operasjonell risiko: hva er det? - hjem | finans norge... definisjon “the risk of loss resulting...
TRANSCRIPT
www.finansnorge.no
Operasjonell risiko: Hva er det?Kurs Operasjonell risiko, 5. september 2017
Are Jansrud, Finans Norge
www.finansnorge.no
www.finansnorge.no
Kilde: Financial Times, fredag 1.9.2017
«… accounts that customers did not authorise, …»
«… «inadequate» controls on the sale of car
insirance … led to more than half a million
customers being billed for coverage they did not
want.»
www.finansnorge.no
www.finansnorge.no
Dagens agenda
09.00: Operasjonell risiko: Hva er det? v/Are Jansrud, analysesjef Finans Norge
Teknologirisiko
09.30: Cyber-trusselen, v/Morten Tandle, daglig leder FinansCERT
10.00: Betalingstjenesteområdet og teknologirisiko, v/Jan Digranes, direktør Finans Norge
10.30: Prosjektrisiko, v/Svein Ove Karstensen, leder prosjektavdelingen Bits AS
11.00: Pause
«Conduct risk», forbrukervern og investorbeskyttelse
11.20: «Conduct risk» og compliance, v/Are Jansrud, analysesjef Finans Norge
11.40: Forbrukervern og conduct risk, v/Gry Nergård, forbrukerpolitisk direktør Finans Norge
12.00: Anti hvitvask-risiko, v/Atle Roalsøy, Finans Norge
12.20: Lunsj
En praktisk innfallsvinkel
13.10: Operasjonell risiko: betydningen av risikokulturen, v/Stian A Ruud-Larsen, Risk Manager SpareBank 1 SR bank
13.40: Slik styrer vi operasjonell risiko, v/Jacob Laading, Group chief operational risk officer DNB
14.10: Ansatte: etikk, varsling, nøkkelperson- og kompetanserisiko, v/Anja M Brodschöll, advokat Finans Norge
14.40: Pause
Beredskap, styring og kontroll
15.00: Kriseberedskap og kommunikasjon, v/Jan Erik Fåne, kommunikasjonsdirektør Finans Norge
15.30: Operasjonell risiko: Styring og kontroll, v/Are Jansrud, analysesjef Finans Norge
16.00: Slutt
www.finansnorge.no
Definisjon
“the risk of loss resulting from inadequate or failed internal processes, people
and systems or from external events”
(Basel II, 2006)
«Finanstilsynet definerer operasjonell risiko som ”risikoen for tap som følge av
utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige
feil, eller eksterne hendelser”. Definisjonen omfatter juridisk risiko, men ikke
strategisk risiko og omdømmerisiko som må vurderes særskilt.”
(Finanstilsynet, Modul for operasjonell risiko)
www.finansnorge.no
«Innhold» (1)
“Operasjonell risiko (OpRisk) er et vidt fagfelt som griper inn på overordnet
styring og kontroll og andre risikoområder, noe som kan gjøre det utfordrende å
avgrense risikoområdet.»
(Finanstilsynet, Modul for operasjonell risiko)
www.finansnorge.no
«Innhold» (2): Operasjonell risiko går på tvers!
Kredittrisiko Markedsrisiko Motpartsrisiko Likviditetsrisiko
Operasjonell risiko
Strategisk risiko
Omdømmerisiko
www.finansnorge.no
«Innhold» (3)
«Tilsynelatende»
risikoklasse
Eksempler Kommentarer
Kredittrisiko Utlånstap – som følge av svake
kredittprosesser, feilaktig eller
mangelfullt informasjonsgrunnlag, etc.
Svake eller sviktende interne
prosesser er en uønsket
operasjonell situasjon.
Omdømmerisiko Tapt anseelse pga dårlig
kundebehandling, IT-problemer, store
tabber/feil, etc.
«Omdømmerisiko» er ikke en
risiko, men en konsekvens,
gjerne av svake
operasjonelle prosesser
Markedsrisiko Tap på finansielle posisjoner som følge
av rammebrudd – bevisste eller
ubevisste
Avvik fra rammer og rutiner
er en uønsket operasjonell
hendelse
Likviditetsrisiko Unødvendig høye innlånskostnader som
følge av svake eller mangelfulle rutiner
for likviditetsprognosene
Svake eller sviktende interne
prosesser er en uønsket
operasjonell situasjon.
www.finansnorge.no
Regelverk og retningslinjer: Kapitalkravene
• Basismetoden: 12,5 * 15% * Gjennomsnittsinntekt siste tre år
• Sjablongmetoden:
Fij er inntekten i år i for det j. forretningsområde αij er prosentsatsen i år i for det j. forretningsområde:
Foretaksfinansiering (18%), Egenhandel og formidling (18%), Massemarkedsmegling (12%), Banktjenester massemarked (12%), Banktjenester bedriftskunder (15%), Betaling og oppgjørstjenester (18%), Tilknyttede tjenester (15%), Kapitalforvaltning (12%)
• AMA-metoden: internmodell-metode for operasjonell risiko
www.finansnorge.no
Regelverk og retningslinjer: Kapitalkravene
§ 43-1.Institusjoner som kan benytte sjablongmetoden
(1) Sjablongmetoden kan bare benyttes for institusjoner som oppfyller følgende krav:
a. institusjonen har et veldokumentert vurderings- og styringssystem for operasjonell risiko med tydelig ansvarsfordeling. Institusjonen skal identifisereoperasjonell risiko og registrere relevante opplysninger vedrørende operasjonell risiko, herunder opplysninger om betydelige tap. Systemet skal regelmessig gjennomgåsog bekreftes av en uavhengig funksjon i institusjonen,
b. vurderingssystemet for operasjonell risiko er en integrert del av institusjonensrisikostyringsprosess og
c. institusjonen har en intern rapporteringsstruktur til styret, som sikrer at allerelevante funksjoner i institusjonen gis nødvendig informasjon om operasjonell risiko.
www.finansnorge.no
Kapitaldekning: Beregningsgrunnlaget idag
Beregningsgrunnlaget
KredittrisikoOperasjonell
risikoFradragsposterOvergangsordninger
Motpartsrisiko Markedsrisiko
StandardmetodeMarkedsverdi-
metoden
Standardisert
metode
Fradragsposter i
ansvarlig kapital
VaR-metode
Standardmetode
AMA-metode
Sjablongmetode
Basismetode
Grunnleggende
IRB
Avansert IRB
Opprinnelig
eng.-metode
IMM-metode
CVA-risiko
Kredittrisiko
verdipapirisering
Basel 1-gulvet
Ulike overgangs-
bestemmelser
www.finansnorge.no
Kapitaldekning: Beregningsgrunnlaget
Beregningsgrunnlaget
KredittrisikoOperasjonell
risikoFradragsposterOvergangsordninger
Motpartsrisiko Markedsrisiko
StandardmetodeMarkedsverdi-
metoden
Standardisert
metode
Fradragsposter i
ansvarlig kapital
VaR-metode
Standardmetode
AMA-metode
Sjablongmetode
Basismetode
Grunnleggende
IRB
Avansert IRB
Opprinnelig
eng.-metode
IMM-metode
CVA-risiko
Kredittrisiko
verdipapirisering
Basel 1-gulvet
Ulike overgangs-
bestemmelser
??? ?
??
www.finansnorge.no
«Basel 4»: Operasjonell risiko
• Hovedtrekkene i forslaget:– Adgangen til internmodell-bruk (AMA) for operasjonell risiko fjernes
– Alle de tre eksisterende modellene for å beregne kapitalkravet for operasjonell risiko foreslås erstattet av
en standardisert målemetode (SMA)
– Kapitalkravet skal fortsatt beregnes med bankenes inntekter som det primære grunnlaget, men der både
inntektsfaktoren fastsettes noe mer avansert enn etter dagens metoder, det relative kapitalkravet vil øke
med størrelse og der god risikostyring skal premieres
• Større banker må registrere operasjonelle tap, og de historiske faktiske tapene
vil danne grunnlag for skalering (opp / ned) av kapitalkravet
www.finansnorge.no
«Basel 4»: Operasjonell risiko
• Kapitalkravet beregnes på basis av en Business Indicator (BI) – skalert med en
Tapskomponent (TK)BI = Rente, leasing og utbytte-komponenten + Servicekomponenten + Finansiell komponent
• Kapitalkravet:BI under 1 mrd EUR: 11% * BI
BI over 1 med EUR: 110 mill + (BIC – 110) * Ln (Exp (1) – 1 + TK/BIC)
www.finansnorge.no
CRR/CRD IV-forskriften
§27, femte ledd:
Retningslinjene for operasjonell
risiko skal omfatte
beredskapsplaner for å sikre at
driften kan videreføres og tap
begrenses ved alvorlige
driftsforstyrrelser.
§28:
Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen.
Det skal minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte og om det er behov for nye tiltak.
Vurderingene etter første og andre ledd skal dokumenteres.
Daglig leder skal, minimum én gang årlig, utarbeide en samlet vurdering etter første og andre ledd som skal forelegges styret til behandling.
Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet
www.finansnorge.no
Finanstilsynets modul
1.1. Strategi og overordnede retningslinjer (policyer) – dokumentasjon og prosess
1.2. Strategi og overordnede retningslinjer (policyer) – innhold
1.3. Måltall og rammer for operasjonell risiko
2.1. Organisering og ansvarsforhold
2.2. Ressurser og kompetanse
2.3. Utkontraktering
3.1. System for måling av operasjonell risiko i løpende drift
3.2. Operasjonell risiko i nye produkter, aktiviteter, prosesser og systemer
3.3. Måling av operasjonell risiko ved beregning av kapitalbehov
4.1. Overvåking
4.2. Rapportering og oppfølging
4.3. Internkontroll av operasjonell risiko
4.4. Offentliggjøring av informasjon om operasjonell risiko
5. Beredskap og kontinuitet
6. Uavhengig kontroll
www.finansnorge.no
Regelverk og retningslinjer (1)
Rapportering av IKT-
hendelser til KredittilsynetIKT-forskriftenCRR/CRD IV-forskriften
www.finansnorge.no
Regelverk og retningslinjer (2)
www.finansnorge.no
Regelverk og retningslinjer (3)
• Collateral management stadig
viktigere både regulatorisk og
finansielt:
– Krav i EMIR:
• Krav til marginering for clearing
• Krav til risikostyring av ikke
clearede posisjoner
– Kapitalkravslettelser i SA-CCR
Finansforetakslovens §13-6 (2),
siste setning:Vurderingen skal omfatte risikoeksponering
som følge av at foretakets eiendeler blir
overdratt til eller stilt som sikkerhet overfor
andre finansforetak.
Sikkerheter
innSikkerheter ut
Collateral
management
www.finansnorge.no
Regelverk og retningslinjer (4)
med flere ….Verdipapirforskriften
Personopplysningsloven
Personopplysningsforskriften
Arbeidsmiljøvernlovgivningen
VerdipapirhandellovenForskrift om meldeplikt ved
utkontraktering
Anti hvitvask-loven
Anti hvitvask-forskriften
Forskrift om
kredittmarkedsføring
Forskrift om fakturering av
kredittkortgjeld
Finansavtaleloven
Finansforetaksforskriften
Finansforetaksloven
www.finansnorge.no
Operasjonell risiko / Compliancerisiko ?
• Foretak som er definert som
systemviktige, samt foretak med
forvaltningskapital over 100 mrd,
som er en del av en
konsernstruktur og med IRB-
godkjenning, må ha en egen,
separat compliancefunksjon
med en leder som rapporterer
direkte til adm direktør
www.finansnorge.no