6.7.2018   

DA

Den Europæiske Unions Tidende

L 169/1

(1)

Med henblik på kapitalgrundlagskrav i relation til operationel risiko fastsættes det i artikel 312, stk. 2, første afsnit, i forordning (EU) nr. 575/2013, at kompetente myndigheder tillader institutter at anvende avancerede målemetoder (AMA'er) baseret på institutternes egne målingssystemer for operationel risiko, hvis de opfylder alle de kvalitative og kvantitative standarder i artiklen, dvs. til enhver tid overholder nævnte krav. En sådan vurdering vedrører derfor ikke alene et instituts første anmodning om tilladelse til at anvende AMA'en, men anvendes løbende.

(2)

De forskellige elementer i et instituts AMA-ramme bør ikke betragtes isoleret, men snarere gennemgås og vurderes som en pakke af indbyrdes sammenhængende elementer, således at de kompetente myndigheder finder det godtgjort, at der er en passende overholdelse for så vidt angår rammens enkelte dele.

(3)

De kompetente myndigheders vurdering af et instituts overholdelse af kravene til anvendelsen af AMA'er, jf. artikel 312, stk. 4, litra a) og b), i forordning (EU) nr. 575/2013, bør ikke foretages på en ensartet måde. Arten af de elementer, der skal vurderes, afhænger af, hvilken vurdering der foretages, hvilket igen afhænger af, hvilken type anmodning der indgives. De kompetente myndigheder skal vurdere en sådan overholdelse, når et institut første gang anmoder om tilladelse til at anvende AMA'en, når et institut anmoder om at måtte udvide AMA'en i overensstemmelse med den godkendte plan for trinvis gennemførelse, når et institut anmoder om at måtte udvide eller ændre den AMA, som det har opnået tilladelse til at anvende, og når et institut anmoder om at måtte gå tilbage til at anvende mindre avancerede metoder i henhold til artikel 313 i forordning (EU) nr. 575/2013. Desuden bør de kompetente myndigheder føre løbende tilsyn med institutters anvendelse af AMA'en. De kompetente myndigheder bør således foretage vurderingen af et instituts overholdelse af kravene til anvendelsen af AMA'er i overensstemmelse med arten af de elementer, der skal vurderes, og efter den relevante vurderingsmetode.

(4)

I henhold til artikel 85, stk. 1, i Europa-Parlamentets og Rådets direktiv 2013/36/EU (2) skal institutter med henblik på at gennemføre politikker og processer til vurdering og håndtering af eksponeringen mod operationel risiko præcisere, hvad der forstås ved operationel risiko. Forordning (EU) nr. 575/2013 indeholder en definition af »operationel risiko«, som omfatter både juridisk risiko og modelrisiko. I artikel 3, stk. 1, i direktiv 2013/36/EU omfatter modelrisiko potentielle tab på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af interne modeller, men medtager ikke potentielle tab på grund af værdiansættelsesjusteringer fra modelrisiko som omhandlet i artikel 105 i forordning (EU) nr. 575/2013 om forsigtig værdiansættelse eller i Kommissionens delegerede forordning (EU) 2016/101 (3) og omfatter ikke modelrisiko forbundet med brugen af en muligvis ukorrekt værdiansættelsesmetode som omhandlet i artikel 105, stk. 13, i forordning (EU) nr. 575/2013. På samme måde præciseres det i forordning (EU) nr. 575/2013 ikke, hvordan de kompetente myndigheder skal kontrollere overholdelsen af kravet om at præcisere operationel risiko, som er relateret til juridisk risiko og modelrisiko. Regler, som præciserer den vurderingsmetode, som de kompetente myndigheder skal anvende ved vurderingen af, om institutter må anvende AMA'en, bør derfor indeholde en sådan præcisering.

(5)

Det er ligeledes nødvendigt at harmonisere tilsynsmetoderne for så vidt angår den korrekte præcisering af operationel risiko ved finansielle transaktioner, inkl. metoderne vedrørende markedsrisiko, eftersom de operationelle risici i forbindelse med disse transaktioner har vist sig at være betydelige og deres drivkræfter, som typisk har flerdimensional karakter, ikke nødvendigvis kan afdækkes og registreres konsekvent som sådanne i hele Unionen.

(6)

De standarder, som et instituts ledelses- og risikostyringsramme skal overholde, er fastsat i artikel 74 i direktiv 2013/36/EU og artikel 321 i forordning (EU) nr. 575/2013. AMA-vurderingsmetoden bør følgelig omfatte de kompetente myndigheders kontrol af, at et institut har en klar organisationsstruktur for ledelse og styring af operationel risiko med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, som ved vurderingen af, om et institut må anvende AMA'en, tager højde for arten, omfanget og kompleksiteten af dets aktiviteter. Det bør navnlig bekræftes, at den operationelle risikostyringsfunktion spiller en central rolle i forbindelse med identifikation, måling, vurdering, overvågning, kontrol og reduktion af de operationelle risici, som instituttet står over for, og at den er tilstrækkeligt uafhængig af instituttets forretningsenheder til at sikre, at dens professionelle vurdering og henstillinger er uafhængige og upartiske. Det bør også fastlægges, at den daglige ledelse er ansvarlig for udvikling og gennemførelse af den ledelses- og styringsramme for operationel risiko, som ledelsesorganet har godkendt, og at rammen gennemføres konsekvent i hele instituttets organisation. De kompetente myndigheder bør endvidere vurdere, om der på alle personaleniveauer findes relevante værktøjer og oplysninger, så alle medarbejderne forstår deres opgaver i relation til styring af den operationelle risiko.

(7)

Effektive interne rapporteringssystemer er en forudsætning for en forsvarlig intern ledelse. De kompetente myndigheder bør derfor sikre, at et institut, som anmoder om AMA-tilladelse, indfører effektive risikorapporteringssystemer, ikke kun til ledelsesorganet og den daglige ledelse, men også til alle de funktioner, som er ansvarlig for styring af de operationelle risici, som instituttet er eller måtte blive eksponeret mod. Rapporteringssystemet bør afspejle, at alle aspekter af instituttets operationelle risiko er opdateret, og omfatte alle væsentlige aspekter for så vidt angår styring og måling af operationel risiko.

(8)

I henhold til artikel 321, litra a), i forordning (EU) nr. 575/2013 skal et instituts interne målingssystem for operationel risiko skal være tæt integreret med dets daglige risikostyring. AMA-vurderingsmetoden bør følgelig omfatte de kompetente myndigheders sikring af, at et institut, som anmoder om AMA-tilladelse, rent faktisk anvender sit målingssystem for operationel risiko i sin daglige risikostyring og til løbende risikostyring og ikke kun til beregning af kapitalgrundlagskrav i relation til operationel risiko. Regler om tilsynsvurdering i forbindelse med AMA'er bør derfor omfatte regler om de tilsynsmæssige forventninger, som et institut, som anmoder om AMA-tilladelse, skal opfylde for så vidt angår »brugstesten«.

(9)

For at give såvel institutter som kompetente myndigheder dokumentation for, at et instituts målingssystem for operationel risiko er pålideligt og stabilt og genererer mere troværdige kapitalgrundlagskrav i relation til operationel risiko end en enklere lovpligtig metode for operationel risiko, bør de kompetente myndigheder kontrollere, at instituttet har sammenlignet målingssystemet for operationel risiko med basisindikatormetoden eller standardmetoden for operationel risiko, der er omhandlet i artikel 315, 317 og 319 i forordning (EU) nr. 575/2013, i en fastsat periode. Denne periode bør være tilstrækkeligt lang til, at den kompetente myndighed kan konstatere, om instituttet opfylder de kvalitative og kvantitative standarder i forordning (EU) nr. 575/2013 til at anvende en AMA.

(10)

I henhold til artikel 321, litra g), i forordning (EU) nr. 575/2013 skal et instituts datastrømme og processer vedrørende AMA-målingssystemet være klare og tilgængelige. Data vedrørende operationel risiko et ikke umiddelbart tilgængelige, da de først skal identificeres i et instituts bøger og arkiver og derefter indsamles og vedligeholdes korrekt. Desuden er målingssystemet normalt særdeles sofistikeret og indebærer flere logiske og beregningsmæssige trin i forbindelse med genereringen af AMA-kapitalgrundlagskravene. AMA-vurderingsmetoden bør derfor omfatte kontrol af, at datakvaliteten og IT-systemerne er velegnede og korrekt implementeret inden for et institut og dermed passer til deres formål.

(11)

Et instituts AMA-ramme er underlagt intern validering og revisionsgennemgang, jf. artikel 321, litra e) og f), i forordning (EU) nr. 575/2013. Selv om organisationsstrukturen for de interne validerings- og revisionsfunktioner kan variere afhængigt af instituttets art, kompleksitet og forretninger, bør det sikres, at AMA-vurderingsmetoden med henblik på de gennemgange, som disse funktioner foretager, er baseret på fælles kriterier for så vidt angår betingelserne for sådanne gennemgange samt for, hvad de skal omfatte.

(12)

Modellering af operationel risiko er en forholdsvis ny disciplin i udvikling. Artikel 322 i forordning (EU) nr. 575/2013 giver derfor institutter en betydelig fleksibilitet i forbindelse med etableringen af målingssystemet for operationel risiko til beregning af AMA-kapitalgrundlagskrav En sådan fleksibilitet bør imidlertid ikke resultere i store forskelle mellem institutterne med hensyn til målingssystemets væsentligste elementer, herunder anvendelsen af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer (kendt og omtalt som »de fire elementer«), de centrale modelleringsantagelser, som gør det muligt at opfange alvorlige halehændelser og de tilknyttede drivkræfter (sammenstillingen af beregningsdatasættet, granulariteten, identifikationen af tabsfordelingerne og fastlæggelsen af de aggregerede tabsfordelinger og risikomål) eller det forventede tab samt korrelationen og kriterierne for kapitalallokering, som skulle sikre et målingssystems interne konsistens. Med henblik på at sikre, at risikomålingssystemet er metodisk velfunderet, sammenligneligt på tværs af institutter, effektivt med hensyn til at opfange institutternes faktiske og potentielle operationelle risiko og pålideligt og stabilt i relation til generering af lovpligtige AMA-kapitalkrav, bør AMA-vurderingsmetoden indebære, at de kompetente myndigheder anvender de samme kriterier og krav i hele Unionen. AMA-vurderingsmetoden bør også tage hensyn til de institutspecifikke elementer af operationel risiko, som er knyttet til institutternes forskellige størrelse, art og kompleksitet.

(13)

Med særligt henblik på de interne data bør der tages hensyn til det forhold, at selv om et operationelt tab kun kan opstå som følge af en operationel hændelse, kan dets forekomst afsløres gennem andre poster, herunder direkte omkostninger, udgifter, hensættelser og ikkeopkrævede indtægter. Mens nogle operationelle hændelser har en kvantificerbar virkning og afspejles i instituttets årsregnskab, kan andre ikke kvantificeres og påvirker ikke instituttets årsregnskab og må derfor konstateres ved hjælp af andre kilder, herunder ledelsesarkiver og datasæt over hændelser. Regler, som præciserer den vurderingsmetode, som de kompetente myndigheder skal anvende, når de tillader institutter at anvende AMA'en, bør derfor præcisere, hvad der udgør et operationelt tab, samt hvilket beløb der skal registreres til AMA-formål og, mere generelt, alle de mulige poster, som kunne afsløre operationelle hændelser.

(14)

Sommetider er institutter i stand til hurtigt at genoprette opstående operationelle tab. Hurtigt genoprettede tab bør ikke tages i betragtning ved beregning af AMA-kapitalgrundlagskrav, selv om de kan være nyttige til ledelsesformål. Eftersom institutterne anlægger forskellige kriterier for, hvornår der er tale om hurtig genopretning af tab, bør regler om AMA-vurderingsmetoden omfatte passende kriterier for, hvornår der er tale om hurtig tabsgenopretning.

(15)

De kompetente myndigheder kan anerkende risikoreduktionsteknikker inden for AMA'en, forudsat at visse betingelser er opfyldt, jf. artikel 323 i forordning (EU) nr. 575/2013. Med henblik på en effektiv anvendelse af reglerne om risikoreduktionsteknikker, bør de kompetente myndigheder følge bestemte standarder i forbindelse med vurderingen af et instituts anmodning om disse regler. Navnlig er det, når sådanne reduktionsteknikker har form af forsikring, nødvendigt at sikre, at en sådan forsikring leveres af forsikringsselskaber med tilladelse i Unionen eller i jurisdiktioner med reguleringsmæssige standarder for forsikringsselskaber, der er ækvivalente med Unionens.

(16)

Hvis risikoreduktionsteknikkerne har form af andre risikooverførselsmekanismer end forsikring, bør de kompetente myndigheder sikre, at mekanismerne rent faktisk anvendes til risikooverførsel og ikke til at omgå AMA-kapitalgrundlagskravene. Denne betingelse er væsentlig, eftersom der i forbindelse med operationel risiko gælder det særlige, at der ikke findes klare underliggende referenceaktiver, og at uventede tab spiller en større rolle end ved andre typer risiko. Dette gælder så meget desto mere på grund af manglen på et effektivt, likvidt og struktureret marked for »produkter« til afdækning af operationel risiko, som hidtil er blevet handlet uden for banksektoren, herunder katastrofeobligationer og vejrderivater. Endelig er det ofte forbundet med store vanskeligheder at vurdere den juridiske risiko ved sådanne mekanismer, selv når vilkår og betingelser for sådanne kontrakter er fastlagt klart og omhyggeligt.

(17)

For at sikre en gnidningsløs overgang for institutter, som allerede har tilladelse til at anvende AMA'en eller har anmodet om tilladelse til at anvende AMA'en før denne forordnings ikrafttrædelse, bør det fastsættes, at de kompetente myndigheder først anvender denne forordning med henblik på vurderingen af disse institutters AMA'er efter en vis overgangsperiode. Eftersom det regelmæssige tilsyn med AMA'en, der er omhandlet i artikel 101, stk. 1, i direktiv 2013/36/EU, sædvanligvis udføres årligt, bør nævnte overgangsperiode være på et år regnet fra denne forordnings ikrafttrædelse.

(18)

Institutter, som anvender gaussiske eller normalfordelingslignende fordelinger til konstatering af korrelation inden for deres AMA'er eller dele heraf, bør ikke længere anvende disse i forbindelse med AMA'er, da sådanne antagelser ville indebære haleuafhængighed mellem operationelle risikokategorier og dermed udelukke muligheden for samtidig forekomst af forskellige typer store tab, en antagelse, som hverken er forsigtig eller realistisk. Der bør derfor gives tilstrækkelig tid til at sikre disse institutters gnidningsløse overgang til en ny ordning, hvor der inden for målingssystemet for operationel risiko indføres mere forsigtige antagelser, som indebærer positiv haleafhængighed. Da implementeringen af disse antagelser kan kræve ændring af nogle af AMA-rammens centrale elementer og de tilknyttede procedurer, vil det være passende at fastsætte nævnte overgang til to år.

(19)

Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som Den Europæiske Banktilsynsmyndighed har forelagt Kommissionen.

(20)

Den Europæiske Banktilsynsmyndighed har afholdt åbne offentlige høringer om nævnte udkast til reguleringsmæssige tekniske standarder, analyseret de potentielle omkostninger og fordele i forbindelse hermed samt anmodet interessentgruppen for banker, der er nedsat i henhold artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (4), om en udtalelse —

a)

elementerne i artikel 3-6 er opfyldt

b)

kapital 2 og 3 er opfyldt

c)

kapitel 4 er opfyldt, hvis instituttet har indført forsikring og andre af de heri omhandlede risikooverførselsmekanismer.

a)

en vurdering af væsentligheden af udvidelser og ændringer af den AMA, som et institut anvender

b)

en vurdering af planen for trinvis gennemførelse af den AMA, som et institut anvender

c)

en vurdering af et instituts tilbagevenden til at anvende mindre avancerede metoder i henhold til artikel 313 i forordning (EU) nr. 575/2013

d)

de løbende gennemgange af en AMA, som et institut anvender.

a)

at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes hændelser, der fører til retssager, herunder som minimum:

b)

at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes frivillige handlinger med det formål at undgå eller reducere juridisk risiko hidrørende fra operationelle hændelser, herunder refusioner eller prisnedslag vedrørende fremtidige tjenesteydelser, som frivilligt tilbydes kunder i tilfælde, hvor sådanne refusioner ikke tilbydes som følge af kundeklager

c)

at instituttet klart identificerer og klassificerer sådanne tab som operationel risiko, som skyldes fejl og udeladelser i kontrakter og dokumentation

d)

at instituttet ikke klassificerer følgende som operationel risiko:

a)

krav, der udspringer af nationale eller internationale forvaltnings- eller lovbestemmelser

b)

krav, der udspringer af kontraktlige aftaler, interne regler og adfærdskodekser, som er i overensstemmelse med nationale og internationale normer og praksisser

c)

etiske regler.

a)

at mindst følgende hændelser, og de tilknyttede tab, hidrørende fra modeller, som anvendes til beslutningstagning, klassificeres som operationel risiko:

b)

at hændelser relateret til undervurdering af kapitalgrundlagskrav i interne modeller, som de kompetente myndigheder har givet tilladelse til, ikke medtages ved identifikationen, indsamlingen og behandlingen af data om operationelle hændelser og operationelle tab, som er relateret til modelrisiko.

a)

hændelser, som skyldes operationelle fejl og inputfejl, herunder:

b)

hændelser, som skyldes interne kontrolsvigt, herunder:

c)

hændelser, som skyldes utilstrækkelig datakvalitet og manglende rådighed over IT-miljø, herunder teknisk markedsutilgængelighed og dermed manglende mulighed for at lukke kontrakter.

a)

at dokumentationen er godkendt på det relevante ledelsesniveau i instituttet

b)

at de politikker, som instituttet har indført, omfatter standarder, som kan sikre en høj kvalitet af den interne dokumentation, bl.a. et særligt ansvar for at sikre, at dokumentationen er fuldstændig, konsistent, nøjagtig, opdateret, godkendt og sikker

c)

at som minimum følgende oplysninger fremgår af layoutet på dokumentationen i de i litra b) omhandlede politikker:

d)

at instituttet grundigt dokumenterer sine politikker, procedurer og metoder.

a)

at dokumentationen er tilstrækkelig detaljeret og nøjagtig til, at tredjepart kan undersøge AMA'en, herunder:

a)

at instituttets ledelsesorgan drøfter og godkender ledelsen af den operationelle risiko, den operationelle risikostyring og målingssystemet for operationel risiko

b)

at instituttets ledelsesorgan klart definerer og fastlægger følgende som minimum på årsbasis:

c)

at instituttets ledelsesorgan løbende overvåger instituttets overholdelse af den erklæring om den operationelle risikotolerance, der er omhandlet i litra b), nr. ii)

d)

at instituttet anvender en løbende operationel risikostyring for at identificere, vurdere, måle, overvåge og rapportere operationel risiko, herunder forsømmelseshændelser, og kan identificere de medarbejdere, der er ansvarlige for den operationelle risikostyring

e)

at de oplysninger, som den i litra d) omhandlede styring giver anledning til, formidles til de relevante udvalg og udøvende organer i instituttet, og at de beslutninger, som træffes i disse udvalg, kommunikeres til de medarbejdere i instituttet, som er ansvarlige for henholdsvis indsamling, kontrol, overvågning og styring af operationel risiko samt håndtering af aktiviteter, som giver anledning til operationel risiko

f)

at instituttet vurderer effektiviteten af sin ledelse af den operationelle risiko, sin operationelle risikostyring og sit målingssystem for operationel risiko som minimum på årsbasis

g)

at instituttet underretter den relevante kompetente myndighed om resultaterne af den vurdering, der er omhandlet i litra f), som minimum på årsbasis.

a)

graden af opmærksomhed hos instituttets medarbejdere på politikker og procedurer for operationel risiko

b)

instituttets interne processer i forbindelse med kritiske eftersyn af AMA-rammens udformning og effektivitet.

a)

at den operationelle risikostyringsfunktion varetager følgende opgaver adskilt fra instituttets forretningsområder:

b)

at den operationelle risikostyringsfunktion er genstand for et passende engagement fra ledelsesorganets og den daglige ledelses side og har en passende styrke inden for organisationen, som muliggør udførelse af dens opgaver

c)

at den operationelle risikostyringsfunktion ikke også er ansvarlig for den interne revisionsfunktion

d)

at lederen af den operationelle risikostyringsfunktion som minimum opfylder følgende krav:

a)

at den daglige ledelse er ansvarlig for gennemførelse af den ledelses- og styringsramme for operationel risiko, som ledelsesorganet har godkendt

b)

at ledelsesorganet har givet den daglige ledelse beføjelse til at udvikle politikker, processer og procedurer til styring af operationel risiko

c)

at den daglige ledelse gennemfører de politikker, processer og procedurer til styring af operationel risiko, der er omhandlet i litra b).

a)

at problemer vedrørende instituttets rapporteringssystemer og interne kontroller identificeres hurtigt og præcist

b)

at instituttets operationelle risikorapporter fordeles til relevante ledelsesniveauer samt de områder af instituttet, som i rapporterne er identificeret som problematiske områder

c)

at instituttets daglige ledelse som minimum kvartalsvis modtager rapporter vedrørende den seneste status for instituttets operationelle risikoprofil og anvender disse rapporter i beslutningsprocessen

d)

at instituttets operationelle risikorapporter indeholder oplysninger, som er relevante for styringen, og som minimum en overordnet sammenfatning af instituttets og de relevante datterselskabers og forretningsenheders vigtigste operationelle risici

e)

at instituttet anvender ad hoc-rapporter i tilfælde af mangler ved politikkerne, processerne og procedurerne til styring af operationel risiko for hurtigt at afsløre og rette op på disse mangler og dermed reducere den potentielle hyppighed og størrelse af en tabshændelse væsentligt.

a)

at instituttets målingssystem for operationel risiko anvendes til styring af operationelle risici på tværs af forskellige forretningsområder, forretningsenheder eller juridiske enheder inden for organisationsstrukturen

b)

at målingssystemet for operationel risiko er indlejret i de forskellige enheder i koncernen, hvor det anvendes på konsolideret niveau, at moderinstituttets AMA-ramme er udvidet til datterselskaberne, og at disse datterselskabers operationelle risiko og forretningspraksis og interne kontrolfaktorer som omhandlet i artikel 322, stk. 1 og 6, i forordning (EU) nr. 575/2013 indgår i AMA-beregningerne for koncernen

c)

at målingssystemet for operationel risiko også anvendes med henblik på instituttets proces til vurdering af den interne kapital som omhandlet i artikel 73 i direktiv 2013/36/EU.

a)

at målingssystemet for operationel risiko opdateres regelmæssigt og videreudvikles, i takt med at der opnås et større erfaringsgrundlag og en mere avanceret viden inden for styring og kvantificering af operationel risiko

b)

at typen og afbalanceringen af input i målingssystemet for operationel risiko er relevant og til enhver tid afspejler arten af instituttets forretningsaktiviteter, strategi, organisation og operationel eksponering.

a)

at målingssystemet for operationel risiko anvendes effektivt til regelmæssig og hurtig rapportering af konsistente oplysninger, som præcist afspejler arten af instituttets forretningsaktiviteter samt dets operationelle risikoprofil.

b)

at instituttet træffer afhjælpende foranstaltninger til forbedring af interne processer efter at have modtaget oplysning om resultater fra målingssystemet for operationel risiko.

a)

at instituttets definition af operationel risikotolerance og dets dertil knyttede styringsmål og -aktiviteter for operationel risiko kommunikeres klart inden for instituttet

b)

at forholdet mellem instituttets forretningsstrategi og dets styring af operationel risiko, herunder med hensyn til godkendelse af nye produkter, systemer og processer, kommunikeres klart inden for instituttet

c)

at målingssystemet for operationel risiko øger gennemskueligheden, risikobevidstheden og ekspertisen med hensyn til styring af operationel risiko og tilskynder til at forbedre styringen af den operationelle risiko i hele instituttet

d)

at input i og output fra målingssystemet for operationel risiko anvendes i forbindelse med relevante beslutninger og planer, herunder i forbindelse med instituttets handlings- og beredskabsplaner og den institutinterne revisions arbejdsplaner foruden instituttets beslutninger om kapitaltildeling og dets forsikringsplaner og budgetafgørelser.

a)

at instituttet forud for tilladelsen til at anvende AMA'en beregnede sine kapitalgrundlagskrav i relation til operationel risiko ved anvendelse af såvel AMA'en som den mindre avancerede metode, der tidligere var gældende for instituttet, og at nævnte beregning:

b)

at instituttet som minimum opfylder følgende:

a)

at den interne valideringsfunktion fremkommer med en begrundet og velunderbygget vurdering af, om målingssystemet for operationel risiko fungerer som planlagt, og at modelresultatet er egnet til de forskellige interne formål og tilsynsformål, som minimum på årsbasis

b)

at revisionsfunktionen som minimum på årsbasis kontrollerer integriteten af politikker, processer og procedurer for operationel risiko og vurderer, om disse opfylder lovpligtige krav og fastlagte kontroller, og navnlig at revisionsfunktionen vurderer kvaliteten af de kilder og data, der er anvendt i forbindelse med styring og måling af operationel risiko

c)

at revisionsfunktionen og den interne valideringsfunktion har indført et program for gennemgang, som dækker alle aspekter af AMA'en, som er omhandlet i denne forordning, og regelmæssigt opdateres med hensyn til:

d)

at den interne validering gennemføres af kvalificerede ressourcer, som er uafhængige af de validerede enheder

e)

hvis der udføres revisionsaktiviteter af interne eller eksterne revisionsfunktioner eller kvalificerede eksterne parter, at disse er uafhængige af den proces eller af det system, som revideres, og i tilfælde af outsourcing, at instituttets ledelsesorgan og daglige ledelse stadig er ansvarlige for at sikre, at outsourcede funktioner udføres i overensstemmelse med instituttets godkendte revisionsplan

f)

at revisionsfunktionens og den interne valideringsfunktions gennemgange af AMA-rammen dokumenteres behørigt, og at deres output fordeles til relevante modtagere inden for instituttet, herunder i givet fald risikoudvalgene, den operationelle risikostyringsfunktion, ledelsen af forretningsområder og andre relevante medarbejdere

g)

at resultaterne af revisionsfunktionens og den interne valideringsfunktions gennemgange sammenfattes og som minimum på årsbasis rapporteres til instituttets ledelsesorgan eller et hertil udpeget udvalg til godkendelse

h)

at gennemgang og godkendelse af effektiviteten af instituttets AMA-ramme som minimum foretages på årsbasis.

a)

at revisionsprogrammer til gennemgang af AMA-rammen dækker alle væsentlige aktiviteter, som kan eksponere instituttet mod væsentlig operationel risiko, herunder outsourcede aktiviteter

b)

at de interne valideringsmetoder er forholdsmæssige set i lyset af ændrede markeds- og driftsvilkår, og at resultaterne er underlagt revisionsgennemgang

a)

data til sammenstilling og sporing af sin operationelle risikohistorik bestående af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer

b)

komplementære data, herunder modelparametre, modeloutput og rapporter.

a)

de er tilstrækkeligt bredde, dybe og rummelige til den foreliggende opgave

b)

de opfylder aktuelle og potentielle brugerbehov

c)

de opdateres hurtigt

d)

de er passende for og konsistente med deres anvendelsesomfang

e)

de afspejler på en nøjagtig måde det reale fænomen, som det er hensigten, at de skal repræsentere

f)

de overtræder ikke nogen forretningsregler i en database, som skal vedligeholdes statistisk og dynamisk.

a)

en samlet oversigt over databaser, som indgår i målingssystemet for operationel risiko, med beskrivelser

b)

en datapolitik og en forfatterangivelse

c)

beskrivelser af arbejdsstrømme og procedurer vedrørende indsamling og lagring af data

d)

en redegørelse for svagheder omfattende alle de svagheder ved validerings- og gennemgangsprocesserne, som er identificeret i databaserne, samt en redegørelse for, hvordan instituttet planlægger at udbedre eller reducere de identificerede svagheder.

a)

at instituttets IT-systemer og -infrastruktur til AMA-formål er sikre og modstandsdygtige, og at disse egenskaber løbende kan opretholdes

b)

at livscyklussen for systemudvikling til AMA-formål er sikker og velegnet med henvisning til:

c)

at den IT-infrastruktur i instituttet, der er implementeret til AMA-formål, er underlagt konfigurationsstyrings-, forandringsledelses- og frigivelsesstyringsprocesser

d)

at livscyklussen for systemudvikling samt beredskabsplanerne til AMA-formål er godkendt af instituttets ledelsesorgan eller daglige ledelse, og at ledelsesorganet og den daglige ledelse periodisk modtager oplysninger om IT-infrastrukturens ydeevne med henblik på AMA'er.

a)

at instituttet råder over intern dokumentation med nærmere oplysninger om, hvordan de fire elementer indsamles, kombineres og/eller vægtes, herunder en beskrivelse af modelleringsprocessen, som illustrerer anvendelsen og kombinationen af de fire elementer, samt af begrundelsen for valgene i forbindelse med modelleringen

b)

at instituttet har en klar forståelse af, hvordan hvert af de fire elementer påvirker AMA-kapitalgrundlagskravene

c)

at den kombination af de fire elementer, som instituttet anvender, er baseret på en sikker statistisk metode, som tillader bestemmelse af høje percentiler

d)

at instituttet i forbindelse med, at de fire elementer indsamles, genereres og behandles, som minimum anvender følgende:

a)

at instituttet indsamler alle de følgende elementer inden for koncernen på en klar og konsistent måde:

b)

at instituttet er i stand til særskilt at identificere bruttotabet, tabsgenopretningen fra forsikring og andre risikooverførselsmekanismer samt tabsgenopretningen fra andet end forsikring og andre risikooverførselsmekanismer efter en operationel hændelse, undtagen for tab, som genoprettes helt eller delvist inden for fem arbejdsdage

c)

at instituttet gennemfører et system til definition og begrundelse af hensigtsmæssige dataindsamlingstærskler baseret på bruttotabet

d)

at den operationelle risikokategori er hensigtsmæssig og ikke udelader tabsdata, som er væsentlige for effektiv måling af operationel risiko og effektiv risikostyring

e)

at instituttet for hvert enkelt tab som minimum kan identificere og registrere følgende elementer i sin interne database:

a)

direkte omkostninger indregnet i resultatopgørelsen, herunder omkostninger i forbindelse med værdiforringelse og afviklingsomkostninger, samt nedskrivninger som følge af den operationelle hændelse

b)

påløbne omkostninger som følge af den operationelle hændelse, herunder:

c)

hensættelser eller reserver indregnet i resultatopgørelsen til mulige operationelle tab, herunder som følge af forsømmelseshændelser

d)

afventende tab i form af tab som følge af en operationel hændelse, som midlertidigt er opført på overgangs- eller interimskonti og endnu ikke afspejles i resultatet, og som planlægges indregnet inden for en periode, som afspejler postens størrelse og alder

e)

væsentlige ikkeopkrævede indtægter vedrørende kontraktlige forpligtelser over for tredjepart, herunder afgørelsen om efter en operationel hændelse at kompensere en kunde indtægtsmæssigt gennem fritagelse for eller nedsættelse af kontraktlige udgifter i en bestemt fremtidig periode frem for ved godtgørelse eller direkte betaling

f)

tidsforskudte tab, som spænder over mere end et regnskabsår og giver anledning til juridisk risiko.

a)

en nærvedhændelse i form af et nultab forårsaget af en operationel hændelse, herunder en IT-afbrydelse i handelslokalerne lige uden for åbningstiden

b)

en fortjeneste forårsaget af en operationel hændelse

c)

offeromkostninger i form af en stigning i omkostninger eller et fald i indtægter på grund af operationelle hændelser, som forhindrer gennemførelse af ubestemte fremtidige forretninger, herunder ikkebudgetterede personaleomkostninger, mistede indtægter og projektomkostninger vedrørende forbedring af processer

d)

interne omkostninger, herunder overtidsbetaling eller bonusser.

a)

omkostninger til generelle vedligeholdelseskontrakter vedrørende materielle anlægsaktiver

b)

interne eller eksterne udgifter til fremme af forretningsaktiviteterne efter en operationel hændelse, bl.a. opgraderinger, forbedringer, risikovurderingsinitiativer og udvidelser

c)

forsikringspræmier.

a)

at hele det påløbne tab eller de påløbne udgifter, herunder hensættelser, afviklingsomkostninger, beløb betalt for at råde bod på skader, bøder, morarenter og juridiske omkostninger, betragtes som registreret tab med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, medmindre andet er anført

b)

hvis den operationelle hændelse er relateret til markedsrisiko, at instituttet indregner omkostninger til lukning af markedspositioner i det registrerede tab på de operationelle poster, og, hvis positionen med vilje holdes åben, efter at den operationelle hændelse er anerkendt, at en eventuel del af tabet, som skyldes vanskelige markedsvilkår opstået efter beslutningen om at holde positionen åben, ikke er indregnet i det registrerede tab på de operationelle poster

c)

hvis skattebetalinger er relateret til svigt eller uhensigtsmæssige processer i instituttet, at dette i det registrerede tab på de operationelle poster indregner de påløbne udgifter som følge af den operationelle hændelse, herunder bøder, renter, omkostninger som følge af for sen betaling og juridiske omkostninger, med undtagelse af det oprindeligt skyldige skattebeløb

d)

hvis der er tidsforskudte tab og den operationelle hændelse direkte vedrører tredjepart, herunder instituttets kunder, leverandører og ansatte, at instituttet i det registrerede tab på de operationelle poster også indregner korrektionen af regnskabet.

a)

svig, som begås af en af instituttets kunder for egen regning, og som opstår i et kreditprodukt eller en kreditproces i starten af et kreditforholds levetid, herunder tilskyndelse til udlånsbeslutninger baseret på forfalskede dokumenter eller forkerte regnskabsmæssige angivelser, eksempelvis manglende eller overvurderet sikkerhed og forfalskede lønerklæringer

b)

svig, som begås ved hjælp af en anden uvidende persons identitet, herunder lånansøgninger under anvendelse af falsk elektronisk identitet, eksempelvis kundedata eller fiktive identiteter, eller svigagtig anvendelse af kunders kreditkort.

a)

tilpasser dataindsamlingstærsklen vedrørende de tabshændelser, der er beskrevet i stk. 1, opad til et niveau, der er sammenligneligt med niveauerne for AMA-rammens øvrige operationelle risikokategorier, hvis det er relevant

b)

indregner det samlede udestående beløb på tidspunktet for eller efter konstatering af svigen og eventuelle tilknyttede udgifter, herunder morarenter og juridiske omkostninger, i bruttotabet for de hændelser, der er beskrevet i stk. 1.

a)

hvis instituttet deltager i konsortiuminitiativer til indsamling af operationelle hændelser og operationelle tab, at instituttet kan levere data af samme kvalitet med hensyn til omfang, integritet og fuldstændighed som interne data, der opfylder de standarder, der er omhandlet i artikel 21-24, og at dette sker i overensstemmelse med de ønsker til datatype, der fremgår af konsortiets rapporteringsstandarder

b)

at instituttet har indført en datafiltreringsproces, som muliggør udvælgelse af relevante eksterne data på grundlag af bestemte fastlagte kriterier, og at de anvendte eksterne er relevante og i overensstemmelse med instituttets risikoprofil

c)

at filtreringsprocessen for at undgå bias i parameterestimaterne indebærer en konsekvent udvælgelse af data uafhængigt af tabet, og, hvis instituttet tillader undtagelser fra denne udvælgelsesproces, at dette har en politik, der præciserer kriterierne for undtagelser, og dokumentation, der kan støtte begrundelen af sådanne undtagelser

d)

hvis instituttet — af hensyn til tilpasningen til sine forretningsaktiviteter, sin art og sin risikoprofil — anvender en dataskaleringsproces, som indebærer tilpasning af tab rapporteret i eksterne data eller dertil knyttede fordelinger, at denne skaleringsproces er systematisk og underbygget statistisk, og at den resulterer i output, der er i overensstemmelse med instituttets risikoprofil

e)

at instituttets skaleringsproces er konsistent over tid, og at dens validitet og effektivitet regelmæssigt gennemgås.

a)

at instituttet har indført en stabil ledelsesramme vedrørende scenarieanalyse, som indebærer troværdige og pålidelige skøn, uanset om scenariet anvendes til at vurdere store hændelser eller den generelle operationelle eksponering

b)

at scenarieprocessen er klart defineret, veldokumenteret, kan gentages og er udformet med henblik på i videst muligt omfang at reducere subjektivitet og forekomst af bias, herunder:

c)

at kvalificerede og erfarne formidlere sikrer konsekvens med hensyn til processen

d)

at de antagelser, der er anvendt i scenarieprocessen, i videst mulig udstrækning er baseret på de relevante interne og eksterne data og en objektiv udvælgelse uden bias

e)

at det valgte antal scenarier samt undersøgelsesniveauet eller undersøgelsesenhederne for scenarierne er realistiske og behørigt forklaret, og at skønnene i scenarierne tager hensyn til relevante ændringer i det interne og eksterne miljø, som kan påvirke instituttets operationelle eksponering

f)

at skønnene i scenarierne er genereret under hensyn til potentielle eller sandsynlige operationelle hændelser, som indtil videre ikke, helt eller delvist, har udmøntet sig i et operationelt tab

g)

at scenarieprocessen og estimaterne er underkastet et grundigt kritisk eftersyn og en grundig kontrol.

a)

at instituttets forretningspraksis og interne kontrolfaktorer er fremadrettede og afspejler mulige kilder til operationel risiko, herunder hurtig vækst, indførelsen af nye produkter, personaleomsætning og systemudfald

b)

at instituttet har klare retningslinjer, som begrænser omfanget af den reduktion af AMA-kapitalgrundlagskravene, som hidrører fra justeringer af forretningspraksis og interne kontrolfaktorer

c)

at de i litra b) omhandlede justeringer af forretningspraksis og interne kontrolfaktorer er begrundede, og at hensigtsmæssigheden af deres niveau bekræftes af sammenligningen over tid med retningen og omfanget af faktiske interne tabsdata, de vilkår, der er relateret til forretningspraksis, og ændringerne i den validerede kontroleffektivitet.

a)

at instituttet udvikler, gennemfører og vedligeholder et målingssystem for operationel risiko, som er metodisk velfunderet, effektivt med hensyn til at opfange instituttets faktiske og potentielle operationelle risiko og pålideligt og stabilt i relation til generering af lovpligtige AMA-kapitalgrundlagskrav

b)

at instituttet har passende politikker vedrørende sammenstillingen af beregningsdatasættet, jf. artikel 29

c)

at instituttet i sin model anvender et passende granularitetsniveau, jf. artikel 30

d)

at instituttet har indført en hensigtsmæssig proces til identifikation af tabsfordelinger, jf. artikel 31

e)

at instituttet fastlægger de aggregerede tabsfordelinger og risikomål på en hensigtsmæssig måde, jf. artikel 32.

a)

at instituttet definerer specifikke kriterier og eksempler vedrørende klassifikation og behandling af operationelle hændelser og operationelle tab inden for beregningsdatasættet, og at sådanne kriterier og eksempler indebærer en konsekvent behandling af tabsdata i hele instituttet

b)

at instituttet ikke anvender tab netto for tabsgenopretning fra forsikring og andre risikooverførselsmekanismer i beregningsdatasættet

c)

at instituttet for operationelle risikokategorier med lav hændelsesfrekvens har indført en observationsperiode, som er længere end det minimum, der er omhandlet i artikel 322, stk. 3, litra a), i forordning (EU) nr. 575/2013

d)

at instituttet under sammenstilling af beregningsdatasættet med henblik på bestemmelse af fordelinger af hyppighed og størrelse alene anvender datoen for konstatering eller bogføringsdatoen og som dato for indregning i beregningsdatasættet af tab eller hensættelser, som er relateret til juridisk risiko, anvender en dato, som ikke ligger senere end bogføringsdatoen

e)

at instituttets valg af minimumstærskel for modellering ikke påvirker nøjagtigheden af målene for operationel risiko negativt, og at anvendelsen af minimumstærskler for modellering, som er meget højere end dataindsamlingstærsklerne, er begrænset og i givet fald behørigt begrundet i en analyse af forskellige tærsklers følsomhed, som instituttet har foretaget

f)

at instituttet i beregningsdatasættet indregner alle operationelle tab over den valgte minimumstærskel for modellering, og at den anvender dem til at generere AMA-kapitalgrundlagskrav uanset deres niveau

g)

at instituttet anvender passende korrektionsfaktorer på data, hvor inflations- eller deflationseffekter er væsentlige

h)

for så vidt angår tab, der opstår på grund af enten en hovedhændelse i form af en fælles operationel hændelse eller flere hændelser knyttet til en oprindelig operationel hændelse, der genererer hændelser eller tab, at instituttet grupperer og indregner disse i beregningsdatasættet som et enkelt tab

i)

at eventuelle mulige undtagelser fra den i litra h) fastsatte behandling dokumenteres og begrundes behørigt for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav

j)

at instituttet ikke fra AMA-beregningsdatasættet udelukker væsentlige justeringer af operationelle tab, som følger af enkeltstående eller forbundne hændelser, hvis referencedatoen for disse justeringer ligger inden for observationsperioden og referencedatoen for den oprindelige enkelte hændelse eller hovedhændelse som omhandlet i litra h) falder uden for en sådan periode

k)

at instituttet for hvert referenceår i observationsperioden kan skelne tab vedrørende hændelser, som er konstateret eller indregnet i det pågældende år, fra tab vedrørende justeringer eller gruppering af hændelser, som er konstateret eller indregnet i tidligere år.

a)

at instituttet ved gruppering af risici med fælles faktorer og definition af operationelle risikokategorier i forbindelse med en AMA tager hensyn til arten og kompleksiteten og de institutspecifikke elementer af sine forretningsmæssige aktiviteter og de operationelle risici, som det er eksponeret mod

b)

at instituttet begrunder sit valg af granularitetsniveau for sine operationelle risikokategorier på et kvalitativt og kvantitativt grundlag og fastlægger inddelingen af kategorierne for operationel risiko på baggrund af ensartede, uafhængige og stationære data

c)

at instituttets valg af granularitetsniveau for sine operationelle risikokategorier er realistisk og ikke påvirker det forsigtighedsprincip, der gælder for modelresultatet eller dele heraf, negativt

d)

at instituttet regelmæssigt gennemgår valget af granularitetsniveau for sine operationelle risikokategorier for at sikre, at det fortsat er hensigtsmæssigt.

a)

at instituttet følger en veldefineret, veldokumenteret og forståelig proces for udvælgelse, opdatering og gennemgang af tabsfordelinger og estimation af deres parametre

b)

at processen for udvælgelse af tabsfordelingerne medfører konsekvente og klare valg fra instituttets side, opfanger risikoprofilen i halen korrekt og som minimum omfatter følgende elementer:

c)

at instituttet under udvælgelse af en tabsfordeling nøje tager hensyn til positiv skævhed og leptokurtosis i data

d)

at der, hvis data er meget spredte i halen, til estimation af haleregionen ikke anvendes empiriske kurver, men i stedet subeksponentielle fordelinger, hvis hale aftager langsommere end eksponentielle fordelingers, medmindre der foreligger særlige grunde til at anvende andre fordelinger, som under alle omstændigheder skal håndteres korrekt og begrundes fuldt ud for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav

e)

at instituttet, hvis der anvendes separate tabsfordelinger for »body« og »tail«, nøje overvejer valget af body-tail-tærsklen

f)

at der til den udvalgte body-tail-tærskel findes dokumenteret statistisk støtte, eventuelt suppleret med kvalitative elementer

g)

at instituttet under estimation af fordelingens parametre enten drager omsorg for, at beregningsdatasættets ufuldstændighed som følge af forekomsten af minimumstærskler for modellering afspejles i modellen, eller at det begrunder anvendelsen af et ufuldstændigt beregningsdatasæt med, at nøjagtigheden af parameterestimaterne og AMA-kapitalgrundlagskravene ikke derved påvirkes negativt

h)

at instituttet har indført metoder til reduktion af variationen i parameterestimaterne og anvender mål for fejlen omkring disse estimater, herunder konfidensintervaller og p-værdier

i)

hvis instituttet anvender stabile estimatorer i form af generaliseringer af klassiske estimatorer med gode statistiske egenskaber, herunder høj effektivitet og lav bias i hele omegnen af den ukendte underliggende fordeling af data, at dette kan godtgøre, at anvendelsen heraf ikke undervurderer risikoen i halen af tabsfordelingen

j)

at instituttet vurderer goodness-of-fit mellem data og den udvalgte fordeling ved hjælp af diagnoseværktøjer af både grafisk og kvantitativ art, som er mere følsomme over for halen end for resten af fordelingen, navnlig hvis data i halen er meget spredte

k)

hvis det er relevant, herunder hvis diagnoseværktøjerne ikke fører til et entydigt valg med hensyn til den bedst egnede fordeling eller til begrænsning af virkningen af stikprøvestørrelsen og antallet af estimerede parametre i goodness-of-fit-testene, at instituttet anvender evalueringsmetoder, som indebærer en sammenligning af resultaterne for tabsfordelingerne, herunder likelihood ratio, Akaikes informationskriterium og Schwarz-Bayes' kriterium

l)

at instituttet med regelmæssige mellemrum kontrollerer antagelserne bag de udvalgte tabsfordelinger, og at instituttet, hvis antagelser ikke længere er gyldige, herunder hvor de fører til værdier uden for de fastsatte intervaller, har afprøvet alternative metoder og behørigt klassificeret alle ændringer af antagelserne, jf. Kommissionens delegerede forordning (EU) nr. 529/2014 (5).

a)

at de metoder, som instituttet har udarbejdet til dette formål, sikrer risikomål, som er tilpas præcise og stabile

b)

at risikomålene suppleres med oplysninger om deres nøjagtighed

c)

at instituttet, uanset hvilke metoder der anvendes til aggregering af hyppigheds- og størrelsesfordelinger for tab, herunder Monte Carlo-simulationer, metoder relateret til Fourier-transformationer, Panjers algoritme og single loss-approksimationer, anvender kriterier, som begrænser stikprøvefejl og numeriske fejl og indeholder et mål for størrelsesordenen af disse fejl

d)

hvis der anvendes Monte Carlo-simulationer, at antallet af trin, der skal udføres, er i overensstemmelse med fordelingernes form samt det konfidensniveau, der skal opnås

e)

hvis tabsfordelingen er tykhalet og måles ved et højt konfidensniveau, at antallet af trin er tilstrækkelig stort til at begrænse stikprøvevariation til et acceptabelt niveau

f)

hvis Fourier-transformation eller andre numeriske metoder anvendes, at der nøje tages hensyn til spørgsmål om algoritmestabilitet og spredning af fejl

g)

at instituttets risikomål som genereret af målingssystemet for operationel risiko opfylder monotoniprincippet for risiko, som kommer til udtryk derved, at en stigning i den underliggende risikoprofil medfører højere kapitalgrundlagskrav, og at et fald i den underliggende risikoprofil medfører lavere kapitalgrundlagskrav

h)

at instituttets risikomål som genereret af målingssystemet for operationel risiko er realistisk ser fra et styringsmæssigt og økonomisk synspunkt, og at instituttet desuden anvender passende metoder til at undgå loft over det maksimale enkelttab, medmindre det tydeligt og objektivt begrunder et sådant loft, samt til at undgå slutninger vedrørende ikkeeksistensen af fordelingens første statistiske moment

i)

at instituttet eksplicit evaluerer robustheden af resultater hidrørende fra målingssystemet for operationel risiko ved at udføre relevante følsomhedsanalyser på inputdata eller systemparametre.

a)

at instituttets metode til bestemmelse af forventede tab er i overensstemmelse med målingssystemet for operationel risiko til bestemmelse af AMA-kapitalgrundlagskrav, som omfatter såvel forventede som uforventede tab, og at bestemmelsen af forventede tab foretages efter operationel risikokategori og er konsistent over tid

b)

at instituttet bestemmer det forventede tab ud fra statistikker, som i mindre grad er påvirket af ekstreme tab, herunder median og trimmet middelværdi, særligt i tilfælde af helt eller delvis tykhalede data

c)

at den maksimale udligning for forventet tab, som instituttet anvender, er begrænset af det samlede forventede tab, og at den maksimale udligning for forventet tab i hver operationel risikokategori er begrænset af det relevante forventede tab ifølge instituttets målingssystem for operationel risiko anvendt på den pågældende kategori

d)

at de udligninger, som instituttet tillader for forventet tab i hver operationelle risikokategori, er kapitalsubstitutter eller på anden måde er til rådighed til dækning af forventet tab over etårsperioden med en høj grad af sikkerhed

e)

at instituttet, hvis udligningen har form af andet end hensættelser, begrænser adgangen til udligning til operationer med meget forudsigelige, stabile og rutineprægede tab

f)

at instituttet ikke anvender specifikke reserver til ekstraordinære operationelle tabshændelser, som allerede er indtruffet, som udligning for forventet tab

g)

at instituttet klart dokumenterer, hvordan dets forventede tab måles og opfanges, herunder hvordan udligninger for forventet tab opfylder betingelserne i litra a)-f).

a)

at instituttet nøje overvejer enhver form for lineær og ikkelineær afhængighed gældende for data som helhed, enten halen eller resten af data, på tværs af to eller flere operationelle risikokategorier eller inden for en operationel risikokategori

b)

at instituttet i videst mulig udstrækning støtter sine korrelationsantagelser på en passende kombination af empirisk analyse af data og ekspertvurderinger

c)

at tab inden for de enkelte kategorier for operationel risiko er uafhængige af hinanden

d)

at afhængige tab sammenlægges, hvis betingelsen i litra c) ikke er opfyldt

e)

at afhængighed inden for de operationelle risikokategorier kun modelleres på passende vis, hvis hverken betingelserne i litra c) eller d) kan opfyldes

f)

at instituttet nøje overvejer afhængighed mellem halehændelser

g)

at instituttet ikke baserer afhængighedsstrukturen på gaussiske eller normalfordelingslignende fordelinger

h)

at alle afhængighedsantagelser, som instituttet anvender, i betragtning af usikkerheden vedrørende modellering af afhængighed i forbindelse med operationel risiko er forsigtige, og at den grad af forsigtighed, som instituttet anlægger, stiger i takt med, at afhængighedsantagelserne bliver mindre strenge og pålideligheden af de resulterende kapitalgrundlagskrav aftager

i)

at instituttet begrunder de afhængighedsantagelser, som det anvender, behørigt, og at det regelmæssigt udfører følsomhedsanalyser for at vurdere afhængighedsantagelsernes virkning på sine AMA-kapitalgrundlagskrav.

a)

at instituttets kapitalallokeringsmekanisme er konsistent med dets risikoprofil og den generelle udformning af målingssystemet for operationel risiko

b)

at allokeringen af AMA-kapitalgrundlagskrav tager hensyn til potentielle interne forskelle mellem de dele af koncernen, til hvilke der allokeres AMA-kapitalgrundlagskrav, med hensyn til den risiko og den kvalitet, der er knyttet til styringen af den operationelle risiko og den interne kontrol

c)

at der ikke findes nogen nuværende eller forventede praktiske eller retlige hindringer for umiddelbar overførsel af kapitalgrundlag eller tilbagebetaling af forpligtelser

d)

at allokeringen af AMA-kapitalgrundlagskrav fra det konsoliderede koncernniveau og nedefter til de dele af koncernen, der er involveret i målingssystemet for operationel risiko, hviler på sunde og i videst muligt omfang risikofølsomme metoder.

a)

at forsikringsgiveren opfylder kravene om tilladelse som omhandlet i artikel 323, stk. 2, i forordning (EU) nr. 575/2013, jf. artikel 37

b)

at forsikringen leveres af tredjemand som omhandlet i artikel 323, stk. 3, litra e), i forordning (EU) nr. 575/2013, jf. artikel 38

c)

at instituttet ikke medregner risikoreduktionsteknikker flere gange som omhandlet i artikel 322, stk. 2, litra e), i forordning (EU) nr. 575/2013, jf. artikel 39

d)

at risikoreduktionsberegningen på passende vis afspejler forsikringsdækningen som omhandlet i artikel 323, stk. 3, litra d), i forordning (EU) nr. 575/2013, og at rammerne for indregning af forsikring er velbegrundede og dokumenterede som omhandlet i nævnte forordnings artikel 323, stk. 3, litra f), herunder:

e)

at instituttets metode til indregning af forsikring medtager alle relevante elementer gennem reduktioner eller haircuts vedrørende det indregnede forsikringsbeløb som omhandlet i artikel 323, stk. 3, litra a) og b), og artikel 323, stk. 4, i forordning (EU) nr. 575/2013, jf. artikel 43

f)

at instituttet kan godtgøre, at der er opnået en mærkbar risikoreducerende virkning med indførelsen af andre risikooverførselsmekanismer som omhandlet i artikel 323, stk. 1, andet punktum, i forordning (EU) nr. 575/2013, jf. artikel 44.

a)

bestemmer sandsynligheden for tabsgenopretning fra forsikring og den mulige tidsramme for forsikringsselskabers modtagelse af betalinger, herunder sandsynligheden for, at et erstatningskrav fører til retssag, længden af en sådan proces og aktuelle behandlingstider og -vilkår baseret på erfaringerne fra instituttets team for styring af forsikringsrisiko, om nødvendigt understøttet af relevant ekstern ekspertise, herunder rådgivere, mæglere og forsikringsselskaber

b)

anvender resultaterne fra litra a) til vurdering af forsikringsperformance i tilfælde af et operationelt tab og tilrettelægger denne proces med henblik på at vurdere forsikringsresponsen for alle relevante tabs- og scenariedata, som indgives i målingssystemet for operationel risiko

c)

sammenstiller forsikringspolicerne baseret på vurderingen af disse i litra b) med instituttets egne operationelle risici med den højst mulige detaljeringsgrad ved hjælp af alle til rådighed værende oplysningskilder, herunder interne og eksterne data samt scenarieestimater

d)

anvender den relevante ekspertise og udfører nævnte kortlægning med gennemsigtighed og konsekvens

e)

tillægger tidligere og forventet forsikringsperformance passende vægte på baggrund af en vurdering af forsikringspolicens elementer

f)

opnår formel godkendelse fra det relevante risikoorgan eller -udvalg

g)

periodisk tager forsikringskortlægningen op til fornyet undersøgelse.

a)

den er i overensstemmelse med målingssystemet for operationel risiko, som er indført for at kvantificere tabene brutto for tabsgenopretningen fra forsikring

b)

den er gennemskuelig for så vidt angår relationen til den aktuelle sandsynlighed for og virkning af tab, der anvendes i instituttets overordnede fastsættelse af sine AMA-kapitalgrundlagskrav, og også i overensstemmelse med denne relation.

a)

at instituttet har gennemgået anvendelsen af forsikring og genberegnet AMA-kapitalgrundlagskravene, hvis der er sket væsentlige ændringer i forsikringens art eller større ændringer i instituttets operationelle risikoprofil, alt efter, hvad der er relevant

b)

hvis der opstår væsentlige tab, som påvirker forsikringsdækningen, at instituttet genberegner AMA-kapitalgrundlagskravene med en supplerende forsigtighedsmargen

c)

hvis forsikringsdækningen ophører eller reduceres uventet, at instituttet er rede til straks at erstatte forsikringspolicen med en police på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning eller til at øge sine AMA-kapitalgrundlagskrav til et niveau brutto for tabsgenopretningen fra forsikring

d)

at instituttet beregner kapitalen brutto og netto for tabsgenopretningen fra forsikring ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på AMA-kapitalgrundlagskravene af en eventuel udvanding af den forsikringssum, der er til rådighed, herunder i form af betaling for et væsentligt tab, eller en ændring i forsikringsdækningen.

a)

at instituttet undersøger de forskellige faktorer, som skaber risikoen for, at forsikringsgiveren ikke betaler som forventet og reducerer effektiviteten af risikooverførslen, herunder forsikringsselskabets evne til at betale rettidigt og instituttets evne til at identificere, analysere og indberette erstatningskravet rettidigt

b)

at instituttet undersøger, hvordan de forskellige faktorer, der er omhandlet i litra a), tidligere har påvirket den reducerende virkning af forsikring på den operationelle risikoprofil, og hvordan de kan tænkes at påvirke den i fremtiden

c)

at instituttet gennem passende forsigtige haircuts afspejler de usikkerheder, der er omhandlet i litra a), i sine AMA-kapitalgrundlagskrav

d)

at instituttet nøje tager hensyn til forsikringspolicernes egenskaber, herunder om disse policer kun dækker tab, som giver anledning til erstatningskrav over for eller anmeldes til forsikringsselskabet i policens løbetid og derfor ikke dækker tab, som konstateres efter policens udløb, eller om de dækker tab, som opstår i policens løbetid, selv om de først konstateres og kravet først fremsættes efter policens udløb, eller om der er tale om direkte tab for første part eller tab søm følge af ansvar over for tredjepart

e)

at instituttet tager hensyn til og fuldt ud dokumenterer data om forsikringsudbetalinger efter tabstype i sine tabsdatabaser og fastsætter sine haircuts tilsvarende

f)

at instituttet har indført procedurer til identifikation, analyse og behandling af erstatningskrav med henblik på at kontrollere den aktuelle dækningsbeskyttelse, som forsikringsselskabet leverer, eller muligheden for at modtage betalingen vedrørende erstatningskravet inden for en rimelig tidsfrist

g)

at instituttet eksplicit kvantificerer og separat modellerer haircuts i relation til hver af de identificerede usikkerheder i stedet for at anvende et enkelt haircut i den beregning, som omfatter alle usikkerheder, eller et ex post-beregningshaircut

h)

at instituttet i størst mulig udstrækning tager hensyn til indregningen af risikoen knyttet til forsikringsselskabets evne til at udbetale erstatningskrav ved at anvende passende haircuts i forsikringsmodelleringsmetoden

i)

at instituttet sikrer, at risikoen knyttet til evnen til at udbetale erstatningskrav ved misligholdelse fra en modparts side vurderes på grundlag af kreditkvaliteten for det forsikringsselskab, der er ansvarligt i henhold til den givne forsikringskontrakt, uanset om forsikringsselskabets moderinstitut har en bedre rating, eller om risikoen overføres til tredjemand

j)

at instituttet opererer med forsigtige antagelser vedrørende fornyelse af forsikringspolicer på vilkår og betingelser og med en dækning, der svarer til vilkårene, betingelserne og dækningen i de oprindelige eller eksisterende kontrakter

k)

at instituttet har indført processer til at sikre, at såvel den potentielle udnyttelse af forsikringspolicens grænser og prisen for og adgangen til dækningsgenanskaffelse som de situationer, hvor forsikringskontraktens dækning ikke svarer til instituttets operationelle risikoprofil, på en passende måde afspejles i dets AMA-forsikringsmetode.

a)

hvis instituttet kan godtgøre løbende dækning på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning i en periode på mindst 365 dage

b)

hvis instituttet har tegnet en police, som ikke kan opsiges af forsikringsselskabet af andre årsager end manglende præmiebetaling, eller som har en opsigelsesperiode på mere end et år.

a)

bekræfte, at instituttet har erfaring med anvendelse af andre risikooverførselsmekanismer og deres egenskaber, herunder sandsynligheden for dækning og tidshorisonterne for betaling, før disse instrumenter kan medregnes i instituttets målingssystem for operationel risiko

b)

afvise andre risikooverførselsmekanismer som værende gangbare instrumenter til risikoreduktion med henblik på AMA-kapitalgrundlagskrav, hvis de andre risikooverførselsmekanismer besiddes eller anvendes med handel for øje snarere end til risikostyringsformål

c)

kontrollere, om sælgeren af afdækningen er kvalificeret, herunder om der er tale om en reguleret eller en ikkereguleret enhed, arten af og egenskaberne ved den leverede afdækning, og om der er tale om finansieret afdækning, securitisering, garantiordninger eller derivater

d)

bekræfte, at outsourcede aktiviteter ikke betragtes som henhørende under andre risikooverførselsmekanismer

e)

bekræfte, at instituttet for hver kapitalberegning beregner AMA-kapitalgrundlagskravene brutto og netto for tabsgenopretningen fra andre risikooverførselsmekanismer ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på kapitalkravene af en eventuel udvanding af den afdækning, der er til rådighed

f)

bekræfte, at instituttet genberegner AMA-kapitalgrundlagskravene med en yderligere forsigtighedsmargen, hvis der opstår væsentlige tab, som påvirker den afdækning, som andre risikooverførselsmekanismer leverer, eller hvis ændringer i kontrakterne vedrørende andre risikooverførselsmekanismer skaber væsentlig usikkerhed med hensyn til den opnåede afdækning.

a)

denne forordning anvendes fra et år efter dens ikrafttrædelse

b)

artikel 34, litra g), anvendes fra to år efter dens ikrafttrædelse.