6.7.2018   

PL

Dziennik Urzędowy Unii Europejskiej

L 169/1

(1)

Na potrzeby obliczania wartości wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego w art. 312 ust. 2 akapit pierwszy rozporządzenia (UE) nr 575/2013 przewidziano, że właściwe organy zezwalają instytucjom na stosowanie metod zaawansowanego pomiaru na podstawie ich własnych systemów pomiaru ryzyka operacyjnego, jeśli spełnione są wszystkie standardy jakościowe i ilościowe określone w tym artykule oraz jeśli instytucje stale spełniają wszystkie te wymogi. W rezultacie taka ocena nie tylko odnosi się do pierwotnego wniosku instytucji o udzielenie zezwolenia na stosowanie metody zaawansowanego pomiaru, ale i jest stosowana na bieżąco.

(2)

Różne elementy składające się na ramy stosowania metody zaawansowanego pomiaru w danej instytucji nie powinny być oceniane osobno; należy raczej poddawać je przeglądowi i oceniać jako pakiet powiązanych ze sobą elementów, aby zapewnić zadowalający dla właściwych organów odpowiedni poziom zgodności każdej części tych ram.

(3)

Właściwe organy nie powinny przeprowadzać oceny zgodności instytucji z wymogami określonymi w art. 312 ust. 4 lit. a) i b) rozporządzenia (UE) nr 575/2013, na podstawie których udzielane jest zezwolenie na stosowanie metod zaawansowanego pomiaru, w jednolity sposób. Charakter elementów, które należy poddać ocenie, jest różny w zależności od rodzaju przeprowadzanej oceny, co z kolei zależy od rodzaju złożonego wniosku. Obowiązkiem właściwych organów jest ocena zgodności w przypadkach, w których: instytucja składa pierwszy wniosek o udzielenie zezwolenia na stosowanie metody zaawansowanego pomiaru, instytucja składa wniosek o rozszerzenie metody zaawansowanego pomiaru zgodnie z przyjętym planem stopniowego wdrożenia, instytucja składa wniosek o rozszerzenie lub zmianę metody zaawansowanego pomiaru, na której stosowanie uzyskała zezwolenie, lub instytucja składa wniosek o powrót do stosowania mniej zaawansowanych metod zgodnie z art. 313 rozporządzenia (UE) nr 575/2013. Ponadto właściwe organy powinny przeprowadzać ciągłą kontrolę stosowania metod zaawansowanego pomiaru przez instytucje. Właściwe organy powinny zatem przeprowadzać ocenę spełnienia przez instytucje wymogów stosowania metod zaawansowanego pomiaru zgodnie z charakterem elementów, które mają zostać poddane ocenie, odpowiednio do właściwych metod oceny.

(4)

W art. 85 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE (2) zawarto wymóg, by instytucje określiły, co stanowi ryzyko operacyjne do celów wdrożenia polityk i procedur, za pomocą których będą one oceniać ekspozycję na ryzyko operacyjne i nią zarządzać. W rozporządzeniu (UE) nr 575/2013 przedstawiono definicję „ryzyka operacyjnego”, która obejmuje zarówno ryzyko prawne, jak i ryzyko modelu. W art. 3 ust. 1 dyrektywy 2013/36/UE termin „ryzyko modelu” odnosi się do potencjalnych strat poniesionych z powodu błędów w opracowaniu, wdrażaniu lub stosowaniu modeli wewnętrznych, lecz nie obejmuje potencjalnych strat poniesionych z powodu korekt wyceny wynikających z ryzyka modelu, o których mowa w art. 105 (dotyczącym ostrożnej wyceny) rozporządzenia (UE) nr 575/2013 lub w rozporządzeniu delegowanym Komisji (UE) 2016/101 (3), ani nie odnosi się do ryzyka modelu związanego ze stosowaniem potencjalnie nieprawidłowej metody wyceny, o którym mowa w art. 105 ust. 13 rozporządzenia (UE) nr 575/2013. W rozporządzeniu (UE) nr 575/2013 podobnie nie określono, w jaki sposób właściwe organy powinny weryfikować zgodność z wymogiem określenia wszelkiego ryzyka operacyjnego związanego z ryzykiem prawnym i ryzykiem modelu. Takie doprecyzowanie powinny zatem zawierać przepisy określające metodę oceny, którą właściwe organy powinny stosować przy ocenie tego, czy instytucje mogą stosować metody zaawansowanego pomiaru.

(5)

Konieczna jest także harmonizacja metod nadzoru w odniesieniu do prawidłowego określania ryzyka operacyjnego związanego z transakcjami finansowymi, w tym transakcjami narażonymi na ryzyko rynkowe, gdyż wykazano, że ryzyko operacyjne związane z tymi transakcjami jest znaczne, a spójne wykrywanie i rejestrowanie czynników wpływających na poziom tego ryzyka, które zazwyczaj mają wielowymiarowy charakter, może nie być możliwe w całej Unii.

(6)

Standardy, które należy uwzględnić w obowiązujących w instytucji ramach zarządzania instytucją i ramach zarządzania ryzykiem, określono w art. 74 dyrektywy 2013/36/UE i art. 321 rozporządzenia (UE) nr 575/2013. W rezultacie w metodach oceny metod zaawansowanego pomiaru należy przewidzieć dokonanie przez właściwe organy weryfikacji, czy instytucja ma wyraźną strukturę organizacyjną zapewniającą odpowiednie administrowanie i zarządzanie ryzykiem operacyjnym oraz precyzyjnie zdefiniowane, przejrzyste i spójne zakresy obowiązków uwzględniające charakter, skalę i złożoność działalności danej instytucji, przy czym należy to uwzględnić podczas oceniania, czy dana instytucja może stosować metody zaawansowanego pomiaru. W szczególności należy ustalić, czy funkcja zarządzania ryzykiem operacyjnym odgrywa kluczową rolę w określaniu, mierzeniu, ocenie, monitorowaniu, kontrolowaniu i ograniczaniu ryzyka operacyjnego, na które narażona jest instytucja, oraz czy funkcja ta jest dostatecznie niezależna od jednostek gospodarczych instytucji, by zagwarantować niezależne i obiektywne zalecenia i profesjonalny osąd. Należy również ustalić, czy kadra kierownicza wyższego szczebla odpowiada za opracowanie i wdrożenie systemu zarządzania i administrowania ryzykiem operacyjnym zatwierdzonego przez organ zarządzający oraz czy system ten jest konsekwentnie wdrażany w całej strukturze organizacyjnej instytucji. Właściwe organy powinny także ocenić, czy na wszystkich szczeblach roboczych zapewniono odpowiednie narzędzia i informacje umożliwiające wszystkim pracownikom zrozumienie swoich obowiązków związanych z zarządzaniem ryzykiem operacyjnym.

(7)

Warunkiem niezbędnym należytego zarządzania wewnętrznego są skuteczne systemy sprawozdawczości wewnętrznej. Właściwe organy powinny zatem zapewnić wprowadzenie przez instytucję wnioskującą o zezwolenie na stosowanie metod zaawansowanego pomiaru skutecznych systemów raportowania ryzyka nie tylko organowi zarządzającemu i kadrze kierowniczej wyższego szczebla, ale także wszystkim funkcjom odpowiedzialnym za zarządzanie ryzykiem operacyjnym, na które instytucja jest lub może być narażona. System raportowania powinien odzwierciedlać aktualny status problemów związanych z ryzykiem operacyjnym w instytucji i uwzględniać wszelkie istotne aspekty zarządzania ryzykiem operacyjnym i jego pomiaru.

(8)

Zgodnie z art. 321 lit. a) rozporządzenia (UE) nr 575/2013 wewnętrzny system pomiaru ryzyka operacyjnego danej instytucji jest ściśle powiązany z jej bieżącymi procedurami zarządzania ryzykiem. W rezultacie w metodzie oceny metody zaawansowanego pomiaru należy przewidzieć nałożenie na instytucję wnioskującą o zezwolenie na stosowanie metody zaawansowanego pomiaru obowiązku faktycznego stosowania systemu pomiaru ryzyka operacyjnego instytucji w bieżących procesach biznesowych i do celów bieżącego zarządzania ryzykiem, a nie tylko do celów obliczania wartości wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego. W przepisach regulujących przeprowadzaną przez organy nadzoru ocenę metod zaawansowanego pomiaru należy zatem uwzględnić przepisy dotyczące oczekiwań organów nadzoru, które musi spełnić instytucja wnioskująca o zezwolenie na stosowanie metod zaawansowanego pomiaru w odniesieniu do „testów praktycznych”.

(9)

W celu dostarczenia zarówno instytucjom, jak i właściwym organom dowodów na to, że system pomiaru ryzyka operacyjnego instytucji jest wiarygodny i prawidłowy oraz pozwala obliczyć wartość wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego w sposób bardziej wiarygodny niż prostsza regulacyjna metoda pomiaru ryzyka operacyjnego, właściwe organy powinny ustalić, czy dana instytucja dokonała obejmującego określony okres porównania systemu pomiaru ryzyka operacyjnego z metodą wskaźnika bazowego lub metodą standardową obliczania ryzyka operacyjnego, o których mowa w art. 315, 317 i 319 rozporządzenia (UE) nr 575/2013. Okres ten powinien być wystarczająco długi, by właściwy organ mógł ustalić, czy instytucja spełnia przewidziane w rozporządzeniu (UE) nr 575/2013 standardy jakościowe i ilościowe warunkujące stosowanie metody zaawansowanego pomiaru.

(10)

Zgodnie z art. 321 lit. g) rozporządzenia (UE) nr 575/2013 wymaga się, by przepływy danych oraz procedury związane z systemem pomiaru ryzyka według metody zaawansowanego pomiaru w instytucji były przejrzyste i dostępne. Dane dotyczące ryzyka operacyjnego nie są natychmiast dostępne, jako że muszą najpierw zostać zidentyfikowane w księgach i archiwach instytucji, a następnie prawidłowo zgromadzone i przechowywane. Co więcej, system pomiaru jest zazwyczaj bardzo złożony i obliczenie wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru wymaga kilku kroków logicznych i obliczeniowych. Metodyka oceny metody zaawansowanego pomiaru powinna zatem pozwolić na sprawdzenie, czy mechanizmy służące zapewnieniu jakości danych i systemy informatyczne zostały odpowiednio zaprojektowane i prawidłowo wdrożone w instytucji, tak aby służyły celom, do jakich je stworzono.

(11)

Ramy stosowania metody zaawansowanego pomiaru w danej instytucji podlegają walidacji wewnętrznej i przeglądom przeprowadzanym przez audytorów zgodnie z art. 321 lit. e) i f) rozporządzenia (UE) nr 575/2013. Choć struktury organizacyjne funkcji walidacji wewnętrznej i audytu różnią się w zależności od charakteru, złożoności i działalności instytucji, należy zapewnić, by metoda oceny metody zaawansowanego pomiaru w odniesieniu do przeglądów przeprowadzanych w ramach tych funkcji była zgodna ze wspólnymi kryteriami dotyczącymi warunków i zakresu takich przeglądów.

(12)

Modelowanie ryzyka operacyjnego to stosunkowo nowa i rozwijającą się dyscyplina. W związku z tym w art. 322 rozporządzenia (UE) nr 575/2013 przyznano instytucjom znaczną elastyczność w opracowywaniu systemów pomiaru ryzyka operacyjnego na potrzeby obliczania wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru. Taka elastyczność nie powinna jednak prowadzić do znacznych różnic między instytucjami w zakresie głównych elementów systemów pomiaru, w tym korzystania z danych wewnętrznych, danych zewnętrznych, analizy scenariuszy i czynników otoczenia biznesowego i kontroli wewnętrznej (znanych jako i zwanych dalej „czterema elementami”), głównych założeń modelowania, które pozwalają uwzględnić skrajne zdarzenia w ogonie rozkładu i powiązane czynniki ryzyka (tworzenie zbioru danych obliczeniowych, stopień szczegółowości, określenie rozkładu strat i określenie łącznego rozkładu strat i miar ryzyka) lub oczekiwanej straty, korelacji i kryteriów alokacji kapitału, które powinny zapewnić wewnętrzną spójność systemu pomiaru. Dlatego też, aby zapewnić solidne podstawy metodyczne systemu pomiaru ryzyka, jego porównywalność z systemami innych instytucji, skuteczność tego systemu w określaniu rzeczywistego i potencjalnego ryzyka operacyjnego w instytucji oraz obliczanie przez ten system w sposób wiarygodny i prawidłowy wartości regulacyjnych wymogów kapitałowych według metod zaawansowanego pomiaru, metodyka oceny metody zaawansowanego pomiaru powinna przewidywać stosowanie przez właściwe organy w całej Unii takich samych kryteriów i wymogów. Metodologia oceny metody zaawansowanego pomiaru powinna także uwzględniać idiosynkratyczne elementy ryzyka operacyjnego związane z różną wielkością, charakterem i złożonością instytucji.

(13)

W szczególności w odniesieniu do danych wewnętrznych należy uwzględnić fakt, że choć strata wynikła z ryzyka operacyjnego może zostać poniesiona wyłącznie wskutek zdarzenia ryzyka operacyjnego, na jej wystąpienie mogą wskazywać różne pozycje, w tym obciążenia bezpośrednie, koszty, rezerwy i niepobrane przychody. Choć wpływ niektórych zdarzeń ryzyka operacyjnego jest mierzalny i znajduje odzwierciedlenie w sprawozdaniu finansowym instytucji, inne zdarzenia nie poddają się ocenie ilościowej i nie mają wpływu na wynik wykazany przez instytucję w sprawozdaniu finansowym, co oznacza, że można je wykryć na podstawie innych źródeł, w tym archiwów kierownictwa i zbiorów danych o incydentach. W przepisach określających metodykę stosowaną przez właściwe organy w celu przeprowadzenia oceny stanowiącej podstawę udzielenia zezwolenia na stosowanie metod zaawansowanego pomiaru należy określić, co stanowi stratę wynikłą z ryzyka operacyjnego i kwotę, którą należy odnotować na potrzeby metody zaawansowanego pomiaru, oraz, bardziej ogólnie, wszelkie potencjalne pozycje, które mogłyby wskazywać na wystąpienie zdarzenia ryzyka operacyjnego.

(14)

Instytucje są niekiedy w stanie szybko odzyskać pojawiające się straty wynikłe z ryzyka operacyjnego. Choć szybko odzyskane straty mogą okazać się przydatne do celów zarządczych, nie należy uwzględniać ich w obliczeniach wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru. Instytucje stosują różne kryteria uznawania strat za szybko odzyskane, stąd przepisy regulujące metodykę oceny metody zaawansowanego pomiaru powinny obejmować przepisy określające stosowne kryteria uznawania strat za szybko odzyskane straty.

(15)

Właściwe organy mogą uznać techniki ograniczania ryzyka stosowane w ramach metod zaawansowanego pomiaru, o ile spełnione są określone warunki, o których mowa w art. 323 rozporządzenia (UE) nr 575/2013. Aby skutecznie stosować przepisy dotyczące tych technik ograniczania ryzyka, właściwe organy muszą stosować szczegółowe standardy przy ocenie stosowania tych przepisów przez instytucję. W szczególności jeśli odnośne techniki ograniczania ryzyka przyjmują formę ubezpieczenia, należy zapewnić, aby dostawcą takiego ubezpieczenia był zakład ubezpieczeń posiadający zezwolenie na prowadzenie działalności w Unii lub w jurysdykcjach stosujących wobec zakładów ubezpieczeń równoważne z unijnymi standardy regulacyjne.

(16)

Jeśli techniki ograniczania ryzyka przyjmują formę mechanizmów transferu ryzyka innych niż ubezpieczenie, właściwe organy powinny zapewnić, by mechanizmy te były rzeczywiście stosowane w celu transferu ryzyka, a nie w celu obejścia wymogów w zakresie funduszy własnych obliczonych według metod zaawansowanego pomiaru. Jest to warunek o kluczowym znaczeniu w świetle specyfiki ryzyka operacyjnego, w przypadku którego niemożliwe jest wyraźne określenie referencyjnych aktywów bazowych, a nieoczekiwane straty odgrywają większą rolę niż w przypadku innych rodzajów ryzyka. Sytuację dodatkowo pogarsza brak efektywnego, płynnego i ustrukturyzowanego rynku „produktów” ryzyka operacyjnego, które dotychczas były przedmiotem obrotu poza sektorem bankowym, np. w postaci obligacji katastroficznych i pogodowych instrumentów pochodnych. Ponadto ocena ryzyka prawnego związanego z takimi mechanizmami jest zwykle bardzo trudna, nawet jeśli wyraźnie i starannie określono warunki umów.

(17)

Aby umożliwić płynne przejście instytucjom, które mają już zezwolenie na stosowanie metod zaawansowanego pomiaru lub które złożyły wniosek o zezwolenie na stosowanie tych metod przed wejściem niniejszego rozporządzenia w życie, właściwe organy powinny stosować niniejsze rozporządzenie w zakresie oceny metod zaawansowanego pomiaru stosowanych przez te instytucje dopiero po zakończeniu określonego okresu przejściowego. W związku z tym, że regularny przegląd metod zaawansowanego pomiaru przewidziany w art. 101 ust. 1 dyrektywy 2013/36/UE przeprowadzany jest zazwyczaj raz w roku, odnośny okres przejściowy powinien wynieść rok od daty wejścia niniejszego rozporządzenia w życie.

(18)

Instytucje, które stosują rozkłady normalne (Gaussa) w celu określenia korelacji w ramach wszystkich lub niektórych stosowanych przez nie metod zaawansowanego pomiaru, nie powinny już ich stosować na potrzeby swoich metod zaawansowanego pomiaru, jako że takie założenia sugerowałyby niezależność w ogonie rozkładu w kategoriach ryzyka operacyjnego, wykluczając w ten sposób możliwość jednoczesnego wystąpienia dużych strat różnego rodzaju, co nie jest założeniem ani ostrożnym, ani realistycznym. Należy zatem wyznaczyć odpowiednio długi okres, aby umożliwić tym instytucjom płynne przejście do nowego systemu, w ramach którego w systemie pomiaru ryzyka operacyjnego wprowadza się ostrożniejsze założenia, sugerujące pozytywną zależność w ogonie rozkładu. Wdrożenie tych założeń może wymagać zmiany niektórych kluczowych elementów ram stosowania metod zaawansowanego pomiaru i powiązanych procedur, stąd stosowne jest wyznaczenie dwuletniego okresu przejściowego.

(19)

Podstawę niniejszego rozporządzenia stanowi projekt regulacyjnych standardów technicznych przedłożony Komisji przez Europejski Urząd Nadzoru Bankowego.

(20)

Europejski Urząd Nadzoru Bankowego przeprowadził otwarte konsultacje publiczne na temat tego projektu regulacyjnych standardów technicznych, dokonał analizy potencjalnych powiązanych kosztów i korzyści oraz zasięgnął opinii Bankowej Grupy Interesariuszy ustanowionej zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 (4),

a)

zgodność z elementami określonymi w art. 3–6;

b)

zgodność z przepisami rozdziałów 2 i 3;

c)

zgodność z przepisami rozdziału 4 w przypadku instytucji, które przyjęły ubezpieczenie jako mechanizm transferu ryzyka oraz inne mechanizmy transferu ryzyka przewidziane w przywołanym rozdziale.

a)

ocena istotności rozszerzeń i zmian w metodach zaawansowanego pomiaru stosowanych przez instytucję;

b)

ocena planu stopniowego wdrażania metod zaawansowanego pomiaru stosowanych przez instytucję;

c)

ocena powrotu instytucji do stosowania mniej zaawansowanych metod zgodnie z art. 313 rozporządzenia (UE) nr 575/2013;

d)

bieżące przeglądy metod zaawansowanego pomiaru stosowanych przez instytucję.

1)

„modelowanie progu korpus-ogon” oznacza wartość straty oddzielającą korpus od ogona rozkładu strat;

2)

„zbiór danych obliczeniowych” oznacza część zgromadzonych danych, rzeczywistych lub konstruowanych, która spełnia warunki niezbędne do wykorzystania jej jako danych wejściowych do systemu pomiaru ryzyka operacyjnego;

3)

„próg gromadzenia danych” oznacza wartość straty, po osiągnięciu której instytucja identyfikuje i gromadzi dane o stracie wynikłej z ryzyka operacyjnego na potrzeby zarządzania i pomiaru;

4)

„data ujęcia” oznacza datę pierwszego ujęcia straty lub rezerwy na zdarzenie ryzyka operacyjnego w rachunku zysków i strat;

5)

„minimalny próg modelowania” oznacza wartość straty, po osiągnięciu której empiryczne lub parametryczne rozkłady częstotliwości i dotkliwości są dopasowywane do strat wynikłych z ryzyka operacyjnego;

6)

„strata brutto” lub „strata” oznaczają stratę wynikłą ze zdarzenia ryzyka operacyjnego przed odzyskaniem jakichkolwiek środków;

7)

„uchybienie” oznacza zdarzenie ryzyka operacyjnego wynikające z zaniedbania lub umyślnego uchybienia, w tym z niewłaściwego świadczenia usług finansowych;

8)

„kategoria ryzyka operacyjnego” oznacza poziom, np. rodzaj zdarzenia lub linię biznesową, na którym system pomiaru ryzyka operacyjnego instytucji generuje osobne rozkłady częstotliwości i dotkliwości;

9)

„profil ryzyka operacyjnego” oznacza przedstawienie rzeczywistego i potencjalnego ryzyka operacyjnego w instytucji w wartościach bezwzględnych w określonym momencie;

10)

„tolerancja na ryzyko operacyjne” oznacza wyrażony w wartościach bezwzględnych, dokonany przez instytucję perspektywiczny ogląd zagregowanego poziomu i rodzajów ryzyka operacyjnego, które instytucja jest gotowa ponieść lub na poniesienie których instytucja jest przygotowana, nie stanowiące zagrożenia dla jej celów strategicznych i biznesplanu;

11)

„odzyskanie” oznacza zdarzenie związane ze stratą pierwotną, które ma miejsce niezależnie od tej straty i jest od niej oddzielone czasowo, polegające na otrzymaniu środków lub wpływów korzyści gospodarczych od osób pierwszych lub osób trzecich;

12)

„miara ryzyka” oznacza pojedynczą pozycję danych statystycznych dotyczącą ryzyka operacyjnego wyodrębnioną z łącznego rozkładu strat na pożądanym poziomie ufności, w tym wartość zagrożoną (VaR) lub miarę braków, np. oczekiwany niedobór (ang. Expected Shortfall) lub medianę niedoboru (ang. Median Shortfall);

13)

„cykl rozwoju systemu” oznacza proces planowania, tworzenia, testowania i wdrażania infrastruktury informatycznej;

14)

„strata czasowa” oznacza ujęte w okresie obrachunkowym negatywne skutki gospodarcze wywołane zdarzeniem ryzyka operacyjnego wywierającym wpływ na przepływy środków pieniężnych lub sprawozdania finansowe za poprzednie okresy obrachunkowe.

a)

instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty lub inne koszty wynikające ze zdarzeń prowadzących do postępowania sądowego, w tym co najmniej poniższe elementy:

b)

instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty lub inne koszty wynikające z dobrowolnych działań ukierunkowanych na uniknięcie lub ograniczenie ryzyka prawnego wynikającego ze zdarzeń ryzyka operacyjnego, w tym zwroty lub zniżki na poczet przyszłych usług dobrowolnie oferowane klientom, w przypadku gdy tego rodzaju zwrotów nie oferuje się w wyniku skarg klientów;

c)

instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty wynikłe z błędów i przeoczeń w umowach i dokumentacji;

d)

instytucja nie klasyfikuje poniższych pozycji jako ryzyka operacyjnego:

a)

wszelkie wymogi wynikające z krajowych lub międzynarodowych przepisów prawnych i ustawowych;

b)

wszelkie wymogi wynikające z ustaleń umownych, wewnętrznych zasad i kodeksów etycznego postępowania przyjętych zgodnie z krajowymi lub międzynarodowymi standardami i praktykami;

c)

zasady etyczne.

a)

jako ryzyko operacyjne klasyfikowane są co najmniej poniższe zdarzenia i powiązane straty wynikające z modeli stosowanych w procesie decyzyjnym:

b)

wydarzenia związane z niedoszacowaniem wymogów w zakresie funduszy własnych przez wewnętrzne modele zatwierdzone przez właściwe organy nie są uwzględniane w określaniu, gromadzeniu i przetwarzaniu danych o zdarzeniach ryzyka operacyjnego i stratach wynikłych z ryzyka modelu.

a)

zdarzenia wynikłe z błędów operacyjnych i błędów popełnionych podczas wprowadzania danych, w tym:

b)

zdarzenia wynikłe z błędów w mechanizmach kontroli wewnętrznej, w tym poniższe zdarzenia:

c)

zdarzenia wynikające z nieodpowiedniej jakości danych i niedostępności środowiska informatycznego, w tym spowodowany względami technicznymi brak dostępu do rynku uniemożliwiający zawieranie umów.

a)

dokumentacja została zatwierdzona przez kadrę kierowniczą stosownego szczebla instytucji;

b)

instytucja wprowadziła polityki, w których określono standardy zapewniające wysoką jakość dokumentacji wewnętrznej, w tym precyzyjne określenie odpowiedzialności za zapewnienie, by prowadzona dokumentacja była kompletna, spójna, dokładna i bezpieczna oraz by podlegała aktualizacji i zatwierdzaniu;

c)

wzór dokumentacji określony w politykach, o których mowa w lit. b), zawiera przynajmniej poniższe pozycje:

d)

instytucja dokładnie dokumentuje swoje polityki, procedury i metody.

a)

dokumentacja jest wystarczająco szczegółowa i dokładna, by umożliwić zbadanie metod zaawansowanego pomiaru przez osoby trzecie, w tym umożliwia:

a)

organ zarządzający instytucji omawia i zatwierdza zarządzanie ryzykiem operacyjnym, proces zarządzania ryzykiem operacyjnym i system pomiaru ryzyka operacyjnego;

b)

przynajmniej raz w roku organ zarządzający instytucji wyraźnie określa i ustala poniższe elementy:

c)

organ zarządzający instytucji na bieżąco monitoruje zgodność działania instytucji z oświadczeniem w sprawie tolerancji na ryzyko operacyjne, o którym mowa w lit. b) ppkt (ii);

d)

instytucja stosuje ciągły proces zarządzania ryzykiem operacyjnym w celu określania, oceny i pomiaru, monitorowania i zgłaszania ryzyka operacyjnego, w tym uchybień, i jest w stanie wskazać pracowników odpowiedzialnych za proces zarządzania ryzykiem operacyjnym;

e)

informacje uzyskane w ramach procesu, o którym mowa w lit. d), przekazuje się właściwym komitetom i organom wykonawczym instytucji, a o decyzjach podejmowanych przez wspomniane komitety informuje się osoby odpowiedzialne za gromadzenie, kontrolowanie i monitorowanie ryzyka operacyjnego oraz zarządzanie nim w instytucji i osoby odpowiedzialne za zarządzanie działaniami, które są źródłem ryzyka operacyjnego;

f)

instytucja przynajmniej raz w roku ocenia skuteczność zarządzania ryzykiem operacyjnym w instytucji, procesu zarządzania ryzykiem operacyjnym i systemu pomiaru ryzyka operacyjnego;

g)

instytucja przynajmniej raz w roku powiadamia odpowiedni właściwy organ o ustaleniach wynikających z oceny, o której mowa w lit. f).

a)

poziom świadomości pracowników instytucji w zakresie polityk i procedur dotyczących ryzyka operacyjnego;

b)

wewnętrzny proces instytucji dotyczący kwestionowania konstrukcji i skuteczności ram stosowania metod zaawansowanego pomiaru.

a)

w ramach funkcji zarządzania ryzykiem operacyjnym następujące zadania wykonywane są oddzielnie od innych linii biznesowych instytucji:

b)

organ zarządzający i kadra kierownicza wyższego szczebla wykazują odpowiednie wsparcie dla funkcji zarządzania ryzykiem operacyjnym, a funkcja ta cieszy się stosowaną rangą w instytucji, tak aby mogła wypełniać swoje zadania;

c)

funkcja zarządzania ryzykiem operacyjnym nie wiąże się jednocześnie z odpowiedzialnością za funkcję audytu wewnętrznego;

d)

kierownik funkcji zarządzania ryzykiem operacyjnym spełnia co najmniej poniższe wymogi:

a)

kadra kierownicza wyższego szczebla jest odpowiedzialna za wdrażanie zatwierdzonych przez organ zarządzający ram zarządzania i administrowania ryzykiem operacyjnym;

b)

kadra kierownicza wyższego szczebla została upoważniona przez organ zarządzający do opracowywania polityk, procesów i procedur zarządzania ryzykiem operacyjnym;

c)

kadra kierownicza wyższego szczebla wdraża polityki, procesy i procedury zarządzania ryzykiem operacyjnym, o których mowa w lit. b).

a)

problemy związane z systemami sprawozdawczości i mechanizmami kontroli wewnętrznej instytucji są szybko i dokładnie identyfikowane;

b)

sprawozdania instytucji dotyczące ryzyka operacyjnego są przekazywane kadrze kierowniczej stosownego szczebla i jednostkom instytucji, które w sprawozdaniach wskazano jako obszary problematyczne;

c)

kadra kierownicza wyższego szczebla instytucji co najmniej raz na kwartał otrzymuje sprawozdania dotyczące najnowszego statusu profilu ryzyka operacyjnego instytucji i wykorzystuje te sprawozdania w procesie decyzyjnym;

d)

sprawozdania instytucji dotyczące ryzyka operacyjnego zawierają istotne informacje związane z zarządzaniem i przynajmniej ogólne podsumowanie najpoważniejszych rodzajów ryzyka operacyjnego w instytucji i stosownych spółkach zależnych oraz jednostkach gospodarczych;

e)

instytucja stosuje sprawozdania ad hoc w przypadku określonych braków w politykach, procesach i procedurach zarządzania ryzykiem operacyjnym w celu szybkiego wykrycia i wyeliminowania tych braków, a co za tym idzie – znacznego zmniejszenia potencjalnej częstotliwości i dotkliwości zdarzenia prowadzącego do straty.

a)

system pomiaru ryzyka operacyjnego instytucji jest stosowany w celu zarządzania ryzykiem operacyjnym w różnych liniach biznesowych, jednostkach i podmiotach prawnych w ramach jej struktury organizacyjnej;

b)

system pomiaru ryzyka operacyjnego jest zakorzeniony w różnych podmiotach grupy i, jeśli jest stosowany na poziomie skonsolidowanym, ramy stosowania metod zaawansowanego pomiaru instytucji dominującej obejmują jednostki zależne, a występujące w tych jednostkach zależnych czynniki otoczenia gospodarczego i kontroli wewnętrznej, o których mowa w art. 322 ust. 1 i 6 rozporządzenia (UE) nr 575/2013, i ryzyko operacyjne są uwzględniane w obliczeniach z wykorzystaniem metod zaawansowanego pomiaru w całej grupie;

c)

system pomiaru ryzyka operacyjnego jest stosowany także do celów procedury wewnętrznej oceny adekwatności kapitałowej instytucji, o której mowa w art. 73 dyrektywy 2013/36/UE.

a)

system pomiaru ryzyka operacyjnego jest regularnie aktualizowany i rozwijany w miarę zdobywania nowych doświadczeń i wypracowywania bardziej zaawansowanych metod zarządzania i kwantyfikacji ryzyka operacyjnego;

b)

charakter i zestaw danych wprowadzanych do systemu pomiaru ryzyka operacyjnego są stosowne i w każdym czasie odzwierciedlają charakter działalności, strategii i organizacji instytucji oraz jej ekspozycję na ryzyko operacyjne.

a)

system pomiaru ryzyka operacyjnego jest skutecznie stosowany na potrzeby regularnego i bezzwłocznego zgłaszania spójnych informacji, które rzetelnie odzwierciedlają charakter działalności instytucji oraz jej profil ryzyka operacyjnego;

b)

instytucja podejmuje działania zaradcze w celu udoskonalenia procesów wewnętrznych z chwilą otrzymania informacji o ustaleniach pochodzących z systemu pomiaru ryzyka operacyjnego.

a)

w obrębie instytucji komunikuje się jasne informacje o przyjętej przez instytucję definicji tolerancji na ryzyko operacyjne i powiązanych celach zarządzania ryzykiem operacyjnym;

b)

w obrębie instytucji komunikuje się jasne informacje o związkach między strategią działalności a zarządzaniem ryzykiem operacyjnym, w tym w kontekście zatwierdzania nowych produktów, systemów i procesów;

c)

system pomiaru ryzyka zwiększa przejrzystość, świadomość ryzyka i wiedzę ekspercką dotyczącą zarządzania ryzykiem operacyjnym i stwarza zachęty do poprawy zarządzania ryzykiem operacyjnym w całej instytucji;

d)

dane wejściowe i wyjściowe systemu pomiaru ryzyka operacyjnego są uwzględniane w istotnych decyzjach i planach, w tym w planach działaniach instytucji, jej planach ciągłości działania, planach roboczych audytu wewnętrznego, decyzjach w sprawie alokacji kapitału, planach ubezpieczeniowych i decyzjach budżetowych.

a)

przed uzyskaniem zezwolenia na stosowanie metod zaawansowanego pomiaru do celów regulacyjnych instytucja obliczała wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zarówno według metody zaawansowanego pomiaru, jak i dotychczas stosowanej mniej zaawansowanej metody, a obliczenia te:

b)

instytucja zapewnia zgodność co najmniej z poniższym:

a)

przynajmniej raz w roku funkcja walidacji wewnętrznej przedstawia uzasadnioną i rzetelną opinię na temat tego, czy system pomiaru ryzyka operacyjnego funkcjonuje zgodnie z przewidywaniami oraz czy dane wyjściowe modelu są odpowiednie do różnych celów wewnętrznych i nadzorczych;

b)

przynajmniej raz w roku funkcja audytu weryfikuje integralność procedur, procesów i polityk dotyczących ryzyka operacyjnego, oceniając, czy są one zgodne z wymogami regulacyjnymi i ustalonymi mechanizmami kontroli, a także w szczególności czy funkcja audytu ocenia jakość źródeł i danych wykorzystywanych do celów pomiaru ryzyka operacyjnego i zarządzania nim;

c)

funkcje audytu i walidacji wewnętrznej wdrożyły program przeglądów obejmujący aspekty stosowania metod zaawansowanego pomiaru, o których mowa w niniejszym rozporządzeniu, a program ten jest regularnie aktualizowany pod względem:

d)

walidacja wewnętrzna jest przeprowadzana przez wykwalifikowane kadry niezależne od jednostek poddawanych walidacji;

e)

w przypadku przeprowadzania działań kontrolnych przez funkcje audytu zewnętrznego lub wewnętrznego lub wykwalifikowane strony zewnętrzne, działania te pozostają niezależne od procesu lub systemu poddawanego kontroli, a w przypadku outsourcingu organ zarządzający i kadra kierownicza wyższego szczebla ponoszą odpowiedzialność za zapewnienie, by zlecone na zewnątrz funkcje wykonywane były zgodnie z zatwierdzonym planem audytu instytucji;

f)

przeglądy walidacji wewnętrznych i audytów dotyczące ram stosowania metod zaawansowanego pomiaru są prawidłowo udokumentowane, a pochodzące z nich dane wyjściowe są przekazywane właściwym odbiorcom w instytucjach, w tym – w stosownych przypadkach – komitetom ds. ryzyka, funkcji zarządzania ryzykiem operacyjnym, kierownictwu linii biznesowej i innym właściwym pracownikom;

g)

wyniki przeglądów walidacji wewnętrznych i audytów są podsumowywane i przekazywane do zatwierdzenia przynajmniej raz w roku organowi zarządzającemu instytucji lub wyznaczonemu przez niego komitetowi;

h)

przegląd i zatwierdzenie skuteczności ram stosowania metod zaawansowanego pomiaru instytucji są przeprowadzane przynajmniej raz w roku.

a)

programy audytu dotyczące przeglądu ram stosowania metod zaawansowanego pomiaru obejmują wszystkie istotne działania, które mogłoby narazić instytucję na istotne ryzyko operacyjne, w tym działania zlecane na zewnątrz;

b)

techniki walidacji wewnętrznej są proporcjonalne do zmieniających się warunków rynkowych i warunków prowadzenia działalności, a ich wyniki poddawane są przeglądowi przeprowadzanemu przez audytorów.

a)

dane umożliwiające tworzenie i śledzenie historii ryzyka operacyjnego, składające się z danych wewnętrznych i zewnętrznych, analizy scenariuszy i czynników otoczenia gospodarczego i kontroli wewnętrznej;

b)

dane uzupełniające, w tym parametry modelu, dane wyjściowe modelu i sprawozdania.

a)

są wystarczająco szerokie i szczegółowe oraz mają odpowiedni zakres, by umożliwić wykonanie danego zadania;

b)

spełniają bieżące i potencjalne potrzeby użytkowników;

c)

są aktualizowane na bieżąco;

d)

są stosowne do zakresu ich wykorzystania i są z tym zakresem spójne;

e)

dokładnie odzwierciedlają rzeczywiste zjawiska, które mają odzwierciedlać;

f)

nie powodują naruszenia żadnej reguły biznesowej bazy danych podlegającej utrzymaniu w trybie statycznym i dynamicznym.

a)

globalny schemat baz danych wykorzystywanych w ramach systemu pomiaru ryzyka operacyjnego wraz z ich opisami;

b)

politykę w zakresie danych i oświadczenie dotyczące odpowiedzialności;

c)

opis przepływu pracy i procedur związanych z gromadzeniem i przechowywaniem danych;

d)

oświadczenie dotyczące niedoskonałości zawierające informacje o wszelkich niedoskonałościach wykrytych w bazach danych w ramach procesów przeglądu i walidacji oraz oświadczenie w sprawie planów instytucji w zakresie eliminowania lub ograniczania wykrytych niedoskonałości.

a)

infrastruktura i systemy informatyczne instytucji wykorzystywane na potrzeby metod zaawansowanego pomiaru są solidne i odporne, oraz czy możliwe jest bieżące utrzymywanie tych cech;

b)

cykl rozwoju systemu na potrzeby stosowania metod zaawansowanego pomiaru jest adekwatny i prawidłowy pod względem:

c)

infrastruktura informatyczna instytucji, którą wdrożono na potrzeby metod zaawansowanego pomiaru, podlega procesom zarządzania konfiguracją, zmianą i wersjami;

d)

cykl rozwoju systemu i plany awaryjne na potrzeby metod zaawansowanego pomiaru zostały zatwierdzone przez organ zarządzający lub kadrę kierowniczą wyższego szczebla instytucji oraz czy organ zarządzający i kadra kierownicza wyższego szczebla są okresowo powiadamiani o sprawności działania infrastruktury informatycznej na potrzeby metod zaawansowanego pomiaru.

a)

instytucja dysponuje dokumentacją wewnętrzną zawierającą szczegółowy opis metod gromadzenia, łączenia lub ważenia czterech elementów, w tym opis procesu modelowania przedstawiający korzystanie z czterech elementów i ich konfigurację oraz uzasadnienie decyzji o wyborze danych trybów modelowania;

b)

instytucja w pełni rozumie wpływ, jaki każdy z czterech elementów wywiera na wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru;

c)

konfiguracja czterech elementów stosowana przez instytucję opiera się na wiarygodnej metodzie statystycznej wystarczającej, by oszacować górne percentyle;

d)

podczas gromadzenia, generowania i przetwarzania czterech elementów instytucja stosuje co najmniej poniższe kryteria:

a)

instytucja w przejrzysty i spójny sposób gromadzi wszystkie z poniższych elementów w obrębie grupy:

b)

po zdarzeniu ryzyka operacyjnego instytucja jest w stanie określić osobno kwotę straty brutto, środki odzyskane z ubezpieczenia i innych mechanizmów transferu ryzyka i środki odzyskane ze źródeł innych niż ubezpieczenie i inne mechanizmy transferu ryzyka, z wyłączeniem strat odzyskanych częściowo lub w całości w ciągu pięciu dni roboczych;

c)

instytucja stosuje system służący do definiowania i uzasadniania stosownych progów gromadzenia danych w oparciu o kwotę straty brutto;

d)

kategoria ryzyka operacyjnego została ustanowiona w sposób rozsądny i nie prowadzi do pomijania danych o stracie, które są istotne dla skutecznego pomiaru ryzyka operacyjnego i zarządzania ryzykiem;

e)

instytucja jest w stanie dla każdej poszczególnej straty określić i zarejestrować w wewnętrznej bazie danych co najmniej poniższe elementy:

a)

odpisy bezpośrednie, w tym z tytułu utraty wartości i rozliczeń, ujmowane w ciężar rachunku zysków i strat, i odpisy aktualizujące wartość wynikłe ze zdarzenia ryzyka operacyjnego;

b)

koszty poniesione wskutek zdarzenia ryzyka operacyjnego, w tym poniższe:

c)

rezerwy ujęte w rachunku zysków i strat na prawdopodobne straty wynikłe z ryzyka operacyjnego, w tym z uchybień;

d)

straty oczekujące, w postaci strat wynikłych ze zdarzenia ryzyka operacyjnego, które tymczasowo księguje się na kontach tymczasowych lub przejściowych i które nie są ujęte w rachunku zysków i strat, a które mają zostać w nim ujęte dla okresu odpowiadającego kwocie i wiekowi pozycji oczekującej;

e)

istotne niepobrane przychody wynikające ze zobowiązań umownych wobec osób trzecich, w tym decyzje o wypłaceniu klientowi rekompensaty z tytułu zdarzenia ryzyka operacyjnego raczej w drodze korekty przychodów poprzez odstąpienie od pobrania opłat umownych lub obniżenie ich wysokości w określonym przyszłym okresie niż w drodze przyznania zwrotu lub dokonania płatności bezpośredniej;

f)

straty czasowe, jeśli obejmują okres dłuższy niż jeden rok obrachunkowy i są źródłem ryzyka prawnego.

a)

zdarzenie potencjalnie powodujące stratę w postaci zerowej straty wynikłej ze zdarzenia ryzyka operacyjnego, w tym zakłócenia w pracy systemów informatycznych w dziale operacji dealerskich tuż przed rozpoczęciem lub tuż po zakończeniu godzin handlu;

b)

zysk osiągnięty dzięki zdarzeniu ryzyka operacyjnego;

c)

koszty ukryte w postaci wyższych kosztów lub niższych przychodów wynikających ze zdarzeń ryzyka operacyjnego, które uniemożliwiają przyszłe wykorzystanie niezaistniałych jeszcze możliwości, w tym nieuwzględnione w budżecie koszty personelu, utracone przychody i koszty projektów związane z poprawą procesów;

d)

koszty wewnętrzne, w tym wynagrodzenie za pracę w godzinach nadliczbowych lub premie.

a)

koszty wynikające z umów w sprawie ogólnej obsługi technicznej rzeczowych aktywów trwałych;

b)

wydatki wewnętrzne lub zewnętrzne na rzecz poprawy funkcjonowania działalności po wystąpieniu zdarzenia ryzyka operacyjnego, w tym aktualizacje, usprawnienia, udoskonalenia procesu oceny ryzyka i inicjatywy na rzecz oceny ryzyka;

c)

składki ubezpieczeniowe.

a)

cała kwota poniesionej straty lub poniesionych kosztów, w tym rezerw, kosztów ugody, kwot wypłaconych w celu naprawienia szkody, kar, zaległych odsetek i kosztów obsługi prawnej, jest traktowana – o ile nie określono inaczej – jako odnotowana kwota straty na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;

b)

jeśli zdarzenie ryzyka operacyjnego jest związane z ryzykiem rynkowym, instytucja uwzględnia koszty zamknięcia pozycji rynkowej w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego, natomiast jeśli pozycja celowo nie jest zamykana po wykryciu zdarzenia ryzyka operacyjnego – czy żadna część straty wynikłej z niekorzystnych warunków rynkowych, powstałej po podjęciu decyzji o niezamykaniu pozycji, nie jest ujmowana w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego;

c)

jeśli płatności z tytułu podatków są związane z błędami lub nieodpowiednimi procesami w instytucji, instytucja włącza do odnotowanej kwoty straty dla pozycji ryzyka operacyjnego wydatki poniesione wskutek zdarzenia ryzyka operacyjnego, w tym kary, zobowiązania z tytułu odsetek, odsetki karne za zwłokę i koszty obsługi prawnej, z wyłączeniem pierwotnej kwoty należnego podatku;

d)

jeśli występują straty czasowe, a zdarzenie ryzyka operacyjnego ma bezpośredni negatywny wpływ na osoby trzecie, w tym klientów, usługodawców i pracowników instytucji, instytucja ujmuje w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego także korektę sprawozdania finansowego.

a)

nadużycia finansowe, których we własnym imieniu dopuścił się klient instytucji, w związku z produktami lub procesami kredytowymi na wczesnym etapie relacji kredytowej, w tym dopuszczenie się oszustwa kredytowego polegającego na wyłudzeniu decyzji o udzieleniu kredytu na podstawie sfałszowanych dokumentów lub niezgodnych z prawdą sprawozdań finansowych, np. brak zabezpieczenia lub przeszacowane zabezpieczenie lub sfałszowane zaświadczenie o zarobkach;

b)

nadużycia finansowe popełnione z wykorzystaniem tożsamości innej, nieświadomej osoby, w tym składanie wniosków kredytowych drogą elektroniczną w celu popełnienia oszustwa związanego z bezprawnym wykorzystaniem tożsamości w drodze wykorzystania danych klientów, fikcyjnych tożsamości lub bezprawnego wykorzystania kart kredytowych klientów.

a)

dostosowuje próg gromadzenia danych odnoszący się do zdarzeń straty opisanych w ust. 1, w stosownych przypadkach, do porównywalnych poziomów, takich jak progi innych kategorii ryzyka operacyjnego obowiązujące w ramach stosowania metod zaawansowanego pomiaru;

b)

w stracie brutto wynikłej ze zdarzeń, o których mowa w ust. 1, ujmowana jest łączna kwota nieuregulowanych należności w chwili wykrycia nadużycia finansowego lub po wykryciu nadużycia finansowego oraz wszelkie powiązane wydatki, w tym zaległe odsetki i koszty obsługi prawnej.

a)

jeśli instytucja uczestniczy w inicjatywach konsorcyjnych mających na celu gromadzenie danych dotyczących zdarzeń ryzyka operacyjnego i wynikłych z nich strat, instytucja jest w stanie przedstawić dane tej samej jakości – pod względem zakresu, integralności i kompleksowości – co dane wewnętrzne spełniające standardy, o których mowa w art. 21, 22, 23 i 24, oraz konsekwentnie gromadzi i przetwarza rodzaje danych wymaganych zgodnie ze standardami sprawozdawczości obowiązującymi w konsorcjum;

b)

instytucja wprowadziła proces filtrowania danych, który umożliwia wybór istotnych danych zewnętrznych w oparciu o przyjęte, konkretne kryteria, a wykorzystywane dane zewnętrzne są istotne i spójne z profilem ryzyka instytucji;

c)

w celu uniknięcia błędów systematycznych w oszacowanych parametrach, proces filtrowania pozwala dokonać spójnej selekcji danych niezależnie od kwoty straty, a jeśli instytucja dopuszcza wyjątki od tego procesu selekcji – czy obowiązuje w niej polityka, w której określono kryteria uznania wyjątku, oraz posiada ona dokumentację uzasadniającą uznanie wyjątków;

d)

jeśli instytucja przyjęła proces skalowania danych obejmujący korekty kwot strat odnotowanych w danych zewnętrznych lub powiązanych rozkładów w celu dopasowania danych do działalności gospodarczej, charakteru i profilu ryzyka instytucji, rzeczony proces skalowania jest systematyczny i poparty danymi statystycznymi oraz generuje dane wyjściowe, które są spójne z profilem ryzyka instytucji;

e)

stosowany przez instytucję proces skalowania generuje spójne dane wraz z upływem czasu, a jego wiarygodność i skuteczność są poddawane regularnym przeglądom.

a)

w instytucji obowiązują sprawne ramy zarządzania obejmujące proces tworzenia scenariuszy, którego wynikiem są wiarygodne i rzetelne dane szacunkowe, niezależnie od tego, czy scenariusz jest stosowany do oceny zdarzeń o poważnych skutkach czy ogólnej ekspozycji na ryzyko operacyjne;

b)

proces tworzenia scenariuszy jest jasno określony, dobrze udokumentowany, powtarzalny i zaprojektowany tak, aby możliwie jak najbardziej ograniczać potencjalną subiektywność i błędy systematyczne, w tym:

c)

o spójność procesu dbają wykwalifikowani i doświadczeni koordynatorzy;

d)

założenia procesu tworzenia scenariuszy są oparte, w takim stopniu, w jakim jest to możliwe, na istotnych danych wewnętrznych i zewnętrznych, i ukierunkowane na zapewnienie obiektywnego i wolnego od błędów systematycznych procesu tworzenia scenariuszy;

e)

wybrana liczba scenariuszy, poziom, na którym scenariusze są analizowane, oraz jednostki, w których scenariusze są analizowane, są realistyczne i prawidłowo uzasadnione, a dane szacunkowe scenariuszy uwzględniają istotne zmiany w otoczeniu wewnętrznym i zewnętrznym, które mogą mieć wpływ na ekspozycję instytucji na ryzyko operacyjne;

f)

dane szacunkowe scenariuszy wygenerowano z uwzględnieniem potencjalnych lub prawdopodobnych zdarzeń ryzyka operacyjnego, które jeszcze nie zmaterializowały się w całości lub w części jako strata wynikła z ryzyka operacyjnego;

g)

proces tworzenia scenariuszy i dane szacunkowe podlegają rzetelnemu, niezależnemu procesowi weryfikacji i nadzorowi.

a)

czynniki otoczenia gospodarczego oraz kontroli wewnętrznej instytucji są prospektywne i odzwierciedlają potencjalne źródła ryzyka operacyjnego, w tym szybki wzrost, wprowadzanie nowych produktów, rotację pracowników i przestoje systemu;

b)

w instytucji obowiązują jasne wytyczne dotyczące polityki, które ograniczają wielkość obniżek wartości wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru w wyniku korekt czynników otoczenia gospodarczego oraz kontroli wewnętrznej;

c)

korekty czynników otoczenia gospodarczego oraz kontroli wewnętrznej, o których mowa w lit. b), są zasadne, a stosowność skali tych korekt zostaje potwierdzona przez prowadzone na przestrzeni czasu porównanie z kierunkiem i wielkością danych dotyczących rzeczywistych strat wewnętrznych, warunkami otoczenia biznesowego i zmianami w potwierdzonej skuteczności środków kontroli.

a)

instytucja opracowuje, wdraża i utrzymuje uzasadniony metodycznie system pomiaru ryzyka operacyjnego, który skutecznie ujmuje rzeczywiste i potencjalne ryzyko operacyjne w instytucji i pozwala na wiarygodne i prawidłowe obliczanie wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;

b)

w instytucji obowiązują stosowne polityki dotyczące tworzenia zbioru danych obliczeniowych, zgodnie z art. 29;

c)

instytucja zapewnia odpowiedni stopień szczegółowości swojego modelu, zgodnie z art. 30;

d)

w instytucji stosowany jest odpowiedni proces określania rozkładu strat, zgodnie z art. 31;

e)

instytucja w stosowny sposób określa łączny rozkład strat i miary ryzyka, zgodnie z art. 32.

a)

instytucja zdefiniowała konkretne kryteria i przykłady klasyfikacji i przetwarzania danych dotyczących zdarzeń ryzyka operacyjnego i wynikłych z nich strat w obrębie zbioru danych obliczeniowych, a kryteria i przykłady te zapewniają spójne przetwarzanie danych dotyczących strat w całej instytucji;

b)

instytucja nie wprowadza do zbioru danych obliczeniowych strat pomniejszonych o kwoty odzyskane z ubezpieczenia i z innych mechanizmów transferu ryzyka;

c)

dla kategorii zdarzeń ryzyka operacyjnego o niskiej częstotliwości instytucja przyjęła okres obserwacji dłuższy niż minimalny okres, o którym mowa w art. 322 ust. 3 lit. a) rozporządzenia (UE) nr 575/2013;

d)

instytucja, w trakcie tworzenia zbioru danych obliczeniowych na potrzeby oszacowania rozkładów częstotliwości i dotkliwości, uwzględnia wyłącznie datę wykrycia lub datę ujęcia, a do celów uwzględniania strat lub rezerw związanych z ryzykiem prawnym w zbiorze danych obliczeniowych stosuje datę przypadającą najpóźniej w dniu ujęcia;

e)

wybrany przez instytucję minimalny próg modelowania nie ma niekorzystnego wpływu na dokładność miar ryzyka operacyjnego oraz czy stosowanie minimalnych progów modelowania znacznie wyższych niż progi gromadzenia danych jest ograniczone, a jeżeli tego rodzaju progi są stosowane – czy ich stosowanie prawidłowo uzasadnia przeprowadzona przez instytucję analiza wrażliwości różnych progów;

f)

instytucja uwzględnia w zbiorze danych obliczeniowych wszystkie straty wynikłe z ryzyka operacyjnego przekraczające przyjęty minimalny próg modelowania i niezależnie od ich poziomu wykorzystuje te dane do obliczania wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;

g)

instytucja stosuje odpowiednie współczynniki korygujące dane w przypadku istotnego wpływu inflacji lub deflacji;

h)

instytucja grupuje straty wynikłe ze zdarzenia będącego pierwotną przyczyną straty, które występuje w formie powszechnego zdarzenia ryzyka operacyjnego lub więcej niż jednego zdarzenia związanego z pierwotnym zdarzeniem ryzyka operacyjnego wywołującym kolejne zdarzenia i straty, i wprowadza je do zbioru danych obliczeniowych jako jedną stratę;

i)

wszelkie możliwe wyjątki od zasad przetwarzania danych określone w lit. h) są właściwie udokumentowane i uzasadnione i nie przyczyniają się do nienależytego obniżenia wymogów w zakresie funduszy własnych obliczonych z wykorzystaniem metod zaawansowanego pomiaru;

j)

instytucja nie usuwa ze zbioru danych obliczeniowych stanowiących podstawę obliczeń według metod zaawansowanego pomiaru istotnych korekt strat wynikłych z jednego zdarzenia ryzyka operacyjnego lub powiązanych zdarzeń, jeżeli data odniesienia tych korekt przypada w okresie obserwacji, a data odniesienia pierwotnego, pojedynczego zdarzenia lub zdarzenia będącego pierwotną przyczyną straty, o których mowa w lit. h), przypada poza tym okresem;

k)

dla każdego roku referencyjnego objętego okresem obserwacji instytucja jest w stanie rozróżnić kwoty strat przynależne do zdarzeń wykrytych lub zaksięgowanych w danym roku od kwot strat przynależnych do korekt lub grup zdarzeń wykrytych lub zaksięgowanych w poprzednich latach.

a)

podczas grupowania ryzyk o wspólnych czynnikach i definiowania kategorii ryzyka operacyjnego na potrzeby metody zaawansowanego pomiaru instytucja uwzględnia charakter, złożoność i specyfikę swojej działalności gospodarczej i ryzyka operacyjnego, na jakie jest narażona;

b)

instytucja uzasadnia wybór stopnia szczegółowości kategorii ryzyka operacyjnego na podstawie środków ilościowych i jakościowych oraz czy klasyfikuje kategorie ryzyka operacyjnego w oparciu o jednorodne, niezależne i stacjonarne dane;

c)

instytucja dokonała realistycznego wyboru stopnia szczegółowości kategorii ryzyka operacyjnego i wybór ten nie ma niekorzystnego wpływu na założenia ostrożnościowe leżące u podstaw wyników modelu lub jego części składowych;

d)

instytucja regularnie dokonuje przeglądów wybranego stopnia szczegółowości kategorii ryzyka operacyjnego w celu zapewnienia jego ciągłej adekwatności.

a)

w instytucji stosowany jest jasno określony, udokumentowany i identyfikowalny proces wyboru, aktualizacji i przeglądu rozkładów strat i szacowania ich parametrów;

b)

proces wyboru rozkładów strat prowadzi do dokonywania przez instytucję spójnych i jasnych wyborów, pozwala prawidłowo ujmować profil ryzyka w ogonie i obejmuje co najmniej poniższe elementy:

c)

podczas dokonywania wyboru rozkładu straty instytucja starannie rozpatruje dodatnią skośność i leptokurtozę danych;

d)

w przypadku znacznego rozproszenia danych w ogonie, do szacowania regionu ogona zamiast krzywych empirycznych stosowane są rozkłady podwykładnicze, których ogony zanikają wolniej niż w przypadku stosowania rozkładów wykładniczych, chyba że zachodzą wyjątkowe przesłanki do zastosowania innych funkcji, które są każdorazowo prawidłowo rozpatrzone i w pełni uzasadnione, aby zapobiec nienależytemu obniżeniu wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru;

e)

jeśli osobne rozkłady strat stosowane są w przypadku korpusu i ogona, instytucja starannie rozpatruje wybór progu modelowania progu korpus-ogon;

f)

dla wybranego modelowania progu korpus-ogon zapewniane jest udokumentowane wsparcie statystyczne, w razie potrzeby uzupełnione o elementy jakościowe;

g)

podczas szacowania parametrów rozkładu instytucja odzwierciedla niekompletność zbioru danych obliczeniowych wynikającą z obecności minimalnych progów modelowania w danym modelu albo uzasadnia stosowanie niekompletnego zbioru danych tym, że nie ma to niekorzystnego wpływu na dokładność danych szacunkowych parametrów i wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;

h)

w instytucji stosowane są metody ukierunkowane na zmniejszenie zmienności danych szacunkowych parametrów, przy czym instytucja zapewnia miary błędów wokół tych szacunkowych parametrów, w tym przedziały ufności i p-wartości;

i)

jeśli instytucja przyjmuje solidne estymatory w formie uogólnień estymatorów klasycznych o dobrych właściwościach statystycznych, w tym o wysokiej skuteczności i niskiej liczbie błędów systematycznych dla całego sąsiedztwa nieznanego bazowego rozkładu danych, jest w stanie wykazać, że ich stosowanie nie prowadzi do niedoszacowania ryzyka w ogonie rozkładu straty;

j)

instytucja ocenia zgodność danych z wybranym rozkładem za pomocą graficznych i ilościowych narzędzi diagnostycznych, które są bardziej czułe na ogon niż na korpus danych, zwłaszcza w przypadku danych, które są bardzo rozproszone w ogonie;

k)

w stosownych przypadkach, w tym jeśli narzędzia diagnostyczne nie wskazują jednoznacznie na najbardziej odpowiedni rozkład lub w celu ograniczenia wpływu rozmiaru próby i liczby szacowanych parametrów w teście zgodności, instytucja stosuje metody ewaluacji porównujące względne wyniki rozkładów strat, w tym wskaźnik wiarygodności, kryterium informacyjne Akaikego i bayesowskie kryterium informacyjne Schwarza;

l)

w ramach regularnego cyklu instytucja kontroluje założenia stanowiące podstawę wybranych rozkładów strat, a w przypadku unieważnienia założeń, w tym jeśli założenia generują wartości wykraczające poza ustalone zakresy, instytucja stosuje sprawdzone metody alternatywne i prawidłowo klasyfikuje wszelkie zmiany wprowadzone do założeń, zgodnie z rozporządzeniem delegowanym Komisji (UE) nr 529/2014 (5).

a)

opracowane w tym celu przez instytucję techniki zapewniają odpowiednie poziomy precyzji i stabilności miar ryzyka;

b)

miary ryzyka są uzupełniane informacjami o ich poziomie dokładności;

c)

niezależnie od technik łączenia rozkładów częstotliwości i dotkliwości strat, w tym symulacji Monte Carlo, metod związanych z transformacją Fouriera, wzorem Panjera i aproksymacją pojedynczej straty, instytucja przyjmuje kryteria ograniczające błędy liczbowe i związane z próbą oraz zapewnia miarę wielkości tych błędów;

d)

w przypadku stosowania symulacji Monte Carlo liczba iteracji jest spójna z kształtem rozkładów i docelowym poziomem ufności;

e)

jeśli rozkład ma ciężki ogon i został zmierzony przy wysokim poziomie ufności, liczba iteracji jest wystarczająco wysoka, by obniżyć zmienność doboru prób do akceptowalnego poziomu;

f)

jeśli stosowana jest transformacja Fouriera lub inne metody numeryczne, instytucja starannie rozpatruje kwestie stabilności algorytmu i propagacji błędów;

g)

miara ryzyka instytucji wygenerowana przez system pomiaru ryzyka operacyjnego jest zgodna z monotoniczną zasadą ryzyka, na co wskazuje generowanie wyższych wymogów w zakresie funduszy własnych w przypadku zwiększenia bazowego profilu ryzyka i generowanie niższych wymogów w zakresie funduszy własnych w przypadku zmniejszenia bazowego profilu ryzyka;

h)

miara ryzyka instytucji generowana przez system pomiaru ryzyka operacyjnego jest realistyczna z perspektywy zarządczej i ekonomicznej; co więcej, czy instytucja stosuje odpowiednie techniki w celu unikania narzucania górnego limitu maksymalnej pojedynczej straty (chyba że zapewnia ona jasne i obiektywne uzasadnienie istnienia górnej granicy) oraz w celu unikania sugerowania braku pierwszego momentu statystycznego w rozkładzie;

i)

instytucja wyraźnie ocenia prawidłowość wyników uzyskanych za pomocą systemu pomiaru ryzyka operacyjnego, dokonując odpowiedniej analizy wrażliwości danych wejściowych lub jego parametrów.

a)

stosowane przez instytucję metody szacowania oczekiwanych strat są spójne z systemem pomiaru ryzyka operacyjnego do celów szacunku wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, który obejmuje zarówno oczekiwane, jak i nieoczekiwane straty, a oczekiwana strata szacowana jest według kategorii ryzyka operacyjnego i w sposób spójny w czasie;

b)

instytucja definiuje oczekiwaną stratę za pomocą danych statystycznych, na które skrajne straty, w tym mediana i średnia ucinana, mają mniejszy wpływ, zwłaszcza w przypadku danych o średnim lub ciężkim ogonie;

c)

stosowana przez instytucję maksymalna kompensacja w odniesieniu do oczekiwanej straty jest ograniczona wysokością łącznej oczekiwanej straty, a maksymalna kompensacja w odniesieniu do oczekiwanej straty dla każdej kategorii ryzyka operacyjnego jest ograniczona wysokością odpowiedniej oczekiwanej straty obliczonej zgodnie z systemem pomiaru ryzyka operacyjnego instytucji mającym zastosowanie do danej kategorii;

d)

kompensacje w odniesieniu do oczekiwanej straty, które instytucja dopuszcza w każdej kategorii ryzyka operacyjnego, są substytutami kapitału lub są udostępniane w inny sposób, by pokryć oczekiwaną stratę i zapewnić wysoki poziom pewności w okresie jednego roku;

e)

jeśli kompensacja obejmuje pozycje inne niż rezerwy, instytucja ogranicza kompensację do transakcji, które są wysoce przewidywalne, stabilne i obarczone rutynową stratą;

f)

instytucja nie wykorzystuje specjalnych rezerw na potrzeby wyjątkowych zdarzeń ryzyka operacyjnego, które miały już miejsce i zostały zaklasyfikowane jako kompensacje oczekiwanych strat;

g)

instytucja w przejrzysty sposób dokumentuje sposób dokonywania pomiaru i ujmowania oczekiwanej straty, w tym zgodność wszelkich kompensacji oczekiwanej straty z warunkami określonymi w lit. a)–f).

a)

instytucja starannie rozważa wszelkie formy zależności liniowej i nieliniowej w odniesieniu do wszystkich danych, zarówno w korpusie, jak i w ogonie, między co najmniej dwoma kategoriami ryzyka operacyjnego lub w obrębie jednej kategorii ryzyka operacyjnego;

b)

instytucja opiera swoje założenia korelacji w najszerszym możliwym zakresie na właściwej kombinacji analizy danych empirycznych i opinii ekspertów;

c)

straty w każdej kategorii ryzyka operacyjnego są od siebie niezależne;

d)

jeśli warunek, o którym mowa w lit. c), nie jest spełniony, straty zależne podlegają agregacji;

e)

zależność między kategoriami ryzyka operacyjnego jest odpowiednio modelowana wyłącznie wówczas, gdy żaden z warunków, o których mowa w lit. c) lub d), nie może zostać spełniony;

f)

instytucja starannie rozważa zależność między zdarzeniami w ogonie;

g)

instytucja nie opiera struktury zależności na rozkładach normalnych (Gaussa);

h)

ze względu na niepewność związaną z modelowaniem zależności w ryzyku operacyjnym wszystkie stosowane przez instytucję założenia dotyczące zależności są ostrożne, a poziom ostrożności stosowany przez instytucję rośnie wraz ze spadkiem rygoru założeń zależności i wiarygodności otrzymywanych wymogów w zakresie funduszy własnych;

i)

instytucja prawidłowo uzasadnia stosowane założenia zależności i regularnie przeprowadza analizy wrażliwości w celu oceny wpływu założeń dotyczących zależności na wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru.

a)

mechanizm alokacji kapitału instytucji jest spójny z profilem ryzyka instytucji i ogólną konstrukcją systemu pomiaru ryzyka operacyjnego;

b)

alokacja wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru uwzględnia potencjalne różnice wewnętrzne w ryzyku i jakości systemów zarządzania ryzykiem operacyjnym i mechanizmów kontroli wewnętrznej między jednostkami grupy, którym przypisywane są wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru;

c)

nie zachodzą żadne obserwowalne bieżące ani przewidywane przeszkody prawne ani praktyczne uniemożliwiające szybki transfer funduszy własnych czy szybką spłatę zobowiązań;

d)

alokacja wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru ze szczebla skonsolidowanego grupy do części grupy objętych systemem pomiaru ryzyka operacyjnego przebiega w oparciu o sprawdzone metody, które w jak największym zakresie uwzględniają ryzyko.

a)

ubezpieczyciel spełnia wymogi dotyczące zezwoleń, o których mowa w art. 323 ust. 2 rozporządzenia (UE) nr 575/2013, zgodnie z art. 37;

b)

ubezpieczenie jest zapewniane przez jednostkę będącą osobą trzecią, jak określono w art. 323 ust. 3 lit. e) rozporządzenia (UE) nr 575/2013, zgodnie z art. 38;

c)

instytucja unika wielokrotnego uwzględniania tych samych technik ograniczenia ryzyka, o czym mowa w art. 322 ust. 2 lit. e) rozporządzenia (UE) nr 575/2013, zgodnie z art. 39;

d)

obliczenia dotyczące ograniczenia ryzyka właściwie uwzględniają zakres ubezpieczenia, o czym mowa w art. 323 ust. 3 lit. d) rozporządzenia (UE) nr 575/2013, a zasady uznawania ubezpieczenia są należycie uzasadnione i udokumentowane, o czym mowa w art. 323 ust. 3 lit. f) odnośnego rozporządzenia, w tym:

e)

metoda uznawania ubezpieczenia stosowana przez instytucję obejmuje wszystkie istotne elementy z zastosowaniem obniżek lub redukcji wysokości uznanego ubezpieczenia, o czym mowa w art. 323 ust. 3 lit. a) i b) oraz art. 323 ust. 4 rozporządzenia (UE) nr 575/2013, zgodnie z art. 43;

f)

instytucja wykazuje osiągnięcie efektu wyraźnego ograniczenia ryzyka po wprowadzeniu innych mechanizmów transferu ryzyka, o czym mowa w art. 323 ust. 1 zdanie drugie rozporządzenia (UE) nr 575/2013, zgodnie z art. 44.

a)

instytucja szacuje prawdopodobieństwo odzyskania środków z tytułu ubezpieczenia i sporządza możliwy harmonogram wpłat od ubezpieczycieli, w tym prawdopodobieństwo wszczęcia postępowania w sprawie dochodzenia roszczeń, czas trwania takiego postępowania i bieżące warunki i stawki stosowane w rozstrzygnięciach sporów sądowych, w oparciu o doświadczenie zespołu ds. zarządzania ryzykiem instytucji i, jeśli to konieczne, w oparciu o właściwe opinie ekspertów zewnętrznych, w tym radców prawnych, brokerów i firm ubezpieczeniowych;

b)

instytucja korzysta z danych szacunkowych wynikających z lit. a) w celu dokonania oceny skuteczności ubezpieczenia w przypadku straty wynikłej z ryzyka operacyjnego i opracowuje ten proces w celu oceny skuteczności ochrony ubezpieczeniowej w odniesieniu do wszystkich istotnych danych dotyczących strat i scenariuszy wprowadzanych do systemu pomiaru ryzyka operacyjnego;

c)

instytucja przypisuje polisy ubezpieczeniowe w oparciu o wyniki ich oceny wynikające z lit. b) do własnego ryzyka operacyjnego instytucji na najwyższym możliwym poziomie szczegółowości, z wykorzystaniem wszelkich dostępnych źródeł informacji, w tym danych wewnętrznych, danych zewnętrznych i danych szacunkowych wynikających ze scenariuszy;

d)

instytucja wykorzystuje stosowną wiedzę fachową i przeprowadza powyższe mapowanie w sposób przejrzysty i spójny;

e)

instytucja przypisuje odpowiednie wagi do przeszłych i oczekiwanych wyników ubezpieczenia w ramach oceny komponentów polisy ubezpieczenia;

f)

instytucja uzyskuje formalne zatwierdzenie od właściwego organu lub komitetu ds. ryzyka;

g)

instytucja okresowo ponownie bada proces mapowania ubezpieczenia.

a)

jest spójne z systemem pomiaru ryzyka operacyjnego przyjętym do kwantyfikacji strat przed uwzględnieniem ewentualnych środków odzyskanych z ubezpieczenia;

b)

jego powiązania z rzeczywistym prawdopodobieństwem i wpływem strat, które instytucja wykorzystuje do ogólnego obliczania wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, są przejrzyste, a podejście to jest spójne z tymi powiązaniami.

a)

instytucja dokonała, stosownie do przypadku, przeglądu stosowania ubezpieczenia i ponownie obliczyła wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru, w przypadku istotnej zmiany charakteru ubezpieczenia lub istotnej zmiany w profilu ryzyka operacyjnego instytucji;

b)

w przypadku poniesienia istotnych strat mających wpływ na zakres ubezpieczenia instytucja oblicza ponownie wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru z uwzględnieniem dodatkowego marginesu ostrożności;

c)

w przypadku nieoczekiwanego zakończenia ochrony ubezpieczeniowej lub ograniczenia zakresu ubezpieczenia instytucja jest przygotowana do niezwłocznego zastąpienia polisy ubezpieczeniowej polisą o równoważnych lub bardziej korzystnych warunkach i zakresie lub zwiększenia wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru do poziomu nieuwzględniającego ewentualnych środków odzyskanych z ubezpieczenia;

d)

instytucja oblicza kapitał przed uwzględnieniem i z uwzględnieniem ewentualnych środków odzyskanych z ubezpieczenia przy założeniu takiego stopnia szczegółowości, że wpływ każdej erozji dostępnej kwoty ubezpieczenia, w tym pokrycia istotnej straty lub zmiany zakresu ubezpieczenia, na wymogi w zakresie funduszy własnych obliczanych za pomocą metod zaawansowanego pomiaru może zostać niezwłocznie wykryty.

a)

instytucja bada różne czynniki składające się na ryzyko, że ubezpieczyciel nie dokona oczekiwanych płatności, i obniżające skuteczność transferu ryzyka, w tym zdolność ubezpieczyciela do dokonywania terminowych płatności i zdolność instytucji do terminowego określania, analizowania i zgłaszania roszczenia;

b)

instytucja ustala, w jaki sposób różne czynniki, o których mowa w lit. a), wpływały na ograniczanie ryzyka przez ubezpieczenie w profilu ryzyka operacyjnego w przeszłości i jaki wpływ mogą wywrzeć w przyszłości;

c)

instytucja zapewnia, by niepewności, o których mowa w lit. a), były odzwierciedlane w wymogach w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru z zastosowaniem odpowiednio ostrożnych redukcji wartości;

d)

instytucja ostrożnie uwzględnia cechy polis ubezpieczeniowych, w tym to, czy polisy te obejmują wyłącznie straty, których instytucja dochodzi lub o których powiadamia ubezpieczyciela w okresie obowiązywania polisy, i czy w rezultacie straty wykryte po wygaśnięciu polisy nie są objęte ubezpieczeniem, czy też polisy te obejmują straty poniesione w okresie obowiązywania polisy, nawet jeżeli wykryto je i stosowne roszczenie zgłoszono po wygaśnięciu polisy, czy też straty są bezpośrednimi stratami pierwszej osoby lub stratami z tytułu odpowiedzialności cywilnej;

e)

instytucja rozpatruje i wyczerpująco dokumentuje dane dotyczące wypłat z ubezpieczenia według rodzaju straty w bazach danych strat, i odpowiednio ustala redukcje wartości;

f)

w instytucji obowiązują procedury określania i analizy strat oraz rozpatrywania roszczeń ukierunkowane na weryfikację rzeczywistej ochrony zapewnionej przez ubezpieczyciela lub możliwości otrzymania środków z tytułu roszczenia w rozsądnym terminie;

g)

instytucja wyraźnie kwantyfikuje i osobno modeluje redukcje wartości w odniesieniu do każdej zidentyfikowanej niepewności, a nie stosuje jednej redukcji wartości do obliczeń obejmujących wszystkie niepewności czy redukcji wartości obliczanej ex post;

h)

instytucja uwzględnia w najszerszym możliwym zakresie ryzyko braku zdolności ubezpieczyciela do wypłaty środków z tytułu roszczenia przez stosowanie właściwych redukcji wartości w metodzie modelowania ubezpieczenia;

i)

instytucja zapewnia ocenę ryzyka braku zdolności do wypłaty środków z tytułu roszczenia w przypadku niewykonania zobowiązania przez kontrahenta na podstawie jakości kredytowej zakładu ubezpieczeń, na którym zgodnie z daną umową ubezpieczeniową spoczywa odpowiedzialność, niezależnie od ewentualnego lepszego ratingu instytucji dominującej danego zakładu ubezpieczeń lub przeniesienia ryzyka na osobę trzecią;

j)

instytucja przyjmuje ostrożne założenia dotyczące przedłużenia polis ubezpieczeniowych w oparciu o warunki i zakres ochrony równoważne z warunkami i zakresem pierwotnych lub istniejących umów;

k)

w instytucji funkcjonują procesy zapewniające prawidłowe odzwierciedlenie w metodach zaawansowanego pomiaru potencjalnego wyczerpania limitów ubezpieczenia, ceny i możliwości przywrócenia ochrony, a także przypadków braku dopasowania zakresu wynikającego z umowy ubezpieczenia do profilu ryzyka operacyjnego instytucji.

a)

instytucja jest w stanie wykazać istnienie ciągłej ochrony na równoważnych lub bardziej korzystnych warunkach obejmującej co najmniej 365 dni;

b)

instytucja jest objęta polisą, której ubezpieczyciel nie może anulować na innej podstawie niż brak wpłaty składki, lub której okres wypowiedzenia wynosi ponad rok.

a)

potwierdzają, czy instytucja ma doświadczenie w stosowaniu instrumentów innych mechanizmów transferu ryzyka i zna ich cechy, w tym prawdopodobieństwo objęcia ubezpieczeniem i terminowość wypłat, przed włączaniem ich do systemu pomiaru ryzyka operacyjnego instytucji;

b)

odmawiają dopuszczenia innych mechanizmów transferu ryzyka do stosowania jako instrumentów ograniczania ryzyka na potrzeby wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, w przypadku gdy te inne mechanizmy transferu ryzyka są utrzymywane lub stosowane do celów handlowych, a nie do celów zarządzania ryzykiem operacyjnym;

c)

weryfikują kwalifikowalność sprzedawcy ochrony, w tym to, czy jest on podmiotem regulowanym czy nieregulowanym, oraz charakter i cechy zapewnionej ochrony, ustalając, czy jest to ochrona rzeczywista, sekurytyzacja, mechanizm gwarancji czy instrument pochodny;

d)

potwierdzają, czy działań zlecanych na zewnątrz nie uznaje się za część innych mechanizmów transferu ryzyka;

e)

potwierdzają, czy każdorazowo przy obliczaniu kapitału instytucja oblicza wymogi w zakresie funduszy własnych za pomocą metod zaawansowanego pomiaru przed i po zastosowaniu innych mechanizmach transferu ryzyka na poziomie szczegółowości, który pozwala niezwłocznie wykryć wpływ każdej erozji kwoty dostępnej ochrony na poziom wymogów kapitałowych;

f)

potwierdzają, czy w przypadku poniesienia istotnych strat mających wpływ na ochronę zapewnianą przez inne mechanizmy transferu ryzyka lub zmian w umowach dotyczących innych mechanizmów transferu ryzyka, które to zmiany powodują znaczną niepewność co do zakresu zapewnianej ochrony, instytucja ponownie oblicza swoje wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru z uwzględnieniem dodatkowego marginesu ostrożności.

a)

niniejsze rozporządzenie stosuje się po upływie roku od dnia jego wejścia w życie.

b)

art. 34 lit. g) stosuje się po upływie dwóch lat od dnia wejścia w życie niniejszego rozporządzenia.