Publikationsoversigt - Indhold - Top/Bund - Forrige/næste

11. Operationel risiko

I de senere år er der sket en betydelig udvikling inden for styring af operationel risiko. Endnu befinder Nationalbanken sig imidlertid i en indledende fase i opbygningen af modeller og metoder for styring af operationel risiko.

Bank for International Settlements (BIS) har defineret operationel risiko som "…risikoen for økonomiske tab som følge af fejl i interne processer, menneskelige fejl, systemfejl eller tab som følge af eksterne begivenheder"[1]. For en centralbank er det vigtigt, at operationelle risikovurderinger også omfatter betragtninger omkring tab af omdømme.

Operationel risiko dækker således bredt over en række forskellige risikofaktorer. Nationalbankens håndtering af operationel risiko kan ikke isoleres til finansiel risikostyring, men dækker en bredere styringsramme for alle bankens forretningsområder.

Styring af operationelle risici er ikke et nyt område for Nationalbanken. Det har længe været et centralt led i udøvelsen af bankens forretningsaktiviteter. Men i takt med at flere og flere arbejdsprocesser – operationer – understøttes af IT med mulighed for belastende nedbrud, og i takt med at finansielle instrumenter er blevet mere sofistikerede med mulighed for fejlhåndtering og svig, er fokus på operationelle risici vokset. Der arbejdes løbende med at implementere og videreudvikle en fælles model for operationel risikostyring i alle bankens forretningsområder. Operationelle risici i forbindelse med porteføljeforvaltning styres ved kvalitative mål. De operationelle risici begrænses ved, at Nationalbanken ikke indgår unødvendigt komplicerede transaktioner.

Internationale standarder

BIS anbefaler en række principper for god praksis vedrørende styring af operationelle risici. Disse kan opsummeres således:

  • Bankens ledelse skal kende, godkende og tilse bankens model for styring af operationel risiko.
  • Bankens ledelse skal have ansvaret for, at modellen implementeres, samt at denne tilses af en uafhængig revision.
  • For alle forretningsområder, produkter, processer og systemer skal der gennemføres risikovurderinger.
  • Der skal etableres politikker, retningslinjer og forretningsgange til afdækning, kontrol og overvågning af operationelle risici.
  • Der skal være en plan for videreførelse af forretningen (business continuity)[2] i tilfælde af væsentlige afbrydelser i forretningsaktiviteterne.
  • Banken skal over for offentligheden oplyse om sin tilrettelæggelse af operationel risikostyring.

Nationalbankens tilrettelæggelse af operationel risikostyring har taget udgangspunkt i disse principper.

Nationalbankens model for operationel risikostyring bygger alene på en kvalitativ standard. Den kvalitative standard indebærer bl.a., at overvågningen af den operationelle risikostyring omfatter:

  • At indførte foranstaltninger mod operationelle risici er intakte.
  • Analyser af forskellige risikoscenarier.
  • Løbende rapportering til ledelsen om uønskede operationelle risici og deres betydning for banken.
  • Vurderinger af, om modellens krav efterleves i organisationen.

Ved at følge denne standard skabes der således til stadighed overblik over bankens operationelle risici, og over hvilke afdækninger der er indført for at reducere påvirkningerne til et acceptabelt niveau.

Nationalbankens model for operationel risikostyring

Nationalbankens model for operationel risikostyring omfatter, som det fremgår af figur 11.1, en risikovurderingsmodel, en standard for forretningsgange, fysisk sikring, IT-sikkerhedsstyring og planer for videreførelse af forretningen. Disse områder relaterer sig direkte til de forskellige elementer i definitionen af operationel risiko. Dette medfører, at sandsynligheden for fejl reduceres ved:

  • at knytte forretningsgangskonceptet tæt til processer,
  • at knytte IT-sikkerhedsstyringen til systemer,
  • at udefra kommende begivenheder dækkes af planer for videreførelse af forretningen.

Nationalbankens model for operationel risikostyring
Figur 11.1
Kilde: Danmarks Nationalbank.

Afdækning af menneskelige fejl adresseres inden for alle områderne, ligesom der også er et vist overlap områderne imellem.

I Nationalbanken er fysisk sikring også medtaget, fordi en centralbank som følge af sit ansvar på seddel- og møntområdet, har en række processer som produktion, opbevaring og transport af værdier, hvor der er behov for særlige foranstaltninger vedrørende den fysiske sikring.

De enkelte områder i modellen er ikke nye for banken, men de styres nu fra én organisatorisk enhed og er sat i relation til operationel risikostyring.

Hvert område i modellen omfatter overordnede krav affødt af politikker og uddybende retningslinjer samt tilhørende generelle forretningsgange. Der er tillige indført IT-systemer til understøttelse af implementeringen.

Risikovurderingsmodel
Risikovurderingsmodellen har til formål at være behjælpelig ved identifikation og vurdering af operationel risiko for givne forretningsområder, produkter, processer eller systemer. Ved en risikovurdering gives dels et bud på sandsynligheden for, at afvigelser indtræffer, dels på hvor stor påvirkningen herfra i givet fald vil blive. Behovet for risikoafdækning er særligt udtalt i de tilfælde, hvor der både er høj sandsynlighed og stor påvirkning.

De risici[3], der kan påvirke forretningsområder, produkter, processer og systemer, skal i de enkelte risikovurderinger identificeres og påvirkningen vurderes, hvorefter en risikofaktor beregnes som produktet af sandsynlighed og påvirkning. Herefter skal afdækningen af risikoen beskrives. Afdækninger kan have både organisatorisk, teknisk og proceduremæssig karakter. Hvis der forekommer en restrisiko, skal denne beskrives, og der skal tages stilling til, om den kan accepteres, eller om den evt. skal formindskes. I tabel 11.1 er givet en række eksempler på risici, hvor påvirkningen formindskes via afdækkende foranstaltninger. De nævnte foranstaltninger er ikke udtømmende.

Eksempler på risikovurderinger med afdækning af risiko
Tabel 11.1
Risici/trussel
S
P
R
Foranstaltninger
Restrisiko
S
P
R
Konklusion
Nedbrud i
ekstern
elforsyning
3
4
12
  1. Retningslinjer for elforsyning
  2. Beregning af
    dæknings-
    behov
  3. Etablering af
    intern generator
  4. Løbende afprøvninger af intern generator
Intern
generator
svigter
3
1
3
Foran-
staltninger
vurderes
tilstræk-
kelige
Uautori-
serede
handler
3
4
12
  1. Krav om ren
    straffeattest
  2. Fysisk og logisk opdeling af front- og backoffice i to selvstændige afdelinger
  3. Linestyring af
    modparts-
    eksponering
Adskillelsen
mellem front-
og backoffice
kompromit-
teres.
1
3
3
Foranstalt-
ninger
vurderes
tilstræk-
kelige.
Manglende
fysisk adgang
til dealernes
arbejds-
stationer
2
4
8
  1. Etablering af alternative arbejdsstationer for dealerne
  2. Forretningsgang for anvendelse af alternative arbejdsstationer
  3. Løbende afprøvning af alternative arbejdsstationer
Samtidigt
udfald af
almindelige
og alternative
arbejds-
stationer
2
1
2
Foran-
staltninger
vurderes
tilstræk-
kelige
Anm.:  "S" angiver sandsynlighed (1= meget lav, 2= lav, 3 = middel, 4= høj), "P" angiver påvirkning, og "R" (sandsynlighed gange påvirkning) angiver risikofaktor. Alle faktorer vurderes før og efter indførelse af foranstaltninger.

Risikovurderingerne udarbejdes decentralt af de enkelte afdelinger, men for at sikre ensartethed og afdækninger på tværs af organisationen skal risikovurderinger forelægges en central funktion til udtalelse.

Implementering

Implementering af modellen for operationel risikostyring er en længerevarende proces. Nationalbanken er på flere af områderne stadig i en indledende fase, hvor modellens områder introduceres og gradvist indføres som et vigtigt arbejdsredskab i de enkelte afdelinger.

I de efterfølgende faser af implementeringen skal der bl.a. udvikles rutiner til nærmere overvågning af operationelle risici, herunder central opsamling og rapportering af restrisici og deres eventuelle betydning for banken.



[1] Sound Practices for the Management and Supervision of Operational Risk, februar 2003, Basel Committee on Banking Supervision, www.bis.org.

[2] Business continuity management objective: To counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters (ISO/IEC 17799 Information technology – Code of practice for information security management, chapter Business Continuity Management).

[3] Working Paper on the Regulatory Treatment of Operational Risk, Annex 2: "Detailed loss event type classification", september 2001, Basel Committee on Banking Supervision, www.bis.org.


Publikationsoversigt - Indhold - Top/Bund - Forrige/næste