Operationel risiko
Operationel risiko er risikoen for direkte eller indirekte tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, inklusive retlige risici.
Siden 1. januar 2007 har koncernen beregnet kapitalkrav til operationel risiko på baggrund af regler i bekendtgørelse om kapitaldækning. Med udgangspunkt i disse regler har koncernen gennem flere år arbejdet på et projekt, som skal gennemgå og beskrive koncernens risikoeksponering samt afdække hændelser og områder, hvor der via fokus kan forventes værditilvækst for koncernen. Koncernen anvender Standardindikatormetoden ved opgørelsen af kapitalkravet i overensstemmelse med Basel II, men er naturligvis ikke begrænset af disse regler i forbindelse med projektet.
Med henblik på at kunne beskrive og estimere koncernens operationelle risikoeksponering på produkter og forretningsområder indsamles løbende og systematisk tabsdata. Indsamlingen sker fuldt elektronisk, og der rubriceres efter hændelsestype og forretningsområde.
Indsamling og opbevaring af tabsdata er en væsentlig forudsætning for en eventuel senere anvendelse af interne modeller ved opgørelsen af kapitalkravet.
Der foretages løbende rapportering til ledelsen om væsentlige tab, som kan henføres til operationelle risici, herunder fordeling på hændelsestype og forretningsområde samt udvikling i frekvens og størrelse.
Med udgangspunkt i konstaterede hændelser – samt udviklingen i andre observerbare data – forbedres forretningsgange og procedurer løbende med henblik på at minimere antallet af fejl og hændelser, som indeholder mulighed for tab.
I løbet af 2007 er koncernens centrale forretningsområder gennemgået med henblik på afdækning af enkelthændelser, som indeholder elementer af operationel risiko. Med udgangspunkt i forventet hyppighed og forventet størrelse af tab samt skøn over størst mulige tab på disse enkelthændelser er såvel enkelthændelserne som hele det enkelte forretningsområde risikovurderet. Forretningsgange og arbejdsrutiner inddrages ligeledes i risikovurderingerne. Dette arbejde vil fortsætte i årene fremover.
En væsentlig del af denne gennemgang med fagområderne er at afdække de risici, hvor koncernen risikerer signifikante tab. Disse risici er typisk kendetegnet ved en meget lav frekvens og er ligeledes vanskelige at estimere med hensyn til mulig/forventet størrelse. Identifikation sker primært med henblik på synliggørelse og beskrivelse, men også for at sikre forholdsregler, der minimerer risikoen for, at hændelsen indtræffer.
It-forsyningen er et andet væsentligt element i operationel risiko. Koncernen har inden for de senere år gennemgået og beskrevet hele dette område – system for system. Som en del af denne beskrivelse er der for enkelthændelser opstillet krav til support, fejlmelding og fejlrettelse.
Koncernens ledelse forholder sig løbende til it-sikkerheden og fastsætter niveauer for blandt andet tilgængelighed og stabilitet for både systemer og data. Kravene har medført, at en betydelig del af koncernens it-anvendelse er dubleret, således at risikoen for driftsafbrydelse minimeres. Kravene stilles over for såvel den interne it-organisation som datacentralen Bankdata.