Indledning
Finanstilsynet foretog i november 2015 en inspektion af Sydbanks håndtering af operationelle risici. Inspektionen var led i en tværgående undersøgelse, hvor operationelle risici også blev undersøgt i andre SIFI banker.
Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer eller menneskelige og systemmæssige fejl eller som følge af eksterne begivenheder.
Væsentlig operationel risiko i et pengeinstitut vil ofte skyldes svagheder ved it-systemerne, herunder med hensyn til deres integration samt svagheder ved foranstaltninger mod nedbrud og mod angreb fra it-kriminelle. Operationel risiko kan også opstå som følge af et stort omfang af manuelle rutiner, manglende effektiv funktionsadskillelse eller utilstrækkelige kontroller, fejlrådgivning af kunder og mangelfulde foranstaltninger mod hvidvask af penge og finansiering af terrorisme.
Større ændringer i instituttet kan også bidrage væsentligt til operationel risiko, for eksempel ibrugtagning af nye it-systemer, etablering af nye forretningsaktiviteter, større organisatoriske ændringer og stærk vækst på et eller flere forretningsområder.
Sammenfatning og risikovurdering
Et pengeinstitut skal have en politik for operationel risiko, hvor det fremgår, hvor store operationelle risici bestyrelsen kan acceptere, at instituttet påtager sig. Desuden skal de besluttede hovedprincipper for styring af operationelle risici fremgå. Ved inspektionen konstaterede Finanstilsynet visse mangler ved politikken, herunder utilstrækkelig stillingtagen til, hvor store operationelle risici banken er parat til at acceptere, og inkludering af risikoen ved interne modeller.
Endvidere burde politikken mere klart beskrive rapporteringen på området. Banken fik derfor påbud om at tilrette politikken, så den på fyldestgørende vis opfylder kravene hertil.
Et andet element i bankens styring af operationel risiko er registrering af operationelle risikohændelser. Bankens system til registrering er delvis manuelt, og det kan ikke håndtere risikohændelser, som ikke har medført tab, men kunne have medført tab. Banken foretager således ikke registrering af denne type risikohændelser.
En sådan registrering kan give banken indsigt i potentielle operationelle risikohændelser og sammen med de allerede registrerede hændelser være et vigtigt element ved fastlæggelse af indsatsområder for nedbringelse af risikoen. Banken fik et påbud om registrering af alle operationelle hændelser, der kan medføre tab, har medført tab eller kunne have medført tab for banken.
Yderligere et element i risikostyringen er de interne kontroller, som øger kvaliteten af risikostyringen og reducerer risikoen for fejl. Bankens forretningsområder foretager egenkontrol, mens bankens centrale og uafhængige risikostyringsenhed udfører begrænset kontrol på området. Banken fik et påbud om at sikre, at bankens uafhængige risikostyringsenhed udfører passende stikprøvevis kontrol af forretningsområdernes egenkontrol af bankens operationelle risici.
Finanstilsynet gjorde banken opmærksom på, at i nogle andre SIFI banker har intern revision udført en mere omfattende revision af den operationelle risikostyring og af bankens processer, ressourcer og kompetencer på området. Finanstilsynet vurderer, at disse revisioner bidrager med viden og indsigt, som kan styrke risikostyringen af operationelle risici.
Sydbank koncernen har opgjort sit solvensbehov pr. 31. december 2015 til 9,7 procent. Den faktiske solvens pr. 31. december 2015 var 17,6 procent. Inspektionen gav ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.