynet gav påbud om at sikre tilstrækkelig opmærksomhed på operationel risiko i banken, herunder ved at ansætte nøglepersoner og ved relevant og tilstrækkelig risikorapportering.
Et pengeinstitut skal have en politik for operationel risiko, hvoraf det fremgår, hvor store operationelle risici bestyrelsen kan acceptere, at instituttet påtager sig. Desuden skal de besluttede hovedprincipper for styring af operationelle risici fremgå. Endvidere skal bestyrelsen fastsætte retningslinjer for direktionen om operationel risiko. Ved inspektionen konstaterede Finanstilsynet, at væsentlige principper for styring af operationelle risici ikke fremgik af politikken, og at der ikke forelå aktuelle retningslinjer til direktionen, idet disse var under ændring. Banken fik derfor påbud om at tilrette politikken og udarbejde retningslinjer for operationel risiko, der på fyldestgørende vis opfylder kravene hertil.
Et element i bankens styring af operationel risiko er registrering af operationelle risikohændelser, som har givet banken et tab, eller som kunne have medført tab. Systemet er delvis manuelt, hvilket er med til at øge risikoen for indberetningsfejl og reducerer systemets egnethed til rapportering, kontrol og opfølgning på de operationelle risikohændelser. Endvidere er der ikke en opdateret forretningsgang for registrering af operationelle risikohændelser, hvilket Finanstilsynet gav banken påbud om at sikre.
Et andet element i styringen af operationel risiko er bankens scenarieanalyser, hvis formål er at identificere potentielle risikohændelser og effekten heraf. I den årlige risikorapport var der kun en relativt kortfattet dokumentation herfor, og analyserne var kun foretaget på koncernniveau for den nordiske Nordea Bank AB koncern og ikke specifikt for Nordea Bank Danmark. Det fremgik heller ikke, hvorfor koncernens scenarieanalyser skulle være anvendelige for Nordea Bank Danmark. Banken fik derfor påbud om at udarbejde relevante scenarieanalyser.
Nordea Bank Danmark koncernen har opgjort sit solvensbehov pr. 31. december 2015 til 14,2 procent. Den faktiske solvens pr. 31. december 2015 var 18,4 procent. Inspektionen bekræftede behovet for det allerede øgede tillæg til solvensbehovet som følge af operationelle risici nævnt i indledningen og gav dermed ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.