6.7.2018   

RO

Jurnalul Oficial al Uniunii Europene

L 169/1

(1)

În sensul cerințelor de fonduri proprii pentru riscul operațional, articolul 312 alineatul (2) primul paragraf din Regulamentul (UE) nr. 575/2013 prevede că autoritățile competente permit instituțiilor să utilizeze abordări avansate de evaluare („AMA”) pe baza sistemelor de cuantificare a riscului operațional ale instituțiilor, în cazul în care ele îndeplinesc toate standardele calitative și cantitative prevăzute la articolul menționat, ceea ce implică respectarea de către instituții a cerințelor respective în orice moment. Prin urmare, o astfel de evaluare nu se referă numai la cererea inițială a unei instituții de a obține aprobarea de a utiliza AMA, ci se aplică în mod continuu.

(2)

Diferitele elemente care constituie cadrul AMA al unei instituții nu ar trebui avute în vedere în mod izolat, ci mai degrabă analizate și evaluate ca un ansamblu de elemente interconectate, astfel încât fiecare parte a cadrului să fie considerată de autoritățile competente ca având un nivel adecvat de conformitate.

(3)

Evaluarea de către autoritățile competente a conformității unei instituții cu cerințele menționate la articolul 312 alineatul (4) literele (a) și (b) din Regulamentul (UE) nr. 575/2013 privind utilizarea abordărilor avansate de evaluare nu ar trebui să aibă loc în mod uniform. Natura elementelor care trebuie analizate variază în funcție de tipul de evaluare desfășurată, care depinde, la rândul său, de tipul de cerere prezentată. Autoritățile competente trebuie să evalueze această conformitate în cazul în care o instituție prezintă o cerere de a utiliza AMA pentru prima dată, o cerere privind extinderea AMA în conformitate cu planul de implementare secvențială aprobat, o cerere privind extinderea sau modificarea AMA pentru care a primit aprobarea de a o utiliza, precum și o cerere privind revenirea la utilizarea unor abordări mai puțin sofisticate în conformitate cu articolul 313 din Regulamentul (UE) nr. 575/2013. În plus, autoritățile competente ar trebui să examineze în mod permanent modul în care instituțiile utilizează AMA. În consecință, autoritățile competente ar trebui să efectueze evaluarea conformității unei instituții cu cerințele privind utilizarea AMA în conformitate cu natura elementelor care urmează a fi evaluate în funcție de metodologia de evaluare relevantă.

(4)

Articolul 85 alineatul (1) din Directiva 2013/36/UE a Parlamentului European și a Consiliului (2) prevede obligația instituțiilor de a defini ce anume constituie risc operațional în sensul punerii în aplicare a politicilor și proceselor de evaluare și administrare a expunerii la riscul operațional. Regulamentul (UE) nr. 575/2013 prevede o definiție a „riscului operațional”, care include atât riscul juridic, cât și riscul de model. La articolul 3 alineatul (1) din Directiva 2013/36/UE, riscul de model se referă la pierderile potențiale cauzate de erori în elaborarea, implementarea sau utilizarea modelelor interne, însă nu include pierderile potențiale cauzate de ajustările evaluării aferente riscului de model menționate la articolul 105 privind evaluarea prudentă din Regulamentul (UE) nr. 575/2013 sau în Regulamentul delegat (UE) 2016/101 al Comisiei (3) și nici nu se referă la riscul de model asociat utilizării unei metodologii de evaluare care ar putea fi incorectă, astfel cum se menționează la articolul 105 alineatul (13) din Regulamentul (UE) nr. 575/2013. De asemenea, Regulamentul (UE) nr. 575/2013 nu precizează modul în care autoritățile competente ar trebui să verifice conformitatea cu cerința de a defini toate riscurile operaționale legate de riscul juridic și de riscul de model. Prin urmare, normele care detaliază metodologia de evaluare care trebuie utilizată de autoritățile competente atunci când evaluează dacă instituțiile pot utiliza AMA ar trebui să includă astfel de precizări.

(5)

Este, de asemenea, necesar să se armonizeze abordările în materie de supraveghere în ceea ce privește definirea corectă a riscului operațional în tranzacțiile financiare, inclusiv în ceea ce privește riscul de piață, întrucât s-a dovedit că riscurile operaționale ale acestor tranzacții sunt semnificative și că este posibil ca factorii care le declanșează, de regulă multidimensionali, să nu fie detectați în mod consecvent și înregistrați ca atare în întreaga Uniune.

(6)

La articolul 74 din Directiva 2013/36/UE și la articolul 321 din Regulamentul (UE) nr. 575/2013 sunt prevăzute standarde care trebuie respectate de către cadrul de guvernanță și de administrare a riscurilor al unei instituții. În consecință, metodologia pentru evaluarea AMA ar trebui să prevadă obligația autorităților competente de a verifica, atunci când evaluează dacă o instituție poate utiliza AMA, dacă instituția dispune de o structură organizațională clară pentru guvernanța și administrarea riscului operațional, cu linii de responsabilitate bine definite, transparente și consecvente care să țină seama de natura, amploarea și complexitatea activităților instituției. În special, ar trebui să se confirme că funcția de administrare a riscului operațional joacă un rolcheie în identificarea, cuantificarea și evaluarea, monitorizarea, controlul și minimizarea riscurilor operaționale cu care se confruntă instituția și că această funcție este suficient de independentă față de unitățile operaționale ale instituției, astfel încât să se asigure că judecata sa profesională și recomandările sale sunt atât independente, cât și imparțiale. De asemenea, ar trebui să se garanteze că membrii conducerii superioare sunt responsabili de dezvoltarea și implementarea cadrului de guvernanță și de administrare a riscului operațional care a fost aprobat de organul de conducere și că respectivul cadru este implementat în mod consecvent în întreaga structură a instituției. Autoritățile competente ar trebui, de asemenea, să evalueze dacă la toate nivelurile personalului există instrumente și informații adecvate, astfel încât toți membrii personalului să își înțeleagă responsabilitățile în ceea ce privește administrarea riscului operațional.

(7)

Existența unor sisteme eficace de raportare internă este o condiție prealabilă pentru o bună guvernanță internă. Prin urmare, autoritățile competente ar trebui să se asigure că o instituție care solicită aprobarea de a utiliza AMA adoptă sisteme eficace de raportare a riscurilor nu numai pentru organul de conducere și conducerea superioară, ci și pentru toate funcțiile responsabile de administrarea riscurilor operaționale la care instituția este sau ar putea fi expusă. Sistemul de raportare ar trebui să reflecte statutul actualizat al problemelor legate de riscurile operaționale în cadrul instituției și ar trebui să includă toate aspectele semnificative ale administrării și cuantificării riscului operațional.

(8)

În conformitate cu articolul 321 litera (a) din Regulamentul (UE) nr. 575/2013, sistemul intern de cuantificare a riscului operațional al unei instituții trebuie să fie bine integrat în procesele zilnice ale acesteia de administrare a riscului. În consecință, metodologia pentru evaluarea AMA ar trebui să prevadă obligația autorităților competente de a se asigura că o instituție care solicită aprobarea AMA își utilizează efectiv sistemul de cuantificare a riscului operațional pentru activitatea sa de zi cu zi și în scopuri de administrare a riscului în mod continuu, și nu numai în scopul calculării cerințelor de fonduri proprii pentru riscul operațional. Normele privind evaluarea prudențială AMA ar trebui, prin urmare, să includă dispoziții privind așteptările în materie de supraveghere care trebuie îndeplinite de instituția care solicită aprobarea AMA în ceea ce privește „testul de utilizare”.

(9)

Pentru a oferi instituțiilor și autorităților competente dovada că sistemul de cuantificare a riscului operațional al unei instituții este fiabil și solid și că generează cerințe de fonduri proprii pentru riscul operațional mai credibile decât o metodologie mai simplă de reglementare a riscului operațional, autoritățile competente ar trebui să verifice dacă instituția a comparat sistemul de cuantificare a riscului operațional cu abordarea de bază sau cu abordarea standardizată pentru riscul operațional prevăzute la articolele 315, 317 și 319 din Regulamentul (UE) nr. 575/2013 pe o perioadă determinată de timp. Această perioadă de timp ar trebui să fie suficient de lungă pentru ca autoritatea competentă să poată stabili dacă instituția îndeplinește standardele calitative și cantitative prevăzute în Regulamentul (UE) nr. 575/2013 pentru utilizarea unei AMA.

(10)

În conformitate cu articolul 321 litera (g) din Regulamentul (UE) nr. 575/2013, fluxurile de date și procesele asociate sistemului de cuantificare pe baza AMA din cadrul instituției trebuie să fie transparente și accesibile. Datele privind riscul operațional nu sunt disponibile imediat, întrucât acestea trebuie să fie mai întâi identificate în registrele și arhivele unei instituții, iar apoi colectate și păstrate în mod corespunzător. În plus, sistemul de cuantificare este de obicei foarte sofisticat și prevede mai multe etape logice și de calcul pentru generarea cerințelor de fonduri proprii pe baza AMA. Prin urmare, metodologia pentru evaluarea AMA ar trebui să verifice dacă sistemele legate de calitatea datelor și cele informatice sunt concepute în mod corespunzător și implementate în mod corect în cadrul unei instituții, astfel încât să servească scopului pentru care au fost create.

(11)

Cadrul AMA al unei instituții face obiectul validării interne și al auditurilor prevăzute la articolul 321 literele (e) și (f) din Regulamentul (UE) nr. 575/2013. Deși structura organizațională a funcțiilor de validare internă și de audit poate varia în funcție de natura, complexitatea și activitatea unei instituții, ar trebui să se asigure faptul că metodologia pentru evaluarea AMA a examinărilor realizate de aceste funcții respectă criterii comune în ceea ce privește condițiile și domeniul de aplicare al examinărilor.

(12)

Modelarea riscurilor operaționale este o disciplină relativ nouă și aflată în evoluție. Astfel, articolul 322 din Regulamentul (UE) nr. 575/2013 conferă o flexibilitate semnificativă instituțiilor în ceea ce privește crearea sistemului de cuantificare a riscului operațional pentru calcularea cerințelor de fonduri proprii pe baza AMA. Cu toate acestea, o astfel de flexibilitate nu ar trebui să ducă la diferențe semnificative între instituții cu privire la componentele-cheie ale sistemului de cuantificare, inclusiv în ceea ce privește utilizarea datelor interne, a datelor externe, a analizei pe bază de scenarii și a factorilor legați de mediul de afaceri și de controlul intern (denumite și cunoscute drept „cele patru elemente”), ipotezele de modelare de bază care permit reflectarea evenimentelor de risc cu frecvență redusă și impact negativ major, situate la extremitatea curbei de distribuție statistică, precum și factorii de risc aferenți (crearea setului de date de calcul, nivelul de granularitate, identificarea distribuțiilor pierderilor și determinarea distribuțiilor pierderilor agregate și a cuantificărilor riscului) sau pierderea așteptată, corelațiile și criteriile pentru alocarea de capital care ar trebui să asigure coerența internă a unui sistem de cuantificare. Prin urmare, pentru a se asigura că sistemul de cuantificare a riscului este bine fundamentat din punct de vedere metodologic, comparabil între instituții, eficace în ceea ce privește reflectarea riscurilor operaționale reale și potențiale ale instituțiilor și fiabil și solid în ceea ce privește generarea de cerințe de capital reglementat pe baza AMA, metodologia pentru evaluarea AMA ar trebui să prevadă obligația autorităților competente din întreaga Uniune de a aplica aceleași criterii și cerințe. Metodologia pentru evaluarea AMA ar trebui, de asemenea, să ia în considerare elementele specifice de risc operațional care sunt legate de diferențele dintre instituții în ceea ce privește dimensiunea, natura și complexitatea acestora.

(13)

În special în ceea ce privește datele interne, ar trebui să se ia în considerare faptul că, deși o pierdere din riscul operațional poate apărea numai dintr-un eveniment de risc operațional, producerea acesteia poate fi descoperită prin diferite elemente, inclusiv cheltuieli directe, cheltuieli, provizioane, venituri care nu au fost percepute. În timp ce unele evenimente de risc operațional au un impact cuantificabil și sunt reflectate în situațiile financiare ale instituției, altele nu sunt cuantificabile și nu influențează situațiile financiare ale instituției, fiind, prin urmare, detectabile din alte surse, printre care și arhivele manageriale și setul de date privind incidentele. Prin urmare, normele care detaliază metodologia de evaluare pentru autoritățile competente cu scopul de a permite instituțiilor să utilizeze AMA ar trebui să specifice ce anume constituie o pierdere din riscul operațional și suma care urmează să fie înregistrată în contextul AMA, precum și, mai general, toate elementele care ar putea indica producerea unor evenimente de risc operațional.

(14)

Uneori, instituțiile sunt în măsură să recupereze rapid pierderile emergente care apar ca urmare a riscului operațional. Pierderile recuperate rapid nu ar trebui să fie luate în considerare în scopul calculării cerințelor de fonduri proprii pe baza AMA, deși pot fi utile în scopuri de administrare. Având în vedere că există diverse criterii pe care instituțiile le utilizează pentru a califica pierderile drept pierderi recuperate rapid, normele privind metodologia pentru evaluarea AMA ar trebui să includă norme care să precizeze criteriile adecvate pentru calificarea pierderilor drept pierderi recuperate rapid.

(15)

Tehnicile de minimizare a riscului pot fi recunoscute de autoritățile competente în contextul AMA, dacă sunt îndeplinite anumite condiții, astfel cum se menționează la articolul 323 din Regulamentul (UE) nr. 575/2013. Cu scopul de a aplica în mod eficace normele privind aceste tehnici de minimizare, autoritățile competente ar trebui să respecte standarde specifice atunci când evaluează modul în care o instituție aplică respectivele norme. În special, în cazul în care aceste tehnici de minimizare sunt sub formă de asigurări, este necesar să se garanteze faptul că aceste asigurări sunt furnizate de firme de asigurare autorizate în Uniune sau în jurisdicții cu standarde de reglementare echivalente pentru firmele de asigurare ca și cele aplicabile în Uniune.

(16)

În cazul în care tehnicile de minimizare a riscului iau forma unor alte mecanisme de transfer al riscului decât asigurările, autoritățile competente ar trebui să se asigure că aceste mecanisme transferă efectiv riscurile și nu sunt utilizate pentru a eluda cerințele de fonduri proprii pe baza AMA. Această condiție este esențială, având în vedere elementele specifice riscului operațional, în cazul în care nu există active-suport de referință clare și în cazul în care pierderile neprevăzute joacă un rol mai important decât în alte tipuri de risc. Acest lucru este exacerbat și mai mult de lipsa unei piețe eficiente, lichide și structurate pentru „produsele” de risc operațional care până în prezent au fost tranzacționate în afara sectorului bancar, printre care și obligațiunile pentru situații de catastrofă sau instrumentele financiare derivate în funcție de vreme. În fine, există adesea mari dificultăți în evaluarea riscurilor juridice ale acestor mecanisme, chiar dacă termenele și condițiile acestor contracte sunt definite cu atenție și claritate.

(17)

Pentru a asigura o tranziție ușoară pentru instituțiile care au primit deja aprobarea de a utiliza AMA sau care au solicitat aprobarea de a utiliza AMA înainte de intrarea în vigoare a prezentului regulament, ar trebui să se prevadă obligația autorităților competente de a aplica prezentul regulament în ceea ce privește evaluarea AMA în cazul acestor instituții numai după o anumită perioadă de tranziție. Având în vedere că analizarea periodică a AMA menționată la articolul 101 alineatul (1) din Directiva 2013/36/UE se desfășoară în mod normal o dată pe an, respectiva perioadă de tranziție ar trebui să fie de un an de la data intrării în vigoare a prezentului regulament.

(18)

Instituțiile care utilizează distribuții Gauss sau distribuții normale pentru recunoașterea corelațiilor dintre toate abordările AMA pe care le utilizează sau între părți ale acestora nu ar mai trebui să le utilizeze în contextul AMA, întrucât aceste ipoteze ar implica independența extremităților curbelor de distribuție printre categoriile de risc operațional, excluzând astfel posibilitatea producerii simultane a unor pierderi importante de diferite tipuri, o ipoteză care nu este nici prudentă, nici realistă. Prin urmare, ar trebui să se acorde timp suficient pentru a facilita tranziția acestor instituții la un nou regim în care în sistemul de cuantificare a riscului operațional sunt introduse ipoteze mai prudente, care implică o dependență pozitivă a extremităților curbelor de distribuție. Având în vedere că punerea în aplicare a acestor ipoteze ar putea necesita modificarea unor elemente-cheie și a procedurilor conexe ale cadrului AMA, ar fi oportun să se prevadă doi ani pentru această tranziție.

(19)

Prezentul regulament se bazează pe proiectul de standarde tehnice de reglementare transmis Comisiei de către Autoritatea Bancară Europeană.

(20)

Autoritatea Bancară Europeană a efectuat consultări publice deschise cu privire la respectivul proiect de standarde tehnice de reglementare, a analizat costurile și beneficiile potențiale aferente și a solicitat punctul de vedere al Grupului părților interesate din domeniul bancar, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (4),

(a)

elementele menționate la articolele 3-6 sunt îndeplinite;

(b)

capitolele 2 și 3 sunt respectate;

(c)

capitolul 4 este respectat, în cazul în care instituția a adoptat mecanismul de asigurare și alte mecanisme de transfer al riscului menționate în capitolul respectiv.

(a)

o evaluare a gradului de importanță al extinderilor și al modificărilor aduse AMA utilizate de o instituție;

(b)

o evaluare a planului de implementare secvențială referitor la AMA utilizată de o instituție;

(c)

o evaluare a revenirii instituției la utilizarea unor abordări mai puțin sofisticate, în conformitate cu articolul 313 din Regulamentul (UE) nr. 575/2013;

(d)

examinări periodice ale unei AMA utilizate de o instituție.

1.

„pragul de modelare «body-tail»” înseamnă valoarea pierderii care separă distribuția centrală de extremitatea curbei de distribuție a pierderilor;

2.

„setul de date de calcul” înseamnă partea din datele colectate, reale sau construite, care îndeplinește condițiile necesare pentru a servi drept date de intrare în sistemul de cuantificare a riscului operațional;

3.

„pragul de culegere a datelor” înseamnă valoarea pierderii pe baza căreia o instituție identifică și culege pierderile din riscul operațional în scopuri de administrare și de cuantificare;

4.

„data de contabilizare” înseamnă data la care s-a recunoscut pentru prima oară în contul de profit și pierdere o pierdere sau un provizion pentru un eveniment de risc operațional;

5.

„prag minim de modelare” înseamnă valoarea pierderii pe baza căreia frecvența și gravitatea distribuțiilor, empirice sau sub formă de parametri, se alocă pierderilor din riscul operațional;

6.

„pierdere brută” sau „pierdere” înseamnă o pierdere care decurge dintr-un eveniment de risc operațional înainte de orice tip de recuperări;

7.

„eveniment legat de o conduită necorespunzătoare” înseamnă evenimentul de risc operațional generat de o abatere săvârșită cu intenție sau din neglijență, inclusiv furnizarea necorespunzătoare de servicii financiare;

8.

„categoria de risc operațional” înseamnă nivelul, cum ar fi tipul de eveniment și linia de activitate, la care sistemul de cuantificare a riscului operațional al unei instituții generează distribuții separate ale frecvenței și gravității;

9.

„profilul de risc operațional” înseamnă reprezentarea în cifre absolute, la un anumit moment în timp, a riscului operațional real și potențial al unei instituții;

10.

„toleranța riscului operațional” înseamnă viziunea prospectivă a unei instituții, reprezentată în cifre absolute, a nivelului agregat și a tipurilor de risc operațional pe care instituția este dispusă sau pregătită să le suporte și care nu vor afecta obiectivele sale strategice și planul de afaceri;

11.

„recuperare” înseamnă un eveniment legat de pierderea inițială care este independent de pierderea respectivă și care este separat în timp, în cursul căruia se primesc fonduri sau intrări de beneficii economice de la părțile direct vizate sau de la părți terțe;

12.

„cuantificarea riscului” înseamnă o statistică unică privind riscul operațional extrasă din distribuția pierderilor agregate la nivelul de încredere dorit, inclusiv valoarea la risc (VaR) sau măsurile deficitelor (de exemplu deficitul preconizat, deficitul median);

13.

„ciclul de viață al dezvoltării unui sistem” sau „SDLC” (System Development Life Cycle) înseamnă procesul de planificare, creare, testare și instalare a unei infrastructuri informatice;

14.

„pierdere temporară” înseamnă impactul economic negativ înregistrat într-o perioadă contabilă financiară ca urmare a unui eveniment de risc operațional care afectează fluxurile de trezorerie sau situațiile financiare ale perioadelor contabile financiare anterioare.

(a)

faptul că instituția identifică în mod clar și clasifică drept risc operațional pierderile sau alte cheltuieli care decurg din evenimente care conduc la proceduri judiciare, incluzând cel puțin următoarele elemente:

(b)

faptul că instituția identifică în mod clar și clasifică drept risc operațional pierderile sau alte cheltuieli rezultate din acțiuni voluntare menite să evite sau să minimizeze riscurile juridice care rezultă din evenimente de risc operațional, inclusiv rambursările sau reducerile aferente viitoarelor servicii oferite clienților în mod voluntar, în cazul în care respectivele rambursări nu sunt oferite ca urmare a reclamațiilor clienților;

(c)

faptul că instituția identifică în mod clar și clasifică drept risc operațional pierderile cauzate de erori și omisiuni în contracte și documente;

(d)

faptul că instituția nu clasifică următoarele elemente drept risc operațional:

(a)

orice cerință derivată din dispozițiile statutare sau legislative naționale sau internaționale;

(b)

orice cerință derivată din dispoziții contractuale, norme interne și coduri de conduită stabilite în conformitate cu normele și practicile naționale sau internaționale;

(c)

norme etice.

(a)

că cel puțin următoarele evenimente și pierderile aferente rezultate din modelele utilizate pentru luarea deciziilor sunt clasificate drept risc operațional:

(b)

faptul că evenimentele legate de subestimarea cerințelor de fonduri proprii de către modelele interne autorizate de autoritățile competente nu sunt incluse în identificarea, culegerea și tratarea datelor referitoare la evenimentele de risc operațional și la pierderile din riscul operațional care sunt legate de riscul de model.

(a)

evenimentele cauzate de erorile operaționale și erorile de introducere a datelor, inclusiv următoarele:

(b)

evenimentele survenite din cauza deficiențelor controalelor interne, inclusiv următoarele:

(c)

evenimentele cauzate de calitatea necorespunzătoare a datelor și lipsa de disponibilitate a mediului informatic, inclusiv indisponibilitatea tehnică a accesului la piață, care a dus la incapacitatea de a încheia contractele.

(a)

faptul că documentația este aprobată la nivelul de conducere corespunzător al instituției;

(b)

faptul că instituția dispune de politici care definesc standardele menite să asigure o calitate ridicată a documentelor interne, inclusiv cerințe specifice de răspundere pentru asigurarea faptului că documentele păstrate sunt complete, consecvente, corecte, actualizate, aprobate și sigure;

(c)

faptul că formatul documentației prevăzut în politicile menționate la litera (b) identifică cel puțin următoarele elemente:

(d)

faptul că instituția își documentează în detaliu politicile, procedurile și metodologiile.

(a)

faptul că documentația este destul de detaliată și de exactă pentru a permite examinarea AMA de părți terțe, inclusiv:

(a)

faptul că organul de conducere al instituției discută și aprobă guvernanța riscului operațional, procesul de administrare a riscului operațional și sistemul de cuantificare a riscului operațional;

(b)

faptul că organul de conducere al instituției definește și determină în mod clar următoarele elemente, cel puțin o dată pe an:

(c)

faptul că organul de conducere al instituției monitorizează respectarea în mod continuu de către instituție a declarației toleranței riscului operațional menționate la litera (b) punctul (ii);

(d)

faptul că instituția aplică un proces continuu de administrare a riscului operațional pentru a identifica, a evalua și cuantifica, a monitoriza și a raporta riscurile operaționale, inclusiv evenimentele legate de o conduită necorespunzătoare, și că este în măsură să identifice personalul responsabil de procesul de administrare a riscului operațional;

(e)

faptul că informațiile obținute în urma procesului menționat la litera (d) sunt transmise comitetelor relevante și organelor executive ale instituției și că deciziile care decurg din respectivele comitete sunt comunicate persoanelor din cadrul instituției responsabile de culegerea, controlul, monitorizarea și administrarea riscului operațional, precum și celor responsabile de gestionarea activităților care dau naștere la riscuri operaționale;

(f)

faptul că instituția evaluează eficacitatea guvernanței riscului operațional, a procesului de administrare a riscului operațional și a sistemului de cuantificare a riscului operațional cel puțin o dată pe an;

(g)

faptul că instituția notifică autorității competente relevante rezultatele evaluării menționate la litera (f) cel puțin o dată pe an.

(a)

nivelul de conștientizare de către personalul instituției a politicilor și procedurilor aferente riscului operațional;

(b)

procesul intern al instituției privind contestarea structurii și a eficacității cadrului AMA.

(a)

faptul că funcția de administrare a riscului operațional exercită următoarele sarcini separat față de liniile de activitate ale instituției:

(b)

faptul că funcția de administrare a riscului operațional beneficiază de un sprijin corespunzător din partea organului de conducere și a conducerii superioare și are importanța adecvată în cadrul organizației pentru a-și putea îndeplini sarcinile;

(c)

faptul că funcția de administrare a riscului operațional nu este responsabilă și de funcția de audit intern;

(d)

faptul că șeful funcției de administrare a riscului operațional îndeplinește cel puțin următoarele cerințe:

(a)

faptul că membrii conducerii superioare sunt responsabili de implementarea cadrului de guvernanță și administrare a riscului operațional aprobat de organul de conducere;

(b)

faptul că membrii conducerii superioare au fost împuterniciți de către organul de conducere să elaboreze politici, procese și proceduri de administrare a riscului operațional;

(c)

faptul că membrii conducerii superioare pun în aplicare politicile, procesele și procedurile de administrare a riscului operațional menționate la litera (b).

(a)

faptul că problemele referitoare la sistemele de raportare și controalele interne ale instituției sunt identificate rapid și cu precizie;

(b)

faptul că rapoartele instituției privind riscul operațional sunt distribuite la nivelurile ierarhice adecvate și în sectoarele instituției pe care rapoartele le-au identificat drept problematice;

(c)

faptul că membrii conducerii superioare a instituției primesc cel puțin trimestrial rapoarte cu privire la stadiul cel mai recent al profilului de risc operațional al instituției și utilizează aceste rapoarte în procesul de luare a deciziilor;

(d)

faptul că rapoartele privind riscul operațional al instituției conțin informații relevante privind administrarea riscurilor și cel puțin un rezumat în linii mari cu privire la principalele riscuri operaționale ale instituției și ale filialelor și unităților operaționale ale acesteia;

(e)

faptul că instituția utilizează rapoarte ad-hoc în cazul anumitor deficiențe în ceea ce privește politicile, procesele și procedurile de administrare a riscului operațional, pentru a identifica și a soluționa rapid aceste deficiențe și, prin urmare, pentru a reduce în mod substanțial frecvența și gravitatea potențiale ale unui eveniment de pierdere.

(a)

faptul că sistemul de cuantificare a riscului operațional al instituției este utilizat pentru a administra riscurile operaționale între diferitele linii de activitate, unități sau entități juridice din cadrul structurii organizaționale;

(b)

faptul că sistemul de cuantificare a riscului operațional este integrat în cadrul diferitelor entități din cadrul grupului și că, în cazul în care acesta este utilizat la nivel consolidat, cadrul AMA al instituției-mamă se extinde și la filiale și că riscul operațional și factorii legați de mediul de afaceri și de controlul intern ai respectivelor filiale menționați la articolul 322 alineatele (1) și (6) din Regulamentul (UE) nr. 575/2013 sunt incluși în calculele AMA la nivel de grup;

(c)

faptul că sistemul de cuantificare a riscului operațional este utilizat și în procesul de evaluare a adecvării capitalului intern al instituției menționat la articolul 73 din Directiva 2013/36/UE.

(a)

faptul că sistemul de cuantificare a riscului operațional este actualizat cu regularitate și continuă să fie dezvoltat pe măsură ce cresc experiența și gradul de sofisticare a procesului de administrare și cuantificare a riscului operațional;

(b)

faptul că natura și echilibrul datelor de intrare în sistemul de cuantificare a riscului operațional sunt relevante și că reflectă în orice moment natura activității economice, strategia, organizarea și expunerea la riscul operațional ale instituției.

(a)

faptul că sistemul de cuantificare a riscului operațional este efectiv utilizat pentru raportarea cu regularitate și promptitudine de informații consecvente care reflectă în mod corect natura activității și profilul de risc operațional al instituției;

(b)

faptul că instituția ia măsuri de remediere pentru a îmbunătăți procesele interne după primirea informațiilor privind rezultatele sistemului de cuantificare a riscului operațional.

(a)

faptul că definiția toleranței riscului operațional adoptată de instituție și obiectivele și activitățile aferente de administrare a riscului operațional sunt comunicate în mod clar în cadrul instituției;

(b)

faptul că relația dintre strategia de afaceri a instituției și procesul său de administrare a riscului operațional, inclusiv în ceea ce privește aprobarea de noi produse, sisteme și procese, este comunicată în mod clar în cadrul instituției;

(c)

faptul că sistemul de cuantificare a riscului operațional sporește transparența, nivelul de conștientizare a riscurilor și cunoștințele de specialitate în materie de administrare a riscului operațional și creează stimulente pentru a îmbunătăți administrarea riscului operațional în întreaga instituție;

(d)

faptul că datele de intrare și de ieșire ale sistemului de cuantificare a riscului operațional sunt utilizate în deciziile și planurile relevante, inclusiv în planurile de acțiune, planurile de continuitate a activității, planurile de lucru privind auditul intern, deciziile de alocare a capitalului, planurile de asigurare și deciziile privind alocarea bugetului ale instituției.

(a)

faptul că, înainte de a acorda aprobarea de a utiliza AMA în scopuri de reglementare, instituția și-a calculat cerințele de fonduri proprii pentru riscul operațional atât pe baza AMA, cât și a abordărilor mai puțin sofisticate aplicabile anterior și că a efectuat acest calcul:

(b)

faptul că instituția respectă cel puțin următoarele elemente:

(a)

faptul că funcția de validare internă furnizează un aviz motivat și bine informat, cel puțin o dată pe an, indicând dacă sistemul de cuantificare a riscului operațional funcționează astfel cum s-a preconizat și dacă rezultatele modelului sunt adecvate pentru diversele sale scopuri interne și de supraveghere;

(b)

faptul că funcția de audit verifică integritatea politicilor proceselor și procedurilor privind riscul operațional, evaluând dacă acestea sunt conforme cu cerințele de reglementare și cu controalele stabilite, cel puțin o dată pe an, și mai ales faptul că funcția de audit evaluează calitatea surselor și a datelor utilizate pentru administrarea și cuantificarea riscului operațional;

(c)

faptul că funcțiile de audit și de validare internă dispun de un program de examinare care acoperă aspectele referitoare la AMA incluse în prezentul regulament și că acesta este actualizat periodic cu privire la:

(d)

faptul că validarea internă este efectuată de resurse calificate, care sunt independente de unitățile validate;

(e)

faptul că, în cazul în care activitățile de audit sunt efectuate de funcțiile de audit intern sau extern sau de părți externe calificate, acestea sunt independente de procesul sau sistemul în curs de examinare și că, în cazul în care aceste activități sunt externalizate, organul de conducere și conducerea superioară a instituției garantează, pe propria răspundere, că funcțiile externalizate se efectuează în conformitate cu planul de audit aprobat al instituției;

(f)

faptul că examinările cadrului AMA prin audit și validare internă sunt documentate în mod corespunzător și că rezultatul acestora este distribuit destinatarilor corespunzători din cadrul instituțiilor, inclusiv, dacă este cazul, comitetelor de risc, funcției de administrare a riscului operațional, personalului însărcinat cu gestionarea liniilor de activitate, precum și altor tipuri de personal relevant;

(g)

faptul că rezultatele examinărilor prin audit și validare internă sunt sintetizate și raportate cel puțin o dată pe an organului de conducere al instituției sau unui comitet desemnat de acesta pentru aprobare;

(h)

faptul că examinarea și aprobarea eficacității cadrului AMA al instituției se efectuează cel puțin o dată pe an.

(a)

faptul că programele de audit pentru examinarea cadrului AMA acoperă toate activitățile semnificative care ar putea expune instituția unui risc operațional semnificativ, inclusiv activitățile externalizate;

(b)

faptul că tehnicile de validare internă sunt proporționale cu condițiile de piață și de funcționare aflate în schimbare și că rezultatele acestora sunt supuse examinării prin audit.

(a)

datele pentru a crea și a urmări istoricul riscului operațional, formate din datele interne și externe, analiza pe bază de scenarii și factorii legați de mediul de afaceri și de controlul intern;

(b)

date complementare, inclusiv parametrii modelului, datele de ieșire ale modelului și rapoartele.

(a)

sunt diversificate, detaliate și delimitate în mod suficient pentru a îndeplini sarcina avută în vedere;

(b)

răspund nevoilor curente și potențiale ale utilizatorilor;

(c)

sunt actualizate cu promptitudine;

(d)

sunt adecvate gradului lor de utilizare și compatibile cu acesta;

(e)

reprezintă cu exactitate realitatea fenomenului pe care urmăresc să îl reprezinte;

(f)

nu încalcă nicio regulă internă într-o bază de date care trebuie să fie păstrată în mod static și dinamic.

(a)

o hartă globală a bazelor de date implicate în sistemul de cuantificare a riscului operațional, împreună cu descrierile acestora;

(b)

o politică în materie de date și o declarație de responsabilitate;

(c)

descrierile fluxurilor de lucru și ale procedurilor legate de culegerea și stocarea datelor;

(d)

o situație a deficiențelor, cuprinzând toate deficiențele identificate în bazele de date ale proceselor de validare și de examinare și o declarație cu privire la modalitatea în care instituția intenționează să corecteze sau să reducă deficiențele identificate.

(a)

faptul că sistemele informatice și infrastructura informatică ale instituției utilizate în scopul AMA sunt stabile și reziliente și că aceste caracteristici pot fi menținute în mod continuu;

(b)

faptul că ciclul de viață al dezvoltării sistemului utilizat în scopul AMA este solid și adecvat în ceea ce privește:

(c)

faptul că infrastructura informatică a instituției implementată în scopul AMA este supusă proceselor de gestionare a configurației, a modificărilor și a lansărilor;

(d)

faptul că SDLC și planurile de urgență în scopul AMA sunt aprobate de către organul de conducere sau de conducerea superioară a instituției și că organul de conducere și conducerea superioară sunt informate periodic cu privire la performanța infrastructurii informatice în scopul AMA.

(a)

faptul că instituția dispune de documente interne care specifică în detaliu modul în care cele patru elemente sunt colectate, combinate și/sau ponderate, printre care și o descriere a procesului de modelare care ilustrează utilizarea și combinarea celor patru elemente și raționamentul aflat la baza alegerilor în materie de modelare;

(b)

faptul că instituția are o viziune clară a modului în care fiecare dintre cele patru elemente influențează cerințelor de fonduri proprii pe baza AMA;

(c)

faptul că modul de combinare a celor patru elemente utilizat de instituție se bazează pe o metodologie statistică solidă și suficientă pentru estimarea percentilelor mari;

(d)

faptul că instituția aplică cel puțin următoarele elemente în momentul culegerii, generării și tratării celor patru elemente:

(a)

faptul că instituția colectează toate elementele următoare în cadrul grupului într-un mod clar și consecvent:

(b)

faptul că instituția este în măsură să identifice în mod separat cuantumul pierderii brute, recuperările din asigurări și din alte mecanisme de transfer al riscului (ORTM), precum și alte recuperări decât cele din asigurări și din ORTM, după producerea unui eveniment de risc operațional, cu excepția pierderilor care sunt recuperate parțial sau integral în decurs de cinci zile lucrătoare;

(c)

faptul că instituția aplică un sistem pentru definirea și justificarea pragurilor corespunzătoare pentru culegerea datelor, pe baza cuantumului pierderii brute;

(d)

faptul că categoria de risc operațional este rezonabilă și că nu omite date privind pierderea care sunt semnificative pentru un proces eficace de cuantificare și administrare a riscului operațional;

(e)

faptul că pentru fiecare pierdere în parte, instituția este în măsură să identifice și să înregistreze cel puțin următoarele elemente în baza de date internă:

(a)

cheltuielile directe, inclusiv deprecierile și cheltuielile de decontare, în contul de profit și pierdere și reducerile valorii contabile cauzate de evenimentul de risc operațional;

(b)

costurile suportate ca urmare a evenimentului de risc operațional, inclusiv următoarele:

(c)

provizioanele sau rezervele contabilizate în contul de profit și pierdere la pierderi probabile din riscul operațional, inclusiv pierderi generate de evenimentele legate de o conduită necorespunzătoare;

(d)

pierderile latente, sub formă de pierderi generate de un eveniment de risc operațional, care sunt înregistrate temporar în conturi tranzitorii sau de așteptare și nu sunt încă reflectate în contul de profit și pierdere și care urmează să fie incluse în contul de profit și pierdere într-un termen proporțional cu dimensiunea și vechimea elementului latent;

(e)

veniturile semnificative care nu au fost percepute, legate de obligațiile contractuale cu terți, inclusiv decizia de a compensa un client în urma evenimentului de risc operațional, mai degrabă decât de a efectua o rambursare sau o plată directă, ajustând venitul prin renunțarea la taxele contractuale sau prin reducerea acestora într-o anumită perioadă de timp viitoare;

(f)

pierderile temporare, în cazul în care acestea acoperă o perioadă mai lungă decât un exercițiu financiar-contabil și generează un risc juridic.

(a)

un incident evitat la limită, sub forma unei pierderi zero cauzate de un eveniment de risc operațional, inclusiv o întrerupere informatică în sala de tranzacționare survenită imediat în afara orelor de tranzacționare;

(b)

un câștig cauzat de un eveniment de risc operațional;

(c)

costurile de oportunitate sub forma unei creșteri a costurilor sau a unei scăderi a veniturilor survenite în urma unor evenimente de risc operațional care împiedică realizarea unor activități viitoare nedeterminate; printre aceste costuri se numără costurile neprevăzute cu personalul, pierderile de venituri și costurile proiectelor legate de îmbunătățirea proceselor;

(d)

costurile interne, inclusiv orele suplimentare sau primele.

(a)

costurile contractelor de întreținere generală aferente imobilizărilor corporale;

(b)

cheltuielile interne sau externe menite să consolideze activitatea după producerea unui eveniment de risc operațional, inclusiv modernizări, îmbunătățiri, adoptarea de măsuri privind evaluarea riscurilor și consolidarea acestora;

(c)

primele de asigurare.

(a)

faptul că întregul cuantum al pierderilor sau cheltuielilor suportate – inclusiv provizioane, costuri de decontare, sume plătite pentru repararea pagubelor, sancțiuni, dobânzi penalizatoare și cheltuieli juridice – este considerat drept cuantumul pierderilor înregistrate atât în scopul administrării riscului operațional, cât și al calculării cerințelor de fonduri proprii pe baza AMA, cu excepția cazului în care se specifică altfel;

(b)

faptul că, în cazul în care evenimentul de risc operațional se referă la riscul de piață, instituția include costurile aferente lichidării pozițiilor pe piață în cuantumul pierderilor înregistrate pentru elementele de risc operațional și că, în cazul în care poziția este lăsată deschisă în mod intenționat după ce evenimentul de risc operațional a fost recunoscut, orice parte a pierderii survenite din cauza unor condiții de piață nefavorabile după decizia de a menține o poziție deschisă nu este inclusă în cuantumul pierderilor înregistrate pentru elementele de risc operațional;

(c)

faptul că, în cazul în care plățile fiscale se referă la deficiențe sau procese inadecvate ale instituției, instituția include în cuantumul pierderilor înregistrate pentru elementele de risc operațional cheltuielile suportate ca urmare a evenimentului de risc operațional, inclusiv sancțiuni, dobânzi, penalități de întârziere și cheltuieli juridice, excluzând cuantumul taxei datorate inițial;

(d)

faptul că, în cazul în care există pierderi temporare și evenimentul de risc operațional afectează în mod direct părți terțe, inclusiv clienți, furnizori și angajați ai instituției, instituția include în cuantumul pierderilor înregistrate pentru elementul de risc operațional și corecția situației financiare.

(a)

fraudele comise de un client al instituției pe cont propriu, care au avut loc la nivelul unui produs de credit sau al unui proces de creditare în etapa inițială a ciclului de viață al unei relații de creditare, inclusiv incitarea la luarea de decizii de creditare pe baza unor documente contrafăcute sau a unor situații financiare incorecte, cum ar fi garanții reale inexistente sau supraestimate și fluturași de salariu contrafăcuți;

(b)

fraudele comise sub identitatea unei terțe persoane, care nu are cunoștință de acest fapt, inclusiv cererile de împrumut prin fraudarea identității prin mijloace electronice, utilizând datele clienților sau identități fictive sau utilizând în mod fraudulos cardurile de credit ale clienților.

(a)

ajustează pragul de culegere a datelor referitor la evenimentele de pierdere descrise la alineatul (1) până la niveluri comparabile cu cele ale celorlalte categorii de risc operațional din cadrul AMA, după caz;

(b)

include în pierderea brută survenită din evenimentele descrise la alineatul (1) suma totală restantă în momentul descoperirii fraudei sau ulterior, precum și orice cheltuieli conexe, inclusiv dobânzi penalizatoare și cheltuieli juridice.

(a)

faptul că, atunci când participă la inițiative ale consorțiilor pentru culegerea de evenimente de risc operațional și pierderi din riscul operațional, instituția este în măsură să furnizeze date de aceeași calitate, în ceea ce privește sfera, integritatea și exhaustivitatea, ca și datele interne care îndeplinesc standardele menționate la articolele 21, 22, 23 și 24 și că instituția face acest lucru într-un mod compatibil cu tipul de date solicitate de către standardele de raportare ale consorțiilor;

(b)

faptul că instituția dispune de un proces de filtrare a datelor care permite selectarea datelor externe relevante, pe baza unor criterii specifice stabilite, și că datele externe utilizate sunt relevante și respectă profilul de risc al instituției;

(c)

faptul că, pentru a evita lipsa de obiectivitate în estimările parametrilor, procesul de filtrare duce la o selecție consecventă a datelor, indiferent de cuantumul pierderilor, și că, atunci când permite excepții de la acest proces de selecție, instituția dispune de o politică ce oferă criterii pentru derogări și furnizează documente care explică raționamentul aflat la baza acestor excepții;

(d)

faptul că, în cazul în care instituția adoptă un proces de scalare a datelor ce implică ajustarea cuantumurilor pierderilor raportate în datele externe sau a distribuțiilor aferente, pentru a corespunde activităților, naturii și profilului de risc ale instituției, procesul de scalare este sistematic și sprijinit din punct de vedere statistic și că acesta oferă date de ieșire care sunt în concordanță cu profilul de risc al instituției;

(e)

faptul că procesul de scalare al instituției este consecvent în timp și că valabilitatea și eficacitatea acestuia sunt examinate periodic.

(a)

faptul că instituția dispune de un cadru solid de guvernanță în ceea ce privește procesul de elaborare a scenariilor, care generează estimări credibile și fiabile, indiferent dacă scenariul este utilizat pentru a evalua evenimente cu impact negativ major sau expunerile totale la riscul operațional;

(b)

faptul că procesul de elaborare a scenariilor este definit în mod clar, bine documentat, repetabil și conceput astfel încât să reducă cât mai mult subiectivitatea și prejudecățile, inclusiv:

(c)

faptul că facilitatori calificați și experimentați asigură consecvența acestui proces;

(d)

faptul că ipotezele utilizate în procesul de elaborare a scenariilor se bazează, în cea mai mare măsură posibilă, pe date interne și externe relevante obținute în urma unui proces obiectiv și imparțial de selecție;

(e)

faptul că numărul de scenarii ales și nivelul la care sunt studiate scenariile sau unitățile în care sunt studiate scenariile sunt realiste și explicate în mod corespunzător și faptul că estimările din scenarii iau în considerare modificările relevante ale mediilor interne și externe care pot influența expunerea instituției la riscul operațional;

(f)

faptul că estimările din scenarii sunt generate ținând seama de evenimente de risc operațional eventuale sau probabile care încă nu s-au concretizat, integral sau parțial, într-o pierdere din riscul operațional;

(g)

faptul că procesul de elaborare a scenariilor și estimările din scenarii sunt supuse unui proces de testare și unei supravegheri solide și independente.

(a)

faptul că factorii legați de mediul de afaceri și de controlul intern ai instituției sunt orientați spre viitor și reflectă sursele potențiale de riscuri operaționale, inclusiv creșterea rapidă, introducerea de noi produse, rotația personalului și opririle sistemului;

(b)

faptul că instituția dispune de orientări de politică clare care limitează amploarea reducerilor cerințelor de fonduri proprii pe baza AMA ce rezultă din ajustările factorilor legați de mediul de afaceri și de controlul intern;

(c)

faptul că ajustările factorilor legați de mediul de afaceri și de controlul intern menționate la litera (b) sunt justificate și că adecvarea nivelului lor este confirmată printr-o comparație, în timp, cu direcția și amploarea datelor interne privind pierderile efective, cu condițiile din mediul de afaceri și cu modificările în ceea ce privește eficacitatea validată a controalelor.

(a)

faptul că instituția elaborează, pune în aplicare și menține un sistem de cuantificare a riscului operațional care este bine fundamentat din punct de vedere metodologic, eficace în ceea ce privește reflectarea riscului operațional real și potențial al instituției și fiabil și solid în ceea ce privește generarea de cerințe de fonduri proprii pe baza AMA;

(b)

faptul că instituția dispune de politici adecvate privind crearea setului de date de calcul, în conformitate cu articolul 29;

(c)

faptul că instituția aplică nivelul adecvat de granularitate în modelul său, în conformitate cu articolul 30;

(d)

faptul că instituția dispune de un proces corespunzător de identificare a distribuțiilor pierderilor, în conformitate cu articolul 31;

(e)

faptul că instituția determină distribuțiile pierderilor agregate și cuantificările riscului într-un mod corespunzător, în conformitate cu articolul 32.

(a)

faptul că instituția definește criterii și exemple specifice pentru clasificarea și tratarea evenimentelor de risc operațional și a pierderilor din riscul operațional în setul de date de calcul și că aceste criterii și exemple oferă un tratament consecvent al datelor privind pierderile la nivelul întregii instituții;

(b)

faptul că instituția nu utilizează pierderea netă fără recuperările din asigurări și din ORTM în setul de date de calcul;

(c)

faptul că instituția a adoptat, pentru categoriile de risc operațional cu o frecvență redusă a evenimentelor, o perioadă de observare mai mare decât cea minimă menționată la articolul 322 alineatul (3) litera (a) din Regulamentul (UE) nr. 575/2013;

(d)

faptul că, în momentul creării setului de date de calcul în scopul estimării distribuțiilor frecvenței și gravității, instituția utilizează numai data descoperirii sau numai data de contabilizare și recurge la o dată care nu survine mai târziu de data de contabilizare pentru includerea pierderilor sau a provizioanelor aferente riscului juridic în setul de date de calcul;

(e)

faptul că alegerea instituției în ceea ce privește pragul minim de modelare nu are un impact negativ asupra corectitudinii cuantificărilor riscului operațional și că utilizarea de praguri minime de modelare care sunt mult mai mari decât pragurile de culegere a datelor este limitată și, în cazul în care se aplică, este justificată în mod corespunzător prin analizele de sensibilitate ale diferitelor praguri efectuate de către instituție;

(f)

faptul că instituția include toate pierderile operaționale peste pragul minim de modelare ales în setul de date de calcul și că le utilizează, indiferent de nivelul lor, pentru a genera cerințe de fonduri proprii pe baza AMA;

(g)

faptul ca instituția aplică rate de ajustare corespunzătoare datelor în cazul cărora efectele în materie de inflație sau de deflație sunt semnificative;

(h)

faptul că pierderile cauzate de evenimentul-sursă sub forma unui eveniment de risc operațional comun sau de mai multe evenimente legate de un eveniment de risc operațional inițial care a generat evenimente sau pierderi sunt grupate și incluse în setul de date de calcul ca o singură pierdere de către instituție;

(i)

faptul că toate excepțiile posibile de la tratamentul prevăzut la litera (h) sunt bine documentate și justificate pentru a preveni reducerea nejustificată a cerințelor de fonduri proprii pe baza AMA;

(j)

faptul că instituția nu elimină din setul de date de calcul pentru AMA ajustările semnificative ale pierderilor din riscul operațional aferente unui eveniment unic sau mai multor evenimente legate între ele, în cazul în care data de referință a acestor ajustări se încadrează în perioada de observare, iar data de referință a evenimentului inițial, a evenimentului unic sau a evenimentului-sursă de la litera (h) se situează în afara acestei perioade;

(k)

faptul că instituția este în măsură să distingă, pentru fiecare an de referință inclus în perioada de observare, cuantumurile pierderilor aferente evenimentelor descoperite sau contabilizate în anul respectiv de cuantumurile pierderilor aferente ajustărilor sau grupărilor de evenimente descoperite sau contabilizate în anii precedenți.

(a)

faptul că instituția ține seama de natura, complexitatea și specificitatea activităților sale economice și a riscurilor operaționale la care este expusă, atunci când grupează riscuri care au factori comuni și atunci când definește categoriile de risc operațional ale unei AMA;

(b)

faptul că instituția își justifică alegerea privind nivelul de granularitate a categoriilor sale de risc operațional pe baza unor metode calitative și cantitative și că aceasta clasifică categoriile de risc operațional pe baza unor date omogene, independente și staționare;

(c)

faptul că alegerea instituției privind nivelul de granularitate a categoriilor sale de risc operațional este realistă și că nu va avea un impact negativ asupra prudenței rezultatelor modelului sau a unor părți din acesta;

(d)

faptul că instituția revizuiește alegerea nivelului de granularitate din categoriile sale de risc operațional în mod periodic, pentru a se asigura că acesta este în continuare adecvat.

(a)

faptul că instituția urmează un proces bine definit, documentat și trasabil pentru selecția, actualizarea și revizuirea distribuțiilor pierderilor și pentru estimarea parametrilor acestora;

(b)

faptul că selecția distribuțiilor pierderilor duce la alegeri consecvente și clare de către instituție, reflectă în mod corespunzător profilul de risc la nivelul extremităților curbei și include cel puțin următoarele elemente:

(c)

faptul că, în cadrul selectării unei distribuții a pierderilor, instituția examinează cu atenție asimetria pozitivă și caracterul leptokurtic al datelor;

(d)

faptul că, în cazul în care datele sunt foarte dispersate la nivelul extremității curbei, nu se utilizează curbe empirice pentru a estima regiunea extremității curbei, utilizându-se în schimb distribuții subexponențiale ale căror extremități descresc mai lent decât distribuțiile exponențiale, cu excepția cazului în care există motive excepționale pentru a aplica alte funcții, motive care sunt, în orice caz, abordate în mod corespunzător și pe deplin justificate pentru a preveni reducerea nejustificată a cerințelor de fonduri proprii pe baza AMA;

(e)

faptul că, în cazul în care se utilizează distribuții separate ale pierderilor pentru partea centrală a distribuției (body) și pentru extremitatea distribuției (tail), instituția examinează cu atenție alegerea pragului de modelare body-tail;

(f)

faptul că pentru pragul de modelare body-tail selectat se pune la dispoziție sprijin statistic documentat, completat, dacă este cazul, de elemente cantitative;

(g)

faptul că, în cursul estimării parametrilor distribuției, instituția fie reflectă caracterul incomplet al setului de date de calcul ca urmare a prezenței unor praguri minime de modelare în model, fie justifică utilizarea unui set de date de calcul incomplet, argumentând că acesta nu are un impact negativ asupra corectitudinii estimărilor parametrilor și cerințelor de fonduri proprii pe baza AMA;

(h)

faptul că instituția dispune de metodologii menite să reducă variabilitatea estimărilor parametrilor și furnizează măsuri ale erorilor pentru aceste estimări, inclusiv intervale de încredere și valori p;

(i)

faptul că, în cazul în care adoptă estimatori solizi sub forma unor generalizări ale estimatorilor clasici cu proprietăți statistice bune, inclusiv eficiență ridicată și subiectivitate scăzută, pentru o întreagă vecinătate a distribuției subiacente necunoscute a datelor, instituția poate demonstra că utilizarea lor nu subestimează riscul la extremitatea curbei de distribuție a pierderilor;

(j)

faptul că instituția evaluează calitatea ajustării dintre date și distribuția selectată utilizând instrumente de diagnosticare atât grafice, cât și cantitative, care sunt mai sensibile în ceea ce privește extremitatea curbei decât partea centrală a distribuției datelor, mai ales atunci când datele sunt foarte dispersate la nivelul extremității curbei;

(k)

faptul că, atunci când este cazul, inclusiv atunci când instrumentele de diagnosticare nu conduc la o alegere clară pentru distribuția cea mai potrivită sau pentru a diminua efectul dimensiunii eșantionului și numărul de parametri estimați în testele de calitate a ajustării, instituția utilizează metode de evaluare care compară performanța relativă a distribuțiilor pierderilor, inclusiv rata de verosimilitate, criteriul de informare Akaike și criteriul Bayesian Schwarz;

(l)

faptul că instituția a instituit un ciclu periodic pentru controlarea ipotezelor care stau la baza distribuțiilor pierderilor care au fost selectate și că, în cazul în care ipotezele sunt invalidate, inclusiv acolo unde acestea generează valori care depășesc intervalele stabilite, instituția a testat metode alternative și a clasificat în mod corespunzător eventualele modificări aduse ipotezelor, în conformitate cu Regulamentul delegat (UE) nr. 529/2014 al Comisiei (5).

(a)

faptul că tehnicile elaborate de instituție în acest scop asigură un nivel adecvat de precizie și stabilitate a cuantificărilor riscului;

(b)

faptul că cuantificările riscului se completează cu informații privind gradul lor de precizie;

(c)

faptul că, independent de tehnicile utilizate pentru a agrega distribuțiile pierderilor în funcție de frecvență și gravitate, inclusiv simulări Monte Carlo, metode de tipul transformata Fourier, algoritmul Panjer și aproximări de tipul Single Loss Approximations, instituția adoptă criterii care diminuează erorile legate de eșantioane și erorile numerice și oferă o măsură a magnitudinii acestor erori;

(d)

faptul că, atunci când sunt utilizate simulări Monte Carlo, numărul etapelor care trebuie efectuate este în concordanță cu forma distribuțiilor și cu nivelul de încredere care trebuie atins;

(e)

faptul că, în cazul în care distribuția pierderilor este densă la nivelul extremităților curbei și măsurată la un înalt nivel de încredere, numărul de etape este suficient de mare pentru a reduce variabilitatea eșantionării la un nivel acceptabil;

(f)

faptul că, atunci când se utilizează transformata Fourier sau alte metode numerice, aspectele legate de stabilitatea algoritmului și propagarea erorii sunt examinate cu atenție;

(g)

faptul că cuantificarea riscului instituției generată de sistemul de cuantificare a riscului operațional respectă principiul riscului monotonic, ceea ce se poate observa prin generarea de cerințe de fonduri proprii mai mari în cazul în care profilul de risc subiacent crește și prin generarea de cerințe de fonduri proprii mai mici în cazul în care profilul de risc subiacent scade;

(h)

faptul că cuantificarea riscului instituției generată de sistemul de cuantificare a riscului operațional este realistă din punct de vedere administrativ și economic și că instituția aplică tehnici adecvate pentru a evita plafonarea pierderii singulare maxime, cu excepția cazului în care furnizează o justificare obiectivă și clară pentru existența unei limite superioare, și pentru a evita presupunerea că nu există primul moment statistic în distribuție;

(i)

faptul că instituția evaluează în mod explicit soliditatea rezultatelor sistemului de cuantificare a riscului operațional prin efectuarea unei analize de sensibilitate adecvate în ceea ce privește datele de intrare sau parametrii sistemului.

(a)

faptul că metodologia de estimare a pierderilor așteptate a instituției este în concordanță cu sistemul de cuantificare a riscului operațional pentru estimarea cerințelor de fonduri proprii pe baza AMA care includ atât pierderile așteptate, cât și pierderile neașteptate și că procesul de estimare a pierderilor așteptate se realizează pentru fiecare categorie de risc operațional și este consecvent în timp;

(b)

faptul că instituția definește pierderile așteptate utilizând statistici care sunt mai puțin influențate de pierderile extreme, inclusiv mediana și media redusă, în special în cazul datelor cu o densitate medie sau mare la extremitatea curbei;

(c)

faptul că nivelul maxim de compensare pentru pierderea așteptată aplicat de instituție se limitează la pierderile totale așteptate și nivelul maxim de compensare pentru pierderea așteptată în fiecare categorie de risc operațional se limitează la pierderile așteptate relevante calculate în conformitate cu sistemul de cuantificare a riscului operațional al instituției pentru categoria respectivă;

(d)

faptul că compensările pentru pierderile așteptate pe care instituția le permite în fiecare categorie de risc operațional sunt substituiri de capital sau că acestea sunt puse la dispoziție în alt mod pentru a acoperi pierderile așteptate cu un grad înalt de certitudine, într-o perioadă de un an;

(e)

faptul că, în cazul în care compensarea ia o altă formă decât provizioanele, instituția limitează disponibilitatea compensării doar la acele operațiuni care au pierderi obișnuite, stabile și foarte previzibile;

(f)

faptul că instituția nu utilizează rezerve specifice pentru evenimentele excepționale de pierderi din riscul operațional care s-au petrecut deja drept compensări pentru pierderile așteptate;

(g)

faptul că instituția documentează clar modul în care pierderile așteptate sunt măsurate și reflectate, inclusiv modul în care compensările pierderilor așteptate îndeplinesc condițiile prezentate la literele (a)-(f).

(a)

instituția examinează cu atenție orice formă de dependență liniară sau neliniară, referitoare la toate datele, fie în partea centrală a distribuției, fie la extremitate, între două sau mai multe categorii de risc operațional sau în cadrul unei categorii de risc operațional;

(b)

instituția își susține ipotezele în materie de corelații, în cea mai mare măsură posibilă, printr-o combinație adecvată a analizei datelor empirice și a opiniilor experților;

(c)

pierderile din cadrul fiecărei categorii de risc operațional sunt independente una față de cealaltă;

(d)

în cazul în care condiția de la litera (c) nu este îndeplinită, pierderile dependente se agregă;

(e)

numai în cazul în care niciuna dintre condițiile de la litera (c) sau (d) nu poate fi îndeplinită, dependențele din categoriile de risc operațional sunt modelate în mod corespunzător;

(f)

instituția examinează cu atenție dependențele dintre evenimentele aflate la extremitatea curbei;

(g)

instituția nu își bazează structura de dependență pe distribuții Gauss sau distribuții normale;

(h)

toate ipotezele cu privire la dependență utilizate de către instituție sunt prudente, având în vedere incertitudinile legate de modelarea dependenței pentru riscul operațional, iar gradul de prudență adoptat de instituție crește pe măsură ce scade rigoarea ipotezelor privind dependențele și gradul de fiabilitate al cerințelor de fonduri proprii aferente;

(i)

instituția justifică în mod corespunzător ipotezele privind dependențele pe care le utilizează și efectuează în mod regulat analize de sensibilitate în vederea evaluării efectului ipotezelor privind dependențele asupra cerințelor sale de fonduri proprii pe baza AMA.

(a)

faptul că mecanismul instituției de alocare a capitalului este în concordanță cu profilul de risc al instituției și cu structura de ansamblu a sistemului de cuantificare a riscului operațional;

(b)

faptul că alocarea cerințelor de fonduri proprii pe baza AMA ia în considerare posibilele diferențe interne – în ceea ce privește riscurile, calitatea administrării riscului operațional și controlului intern – dintre părțile din cadrul grupului cărora le sunt alocate cerințele de fonduri proprii pe baza AMA;

(c)

faptul că nu există, în prezent sau în perspectivă, un impediment observabil de ordin practic sau juridic în calea transferului rapid de fonduri proprii sau a rambursării rapide a datoriilor;

(d)

faptul că alocarea cerințelor de fonduri proprii pe baza AMA pornind de la nivelul consolidat al grupului și coborând către părțile din cadrul grupului care participă la sistemul de cuantificare a riscului operațional se bazează pe metodologii solide și, în măsura posibilului, sensibile la risc.

(a)

faptul că furnizorul asigurării îndeplinește cerințele de autorizare menționate la articolul 323 alineatul (2) din Regulamentul (UE) nr. 575/2013, în conformitate cu articolul 37;

(b)

faptul că asigurarea este furnizată prin intermediul unui terț, astfel cum se menționează la articolul 323 alineatul (3) litera (e) din Regulamentul (UE) nr. 575/2013, în conformitate cu articolul 38;

(c)

faptul că instituția evită luarea în considerare de mai multe ori a tehnicilor de minimizare a riscului, astfel cum se menționează la articolul 322 alineatul (2) litera (e) din Regulamentul (UE) nr. 575/2013, în conformitate cu articolul 39;

(d)

faptul că calculele privind minimizarea riscului reflectă în mod adecvat protecția oferită de polița de asigurare, astfel cum se menționează la articolul 323 alineatul (3) litera (d) din Regulamentul (UE) nr. 575/2013, și faptul că politica referitoare la recunoașterea asigurării este fundamentată în mod corespunzător și formalizată, astfel cum se menționează la articolul 323 alineatul (3) litera (f) din regulamentul respectiv, fiind vizate inclusiv următoarele aspecte:

(e)

faptul că metodologia instituției privind recunoașterea asigurării include toate elementele relevante, prin intermediul unor reduceri sau marje de ajustare ale sumei asigurate recunoscute, astfel cum se menționează la articolul 323 alineatul (3) literele (a) și (b) și la articolul 323 alineatul (4) din Regulamentul (UE) nr. 575/2013, în conformitate cu articolul 43;

(f)

faptul că instituția demonstrează că se realizează un efect considerabil de reducere a riscului odată cu introducerea ORTM, astfel cum se prevede la articolul 323 alineatul (1) a doua teză din Regulamentul (UE) nr. 575/2013, în conformitate cu articolul 44.

(a)

estimează probabilitatea recuperării din asigurare și calendarul posibil pentru primirea plăților de la asigurători, inclusiv probabilitatea ca dauna să facă obiectul unui litigiu, durata acestui proces și ratele și condițiile curente ale decontării, pe baza experienței echipei sale de administrare a riscului de asigurare, sprijinite, dacă este cazul, de expertiza externă corespunzătoare, inclusiv consilieri în materie de creanțe, brokeri și societăți de asigurări;

(b)

utilizează estimările care rezultă în urma aplicării literei (a) pentru a evalua performanța asigurării în cazul unei pierderi din riscul operațional și definește acest proces cu scopul de a evalua răspunsul oferit de asigurare pentru toate datele relevante privind pierderile și scenariile introduse în sistemul de cuantificare a riscului operațional;

(c)

evaluează polițele de asigurare pe baza propriilor evaluări care rezultă din aplicarea literei (b) și riscurile operaționale proprii ale instituției, la nivelul maxim de detaliu, utilizând toate sursele de informații disponibile, inclusiv datele interne, datele externe și estimările scenariilor;

(d)

angajează expertiza necesară și efectuează această evaluare în mod transparent și consecvent;

(e)

atribuie factorul de ponderare corespunzător performanței anterioare și preconizate a asigurării, printr-o evaluare a componentelor poliței de asigurare;

(f)

obține aprobarea oficială din partea organismului sau comitetului de risc corespunzător;

(g)

reexaminează periodic procesul de evaluare a asigurării.

(a)

aceasta este conformă cu sistemul de cuantificare a riscului operațional adoptat pentru a cuantifica pierderile brute înainte de luarea în calcul a asigurării;

(b)

aceasta este transparentă în ceea ce privește probabilitatea și impactul efectiv al pierderilor utilizate în stabilirea generală de către instituție a cerințelor de fonduri proprii pe baza AMA și este consecventă în acest sens.

(a)

faptul că instituția a examinat modul în care a fost utilizată asigurarea și a recalculat cerințele de fonduri proprii pe baza AMA, după caz, atunci când natura asigurării s-a modificat semnificativ sau în cazul în care a survenit o schimbare majoră a profilului de risc operațional al instituției;

(b)

faptul că instituția recalculează cerințele de fonduri proprii pe baza AMA cu o marjă suplimentară de prudență în cazul în care sunt suportate pierderi semnificative, care afectează protecția oferită de asigurare;

(c)

faptul că instituția este pregătită, în cazul în care există o reziliere sau o reducere neașteptată a poliței de asigurare, să înlocuiască imediat polița de asigurare pe baza unor condiții, termene și acoperiri echivalente sau mai bune ori să își sporească cerințele de fonduri proprii pe baza AMA la un nivel care să nu ia în calcul asigurarea;

(d)

faptul că instituția calculează capitalul înainte și după luarea în calcul a asigurării la un nivel de granularitate care să asigure că orice erodare a valorii asigurării disponibile, inclusiv prin plata unei pierderi semnificative sau printro modificare a poliței de asigurare, poate fi recunoscută imediat în ceea ce privește efectul său asupra cerințelor de fonduri proprii pe baza AMA.

(a)

faptul că instituția examinează factorii diverși care creează riscul ca furnizorul asigurării să nu efectueze plățile conform așteptărilor și reduc eficacitatea transferului de risc, inclusiv capacitatea asigurătorului de a plăti în timp util și capacitatea instituției de a identifica, a analiza și a raporta creanța în timp util;

(b)

faptul că instituția examinează modul în care factorii diverși menționați la litera (a) au afectat efectul de atenuare al asigurării asupra profilului de risc operațional în trecut și modul în care respectivii factori ar putea să afecteze acest profil în viitor;

(c)

faptul că instituția reflectă incertitudinile menționate la litera (a) în cerințele de fonduri proprii pe baza AMA, prin intermediul unor marje de ajustare suficient de prudente;

(d)

faptul că instituția ia atent în considerare caracteristicile polițelor de asigurare, examinând inclusiv dacă aceste polițe vizează doar pierderile care sunt solicitate sau notificate asigurătorului pe perioada valabilității contractului de asigurare, ceea ce înseamnă că orice pierdere care este descoperită după expirarea contractului nu este acoperită, sau dacă polițele acoperă pierderile suportate pe perioada valabilității contractului de asigurare chiar și în cazul în care acestea nu sunt descoperite și creanța nu este introdusă decât după expirarea contractului ori dacă pierderile sunt pierderi directe suportate de asigurat sau pierderi care angajează răspunderea civilă a unui terț;

(e)

faptul că instituția ia în considerare și documentează pe deplin datele privind sumele plătite de asigurător pentru fiecare tip de pierdere în bazele de date privind pierderile și stabilește marje de ajustare în consecință;

(f)

faptul că instituția dispune de proceduri pentru identificarea și analizarea pierderilor și prelucrarea daunelor, în vederea verificării protecției reale a asigurării furnizate de asigurător sau a posibilității de a primi sumele pentru daunele suferite într-un interval de timp rezonabil;

(g)

faptul că instituția cuantifică în mod explicit și modelează separat marjele de ajustare în raport cu fiecare dintre aspectele incerte identificate, în loc să aplice o ajustare unică în calcul, care să acopere toate aspectele incerte, sau o ajustare ex post a calculului;

(h)

faptul că instituția ia în considerare, în cea mai mare măsură posibilă, recunoașterea riscului legat de capacitatea asigurătorului de a plăti daunele, prin aplicarea unor marje de ajustare corespunzătoare în metodologia privind modelarea asigurărilor;

(i)

faptul că instituția se asigură că riscul legat de capacitatea asigurătorului de a plăti daunele în cazul neîndeplinirii obligațiilor de către contraparte este evaluat pe baza calității creditului societății de asigurări responsabile în temeiul contractului de asigurare în cauză, indiferent dacă entitatea-mamă a societății de asigurare dispune de un rating mai bun sau dacă riscul este transferat unui terț;

(j)

faptul că instituția formulează ipoteze prudente referitoare la reînnoirea polițelor de asigurare pe baza unor condiții, termene și acoperiri echivalente cu cele din contractele inițiale sau în vigoare;

(k)

faptul că instituția dispune de procese pentru a se asigura că metodologia sa AMA în materie de asigurări reflectă în mod adecvat eventualitatea epuizării limitelor de despăgubire ale poliței de asigurare, prețul și posibilitatea reconstituirii acoperirii, precum și cazurile în care acoperirea contractului de asigurare nu corespunde profilului de risc operațional al instituției.

(a)

dacă instituția poate demonstra existența unei acoperiri continue pe baza unor condiții, termene și acoperiri echivalente pentru o perioadă de cel puțin 365 de zile;

(b)

dacă instituția are o poliță care nu poate fi anulată de către asigurător din alt motiv decât pentru neplata primelor sau care are o perioadă de anulare mai mare de un an.

(a)

confirmă că instituția dispune de experiență în utilizarea instrumentelor ORTM și a caracteristicilor acestora, inclusiv probabilitatea de acoperire și promptitudinea plății, înainte ca aceste instrumente să poată fi recunoscute în sistemul de cuantificare a riscului operațional al instituției;

(b)

refuză ORTM ca instrumente de minimizare a riscurilor eligibile pentru cerințele de fonduri proprii pe baza AMA în cazul în care ORTM sunt deținute sau utilizate în scopuri de tranzacționare mai degrabă decât în scopuri de administrare a riscurilor;

(c)

verifică eligibilitatea vânzătorului protecției, determinând inclusiv dacă acesta este o entitate reglementată sau nereglementată și examinând natura și caracteristicile protecției oferite pentru a stabili dacă este vorba de protecție finanțată, securitizare, mecanism de garantare sau instrument financiar derivat;

(d)

confirmă faptul că activitățile externalizate nu sunt considerate ca făcând parte din ORTM;

(e)

confirmă faptul că instituția calculează cerințele de fonduri proprii pe baza AMA înainte și după luarea în calcul a ORTM, pentru fiecare calcul al capitalului, la un nivel de granularitate care să asigure că orice erodare a valorii protecției disponibile poate fi recunoscută imediat în ceea ce privește efectul său asupra cerințelor de capital;

(f)

confirmă faptul că, atunci când sunt suportate pierderi materiale, care afectează acoperirea asigurată de ORTM sau în cazul în care modificările contractelor aferente ORTM creează incertitudini majore în ceea ce privește gradul lor de acoperire, instituția recalculează cerințele sale de fonduri proprii pe baza AMA cu o marjă suplimentară de prudență.

(a)

prezentul regulament se aplică după un an de la data intrării sale în vigoare;

(b)

articolul 34 litera (g) se aplică după doi ani de la data intrării în vigoare a regulamentului.