www.finansnorge.no

Operasjonell risiko: Hva er det?Kurs Operasjonell risiko, 5. september 2017

Are Jansrud, Finans Norge

www.finansnorge.no

www.finansnorge.no

Kilde: Financial Times, fredag 1.9.2017

«… accounts that customers did not authorise, …»

«… «inadequate» controls on the sale of car

insirance … led to more than half a million

customers being billed for coverage they did not

want.»

www.finansnorge.no

www.finansnorge.no

Dagens agenda

09.00: Operasjonell risiko: Hva er det? v/Are Jansrud, analysesjef Finans Norge

Teknologirisiko

09.30: Cyber-trusselen, v/Morten Tandle, daglig leder FinansCERT

10.00: Betalingstjenesteområdet og teknologirisiko, v/Jan Digranes, direktør Finans Norge

10.30: Prosjektrisiko, v/Svein Ove Karstensen, leder prosjektavdelingen Bits AS

11.00: Pause

«Conduct risk», forbrukervern og investorbeskyttelse

11.20: «Conduct risk» og compliance, v/Are Jansrud, analysesjef Finans Norge

11.40: Forbrukervern og conduct risk, v/Gry Nergård, forbrukerpolitisk direktør Finans Norge

12.00: Anti hvitvask-risiko, v/Atle Roalsøy, Finans Norge

12.20: Lunsj

En praktisk innfallsvinkel

13.10: Operasjonell risiko: betydningen av risikokulturen, v/Stian A Ruud-Larsen, Risk Manager SpareBank 1 SR bank

13.40: Slik styrer vi operasjonell risiko, v/Jacob Laading, Group chief operational risk officer DNB

14.10: Ansatte: etikk, varsling, nøkkelperson- og kompetanserisiko, v/Anja M Brodschöll, advokat Finans Norge

14.40: Pause

Beredskap, styring og kontroll

15.00: Kriseberedskap og kommunikasjon, v/Jan Erik Fåne, kommunikasjonsdirektør Finans Norge

15.30: Operasjonell risiko: Styring og kontroll, v/Are Jansrud, analysesjef Finans Norge

16.00: Slutt

www.finansnorge.no

Definisjon

“the risk of loss resulting from inadequate or failed internal processes, people

and systems or from external events”

(Basel II, 2006)

«Finanstilsynet definerer operasjonell risiko som ”risikoen for tap som følge av

utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige

feil, eller eksterne hendelser”. Definisjonen omfatter juridisk risiko, men ikke

strategisk risiko og omdømmerisiko som må vurderes særskilt.”

(Finanstilsynet, Modul for operasjonell risiko)

www.finansnorge.no

«Innhold» (1)

“Operasjonell risiko (OpRisk) er et vidt fagfelt som griper inn på overordnet

styring og kontroll og andre risikoområder, noe som kan gjøre det utfordrende å

avgrense risikoområdet.»

(Finanstilsynet, Modul for operasjonell risiko)

www.finansnorge.no

«Innhold» (2): Operasjonell risiko går på tvers!

Kredittrisiko Markedsrisiko Motpartsrisiko Likviditetsrisiko

Operasjonell risiko

Strategisk risiko

Omdømmerisiko

www.finansnorge.no

«Innhold» (3)

«Tilsynelatende»

risikoklasse

Eksempler Kommentarer

Kredittrisiko Utlånstap – som følge av svake

kredittprosesser, feilaktig eller

mangelfullt informasjonsgrunnlag, etc.

Svake eller sviktende interne

prosesser er en uønsket

operasjonell situasjon.

Omdømmerisiko Tapt anseelse pga dårlig

kundebehandling, IT-problemer, store

tabber/feil, etc.

«Omdømmerisiko» er ikke en

risiko, men en konsekvens,

gjerne av svake

operasjonelle prosesser

Markedsrisiko Tap på finansielle posisjoner som følge

av rammebrudd – bevisste eller

ubevisste

Avvik fra rammer og rutiner

er en uønsket operasjonell

hendelse

Likviditetsrisiko Unødvendig høye innlånskostnader som

følge av svake eller mangelfulle rutiner

for likviditetsprognosene

Svake eller sviktende interne

prosesser er en uønsket

operasjonell situasjon.

www.finansnorge.no

Regelverk og retningslinjer: Kapitalkravene

• Basismetoden: 12,5 * 15% * Gjennomsnittsinntekt siste tre år

• Sjablongmetoden:

Fij er inntekten i år i for det j. forretningsområde αij er prosentsatsen i år i for det j. forretningsområde:

Foretaksfinansiering (18%), Egenhandel og formidling (18%), Massemarkedsmegling (12%), Banktjenester massemarked (12%), Banktjenester bedriftskunder (15%), Betaling og oppgjørstjenester (18%), Tilknyttede tjenester (15%), Kapitalforvaltning (12%)

• AMA-metoden: internmodell-metode for operasjonell risiko

www.finansnorge.no

Regelverk og retningslinjer: Kapitalkravene

§ 43-1.Institusjoner som kan benytte sjablongmetoden

(1) Sjablongmetoden kan bare benyttes for institusjoner som oppfyller følgende krav:

a. institusjonen har et veldokumentert vurderings- og styringssystem for operasjonell risiko med tydelig ansvarsfordeling. Institusjonen skal identifisereoperasjonell risiko og registrere relevante opplysninger vedrørende operasjonell risiko, herunder opplysninger om betydelige tap. Systemet skal regelmessig gjennomgåsog bekreftes av en uavhengig funksjon i institusjonen,

b. vurderingssystemet for operasjonell risiko er en integrert del av institusjonensrisikostyringsprosess og

c. institusjonen har en intern rapporteringsstruktur til styret, som sikrer at allerelevante funksjoner i institusjonen gis nødvendig informasjon om operasjonell risiko.

www.finansnorge.no

Kapitaldekning: Beregningsgrunnlaget idag

Beregningsgrunnlaget

KredittrisikoOperasjonell

risikoFradragsposterOvergangsordninger

Motpartsrisiko Markedsrisiko

StandardmetodeMarkedsverdi-

metoden

Standardisert

metode

Fradragsposter i

ansvarlig kapital

VaR-metode

Standardmetode

AMA-metode

Sjablongmetode

Basismetode

Grunnleggende

IRB

Avansert IRB

Opprinnelig

eng.-metode

IMM-metode

CVA-risiko

Kredittrisiko

verdipapirisering

Basel 1-gulvet

Ulike overgangs-

bestemmelser

www.finansnorge.no

Kapitaldekning: Beregningsgrunnlaget

Beregningsgrunnlaget

KredittrisikoOperasjonell

risikoFradragsposterOvergangsordninger

Motpartsrisiko Markedsrisiko

StandardmetodeMarkedsverdi-

metoden

Standardisert

metode

Fradragsposter i

ansvarlig kapital

VaR-metode

Standardmetode

AMA-metode

Sjablongmetode

Basismetode

Grunnleggende

IRB

Avansert IRB

Opprinnelig

eng.-metode

IMM-metode

CVA-risiko

Kredittrisiko

verdipapirisering

Basel 1-gulvet

Ulike overgangs-

bestemmelser

??? ?

??

www.finansnorge.no

«Basel 4»: Operasjonell risiko

• Hovedtrekkene i forslaget:– Adgangen til internmodell-bruk (AMA) for operasjonell risiko fjernes

– Alle de tre eksisterende modellene for å beregne kapitalkravet for operasjonell risiko foreslås erstattet av

en standardisert målemetode (SMA)

– Kapitalkravet skal fortsatt beregnes med bankenes inntekter som det primære grunnlaget, men der både

inntektsfaktoren fastsettes noe mer avansert enn etter dagens metoder, det relative kapitalkravet vil øke

med størrelse og der god risikostyring skal premieres

• Større banker må registrere operasjonelle tap, og de historiske faktiske tapene

vil danne grunnlag for skalering (opp / ned) av kapitalkravet

www.finansnorge.no

«Basel 4»: Operasjonell risiko

• Kapitalkravet beregnes på basis av en Business Indicator (BI) – skalert med en

Tapskomponent (TK)BI = Rente, leasing og utbytte-komponenten + Servicekomponenten + Finansiell komponent

• Kapitalkravet:BI under 1 mrd EUR: 11% * BI

BI over 1 med EUR: 110 mill + (BIC – 110) * Ln (Exp (1) – 1 + TK/BIC)

www.finansnorge.no

CRR/CRD IV-forskriften

§27, femte ledd:

Retningslinjene for operasjonell

risiko skal omfatte

beredskapsplaner for å sikre at

driften kan videreføres og tap

begrenses ved alvorlige

driftsforstyrrelser.

§28:

Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen.

Det skal minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte og om det er behov for nye tiltak.

Vurderingene etter første og andre ledd skal dokumenteres.

Daglig leder skal, minimum én gang årlig, utarbeide en samlet vurdering etter første og andre ledd som skal forelegges styret til behandling.

Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet

www.finansnorge.no

Finanstilsynets modul

1.1. Strategi og overordnede retningslinjer (policyer) – dokumentasjon og prosess

1.2. Strategi og overordnede retningslinjer (policyer) – innhold

1.3. Måltall og rammer for operasjonell risiko

2.1. Organisering og ansvarsforhold

2.2. Ressurser og kompetanse

2.3. Utkontraktering

3.1. System for måling av operasjonell risiko i løpende drift

3.2. Operasjonell risiko i nye produkter, aktiviteter, prosesser og systemer

3.3. Måling av operasjonell risiko ved beregning av kapitalbehov

4.1. Overvåking

4.2. Rapportering og oppfølging

4.3. Internkontroll av operasjonell risiko

4.4. Offentliggjøring av informasjon om operasjonell risiko

5. Beredskap og kontinuitet

6. Uavhengig kontroll

www.finansnorge.no

Regelverk og retningslinjer (1)

Rapportering av IKT-

hendelser til KredittilsynetIKT-forskriftenCRR/CRD IV-forskriften

www.finansnorge.no

Regelverk og retningslinjer (2)

www.finansnorge.no

Regelverk og retningslinjer (3)

• Collateral management stadig

viktigere både regulatorisk og

finansielt:

– Krav i EMIR:

• Krav til marginering for clearing

• Krav til risikostyring av ikke

clearede posisjoner

– Kapitalkravslettelser i SA-CCR

Finansforetakslovens §13-6 (2),

siste setning:Vurderingen skal omfatte risikoeksponering

som følge av at foretakets eiendeler blir

overdratt til eller stilt som sikkerhet overfor

andre finansforetak.

Sikkerheter

innSikkerheter ut

Collateral

management

www.finansnorge.no

Regelverk og retningslinjer (4)

med flere ….Verdipapirforskriften

Personopplysningsloven

Personopplysningsforskriften

Arbeidsmiljøvernlovgivningen

VerdipapirhandellovenForskrift om meldeplikt ved

utkontraktering

Anti hvitvask-loven

Anti hvitvask-forskriften

Forskrift om

kredittmarkedsføring

Forskrift om fakturering av

kredittkortgjeld

Finansavtaleloven

Finansforetaksforskriften

Finansforetaksloven

www.finansnorge.no

Operasjonell risiko / Compliancerisiko ?

• Foretak som er definert som

systemviktige, samt foretak med

forvaltningskapital over 100 mrd,

som er en del av en

konsernstruktur og med IRB-

godkjenning, må ha en egen,

separat compliancefunksjon

med en leder som rapporterer

direkte til adm direktør

www.finansnorge.no