Operationel risiko
Pr. 1. januar 2007 er de nye kapitaldækningsregler (Basel II) trådt i kraft, herunder regler for opgørelse af kapitalkrav for operationelle risici. Operationel risiko er i denne forbindelse risikoen for direkte eller indirekte tab som følge af utilstrækkelige eller fejlslagne interne processer, mennesker og systemer eller eksterne hændelser.
Med baggrund i disse regler har banken gennem flere år arbejdet på et projekt, som skal gennemgå og beskrive bankens risikoeksponering samt afdække hændelser og områder, hvor der via fokus kan forventes værditilvækst for banken. Banken anvender Standardindikatormetoden ved opgørelsen af kapitalkravet i forbindelse med Basel II.
Med henblik på at kunne beskrive og estimere bankens operationelle risikoeksponering på produkter og forretningsområder har banken gennem flere år løbende og systematisk indsamlet tabsdata. Indsamlingen sker fuldt elektronisk, og der rubriceres efter hændelsestype og forretningsområde.
Indsamling og opbevaring af tabsdata er en væsentlig forudsætning for en eventuel senere anvendelse af interne modeller ved opgørelsen af kapitalkravet.
Der foretages løbende rapportering til ledelsen om væsentlige tab, som kan henføres til operationelle risici, herunder fordeling på hændelsestype og forretningsområde samt udvikling i frekvens og størrelse. Som omtalt i årsrapporten for 2005, arbejder banken på at indarbejde udviklingen i key risk indicators i rapporteringen. Key risk indicators er faktorer/hændelser, der af banken vurderes at indikere, hvor risikoen for operationelle fejl kunne være stigende. Denne del af rapporteringen er ikke blevet udbygget som forventet i løbet af 2006, men vil få forøget opmærksomhed i årene fremover – både i form af analyser og rapportering.
Der har også i 2006 været arbejdet på en gennemgang af bankens forretningsområder med henblik på afdækning af enkelthændelser, som indeholder elementer af operationel risiko. Hændelserne beskrives med hensyn til forventet hyppighed og forventet størrelse af tab, ligesom der skønnes over det størst mulige tab for den enkelte hændelse.
Med baggrund i disse beskrivelser foretages en samlet risikovurdering af enkelthændelserne og hele forretningsområdet. Forretningsgange og arbejdsrutiner inddrages ligeledes i risikovurderingerne. Dette arbejde vil fortsætte i årene fremover.
En væsentlig del af denne gennemgang med fagområderne er at afdække de risici, hvor banken risikerer signifikante tab. Disse risici er typisk kendetegnet ved en meget lav frekvens og er ligeledes vanskelige at estimere med hensyn til mulig/forventet størrelse. Identifikation sker primært med henblik på synliggørelse og beskrivelse, men også for at sikre forholdsregler, der minimerer risikoen for, at hændelsen indtræffer.
It-forsyningen er et andet væsentligt element i operationel risiko. Banken har inden for de senere år gennemgået og beskrevet hele dette område, system for system. Som en del af denne beskrivelse er der for enkelthændelser opstillet krav til support, fejlmelding og fejlrettelse.
Bankens ledelse forholder sig løbende til it-sikkerheden og fastsætter niveauer for bl.a. tilgængelighed og stabilitet for såvel systemer som data. Kravene har medført, at en betydelig del af bankens it-anvendelse er dubleret, således at risikoen for nedbrud minimeres. Kravene stilles over for såvel den interne it-organisation som den fælles på Bankdata. Som led heri er den interne drift ved at blive overført til Bankdata.