Bankene må ta risikostyring mer på alvor - et unikt innsyn i hva Finanstilsynet mener er god operasjonell risikostyring

Av Stian Sviggum , 18. august 2017

AdobeStock_87891448_blogg.jpg

Da er endelig Finanstilsynets oppsummering av sine funn fra tematilsyn innen operasjonell risiko tilgjengelig. Finanstilsynet gjennomførte høsten 2016 stedlig tilsyn innen operasjonell risiko i syv banker, og samlerapporten er nå tilgjengelig.

Generelt kan man si at lovkravene til hvordan man i praksis skal utføre operasjonell risikostyring er lite konkrete (1). Samlerapporten, sammen med Finanstilsynets Modul for operasjonell risiko, gir et innsyn i hva Finanstilsynet mener er kriterier for god operasjonell risikostyring og hvordan de tolker lovkravene til operasjonell risiko for banker. Derfor er dette nyttig lesestoff, ikke bare for personer i risikokontroll- og compliancefunksjoner, men også for styremedlemmer, toppledere og mellomledere i finansnæringen.

Bankene Finanstilsynet besøkte var DNB Bank ASA, Skue Sparebank, SpareBank 1 Nord-Norge, SpareBank 1 SR-Bank ASA, Sparebanken Sør, Sparebanken Vest og Totens Sparebank.

Hva er Finanstilsynets funn?

  • Underrapportering av hendelser

Tematilsynet viser at underrapportering av hendelser er en utfordring for et flertall av bankene, og at et flertall av bankene har et forbedringspotensial når det gjelder registrering og anvendelse av hendelsesdata (uønskede hendelser). Finanstilsynet mener at alle operasjonelle hendelser, uavhengig av tap, bør registreres.

  • Forskjeller i prioritering og ambisjonsnivå for operasjonell risikostyring

Tematilsynet avdekket forskjeller mellom bankene når det gjelder prioritering av og kultur for styring og kontroll av operasjonell risiko. Etter Finanstilsynets vurdering har et flertall av bankene ikke tilstrekkelige ressurser og kompetanse innen operasjonell risikostyring og håndtering av hendelser. Enkelte av bankene har et lite konkret og fragmentert rammeverk for operasjonell risikostyring og mangler en tydelig definert risikotoleranse, og kun én av syv banker har en tydelig og ensartet definisjon av hva som er en hendelse og hva som vurderes som vesentlig tap. Finanstilsynet påpeker at holdninger fra styret og toppledelsen er avgjørende for risikostyringen (“tonen fra toppen”), og at en forutsetning for en sterk kultur er at mellomledelsen viderefører og tydeliggjør holdningene fra toppledelsen. Bankene bør tydeliggjøre ambisjonsnivå og risikotoleranse i sine styrende dokumenter, og dette bør inkludere kvantifiserte måltall/rammer og ulike risikoindikatorer. 

  • Forskjellige og dårlig tilpassede systemløsninger

Bankene benytter forskjellige systemløsninger for registrering og oppfølging av operasjonelle hendelser, og systemløsningene er ofte ikke tilpasset bankenes behov. Finanstilsynet påpeker at systemløsningene bør tilpasses slik at de blir et hensiktsmessig verktøy. Bl.a. bør alle ansatte kunne registrere hendelser i verktøyet, mens lesetilgang til registrerte hendelser bør begrenses til kun de ansatte som har behov for det.

  • Liten fokus fra internrevisjonen

Finanstilsynet påpeker også at bankenes internrevisjon i liten grad har hatt fokus på bankenes håndtering av hendelser og myndighetsrapportering av operasjonell risiko. Dette bør dekkes av internrevisor i forbindelse med gjennomgang og bekreftelse av bankenes vurderings- og styringssystem. Uavhengig bekreftelse er et krav for bankene som benytter seg av sjablongmetoden (ref. Kapitalkravforskriften § 43-1 (1)).

  • Organisering av compliance-funksjonen

Organisering av compliance-funksjonen ble diskutert under inspeksjoner i banker hvor compliance er helt eller delvis ansvarlig for håndtering av hendelser. Hos flere av bankene er leder for compliance også leder for andre funksjoner, som risikostyring, juridisk og/eller forretningsutvikling. Etter Finanstilsynets vurdering er en slik organisering ikke i samsvar med kravene i finansforetaksloven § 13-5 og CRR CRD IV-forskriftens bestemmelser, jf. § 29 Risikokontroll og § 30 Kontroll av etterlevelse (compliance), bortsett fra i mindre foretak med mindre kompleks struktur.

Hva bør bankene gjøre?

Det viktigste signalet Finanstilsynet gir etter tematilsynet er at de forventer at bankene tar operasjonell risikostyring mer på alvor. Det vil si at man har en god “tone fra toppen” som videreføres av mellomledelsen, og har dokumentert ambisjonsnivå og risikotoleranse i sine styrende dokumenter. I tillegg må man sikre tilstrekkelige ressurser og kompetanse slik at man klarer å benytte operasjonell risikostyring og hendelsesregistrering til kontinuerlig forbedring av driften.

Det Finanstilsynet prediker sammenfaller med det vi sier til våre kunder, både innenfor finansindustrien (operasjonell risiko) og utenfor (helhetlig risikostyring): risikostyring er et godt ledelsesverktøy, men man må mene noe med det for at det skal fungere.

 

Nyttige lenker
Finanstilsynet: Tematilsyn Operasjonell risiko - hendelser
Finanstilsynet: Modul for operasjonell risiko
Lovdata: Finansforetaksloven
Lovdata: Kapitalkravsforskriften
Lovdata: CRR/CRD IV-forskriften

 (1) Finansforetaksloven § 13-5 og § 13-6, CRR/CRD IV-forskriftens del VIII og Kapitalkravforskriftens del VIII

Interesseområder: Risikostyring, operasjonell risiko

Dele artikkelen:

Stian Sviggum

Stian Sviggum
Jeg heter Stian Sviggum og jeg er direktør i PwC Risk Advisory Services. Jeg er utdannet som sivilingeniør i fysikk og har jobbet 10 år som rådgiver, 2 år som prosjektleder i IT-infrastrukturprosjekter og 3 år med virksomhets- og operasjonell risikostyring i Norges Bank Investment Management. Jeg synes risikostyring er gøy, og det mest interessante er hvordan man kan benytte helhetlig risikostyring (ERM) som et nyttig styringsverktøy sammen med strategiarbeid, målstyring og øvrige styringsprosesser, samt kontrollfunksjoner. Dette er et område som ennå er relativt nytt i norsk sammenheng, men stadig flere bedrifter her hjemme driver med det (og mener noe med det). Det mange lurer på er "what's in it for me?". Hvis du lurer på det (eller andre ting relatert til risikostyring og virksomhetsstyring), ta gjerne kontakt.
[email protected]

Kommentere