‹ Tilbake til artikler
Da er endelig Finanstilsynets oppsummering av sine funn fra tematilsyn innen operasjonell risiko tilgjengelig. Finanstilsynet gjennomførte høsten 2016 stedlig tilsyn innen operasjonell risiko i syv banker, og samlerapporten er nå tilgjengelig.
Generelt kan man si at lovkravene til hvordan man i praksis skal utføre operasjonell risikostyring er lite konkrete (1). Samlerapporten, sammen med Finanstilsynets Modul for operasjonell risiko, gir et innsyn i hva Finanstilsynet mener er kriterier for god operasjonell risikostyring og hvordan de tolker lovkravene til operasjonell risiko for banker. Derfor er dette nyttig lesestoff, ikke bare for personer i risikokontroll- og compliancefunksjoner, men også for styremedlemmer, toppledere og mellomledere i finansnæringen.
Bankene Finanstilsynet besøkte var DNB Bank ASA, Skue Sparebank, SpareBank 1 Nord-Norge, SpareBank 1 SR-Bank ASA, Sparebanken Sør, Sparebanken Vest og Totens Sparebank.
Hva er Finanstilsynets funn?
- Underrapportering av hendelser
Tematilsynet viser at underrapportering av hendelser er en utfordring for et flertall av bankene, og at et flertall av bankene har et forbedringspotensial når det gjelder registrering og anvendelse av hendelsesdata (uønskede hendelser). Finanstilsynet mener at alle operasjonelle hendelser, uavhengig av tap, bør registreres.
- Forskjeller i prioritering og ambisjonsnivå for operasjonell risikostyring
Tematilsynet avdekket forskjeller mellom bankene når det gjelder prioritering av og kultur for styring og kontroll av operasjonell risiko. Etter Finanstilsynets vurdering har et flertall av bankene ikke tilstrekkelige ressurser og kompetanse innen operasjonell risikostyring og håndtering av hendelser. Enkelte av bankene har et lite konkret og fragmentert rammeverk for operasjonell risikostyring og mangler en tydelig definert risikotoleranse, og kun én av syv banker har en tydelig og ensartet definisjon av hva som er en hendelse og hva som vurderes som vesentlig tap. Finanstilsynet påpeker at holdninger fra styret og toppledelsen er avgjørende for risikostyringen (“tonen fra toppen”), og at en forutsetning for en sterk kultur er at mellomledelsen viderefører og tydeliggjør holdningene fra toppledelsen. Bankene bør tydeliggjøre ambisjonsnivå og risikotoleranse i sine styrende dokumenter, og dette bør inkludere kvantifiserte måltall/rammer og ulike risikoindikatorer.
- Forskjellige og dårlig tilpassede systemløsninger
Bankene benytter forskjellige systemløsninger for registrering og oppfølging av operasjonelle hendelser, og systemløsningene er ofte ikke tilpasset bankenes behov. Finanstilsynet påpeker at systemløsningene bør tilpasses slik at de blir et hensiktsmessig verktøy. Bl.a. bør alle ansatte kunne registrere hendelser i verktøyet, mens lesetilgang til registrerte hendelser bør begrenses til kun de ansatte som har behov for det.
- Liten fokus fra internrevisjonen
Finanstilsynet påpeker også at bankenes internrevisjon i liten grad har hatt fokus på bankenes håndtering av hendelser og myndighetsrapportering av operasjonell risiko. Dette bør dekkes av internrevisor i forbindelse med gjennomgang og bekreftelse av bankenes vurderings- og styringssystem. Uavhengig bekreftelse er et krav for bankene som benytter seg av sjablongmetoden (ref. Kapitalkravforskriften § 43-1 (1)).
- Organisering av compliance-funksjonen
Organisering av compliance-funksjonen ble diskutert under inspeksjoner i banker hvor compliance er helt eller delvis ansvarlig for håndtering av hendelser. Hos flere av bankene er leder for compliance også leder for andre funksjoner, som risikostyring, juridisk og/eller forretningsutvikling. Etter Finanstilsynets vurdering er en slik organisering ikke i samsvar med kravene i finansforetaksloven § 13-5 og CRR CRD IV-forskriftens bestemmelser, jf. § 29 Risikokontroll og § 30 Kontroll av etterlevelse (compliance), bortsett fra i mindre foretak med mindre kompleks struktur.
Hva bør bankene gjøre?
Det viktigste signalet Finanstilsynet gir etter tematilsynet er at de forventer at bankene tar operasjonell risikostyring mer på alvor. Det vil si at man har en god “tone fra toppen” som videreføres av mellomledelsen, og har dokumentert ambisjonsnivå og risikotoleranse i sine styrende dokumenter. I tillegg må man sikre tilstrekkelige ressurser og kompetanse slik at man klarer å benytte operasjonell risikostyring og hendelsesregistrering til kontinuerlig forbedring av driften.
Det Finanstilsynet prediker sammenfaller med det vi sier til våre kunder, både innenfor finansindustrien (operasjonell risiko) og utenfor (helhetlig risikostyring): risikostyring er et godt ledelsesverktøy, men man må mene noe med det for at det skal fungere.
Nyttige lenker
Finanstilsynet: Tematilsyn Operasjonell risiko - hendelser
Finanstilsynet: Modul for operasjonell risiko
Lovdata: Finansforetaksloven
Lovdata: Kapitalkravsforskriften
Lovdata: CRR/CRD IV-forskriften
(1) Finansforetaksloven § 13-5 og § 13-6, CRR/CRD IV-forskriftens del VIII og Kapitalkravforskriftens del VIII
Legg igjen en kommentar