Help Print this page 

Document 32018R0959

Title and reference
Kommissionens delegerede forordning (EU) 2018/959 af 14. marts 2018 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder vedrørende præciseringen af den vurderingsmetode, som de kompetente myndigheder skal anvende, når institutter gives tilladelse til at anvende avancerede målemetoder for operationel risiko (EØS-relevant tekst.)

C/2018/1446
  • Date of entry into force unknown (pending notification) or not yet in force., Date of effect: 26/07/2018
OJ L 169, 6.7.2018, p. 1–26 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reg_del/2018/959/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

6.7.2018   

DA

Den Europæiske Unions Tidende

L 169/1


KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2018/959

af 14. marts 2018

om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder vedrørende præciseringen af den vurderingsmetode, som de kompetente myndigheder skal anvende, når institutter gives tilladelse til at anvende avancerede målemetoder for operationel risiko

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (1), særlig artikel 312, stk. 4, tredje afsnit, og

ud fra følgende betragtninger:

(1)

Med henblik på kapitalgrundlagskrav i relation til operationel risiko fastsættes det i artikel 312, stk. 2, første afsnit, i forordning (EU) nr. 575/2013, at kompetente myndigheder tillader institutter at anvende avancerede målemetoder (AMA'er) baseret på institutternes egne målingssystemer for operationel risiko, hvis de opfylder alle de kvalitative og kvantitative standarder i artiklen, dvs. til enhver tid overholder nævnte krav. En sådan vurdering vedrører derfor ikke alene et instituts første anmodning om tilladelse til at anvende AMA'en, men anvendes løbende.

(2)

De forskellige elementer i et instituts AMA-ramme bør ikke betragtes isoleret, men snarere gennemgås og vurderes som en pakke af indbyrdes sammenhængende elementer, således at de kompetente myndigheder finder det godtgjort, at der er en passende overholdelse for så vidt angår rammens enkelte dele.

(3)

De kompetente myndigheders vurdering af et instituts overholdelse af kravene til anvendelsen af AMA'er, jf. artikel 312, stk. 4, litra a) og b), i forordning (EU) nr. 575/2013, bør ikke foretages på en ensartet måde. Arten af de elementer, der skal vurderes, afhænger af, hvilken vurdering der foretages, hvilket igen afhænger af, hvilken type anmodning der indgives. De kompetente myndigheder skal vurdere en sådan overholdelse, når et institut første gang anmoder om tilladelse til at anvende AMA'en, når et institut anmoder om at måtte udvide AMA'en i overensstemmelse med den godkendte plan for trinvis gennemførelse, når et institut anmoder om at måtte udvide eller ændre den AMA, som det har opnået tilladelse til at anvende, og når et institut anmoder om at måtte gå tilbage til at anvende mindre avancerede metoder i henhold til artikel 313 i forordning (EU) nr. 575/2013. Desuden bør de kompetente myndigheder føre løbende tilsyn med institutters anvendelse af AMA'en. De kompetente myndigheder bør således foretage vurderingen af et instituts overholdelse af kravene til anvendelsen af AMA'er i overensstemmelse med arten af de elementer, der skal vurderes, og efter den relevante vurderingsmetode.

(4)

I henhold til artikel 85, stk. 1, i Europa-Parlamentets og Rådets direktiv 2013/36/EU (2) skal institutter med henblik på at gennemføre politikker og processer til vurdering og håndtering af eksponeringen mod operationel risiko præcisere, hvad der forstås ved operationel risiko. Forordning (EU) nr. 575/2013 indeholder en definition af »operationel risiko«, som omfatter både juridisk risiko og modelrisiko. I artikel 3, stk. 1, i direktiv 2013/36/EU omfatter modelrisiko potentielle tab på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af interne modeller, men medtager ikke potentielle tab på grund af værdiansættelsesjusteringer fra modelrisiko som omhandlet i artikel 105 i forordning (EU) nr. 575/2013 om forsigtig værdiansættelse eller i Kommissionens delegerede forordning (EU) 2016/101 (3) og omfatter ikke modelrisiko forbundet med brugen af en muligvis ukorrekt værdiansættelsesmetode som omhandlet i artikel 105, stk. 13, i forordning (EU) nr. 575/2013. På samme måde præciseres det i forordning (EU) nr. 575/2013 ikke, hvordan de kompetente myndigheder skal kontrollere overholdelsen af kravet om at præcisere operationel risiko, som er relateret til juridisk risiko og modelrisiko. Regler, som præciserer den vurderingsmetode, som de kompetente myndigheder skal anvende ved vurderingen af, om institutter må anvende AMA'en, bør derfor indeholde en sådan præcisering.

(5)

Det er ligeledes nødvendigt at harmonisere tilsynsmetoderne for så vidt angår den korrekte præcisering af operationel risiko ved finansielle transaktioner, inkl. metoderne vedrørende markedsrisiko, eftersom de operationelle risici i forbindelse med disse transaktioner har vist sig at være betydelige og deres drivkræfter, som typisk har flerdimensional karakter, ikke nødvendigvis kan afdækkes og registreres konsekvent som sådanne i hele Unionen.

(6)

De standarder, som et instituts ledelses- og risikostyringsramme skal overholde, er fastsat i artikel 74 i direktiv 2013/36/EU og artikel 321 i forordning (EU) nr. 575/2013. AMA-vurderingsmetoden bør følgelig omfatte de kompetente myndigheders kontrol af, at et institut har en klar organisationsstruktur for ledelse og styring af operationel risiko med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, som ved vurderingen af, om et institut må anvende AMA'en, tager højde for arten, omfanget og kompleksiteten af dets aktiviteter. Det bør navnlig bekræftes, at den operationelle risikostyringsfunktion spiller en central rolle i forbindelse med identifikation, måling, vurdering, overvågning, kontrol og reduktion af de operationelle risici, som instituttet står over for, og at den er tilstrækkeligt uafhængig af instituttets forretningsenheder til at sikre, at dens professionelle vurdering og henstillinger er uafhængige og upartiske. Det bør også fastlægges, at den daglige ledelse er ansvarlig for udvikling og gennemførelse af den ledelses- og styringsramme for operationel risiko, som ledelsesorganet har godkendt, og at rammen gennemføres konsekvent i hele instituttets organisation. De kompetente myndigheder bør endvidere vurdere, om der på alle personaleniveauer findes relevante værktøjer og oplysninger, så alle medarbejderne forstår deres opgaver i relation til styring af den operationelle risiko.

(7)

Effektive interne rapporteringssystemer er en forudsætning for en forsvarlig intern ledelse. De kompetente myndigheder bør derfor sikre, at et institut, som anmoder om AMA-tilladelse, indfører effektive risikorapporteringssystemer, ikke kun til ledelsesorganet og den daglige ledelse, men også til alle de funktioner, som er ansvarlig for styring af de operationelle risici, som instituttet er eller måtte blive eksponeret mod. Rapporteringssystemet bør afspejle, at alle aspekter af instituttets operationelle risiko er opdateret, og omfatte alle væsentlige aspekter for så vidt angår styring og måling af operationel risiko.

(8)

I henhold til artikel 321, litra a), i forordning (EU) nr. 575/2013 skal et instituts interne målingssystem for operationel risiko skal være tæt integreret med dets daglige risikostyring. AMA-vurderingsmetoden bør følgelig omfatte de kompetente myndigheders sikring af, at et institut, som anmoder om AMA-tilladelse, rent faktisk anvender sit målingssystem for operationel risiko i sin daglige risikostyring og til løbende risikostyring og ikke kun til beregning af kapitalgrundlagskrav i relation til operationel risiko. Regler om tilsynsvurdering i forbindelse med AMA'er bør derfor omfatte regler om de tilsynsmæssige forventninger, som et institut, som anmoder om AMA-tilladelse, skal opfylde for så vidt angår »brugstesten«.

(9)

For at give såvel institutter som kompetente myndigheder dokumentation for, at et instituts målingssystem for operationel risiko er pålideligt og stabilt og genererer mere troværdige kapitalgrundlagskrav i relation til operationel risiko end en enklere lovpligtig metode for operationel risiko, bør de kompetente myndigheder kontrollere, at instituttet har sammenlignet målingssystemet for operationel risiko med basisindikatormetoden eller standardmetoden for operationel risiko, der er omhandlet i artikel 315, 317 og 319 i forordning (EU) nr. 575/2013, i en fastsat periode. Denne periode bør være tilstrækkeligt lang til, at den kompetente myndighed kan konstatere, om instituttet opfylder de kvalitative og kvantitative standarder i forordning (EU) nr. 575/2013 til at anvende en AMA.

(10)

I henhold til artikel 321, litra g), i forordning (EU) nr. 575/2013 skal et instituts datastrømme og processer vedrørende AMA-målingssystemet være klare og tilgængelige. Data vedrørende operationel risiko et ikke umiddelbart tilgængelige, da de først skal identificeres i et instituts bøger og arkiver og derefter indsamles og vedligeholdes korrekt. Desuden er målingssystemet normalt særdeles sofistikeret og indebærer flere logiske og beregningsmæssige trin i forbindelse med genereringen af AMA-kapitalgrundlagskravene. AMA-vurderingsmetoden bør derfor omfatte kontrol af, at datakvaliteten og IT-systemerne er velegnede og korrekt implementeret inden for et institut og dermed passer til deres formål.

(11)

Et instituts AMA-ramme er underlagt intern validering og revisionsgennemgang, jf. artikel 321, litra e) og f), i forordning (EU) nr. 575/2013. Selv om organisationsstrukturen for de interne validerings- og revisionsfunktioner kan variere afhængigt af instituttets art, kompleksitet og forretninger, bør det sikres, at AMA-vurderingsmetoden med henblik på de gennemgange, som disse funktioner foretager, er baseret på fælles kriterier for så vidt angår betingelserne for sådanne gennemgange samt for, hvad de skal omfatte.

(12)

Modellering af operationel risiko er en forholdsvis ny disciplin i udvikling. Artikel 322 i forordning (EU) nr. 575/2013 giver derfor institutter en betydelig fleksibilitet i forbindelse med etableringen af målingssystemet for operationel risiko til beregning af AMA-kapitalgrundlagskrav En sådan fleksibilitet bør imidlertid ikke resultere i store forskelle mellem institutterne med hensyn til målingssystemets væsentligste elementer, herunder anvendelsen af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer (kendt og omtalt som »de fire elementer«), de centrale modelleringsantagelser, som gør det muligt at opfange alvorlige halehændelser og de tilknyttede drivkræfter (sammenstillingen af beregningsdatasættet, granulariteten, identifikationen af tabsfordelingerne og fastlæggelsen af de aggregerede tabsfordelinger og risikomål) eller det forventede tab samt korrelationen og kriterierne for kapitalallokering, som skulle sikre et målingssystems interne konsistens. Med henblik på at sikre, at risikomålingssystemet er metodisk velfunderet, sammenligneligt på tværs af institutter, effektivt med hensyn til at opfange institutternes faktiske og potentielle operationelle risiko og pålideligt og stabilt i relation til generering af lovpligtige AMA-kapitalkrav, bør AMA-vurderingsmetoden indebære, at de kompetente myndigheder anvender de samme kriterier og krav i hele Unionen. AMA-vurderingsmetoden bør også tage hensyn til de institutspecifikke elementer af operationel risiko, som er knyttet til institutternes forskellige størrelse, art og kompleksitet.

(13)

Med særligt henblik på de interne data bør der tages hensyn til det forhold, at selv om et operationelt tab kun kan opstå som følge af en operationel hændelse, kan dets forekomst afsløres gennem andre poster, herunder direkte omkostninger, udgifter, hensættelser og ikkeopkrævede indtægter. Mens nogle operationelle hændelser har en kvantificerbar virkning og afspejles i instituttets årsregnskab, kan andre ikke kvantificeres og påvirker ikke instituttets årsregnskab og må derfor konstateres ved hjælp af andre kilder, herunder ledelsesarkiver og datasæt over hændelser. Regler, som præciserer den vurderingsmetode, som de kompetente myndigheder skal anvende, når de tillader institutter at anvende AMA'en, bør derfor præcisere, hvad der udgør et operationelt tab, samt hvilket beløb der skal registreres til AMA-formål og, mere generelt, alle de mulige poster, som kunne afsløre operationelle hændelser.

(14)

Sommetider er institutter i stand til hurtigt at genoprette opstående operationelle tab. Hurtigt genoprettede tab bør ikke tages i betragtning ved beregning af AMA-kapitalgrundlagskrav, selv om de kan være nyttige til ledelsesformål. Eftersom institutterne anlægger forskellige kriterier for, hvornår der er tale om hurtig genopretning af tab, bør regler om AMA-vurderingsmetoden omfatte passende kriterier for, hvornår der er tale om hurtig tabsgenopretning.

(15)

De kompetente myndigheder kan anerkende risikoreduktionsteknikker inden for AMA'en, forudsat at visse betingelser er opfyldt, jf. artikel 323 i forordning (EU) nr. 575/2013. Med henblik på en effektiv anvendelse af reglerne om risikoreduktionsteknikker, bør de kompetente myndigheder følge bestemte standarder i forbindelse med vurderingen af et instituts anmodning om disse regler. Navnlig er det, når sådanne reduktionsteknikker har form af forsikring, nødvendigt at sikre, at en sådan forsikring leveres af forsikringsselskaber med tilladelse i Unionen eller i jurisdiktioner med reguleringsmæssige standarder for forsikringsselskaber, der er ækvivalente med Unionens.

(16)

Hvis risikoreduktionsteknikkerne har form af andre risikooverførselsmekanismer end forsikring, bør de kompetente myndigheder sikre, at mekanismerne rent faktisk anvendes til risikooverførsel og ikke til at omgå AMA-kapitalgrundlagskravene. Denne betingelse er væsentlig, eftersom der i forbindelse med operationel risiko gælder det særlige, at der ikke findes klare underliggende referenceaktiver, og at uventede tab spiller en større rolle end ved andre typer risiko. Dette gælder så meget desto mere på grund af manglen på et effektivt, likvidt og struktureret marked for »produkter« til afdækning af operationel risiko, som hidtil er blevet handlet uden for banksektoren, herunder katastrofeobligationer og vejrderivater. Endelig er det ofte forbundet med store vanskeligheder at vurdere den juridiske risiko ved sådanne mekanismer, selv når vilkår og betingelser for sådanne kontrakter er fastlagt klart og omhyggeligt.

(17)

For at sikre en gnidningsløs overgang for institutter, som allerede har tilladelse til at anvende AMA'en eller har anmodet om tilladelse til at anvende AMA'en før denne forordnings ikrafttrædelse, bør det fastsættes, at de kompetente myndigheder først anvender denne forordning med henblik på vurderingen af disse institutters AMA'er efter en vis overgangsperiode. Eftersom det regelmæssige tilsyn med AMA'en, der er omhandlet i artikel 101, stk. 1, i direktiv 2013/36/EU, sædvanligvis udføres årligt, bør nævnte overgangsperiode være på et år regnet fra denne forordnings ikrafttrædelse.

(18)

Institutter, som anvender gaussiske eller normalfordelingslignende fordelinger til konstatering af korrelation inden for deres AMA'er eller dele heraf, bør ikke længere anvende disse i forbindelse med AMA'er, da sådanne antagelser ville indebære haleuafhængighed mellem operationelle risikokategorier og dermed udelukke muligheden for samtidig forekomst af forskellige typer store tab, en antagelse, som hverken er forsigtig eller realistisk. Der bør derfor gives tilstrækkelig tid til at sikre disse institutters gnidningsløse overgang til en ny ordning, hvor der inden for målingssystemet for operationel risiko indføres mere forsigtige antagelser, som indebærer positiv haleafhængighed. Da implementeringen af disse antagelser kan kræve ændring af nogle af AMA-rammens centrale elementer og de tilknyttede procedurer, vil det være passende at fastsætte nævnte overgang til to år.

(19)

Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som Den Europæiske Banktilsynsmyndighed har forelagt Kommissionen.

(20)

Den Europæiske Banktilsynsmyndighed har afholdt åbne offentlige høringer om nævnte udkast til reguleringsmæssige tekniske standarder, analyseret de potentielle omkostninger og fordele i forbindelse hermed samt anmodet interessentgruppen for banker, der er nedsat i henhold artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (4), om en udtalelse —

VEDTAGET DENNE FORORDNING:

KAPITEL 1

ALMINDELIGE BESTEMMELSER

Artikel 1

Vurdering af avancerede målemetoder

1.   Den vurdering, som de kompetente myndigheder skal foretage, når de giver et institut tilladelse til at anvende avancerede målemetoder (AMA'er), skal bekræfte, at:

a)

elementerne i artikel 3-6 er opfyldt

b)

kapital 2 og 3 er opfyldt

c)

kapitel 4 er opfyldt, hvis instituttet har indført forsikring og andre af de heri omhandlede risikooverførselsmekanismer.

2.   De kompetente myndigheder tager hensyn til kapital 1-4 i forbindelse med:

a)

en vurdering af væsentligheden af udvidelser og ændringer af den AMA, som et institut anvender

b)

en vurdering af planen for trinvis gennemførelse af den AMA, som et institut anvender

c)

en vurdering af et instituts tilbagevenden til at anvende mindre avancerede metoder i henhold til artikel 313 i forordning (EU) nr. 575/2013

d)

de løbende gennemgange af en AMA, som et institut anvender.

Artikel 2

Definitioner

I denne delegerede retsakt forstås ved:

1)   »body-tail-tærskel«: den tabsværdi, som markerer overgangen mellem tabsfordelingernes »body« og »tail« (hale)

2)   »beregningsdatasæt«: den del af et sæt af faktiske eller konstruerede data, som opfylder de nødvendige betingelser for at kunne anvendes som input i målingssystemet for operationel risiko

3)   »dataindsamlingstærskel«: den tabsværdi, fra hvilken et institut identificerer og indsamler operationelle tab i styrings- og målingsøjemed

4)   »bogføringsdato«: det tidspunkt, hvor et tab eller en hensættelse til en operationel hændelse første gang indregnes i resultatet

5)   »minimumstærskel for modellering«: den tabsværdi, fra hvilken der til operationelle tab bestemmes fordelinger af hyppighed og størrelse, enten empirisk eller parametrisk

6)   »bruttotab« eller »tab«: det tab, der hidrører fra en operationel hændelse, før tabsgenopretning af nogen art

7)   »forsømmelseshændelse«: den operationelle hændelse, der skyldes en forsømmelse, som begås forsætligt eller uagtsomt, herunder uhensigtsmæssig levering af finansielle tjenesteydelser

8)   »operationel risikokategori«: det niveau i form af eksempelvis hændelsestype og forretningsområde, på hvilket der i et instituts målingssystem for operationel risiko bestemmes separate fordelinger af hyppighed og størrelse

9)   »operationel risikoprofil«: et instituts aktuelle og potentielle operationelle risiko udtrykt i absolutte tal på et givet tidspunkt

10)   »operationel risikotolerance«: et instituts fremadrettede vurdering, udtrykt i absolutte tal, af det aggregerede niveau for operationel risiko samt de typer af operationel risiko, som instituttet er villig eller parat til at pådrage sig, og som ikke vil bringe dets strategiske mål og forretningsplan i fare

11)   »tabsgenopretning«: en hændelse i tilknytning til det oprindelige tab, som er uafhængig af dette og tidsmæssigt adskilt, og i hvilken midler eller tilgang af økonomiske fordele modtages fra første- eller tredjepart

12)   »risikomål«: et enkelt statistisk udtryk for operationel risiko afledt af den aggregerede tabsfordeling ved det ønskede konfidensniveau, herunder Value-at-Risk (VaR) eller shortfallmål (f.eks. expected shortfall, median shortfall)

13)   »livscyklus for systemudvikling«: den proces, som består i planlægning, udformning, afprøvning og implementering af en IT-infrastruktur

14)   »tidsforskudt tab«: den negative økonomiske virkning, som bogføres i en regnskabsperiode, og som skyldes en operationel hændelse, som påvirker tidligere regnskabsperioders pengestrømme eller regnskaber.

Artikel 3

Operationelle hændelser, som er relateret til juridisk risiko

1.   De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til juridisk risiko, med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, idet de som minimum kontrollerer følgende:

a)

at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes hændelser, der fører til retssager, herunder som minimum:

i)

en undladelse af at handle, hvor en sådan handling er nødvendig for at efterkomme en retsregel

ii)

en handling, som har til formål at undgå at efterkomme en retsregel

iii)

forsømmelseshændelser

b)

at instituttet klart identificerer og klassificerer sådanne tab eller andre udgifter som operationel risiko, som skyldes frivillige handlinger med det formål at undgå eller reducere juridisk risiko hidrørende fra operationelle hændelser, herunder refusioner eller prisnedslag vedrørende fremtidige tjenesteydelser, som frivilligt tilbydes kunder i tilfælde, hvor sådanne refusioner ikke tilbydes som følge af kundeklager

c)

at instituttet klart identificerer og klassificerer sådanne tab som operationel risiko, som skyldes fejl og udeladelser i kontrakter og dokumentation

d)

at instituttet ikke klassificerer følgende som operationel risiko:

i)

refusioner til tredjepart eller ansatte samt betaling for goodwill som følge af forretningsmuligheder, hvis der ikke har fundet overtrædelse af regler eller etisk adfærd sted, og hvis instituttet rettidigt har opfyldt sine forpligtelser

ii)

eksterne juridiske omkostninger, hvis den underliggende hændelse ikke er en operationel hændelse.

Med henblik på litra a) anses retssager for at være alle former for tvistbilæggelse, herunder såvel retslig som udenretslig bilæggelse.

2.   Med henblik på denne artikel omfatter retsregler som minimum:

a)

krav, der udspringer af nationale eller internationale forvaltnings- eller lovbestemmelser

b)

krav, der udspringer af kontraktlige aftaler, interne regler og adfærdskodekser, som er i overensstemmelse med nationale og internationale normer og praksisser

c)

etiske regler.

Artikel 4

Operationelle hændelser, som er relateret til modelrisiko

De kompetente myndigheder bekræfter følgende ved vurderingen af, om et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til modelrisiko som defineret i artikel 3, stk. 1, nr. 11), i direktiv 2013/36/EU, med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav:

a)

at mindst følgende hændelser, og de tilknyttede tab, hidrørende fra modeller, som anvendes til beslutningstagning, klassificeres som operationel risiko:

i)

ukorrekt definition af en udvalgt model og dens egenskaber

ii)

utilstrækkelig verifikation af en udvalgt models egnethed til det finansielle instrument, der skal vurderes, eller det produkt, der skal prissættes, eller af dens egnethed til de gældende markedsvilkår

iii)

fejl i implementeringen af en udvalgt model

iv)

ukorrekte mark-to-market-værdiansættelser og ukorrekt risikomåling som følge af fejl ved indlæggelsen af en handel i handelssystemet

v)

anvendelse af en udvalgt model eller dens output til et formål, som den ikke er beregnet eller udformet til, herunder manipulation af modelparametrene

vi)

utidig og ineffektiv overvågning af modelfunktionen for at bekræfte modellens fortsatte formålstjenlighed

b)

at hændelser relateret til undervurdering af kapitalgrundlagskrav i interne modeller, som de kompetente myndigheder har givet tilladelse til, ikke medtages ved identifikationen, indsamlingen og behandlingen af data om operationelle hændelser og operationelle tab, som er relateret til modelrisiko.

Artikel 5

Operationelle hændelser, som er retaleret til finansielle transaktioner, herunder sådanne, som er relateret til markedsrisiko

Ved vurderingen af, om et institut identificerer, indsamler og behandler data om operationelle hændelser og operationelle tab, som er relateret til finansielle transaktioner og markedsrisiko, med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, bekræfter de kompetente myndigheder, at som minimum følgende hændelser, og de tilknyttede tab, klassificeres som operationel risiko:

a)

hændelser, som skyldes operationelle fejl og inputfejl, herunder:

i)

svigt og fejl ved indgivelsen eller udførelsen af ordrer

ii)

tab af data eller misforståelse af datastrømme, som opstår mellem instituttets front office, middle office og back office

iii)

klassifikationsfejl

iv)

ukorrekt specifikation af handler på term sheetet, herunder fejl vedrørende transaktionsbeløb, løbetider og finansielle karakteristika

b)

hændelser, som skyldes interne kontrolsvigt, herunder:

i)

svigt mht. korrekt udførelse af en ordre om at lukke en markedsposition i tilfælde af ugunstige prisbevægelser

ii)

ikke tilladte positioner, som tages ud over det tildelte loft, uanset hvilken risikotype de vedrører

c)

hændelser, som skyldes utilstrækkelig datakvalitet og manglende rådighed over IT-miljø, herunder teknisk markedsutilgængelighed og dermed manglende mulighed for at lukke kontrakter.

Artikel 6

Kvalitet og mulighed for revision af dokumentation

1.   De kompetente myndigheder kontrollerer kvaliteten af dokumentationen vedrørende den AMA, som et institut anvender, idet de som minimum bekræfter følgende:

a)

at dokumentationen er godkendt på det relevante ledelsesniveau i instituttet

b)

at de politikker, som instituttet har indført, omfatter standarder, som kan sikre en høj kvalitet af den interne dokumentation, bl.a. et særligt ansvar for at sikre, at dokumentationen er fuldstændig, konsistent, nøjagtig, opdateret, godkendt og sikker

c)

at som minimum følgende oplysninger fremgår af layoutet på dokumentationen i de i litra b) omhandlede politikker:

i)

dokumenttype

ii)

ophavsmand

iii)

undersøger

iv)

befuldmægtiget og ejer

v)

dato for udarbejdelse og godkendelse

vi)

versionsnummer

vii)

tidligere ændringer af dokumentet

d)

at instituttet grundigt dokumenterer sine politikker, procedurer og metoder.

2.   De kompetente myndigheder kontrollerer muligheden for revision af dokumentationen vedrørende den AMA, som et institut anvender, idet de som minimum bekræfter følgende:

a)

at dokumentationen er tilstrækkelig detaljeret og nøjagtig til, at tredjepart kan undersøge AMA'en, herunder:

i)

forstå tankegangen og procedurerne bag dens udvikling

ii)

forstå målingssystemet for operationel risiko — med det formål at fastslå, hvordan AMA-kapitalgrundlagskravene fungerer — samt dets begrænsninger og centrale antagelser og kunne reproducere modeludviklingen.

KAPITEL 2

KVALITATIVE STANDARDER

AFDELING 1

Ledelse

Artikel 7

Operationel risikostyring

1.   De kompetente myndigheder vurderer effektiviteten af et instituts AMA-ramme i henseende til ledelse og styring af operationel risiko og vurderer tillige, om instituttet har en klar organisationsstruktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, idet de som minimum bekræfter følgende:

a)

at instituttets ledelsesorgan drøfter og godkender ledelsen af den operationelle risiko, den operationelle risikostyring og målingssystemet for operationel risiko

b)

at instituttets ledelsesorgan klart definerer og fastlægger følgende som minimum på årsbasis:

i)

instituttets operationelle risikotolerance

ii)

instituttets skriftlige erklæring om den operationelle risikotolerance vedrørende det aggregerede niveau for operationelle tab samt de hændelsestyper, med både kvalitative og kvantitative mål inkl. tærskler og begrænsninger baseret på mål for operationelle tab, som instituttet er villig eller parat til at pådrage sig for at nå sine strategiske mål og sin forretningsplan — og sikrer sig, at denne er tilgængelig og forstået i hele organisationen

c)

at instituttets ledelsesorgan løbende overvåger instituttets overholdelse af den erklæring om den operationelle risikotolerance, der er omhandlet i litra b), nr. ii)

d)

at instituttet anvender en løbende operationel risikostyring for at identificere, vurdere, måle, overvåge og rapportere operationel risiko, herunder forsømmelseshændelser, og kan identificere de medarbejdere, der er ansvarlige for den operationelle risikostyring

e)

at de oplysninger, som den i litra d) omhandlede styring giver anledning til, formidles til de relevante udvalg og udøvende organer i instituttet, og at de beslutninger, som træffes i disse udvalg, kommunikeres til de medarbejdere i instituttet, som er ansvarlige for henholdsvis indsamling, kontrol, overvågning og styring af operationel risiko samt håndtering af aktiviteter, som giver anledning til operationel risiko

f)

at instituttet vurderer effektiviteten af sin ledelse af den operationelle risiko, sin operationelle risikostyring og sit målingssystem for operationel risiko som minimum på årsbasis

g)

at instituttet underretter den relevante kompetente myndighed om resultaterne af den vurdering, der er omhandlet i litra f), som minimum på årsbasis.

2.   Med henblik på den vurdering, der er omhandlet i stk. 1, tager de kompetente myndigheder hensyn til virkningen af den struktur, der er etableret til ledelse af den operationelle risiko, på institutmedarbejdernes engagement i styringen af og kulturen vedrørende den operationelle risiko, herunder som minimum til følgende:

a)

graden af opmærksomhed hos instituttets medarbejdere på politikker og procedurer for operationel risiko

b)

instituttets interne processer i forbindelse med kritiske eftersyn af AMA-rammens udformning og effektivitet.

Artikel 8

Uafhængig operationel risikostyringsfunktion

1.   De kompetente myndigheder vurderer den operationelle risikostyringsfunktions uafhængighed af instituttets forretningsenheder, idet de som minimum bekræfter følgende:

a)

at den operationelle risikostyringsfunktion varetager følgende opgaver adskilt fra instituttets forretningsområder:

i)

udformning, udvikling, implementering og vedligeholdelse samt kontrol af den operationelle risikostyring og målingssystemet for operationel risiko

ii)

analyse af den operationelle risiko, der er forbundet med indførelse og udvikling af nye produkter, markeder, forretningsområder, processer og systemer samt vigtige ændringer af eksisterende produkter

iii)

kontrol af forretningsaktiviteter, som kan give anledning til en operationel eksponering, som kunne overskride instituttets risikotolerance

b)

at den operationelle risikostyringsfunktion er genstand for et passende engagement fra ledelsesorganets og den daglige ledelses side og har en passende styrke inden for organisationen, som muliggør udførelse af dens opgaver

c)

at den operationelle risikostyringsfunktion ikke også er ansvarlig for den interne revisionsfunktion

d)

at lederen af den operationelle risikostyringsfunktion som minimum opfylder følgende krav:

i)

en passende erfaringsbaggrund til at lede den nuværende og potentielle operationelle risiko, jf. den operationelle risikoprofil

ii)

regelmæssig kommunikation med ledelsesorganet og dets udvalg, jf. instituttets risikostyringsstruktur

iii)

aktiv deltagelse ved udarbejdelsen af instituttets operationelle risikotolerance og strategien for styring og reduktion af dets operationelle risiko

iv)

uafhængighed af de operationelle enheder og funktioner, som den operationelle risikostyringsfunktion gennemgår

v)

tildeling af et budget til den operationelle risikostyringsfunktion gennem lederen af risikostyringsfunktionen som omhandlet i artikel 76, stk. 5, fjerde afsnit, i direktiv 2013/36/EU eller et medlem af ledelsesorganet i en tilsynsfunktion og ikke gennem en forretningsenhed eller en udøvende funktion.

Artikel 9

Den daglige ledelses deltagelse

De kompetente myndigheder vurderer, i hvilket omfang et instituts daglige ledelse deltager, idet de som minimum bekræfter følgende:

a)

at den daglige ledelse er ansvarlig for gennemførelse af den ledelses- og styringsramme for operationel risiko, som ledelsesorganet har godkendt

b)

at ledelsesorganet har givet den daglige ledelse beføjelse til at udvikle politikker, processer og procedurer til styring af operationel risiko

c)

at den daglige ledelse gennemfører de politikker, processer og procedurer til styring af operationel risiko, der er omhandlet i litra b).

Artikel 10

Rapportering

De kompetente myndigheder vurderer, om rapporteringen vedrørende et instituts operationelle risikoprofil og styring af operationel risiko er tilstrækkeligt regelmæssig, rettidig og stabil, idet de som minimum bekræfter følgende:

a)

at problemer vedrørende instituttets rapporteringssystemer og interne kontroller identificeres hurtigt og præcist

b)

at instituttets operationelle risikorapporter fordeles til relevante ledelsesniveauer samt de områder af instituttet, som i rapporterne er identificeret som problematiske områder

c)

at instituttets daglige ledelse som minimum kvartalsvis modtager rapporter vedrørende den seneste status for instituttets operationelle risikoprofil og anvender disse rapporter i beslutningsprocessen

d)

at instituttets operationelle risikorapporter indeholder oplysninger, som er relevante for styringen, og som minimum en overordnet sammenfatning af instituttets og de relevante datterselskabers og forretningsenheders vigtigste operationelle risici

e)

at instituttet anvender ad hoc-rapporter i tilfælde af mangler ved politikkerne, processerne og procedurerne til styring af operationel risiko for hurtigt at afsløre og rette op på disse mangler og dermed reducere den potentielle hyppighed og størrelse af en tabshændelse væsentligt.

AFDELING 2

Brugstest

Artikel 11

Anvendelse af AMA'en

De kompetente myndigheder vurderer, om et institut anvender AMA'en til interne formål, idet de som minimum bekræfter følgende:

a)

at instituttets målingssystem for operationel risiko anvendes til styring af operationelle risici på tværs af forskellige forretningsområder, forretningsenheder eller juridiske enheder inden for organisationsstrukturen

b)

at målingssystemet for operationel risiko er indlejret i de forskellige enheder i koncernen, hvor det anvendes på konsolideret niveau, at moderinstituttets AMA-ramme er udvidet til datterselskaberne, og at disse datterselskabers operationelle risiko og forretningspraksis og interne kontrolfaktorer som omhandlet i artikel 322, stk. 1 og 6, i forordning (EU) nr. 575/2013 indgår i AMA-beregningerne for koncernen

c)

at målingssystemet for operationel risiko også anvendes med henblik på instituttets proces til vurdering af den interne kapital som omhandlet i artikel 73 i direktiv 2013/36/EU.

Artikel 12

Løbende integration af AMA'en

De kompetente myndigheder vurderer, om et institut sikrer den løbende integration af sit operationelle risikostyringssystem i sin daglige risikostyring, idet de som minimum bekræfter følgende:

a)

at målingssystemet for operationel risiko opdateres regelmæssigt og videreudvikles, i takt med at der opnås et større erfaringsgrundlag og en mere avanceret viden inden for styring og kvantificering af operationel risiko

b)

at typen og afbalanceringen af input i målingssystemet for operationel risiko er relevant og til enhver tid afspejler arten af instituttets forretningsaktiviteter, strategi, organisation og operationel eksponering.

Artikel 13

AMA'er anvendt til støtte for instituttets styring af operationel risiko

De kompetente myndigheder vurderer, om et institut anvender AMA'en til støtte for sin styring af operationel risiko, idet de som minimum bekræfter følgende:

a)

at målingssystemet for operationel risiko anvendes effektivt til regelmæssig og hurtig rapportering af konsistente oplysninger, som præcist afspejler arten af instituttets forretningsaktiviteter samt dets operationelle risikoprofil.

b)

at instituttet træffer afhjælpende foranstaltninger til forbedring af interne processer efter at have modtaget oplysning om resultater fra målingssystemet for operationel risiko.

Artikel 14

AMA'er anvendt til forbedring af instituttets organisation og kontrol af operationel risiko

De kompetente myndigheder vurderer, om et institut anvender AMA'en til fortsat forbedring af sin organisation og kontrol af operationel risiko, idet de som minimum bekræfter følgende:

a)

at instituttets definition af operationel risikotolerance og dets dertil knyttede styringsmål og -aktiviteter for operationel risiko kommunikeres klart inden for instituttet

b)

at forholdet mellem instituttets forretningsstrategi og dets styring af operationel risiko, herunder med hensyn til godkendelse af nye produkter, systemer og processer, kommunikeres klart inden for instituttet

c)

at målingssystemet for operationel risiko øger gennemskueligheden, risikobevidstheden og ekspertisen med hensyn til styring af operationel risiko og tilskynder til at forbedre styringen af den operationelle risiko i hele instituttet

d)

at input i og output fra målingssystemet for operationel risiko anvendes i forbindelse med relevante beslutninger og planer, herunder i forbindelse med instituttets handlings- og beredskabsplaner og den institutinterne revisions arbejdsplaner foruden instituttets beslutninger om kapitaltildeling og dets forsikringsplaner og budgetafgørelser.

Artikel 15

Sammenligning af AMA'en med mindre avancerede metoder

1.   De kompetente myndigheder vurderer, om der foreligger dokumentation fra et instituts side for stabiliteten og holdbarheden af dets AMA-output, idet de som minimum bekræfter følgende:

a)

at instituttet forud for tilladelsen til at anvende AMA'en beregnede sine kapitalgrundlagskrav i relation til operationel risiko ved anvendelse af såvel AMA'en som den mindre avancerede metode, der tidligere var gældende for instituttet, og at nævnte beregning:

i)

blev foretaget forholdsvis regelmæssigt og mindst kvartalsvis

ii)

idet den omfattede alle juridiske enheder, som ville AMA'en på tidspunktet for den første gennemførelse

iii)

idet den omfattede alle de operationelle risici, som ville blive omfattet af AMA'en på tidspunktet for den første gennemførelse

b)

at instituttet som minimum opfylder følgende:

i)

den operationelle risikostyring og målingssystemet for operationel risiko er udviklet og afprøvet

ii)

eventuelle problemer er løst, og systemet og ledsagende processer er finjusteret

iii)

det har sikret, at målingssystemet for operationel risiko genererer resultater, som er i overensstemmelse med instituttets forventninger, bl.a. under hensyntagen til oplysninger fra både instituttets nuværende og tidligere systemer

iv)

det har godtgjort, at det hurtigt kan ændre modelparametre for at forstå virkningen af ændrede antagelser med minimale systemtilpasninger eller manuelle indgreb

v)

det er i stand til at foretage passende kapitalmæssige justeringer af kapitalgrundlagskravene før første anvendelse af AMA'en

vi)

det har over en periode af rimelig længde dokumenteret, at de nye systemer og rapporteringsprocesser er stabile og genererer oplysninger, som instituttet kan anvende til at identificere og styre operationel risiko.

Med henblik på litra a) skal vurderingen af den foretagne beregning dække mindst to på hinanden følgende kvartaler.

2.   De kompetente myndigheder kan give tilladelse til at anvende AMA'en, hvis instituttet i en periode på et år efter at tilladelsen er givet dokumenterer, at det løbende sammenligner beregningen af sine kapitalgrundlagskrav i relation til operationel risiko ved anvendelse af henholdsvis AMA'en og den mindre avancerede metode, der tidligere var gældende for instituttet.

AFDELING 3

Revision og intern validering

Artikel 16

Revisions- og interne valideringsfunktioner

1.   De kompetente myndigheder vurderer, i hvilket omfang et instituts revisions- og interne valideringsfunktioner bekræfter, at den styring og måling af operationel risiko, som er gennemført til AMA-formål, er pålidelig og effektiv i relation til styring og måling af operationel risiko inden for organisationen, idet de som minimum kontrollerer følgende:

a)

at den interne valideringsfunktion fremkommer med en begrundet og velunderbygget vurdering af, om målingssystemet for operationel risiko fungerer som planlagt, og at modelresultatet er egnet til de forskellige interne formål og tilsynsformål, som minimum på årsbasis

b)

at revisionsfunktionen som minimum på årsbasis kontrollerer integriteten af politikker, processer og procedurer for operationel risiko og vurderer, om disse opfylder lovpligtige krav og fastlagte kontroller, og navnlig at revisionsfunktionen vurderer kvaliteten af de kilder og data, der er anvendt i forbindelse med styring og måling af operationel risiko

c)

at revisionsfunktionen og den interne valideringsfunktion har indført et program for gennemgang, som dækker alle aspekter af AMA'en, som er omhandlet i denne forordning, og regelmæssigt opdateres med hensyn til:

i)

udviklingen af interne processer til identifikation, måling, vurdering, overvågning, kontrol og reduktion af operationel risiko

ii)

indførelsen af nye produkter, processer og systemer, som eksponerer instituttet mod væsentlig operationel risiko

d)

at den interne validering gennemføres af kvalificerede ressourcer, som er uafhængige af de validerede enheder

e)

hvis der udføres revisionsaktiviteter af interne eller eksterne revisionsfunktioner eller kvalificerede eksterne parter, at disse er uafhængige af den proces eller af det system, som revideres, og i tilfælde af outsourcing, at instituttets ledelsesorgan og daglige ledelse stadig er ansvarlige for at sikre, at outsourcede funktioner udføres i overensstemmelse med instituttets godkendte revisionsplan

f)

at revisionsfunktionens og den interne valideringsfunktions gennemgange af AMA-rammen dokumenteres behørigt, og at deres output fordeles til relevante modtagere inden for instituttet, herunder i givet fald risikoudvalgene, den operationelle risikostyringsfunktion, ledelsen af forretningsområder og andre relevante medarbejdere

g)

at resultaterne af revisionsfunktionens og den interne valideringsfunktions gennemgange sammenfattes og som minimum på årsbasis rapporteres til instituttets ledelsesorgan eller et hertil udpeget udvalg til godkendelse

h)

at gennemgang og godkendelse af effektiviteten af instituttets AMA-ramme som minimum foretages på årsbasis.

Artikel 17

Ledelse af revisions- og interne valideringsfunktioner

De kompetente myndigheder vurderer, om ledelsen af et instituts revisions- og interne valideringsfunktioner er af høj kvalitet, idet de som minimum bekræfter følgende:

a)

at revisionsprogrammer til gennemgang af AMA-rammen dækker alle væsentlige aktiviteter, som kan eksponere instituttet mod væsentlig operationel risiko, herunder outsourcede aktiviteter

b)

at de interne valideringsmetoder er forholdsmæssige set i lyset af ændrede markeds- og driftsvilkår, og at resultaterne er underlagt revisionsgennemgang

AFDELING 4

Datakvalitet og IT-infrastruktur

Artikel 18

Datakvalitet

1.   De kompetente myndigheder vurderer, i hvilket omfang kvaliteten af de data, som et institut anvender i AMA-rammen, vedligeholdes, og om instituttet regelmæssigt analyserer procedurerne for sammenstilling og vedligeholdelse, idet de kontrollerer, at instituttet som minimum råder over følgende datasæt:

a)

data til sammenstilling og sporing af sin operationelle risikohistorik bestående af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer

b)

komplementære data, herunder modelparametre, modeloutput og rapporter.

2.   Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet har defineret passende datakvalitetsdimensioner for effektivt at understøtte sin operationelle risikostyring og sit målingssystem, og at det regelmæssigt opfylder de fastsatte dimensioner.

3.   Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttets datakvalitetsdimensioner som minimum opfylder følgende betingelser:

a)

de er tilstrækkeligt bredde, dybe og rummelige til den foreliggende opgave

b)

de opfylder aktuelle og potentielle brugerbehov

c)

de opdateres hurtigt

d)

de er passende for og konsistente med deres anvendelsesomfang

e)

de afspejler på en nøjagtig måde det reale fænomen, som det er hensigten, at de skal repræsentere

f)

de overtræder ikke nogen forretningsregler i en database, som skal vedligeholdes statistisk og dynamisk.

4.   Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet har relevant dokumentation for udformning og vedligeholdelse af de databaser, der benyttes i instituttets AMA-ramme, og at dokumentationen som minimum indeholder følgende:

a)

en samlet oversigt over databaser, som indgår i målingssystemet for operationel risiko, med beskrivelser

b)

en datapolitik og en forfatterangivelse

c)

beskrivelser af arbejdsstrømme og procedurer vedrørende indsamling og lagring af data

d)

en redegørelse for svagheder omfattende alle de svagheder ved validerings- og gennemgangsprocesserne, som er identificeret i databaserne, samt en redegørelse for, hvordan instituttet planlægger at udbedre eller reducere de identificerede svagheder.

5.   De kompetente myndigheder bekræfter, at politikkerne vedrørende livscyklussen for systemudvikling i forbindelse med AMA'er er godkendt af instituttets ledelsesorgan og daglige ledelse.

6.   Hvis instituttet anvender eksterne datakilder, sikrer det, at bestemmelserne i denne artikel er opfyldt.

Artikel 19

Tilsynsvurdering af IT-infrastruktur

1.   De kompetente myndigheder vurderer, i hvilket omfang et institut sikrer sikkerheden, stabiliteten og ydeevnen af den IT-infrastruktur, der anvendes til AMA-formål, idet de som minimum bekræfter følgende:

a)

at instituttets IT-systemer og -infrastruktur til AMA-formål er sikre og modstandsdygtige, og at disse egenskaber løbende kan opretholdes

b)

at livscyklussen for systemudvikling til AMA-formål er sikker og velegnet med henvisning til:

i)

projektstyring, risikostyring og ledelse

ii)

engineering, kvalitetssikring og afprøvningsplanlægning

iii)

modellering og udvikling af systemer

iv)

kvalitetssikring i alle aktiviteter, herunder kodegennemgang og om nødvendigt kodeverifikation

v)

afprøvning, herunder brugergodkendelse

c)

at den IT-infrastruktur i instituttet, der er implementeret til AMA-formål, er underlagt konfigurationsstyrings-, forandringsledelses- og frigivelsesstyringsprocesser

d)

at livscyklussen for systemudvikling samt beredskabsplanerne til AMA-formål er godkendt af instituttets ledelsesorgan eller daglige ledelse, og at ledelsesorganet og den daglige ledelse periodisk modtager oplysninger om IT-infrastrukturens ydeevne med henblik på AMA'er.

2.   Hvis instituttet outsourcer dele af vedligeholdelsen af IT-infrastrukturen til AMA-formål, sikrer det, at bestemmelserne i denne artikel er opfyldt.

KAPITEL 3

KVANTITATIVE STANDARDER

AFDELING 1

Anvendelse af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer (»de fire elementer«)

Artikel 20

Generelle principper

De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende anvendelsen af interne og eksterne data, scenarieanalyse samt forretningspraksis og interne kontrolfaktorer (»de fire elementer«) som omhandlet i artikel 322 i forordning (EU) nr. 575/2013, idet de som minimum kontrollerer følgende:

a)

at instituttet råder over intern dokumentation med nærmere oplysninger om, hvordan de fire elementer indsamles, kombineres og/eller vægtes, herunder en beskrivelse af modelleringsprocessen, som illustrerer anvendelsen og kombinationen af de fire elementer, samt af begrundelsen for valgene i forbindelse med modelleringen

b)

at instituttet har en klar forståelse af, hvordan hvert af de fire elementer påvirker AMA-kapitalgrundlagskravene

c)

at den kombination af de fire elementer, som instituttet anvender, er baseret på en sikker statistisk metode, som tillader bestemmelse af høje percentiler

d)

at instituttet i forbindelse med, at de fire elementer indsamles, genereres og behandles, som minimum anvender følgende:

i)

kriterierne i artikel 21-24 vedrørende interne data

ii)

kriterierne i artikel 25 vedrørende eksterne data

iii)

kriterierne i artikel 26 vedrørende scenarieanalyse

iv)

kriterierne i artikel 27 vedrørende forretningspraksis og interne kontrolfaktorer.

UNDERAFDELING 1

Interne data

Artikel 21

Interne datakarakteristika

De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende interne datakarakteristika, jf. artikel 20, litra d), nr. i), idet de som minimum kontrollerer følgende:

a)

at instituttet indsamler alle de følgende elementer inden for koncernen på en klar og konsistent måde:

i)

det bruttotab, som er forårsaget af operationelle hændelser

ii)

tabsgenopretningen

b)

at instituttet er i stand til særskilt at identificere bruttotabet, tabsgenopretningen fra forsikring og andre risikooverførselsmekanismer samt tabsgenopretningen fra andet end forsikring og andre risikooverførselsmekanismer efter en operationel hændelse, undtagen for tab, som genoprettes helt eller delvist inden for fem arbejdsdage

c)

at instituttet gennemfører et system til definition og begrundelse af hensigtsmæssige dataindsamlingstærskler baseret på bruttotabet

d)

at den operationelle risikokategori er hensigtsmæssig og ikke udelader tabsdata, som er væsentlige for effektiv måling af operationel risiko og effektiv risikostyring

e)

at instituttet for hvert enkelt tab som minimum kan identificere og registrere følgende elementer i sin interne database:

i)

dato for forekomst af den operationelle hændelse eller for dennes start, hvis dette foreligger

ii)

dato for konstatering af den operationelle hændelse

iii)

bogføringsdato.

Artikel 22

Afgrænsning af operationelle tab

1.   De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler tabsposter forårsaget af en operationel hændelse, jf. artikel 20, litra d), nr. i), idet de kontrollerer, at instituttet som minimum medregner følgende i afgrænsningen af det operationelle tab med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav:

a)

direkte omkostninger indregnet i resultatopgørelsen, herunder omkostninger i forbindelse med værdiforringelse og afviklingsomkostninger, samt nedskrivninger som følge af den operationelle hændelse

b)

påløbne omkostninger som følge af den operationelle hændelse, herunder:

i)

eksterne udgifter med direkte tilknytning til den operationelle hændelse, herunder juridiske omkostninger og betalinger til rådgivere, advokater eller leverandører

ii)

reparations- eller erstatningsomkostninger til genetablering af den tilstand, der var gældende før den operationelle hændelse, enten i form af præcise tal eller, hvis sådanne ikke foreligger, skøn

c)

hensættelser eller reserver indregnet i resultatopgørelsen til mulige operationelle tab, herunder som følge af forsømmelseshændelser

d)

afventende tab i form af tab som følge af en operationel hændelse, som midlertidigt er opført på overgangs- eller interimskonti og endnu ikke afspejles i resultatet, og som planlægges indregnet inden for en periode, som afspejler postens størrelse og alder

e)

væsentlige ikkeopkrævede indtægter vedrørende kontraktlige forpligtelser over for tredjepart, herunder afgørelsen om efter en operationel hændelse at kompensere en kunde indtægtsmæssigt gennem fritagelse for eller nedsættelse af kontraktlige udgifter i en bestemt fremtidig periode frem for ved godtgørelse eller direkte betaling

f)

tidsforskudte tab, som spænder over mere end et regnskabsår og giver anledning til juridisk risiko.

2.   Med henblik på stk. 1 kan de kompetente myndigheder, hvis det er relevant, bekræfte, at instituttet med henblik på styring af operationel risiko identificerer, indsamler og behandler eventuelle supplerende poster, hvis de hidrører fra en væsentlig operationel hændelse, herunder følgende:

a)

en nærvedhændelse i form af et nultab forårsaget af en operationel hændelse, herunder en IT-afbrydelse i handelslokalerne lige uden for åbningstiden

b)

en fortjeneste forårsaget af en operationel hændelse

c)

offeromkostninger i form af en stigning i omkostninger eller et fald i indtægter på grund af operationelle hændelser, som forhindrer gennemførelse af ubestemte fremtidige forretninger, herunder ikkebudgetterede personaleomkostninger, mistede indtægter og projektomkostninger vedrørende forbedring af processer

d)

interne omkostninger, herunder overtidsbetaling eller bonusser.

3.   Med henblik på stk. 1 bekræfter de kompetente myndigheder tillige, at instituttet udelukker følgende poster fra afgrænsningen af det operationelle tab:

a)

omkostninger til generelle vedligeholdelseskontrakter vedrørende materielle anlægsaktiver

b)

interne eller eksterne udgifter til fremme af forretningsaktiviteterne efter en operationel hændelse, bl.a. opgraderinger, forbedringer, risikovurderingsinitiativer og udvidelser

c)

forsikringspræmier.

Artikel 23

Registrerede tab på de operationelle poster

1.   De kompetente myndigheder bekræfter, at et institut registrerer de tab, der forårsages af en operationel hændelse, jf. artikel 20, litra d), nr. i), idet de som minimum kontrollerer følgende:

a)

at hele det påløbne tab eller de påløbne udgifter, herunder hensættelser, afviklingsomkostninger, beløb betalt for at råde bod på skader, bøder, morarenter og juridiske omkostninger, betragtes som registreret tab med henblik på såvel styring af operationel risiko som beregning af AMA-kapitalgrundlagskrav, medmindre andet er anført

b)

hvis den operationelle hændelse er relateret til markedsrisiko, at instituttet indregner omkostninger til lukning af markedspositioner i det registrerede tab på de operationelle poster, og, hvis positionen med vilje holdes åben, efter at den operationelle hændelse er anerkendt, at en eventuel del af tabet, som skyldes vanskelige markedsvilkår opstået efter beslutningen om at holde positionen åben, ikke er indregnet i det registrerede tab på de operationelle poster

c)

hvis skattebetalinger er relateret til svigt eller uhensigtsmæssige processer i instituttet, at dette i det registrerede tab på de operationelle poster indregner de påløbne udgifter som følge af den operationelle hændelse, herunder bøder, renter, omkostninger som følge af for sen betaling og juridiske omkostninger, med undtagelse af det oprindeligt skyldige skattebeløb

d)

hvis der er tidsforskudte tab og den operationelle hændelse direkte vedrører tredjepart, herunder instituttets kunder, leverandører og ansatte, at instituttet i det registrerede tab på de operationelle poster også indregner korrektionen af regnskabet.

2.   Med henblik på stk. 1 skal de kompetente myndigheder anse det for passende, at instituttet, hvis den operationelle hændelse fører til en tabshændelse, som hurtigt genoprettes delvist, i det registrerede tab alene indregner den del af tabet, som ikke hurtigt genoprettes, jf. artikel 21, litra b).

Artikel 24

Operationelle tab, som er relateret til kreditrisiko

1.   De kompetente myndigheder bekræfter, at et institut identificerer, indsamler og behandler operationelle tab, som er relateret til kreditrisiko, jf. artikel 20, litra d), nr. i), idet de kontrollerer, at instituttet som minimum medregner følgende i det operationelle tab med henblik på styring af operationel risiko:

a)

svig, som begås af en af instituttets kunder for egen regning, og som opstår i et kreditprodukt eller en kreditproces i starten af et kreditforholds levetid, herunder tilskyndelse til udlånsbeslutninger baseret på forfalskede dokumenter eller forkerte regnskabsmæssige angivelser, eksempelvis manglende eller overvurderet sikkerhed og forfalskede lønerklæringer

b)

svig, som begås ved hjælp af en anden uvidende persons identitet, herunder lånansøgninger under anvendelse af falsk elektronisk identitet, eksempelvis kundedata eller fiktive identiteter, eller svigagtig anvendelse af kunders kreditkort.

2.   Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttets som minimum træffer følgende foranstaltninger:

a)

tilpasser dataindsamlingstærsklen vedrørende de tabshændelser, der er beskrevet i stk. 1, opad til et niveau, der er sammenligneligt med niveauerne for AMA-rammens øvrige operationelle risikokategorier, hvis det er relevant

b)

indregner det samlede udestående beløb på tidspunktet for eller efter konstatering af svigen og eventuelle tilknyttede udgifter, herunder morarenter og juridiske omkostninger, i bruttotabet for de hændelser, der er beskrevet i stk. 1.

Artikel 25

Eksterne data

De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende eksterne datakarakteristika, jf. artikel 20, litra d), nr. ii), idet de som minimum kontrollerer følgende:

a)

hvis instituttet deltager i konsortiuminitiativer til indsamling af operationelle hændelser og operationelle tab, at instituttet kan levere data af samme kvalitet med hensyn til omfang, integritet og fuldstændighed som interne data, der opfylder de standarder, der er omhandlet i artikel 21-24, og at dette sker i overensstemmelse med de ønsker til datatype, der fremgår af konsortiets rapporteringsstandarder

b)

at instituttet har indført en datafiltreringsproces, som muliggør udvælgelse af relevante eksterne data på grundlag af bestemte fastlagte kriterier, og at de anvendte eksterne er relevante og i overensstemmelse med instituttets risikoprofil

c)

at filtreringsprocessen for at undgå bias i parameterestimaterne indebærer en konsekvent udvælgelse af data uafhængigt af tabet, og, hvis instituttet tillader undtagelser fra denne udvælgelsesproces, at dette har en politik, der præciserer kriterierne for undtagelser, og dokumentation, der kan støtte begrundelen af sådanne undtagelser

d)

hvis instituttet — af hensyn til tilpasningen til sine forretningsaktiviteter, sin art og sin risikoprofil — anvender en dataskaleringsproces, som indebærer tilpasning af tab rapporteret i eksterne data eller dertil knyttede fordelinger, at denne skaleringsproces er systematisk og underbygget statistisk, og at den resulterer i output, der er i overensstemmelse med instituttets risikoprofil

e)

at instituttets skaleringsproces er konsistent over tid, og at dens validitet og effektivitet regelmæssigt gennemgås.

Artikel 26

Scenarieanalyse

1.   De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende scenarieanalyse, jf. artikel 20, litra d), nr. iii), idet de som minimum kontrollerer følgende:

a)

at instituttet har indført en stabil ledelsesramme vedrørende scenarieanalyse, som indebærer troværdige og pålidelige skøn, uanset om scenariet anvendes til at vurdere store hændelser eller den generelle operationelle eksponering

b)

at scenarieprocessen er klart defineret, veldokumenteret, kan gentages og er udformet med henblik på i videst muligt omfang at reducere subjektivitet og forekomst af bias, herunder:

i)

undervurdering af risiko på grund af et lille antal observerede hændelser

ii)

fejlagtig gengivelse af oplysninger på grund af konflikt mellem scenariebedømmeres interesser og vurderingens mål og konsekvenser

iii)

overvurdering af hændelser med tidsmæssig nærhed til scenariebedømmerne

iv)

forvridning af vurderingen på grund af svarkategorier

v)

bias i oplysninger, som gives enten i baggrundsmaterialet til undersøgelsens spørgsmål eller i selve spørgsmålene

c)

at kvalificerede og erfarne formidlere sikrer konsekvens med hensyn til processen

d)

at de antagelser, der er anvendt i scenarieprocessen, i videst mulig udstrækning er baseret på de relevante interne og eksterne data og en objektiv udvælgelse uden bias

e)

at det valgte antal scenarier samt undersøgelsesniveauet eller undersøgelsesenhederne for scenarierne er realistiske og behørigt forklaret, og at skønnene i scenarierne tager hensyn til relevante ændringer i det interne og eksterne miljø, som kan påvirke instituttets operationelle eksponering

f)

at skønnene i scenarierne er genereret under hensyn til potentielle eller sandsynlige operationelle hændelser, som indtil videre ikke, helt eller delvist, har udmøntet sig i et operationelt tab

g)

at scenarieprocessen og estimaterne er underkastet et grundigt kritisk eftersyn og en grundig kontrol.

Artikel 27

Forretningspraksis og interne kontrolfaktorer

De kompetente myndigheder vurderer et instituts opfyldelse af standarderne vedrørende forretningspraksis og interne kontrolfaktorer, jf. artikel 20, litra d), nr. iv), idet de som minimum kontrollerer følgende:

a)

at instituttets forretningspraksis og interne kontrolfaktorer er fremadrettede og afspejler mulige kilder til operationel risiko, herunder hurtig vækst, indførelsen af nye produkter, personaleomsætning og systemudfald

b)

at instituttet har klare retningslinjer, som begrænser omfanget af den reduktion af AMA-kapitalgrundlagskravene, som hidrører fra justeringer af forretningspraksis og interne kontrolfaktorer

c)

at de i litra b) omhandlede justeringer af forretningspraksis og interne kontrolfaktorer er begrundede, og at hensigtsmæssigheden af deres niveau bekræftes af sammenligningen over tid med retningen og omfanget af faktiske interne tabsdata, de vilkår, der er relateret til forretningspraksis, og ændringerne i den validerede kontroleffektivitet.

AFDELING 2

Centrale modelleringsantagelser i tilknytning til målingssystemet for operationel risiko

Artikel 28

Generel vurdering

De kompetente myndigheder vurderer et instituts standarder vedrørende de centrale modelleringsantagelser i tilknytning til målingssystemet for operationel risiko som omhandlet i artikel 322, stk. 2, litra a) og c), i forordning (EU) nr. 575/2013, idet de som minimum kontrollerer følgende:

a)

at instituttet udvikler, gennemfører og vedligeholder et målingssystem for operationel risiko, som er metodisk velfunderet, effektivt med hensyn til at opfange instituttets faktiske og potentielle operationelle risiko og pålideligt og stabilt i relation til generering af lovpligtige AMA-kapitalgrundlagskrav

b)

at instituttet har passende politikker vedrørende sammenstillingen af beregningsdatasættet, jf. artikel 29

c)

at instituttet i sin model anvender et passende granularitetsniveau, jf. artikel 30

d)

at instituttet har indført en hensigtsmæssig proces til identifikation af tabsfordelinger, jf. artikel 31

e)

at instituttet fastlægger de aggregerede tabsfordelinger og risikomål på en hensigtsmæssig måde, jf. artikel 32.

Artikel 29

Sammenstilling af beregningsdatasættet

Med henblik på at vurdere, om et institut har passende politikker vedrørende sammenstillingen af beregningsdatasættet, jf. artikel 28, litra b), bekræfter de kompetente myndigheder som minimum følgende:

a)

at instituttet definerer specifikke kriterier og eksempler vedrørende klassifikation og behandling af operationelle hændelser og operationelle tab inden for beregningsdatasættet, og at sådanne kriterier og eksempler indebærer en konsekvent behandling af tabsdata i hele instituttet

b)

at instituttet ikke anvender tab netto for tabsgenopretning fra forsikring og andre risikooverførselsmekanismer i beregningsdatasættet

c)

at instituttet for operationelle risikokategorier med lav hændelsesfrekvens har indført en observationsperiode, som er længere end det minimum, der er omhandlet i artikel 322, stk. 3, litra a), i forordning (EU) nr. 575/2013

d)

at instituttet under sammenstilling af beregningsdatasættet med henblik på bestemmelse af fordelinger af hyppighed og størrelse alene anvender datoen for konstatering eller bogføringsdatoen og som dato for indregning i beregningsdatasættet af tab eller hensættelser, som er relateret til juridisk risiko, anvender en dato, som ikke ligger senere end bogføringsdatoen

e)

at instituttets valg af minimumstærskel for modellering ikke påvirker nøjagtigheden af målene for operationel risiko negativt, og at anvendelsen af minimumstærskler for modellering, som er meget højere end dataindsamlingstærsklerne, er begrænset og i givet fald behørigt begrundet i en analyse af forskellige tærsklers følsomhed, som instituttet har foretaget

f)

at instituttet i beregningsdatasættet indregner alle operationelle tab over den valgte minimumstærskel for modellering, og at den anvender dem til at generere AMA-kapitalgrundlagskrav uanset deres niveau

g)

at instituttet anvender passende korrektionsfaktorer på data, hvor inflations- eller deflationseffekter er væsentlige

h)

for så vidt angår tab, der opstår på grund af enten en hovedhændelse i form af en fælles operationel hændelse eller flere hændelser knyttet til en oprindelig operationel hændelse, der genererer hændelser eller tab, at instituttet grupperer og indregner disse i beregningsdatasættet som et enkelt tab

i)

at eventuelle mulige undtagelser fra den i litra h) fastsatte behandling dokumenteres og begrundes behørigt for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav

j)

at instituttet ikke fra AMA-beregningsdatasættet udelukker væsentlige justeringer af operationelle tab, som følger af enkeltstående eller forbundne hændelser, hvis referencedatoen for disse justeringer ligger inden for observationsperioden og referencedatoen for den oprindelige enkelte hændelse eller hovedhændelse som omhandlet i litra h) falder uden for en sådan periode

k)

at instituttet for hvert referenceår i observationsperioden kan skelne tab vedrørende hændelser, som er konstateret eller indregnet i det pågældende år, fra tab vedrørende justeringer eller gruppering af hændelser, som er konstateret eller indregnet i tidligere år.

Artikel 30

Granularitet

Med henblik på at vurdere, om et institut anvender et passende granularitetsniveau i sin model, jf. artikel 28, litra c), bekræfter de kompetente myndigheder som minimum følgende:

a)

at instituttet ved gruppering af risici med fælles faktorer og definition af operationelle risikokategorier i forbindelse med en AMA tager hensyn til arten og kompleksiteten og de institutspecifikke elementer af sine forretningsmæssige aktiviteter og de operationelle risici, som det er eksponeret mod

b)

at instituttet begrunder sit valg af granularitetsniveau for sine operationelle risikokategorier på et kvalitativt og kvantitativt grundlag og fastlægger inddelingen af kategorierne for operationel risiko på baggrund af ensartede, uafhængige og stationære data

c)

at instituttets valg af granularitetsniveau for sine operationelle risikokategorier er realistisk og ikke påvirker det forsigtighedsprincip, der gælder for modelresultatet eller dele heraf, negativt

d)

at instituttet regelmæssigt gennemgår valget af granularitetsniveau for sine operationelle risikokategorier for at sikre, at det fortsat er hensigtsmæssigt.

Artikel 31

Identifikation af tabsfordelingerne

Med henblik på at vurdere, om et institut har en hensigtsmæssig proces til identifikation af hyppigheds- og størrelsesfordelinger for tab, jf. artikel 28, litra d), bekræfter de kompetente myndigheder som minimum følgende:

a)

at instituttet følger en veldefineret, veldokumenteret og forståelig proces for udvælgelse, opdatering og gennemgang af tabsfordelinger og estimation af deres parametre

b)

at processen for udvælgelse af tabsfordelingerne medfører konsekvente og klare valg fra instituttets side, opfanger risikoprofilen i halen korrekt og som minimum omfatter følgende elementer:

i)

en proces for anvendelse af statistiske værktøjer, herunder grafer, positions- og variationsmål, skævhed og leptokurtosis til undersøgelse af beregningsdatasættet for hver operationelle risikokategori for bedre at kunne forstå den statistiske profil af data og udvælge den bedst egnede fordeling

ii)

relevante metoder til estimation af fordelingsparametrene

iii)

relevante diagnoseværktøjer til vurdering af fordelingerne af data, idet de værktøjer, som er mest følsomme over for halen, foretrækkes

c)

at instituttet under udvælgelse af en tabsfordeling nøje tager hensyn til positiv skævhed og leptokurtosis i data

d)

at der, hvis data er meget spredte i halen, til estimation af haleregionen ikke anvendes empiriske kurver, men i stedet subeksponentielle fordelinger, hvis hale aftager langsommere end eksponentielle fordelingers, medmindre der foreligger særlige grunde til at anvende andre fordelinger, som under alle omstændigheder skal håndteres korrekt og begrundes fuldt ud for at forhindre uretmæssig reduktion af AMA-kapitalgrundlagskrav

e)

at instituttet, hvis der anvendes separate tabsfordelinger for »body« og »tail«, nøje overvejer valget af body-tail-tærsklen

f)

at der til den udvalgte body-tail-tærskel findes dokumenteret statistisk støtte, eventuelt suppleret med kvalitative elementer

g)

at instituttet under estimation af fordelingens parametre enten drager omsorg for, at beregningsdatasættets ufuldstændighed som følge af forekomsten af minimumstærskler for modellering afspejles i modellen, eller at det begrunder anvendelsen af et ufuldstændigt beregningsdatasæt med, at nøjagtigheden af parameterestimaterne og AMA-kapitalgrundlagskravene ikke derved påvirkes negativt

h)

at instituttet har indført metoder til reduktion af variationen i parameterestimaterne og anvender mål for fejlen omkring disse estimater, herunder konfidensintervaller og p-værdier

i)

hvis instituttet anvender stabile estimatorer i form af generaliseringer af klassiske estimatorer med gode statistiske egenskaber, herunder høj effektivitet og lav bias i hele omegnen af den ukendte underliggende fordeling af data, at dette kan godtgøre, at anvendelsen heraf ikke undervurderer risikoen i halen af tabsfordelingen

j)

at instituttet vurderer goodness-of-fit mellem data og den udvalgte fordeling ved hjælp af diagnoseværktøjer af både grafisk og kvantitativ art, som er mere følsomme over for halen end for resten af fordelingen, navnlig hvis data i halen er meget spredte

k)

hvis det er relevant, herunder hvis diagnoseværktøjerne ikke fører til et entydigt valg med hensyn til den bedst egnede fordeling eller til begrænsning af virkningen af stikprøvestørrelsen og antallet af estimerede parametre i goodness-of-fit-testene, at instituttet anvender evalueringsmetoder, som indebærer en sammenligning af resultaterne for tabsfordelingerne, herunder likelihood ratio, Akaikes informationskriterium og Schwarz-Bayes' kriterium

l)

at instituttet med regelmæssige mellemrum kontrollerer antagelserne bag de udvalgte tabsfordelinger, og at instituttet, hvis antagelser ikke længere er gyldige, herunder hvor de fører til værdier uden for de fastsatte intervaller, har afprøvet alternative metoder og behørigt klassificeret alle ændringer af antagelserne, jf. Kommissionens delegerede forordning (EU) nr. 529/2014 (5).

Artikel 32

Fastlæggelse af de aggregerede tabsfordelinger og risikomål

Med henblik på at vurdere, om et institut fastlægger de aggregerede tabsfordelinger og risikomål på en hensigtsmæssig måde, jf. artikel 28, litra e), bekræfter de kompetente myndigheder som minimum følgende:

a)

at de metoder, som instituttet har udarbejdet til dette formål, sikrer risikomål, som er tilpas præcise og stabile

b)

at risikomålene suppleres med oplysninger om deres nøjagtighed

c)

at instituttet, uanset hvilke metoder der anvendes til aggregering af hyppigheds- og størrelsesfordelinger for tab, herunder Monte Carlo-simulationer, metoder relateret til Fourier-transformationer, Panjers algoritme og single loss-approksimationer, anvender kriterier, som begrænser stikprøvefejl og numeriske fejl og indeholder et mål for størrelsesordenen af disse fejl

d)

hvis der anvendes Monte Carlo-simulationer, at antallet af trin, der skal udføres, er i overensstemmelse med fordelingernes form samt det konfidensniveau, der skal opnås

e)

hvis tabsfordelingen er tykhalet og måles ved et højt konfidensniveau, at antallet af trin er tilstrækkelig stort til at begrænse stikprøvevariation til et acceptabelt niveau

f)

hvis Fourier-transformation eller andre numeriske metoder anvendes, at der nøje tages hensyn til spørgsmål om algoritmestabilitet og spredning af fejl

g)

at instituttets risikomål som genereret af målingssystemet for operationel risiko opfylder monotoniprincippet for risiko, som kommer til udtryk derved, at en stigning i den underliggende risikoprofil medfører højere kapitalgrundlagskrav, og at et fald i den underliggende risikoprofil medfører lavere kapitalgrundlagskrav

h)

at instituttets risikomål som genereret af målingssystemet for operationel risiko er realistisk ser fra et styringsmæssigt og økonomisk synspunkt, og at instituttet desuden anvender passende metoder til at undgå loft over det maksimale enkelttab, medmindre det tydeligt og objektivt begrunder et sådant loft, samt til at undgå slutninger vedrørende ikkeeksistensen af fordelingens første statistiske moment

i)

at instituttet eksplicit evaluerer robustheden af resultater hidrørende fra målingssystemet for operationel risiko ved at udføre relevante følsomhedsanalyser på inputdata eller systemparametre.

AFDELING 3

Forventet tab og korrelation

Artikel 33

Forventet tab

De kompetente myndigheder vurderer et instituts standarder vedrørende forventede tab som omhandlet i artikel 322, stk. 2, litra a), i forordning (EU) nr. 575/2013, idet de bekræfter, at instituttet, såfremt det alene beregner AMA-kapitalgrundlagskravene i relation til uforventede tab, som minimum opfylder følgende krav:

a)

at instituttets metode til bestemmelse af forventede tab er i overensstemmelse med målingssystemet for operationel risiko til bestemmelse af AMA-kapitalgrundlagskrav, som omfatter såvel forventede som uforventede tab, og at bestemmelsen af forventede tab foretages efter operationel risikokategori og er konsistent over tid

b)

at instituttet bestemmer det forventede tab ud fra statistikker, som i mindre grad er påvirket af ekstreme tab, herunder median og trimmet middelværdi, særligt i tilfælde af helt eller delvis tykhalede data

c)

at den maksimale udligning for forventet tab, som instituttet anvender, er begrænset af det samlede forventede tab, og at den maksimale udligning for forventet tab i hver operationel risikokategori er begrænset af det relevante forventede tab ifølge instituttets målingssystem for operationel risiko anvendt på den pågældende kategori

d)

at de udligninger, som instituttet tillader for forventet tab i hver operationelle risikokategori, er kapitalsubstitutter eller på anden måde er til rådighed til dækning af forventet tab over etårsperioden med en høj grad af sikkerhed

e)

at instituttet, hvis udligningen har form af andet end hensættelser, begrænser adgangen til udligning til operationer med meget forudsigelige, stabile og rutineprægede tab

f)

at instituttet ikke anvender specifikke reserver til ekstraordinære operationelle tabshændelser, som allerede er indtruffet, som udligning for forventet tab

g)

at instituttet klart dokumenterer, hvordan dets forventede tab måles og opfanges, herunder hvordan udligninger for forventet tab opfylder betingelserne i litra a)-f).

Artikel 34

Korrelation

De kompetente myndigheder vurderer et instituts standarder vedrørende korrelation som omhandlet i artikel 322, stk. 2, litra d), i forordning (EU) nr. 575/2013, idet de bekræfter, at instituttet, såfremt det beregner AMA-kapitalgrundlagskravene ved at tage hensyn til mindre end fuld korrelation på tværs af individuelle estimater af operationel risiko, som minimum opfylder følgende krav:

a)

at instituttet nøje overvejer enhver form for lineær og ikkelineær afhængighed gældende for data som helhed, enten halen eller resten af data, på tværs af to eller flere operationelle risikokategorier eller inden for en operationel risikokategori

b)

at instituttet i videst mulig udstrækning støtter sine korrelationsantagelser på en passende kombination af empirisk analyse af data og ekspertvurderinger

c)

at tab inden for de enkelte kategorier for operationel risiko er uafhængige af hinanden

d)

at afhængige tab sammenlægges, hvis betingelsen i litra c) ikke er opfyldt

e)

at afhængighed inden for de operationelle risikokategorier kun modelleres på passende vis, hvis hverken betingelserne i litra c) eller d) kan opfyldes

f)

at instituttet nøje overvejer afhængighed mellem halehændelser

g)

at instituttet ikke baserer afhængighedsstrukturen på gaussiske eller normalfordelingslignende fordelinger

h)

at alle afhængighedsantagelser, som instituttet anvender, i betragtning af usikkerheden vedrørende modellering af afhængighed i forbindelse med operationel risiko er forsigtige, og at den grad af forsigtighed, som instituttet anlægger, stiger i takt med, at afhængighedsantagelserne bliver mindre strenge og pålideligheden af de resulterende kapitalgrundlagskrav aftager

i)

at instituttet begrunder de afhængighedsantagelser, som det anvender, behørigt, og at det regelmæssigt udfører følsomhedsanalyser for at vurdere afhængighedsantagelsernes virkning på sine AMA-kapitalgrundlagskrav.

AFDELING 4

Kapitalallokeringsmekanisme

Artikel 35

Konsistens i målingssystemet for operationel risiko

De kompetente myndigheder vurderer et instituts standarder vedrørende intern konsistens i målingssystemet for operationel risiko som omhandlet i artikel 322, stk. 2, litra e), i forordning (EU) nr. 575/2013, idet de som minimum bekræfter følgende:

a)

at instituttets kapitalallokeringsmekanisme er konsistent med dets risikoprofil og den generelle udformning af målingssystemet for operationel risiko

b)

at allokeringen af AMA-kapitalgrundlagskrav tager hensyn til potentielle interne forskelle mellem de dele af koncernen, til hvilke der allokeres AMA-kapitalgrundlagskrav, med hensyn til den risiko og den kvalitet, der er knyttet til styringen af den operationelle risiko og den interne kontrol

c)

at der ikke findes nogen nuværende eller forventede praktiske eller retlige hindringer for umiddelbar overførsel af kapitalgrundlag eller tilbagebetaling af forpligtelser

d)

at allokeringen af AMA-kapitalgrundlagskrav fra det konsoliderede koncernniveau og nedefter til de dele af koncernen, der er involveret i målingssystemet for operationel risiko, hviler på sunde og i videst muligt omfang risikofølsomme metoder.

KAPITEL 4

FORSIKRING OG ANDRE RISIKOOVERFØRSELSMEKANISMER

Artikel 36

Generelle principper

De kompetente myndigheder vurderer et instituts opfyldelse af kravene vedrørende virkningen af forsikring og andre risikooverførselsmekanismer inden for en AMA som omhandlet i artikel 322, stk. 2, litra e), og artikel 323 i forordning (EU) nr. 575/2013, idet de som minimum bekræfter følgende:

a)

at forsikringsgiveren opfylder kravene om tilladelse som omhandlet i artikel 323, stk. 2, i forordning (EU) nr. 575/2013, jf. artikel 37

b)

at forsikringen leveres af tredjemand som omhandlet i artikel 323, stk. 3, litra e), i forordning (EU) nr. 575/2013, jf. artikel 38

c)

at instituttet ikke medregner risikoreduktionsteknikker flere gange som omhandlet i artikel 322, stk. 2, litra e), i forordning (EU) nr. 575/2013, jf. artikel 39

d)

at risikoreduktionsberegningen på passende vis afspejler forsikringsdækningen som omhandlet i artikel 323, stk. 3, litra d), i forordning (EU) nr. 575/2013, og at rammerne for indregning af forsikring er velbegrundede og dokumenterede som omhandlet i nævnte forordnings artikel 323, stk. 3, litra f), herunder:

i)

at forsikringsdækningen vedrører instituttets operationelle risikoprofil, jf. artikel 40

ii)

at instituttet anvender en avanceret risikoreduktionsberegning, jf. artikel 41

iii)

at risikoreduktionsberegningen rettidigt bringes i overensstemmelse med instituttets operationelle risikoprofil, jf. artikel 42

e)

at instituttets metode til indregning af forsikring medtager alle relevante elementer gennem reduktioner eller haircuts vedrørende det indregnede forsikringsbeløb som omhandlet i artikel 323, stk. 3, litra a) og b), og artikel 323, stk. 4, i forordning (EU) nr. 575/2013, jf. artikel 43

f)

at instituttet kan godtgøre, at der er opnået en mærkbar risikoreducerende virkning med indførelsen af andre risikooverførselsmekanismer som omhandlet i artikel 323, stk. 1, andet punktum, i forordning (EU) nr. 575/2013, jf. artikel 44.

Artikel 37

Ækvivalens af forsikringsgiverens tilladelse

Med henblik på at vurdere kravene vedrørende forsikringsgiverens tilladelse, jf. artikel 36, litra a), tager de kompetente myndigheder hensyn til, at et selskab, som er meddelt tilladelse i et tredjeland, opfylder kravene om tilladelse, hvis selskabet opfylder tilsynsmæssige krav, som er ækvivalente med de i Unionen gældende, herunder de krav, der er omhandlet i artikel 323 i forordning (EU) nr. 575/2013.

Artikel 38

Levering af forsikringen gennem tredjemand

1.   For at vurdere, om forsikringsdækningen med henblik på AMA-kapitalgrundlagskrav leveres af tredjemand, jf. artikel 36, litra b), bekræfter de kompetente myndigheder på grundlag af samlet overblik over instituttets konsoliderede situation som defineret i artikel 4, stk. 1, nr. 47), i forordning (EU) nr. 575/2013, at hverken instituttet eller andre af enhederne omfattet af konsolideringen har en kapitalinteresse eller en kvalificeret andel som defineret i artikel 4, stk. 1, henholdsvis nr. 35) og 36), i forordning (EU) nr. 575/2013 i den part, som leverer forsikringen.

2.   Hvis kravene i stk. 1 kun er delvis opfyldt, anses kun den del af den leverede forsikring som forsikring leveret gennem tredjemand, hvor det endelige ansvar forbliver hos en tredjepart, hvor kravet er opfyldt, eftersom risikoen ved overførslen rent faktisk føres ud af de konsoliderede enheder

Artikel 39

Medregning flere gange af risikoreduktionsteknikker

For at vurdere, om forsikringsdækningen med henblik på AMA-kapitalgrundlagskrav ikke medregner risikoreduktionsteknikker flere gange, jf. artikel 36, litra c), bekræfter de kompetente myndigheder, at et institut har taget rimelige skridt til at sikre, at hverken instituttet eller andre af enhederne omfattet af konsolideringen bevidst genforsikrer kontrakter, som dækker operationelle hændelser, som udgør genstanden for den oprindelige forsikringsaftale, som instituttet har indgået.

Artikel 40

Kortlægning af forsikringsrisiko

1.   Med henblik på at vurdere, om forsikringsdækningen vedrører et instituts risikoprofil jf. artikel 36, litra d), nr. i), bekræfter de kompetente myndigheder, at et institut har udført en veldokumenteret og velbegrundet kortlægning af forsikringsrisiko, og at instituttet således har en forsikringsdækning, som er i overensstemmelse med sandsynligheden for og virkningen af alle de operationelle tab, som instituttet potentielt står over for.

2.   Med henblik på stk. 1 bekræfter de kompetente myndigheder, at instituttet som minimum opfylder følgende:

a)

bestemmer sandsynligheden for tabsgenopretning fra forsikring og den mulige tidsramme for forsikringsselskabers modtagelse af betalinger, herunder sandsynligheden for, at et erstatningskrav fører til retssag, længden af en sådan proces og aktuelle behandlingstider og -vilkår baseret på erfaringerne fra instituttets team for styring af forsikringsrisiko, om nødvendigt understøttet af relevant ekstern ekspertise, herunder rådgivere, mæglere og forsikringsselskaber

b)

anvender resultaterne fra litra a) til vurdering af forsikringsperformance i tilfælde af et operationelt tab og tilrettelægger denne proces med henblik på at vurdere forsikringsresponsen for alle relevante tabs- og scenariedata, som indgives i målingssystemet for operationel risiko

c)

sammenstiller forsikringspolicerne baseret på vurderingen af disse i litra b) med instituttets egne operationelle risici med den højst mulige detaljeringsgrad ved hjælp af alle til rådighed værende oplysningskilder, herunder interne og eksterne data samt scenarieestimater

d)

anvender den relevante ekspertise og udfører nævnte kortlægning med gennemsigtighed og konsekvens

e)

tillægger tidligere og forventet forsikringsperformance passende vægte på baggrund af en vurdering af forsikringspolicens elementer

f)

opnår formel godkendelse fra det relevante risikoorgan eller -udvalg

g)

periodisk tager forsikringskortlægningen op til fornyet undersøgelse.

Artikel 41

Anvendelse af en avanceret risikoreduktionsberegning

Med henblik på at vurdere, om et institut anvender en avanceret risikoreduktionsberegning, jf. artikel 36, litra d), nr. ii), bekræfter de kompetente myndigheder, at modelleringsmetoden til indarbejdelse af forsikringsdækningen i AMA'en som minimum opfylder følgende:

a)

den er i overensstemmelse med målingssystemet for operationel risiko, som er indført for at kvantificere tabene brutto for tabsgenopretningen fra forsikring

b)

den er gennemskuelig for så vidt angår relationen til den aktuelle sandsynlighed for og virkning af tab, der anvendes i instituttets overordnede fastsættelse af sine AMA-kapitalgrundlagskrav, og også i overensstemmelse med denne relation.

Artikel 42

Overensstemmelse mellem risikoreduktionsberegningen og den operationelle risikoprofil

Med henblik på at vurdere, om risikoreduktionsberegningen rettidigt bringes i overensstemmelse med den operationelle risikoprofil jf. artikel 36, litra d), nr. iii), bekræfter de kompetente myndigheder som minimum følgende:

a)

at instituttet har gennemgået anvendelsen af forsikring og genberegnet AMA-kapitalgrundlagskravene, hvis der er sket væsentlige ændringer i forsikringens art eller større ændringer i instituttets operationelle risikoprofil, alt efter, hvad der er relevant

b)

hvis der opstår væsentlige tab, som påvirker forsikringsdækningen, at instituttet genberegner AMA-kapitalgrundlagskravene med en supplerende forsigtighedsmargen

c)

hvis forsikringsdækningen ophører eller reduceres uventet, at instituttet er rede til straks at erstatte forsikringspolicen med en police på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning eller til at øge sine AMA-kapitalgrundlagskrav til et niveau brutto for tabsgenopretningen fra forsikring

d)

at instituttet beregner kapitalen brutto og netto for tabsgenopretningen fra forsikring ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på AMA-kapitalgrundlagskravene af en eventuel udvanding af den forsikringssum, der er til rådighed, herunder i form af betaling for et væsentligt tab, eller en ændring i forsikringsdækningen.

Artikel 43

Medtagelse af alle relevante elementer

1.   Med henblik på at vurdere, om et instituts metode til indregning af forsikring medtager alle relevante elementer gennem reduktioner eller haircuts vedrørende det indregnede forsikringsbeløb, jf. artikel 36, litra e), bekræfter de kompetente myndigheder som minimum følgende:

a)

at instituttet undersøger de forskellige faktorer, som skaber risikoen for, at forsikringsgiveren ikke betaler som forventet og reducerer effektiviteten af risikooverførslen, herunder forsikringsselskabets evne til at betale rettidigt og instituttets evne til at identificere, analysere og indberette erstatningskravet rettidigt

b)

at instituttet undersøger, hvordan de forskellige faktorer, der er omhandlet i litra a), tidligere har påvirket den reducerende virkning af forsikring på den operationelle risikoprofil, og hvordan de kan tænkes at påvirke den i fremtiden

c)

at instituttet gennem passende forsigtige haircuts afspejler de usikkerheder, der er omhandlet i litra a), i sine AMA-kapitalgrundlagskrav

d)

at instituttet nøje tager hensyn til forsikringspolicernes egenskaber, herunder om disse policer kun dækker tab, som giver anledning til erstatningskrav over for eller anmeldes til forsikringsselskabet i policens løbetid og derfor ikke dækker tab, som konstateres efter policens udløb, eller om de dækker tab, som opstår i policens løbetid, selv om de først konstateres og kravet først fremsættes efter policens udløb, eller om der er tale om direkte tab for første part eller tab søm følge af ansvar over for tredjepart

e)

at instituttet tager hensyn til og fuldt ud dokumenterer data om forsikringsudbetalinger efter tabstype i sine tabsdatabaser og fastsætter sine haircuts tilsvarende

f)

at instituttet har indført procedurer til identifikation, analyse og behandling af erstatningskrav med henblik på at kontrollere den aktuelle dækningsbeskyttelse, som forsikringsselskabet leverer, eller muligheden for at modtage betalingen vedrørende erstatningskravet inden for en rimelig tidsfrist

g)

at instituttet eksplicit kvantificerer og separat modellerer haircuts i relation til hver af de identificerede usikkerheder i stedet for at anvende et enkelt haircut i den beregning, som omfatter alle usikkerheder, eller et ex post-beregningshaircut

h)

at instituttet i størst mulig udstrækning tager hensyn til indregningen af risikoen knyttet til forsikringsselskabets evne til at udbetale erstatningskrav ved at anvende passende haircuts i forsikringsmodelleringsmetoden

i)

at instituttet sikrer, at risikoen knyttet til evnen til at udbetale erstatningskrav ved misligholdelse fra en modparts side vurderes på grundlag af kreditkvaliteten for det forsikringsselskab, der er ansvarligt i henhold til den givne forsikringskontrakt, uanset om forsikringsselskabets moderinstitut har en bedre rating, eller om risikoen overføres til tredjemand

j)

at instituttet opererer med forsigtige antagelser vedrørende fornyelse af forsikringspolicer på vilkår og betingelser og med en dækning, der svarer til vilkårene, betingelserne og dækningen i de oprindelige eller eksisterende kontrakter

k)

at instituttet har indført processer til at sikre, at såvel den potentielle udnyttelse af forsikringspolicens grænser og prisen for og adgangen til dækningsgenanskaffelse som de situationer, hvor forsikringskontraktens dækning ikke svarer til instituttets operationelle risikoprofil, på en passende måde afspejles i dets AMA-forsikringsmetode.

2.   Med henblik på stk. 1 kan de kompetente myndigheder anse kravet om, at instituttet skal anvende haircuts i den resterende tid indtil forsikringskontraktens udløb eller i opsigelsesperioden, for unødvendigt, hvis dækningen fornyes og gælder løbende, og hvis mindst en af følgende betingelser er opfyldt:

a)

hvis instituttet kan godtgøre løbende dækning på tilsvarende eller forbedrede vilkår og betingelser og med tilsvarende eller forbedret dækning i en periode på mindst 365 dage

b)

hvis instituttet har tegnet en police, som ikke kan opsiges af forsikringsselskabet af andre årsager end manglende præmiebetaling, eller som har en opsigelsesperiode på mere end et år.

Artikel 44

Andre risikooverførselsmekanismer

Med henblik på at vurdere, om et institut har godtgjort, at der er opnået en mærkbar risikoreducerende virkning med indførelsen af andre risikooverførselsmekanismer, jf. artikel 36, litra f), skal de kompetente myndigheder som minimum:

a)

bekræfte, at instituttet har erfaring med anvendelse af andre risikooverførselsmekanismer og deres egenskaber, herunder sandsynligheden for dækning og tidshorisonterne for betaling, før disse instrumenter kan medregnes i instituttets målingssystem for operationel risiko

b)

afvise andre risikooverførselsmekanismer som værende gangbare instrumenter til risikoreduktion med henblik på AMA-kapitalgrundlagskrav, hvis de andre risikooverførselsmekanismer besiddes eller anvendes med handel for øje snarere end til risikostyringsformål

c)

kontrollere, om sælgeren af afdækningen er kvalificeret, herunder om der er tale om en reguleret eller en ikkereguleret enhed, arten af og egenskaberne ved den leverede afdækning, og om der er tale om finansieret afdækning, securitisering, garantiordninger eller derivater

d)

bekræfte, at outsourcede aktiviteter ikke betragtes som henhørende under andre risikooverførselsmekanismer

e)

bekræfte, at instituttet for hver kapitalberegning beregner AMA-kapitalgrundlagskravene brutto og netto for tabsgenopretningen fra andre risikooverførselsmekanismer ved et granularitetsniveau, som muliggør umiddelbar indregning af virkningen på kapitalkravene af en eventuel udvanding af den afdækning, der er til rådighed

f)

bekræfte, at instituttet genberegner AMA-kapitalgrundlagskravene med en yderligere forsigtighedsmargen, hvis der opstår væsentlige tab, som påvirker den afdækning, som andre risikooverførselsmekanismer leverer, eller hvis ændringer i kontrakterne vedrørende andre risikooverførselsmekanismer skaber væsentlig usikkerhed med hensyn til den opnåede afdækning.

KAPITEL 5

AFSLUTTENDE BESTEMMELSE

Artikel 45

Overgangsbestemmelse

For så vidt angår den vurdering af AMA'en, der er omhandlet i artikel 1, vedrørende et institut, der på datoen for denne forordnings ikrafttrædelse allerede anvender en AMA med henblik på beregning af kapitalgrundlagskrav i relation til operationel risiko, eller vedrørende et institut, som allerede har anmodet om tilladelse til at anvende en AMA til dette formål, gælder begge af følgende:

a)

denne forordning anvendes fra et år efter dens ikrafttrædelse

b)

artikel 34, litra g), anvendes fra to år efter dens ikrafttrædelse.

Artikel 46

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 14. marts 2018..

På Kommissionens vegne

Jean-Claude JUNCKER

Formand


(1)  EUT L 176 af 27.6.2013, s. 1.

(2)  Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

(3)  Kommissionens delegerede forordning (EU) 2016/101 af 26. oktober 2015 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder for forsigtig værdiansættelse i henhold til artikel 105, stk. 14 (EUT L 21 af 28.1.2016, s. 54).

(4)  Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12).

(5)  Kommissionens delegerede forordning (EU) nr. 529/2014 af 12. marts 2014 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder for vurdering af væsentligheden af udvidelser og ændringer af den interne ratingbaserede metode og den avancerede målemetode (EUT L 148 af 20.5.2014, s. 36).


Top