Search for a command to run...
(Kommissionens delegerede forordning (EU) 2018/959 af 14. marts 2018 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder vedrørende præciseringen af den vurderingsmetode, som de kompetente myndigheder skal anvende, når institutter gives tilladelse til at anvende avancerede målemetoder for operationel risiko (EØS-relevant tekst.))
1. Den vurdering, som de kompetente myndigheder skal foretage, når de giver et institut tilladelse til at anvende avancerede målemetoder (AMA'er), skal bekræfte, at:
a) elementerne i artikel 3-6 er opfyldt
b) kapital 2 og 3 er opfyldt
c) kapitel 4 er opfyldt, hvis instituttet har indført forsikring og andre af de heri omhandlede risikooverførselsmekanismer.
2. De kompetente myndigheder tager hensyn til kapital 1-4 i forbindelse med:
a) en vurdering af væsentligheden af udvidelser og ændringer af den AMA, som et institut anvender
b) en vurdering af planen for trinvis gennemførelse af den AMA, som et institut anvender
c) en vurdering af et instituts tilbagevenden til at anvende mindre avancerede metoder i henhold til
d) de løbende gennemgange af en AMA, som et institut anvender.
I denne delegerede retsakt forstås ved:
»body-tail-tærskel«: den tabsværdi, som markerer overgangen mellem tabsfordelingernes »body« og »tail« (hale)
»beregningsdatasæt«: den del af et sæt af faktiske eller konstruerede data, som opfylder de nødvendige betingelser for at kunne anvendes som input i målingssystemet for operationel risiko
»dataindsamlingstærskel«: den tabsværdi, fra hvilken et institut identificerer og indsamler operationelle tab i styrings- og målingsøjemed
»bogføringsdato«: det tidspunkt, hvor et tab eller en hensættelse til en operationel hændelse første gang indregnes i resultatet
»minimumstærskel for modellering«: den tabsværdi, fra hvilken der til operationelle tab bestemmes fordelinger af hyppighed og størrelse, enten empirisk eller parametrisk
»bruttotab« eller »tab«: det tab, der hidrører fra en operationel hændelse, før tabsgenopretning af nogen art
»forsømmelseshændelse«: den operationelle hændelse, der skyldes en forsømmelse, som begås forsætligt eller uagtsomt, herunder uhensigtsmæssig levering af finansielle tjenesteydelser
»operationel risikokategori«: det niveau i form af eksempelvis hændelsestype og forretningsområde, på hvilket der i et instituts målingssystem for operationel risiko bestemmes separate fordelinger af hyppighed og størrelse
»operationel risikoprofil«: et instituts aktuelle og potentielle operationelle risiko udtrykt i absolutte tal på et givet tidspunkt
»operationel risikotolerance«: et instituts fremadrettede vurdering, udtrykt i absolutte tal, af det aggregerede niveau for operationel risiko samt de typer af operationel risiko, som instituttet er villig eller parat til at pådrage sig, og som ikke vil bringe dets strategiske mål og forretningsplan i fare
»tabsgenopretning«: en hændelse i tilknytning til det oprindelige tab, som er uafhængig af dette og tidsmæssigt adskilt, og i hvilken midler eller tilgang af økonomiske fordele modtages fra første- eller tredjepart
»risikomål«: et enkelt statistisk udtryk for operationel risiko afledt af den aggregerede tabsfordeling ved det ønskede konfidensniveau, herunder Value-at-Risk (VaR) eller shortfallmål (f.eks. expected shortfall, median shortfall)
»livscyklus for systemudvikling«: den proces, som består i planlægning, udformning, afprøvning og implementering af en IT-infrastruktur
»tidsforskudt tab«: den negative økonomiske virkning, som bogføres i en regnskabsperiode, og som skyldes en operationel hændelse, som påvirker tidligere regnskabsperioders pengestrømme eller regnskaber.
1. De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til juridisk risiko, med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, idet de som minimum kontrollerer følgende:
a) at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes hændelser, der fører til retssager, herunder som minimum:
i) en undladelse af at handle, hvor en sådan handling er nødvendig for at efterkomme en retsregel
ii) en handling, som har til formål at undgå at efterkomme en retsregel
iii) forsømmelseshændelser
b) at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes frivillige handlinger med det formål at undgå eller reducere juridisk risiko hidrørende fra operationelle hændelser, herunder refusioner eller prisnedslag vedrørende fremtidige tjenesteydelser, som frivilligt tilbydes kunder i tilfælde, hvor sådanne refusioner ikke tilbydes som følge af kundeklager
c) at instituttet klart identificerer og klassificerer sådanne tab som operationel risiko, som skyldes fejl og udeladelser i kontrakter og dokumentation
d) at instituttet ikke klassificerer følgende som operationel risiko:
i) refusioner til tredjepart eller ansatte samt betaling for goodwill som følge af forretningsmuligheder, hvis der ikke har fundet overtrædelse af regler eller etisk adfærd sted, og hvis instituttet rettidigt har opfyldt sine forpligtelser
ii) eksterne juridiske omkostninger, hvis den underliggende hændelse ikke er en operationel hændelse.
Med henblik på litra a) anses retssager for at være alle former for tvistbilæggelse, herunder såvel retslig som udenretslig bilæggelse.
De kompetente myndigheder bekræfter følgende ved vurderingen af, om et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til modelrisiko som defineret i , , med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav:
a) at mindst følgende hændelser, og de tilknyttede tab, hidrørende fra modeller, som anvendes til beslutningstagning, klassificeres som operationel risiko:
i) ukorrekt definition af en udvalgt model og dens egenskaber
ii) utilstrækkelig verifikation af en udvalgt models egnethed til det finansielle instrument, der skal vurderes, eller det produkt, der skal prissættes, eller af dens egnethed til de gældende markedsvilkår
iii) fejl i implementeringen af en udvalgt model
iv) ukorrekte mark-to-market-værdiansættelser og ukorrekt risikomåling som følge af fejl ved indlæggelsen af en handel i handelssystemet
v) anvendelse af en udvalgt model eller dens output til et formål, som den ikke er beregnet eller udformet til, herunder manipulation af modelparametrene
vi) utidig og ineffektiv overvågning af modelfunktionen for at bekræfte modellens fortsatte formålstjenlighed
b) at hændelser relateret til undervurdering af kapitalgrundlagskrav i interne modeller, som de kompetente myndigheder har givet tilladelse til, ikke medtages ved identifikationen, indsamlingen og behandlingen af data om operationelle hændelser og operationelle tab, som er relateret til modelrisiko.
Ved vurderingen af, om et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til finansielle transaktioner og markedsrisiko, med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, bekræfter de kompetente myndigheder, at som minimum følgende hændelser, og de tilknyttede tab, klassificeres som operationel risiko:
a) hændelser, som skyldes operationelle fejl og inputfejl, herunder:
i) svigt og fejl ved indgivelsen eller udførelsen af ordrer
ii) tab af data eller misforståelse af datastrømme, som opstår mellem instituttets front office, middle office og back office
iii) klassifikationsfejl
iv) ukorrekt specifikation af handler på term sheetet, herunder fejl vedrørende transaktionsbeløb, løbetider og finansielle karakteristika
b) hændelser, som skyldes interne kontrolsvigt, herunder:
i) svigt mht. korrekt udførelse af en ordre om at lukke en markedsposition i tilfælde af ugunstige prisbevægelser
ii) ikke tilladte positioner, som tages ud over det tildelte loft, uanset hvilken risikotype de vedrører
c) hændelser, som skyldes utilstrækkelig datakvalitet og manglende rådighed over IT-miljø, herunder teknisk markedsutilgængelighed og dermed manglende mulighed for at lukke kontrakter.
1. De kompetente myndigheder kontrollerer kvaliteten af dokumentationen vedrørende den AMA, som et institut anvender, idet de som minimum bekræfter følgende:
a) at dokumentationen er godkendt på det relevante ledelsesniveau i instituttet
b) at de politikker, som instituttet har indført, omfatter standarder, som kan sikre en høj kvalitet af den interne dokumentation, bl.a. et særligt ansvar for at sikre, at dokumentationen er fuldstændig, konsistent, nøjagtig, opdateret, godkendt og sikker
c) at som minimum følgende oplysninger fremgår af layoutet på dokumentationen i de i litra b) omhandlede politikker:
i) dokumenttype
ii) ophavsmand
iii) undersøger
iv) befuldmægtiget og ejer
v) dato for udarbejdelse og godkendelse
vi) versionsnummer
vii) tidligere ændringer af dokumentet
d) at instituttet grundigt dokumenterer sine politikker, procedurer og metoder.
2. De kompetente myndigheder kontrollerer muligheden for revision af dokumentationen vedrørende den AMA, som et institut anvender, idet de som minimum bekræfter følgende:
a) at dokumentationen er tilstrækkelig detaljeret og nøjagtig til, at tredjepart kan undersøge AMA'en, herunder:
i) forstå tankegangen og procedurerne bag dens udvikling
1. De kompetente myndigheder vurderer effektiviteten af et instituts AMA-ramme i henseende til ledelse og styring af operationel risiko og vurderer tillige, om instituttet har en klar organisationsstruktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, idet de som minimum bekræfter følgende:
a) at instituttets ledelsesorgan drøfter og godkender ledelsen af den operationelle risiko, den operationelle risikostyring og målingssystemet for operationel risiko
b) at instituttets ledelsesorgan klart definerer og fastlægger følgende som minimum på årsbasis:
i) instituttets operationelle risikotolerance
ii) instituttets skriftlige erklæring om den operationelle risikotolerance vedrørende det aggregerede niveau for operationelle tab samt de hændelsestyper, med både kvalitative og kvantitative mål inkl. tærskler og begrænsninger baseret på mål for operationelle tab, som instituttet er villig eller parat til at pådrage sig for at nå sine strategiske mål og sin forretningsplan — og sikrer sig, at denne er tilgængelig og forstået i hele organisationen
c) at instituttets ledelsesorgan løbende overvåger instituttets overholdelse af den erklæring om den operationelle risikotolerance, der er omhandlet i litra b), nr. ii)
d) at instituttet anvender en løbende operationel risikostyring for at identificere, vurdere, måle, overvåge og rapportere operationel risiko, herunder forsømmelseshændelser, og kan identificere de medarbejdere, der er ansvarlige for den operationelle risikostyring
e) at de oplysninger, som den i litra d) omhandlede styring giver anledning til, formidles til de relevante udvalg og udøvende organer i instituttet, og at de beslutninger, som træffes i disse udvalg, kommunikeres til de medarbejdere i instituttet, som er ansvarlige for henholdsvis indsamling, kontrol, overvågning og styring af operationel risiko samt håndtering af aktiviteter, som giver anledning til operationel risiko
1. De kompetente myndigheder vurderer den operationelle risikostyringsfunktions uafhængighed af instituttets forretningsenheder, idet de som minimum bekræfter følgende:
a) at den operationelle risikostyringsfunktion varetager følgende opgaver adskilt fra instituttets forretningsområder:
i) udformning, udvikling, implementering og vedligeholdelse samt kontrol af den operationelle risikostyring og målingssystemet for operationel risiko
ii) analyse af den operationelle risiko, der er forbundet med indførelse og udvikling af nye produkter, markeder, forretningsområder, processer og systemer samt vigtige ændringer af eksisterende produkter
iii) kontrol af forretningsaktiviteter, som kan give anledning til en operationel eksponering, som kunne overskride instituttets risikotolerance
b) at den operationelle risikostyringsfunktion er genstand for et passende engagement fra ledelsesorganets og den daglige ledelses side og har en passende styrke inden for organisationen, som muliggør udførelse af dens opgaver
c) at den operationelle risikostyringsfunktion ikke også er ansvarlig for den interne revisionsfunktion
d) at lederen af den operationelle risikostyringsfunktion som minimum opfylder følgende krav:
i) en passende erfaringsbaggrund til at lede den nuværende og potentielle operationelle risiko, jf. den operationelle risikoprofil
ii) regelmæssig kommunikation med ledelsesorganet og dets udvalg, jf. instituttets risikostyringsstruktur
iii) aktiv deltagelse ved udarbejdelsen af instituttets operationelle risikotolerance og strategien for styring og reduktion af dets operationelle risiko
De kompetente myndigheder vurderer, i hvilket omfang et instituts daglige ledelse deltager, idet de som minimum bekræfter følgende:
a) at den daglige ledelse er ansvarlig for gennemførelse af den ledelses- og styringsramme for operationel risiko, som ledelsesorganet har godkendt
b) at ledelsesorganet har givet den daglige ledelse beføjelse til at udvikle politikker, processer og procedurer til styring af operationel risiko
c) at den daglige ledelse gennemfører de politikker, processer og procedurer til styring af operationel risiko, der er omhandlet i litra b).
De kompetente myndigheder vurderer, om rapporteringen vedrørende et instituts operationelle risikoprofil og styring af operationel risiko er tilstrækkeligt regelmæssig, rettidig og stabil, idet de som minimum bekræfter følgende:
a) at problemer vedrørende instituttets rapporteringssystemer og interne kontroller identificeres hurtigt og præcist
b) at instituttets operationelle risikorapporter fordeles til relevante ledelsesniveauer samt de områder af instituttet, som i rapporterne er identificeret som problematiske områder
c) at instituttets daglige ledelse som minimum kvartalsvis modtager rapporter vedrørende den seneste status for instituttets operationelle risikoprofil og anvender disse rapporter i beslutningsprocessen
d) at instituttets operationelle risikorapporter indeholder oplysninger, som er relevante for styringen, og som minimum en overordnet sammenfatning af instituttets og de relevante datterselskabers og forretningsenheders vigtigste operationelle risici
e) at instituttet anvender ad hoc-rapporter i tilfælde af mangler ved politikkerne, processerne og procedurerne til styring af operationel risiko for hurtigt at afsløre og rette op på disse mangler og dermed reducere den potentielle hyppighed og størrelse af en tabshændelse væsentligt.
De kompetente myndigheder vurderer, om et institut anvender AMA'en til interne formål, idet de som minimum bekræfter følgende:
a) at instituttets målingssystem for operationel risiko anvendes til styring af operationelle risici på tværs af forskellige forretningsområder, forretningsenheder eller juridiske enheder inden for organisationsstrukturen
b) at målingssystemet for operationel risiko er indlejret i de forskellige enheder i koncernen, hvor det anvendes på konsolideret niveau, at moderinstituttets AMA-ramme er udvidet til datterselskaberne, og at disse datterselskabers operationelle risiko og forretningspraksis og interne kontrolfaktorer som omhandlet i og indgår i AMA-beregningerne for koncernen
c) at målingssystemet for operationel risiko også anvendes med henblik på instituttets proces til vurdering af den interne kapital som omhandlet i .
De kompetente myndigheder vurderer, om et institut sikrer den løbende integration af sit operationelle risikostyringssystem i sin daglige risikostyring, idet de som minimum bekræfter følgende:
a) at målingssystemet for operationel risiko opdateres regelmæssigt og videreudvikles, i takt med at der opnås et større erfaringsgrundlag og en mere avanceret viden inden for styring og kvantificering af operationel risiko
b) at typen og afbalanceringen af input i målingssystemet for operationel risiko er relevant og til enhver tid afspejler arten af instituttets forretningsaktiviteter, strategi, organisation og operationel eksponering.
De kompetente myndigheder vurderer, om et institut anvender AMA'en til støtte for sin styring af operationel risiko, idet de som minimum bekræfter følgende:
a) at målingssystemet for operationel risiko anvendes effektivt til regelmæssig og hurtig rapportering af konsistente oplysninger, som præcist afspejler arten af instituttets forretningsaktiviteter samt dets operationelle risikoprofil.
b) at instituttet træffer afhjælpende foranstaltninger til forbedring af interne processer efter at have modtaget oplysning om resultater fra målingssystemet for operationel risiko.
De kompetente myndigheder vurderer, om et institut anvender AMA'en til fortsat forbedring af sin organisation og kontrol af operationel risiko, idet de som minimum bekræfter følgende:
a) at instituttets definition af operationel risikotolerance og dets dertil knyttede styringsmål og -aktiviteter for operationel risiko kommunikeres klart inden for instituttet
b) at forholdet mellem instituttets forretningsstrategi og dets styring af operationel risiko, herunder med hensyn til godkendelse af nye produkter, systemer og processer, kommunikeres klart inden for instituttet
c) at målingssystemet for operationel risiko øger gennemskueligheden, risikobevidstheden og ekspertisen med hensyn til styring af operationel risiko og tilskynder til at forbedre styringen af den operationelle risiko i hele instituttet
d) at input i og output fra målingssystemet for operationel risiko anvendes i forbindelse med relevante beslutninger og planer, herunder i forbindelse med instituttets handlings- og beredskabsplaner og den institutinterne revisions arbejdsplaner foruden instituttets beslutninger om kapitaltildeling og dets forsikringsplaner og budgetafgørelser.
1. De kompetente myndigheder vurderer, om der foreligger dokumentation fra et instituts side for stabiliteten og holdbarheden af dets AMA-output, idet de som minimum bekræfter følgende:
a) at instituttet forud for tilladelsen til at anvende AMA'en beregnede sine kapitalgrundlagskrav i relation til operationel risiko ved anvendelse af såvel AMA'en som den mindre avancerede metode, der tidligere var gældende for instituttet, og at nævnte beregning:
i) blev foretaget forholdsvis regelmæssigt og mindst kvartalsvis
ii) idet den omfattede alle juridiske enheder, som ville AMA'en på tidspunktet for den første gennemførelse
iii) idet den omfattede alle de operationelle risici, som ville blive omfattet af AMA'en på tidspunktet for den første gennemførelse
b) at instituttet som minimum opfylder følgende:
i) den operationelle risikostyring og målingssystemet for operationel risiko er udviklet og afprøvet
ii) eventuelle problemer er løst, og systemet og ledsagende processer er finjusteret
iii) det har sikret, at målingssystemet for operationel risiko genererer resultater, som er i overensstemmelse med instituttets forventninger, bl.a. under hensyntagen til oplysninger fra både instituttets nuværende og tidligere systemer
iv) det har godtgjort, at det hurtigt kan ændre modelparametre for at forstå virkningen af ændrede antagelser med minimale systemtilpasninger eller manuelle indgreb
v) det er i stand til at foretage passende kapitalmæssige justeringer af kapitalgrundlagskravene før første anvendelse af AMA'en
det har over en periode af rimelig længde dokumenteret, at de nye systemer og rapporteringsprocesser er stabile og genererer oplysninger, som instituttet kan anvende til at identificere og styre operationel risiko.
1. De kompetente myndigheder vurderer, i hvilket omfang et instituts revisions- og interne valideringsfunktioner bekræfter, at den styring og måling af operationel risiko, som er gennemført til AMA-formål, er pålidelig og effektiv i relation til styring og måling af operationel risiko inden for organisationen, idet de som minimum kontrollerer følgende:
a) at den interne valideringsfunktion fremkommer med en begrundet og velunderbygget vurdering af, om målingssystemet for operationel risiko fungerer som planlagt, og at modelresultatet er egnet til de forskellige interne formål og tilsynsformål, som minimum på årsbasis
b) at revisionsfunktionen som minimum på årsbasis kontrollerer integriteten af politikker, processer og procedurer for operationel risiko og vurderer, om disse opfylder lovpligtige krav og fastlagte kontroller, og navnlig at revisionsfunktionen vurderer kvaliteten af de kilder og data, der er anvendt i forbindelse med styring og måling af operationel risiko
c) at revisionsfunktionen og den interne valideringsfunktion har indført et program for gennemgang, som dækker alle aspekter af AMA'en, som er omhandlet i denne forordning, og regelmæssigt opdateres med hensyn til:
i) udviklingen af interne processer til identifikation, måling, vurdering, overvågning, kontrol og reduktion af operationel risiko
ii) indførelsen af nye produkter, processer og systemer, som eksponerer instituttet mod væsentlig operationel risiko
d) at den interne validering gennemføres af kvalificerede ressourcer, som er uafhængige af de validerede enheder
e) hvis der udføres revisionsaktiviteter af interne eller eksterne revisionsfunktioner eller kvalificerede eksterne parter, at disse er uafhængige af den proces eller af det system, som revideres, og i tilfælde af outsourcing, at instituttets ledelsesorgan og daglige ledelse stadig er ansvarlige for at sikre, at outsourcede funktioner udføres i overensstemmelse med instituttets godkendte revisionsplan
De kompetente myndigheder vurderer, om ledelsen af et instituts revisions- og interne valideringsfunktioner er af høj kvalitet, idet de som minimum bekræfter følgende:
a) at revisionsprogrammer til gennemgang af AMA-rammen dækker alle væsentlige aktiviteter, som kan eksponere instituttet mod væsentlig operationel risiko, herunder outsourcede aktiviteter
b) at de interne valideringsmetoder er forholdsmæssige set i lyset af ændrede markeds- og driftsvilkår, og at resultaterne er underlagt revisionsgennemgang
1. De kompetente myndigheder vurderer, i hvilket omfang kvaliteten af de data, som et institut anvender i AMA-rammen, vedligeholdes, og om instituttet regelmæssigt analyserer procedurerne for sammenstilling og vedligeholdelse, idet de kontrollerer, at instituttet som minimum råder over følgende datasæt:
a) data til sammenstilling og sporing af sin operationelle risikohistorik bestående af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer
b) komplementære data, herunder modelparametre, modeloutput og rapporter.
2. Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet har defineret passende datakvalitetsdimensioner for effektivt at understøtte sin operationelle risikostyring og sit målingssystem, og at det regelmæssigt opfylder de fastsatte dimensioner.
3. Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttets datakvalitetsdimensioner som minimum opfylder følgende betingelser:
a) de er tilstrækkeligt bredde, dybe og rummelige til den foreliggende opgave
b) de opfylder aktuelle og potentielle brugerbehov
c) de opdateres hurtigt
d) de er passende for og konsistente med deres anvendelsesomfang
e) de afspejler på en nøjagtig måde det reale fænomen, som det er hensigten, at de skal repræsentere
f) de overtræder ikke nogen forretningsregler i en database, som skal vedligeholdes statistisk og dynamisk.
4. Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet har relevant dokumentation for udformning og vedligeholdelse af de databaser, der benyttes i instituttets AMA-ramme, og at dokumentationen som minimum indeholder følgende:
a) en samlet oversigt over databaser, som indgår i målingssystemet for operationel risiko, med beskrivelser
1. De kompetente myndigheder vurderer, i hvilket omfang et institut sikrer sikkerheden, stabiliteten og ydeevnen af den IT-infrastruktur, der anvendes til AMA-formål, idet de som minimum bekræfter følgende:
a) at instituttets IT-systemer og -infrastruktur til AMA-formål er sikre og modstandsdygtige, og at disse egenskaber løbende kan opretholdes
b) at livscyklussen for systemudvikling til AMA-formål er sikker og velegnet med henvisning til:
i) projektstyring, risikostyring og ledelse
ii) engineering, kvalitetssikring og afprøvningsplanlægning
iii) modellering og udvikling af systemer
iv) kvalitetssikring i alle aktiviteter, herunder kodegennemgang og om nødvendigt kodeverifikation
v) afprøvning, herunder brugergodkendelse
c) at den IT-infrastruktur i instituttet, der er implementeret til AMA-formål, er underlagt konfigurationsstyrings-, forandringsledelses- og frigivelsesstyringsprocesser
d) at livscyklussen for systemudvikling samt beredskabsplanerne til AMA-formål er godkendt af instituttets ledelsesorgan eller daglige ledelse, og at ledelsesorganet og den daglige ledelse periodisk modtager oplysninger om IT-infrastrukturens ydeevne med henblik på AMA'er.
2. Hvis instituttet outsourcer dele af vedligeholdelsen af IT-infrastrukturen til AMA-formål, sikrer det, at bestemmelserne i denne artikel er opfyldt.
De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende anvendelsen af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer (»de fire elementer«) som omhandlet i , idet de som minimum kontrollerer følgende:
a) at instituttet råder over intern dokumentation med nærmere oplysninger om, hvordan de fire elementer indsamles, kombineres og/eller vægtes, herunder en beskrivelse af modelleringsprocessen, som illustrerer anvendelsen og kombinationen af de fire elementer, samt af begrundelsen for valgene i forbindelse med modelleringen
b) at instituttet har en klar forståelse af, hvordan hvert af de fire elementer påvirker AMA-kapitalgrundlagskravene
c) at den kombination af de fire elementer, som instituttet anvender, er baseret på en sikker statistisk metode, som tillader bestemmelse af høje percentiler
d) at instituttet i forbindelse med, at de fire elementer indsamles, genereres og behandles, som minimum anvender følgende:
i) kriterierne i artikel 21-24 vedrørende interne data
ii) kriterierne i artikel 25 vedrørende eksterne data
iii) kriterierne i artikel 26 vedrørende scenarieanalyse
iv) kriterierne i artikel 27 vedrørende forretningspraksis og interne kontrolfaktorer.
De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende interne datakarakteristika, jf. artikel 20, litra d), nr. i), idet de som minimum kontrollerer følgende:
a) at instituttet indsamler alle de følgende elementer inden for koncernen på en klar og konsistent måde:
i) det bruttotab, som er forårsaget af operationelle hændelser
ii) tabsgenopretningen
b) at instituttet er i stand til særskilt at identificere bruttotabet, tabsgenopretningen fra forsikring og andre risikooverførselsmekanismer samt tabsgenopretningen fra andet end forsikring og andre risikooverførselsmekanismer efter en operationel hændelse, undtagen for tab, som genoprettes helt eller delvist inden for fem arbejdsdage
c) at instituttet gennemfører et system til definition og begrundelse af hensigtsmæssige dataindsamlingstærskler baseret på bruttotabet
d) at den operationelle risikokategori er hensigtsmæssig og ikke udelader tabsdata, som er væsentlige for effektiv måling af operationel risiko og effektiv risikostyring
e) at instituttet for hvert enkelt tab som minimum kan identificere og registrere følgende elementer i sin interne database:
i) dato for forekomst af den operationelle hændelse eller for dennes start, hvis dette foreligger
ii) dato for konstatering af den operationelle hændelse
iii) bogføringsdato.
1. De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler tabsposter forårsaget af en operationel hændelse, jf. artikel 20, litra d), nr. i), idet de kontrollerer, at instituttet som minimum medregner følgende i afgrænsningen af det operationelle tab med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav:
a) direkte omkostninger indregnet i resultatopgørelsen, herunder omkostninger i forbindelse med værdiforringelse og afviklingsomkostninger, samt nedskrivninger som følge af den operationelle hændelse
b) påløbne omkostninger som følge af den operationelle hændelse, herunder:
i) eksterne udgifter med direkte tilknytning til den operationelle hændelse, herunder juridiske omkostninger og betalinger til rådgivere, advokater eller leverandører
ii) reparations- eller erstatningsomkostninger til genetablering af den tilstand, der var gældende før den operationelle hændelse, enten i form af præcise tal eller, hvis sådanne ikke foreligger, skøn
c) hensættelser eller reserver indregnet i resultatopgørelsen til mulige operationelle tab, herunder som følge af forsømmelseshændelser
d) afventende tab i form af tab som følge af en operationel hændelse, som midlertidigt er opført på overgangs- eller interimskonti og endnu ikke afspejles i resultatet, og som planlægges indregnet inden for en periode, som afspejler postens størrelse og alder
e) væsentlige ikkeopkrævede indtægter vedrørende kontraktlige forpligtelser over for tredjepart, herunder afgørelsen om efter en operationel hændelse at kompensere en kunde indtægtsmæssigt gennem fritagelse for eller nedsættelse af kontraktlige udgifter i en bestemt fremtidig periode frem for ved godtgørelse eller direkte betaling
f) tidsforskudte tab, som spænder over mere end et regnskabsår og giver anledning til juridisk risiko.
1. De kompetente myndigheder bekræfter, at et institut registrerer de tab, der forårsages af en operationel hændelse, jf. artikel 20, litra d), nr. i), idet de som minimum kontrollerer følgende:
a) at hele det påløbne tab eller de påløbne udgifter, herunder hensættelser, afviklingsomkostninger, beløb betalt for at råde bod på skader, bøder, morarenter og juridiske omkostninger, betragtes som registreret tab med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, medmindre andet er anført
b) hvis den operationelle hændelse er relateret til markedsrisiko, at instituttet indregner omkostninger til lukning af markedspositioner i det registrerede tab på de operationelle poster, og, hvis positionen med vilje holdes åben, efter at den operationelle hændelse er anerkendt, at en eventuel del af tabet, som skyldes vanskelige markedsvilkår opstået efter beslutningen om at holde positionen åben, ikke er indregnet i det registrerede tab på de operationelle poster
c) hvis skattebetalinger er relateret til svigt eller uhensigtsmæssige processer i instituttet, at dette i det registrerede tab på de operationelle poster indregner de påløbne udgifter som følge af den operationelle hændelse, herunder bøder, renter, omkostninger som følge af for sen betaling og juridiske omkostninger, med undtagelse af det oprindeligt skyldige skattebeløb
d) hvis der er tidsforskudte tab og den operationelle hændelse direkte vedrører tredjepart, herunder instituttets kunder, leverandører og ansatte, at instituttet i det registrerede tab på de operationelle poster også indregner korrektionen af regnskabet.
2. Med henblik på stk. 1 skal de kompetente myndigheder anse det for passende, at instituttet, hvis den operationelle hændelse fører til en tabshændelse, som hurtigt genoprettes delvist, i det registrerede tab alene indregner den del af tabet, som ikke hurtigt genoprettes, jf. artikel 21, litra b).
1. De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler operationelle tab, som er relateret til kreditrisiko, jf. artikel 20, litra d), nr. i), idet de kontrollerer, at instituttet som minimum medregner følgende i det operationelle tab med henblik på styring af operationel risiko:
a) svig, som begås af en af instituttets kunder for egen regning, og som opstår i et kreditprodukt eller en kreditproces i starten af et kreditforholds levetid, herunder tilskyndelse til udlånsbeslutninger baseret på forfalskede dokumenter eller forkerte regnskabsmæssige angivelser, eksempelvis manglende eller overvurderet sikkerhed og forfalskede lønerklæringer
b) svig, som begås ved hjælp af en anden uvidende persons identitet, herunder lånansøgninger under anvendelse af falsk elektronisk identitet, eksempelvis kundedata eller fiktive identiteter, eller svigagtig anvendelse af kunders kreditkort.
2. Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttets som minimum træffer følgende foranstaltninger:
a) tilpasser dataindsamlingstærsklen vedrørende de tabshændelser, der er beskrevet i stk. 1, opad til et niveau, der er sammenligneligt med niveauerne for AMA-rammens øvrige operationelle risikokategorier, hvis det er relevant
b) indregner det samlede udestående beløb på tidspunktet for eller efter konstatering af svigen og eventuelle tilknyttede udgifter, herunder morarenter og juridiske omkostninger, i bruttotabet for de hændelser, der er beskrevet i stk. 1.
De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende eksterne datakarakteristika, jf. artikel 20, litra d), nr. ii), idet de som minimum kontrollerer følgende:
a) hvis instituttet deltager i konsortiuminitiativer til indsamling af operationelle hændelser og operationelle tab, at instituttet kan levere data af samme kvalitet med hensyn til omfang, integritet og fuldstændighed som interne data, der opfylder de standarder, der er omhandlet i artikel 21-24, og at dette sker i overensstemmelse med de ønsker til datatype, der fremgår af konsortiets rapporteringsstandarder
b) at instituttet har indført en datafiltreringsproces, som muliggør udvælgelse af relevante eksterne data på grundlag af bestemte fastlagte kriterier, og at de anvendte eksterne er relevante og i overensstemmelse med instituttets risikoprofil
c) at filtreringsprocessen for at undgå bias i parameterestimaterne indebærer en konsekvent udvælgelse af data uafhængigt af tabet, og, hvis instituttet tillader undtagelser fra denne udvælgelsesproces, at dette har en politik, der præciserer kriterierne for undtagelser, og dokumentation, der kan støtte begrundelen af sådanne undtagelser
d) hvis instituttet — af hensyn til tilpasningen til sine forretningsaktiviteter, sin art og sin risikoprofil — anvender en dataskaleringsproces, som indebærer tilpasning af tab rapporteret i eksterne data eller dertil knyttede fordelinger, at denne skaleringsproces er systematisk og underbygget statistisk, og at den resulterer i output, der er i overensstemmelse med instituttets risikoprofil
e) at instituttets skaleringsproces er konsistent over tid, og at dens validitet og effektivitet regelmæssigt gennemgås.
1. De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende scenarieanalyse, jf. artikel 20, litra d), nr. iii), idet de som minimum kontrollerer følgende:
a) at instituttet har indført en stabil ledelsesramme vedrørende scenarieanalyse, som indebærer troværdige og pålidelige skøn, uanset om scenariet anvendes til at vurdere store hændelser eller den generelle operationelle eksponering
b) at scenarieprocessen er klart defineret, veldokumenteret, kan gentages og er udformet med henblik på i videst muligt omfang at reducere subjektivitet og forekomst af bias, herunder:
i) undervurdering af risiko på grund af et lille antal observerede hændelser
ii) fejlagtig gengivelse af oplysninger på grund af konflikt mellem scenariebedømmeres interesser og vurderingens mål og konsekvenser
iii) overvurdering af hændelser med tidsmæssig nærhed til scenariebedømmerne
iv) forvridning af vurderingen på grund af svarkategorier
v) bias i oplysninger, som gives enten i baggrundsmaterialet til undersøgelsens spørgsmål eller i selve spørgsmålene
c) at kvalificerede og erfarne formidlere sikrer konsekvens med hensyn til processen
d) at de antagelser, der er anvendt i scenarieprocessen, i videst mulig udstrækning er baseret på de relevante interne og eksterne data og en objektiv udvælgelse uden bias
e) at det valgte antal scenarier samt undersøgelsesniveauet eller undersøgelsesenhederne for scenarierne er realistiske og behørigt forklaret, og at skønnene i scenarierne tager hensyn til relevante ændringer i det interne og eksterne miljø, som kan påvirke instituttets operationelle eksponering
De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende forretningspraksis og interne kontrolfaktorer, jf. artikel 20, litra d), nr. iv), idet de som minimum kontrollerer følgende:
a) at instituttets forretningspraksis og interne kontrolfaktorer er fremadrettede og afspejler mulige kilder til operationel risiko, herunder hurtig vækst, indførelsen af nye produkter, personaleomsætning og systemudfald
b) at instituttet har klare retningslinjer, som begrænser omfanget af den reduktion af AMA-kapitalgrundlagskravene, som hidrører fra justeringer af forretningspraksis og interne kontrolfaktorer
c) at de i litra b) omhandlede justeringer af forretningspraksis og interne kontrolfaktorer er begrundede, og at hensigtsmæssigheden af deres niveau bekræftes af sammenligningen over tid med retningen og omfanget af faktiske interne tabsdata, de vilkår, der er relateret til forretningspraksis, og ændringerne i den validerede kontroleffektivitet.
De kompetente myndigheder vurderer et instituts standarder vedrørende de centrale modelleringsantagelser i tilknytning til målingssystemet for operationel risiko som omhandlet i og , idet de som minimum kontrollerer følgende:
a) at instituttet udvikler, gennemfører og vedligeholder et målingssystem for operationel risiko, som er metodisk velfunderet, effektivt med hensyn til at opfange instituttets faktiske og potentielle operationelle risiko og pålideligt og stabilt i relation til generering af lovpligtige AMA-kapitalgrundlagskrav
b) at instituttet har passende politikker vedrørende sammenstillingen af beregningsdatasættet, jf. artikel 29
c) at instituttet i sin model anvender et passende granularitetsniveau, jf. artikel 30
d) at instituttet har indført en hensigtsmæssig proces til identifikation af tabsfordelinger, jf. artikel 31
e) at instituttet fastlægger de aggregerede tabsfordelinger og risikomål på en hensigtsmæssig måde, jf. artikel 32.
Med henblik på at vurdere, om et institut har passende politikker vedrørende sammenstillingen af beregningsdatasættet, jf. artikel 28, litra b), bekræfter de kompetente myndigheder som minimum følgende:
a) at instituttet definerer specifikke kriterier og eksempler vedrørende klassifikation og behandling af operationelle hændelser og operationelle tab inden for beregningsdatasættet, og at sådanne kriterier og eksempler indebærer en konsekvent behandling af tabsdata i hele instituttet
b) at instituttet ikke anvender tab netto for tabsgenopretning fra forsikring og andre risikooverførselsmekanismer i beregningsdatasættet
c) at instituttet for operationelle risikokategorier med lav hændelsesfrekvens har indført en observationsperiode, som er længere end det minimum, der er omhandlet i
d) at instituttet under sammenstilling af beregningsdatasættet med henblik på bestemmelse af fordelinger af hyppighed og størrelse alene anvender datoen for konstatering eller bogføringsdatoen og som dato for indregning i beregningsdatasættet af tab eller hensættelser, som er relateret til juridisk risiko, anvender en dato, som ikke ligger senere end bogføringsdatoen
e) at instituttets valg af minimumstærskel for modellering ikke påvirker nøjagtigheden af målene for operationel risiko negativt, og at anvendelsen af minimumstærskler for modellering, som er meget højere end dataindsamlingstærsklerne, er begrænset og i givet fald behørigt begrundet i en analyse af forskellige tærsklers følsomhed, som instituttet har foretaget
f) at instituttet i beregningsdatasættet indregner alle operationelle tab over den valgte minimumstærskel for modellering, og at den anvender dem til at generere AMA-kapitalgrundlagskrav uanset deres niveau
g) at instituttet anvender passende korrektionsfaktorer på data, hvor inflations- eller deflationseffekter er væsentlige
h) for så vidt angår tab, der opstår på grund af enten en hovedhændelse i form af en fælles operationel hændelse eller flere hændelser knyttet til en oprindelig operationel hændelse, der genererer hændelser eller tab, at instituttet grupperer og indregner disse i beregningsdatasættet som et enkelt tab
Med henblik på at vurdere, om et institut anvender et passende granularitetsniveau i sin model, jf. artikel 28, litra c), bekræfter de kompetente myndigheder som minimum følgende:
a) at instituttet ved gruppering af risici med fælles faktorer og definition af operationelle risikokategorier i forbindelse med en AMA tager hensyn til arten og kompleksiteten og de institutspecifikke elementer af sine forretningsmæssige aktiviteter og de operationelle risici, som det er eksponeret mod
b) at instituttet begrunder sit valg af granularitetsniveau for sine operationelle risikokategorier på et kvalitativt og kvantitativt grundlag og fastlægger inddelingen af kategorierne for operationel risiko på baggrund af ensartede, uafhængige og stationære data
c) at instituttets valg af granularitetsniveau for sine operationelle risikokategorier er realistisk og ikke påvirker det forsigtighedsprincip, der gælder for modelresultatet eller dele heraf, negativt
d) at instituttet regelmæssigt gennemgår valget af granularitetsniveau for sine operationelle risikokategorier for at sikre, at det fortsat er hensigtsmæssigt.
Med henblik på at vurdere, om et institut har en hensigtsmæssig proces til identifikation af hyppigheds- og størrelsesfordelinger for tab, jf. artikel 28, litra d), bekræfter de kompetente myndigheder som minimum følgende:
a) at instituttet følger en veldefineret, veldokumenteret og forståelig proces for udvælgelse, opdatering og gennemgang af tabsfordelinger og estimation af deres parametre
b) at processen for udvælgelse af tabsfordelingerne medfører konsekvente og klare valg fra instituttets side, opfanger risikoprofilen i halen korrekt og som minimum omfatter følgende elementer:
i) en proces for anvendelse af statistiske værktøjer, herunder grafer, positions- og variationsmål, skævhed og leptokurtosis til undersøgelse af beregningsdatasættet for hver operationelle risikokategori for bedre at kunne forstå den statistiske profil af data og udvælge den bedst egnede fordeling
ii) relevante metoder til estimation af fordelingsparametrene
iii) relevante diagnoseværktøjer til vurdering af fordelingerne af data, idet de værktøjer, som er mest følsomme over for halen, foretrækkes
c) at instituttet under udvælgelse af en tabsfordeling nøje tager hensyn til positiv skævhed og leptokurtosis i data
d) at der, hvis data er meget spredte i halen, til estimation af haleregionen ikke anvendes empiriske kurver, men i stedet subeksponentielle fordelinger, hvis hale aftager langsommere end eksponentielle fordelingers, medmindre der foreligger særlige grunde til at anvende andre fordelinger, som under alle omstændigheder skal håndteres korrekt og begrundes fuldt ud for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav
e) at instituttet, hvis der anvendes separate tabsfordelinger for »body« og »tail«, nøje overvejer valget af body-tail-tærsklen
f) at der til den udvalgte body-tail-tærskel findes dokumenteret statistisk støtte, eventuelt suppleret med kvalitative elementer
Med henblik på at vurdere, om et institut fastlægger de aggregerede tabsfordelinger og risikomål på en hensigtsmæssig måde, jf. artikel 28, litra e), bekræfter de kompetente myndigheder som minimum følgende:
a) at de metoder, som instituttet har udarbejdet til dette formål, sikrer risikomål, som er tilpas præcise og stabile
b) at risikomålene suppleres med oplysninger om deres nøjagtighed
c) at instituttet, uanset hvilke metoder der anvendes til aggregering af hyppigheds- og størrelsesfordelinger for tab, herunder Monte Carlo-simulationer, metoder relateret til Fourier-transformationer, Panjers algoritme og single loss-approksimationer, anvender kriterier, som begrænser stikprøvefejl og numeriske fejl og indeholder et mål for størrelsesordenen af disse fejl
d) hvis der anvendes Monte Carlo-simulationer, at antallet af trin, der skal udføres, er i overensstemmelse med fordelingernes form samt det konfidensniveau, der skal opnås
e) hvis tabsfordelingen er tykhalet og måles ved et højt konfidensniveau, at antallet af trin er tilstrækkelig stort til at begrænse stikprøvevariation til et acceptabelt niveau
f) hvis Fourier-transformation eller andre numeriske metoder anvendes, at der nøje tages hensyn til spørgsmål om algoritmestabilitet og spredning af fejl
g) at instituttets risikomål som genereret af målingssystemet for operationel risiko opfylder monotoniprincippet for risiko, som kommer til udtryk derved, at en stigning i den underliggende risikoprofil medfører højere kapitalgrundlagskrav, og at et fald i den underliggende risikoprofil medfører lavere kapitalgrundlagskrav
h) at instituttets risikomål som genereret af målingssystemet for operationel risiko er realistisk ser fra et styringsmæssigt og økonomisk synspunkt, og at instituttet desuden anvender passende metoder til at undgå loft over det maksimale enkelttab, medmindre det tydeligt og objektivt begrunder et sådant loft, samt til at undgå slutninger vedrørende ikkeeksistensen af fordelingens første statistiske moment
De kompetente myndigheder vurderer et instituts standarder vedrørende forventede tab som omhandlet i , idet de bekræfter, at instituttet, såfremt det alene beregner AMA-kapitalgrundlagskravene i relation til uforventede tab, som minimum opfylder følgende krav:
a) at instituttets metode til bestemmelse af forventede tab er i overensstemmelse med målingssystemet for operationel risiko til bestemmelse af AMA-kapitalgrundlagskrav, som omfatter såvel forventede som uforventede tab, og at bestemmelsen af forventede tab foretages efter operationel risikokategori og er konsistent over tid
b) at instituttet bestemmer det forventede tab ud fra statistikker, som i mindre grad er påvirket af ekstreme tab, herunder median og trimmet middelværdi, særligt i tilfælde af helt eller delvis tykhalede data
c) at den maksimale udligning for forventet tab, som instituttet anvender, er begrænset af det samlede forventede tab, og at den maksimale udligning for forventet tab i hver operationel risikokategori er begrænset af det relevante forventede tab ifølge instituttets målingssystem for operationel risiko anvendt på den pågældende kategori
d) at de udligninger, som instituttet tillader for forventet tab i hver operationelle risikokategori, er kapitalsubstitutter eller på anden måde er til rådighed til dækning af forventet tab over etårsperioden med en høj grad af sikkerhed
e) at instituttet, hvis udligningen har form af andet end hensættelser, begrænser adgangen til udligning til operationer med meget forudsigelige, stabile og rutineprægede tab
f) at instituttet ikke anvender specifikke reserver til ekstraordinære operationelle tabshændelser, som allerede er indtruffet, som udligning for forventet tab
g) at instituttet klart dokumenterer, hvordan dets forventede tab måles og opfanges, herunder hvordan udligninger for forventet tab opfylder betingelserne i litra a)-f).
De kompetente myndigheder vurderer et instituts standarder vedrørende korrelation som omhandlet i , idet de bekræfter, at instituttet, såfremt det beregner AMA-kapitalgrundlagskravene ved at tage hensyn til mindre end fuld korrelation på tværs af individuelle estimater af operationel risiko, som minimum opfylder følgende krav:
a) at instituttet nøje overvejer enhver form for lineær og ikkelineær afhængighed gældende for data som helhed, enten halen eller resten af data, på tværs af to eller flere operationelle risikokategorier eller inden for en operationel risikokategori
b) at instituttet i videst mulig udstrækning støtter sine korrelationsantagelser på en passende kombination af empirisk analyse af data og ekspertvurderinger
c) at tab inden for de enkelte kategorier for operationel risiko er uafhængige af hinanden
d) at afhængige tab sammenlægges, hvis betingelsen i litra c) ikke er opfyldt
e) at afhængighed inden for de operationelle risikokategorier kun modelleres på passende vis, hvis hverken betingelserne i litra c) eller d) kan opfyldes
f) at instituttet nøje overvejer afhængighed mellem halehændelser
g) at instituttet ikke baserer afhængighedsstrukturen på gaussiske eller normalfordelingslignende fordelinger
h) at alle afhængighedsantagelser, som instituttet anvender, i betragtning af usikkerheden vedrørende modellering af afhængighed i forbindelse med operationel risiko er forsigtige, og at den grad af forsigtighed, som instituttet anlægger, stiger i takt med, at afhængighedsantagelserne bliver mindre strenge og pålideligheden af de resulterende kapitalgrundlagskrav aftager
i) at instituttet begrunder de afhængighedsantagelser, som det anvender, behørigt, og at det regelmæssigt udfører følsomhedsanalyser for at vurdere afhængighedsantagelsernes virkning på sine AMA-kapitalgrundlagskrav.
De kompetente myndigheder vurderer et instituts standarder vedrørende intern konsistens i målingssystemet for operationel risiko som omhandlet i , idet de som minimum bekræfter følgende:
a) at instituttets kapitalallokeringsmekanisme er konsistent med dets risikoprofil og den generelle udformning af målingssystemet for operationel risiko
b) at allokeringen af AMA-kapitalgrundlagskrav tager hensyn til potentielle interne forskelle mellem de dele af koncernen, til hvilke der allokeres AMA-kapitalgrundlagskrav, med hensyn til den risiko og den kvalitet, der er knyttet til styringen af den operationelle risiko og den interne kontrol
c) at der ikke findes nogen nuværende eller forventede praktiske eller retlige hindringer for umiddelbar overførsel af kapitalgrundlag eller tilbagebetaling af forpligtelser
d) at allokeringen af AMA-kapitalgrundlagskrav fra det konsoliderede koncernniveau og nedefter til de dele af koncernen, der er involveret i målingssystemet for operationel risiko, hviler på sunde og i videst muligt omfang risikofølsomme metoder.
De kompetente myndigheder vurderer et instituts opfyldelse af kravene vedrørende virkningen af forsikring og andre risikooverførselsmekanismer inden for en AMA som omhandlet i , og , idet de som minimum bekræfter følgende:
a) at forsikringsgiveren opfylder kravene om tilladelse som omhandlet i , jf. artikel 37
b) at forsikringen leveres af tredjemand som omhandlet i , jf. artikel 38
c) at instituttet ikke medregner risikoreduktionsteknikker flere gange som omhandlet i , jf. artikel 39
d) at risikoreduktionsberegningen på passende vis afspejler forsikringsdækningen som omhandlet i , og at rammerne for indregning af forsikring er velbegrundede og dokumenterede som omhandlet i nævnte forordnings artikel 323, stk. 3, litra f), herunder:
i) at forsikringsdækningen vedrører instituttets operationelle risikoprofil, jf. artikel 40
ii) at instituttet anvender en avanceret risikoreduktionsberegning, jf. artikel 41
iii) at risikoreduktionsberegningen rettidigt bringes i overensstemmelse med instituttets operationelle risikoprofil, jf. artikel 42
e) at instituttets metode til indregning af forsikring medtager alle relevante elementer gennem reduktioner eller haircuts vedrørende det indregnede forsikringsbeløb som omhandlet i og , og , jf. artikel 43
f) at instituttet kan godtgøre, at der er opnået en mærkbar risikoreducerende virkning med indførelsen af andre risikooverførselsmekanismer som omhandlet i artikel 323, stk. 1, andet punktum, i forordning (EU) nr. 575/2013, jf. artikel 44.
Med henblik på at vurdere kravene vedrørende forsikringsgiverens tilladelse, jf. artikel 36, litra a), tager de kompetente myndigheder hensyn til, at et selskab, som er meddelt tilladelse i et tredjeland, opfylder kravene om tilladelse, hvis selskabet opfylder tilsynsmæssige krav, som er ækvivalente med de i Unionen gældende, herunder de krav, der er omhandlet i .
1. For at vurdere, om forsikringsdækningen med henblik på AMA-kapitalgrundlagskrav leveres af tredjemand, jf. artikel 36, litra b), bekræfter de kompetente myndigheder på grundlag af samlet overblik over instituttets konsoliderede situation som defineret i , , at hverken instituttet eller andre af enhederne omfattet af konsolideringen har en kapitalinteresse eller en kvalificeret andel som defineret i artikel 4, stk. 1, henholdsvis nr. 35) og 36), i forordning (EU) nr. 575/2013 i den part, som leverer forsikringen.
2. Hvis kravene i stk. 1 kun er delvis opfyldt, anses kun den del af den leverede forsikring som forsikring leveret gennem tredjemand, hvor det endelige ansvar forbliver hos en tredjepart, hvor kravet er opfyldt, eftersom risikoen ved overførslen rent faktisk føres ud af de konsoliderede enheder
For at vurdere, om forsikringsdækningen med henblik på AMA-kapitalgrundlagskrav ikke medregner risikoreduktionsteknikker flere gange, jf. artikel 36, litra c), bekræfter de kompetente myndigheder, at et institut har taget rimelige skridt til at sikre, at hverken instituttet eller andre af enhederne omfattet af konsolideringen bevidst genforsikrer kontrakter, som dækker operationelle hændelser, som udgør genstanden for den oprindelige forsikringsaftale, som instituttet har indgået.
1. Med henblik på at vurdere, om forsikringsdækningen vedrører et instituts risikoprofil jf. artikel 36, litra d), nr. i), bekræfter de kompetente myndigheder, at et institut har udført en veldokumenteret og velbegrundet kortlægning af forsikringsrisiko, og at instituttet således har en forsikringsdækning, som er i overensstemmelse med sandsynligheden for og virkningen af alle de operationelle tab, som instituttet potentielt står over for.
2. Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet som minimum opfylder følgende:
a) bestemmer sandsynligheden for tabsgenopretning fra forsikring og den mulige tidsramme for forsikringsselskabers modtagelse af betalinger, herunder sandsynligheden for, at et erstatningskrav fører til retssag, længden af en sådan proces og aktuelle behandlingstider og -vilkår baseret på erfaringerne fra instituttets team for styring af forsikringsrisiko, om nødvendigt understøttet af relevant ekstern ekspertise, herunder rådgivere, mæglere og forsikringsselskaber
b) anvender resultaterne fra litra a) til vurdering af forsikringsperformance i tilfælde af et operationelt tab og tilrettelægger denne proces med henblik på at vurdere forsikringsresponsen for alle relevante tabs- og scenariedata, som indgives i målingssystemet for operationel risiko
c) sammenstiller forsikringspolicerne baseret på vurderingen af disse i litra b) med instituttets egne operationelle risici med den højst mulige detaljeringsgrad ved hjælp af alle til rådighed værende oplysningskilder, herunder interne og eksterne data samt scenarieestimater
d) anvender den relevante ekspertise og udfører nævnte kortlægning med gennemsigtighed og konsekvens
e) tillægger tidligere og forventet forsikringsperformance passende vægte på baggrund af en vurdering af forsikringspolicens elementer
f) opnår formel godkendelse fra det relevante risikoorgan eller -udvalg
g) periodisk tager forsikringskortlægningen op til fornyet undersøgelse.
Med henblik på at vurdere, om et institut anvender en avanceret risikoreduktionsberegning, jf. artikel 36, litra d), nr. ii), bekræfter de kompetente myndigheder, at modelleringsmetoden til indarbejdelse af forsikringsdækningen i AMA'en som minimum opfylder følgende:
a) den er i overensstemmelse med målingssystemet for operationel risiko, som er indført for at kvantificere tabene brutto for tabsgenopretningen fra forsikring
b) den er gennemskuelig for så vidt angår relationen til den aktuelle sandsynlighed for og virkning af tab, der anvendes i instituttets overordnede fastsættelse af sine AMA-kapitalgrundlagskrav, og også i overensstemmelse med denne relation.
Med henblik på at vurdere, om risikoreduktionsberegningen rettidigt bringes i overensstemmelse med den operationelle risikoprofil jf. artikel 36, litra d), nr. iii), bekræfter de kompetente myndigheder som minimum følgende:
a) at instituttet har gennemgået anvendelsen af forsikring og genberegnet AMA-kapitalgrundlagskravene, hvis der er sket væsentlige ændringer i forsikringens art eller større ændringer i instituttets operationelle risikoprofil, alt efter, hvad der er relevant
b) hvis der opstår væsentlige tab, som påvirker forsikringsdækningen, at instituttet genberegner AMA-kapitalgrundlagskravene med en supplerende forsigtighedsmargen
c) hvis forsikringsdækningen ophører eller reduceres uventet, at instituttet er rede til straks at erstatte forsikringspolicen med en police på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning eller til at øge sine AMA-kapitalgrundlagskrav til et niveau brutto for tabsgenopretningen fra forsikring
d) at instituttet beregner kapitalen brutto og netto for tabsgenopretningen fra forsikring ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på AMA-kapitalgrundlagskravene af en eventuel udvanding af den forsikringssum, der er til rådighed, herunder i form af betaling for et væsentligt tab, eller en ændring i forsikringsdækningen.
1. Med henblik på at vurdere, om et instituts metode til indregning af forsikring medtager alle relevante elementer gennem reduktioner eller haircuts vedrørende det indregnede forsikringsbeløb, jf. artikel 36, litra e), bekræfter de kompetente myndigheder som minimum følgende:
a) at instituttet undersøger de forskellige faktorer, som skaber risikoen for, at forsikringsgiveren ikke betaler som forventet og reducerer effektiviteten af risikooverførslen, herunder forsikringsselskabets evne til at betale rettidigt og instituttets evne til at identificere, analysere og indberette erstatningskravet rettidigt
b) at instituttet undersøger, hvordan de forskellige faktorer, der er omhandlet i litra a), tidligere har påvirket den reducerende virkning af forsikring på den operationelle risikoprofil, og hvordan de kan tænkes at påvirke den i fremtiden
c) at instituttet gennem passende forsigtige haircuts afspejler de usikkerheder, der er omhandlet i litra a), i sine AMA-kapitalgrundlagskrav
d) at instituttet nøje tager hensyn til forsikringspolicernes egenskaber, herunder om disse policer kun dækker tab, som giver anledning til erstatningskrav over for eller anmeldes til forsikringsselskabet i policens løbetid og derfor ikke dækker tab, som konstateres efter policens udløb, eller om de dækker tab, som opstår i policens løbetid, selv om de først konstateres og kravet først fremsættes efter policens udløb, eller om der er tale om direkte tab for første part eller tab søm følge af ansvar over for tredjepart
e) at instituttet tager hensyn til og fuldt ud dokumenterer data om forsikringsudbetalinger efter tabstype i sine tabsdatabaser og fastsætter sine haircuts tilsvarende
f) at instituttet har indført procedurer til identifikation, analyse og behandling af erstatningskrav med henblik på at kontrollere den aktuelle dækningsbeskyttelse, som forsikringsselskabet leverer, eller muligheden for at modtage betalingen vedrørende erstatningskravet inden for en rimelig tidsfrist
g) at instituttet eksplicit kvantificerer og separat modellerer haircuts i relation til hver af de identificerede usikkerheder i stedet for at anvende et enkelt haircut i den beregning, som omfatter alle usikkerheder, eller et ex post-beregningshaircut
Med henblik på at vurdere, om et institut har godtgjort, at der er opnået en mærkbar risikoreducerende virkning med indførelsen af andre risikooverførselsmekanismer, jf. artikel 36, litra f), skal de kompetente myndigheder som minimum:
a) bekræfte, at instituttet har erfaring med anvendelse af andre risikooverførselsmekanismer og deres egenskaber, herunder sandsynligheden for dækning og tidshorisonterne for betaling, før disse instrumenter kan medregnes i instituttets målingssystem for operationel risiko
b) afvise andre risikooverførselsmekanismer som værende gangbare instrumenter til risikoreduktion med henblik på AMA-kapitalgrundlagskrav, hvis de andre risikooverførselsmekanismer besiddes eller anvendes med handel for øje snarere end til risikostyringsformål
c) kontrollere, om sælgeren af afdækningen er kvalificeret, herunder om der er tale om en reguleret eller en ikkereguleret enhed, arten af og egenskaberne ved den leverede afdækning, og om der er tale om finansieret afdækning, securitisering, garantiordninger eller derivater
d) bekræfte, at outsourcede aktiviteter ikke betragtes som henhørende under andre risikooverførselsmekanismer
e) bekræfte, at instituttet for hver kapitalberegning beregner AMA-kapitalgrundlagskravene brutto og netto for tabsgenopretningen fra andre risikooverførselsmekanismer ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på kapitalkravene af en eventuel udvanding af den afdækning, der er til rådighed
f) bekræfte, at instituttet genberegner AMA-kapitalgrundlagskravene med en yderligere forsigtighedsmargen, hvis der opstår væsentlige tab, som påvirker den afdækning, som andre risikooverførselsmekanismer leverer, eller hvis ændringer i kontrakterne vedrørende andre risikooverførselsmekanismer skaber væsentlig usikkerhed med hensyn til den opnåede afdækning.
For så vidt angår den vurdering af AMA'en, der er omhandlet i artikel 1, vedrørende et institut, der på datoen for denne forordnings ikrafttrædelse allerede anvender en AMA med henblik på beregning af kapitalgrundlagskrav i relation til operationel risiko, eller vedrørende et institut, som allerede har anmodet om tilladelse til at anvende en AMA til dette formål, gælder begge af følgende:
a) denne forordning anvendes fra et år efter dens ikrafttrædelse
b) artikel 34, litra g), anvendes fra to år efter dens ikrafttrædelse.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 14. marts 2018..
Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
Kommissionens delegerede forordning (EU) 2016/101 af 26. oktober 2015 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder for forsigtig værdiansættelse i henhold til artikel 105, stk. 14 (EUT L 21 af 28.1.2016, s. 54).
Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af og om ophævelse af ().
2. Med henblik på denne artikel omfatter retsregler som minimum:
a) krav, der udspringer af nationale eller internationale forvaltnings- eller lovbestemmelser
b) krav, der udspringer af kontraktlige aftaler, interne regler og adfærdskodekser, som er i overensstemmelse med nationale og internationale normer og praksisser
c) etiske regler.
ii) forstå målingssystemet for operationel risiko — med det formål at fastslå, hvordan AMA-kapitalgrundlagskravene fungerer — samt dets begrænsninger og centrale antagelser og kunne reproducere modeludviklingen.
f) at instituttet vurderer effektiviteten af sin ledelse af den operationelle risiko, sin operationelle risikostyring og sit målingssystem for operationel risiko som minimum på årsbasis
g) at instituttet underretter den relevante kompetente myndighed om resultaterne af den vurdering, der er omhandlet i litra f), som minimum på årsbasis.
2. Med henblik på den vurdering, der er omhandlet i stk. 1, tager de kompetente myndigheder hensyn til virkningen af den struktur, der er etableret til ledelse af den operationelle risiko, på institutmedarbejdernes engagement i styringen af og kulturen vedrørende den operationelle risiko, herunder som minimum til følgende:
a) graden af opmærksomhed hos instituttets medarbejdere på politikker og procedurer for operationel risiko
b) instituttets interne processer i forbindelse med kritiske eftersyn af AMA-rammens udformning og effektivitet.
iv) uafhængighed af de operationelle enheder og funktioner, som den operationelle risikostyringsfunktion gennemgår
v) tildeling af et budget til den operationelle risikostyringsfunktion gennem lederen af risikostyringsfunktionen som omhandlet i eller et medlem af ledelsesorganet i en tilsynsfunktion og ikke gennem en forretningsenhed eller en udøvende funktion.
Med henblik på litra a) skal vurderingen af den foretagne beregning dække mindst to på hinanden følgende kvartaler.
2. De kompetente myndigheder kan give tilladelse til at anvende AMA'en, hvis instituttet i en periode på et år efter at tilladelsen er givet dokumenterer, at det løbende sammenligner beregningen af sine kapitalgrundlagskrav i relation til operationel risiko ved anvendelse af henholdsvis AMA'en og den mindre avancerede metode, der tidligere var gældende for instituttet.
f) at revisionsfunktionens og den interne valideringsfunktions gennemgange af AMA-rammen dokumenteres behørigt, og at deres output fordeles til relevante modtagere inden for instituttet, herunder i givet fald risikoudvalgene, den operationelle risikostyringsfunktion, ledelsen af forretningsområder og andre relevante medarbejdere
g) at resultaterne af revisionsfunktionens og den interne valideringsfunktions gennemgange sammenfattes og som minimum på årsbasis rapporteres til instituttets ledelsesorgan eller et hertil udpeget udvalg til godkendelse
h) at gennemgang og godkendelse af effektiviteten af instituttets AMA-ramme som minimum foretages på årsbasis.
b) en datapolitik og en forfatterangivelse
c) beskrivelser af arbejdsstrømme og procedurer vedrørende indsamling og lagring af data
d) en redegørelse for svagheder omfattende alle de svagheder ved validerings- og gennemgangsprocesserne, som er identificeret i databaserne, samt en redegørelse for, hvordan instituttet planlægger at udbedre eller reducere de identificerede svagheder.
5. De kompetente myndigheder bekræfter, at politikkerne vedrørende livscyklussen for systemudvikling i forbindelse med AMA'er er godkendt af instituttets ledelsesorgan og daglige ledelse.
6. Hvis instituttet anvender eksterne datakilder, sikrer det, at bestemmelserne i denne artikel er opfyldt.
2. Med henblik på stk. 1 kan de kompetente myndigheder, hvis det er relevant, bekræfte, at instituttet med henblik på styring af operationel risiko identificerer, indsamler og behandler eventuelle supplerende poster, hvis de hidrører fra en væsentlig operationel hændelse, herunder følgende:
a) en nærvedhændelse i form af et nultab forårsaget af en operationel hændelse, herunder en IT-afbrydelse i handelslokalerne lige uden for åbningstiden
b) en fortjeneste forårsaget af en operationel hændelse
c) offeromkostninger i form af en stigning i omkostninger eller et fald i indtægter på grund af operationelle hændelser, som forhindrer gennemførelse af ubestemte fremtidige forretninger, herunder ikkebudgetterede personaleomkostninger, mistede indtægter og projektomkostninger vedrørende forbedring af processer
d) interne omkostninger, herunder overtidsbetaling eller bonusser.
3. Med henblik på stk. 1 bekræfter de kompetente myndigheder tillige, at instituttet udelukker følgende poster fra afgrænsningen af det operationelle tab:
a) omkostninger til generelle vedligeholdelseskontrakter vedrørende materielle anlægsaktiver
b) interne eller eksterne udgifter til fremme af forretningsaktiviteterne efter en operationel hændelse, bl.a. opgraderinger, forbedringer, risikovurderingsinitiativer og udvidelser
c) forsikringspræmier.
f) at skønnene i scenarierne er genereret under hensyn til potentielle eller sandsynlige operationelle hændelser, som indtil videre ikke, helt eller delvist, har udmøntet sig i et operationelt tab
g) at scenarieprocessen og estimaterne er underkastet et grundigt kritisk eftersyn og en grundig kontrol.
i) at eventuelle mulige undtagelser fra den i litra h) fastsatte behandling dokumenteres og begrundes behørigt for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav
j) at instituttet ikke fra AMA-beregningsdatasættet udelukker væsentlige justeringer af operationelle tab, som følger af enkeltstående eller forbundne hændelser, hvis referencedatoen for disse justeringer ligger inden for observationsperioden og referencedatoen for den oprindelige enkelte hændelse eller hovedhændelse som omhandlet i litra h) falder uden for en sådan periode
k) at instituttet for hvert referenceår i observationsperioden kan skelne tab vedrørende hændelser, som er konstateret eller indregnet i det pågældende år, fra tab vedrørende justeringer eller gruppering af hændelser, som er konstateret eller indregnet i tidligere år.
g) at instituttet under estimation af fordelingens parametre enten drager omsorg for, at beregningsdatasættets ufuldstændighed som følge af forekomsten af minimumstærskler for modellering afspejles i modellen, eller at det begrunder anvendelsen af et ufuldstændigt beregningsdatasæt med, at nøjagtigheden af parameterestimaterne og AMA-kapitalgrundlagskravene ikke derved påvirkes negativt
h) at instituttet har indført metoder til reduktion af variationen i parameterestimaterne og anvender mål for fejlen omkring disse estimater, herunder konfidensintervaller og p-værdier
i) hvis instituttet anvender stabile estimatorer i form af generaliseringer af klassiske estimatorer med gode statistiske egenskaber, herunder høj effektivitet og lav bias i hele omegnen af den ukendte underliggende fordeling af data, at dette kan godtgøre, at anvendelsen heraf ikke undervurderer risikoen i halen af tabsfordelingen
j) at instituttet vurderer goodness-of-fit mellem data og den udvalgte fordeling ved hjælp af diagnoseværktøjer af både grafisk og kvantitativ art, som er mere følsomme over for halen end for resten af fordelingen, navnlig hvis data i halen er meget spredte
k) hvis det er relevant, herunder hvis diagnoseværktøjerne ikke fører til et entydigt valg med hensyn til den bedst egnede fordeling eller til begrænsning af virkningen af stikprøvestørrelsen og antallet af estimerede parametre i goodness-of-fit-testene, at instituttet anvender evalueringsmetoder, som indebærer en sammenligning af resultaterne for tabsfordelingerne, herunder likelihood ratio, Akaikes informationskriterium og Schwarz-Bayes' kriterium
l) at instituttet med regelmæssige mellemrum kontrollerer antagelserne bag de udvalgte tabsfordelinger, og at instituttet, hvis antagelser ikke længere er gyldige, herunder hvor de fører til værdier uden for de fastsatte intervaller, har afprøvet alternative metoder og behørigt klassificeret alle ændringer af antagelserne, jf. Kommissionens delegerede forordning (EU) nr. 529/2014 .
i) at instituttet eksplicit evaluerer robustheden af resultater hidrørende fra målingssystemet for operationel risiko ved at udføre relevante følsomhedsanalyser på inputdata eller systemparametre.
h) at instituttet i størst mulig udstrækning tager hensyn til indregningen af risikoen knyttet til forsikringsselskabets evne til at udbetale erstatningskrav ved at anvende passende haircuts i forsikringsmodelleringsmetoden
i) at instituttet sikrer, at risikoen knyttet til evnen til at udbetale erstatningskrav ved misligholdelse fra en modparts side vurderes på grundlag af kreditkvaliteten for det forsikringsselskab, der er ansvarligt i henhold til den givne forsikringskontrakt, uanset om forsikringsselskabets moderinstitut har en bedre rating, eller om risikoen overføres til tredjemand
j) at instituttet opererer med forsigtige antagelser vedrørende fornyelse af forsikringspolicer på vilkår og betingelser og med en dækning, der svarer til vilkårene, betingelserne og dækningen i de oprindelige eller eksisterende kontrakter
k) at instituttet har indført processer til at sikre, at såvel den potentielle udnyttelse af forsikringspolicens grænser og prisen for og adgangen til dækningsgenanskaffelse som de situationer, hvor forsikringskontraktens dækning ikke svarer til instituttets operationelle risikoprofil, på en passende måde afspejles i dets AMA-forsikringsmetode.
2. Med henblik på stk. 1 kan de kompetente myndigheder anse kravet om, at instituttet skal anvende haircuts i den resterende tid indtil forsikringskontraktens udløb eller i opsigelsesperioden, for unødvendigt, hvis dækningen fornyes og gælder løbende, og hvis mindst en af følgende betingelser er opfyldt:
a) hvis instituttet kan godtgøre løbende dækning på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning i en periode på mindst 365 dage
b) hvis instituttet har tegnet en police, som ikke kan opsiges af forsikringsselskabet af andre årsager end manglende præmiebetaling, eller som har en opsigelsesperiode på mere end et år.
Kommissionens delegerede forordning (EU) nr. 529/2014 af 12. marts 2014 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder for vurdering af væsentligheden af udvidelser og ændringer af den interne ratingbaserede metode og den avancerede målemetode (EUT L 148 af 20.5.2014, s. 36).
