Ved operationel risiko forstås ifølge ledelsesbekendtgørelsen risiko for tab som følge af mangelfulde eller svigtende interne procedurer, menneskelige fejl og systemfejl eller som følge af eksterne hændelser, herunder, men ikke begrænset til, juridisk risiko, modelrisiko, risiko vedrørende informations- og kommunikationsteknologi (IKT) og risici som følge af outsourcing.
Formålet med inspektionen var at vurdere, om bankens styring af operationel risiko sker i overensstemmelse med relevante politikker og forretningsgange og med kravene i ledelsesbekendtgørelsen.
På inspektionen gennemgik Finanstilsynet bankens praksis for styring af operationel risiko i tre udvalgte enheder i banken, herunder enhedernes praksis for identifikation, vurdering og monitorering af operationelle risici. Desuden omfattede inspektionen relevante dele af bankens politikker og forretningsgange mv.
Sammenfatning og risikovurdering
Finanstilsynet konstaterede, at bankens styring af operationel risiko ikke skete i overensstemmelse med dens politik og forretningsgange for området.
Banken fulgte ikke en klar og veldokumenteret metode til systematisk identifikation af risici. Derfor var der en forhøjet risiko for, at banken ikke havde identificeret alle relevante risici. I forbindelse med en inspektion af operationel risiko i 2021 indførte banken et krav i forretningsgangene om i videst muligt omfang at knytte identificerede risici til en proces eller et system. Det var endnu kun sket for ca. en tredjedel af risiciene.
Bankens beskrivelse af de enkelte risici, vurdering af dem og beskrivelse af de risikoreducerende kontroller var af stærkt varierende omfang og kvalitet. Banken havde ikke dokumentation for de overvejelser, der førte til vurdering af de enkelte risici, og effektiviteten af de relevante kontroller. Derfor var der en forhøjet risiko for, at bankens vurdering af risikoen og kontrollernes effektivitet var for optimistisk.
Banken registrerede kun i mindre omfang operationelle tabshændelser, som ikke gav anledning tab. Hændelserne blev ikke kædet sammen med identificerede risici. Det reducerede muligheden for at bruge erfaringerne til bedre identifikation og vurdering af risici og til vurdering af de risikoreducerende kontroller.
Banken havde en fornuftig politik på området besluttet af bestyrelsen. Men den risikoansvarlige og direktionen var igennem flere år ikke lykkedes med at få politikken implementeret tilfredsstillende. Det arbejde, der blev udført i organisationen, gav derfor langt fra den ønskede effekt.
Banken har derfor fået påbud om at sikre, at koncernens enheder styrer operationelle risici i overensstemmelse med bankens politik for operationel risiko.[1]
Den har desuden fået påbud om, at den risikoansvarlige skal sikre et tilstrækkeligt og veldokumenteret grundlag for bestyrelsens vurdering af operationelle risici. Grundlaget skal bl.a. omfatte den risikoansvarliges vurdering af, om bankens operationelle risici identificeres, måles, håndteres og rapporteres korrekt.[2]
Banken havde ansat en ny leder til den ikke-finansielle risikostyringsfunktion og har besluttet at tilføre yderligere ressourcer. Lederen og de yderligere ressourcer var ikke tiltrådt på tidspunktet for inspektionen.
Inspektionen gav ikke anledning til ændring af bankens solvensbehov.