6.7.2018   

NL

Publicatieblad van de Europese Unie

L 169/1

(1)

Ten aanzien van de eigenvermogensvereisten voor operationeel risico bepaalt artikel 312, lid 2, eerste alinea, van Verordening (EU) nr. 575/2013 dat de bevoegde autoriteiten de instellingen toestaan om geavanceerde meetbenaderingen (AMA) te hanteren die op hun eigen systemen voor de meting van het operationeel risico berusten, indien alle in dat artikel beschreven kwalitatieve en kwantitatieve normen vervuld zijn, hetgeen impliceert dat de instellingen te allen tijde aan deze vereisten moeten voldoen. Een dergelijke beoordeling heeft dus niet alleen betrekking op de eerste aanvraag van een instelling om AMA te gebruiken, maar blijft daarna van toepassing.

(2)

De verschillende elementen van het AMA-kader van een instelling mogen niet afzonderlijk worden beschouwd, maar moeten daarentegen worden getoetst en beoordeeld als een geheel van met elkaar verweven elementen, zodat de bevoegde autoriteiten zich ervan kunnen vergewissen dat elk onderdeel van het kader in voldoende mate aan de voorschriften voldoet.

(3)

De beoordeling door de bevoegde autoriteiten of een instelling aan de in artikel 312, lid 4, onder a) en b), van Verordening (EU) nr. 575/2013 bedoelde vereisten voldoet om geavanceerde meetbenaderingen te gebruiken, mag niet op uniforme wijze worden uitgevoerd. De aard van de te beoordelen elementen varieert naargelang van de soort beoordeling die wordt uitgevoerd, die weer afhankelijk is van de soort aanvraag die is ingediend. De bevoegde autoriteiten moeten de naleving beoordelen wanneer een instelling voor het eerst een aanvraag voor het gebruik van AMA indient, wanneer een instelling aanvraag doet om de AMA uit te breiden overeenkomstig het goedgekeurde plan voor stapsgewijze invoering, wanneer een instelling een aanvraag indient tot uitbreiding of wijziging van de AMA waarvoor zij toestemming heeft verkregen, en wanneer een instelling overeenkomstig artikel 313 van Verordening (EU) nr. 575/2013 een aanvraag indient om terug te grijpen op minder verfijnde benaderingen. Voorts moeten de bevoegde autoriteiten het gebruik van de AMA door instellingen doorlopend toetsen. De bevoegde autoriteiten moeten derhalve de beoordeling of een instelling aan de voorwaarden voldoet om AMA te gebruiken, uitvoeren overeenkomstig de aard van de elementen die volgens de desbetreffende beoordelingsmethode moeten worden beoordeeld.

(4)

Krachtens artikel 85, lid 1, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad (2) moeten instellingen nader omschrijven wat onder operationeel risico wordt verstaan voor de toepassing van beleidslijnen en procedures voor het beoordelen en beheren van de blootstelling aan operationeel risico. Verordening (EU) nr. 575/2013 bevat een definitie van „operationeel risico” die zowel juridisch risico als modelrisico omvat. In artikel 3, lid 1, van Richtlijn 2013/36/EU verwijst modelrisico naar potentiële verliezen als gevolg van fouten in de ontwikkeling, implementering of aanwending van interne modellen, maar omvat het geen potentiële verliezen als gevolg van waarderingsaanpassingen in verband met modelrisico als bedoeld in artikel 105 van Verordening (EU) nr. 575/2013 over prudente waardering of in Gedelegeerde Verordening (EU) 2016/101 van de Commissie (3), en verwijst het niet naar modelrisico verbonden aan het gebruik van een mogelijk onjuiste taxatiemethode als bedoeld in artikel 105, lid 13, van Verordening (EU) nr. 575/2013. Verordening (EU) nr. 575/2013 specificeert evenmin hoe de bevoegde autoriteiten de naleving moeten verifiëren van de vereiste om het operationeel risico in verband met juridisch risico en modelrisico nader te omschrijven. De regels inzake de beoordelingsmethode die de bevoegde autoriteiten moeten gebruiken wanneer zij beoordelen of instellingen de AMA mogen gebruiken, moeten derhalve een dergelijke specificatie omvatten.

(5)

Het is ook noodzakelijk de toezichtbenaderingen te harmoniseren met betrekking tot de juiste omschrijving van operationeel risico bij financiële transacties, inclusief die in verband met marktrisico, aangezien de operationele risico's van deze transacties aanzienlijk blijken te zijn en de drijvende factoren erachter, die doorgaans vele facetten hebben, wellicht niet altijd in de gehele Unie als zodanig op te sporen en te registreren zijn.

(6)

De normen waaraan het kader voor governance en risicobeheer van een instelling moet voldoen, zijn neergelegd in artikel 74 van Richtlijn 2013/36/EU en artikel 321 van Verordening (EU) nr. 575/2013. De methode voor AMA-beoordeling moet er dan ook voor zorgen dat de bevoegde autoriteiten, wanneer zij beoordelen of een instelling geavanceerde meetbenaderingen mag gebruiken, verifiëren dat een instelling een duidelijke organisatiestructuur voor governance en risicobeheer heeft met duidelijk omschreven, transparante en samenhangende verantwoordelijkheden, rekening houdend met de aard, schaal en complexiteit van de activiteiten van de instelling. Hierbij moet met name worden bevestigd dat de operationeelrisicobeheerfunctie een belangrijke rol speelt bij het identificeren, meten en beoordelen, bewaken, controleren en limiteren van de operationele risico's waarmee de instelling wordt geconfronteerd, en dat deze functie voldoende onafhankelijk is van de bedrijfseenheden van de instelling, zodat haar professionele oordeel en aanbevelingen zowel onafhankelijk als onpartijdig zijn. Tevens moet worden bepaald dat de directie verantwoordelijk is voor de ontwikkeling en uitvoering van het door het leidinggevend orgaan goedgekeurde kader voor governance en beheer van het operationele risico en dat dit kader in de gehele organisatie van de instelling consequent wordt toegepast. De bevoegde autoriteiten moeten ook nagaan of op alle personeelsniveaus passende instrumenten en voorlichting worden verstrekt, zodat alle personeelsleden begrijpen wat hun verantwoordelijkheden zijn met betrekking tot operationeelrisicobeheer.

(7)

Deugdelijke interne governance vereist effectieve interne rapportagesystemen. De bevoegde autoriteiten moeten er dan ook voor zorgen dat een instelling die toestemming voor AMA aanvraagt, effectieve systemen invoert waarmee risico's niet alleen aan het leidinggevend orgaan en de directie worden gerapporteerd, maar ook aan alle functies die verantwoordelijk zijn voor het beheer van operationele risico's waaraan de instelling is of kan worden blootgesteld. Het rapportagesysteem moet de actuele stand van zaken ten aanzien van de problemen inzake operationeel risico van de instelling weerspiegelen en alle wezenlijke aspecten van beheer en meting van het operationele risico omvatten.

(8)

Overeenkomstig artikel 321, onder a), van Verordening (EU) nr. 575/2013 moet het interne meetsysteem voor het operationeel risico van een instelling in hoge mate geïntegreerd zijn in de door haar toegepaste dagelijkse risicobeheerprocessen. De methode voor AMA-beoordeling moet dan ook inhouden dat de bevoegde autoriteiten ervoor zorgen dat een instelling die toestemming voor AMA aanvraagt, haar operationeelrisicomeetsysteem daadwerkelijk voor haar dagelijkse bedrijfsvoering en risicobeheerdoeleinden gebruikt en niet alleen voor de berekening van de eigenvermogensvereisten voor operationeel risico. De regels inzake de AMA-toezichtbeoordeling moeten derhalve regels bevatten inzake de toezichtverwachtingen waaraan de instelling die toestemming voor AMA aanvraagt, moet voldoen ten aanzien van de gebruikstest.

(9)

Om aan zowel instellingen als bevoegde autoriteiten te bewijzen dat het operationeelrisicomeetsysteem van een instelling betrouwbaar en robuust is en geloofwaardigere eigenvermogensvereisten voor operationeel risico genereert dan een eenvoudigere methode, moeten de bevoegde autoriteiten verifiëren dat de instelling het operationeelrisicomeetsysteem over een bepaalde periode heeft vergeleken met de in de artikelen 315, 317 en 319 van Verordening (EU) nr. 575/2013 beschreven basisindicatorbenadering of standaardbenadering. Deze periode moet lang genoeg zijn om de bevoegde autoriteit in staat te stellen vast te stellen dat de instelling voldoet aan de in Verordening (EU) nr. 575/2013 vervatte kwalitatieve en kwantitatieve normen voor het gebruik van een AMA.

(10)

Volgens artikel 321, onder g), van Verordening (EU) nr. 575/2013 moeten de datastromen en processen in verband met het geavanceerde risicomeetsysteem van een instelling transparant en toegankelijk zijn. Gegevens met betrekking tot operationeel risico zijn niet onmiddellijk beschikbaar, aangezien zij eerst in de boeken en archieven van een instelling moeten worden geïdentificeerd en dan naar behoren moeten worden verzameld en bijgehouden. Voorts is het meetsysteem doorgaans zeer verfijnd en omvat het verschillende logische en rekenkundige stappen voor het genereren van de AMA-eigenvermogensvereisten. De methode voor AMA-beoordeling moet dus nagaan of de gegevenskwaliteit en IT-systemen binnen een instelling goed ontworpen zijn en juist worden toegepast, zodat zij het beoogde doel dienen.

(11)

Het AMA-kader van een instelling is onderworpen aan interne validatie en toetsing door accountants overeenkomstig artikel 321, onder e) en f), van Verordening (EU) nr. 575/2013. Hoewel de organisatiestructuur van de internevalidatie- en auditfuncties kan variëren naargelang van de aard, complexiteit en activiteiten van een instelling, moet ervoor worden gezorgd dat de methode voor AMA-beoordeling van de door deze functies verrichte controles voldoet aan gemeenschappelijke criteria met betrekking tot de voorwaarden en reikwijdte van deze controles.

(12)

Modellering van operationeel risico is een betrekkelijk nieuwe en opkomende discipline. Artikel 322 van Verordening (EU) nr. 575/2013 verleent de instellingen dan ook een grote mate van flexibiliteit bij het opbouwen van het operationeelrisicomeetsysteem voor het berekenen van de AMA-eigenvermogensvereisten. Deze flexibiliteit mag echter niet leiden tot aanzienlijke verschillen tussen instellingen met betrekking tot de belangrijkste onderdelen van het meetsysteem, waaronder interne gegevens, externe gegevens, scenarioanalyse en factoren die van invloed zijn op de bedrijfsomgeving en de interne controle (ook bekend als „de vier elementen”), de belangrijkste modelleringsaannamen waarmee rekening kan worden gehouden met ernstige staartgebeurtenissen en de gerelateerde risicodeterminanten (de opbouw van de berekeningsdataset, de granulariteit, de identificatie van de verliesverdelingen en de vaststelling van geaggregeerde verliesverdelingen en risicomaatstaven) of het verwachte verlies, de correlatie en de criteria voor kapitaalallocatie die moeten zorgen voor de interne samenhang van een meetsysteem. Om ervoor te zorgen dat het risicomeetsysteem op een deugdelijke methode berust, voor alle instellingen vergelijkbaar is, het feitelijke en potentiële operationele risico van instellingen effectief weergeeft en betrouwbaar en robuust is bij het genereren van AMA-toetsingsvermogensvereisten, moet de methode voor AMA-beoordeling dus inhouden dat in de gehele Unie door de bevoegde autoriteiten dezelfde criteria en vereisten worden toegepast. De AMA-beoordelingsmethode moet ook rekening houden met de karakteristieke componenten van het operationeel risico die verband houden met de verschillende omvang, aard en complexiteit van instellingen.

(13)

Met betrekking tot de interne gegevens moet in aanmerking worden genomen dat, hoewel een operationeelrisicoverlies alleen kan ontstaan als gevolg van een operationeelrisicogebeurtenis, het voorkomen daarvan door verschillende posten aan het licht kan komen, bijvoorbeeld directe kosten, uitgaven, voorzieningen, niet-geïnde inkomsten. Hoewel sommige operationeelrisicogebeurtenissen een kwantificeerbare impact hebben en worden weerspiegeld in de financiële staten van de instelling, zijn andere niet kwantificeerbaar, zonder gevolgen voor de financiële overzichten van de instelling en dus alleen maar op te sporen met behulp van andere bronnen, zoals directiearchieven en incidentenbestanden. De regels voor de beoordelingsmethode waarmee de bevoegde autoriteiten instellingen toestemming verlenen om AMA te gebruiken, moeten derhalve specificeren wat een operationeelrisicoverlies vormt, het bedrag dat voor AMA-doeleinden moet worden geregistreerd en, meer in het algemeen, alle potentiële posten die het voorkomen van operationeelrisicogebeurtenissen aan het licht kunnen brengen.

(14)

Soms kunnen instellingen ontstane operationeelrisicoverliezen snel goedmaken. Snel goedgemaakte verliezen hoeven voor de berekening van de AMA-eigenvermogensvereisten niet in aanmerking te worden genomen, hoewel zij voor beheerdoeleinden nuttig kunnen zijn. Omdat de instellingen verschillende criteria gebruiken om verliezen als snel goedgemaakt aan te merken, moeten in de regels voor de AMA-beoordelingsmethode passende criteria worden omschreven om verliezen als snel goedgemaakt aan te merken.

(15)

Risicolimiteringstechnieken mogen door de bevoegde autoriteiten in het kader van AMA in aanmerking worden genomen mits aan bepaalde voorwaarden wordt voldaan, zoals omschreven in artikel 323 van Verordening (EU) nr. 575/2013. Om de regels inzake deze risicolimiteringstechnieken effectief toe te passen, moeten de bevoegde autoriteiten specifieke normen in acht nemen wanneer zij de toepassing van deze regels door een instelling beoordelen. Met name wanneer deze risicolimiteringstechnieken de vorm van verzekering hebben, moet ervoor worden gezorgd dat deze verzekering wordt verstrekt door verzekeringsmaatschappijen die gemachtigd zijn verzekering aan te bieden in de Unie of in jurisdicties met voorschriften voor verzekeringsmaatschappijen die gelijkwaardig zijn aan die in de Unie.

(16)

Wanneer risicolimiteringstechnieken de vorm hebben van andere mechanismen voor risico-overdracht dan verzekering, moeten de bevoegde autoriteiten ervoor zorgen dat dergelijke mechanismen het risico daadwerkelijk overdragen en niet worden gebruikt om de AMA-eigenvermogensvereisten te omzeilen. Deze voorwaarde is van essentieel belang in het licht van de bijzonderheden van operationeel risico, waarbij geen sprake is van duidelijke onderliggende referentieactiva en onverwachte verliezen een grotere rol spelen dan bij andere soorten risico's. Dit wordt verder verergerd door het ontbreken van een efficiënte, liquide en gestructureerde markt voor operationeelrisicoproducten die tot nu toe buiten de banksector zijn verhandeld, zoals rampenobligaties en weerderivaten. Ten slotte is het vaak zeer moeilijk de juridische risico's van dergelijke mechanismen in te schatten, zelfs wanneer de contractuele bepalingen en voorwaarden duidelijk en zorgvuldig geformuleerd zijn.

(17)

Om een soepele overgang te garanderen voor instellingen die al toestemming hebben om AMA te gebruiken of die voor de inwerkingtreding van deze verordening een aanvraag hiertoe hebben ingediend, moet de bepaling worden opgenomen dat de bevoegde autoriteiten deze verordening ten aanzien van de beoordeling van de AMA van deze instellingen pas na een bepaalde overgangsperiode toepassen. Aangezien de in artikel 101, lid 1, van Richtlijn 2013/36/EU bedoelde regelmatige toetsing van de AMA doorgaans jaarlijks plaatsvindt, moet deze overgangsperiode één jaar zijn vanaf de datum van inwerkingtreding van deze verordening.

(18)

Instellingen die Gaussische of bijna normale verdelingen gebruiken voor de vaststelling van correlatie binnen alle of een deel van hun AMA, mogen deze in de context van hun AMA niet langer gebruiken aangezien deze aannamen staartonafhankelijkheid onder de operationeelrisicocategorieën impliceren en aldus de mogelijkheid uitsluiten dat grote verliezen van verschillende typen zich tegelijkertijd voordoen, hetgeen prudent noch realistisch is. Deze instellingen moeten dus voldoende tijd krijgen voor een soepele overgang naar een nieuwe regeling waarbij binnen het operationeelrisicomeetsysteem conservatievere aannamen worden ingevoerd, zodat positieve staartafhankelijkheid wordt bewerkstelligd. Aangezien voor de toepassing van deze aannamen wellicht enkele belangrijke elementen en bijbehorende procedures van het AMA-kader moeten worden gewijzigd, is het passend voor deze overgang twee jaar uit te trekken.

(19)

Deze verordening is gebaseerd op de ontwerpen van technische reguleringsnormen die de Europese Bankautoriteit aan de Commissie heeft voorgelegd.

(20)

De Europese Bankautoriteit heeft open publieksraadplegingen gehouden over deze ontwerpen van technische reguleringsnormen, de potentiële daaraan verbonden kosten en baten geanalyseerd en het advies van de overeenkomstig artikel 37 van Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad (4) opgerichte Stakeholdergroep bankwezen ingewonnen,

a)

wordt voldaan aan de elementen in de artikelen 3 tot en met 6;

b)

wordt voldaan aan de hoofdstukken 2 en 3;

c)

wordt voldaan aan hoofdstuk 4 wanneer de instelling de in dat hoofdstuk bedoelde verzekering en andere mechanismen voor risico-overdracht heeft ingevoerd.

a)

een beoordeling van het wezenlijke karakter van uitbreidingen en wijzigingen van de door een instelling gebruikte AMA uitvoeren;

b)

een beoordeling van het plan voor stapsgewijze invoering van de door een instelling gebruikte AMA uitvoeren;

c)

een beoordeling van het teruggrijpen door een instelling op minder verfijnde benaderingen overeenkomstig artikel 313 van Verordening (EU) nr. 575/2013 uitvoeren;

d)

de doorlopende toetsing van een door een instelling gebruikte AMA uitvoeren.

a)

dat de instelling verliezen of andere kosten die voortvloeien uit gebeurtenissen die resulteren in juridische procedures, duidelijk als operationeel risico identificeert en aanmerkt, waaronder ten minste:

b)

dat de instelling verliezen of andere kosten die voortvloeien uit vrijwillige handelingen bedoeld om juridische risico's in verband met operationeelrisicogebeurtenissen te vermijden of te beperken, inclusief terugbetalingen of kortingen op toekomstige diensten die vrijwillig en niet als gevolg van klachten van cliënten aan cliënten worden aangeboden, duidelijk als operationeel risico identificeert en aanmerkt;

c)

dat de instelling verliezen die voortvloeien uit fouten en weglatingen in contracten en documentatie duidelijk als operationeel risico identificeert en aanmerkt;

d)

dat de instelling niet als operationeel risico aanmerkt:

a)

vereisten die voortvloeien uit nationale of internationale wettelijke of regelgevende bepalingen;

b)

vereisten die voortvloeien uit contractuele regelingen, interne regels en gedragscodes die zijn opgesteld in overeenstemming met nationale of internationale normen en praktijken;

c)

ethische regels.

a)

dat ten minste de volgende gebeurtenissen en bijbehorende verliezen die voortvloeien uit voor de besluitvorming gebruikte modellen, als operationeel risico worden aangemerkt:

b)

dat gebeurtenissen in verband met de onderwaardering van eigenvermogensvereisten door interne modellen die door de bevoegde autoriteiten zijn goedgekeurd, niet zijn opgenomen in de identificatie, verzameling en verwerking van gegevens over operationeelrisicogebeurtenissen en verliezen in verband met modelrisico.

a)

gebeurtenissen als gevolg van operationele fouten en fouten bij de gegevensinvoer, inclusief:

b)

gebeurtenissen als gevolg van tekortkomingen bij interne controles, inclusief:

c)

gebeurtenissen als gevolg van ontoereikende gegevenskwaliteit en onbeschikbaarheid van de IT-omgeving, inclusief technische onbeschikbaarheid van toegang tot de markt waardoor contracten niet kunnen worden gesloten.

a)

dat de documentatie op het passende managementniveau van de instelling is goedgekeurd;

b)

dat de instelling beschikt over een beleid dat normen omvat om een hoge kwaliteit van de interne documentatie te waarborgen, met inbegrip van specifieke verantwoording om ervoor te zorgen dat de bijgehouden documentatie volledig, samenhangend, nauwkeurig, actueel, goedgekeurd en betrouwbaar is;

c)

dat de indeling van de documentatie zoals omschreven in het onder b) bedoelde beleid, ten minste de volgende onderdelen omvat:

d)

dat de instelling haar beleid, procedures en methoden nauwgezet documenteert.

a)

dat de documentatie gedetailleerd en nauwkeurig genoeg is om onderzoek van de AMA door derden mogelijk te maken, met inbegrip van:

a)

dat het leidinggevend orgaan van de instelling de governance van het operationeel risico, het operationeelrisicobeheerproces en het operationeelrisicomeetsysteem bespreekt en goedkeurt;

b)

dat het leidinggevend orgaan van de instelling de volgende elementen ten minste eens per jaar duidelijk definieert en vaststelt:

c)

dat het leidinggevend orgaan van de instelling voortdurend toeziet op de naleving van de onder b), ii), bedoelde operationeelrisicotolerantieverklaring;

d)

dat de instelling een voortdurend operationeelrisicobeheerproces toepast om het operationeel risico, inclusief wanbeheergebeurtenissen, te identificeren, beoordelen en meten, bewaken en rapporteren, en in staat is na te gaan welke personeelsleden verantwoordelijk zijn voor operationeelrisicobeheer;

e)

dat de informatie die voortvloeit uit het onder d) bedoelde proces wordt meegedeeld aan de betrokken comités en uitvoerende organen van de instelling, en dat de uit deze comités voortkomende beslissingen worden meegedeeld aan degenen die binnen de instelling verantwoordelijk zijn voor verzameling, controle, monitoring en beheer van operationeel risico en degenen die verantwoordelijk zijn voor het beheer van activiteiten die aanleiding geven tot operationeel risico;

f)

dat de instelling de doeltreffendheid van haar operationeelrisicogovernance, operationeelrisicobeheerproces en operationeelrisicomeetsysteem ten minste eens per jaar evalueert;

g)

dat de instelling de bevoegde autoriteit ten minste eens per jaar op de hoogte stelt van de resultaten van de onder f) bedoelde evaluatie.

a)

de mate waarin het personeel van de instelling op de hoogte is van operationeelrisicobeleid en -procedures;

b)

het interne proces van de instelling voor de toetsing van het ontwerp en de doeltreffendheid van het AMA-kader.

a)

dat de operationeelrisicobeheerfunctie de volgende taken apart van de bedrijfsonderdelen van de instelling verricht:

b)

dat de operationeelrisicobeheerfunctie voldoende steun krijgt van het leidinggevend orgaan en de directie en binnen de organisatie voldoende status heeft om haar taken te verrichten;

c)

dat de operationeelrisicobeheerfunctie niet tevens belast is met de interne auditfunctie;

d)

dat het hoofd van de operationeelrisicobeheerfunctie ten minste aan de volgende eisen voldoet:

a)

dat de directie verantwoordelijk is voor de uitvoering van het door het leidinggevend orgaan goedgekeurde kader voor operationeelrisicogovernance en -beheer;

b)

dat de directie van het leidinggevend orgaan de bevoegdheid heeft gekregen om beleid, processen en procedures voor operationeelrisicobeheer te ontwikkelen;

c)

dat de directie het beleid, de processen en procedures voor operationeelrisicobeheer als bedoeld onder b) uitvoert.

a)

dat problemen in verband met de rapportagesystemen en interne controles van de instelling snel en nauwkeurig worden vastgesteld;

b)

dat de operationeelrisicoverslagen van de instelling worden verstrekt aan de passende managementniveaus en aan de onderdelen van de instelling waar in de verslagen een punt van zorg werd geconstateerd;

c)

dat de directie van de instelling ten minste eens per kwartaal een verslag over de laatste stand van het operationeelrisicoprofiel van de instelling ontvangt en deze verslagen gebruikt in het besluitvormingsproces;

d)

dat de operationeelrisicoverslagen van de instelling relevante managementinformatie bevatten alsmede een samenvatting op hoofdlijnen van de grootste operationele risico's van de instelling, haar relevante dochterondernemingen en bedrijfseenheden;

e)

dat de instelling in geval van bepaalde tekortkomingen in het beleid, de processen en procedures voor operationeelrisicobeheer ad-hocverslagen gebruikt om deze tekortkomingen prompt op te sporen en aan te pakken en aldus de potentiële frequentie en ernst van een verliesgebeurtenis aanzienlijk terug te dringen.

a)

dat het operationeelrisicomeetsysteem van de instelling wordt gebruikt om operationele risico's bij de verschillende bedrijfsonderdelen, eenheden of juridische entiteiten binnen de organisatiestructuur te beheren;

b)

dat het operationeelrisicomeetsysteem in de diverse entiteiten van de groep is verankerd en, wanneer het op geconsolideerd niveau wordt gebruikt, dat het AMA-kader van de moederinstelling wordt uitgebreid tot de dochterondernemingen, en dat het operationele risico en de in artikel 322, leden 1 en 6, van Verordening (EU) nr. 575/2013 bedoelde factoren inzake bedrijfsomgeving en interne controle (business environment and internal control factors, afgekort BEICF) van die dochterondernemingen in de AMA-berekeningen op groepsniveau worden opgenomen;

c)

dat het operationeelrisicomeetsysteem ook wordt gebruikt voor het in artikel 73 van Richtlijn 2013/36/EU bedoelde interne beoordelingsproces van de kapitaaltoereikendheid van de instelling.

a)

dat het operationeelrisicomeetsysteem regelmatig wordt bijgewerkt en verder wordt ontwikkeld naarmate meer ervaring en bekwaamheid bij beheer en kwantificering van operationeel risico wordt opgedaan;

b)

dat de aard en het evenwicht van de inputs in het operationeelrisicomeetsysteem relevant zijn en te allen tijde de aard van de bedrijfsactiviteiten, strategie, organisatie en blootstelling aan operationeel risico van de instelling weerspiegelen.

a)

dat het operationeelrisicobeheersysteem daadwerkelijk wordt gebruikt voor de regelmatige en prompte rapportage van samenhangende informatie die de aard van de bedrijfsactiviteiten en het operationeelrisicoprofiel van de instelling nauwkeurig weergeeft;

b)

dat de instelling na de ontvangst van informatie over de resultaten van het operationeelrisicomeetsysteem corrigerende maatregelen neemt om interne processen te verbeteren.

a)

dat de definitie van operationeelrisicotolerantie van de instelling en de bijbehorende doelstellingen en activiteiten op het gebied van operationeelrisicobeheer duidelijk worden bekendgemaakt binnen de instelling;

b)

dat de relatie tussen de bedrijfsstrategie en het operationeelrisicobeheer van de instelling, inclusief wat betreft de goedkeuring van nieuwe producten, systemen en processen, binnen de instelling duidelijk wordt bekendgemaakt;

c)

dat het operationeelrisicomeetsysteem de transparantie, het risicobewustzijn en de deskundigheid inzake operationeelrisicobeheer vergroot en stimulansen creëert om het operationeelrisicobeheer in de gehele instelling te verbeteren;

d)

dat de inputs en outputs van het operationeelrisicomeetsysteem worden gebruikt bij relevante beslissingen en plannen, inclusief de actieplannen, bedrijfscontinuïteitsplannen, werkplannen voor de interne audit, kapitaalallocatiebeslissingen, verzekeringsplannen en begrotingsbeslissingen van de instelling.

a)

dat, voordat toestemming wordt verleend om de AMA voor regelgevingsdoeleinden te gebruiken, de instelling haar eigenvermogensvereisten voor operationeel risico zowel heeft berekend met de AMA als met de minder verfijnde benadering die voorheen op haar van toepassing was, en dat deze berekening:

b)

dat de instelling ten minste de volgende elementen in acht neemt:

a)

dat de internevalidatiefunctie een weldoordacht en gefundeerd oordeel geeft over de vraag of het operationeelrisicomeetsysteem naar verwachting werkt, en dat de resultaten van het model geschikt zijn voor de diverse interne doeleinden en toezichtdoeleinden ervan, en dit ten minste eens per jaar;

b)

dat de auditfunctie de integriteit van operationeelrisicobeleid, -processen en -procedures ten minste eens per jaar verifieert en daarbij nagaat of deze voldoen aan de wettelijke vereisten en beproefde controlepraktijken, en met name dat de auditfunctie de kwaliteit van de voor operationeelrisicobeheer en -meting gebruikte bronnen en gegevens beoordeelt;

c)

dat de audit- en internevalidatiefuncties over een evaluatieprogramma beschikken dat de in deze verordening opgenomen aspecten van de AMA bestrijkt en regelmatig wordt bijgewerkt met betrekking tot:

d)

dat de interne validatie wordt uitgevoerd door gekwalificeerde middelen die onafhankelijk zijn van de gevalideerde eenheden;

e)

dat, wanneer auditactiviteiten worden uitgevoerd door interne of externe auditfuncties of gekwalificeerde externe partijen, deze onafhankelijk zijn van het te beoordelen proces of systeem en, wanneer deze zijn uitbesteed, dat het leidinggevend orgaan en de directie van de instelling ervoor verantwoordelijk blijven dat uitbestede functies overeenkomstig het goedgekeurde auditplan van de instelling worden uitgevoerd;

f)

dat de audit- en internevalidatiebeoordelingen van het AMA-kader naar behoren worden gedocumenteerd en de output ervan wordt verspreid onder de passende ontvangers binnen de instelling, waaronder, in voorkomend geval, de risicocomités, de operationeelrisicobeheerfunctie, het management van bedrijfsonderdelen en ander relevant personeel;

g)

dat de resultaten van de audit- en internevalidatiebeoordelingen ten minste eens per jaar worden samengevat en ter goedkeuring worden gerapporteerd aan het leidinggevend orgaan van de instelling of aan een door dit orgaan ingesteld comité;

h)

dat de beoordeling en goedkeuring van de doeltreffendheid van het AMA-kader van de instelling ten minste eens per jaar wordt verricht.

a)

dat de auditprogramma's voor toetsing van het AMA-kader betrekking hebben op alle belangrijke activiteiten die de instelling aan wezenlijke operationele risico's kunnen blootstellen, inclusief uitbestede activiteiten;

b)

dat de internevalidatietechnieken in verhouding staan tot veranderende markt- en bedrijfsomstandigheden, en dat de resultaten ervan worden onderworpen aan audit.

a)

gegevens om haar operationeelrisicogeschiedenis op te bouwen en te volgen, bestaande uit interne en externe gegevens, scenarioanalyse en BEICF;

b)

aanvullende gegevens, inclusief modelparameters, modeloutputs en verslagen.

a)

zij hebben voldoende breedte, diepte en reikwijdte voor de te verrichten taak;

b)

zij voldoen aan bestaande en potentiële behoeften van de gebruikers;

c)

zij worden onmiddellijk geactualiseerd;

d)

zij zijn geschikt voor en stroken met het gebruik ervan;

e)

zij geven nauwkeurig het werkelijke verschijnsel weer dat zij beogen weer te geven;

f)

zij zijn niet in strijd met enige bedrijfsregel in een databank die statisch en dynamisch moet worden bijgehouden.

a)

een overzichtskaart van de bij het operationeelrisicomeetsysteem betrokken databanken met beschrijvingen daarvan;

b)

een gegevensbeleid en een verantwoordelijkheidsverklaring;

c)

beschrijvingen van werkstromen en procedures in verband met verzameling en opslag van gegevens;

d)

een verklaring over de zwakke punten in de databanken van de validatie- en toetsingprocessen en een verklaring over de wijze waarop de instelling de geconstateerde zwakke punten wil corrigeren of verminderen.

a)

dat de IT-systemen en -infrastructuur van de instelling voor AMA-doeleinden deugdelijk en veerkrachtig zijn en dat deze eigenschappen continu kunnen worden gehandhaafd;

b)

dat de systeemontwikkelingscyclus voor AMA-doeleinden deugdelijk en passend is met betrekking tot:

c)

dat de voor AMA-doeleinden geïmplementeerde IT-infrastructuur van de instelling wordt onderworpen aan processen voor configuratiebeheer, wijzigingsbeheer en releasebeheer;

d)

dat de systeemontwikkelingscyclus en noodplannen voor AMA-doeleinden door het leidinggevend orgaan of de directie van de instelling worden goedgekeurd en dat het leidinggevend orgaan en de directie periodiek op de hoogte worden gesteld van de prestaties van de IT-infrastructuur voor AMA-doeleinden.

a)

dat de instelling interne documentatie heeft die in detail aangeeft hoe de vier elementen worden verzameld, gecombineerd en/of gewogen, inclusief een beschrijving van het modelleringsproces die het gebruik en de combinatie van de vier elementen en de redenen voor de modelleringskeuzen toelicht;

b)

dat de instelling goed begrijpt hoe elk van de vier elementen de AMA-eigenvermogensvereisten beïnvloedt;

c)

dat de combinatie van de door de instelling gebruikte vier elementen berust op deugdelijke statistische methoden die volstaan om hoge percentielen te ramen;

d)

dat de instelling bij het verzamelen, genereren en verwerken van de vier elementen ten minste de volgende criteria toepast:

a)

dat de instelling alle volgende elementen binnen de groep op duidelijke en consistente wijze verzamelt:

b)

dat de instelling in staat is om het brutoverliesbedrag, de goedmaking uit verzekering en andere mechanismen voor risico-overdracht en de goedmaking uit andere bronnen dan verzekering en andere mechanismen voor risico-overdracht als gevolg van een operationeelrisicogebeurtenis, met uitzondering van verliezen die binnen vijf werkdagen gedeeltelijk of geheel worden goedgemaakt, apart te identificeren;

c)

dat de instelling een systeem invoert voor het vaststellen van passende drempels voor gegevensverzameling op basis van het brutoverliesbedrag;

d)

dat de operationeelrisicocategorie redelijk is en geen verliesgegevens weglaat die belangrijk zijn voor doeltreffende operationeelrisicometing en risicobeheer;

e)

dat de instelling voor elk afzonderlijk verlies in staat is ten minste de volgende elementen in de interne databank te identificeren en te registreren:

a)

directe kosten voor de winst-en-verliesrekening, inclusief waardeverminderingen en afwikkelingskosten, en afschrijvingen als gevolg van de operationeelrisicogebeurtenis;

b)

kosten die voortvloeien uit de operationeelrisicogebeurtenis, waaronder:

c)

voorzieningen of reserves die in de winst-en-verliesrekening zijn opgenomen voor waarschijnlijke operationeelrisicoverliezen, inclusief die als gevolg van wanbeheergebeurtenissen;

d)

te verwachten verliezen, in de vorm van verliezen die voortvloeien uit een operationeelrisicogebeurtenis, die tijdelijk op tussenrekeningen of wachtrekeningen worden geboekt en nog niet in de winst-en-verliesrekening worden weerspiegeld, maar die zullen worden opgenomen binnen een termijn die in verhouding staat tot de omvang en de leeftijd van de te verwachten verliespost;

e)

aanzienlijke gederfde inkomsten in verband met contractuele verplichtingen met derden, inclusief de beslissing om een cliënt na een operationeelrisicogebeurtenis niet met een terugbetaling of rechtstreekse betaling schadeloos te stellen maar door een aanpassing van de inkomsten waarbij voor een bepaalde periode in de toekomst geheel of gedeeltelijk wordt afgezien van contractuele vergoedingen;

f)

timingverliezen, wanneer zij zich uitstrekken over meer dan één boekjaar en aanleiding geven tot juridisch risico.

a)

een voorval in de vorm van een nulverlies als gevolg van een operationeelrisicogebeurtenis, inclusief een IT-storing in de handelszaal net buiten de handelstijden;

b)

een door een operationeelrisicogebeurtenis veroorzaakte winst;

c)

opportuniteitskosten in de vorm van een toename van de kosten of een vermindering van de inkomsten als gevolg van operationeelrisicogebeurtenissen die onbepaalde toekomstige bedrijfsactiviteiten verhinderen, inclusief niet-begrote personeelskosten, gederfde inkomsten en projectkosten in verband met de verbetering van processen;

d)

interne kosten, inclusief overuren of bonussen.

a)

kosten van algemene onderhoudscontracten voor materiële bedrijfsmiddelen;

b)

interne of externe uitgaven ter versterking van het bedrijf na een operationeelrisicogebeurtenis, inclusief upgrades, verbeteringen, risicobeoordelingsinitiatieven en versterkingen;

c)

verzekeringspremies.

a)

dat het gehele bedrag van het geleden verlies of de gedane uitgaven, inclusief voorzieningen, afwikkelingskosten, schadeloosstellingen, boeten, achterstallige rente en juridische kosten, als geboekt verliesbedrag wordt beschouwd voor zowel het operationeelrisicobeheer als de berekening van de AMA-eigenvermogensvereisten, tenzij anders aangegeven;

b)

dat de instelling, wanneer de operationeelrisicogebeurtenis betrekking heeft op marktrisico, de kosten voor de afwikkeling van marktposities in het geboekte verliesbedrag van de operationeelrisicoposten opneemt; en dat, wanneer de positie na de ontdekking van de operationeelrisicogebeurtenis opzettelijk wordt aangehouden, het deel van het verlies als gevolg van ongunstige marktomstandigheden na het besluit om de positie aan te houden, niet wordt opgenomen in het geboekte verliesbedrag van de operationeelrisicoposten;

c)

dat de instelling, wanneer belastingbetalingen betrekking hebben op tekortkomingen of ondeugdelijke processen van de instelling, de als gevolg van een operationeelrisicogebeurtenis gedane uitgaven in het geboekte verliesbedrag van de operationeelrisicoposten opneemt, inclusief boeten, rentelasten, kosten van te late betaling en juridische kosten, met uitsluiting van het oorspronkelijk verschuldigde belastingbedrag;

d)

dat de instelling, wanneer sprake is van timingverliezen en de operationeelrisicogebeurtenis directe gevolgen heeft voor derden, waaronder cliënten, leveranciers en werknemers van de instelling, ook de correctie van het financieel overzicht in het geboekte verliesbedrag van de operationeelrisicoposten opneemt.

a)

door een cliënt van de instelling voor eigen rekening gepleegde fraude die in de beginfase van een kredietrelatie plaatsvindt ten aanzien van een kredietproduct of kredietproces, inclusief aanzetten tot verstrekking van leningen op basis van valse documenten of onjuiste financiële verklaringen, zoals niet-bestaande of overschatte zekerheden en valse salarisattesten;

b)

fraude die wordt gepleegd door de identiteit van een andere, onwetende persoon te gebruiken, inclusief leningaanvragen door middel van elektronische identiteitsfraude met gebruikmaking van gegevens van cliënten of fictieve identiteiten of frauduleus gebruik van creditcards van cliënten.

a)

de drempel voor gegevensverzameling in verband met de in lid 1 beschreven verliesgebeurtenissen wordt waar nodig aangepast tot een vergelijkbaar niveau als die van de andere operationeelrisicocategorieën van het AMA-kader;

b)

in het brutoverlies van de in lid 1 beschreven gebeurtenissen wordt het totale uitstaande bedrag ten tijde van de fraude of na de ontdekking van de fraude opgenomen, alsmede gerelateerde uitgaven, waaronder achterstallige rente en juridische kosten.

a)

dat de instelling, wanneer zij deelneemt aan consortia-initiatieven voor het verzamelen van operationeelrisicogebeurtenissen en -verliezen, in staat is gegevens van dezelfde kwaliteit qua reikwijdte, integriteit en volledigheid te verstrekken als interne gegevens die voldoen aan de in de artikelen 21, 22, 23 en 24 bedoelde normen, en dat zij dit stelselmatig doet met het soort gegevens dat volgens de rapportagenormen van de consortia vereist is;

b)

dat de instelling beschikt over een gegevensfilteringproces waarmee relevante externe gegevens kunnen worden geselecteerd aan de hand van specifieke vastgestelde criteria, en dat de gebruikte externe gegevens relevant zijn en stroken met het risicoprofiel van de instelling;

c)

dat het filteringproces, om vertekening in parameterschatting te voorkomen, ongeacht het verliesbedrag een samenhangende selectie van gegevens oplevert, en dat de instelling, wanneer zij uitzonderingen op dit selectieproces toestaat, beschikt over een beleid inzake criteria voor uitzonderingen en documentatie ter staving van de redenen voor deze uitzonderingen;

d)

dat, wanneer de instelling een datascalingsproces invoert waarmee de in externe gegevens gerapporteerde verliesbedragen worden aangepast aan de bedrijfsactiviteiten, de aard en het risicoprofiel van de instelling, dit datascalingsproces systematisch is, door statistieken wordt ondersteund en resultaten oplevert die stroken met het risicoprofiel van de instelling;

e)

dat het datascalingsproces van de instelling consistent blijft in de tijd en de geldigheid en doeltreffendheid ervan regelmatig worden getoetst.

a)

dat de instelling beschikt over een robuust governancekader met betrekking tot het scenarioproces, dat geloofwaardige en betrouwbare ramingen genereert, ongeacht of het scenario wordt gebruikt voor de evaluatie van zeer ernstige gebeurtenissen dan wel de totale blootstellingen aan operationeel risico;

b)

dat het scenarioproces duidelijk omschreven, goed gedocumenteerd en herhaalbaar is en zodanig is ontworpen dat subjectiviteit en vertekening zo veel mogelijk worden beperkt, waaronder:

c)

dat gekwalificeerde en ervaren facilitators zorgen voor consistentie in het proces;

d)

dat de in het scenarioproces gebruikte aannamen in de mate van het mogelijke gebaseerd zijn op de relevante interne en externe gegevens via een objectief en onvertekend selectieproces;

e)

dat het gekozen aantal scenario's en het niveau waarop of de eenheden waarin scenario's worden bestudeerd, realistisch zijn en naar behoren worden toegelicht, en dat de scenarioramingen rekening houden met relevante wijzigingen in de interne en externe omgeving die van invloed kunnen zijn op de blootstelling van de instelling aan operationeel risico;

f)

dat bij het genereren van de scenarioramingen rekening wordt gehouden met mogelijke of waarschijnlijke operationeelrisicogebeurtenissen die nog niet, volledig of ten dele, tot uiting zijn gekomen in een operationeelrisicoverlies;

g)

dat het scenarioproces en de scenarioramingen worden onderworpen aan een robuust onafhankelijk toetsingproces en toezicht.

a)

dat de BEICF van de instelling toekomstgericht zijn en de potentiële bronnen van operationeel risico weerspiegelen, inclusief snelle groei, de invoering van nieuwe producten, personeelsverloop en systeemstilstand;

b)

dat de instelling duidelijke richtsnoeren heeft die de omvang van verlagingen van de AMA-eigenvermogensvereisten als gevolg van BEICF-aanpassingen beperken;

c)

dat de onder b) bedoelde BEICF-aanpassingen gerechtvaardigd zijn en dat wordt bevestigd dat het niveau ervan passend is door een vergelijking in de tijd met de richting en omvang van de werkelijke interneverliesgegevens, omstandigheden in de bedrijfsomgeving en veranderingen in de gevalideerde doeltreffendheid van controles.

a)

dat de instelling een operationeelrisicomeetsysteem ontwikkelt, implementeert en onderhoudt dat op een deugdelijke methode berust, het feitelijke en potentiële operationele risico effectief weergeeft en betrouwbaar en robuust is bij het genereren van AMA-eigenvermogensvereisten;

b)

dat de instelling beschikt over passend beleid inzake de opbouw van de berekeningsdataset, overeenkomstig artikel 29;

c)

dat de instelling in haar model de passende mate van granulariteit hanteert, overeenkomstig artikel 30;

d)

dat de instelling beschikt over een passend proces voor de identificatie van verliesverdelingen, overeenkomstig artikel 31;

e)

dat de instelling op passende wijze de geaggregeerde verliesverdelingen en risicomaatstaven vaststelt, overeenkomstig artikel 32.

a)

dat door de instelling specifieke criteria en voorbeelden worden vastgesteld voor de indeling en behandeling van operationeelrisicogebeurtenissen en -verliezen in de berekeningsdataset, en dat dergelijke criteria en voorbeelden een consistente behandeling van verliesgegevens in de gehele instelling opleveren;

b)

dat de instelling in de berekeningsdataset geen gebruik maakt van verlies na aftrek van goedmakingen uit verzekering en andere mechanismen voor risico-overdracht;

c)

dat de instelling voor operationeelrisicocategorieën met een lage frequentie van gebeurtenissen een langere waarnemingsperiode heeft vastgesteld dan de in artikel 322, lid 3, onder a), van Verordening (EU) nr. 575/2013 bedoelde minimumperiode;

d)

dat de instelling bij de opbouw van de berekeningsdataset ten behoeve van het ramen van de frequentie- en ernstverdelingen alleen de datum van ontdekking of de datum van administratieve verwerking gebruikt, en geen datum later dan de datum van administratieve verwerking gebruikt voor de opneming van verliezen of voorzieningen in verband met juridisch risico in de berekeningsdataset;

e)

dat de keuze van de minimummodelleringsdrempel door de instelling geen afbreuk doet aan de nauwkeurigheid van de operationeelrisicomaatstaven en dat het gebruik van minimummodelleringsdrempels die veel hoger zijn dan de drempels voor gegevensverzameling, beperkt is en, in voorkomend geval, naar behoren wordt gemotiveerd door een door de instelling uitgevoerde gevoeligheidsanalyse van diverse drempels;

f)

dat de instelling alle operationele verliezen boven de gekozen minimummodelleringsdrempel in de berekeningsdataset opneemt en ongeacht de hoogte ervan gebruikt voor het genereren van de AMA-eigenvermogensvereisten;

g)

dat de instelling op de gegevens passende correctiepercentages toepast wanneer sprake is van wezenlijke gevolgen van inflatie of deflatie;

h)

dat verliezen veroorzaakt door een hoofdgebeurtenis in de vorm van een algemene operationeelrisicogebeurtenis of door meervoudige gebeurtenissen in verband met een initiële operationeelrisicogebeurtenis die gebeurtenissen of verliezen meebrengt, door de instelling worden gegroepeerd en als één enkel verlies in de berekeningsdataset worden opgenomen;

i)

dat eventuele uitzonderingen op de onder h) bedoelde behandeling naar behoren worden gedocumenteerd en gemotiveerd om onterechte verlaging van de AMA-eigenvermogensvereisten te voorkomen;

j)

dat de instelling geen wezenlijke aanpassingen van operationeelrisicoverliezen van enkelvoudige of verbonden gebeurtenissen uit de AMA-berekeningsdataset verwijdert wanneer de referentiedatum van deze aanpassingen in de waarnemingsperiode valt en de referentiedatum van de onder h) bedoelde initiële gebeurtenis of hoofdgebeurtenis buiten deze periode valt;

k)

dat de instelling in staat is om voor elk referentiejaar in de waarnemingsperiode de verliesbedragen met betrekking tot gebeurtenissen die in dat jaar zijn ontdekt of verwerkt, te onderscheiden van de verliesbedragen met betrekking tot aanpassingen of groepering van gebeurtenissen die in voorgaande jaren zijn ontdekt of verwerkt.

a)

dat de instelling rekening houdt met de aard, de complexiteit en de bijzondere kenmerken van haar bedrijfsactiviteiten en de operationele risico's waaraan zij is blootgesteld, wanneer zij risico's met gemeenschappelijke factoren groepeert en de operationeelrisicocategorieën van een AMA afbakent;

b)

dat de instelling haar keuze van de mate van granulariteit van de operationeelrisicocategorieën met kwalitatieve en kwantitatieve middelen motiveert, en dat zij operationeelrisicocategorieën op basis van homogene, onafhankelijke en stationaire gegevens indeelt;

c)

dat de keuze van de mate van granulariteit van de operationeelrisicocategorieën van de instelling realistisch is en geen nadelige gevolgen heeft voor het conservatisme van het modelresultaat of delen daarvan;

d)

dat de instelling regelmatig toetst of de keuze van de mate van granulariteit van haar operationeelrisicocategorieën nog steeds passend is.

a)

dat de instelling een welomschreven, gedocumenteerd en traceerbaar proces volgt voor de selectie, bijwerking en herziening van verliesverdelingen en de schatting van de parameters daarvan;

b)

dat het proces voor de selectie van de verliesverdelingen resulteert in consistente en duidelijke keuzes door de instelling, het risicoprofiel in de staart naar behoren weergeeft, en ten minste de volgende elementen omvat:

c)

dat de instelling bij het selecteren van een verliesverdeling zorgvuldig rekening houdt met de positieve scheefheid en leptokurtosis van de gegevens;

d)

dat, wanneer de gegevens zeer verspreid zijn over de staart, geen empirische curven worden gebruikt om het staartgebied te schatten, maar dat in plaats daarvan subexponentiële verdelingen worden gebruikt waarvan de staart langzamer afneemt dan bij exponentiële verdelingen, tenzij uitzonderlijke redenen bestaan om andere functies toe te passen, die in elk geval naar behoren worden gestaafd en ten volle worden gemotiveerd om onterechte verlaging van de AMA-eigenvermogensvereisten te voorkomen;

e)

dat de instelling, wanneer afzonderlijke verliesverdelingen worden gebruikt voor de romp en voor de staart, de keuze van de body-tailmodelleringsdrempel zorgvuldig overweegt;

f)

dat gedocumenteerde statistische ondersteuning, zo nodig aangevuld met kwalitatieve elementen, wordt verstrekt voor de geselecteerde body-tailmodelleringsdrempel;

g)

dat de instelling, bij het schatten van de parameters van de verdeling, rekening houdt met de onvolledigheid van de berekeningsdataset als gevolg van minimummodelleringsdrempels in het model, dan wel het gebruik van een onvolledige berekeningsdataset rechtvaardigt omdat het geen afbreuk doet aan de nauwkeurigheid van de parameterschattingen en AMA-eigenvermogensvereisten;

h)

dat de instelling over methoden beschikt om de variabiliteit van de schattingen van parameters te beperken en een maatstaf geeft van de fouten rond deze schattingen, waaronder betrouwbaarheidsintervallen en p-waarden;

i)

dat de instelling, wanneer zij robuuste schatters invoert in de vorm van generalisaties van klassieke schatters, met goede statistische eigenschappen zoals een hoge efficiëntie en lage vertekening voor een hele omgeving van de onbekende onderliggende verdeling van de gegevens kan aantonen dat het gebruik daarvan niet leidt tot onderschatting van het risico in de staart van de verliesverdeling;

j)

dat de instelling de goodness-of-fit tussen de gegevens en de geselecteerde verdeling beoordeelt met behulp van diagnostische instrumenten van grafische en kwantitatieve aard die gevoeliger zijn voor de staart dan voor de romp van de gegevens, vooral wanneer de gegevens zeer verspreid zijn over de staart;

k)

dat de instelling in voorkomend geval, zoals wanneer de diagnostische instrumenten niet leiden tot een duidelijke keuze voor de best passende verdeling of om het effect van de omvang van de steekproef en van het aantal geschatte parameters in de goodness-of-fit-tests te beperken, evaluatiemethoden gebruikt die de relatieve prestaties van de verliesverdelingen vergelijken, waaronder het aannemelijkheidsquotiënt, het Akaike-informatiecriterium en het Schwarz-Bayes-criterium;

l)

dat de instelling een regelmatige cyclus heeft voor het controleren van de aannamen die aan de geselecteerde verliesverdelingen ten grondslag liggen, en dat de instelling, wanneer aannamen onjuist blijken, inclusief wanneer zij waarden buiten de vastgestelde ranges genereren, alternatieve methoden heeft getest en eventuele wijzigingen van de aannamen naar behoren heeft ingedeeld overeenkomstig Gedelegeerde Verordening (EU) nr. 529/2014 van de Commissie (5).

a)

dat de daartoe door de instelling uitgewerkte technieken zorgen voor passende niveaus van precisie en stabiliteit van de risicomaatstaven;

b)

dat de risicomaatregelen worden aangevuld met informatie over de nauwkeurigheid ervan;

c)

dat de instelling, ongeacht de technieken die voor het aggregeren van frequentie en ernst van verliesverdelingen worden gebruikt, waaronder Monte-Carlosimulaties, aan fouriertransformatie gerelateerde methoden, Panjer-algoritme en single-loss-benaderingen, criteria vaststelt die fouten in verband met steekproeven en getallen beperken en een maatstaf bieden voor de omvang van deze fouten;

d)

dat, wanneer Monte-Carlosimulaties worden gebruikt, het aantal te nemen stappen strookt met de vorm van de verdelingen en met het te bereiken betrouwbaarheidsniveau;

e)

dat, wanneer de verdeling van verliezen dikstaartig is en wordt gemeten op een hoog betrouwbaarheidsniveau, het aantal stappen groot genoeg is om de steekproefvariabiliteit tot een aanvaardbaar niveau te beperken;

f)

dat, wanneer Fouriertransformatie of andere numerieke methoden worden gebruikt, voldoende aandacht wordt besteed aan de stabiliteit van algoritmen en foutvoortplanting;

g)

dat de door het operationeelrisicomeetsysteem gegenereerde risicomaatstaf van de instelling voldoet aan het monotoniecriterium van risico, hetgeen te zien is aan het genereren van hogere eigenvermogensvereisten wanneer het onderliggende risicoprofiel toeneemt en het genereren van lagere eigenvermogensvereisten wanneer het onderliggende risicoprofiel afneemt;

h)

dat de door het operationeelrisicomeetsysteem gegenereerde risicomaatstaf van de instelling uit bestuurlijk en economisch perspectief realistisch is, en dat de instelling passende technieken gebruikt om te voorkomen dat een bovengrens wordt gesteld aan het grootste afzonderlijke verlies, tenzij zij duidelijke objectieve redenen geeft voor het bestaan van een bovengrens, en om te voorkomen dat wordt geïmpliceerd dat het eerste statistische moment van de verdeling niet bestaat;

i)

dat de instelling uitdrukkelijk de robuustheid van de resultaten van het operationeelrisicomeetsysteem evalueert door een passende gevoeligheidsanalyse van de inputgegevens of parameters uit te voeren.

a)

de door de instelling gehanteerde methode voor de raming van verwachte verliezen strookt met het operationeelrisicomeetsysteem voor de raming van de AMA-eigenvermogensvereisten dat zowel de verwachte als de onverwachte verliezen omvat, en het proces van raming van het verwachte verlies geschiedt per operationeelrisicocategorie en is consistent in de tijd;

b)

de instelling definieert het verwachte verlies met gebruikmaking van statistieken die minder worden beïnvloed door extreme verliezen, waaronder mediaan en getrimd gemiddelde, met name in geval van gegevens met een gemiddelde of dikke staart;

c)

de door de instelling toegepaste maximale compensatie voor verwacht verlies is begrensd door het totale verwachte verlies, en de maximale compensatie voor verwacht verlies in elke operationeelrisicocategorie is begrensd door het desbetreffende verwachte verlies berekend door toepassing van het operationeelrisicomeetsysteem van de instelling op die categorie;

d)

de compensaties die de instelling voor verwacht verlies in elke operationeelrisicocategorie toestaat, zijn kapitaalsubstituten of zijn anderszins beschikbaar om verwacht verlies met een hoge mate van zekerheid gedurende de periode van één jaar te dekken;

e)

wanneer de compensatie een andere vorm heeft dan voorzieningen, beperkt de instelling de beschikbaarheid van de compensatie tot die activiteiten met zeer voorspelbare, stabiele en stelselmatige verliezen;

f)

de instelling gebruikt voor uitzonderlijke operationeelrisicoverliesgebeurtenissen die zich reeds hebben voorgedaan, geen specifieke reserves als compensaties voor verwacht verlies;

g)

de instelling documenteert duidelijk hoe haar verwachte verlies wordt gemeten en geregistreerd, inclusief de wijze waarop eventuele compensaties voor verwacht verlies voldoen aan de voorwaarden van de punten a) tot en met f).

a)

de instelling houdt zorgvuldig rekening met elke vorm van lineaire of niet-lineaire afhankelijkheid, met betrekking tot alle gegevens, voor de romp of de staart, over twee of meer operationeelrisicocategorieën of binnen een operationeelrisicocategorie;

b)

de instelling baseert haar aannamen inzake correlatie zo veel mogelijk op een passende combinatie van empirische analyse van gegevens en deskundige beoordeling;

c)

verliezen binnen elke operationeelrisicocategorie zijn onafhankelijk van elkaar;

d)

wanneer niet aan de voorwaarde van punt c) wordt voldaan, worden afhankelijke verliezen geaggregeerd;

e)

alleen wanneer niet aan de voorwaarden van de punten c) of d) wordt voldaan, wordt afhankelijkheid binnen de operationeelrisicocategorieën naar behoren gemodelleerd;

f)

de instelling houdt zorgvuldig rekening met afhankelijkheid tussen staartgebeurtenissen;

g)

de instelling baseert de afhankelijkheidsstructuur niet op Gaussische of bijna normale verdelingen;

h)

alle door de instellingen gebruikte aannamen inzake afhankelijkheid zijn conservatief gezien de onzekerheden met betrekking tot afhankelijkheidsmodellering voor operationeel risico, en de mate van conservatisme neemt toe naarmate de nauwkeurigheid van de aannamen inzake afhankelijkheid en de betrouwbaarheid van de daaruit voortvloeiende eigenvermogensvereisten afnemen;

i)

de instelling motiveert de door haar gebruikte aannamen inzake afhankelijkheid naar behoren, en zij voert regelmatig gevoeligheidsanalyses uit met het oog op de beoordeling van het effect van de aannamen inzake afhankelijkheid op de AMA-eigenvermogensvereisten.

a)

dat het kapitaalallocatiemechanisme van de instelling strookt met het risicoprofiel van de instelling en met de algemene opzet van het operationeelrisicomeetsysteem;

b)

dat bij de allocatie van de AMA-eigenvermogensvereisten rekening wordt gehouden met mogelijke interne verschillen in het risico en de kwaliteit van het operationeelrisicobeheer en de interne controle tussen de onderdelen van de groep waaraan de AMA-eigenvermogensvereisten worden toegewezen;

c)

dat er geen waarneembare bestaande of verwachte feitelijke of juridische belemmeringen een onmiddellijke overdracht van eigen vermogen of terugbetaling van verplichtingen in de weg staan;

d)

dat de allocatie van AMA-eigenvermogensvereisten van het geconsolideerde groepsniveau naar de bij het operationeelrisicomeetsysteem betrokken onderdelen van de groep berust op deugdelijke en, in de mate van het mogelijke, risicogevoelige methoden.

a)

dat de verzekeringsaanbieder voldoet aan de in artikel 323, lid 2, van Verordening (EU) nr. 575/2013 bedoelde vergunningsvereisten, overeenkomstig artikel 37;

b)

dat de verzekering wordt verstrekt door een derde als bedoeld in artikel 323, lid 3, onder e), van Verordening (EU) nr. 575/2013, overeenkomstig artikel 38;

c)

dat de instelling de meervoudige telling van risicolimiteringstechnieken als bedoeld in artikel 322, lid 2, onder e), van Verordening (EU) nr. 575/2013 vermijdt, overeenkomstig artikel 39;

d)

dat de berekening inzake risicolimitering de verzekeringsdekking op passende wijze weerspiegelt als bedoeld in artikel 323, lid 3, onder d), van Verordening (EU) nr. 575/2013, en dat het kader voor de inaanmerkingneming van verzekering goed onderbouwd en in documentatie vastgelegd is als bedoeld in artikel 323, lid 3, onder f), van die verordening:

e)

dat de door de instelling gehanteerde methode voor de inaanmerkingneming van verzekering door middel van kortingen op of verlagingen van het in aanmerking te nemen verzekeringsbedrag, rekening houdt met alle relevante elementen als bedoeld in artikel 323, lid 3, onder a) en b), en in artikel 323, lid 4, van Verordening (EU) nr. 575/2013, overeenkomstig artikel 43;

f)

dat de instelling aantoont dat met andere mechanismen voor risico-overdracht een merkbaar risicobeperkend effect bereikt wordt als bedoeld in artikel 323, lid 1, van Verordening (EU) nr. 575/2013, overeenkomstig artikel 44.

a)

de kans op goedmaking via verzekering raamt, alsmede de mogelijke termijn voor de ontvangst van betalingen door verzekeraars, inclusief de kans dat een claim wordt betwist, de duur van dat proces en de huidige afwikkelingspercentages en -voorwaarden, op basis van de ervaring van haar team dat het verzekeringsrisico beheert, waar nodig gestaafd door passende externe deskundigheid, inclusief van claimadviseurs, makelaars en verzekeringsondernemingen;

b)

de uit punt a) voortvloeiende ramingen gebruikt om de verzekeringsprestaties in geval van een operationeelrisicoverlies te beoordelen en dit proces ontwerpt met het oog op de beoordeling van de reactie van de verzekering voor alle relevante verlies- en scenariogegevens die in het operationeelrisicomeetsysteem worden ingevoerd;

c)

de verzekeringspolissen in kaart brengt op basis van de uit punt b) voortvloeiende beoordeling van de eigen operationele risico's van de instelling op een zo gedetailleerd mogelijk niveau, met gebruikmaking van alle beschikbare informatiebronnen, waaronder interne gegevens, externe gegevens en scenarioramingen;

d)

gebruikmaakt van passende deskundigheid en het in kaart brengen op transparante en consistente wijze verricht;

e)

een passend gewicht toekent aan de vroegere en verwachte verzekeringsprestaties via een beoordeling van de onderdelen van de verzekeringspolis;

f)

formele goedkeuring verkrijgt van de bevoegde risico-instantie of het bevoegde risicocomité;

g)

het in kaart brengen van verzekeringen periodiek opnieuw onderzoekt.

a)

zij is consistent met het operationeelrisicomeetsysteem dat is vastgesteld om de verliezen zonder aftrek van verzekering te kwantificeren;

b)

zij is transparant in haar relatie met de daadwerkelijke kans op en impact van verliezen die bij de algehele vaststelling door de instelling van haar AMA-eigenvermogensvereisten worden gebruikt, en is eveneens consistent met die relatie.

a)

dat de instelling het gebruik van verzekering heeft herzien en de AMA-eigenvermogensvereisten heeft herberekend, naargelang van het geval, wanneer de aard van de verzekering aanzienlijk is veranderd of zich een grote verandering heeft voorgedaan in het operationeelrisicoprofiel van de instelling;

b)

dat de instelling, wanneer substantiële verliezen worden geleden die gevolgen hebben voor de verzekeringsdekking, de AMA-eigenvermogensvereisten herberekent met een extra voorzichtigheidsmarge;

c)

dat de instelling, wanneer sprake is van onverwachte beëindiging of verlaging van de verzekeringsdekking, bereid is de verzekeringspolis onmiddellijk te vervangen door een polis met gelijkwaardige of betere voorwaarden en dekking, of haar AMA-eigenvermogensvereisten tot een niveau zonder aftrek van verzekering te verhogen;

d)

dat de instelling het kapitaal zonder en met aftrek van verzekering berekent met een zodanige mate van granulariteit dat een uitholling van het beschikbare verzekeringsbedrag, waaronder door betaling van een substantieel verlies of een verandering in de verzekeringsdekking, onmiddellijk kan worden vastgesteld voor het effect ervan op de AMA-eigenvermogensvereisten.

a)

dat de instelling de diverse factoren onderzoekt die het risico creëren dat de verzekeringsaanbieder de betalingen niet zoals verwacht verricht en die dus afbreuk doen aan de doeltreffendheid van de risico-overdracht, waaronder het vermogen van de verzekeraar om tijdig te betalen en het vermogen van de instelling om de claim tijdig te identificeren, te analyseren en in te dienen;

b)

dat de instelling onderzoekt hoe de onder a) bedoelde diverse factoren het limiterende effect van verzekering op het operationeelrisicoprofiel in het verleden hebben beïnvloed en hoe zij dit in de toekomst kunnen beïnvloeden;

c)

dat de instelling de onder a) bedoelde onzekerheden in haar AMA-eigenvermogensvereisten uitdrukt, door middel van voldoende conservatieve verlagingen;

d)

dat de instelling zorgvuldig rekening houdt met de kenmerken van de verzekeringspolissen, bijvoorbeeld of deze polissen alleen verliezen dekken die tijdens de looptijd van de polis worden geclaimd of gemeld bij de verzekeraar en elk na het aflopen van de polis ontdekte verlies dus niet gedekt is, en of zij verliezen dekken die tijdens de looptijd van de polis worden geleden, zelfs als de ontdekking ervan en de indiening van de claim bij de verzekeraar pas na het aflopen van de polis plaatsvinden, en of het hierbij gaat om directe verliezen van de eerste partij of verliezen waarvoor een derde partij aansprakelijk is;

e)

dat de instelling rekening houdt met gegevens over verzekeringsuitkeringen per soort verlies in haar verliesdatabanken en deze volledig documenteert, en de verlagingen dienovereenkomstig vaststelt;

f)

dat de instelling beschikt over procedures voor verliesidentificatie, analyse en behandeling van claims, om de daadwerkelijke door de verzekeraar geboden dekking te verifiëren en na te gaan of de uitbetaling van de claim binnen een redelijke termijn kan worden ontvangen;

g)

dat de instelling de verlagingen met betrekking tot elk van de geïdentificeerde relevante onzekerheden uitdrukkelijk kwantificeert en afzonderlijk modelleert, in plaats van in de berekening één enkele verlaging toe te passen voor alle onzekerheden of na de berekening een verlaging toe te passen;

h)

dat de instelling ten volle rekening houdt met de erkenning van het risico in verband met het vermogen van de verzekeraar om claims uit te betalen, door in de verzekeringsmodelleringsmethode passende verlagingen toe te passen;

i)

dat de instelling ervoor zorgt dat het risico in verband met het vermogen om claims uit te betalen bij in gebreke blijven van een tegenpartij wordt beoordeeld op basis van de kredietkwaliteit van de verzekeringsonderneming die verantwoordelijk is krachtens de betrokken verzekeringsovereenkomst, ongeacht of de moederinstelling van de verzekeringsonderneming een betere rating heeft dan wel het risico is overgedragen aan een derde partij;

j)

dat de instelling uitgaat van conservatieve aannamen met betrekking tot de vernieuwing van verzekeringspolissen tegen gelijkwaardige voorwaarden en dekking als bij de oorspronkelijke of bestaande contracten;

k)

dat de instelling over processen beschikt om ervoor te zorgen dat de mogelijke uitputting van de limieten van de verzekeringspolis en de prijs en beschikbaarheid van vervangende dekking, alsmede de gevallen waarin de dekking van het verzekeringscontract niet strookt met het operationeelrisicoprofiel van de instelling, naar behoren worden weerspiegeld in haar AMA-verzekeringsmethode.

a)

wanneer de instelling het bestaan van doorlopende dekking tegen gelijkwaardige of betere voorwaarden gedurende ten minste 365 dagen kan aantonen;

b)

wanneer de instelling een polis heeft die, behalve wegens niet-betaling van premies, niet door de verzekeraar kan worden opgezegd of die een opzegtermijn van meer dan één jaar heeft.

a)

zij bevestigen dat de instelling ervaring heeft met het gebruik van andere mechanismen voor risico-overdracht en de kenmerken daarvan, inclusief dekkingskans en stiptheid van betaling, voordat deze instrumenten in aanmerking kunnen worden genomen in het operationeelrisicomeetsysteem van de instelling;

b)

zij weigeren andere mechanismen voor risico-overdracht als risicolimiterende instrumenten van de AMA-eigenvermogensvereisten in aanmerking te nemen wanneer deze mechanismen niet voor risicobeheerdoeleinden maar voor handelsdoeleinden worden aangehouden of gebruikt;

c)

zij verifiëren de geschiktheid van de verkoper van de bescherming, inclusief of het om een gereglementeerde of niet-gereglementeerde entiteit gaat, en de aard en de kenmerken van de geboden bescherming, of het gaat om gefinancierde bescherming, securitisatie, garantiemechanismen of derivaten;

d)

zij bevestigen dat uitbestede activiteiten niet als onderdeel van andere mechanismen voor risico-overdracht worden beschouwd;

e)

zij bevestigen dat de instelling de AMA-eigenvermogensvereisten voor elke kapitaalberekening zonder en met aftrek van andere mechanismen voor risico-overdracht berekent, met een zodanige mate van granulariteit dat een uitholling van het beschikbare beschermingsbedrag onmiddellijk kan worden vastgesteld voor het effect ervan op de kapitaalvereisten;

f)

zij bevestigen dat de instelling, wanneer substantiële verliezen worden geleden die gevolgen hebben voor de door andere mechanismen voor risico-overdracht geboden dekking of wanneer veranderingen in de contracten inzake deze mechanismen leiden tot grote onzekerheid omtrent de dekking, haar AMA-eigenvermogensvereisten herberekent met een extra voorzichtigheidsmarge.

a)

deze verordening is van toepassing vanaf één jaar na de inwerkingtreding;

b)

artikel 34, onder g), is van toepassing vanaf twee jaar na de inwerkingtreding.