Formålet med inspektionen var at vurdere, om bankens styring af operationel risiko lever op til ledelsesbekendtgørelsen, og om den er effektiv med hensyn til at fastlægge bankens risikoappetit og overvåge risikorapporteringen.
Sammenfatning og risikovurdering
Finanstilsynet gennemgik bankens politikker, retningslinjer, forretningsgange, organisering, funktionsbeskrivelser, ledelsesrapporter mv. Inspektionen blev gennemført ved møder med bankens risikostyringsfunktion og interne revision.
Finanstilsynet vurderer, at det skal tydeliggøres, hvordan bankens klassifikation af operationelle risici er kædet sammen med bankens risikoappetit. Bankens retningslinjer for forelæggelse af risikovurderinger for bestyrelsen er fastlagt med udgangspunkt i klassifikation af residualrisikoen. Finanstilsynet vurderer, at der er risiko for, at bankens bestyrelse ikke får lejlighed til at vurdere risici, som ligger uden for bankens risikoappetit, og til at vurdere, om bankens risikoreducerende tiltag er effektive for risici med en høj iboende risiko og lav residualrisiko. Det gælder især for bankens operationelle risici med lav sandsynlighed og store potentielle tab.
Finanstilsynet har påbudt banken at uddybe og præcisere risikoappetitten i dens politik for operationel risiko, så politikken sikrer, at bestyrelsen får mulighed for at vurdere bankens enkelte og samlede risici og tage stilling til, om risiciene er acceptable. Politikken skal bl.a. indeholde identifikation af operationelle risici med lav sandsynlighed og store potentielle tab og indeholde stillingtagen til, hvordan disse risici nedbringes til et acceptabelt niveau.
Bankens dokumenter for styring af operationel risiko er omfattende. Banken har løbende udviklet sine metoder og praksis for styringen. Finanstilsynet konstaterede flere eksempler på, at bankens politik, retningslinjer og forretningsgange er uklare og mangler ajourføring i forhold til den praksis, som banken redegjorde for under inspektionen:
- Bankens forretningsgange indeholder utilstrækkelige anvisninger om, hvordan det sikres, at alle operationelle risici identificeres, og hvordan risiciene skal håndteres.
- Forretningsgangene indeholder utilstrækkelige anvisninger om, hvordan banken sikrer identifikation og dermed registrering af operationelle hændelser, og hvem der i praksis skal registrere hændelserne i bankens hændelsesdatabase.
- Funktionsbeskrivelsen og forretningsgangen for den risikoansvarlige og risikostyringsfunktionen foreskriver ikke i tilstrækkeligt omfang den praksis, som banken har oplyst, hvor den risikoansvarlige involveres tidligt i bankens væsentlige beslutninger og dermed har mulighed for reelt at vurdere risiciene og udtale sig om dem forinden.
Samlet set vurderer Finanstilsynet, at uklarheder og manglende ajourføring af bankens politik, retningslinjer og forretningsgange indebærer en risiko for, at banken har utilstrækkeligt overblik over dens operationelle risici, og at den ikke får foretaget de risikoreducerende tiltag, som er nødvendige for, at risikoen holdes inden for bankens risikoappetit.
Finanstilsynet har påbudt banken at tilrette sin politik, retningslinjer og forretningsgange om styring af operationel risiko, så de er i overensstemmelse med bankens praksis og med ledelsesbekendtgørelsen.