6.7.2018   

SV

Europeiska unionens officiella tidning

L 169/1

(1)

För tillämpningen av kapitalbaskraven för operativa risker föreskrivs det i artikel 312.2 första stycket i förordning (EU) nr 575/2013 att de behöriga myndigheterna ska tillåta institut att använda avancerade mätmetoder (nedan kallade internmätningsmetoder) baserade på institutens egna mätningsmetoder för operativa risker, om alla kvalitativa och kvantitativa standarder som anges i den artikeln uppfylls, vilket innebär att instituten kontinuerligt uppfyller dessa krav. Bedömningen avser därför inte enbart ett instituts initiala ansökan om tillstånd att använda en internmätningsmetod, utan gäller fortlöpande.

(2)

De olika delar som ingår i institutens internmätningsmetoder bör inte betraktas enskilt, utan snarare granskas och bedömas som en helhet av sammankopplade delar, så att de behöriga myndigheterna bedömer att varje ingående del uppfyller kraven på ett tillfredsställande sätt.

(3)

De behöriga myndigheternas bedömning av hur institutet uppfyller kraven för att tillåtas att använda en internmätningsmetod, som avses i artikel 312.4 a och b i förordning (EU) nr 575/2013, bör anpassas från fall till fall. De delar som ska bedömas är av olika typ beroende på vilken sorts bedömning som görs, vilket i sin tur beror på vilken typ av ansökan som har lämnats in. De behöriga myndigheterna måste göra en bedömning av om kraven uppfylls när ett institut initialt ansöker om att använda en internmätningsmetod, när ett institut ansöker om att utvidga internmätningsmetoden i enlighet med den godkända planen för stegvis införande, när ett institut ansöker om att utvidga eller ändra den internmätningsmetod som det har fått tillstånd att använda, samt när ett institut ansöker om en återgång till användning av mindre sofistikerade metoder i enlighet med artikel 313 i förordning (EU) nr 575/2013. De behöriga myndigheterna bör dessutom löpande granska institutens användning av internmätningsmetoden. De behöriga myndigheterna bör därmed göra sin bedömning av huruvida institut uppfyller villkoren för att använda en internmätningsmetod mot bakgrund av vilken typ av ingående delar som ska utvärderas i enlighet med relevant bedömningsmetod.

(4)

I artikel 85.1 i Europaparlamentets och rådets direktiv 2013/36/EU (2) föreskrivs det att institut för tillämpningen av riktlinjer och processer för att utvärdera och hantera sin exponering för operativa risker ska ange vad som utgör operativ risk. I förordning (EU) nr 575/2013 ges en definition av begreppet operativ risk som omfattar både legala risker och modellrisker. I definitionen av modellrisk i artikel 3.1 i direktiv 2013/36/EU ingår potentiella förluster på grund av fel i framtagning, genomförande eller användning av interna modeller, men inte potentiella förluster på grund av prisjusteringar till följd av modellrisk enligt artikel 105 i förordning (EU) nr 575/2013 rörande krav på försiktig värdering, eller värdejustering för modellrisk enligt kommissionens delegerade förordning (EU) 2016/101 (3), och det hänvisas inte till modellrisk som är förenad med användning av eventuellt oriktiga värderingsmetoder enligt vad som avses i artikel 105.13 i förordning (EU) nr 575/2013. I förordning (EU) nr 575/2013 anges det inte heller hur de behöriga myndigheterna ska kontrollera att instituten efterlever kravet på att ange vad som utgör operativ risk avseende legala risker och modellrisker. Detta bör därför specificeras i den metod som de behöriga myndigheterna ska tillämpa när de bedömer om ett institut kan tillåtas använda en internmätningsmetod.

(5)

Det är också nödvändigt att harmonisera tillsynspraxis vad gäller att korrekt ange operativ risk i finansiella transaktioner, bland annat avseende marknadsrisker, eftersom de operativa riskerna i dessa transaktioner har visat sig vara betydande och eftersom källorna till riskerna – som ofta kan vara av många olika typer – inte alltid kan upptäckas och registreras på ett konsekvent sätt i hela unionen.

(6)

Standarder för institutens styrformer och riskhantering fastställs i artikel 74 i direktiv 2013/36/EU och i artikel 321 i förordning (EU) nr 575/2013. Metoden för bedömning av internmätningsmetoder bör därför göra det möjligt för de behöriga myndigheterna att kontrollera att ett institut har en tydlig organisationsstruktur för styrning och hantering av operativa risker med väldefinierade, genomlysta och konsekventa ansvarskedjor, där hänsyn tas till karaktären på, omfattningen av och komplexiteten hos institutets verksamhet, när de bedömer om ett institut kan tillåtas använda en internmätningsmetod. I synnerhet bör det bekräftas att riskhanteringsfunktionen för operativa risker har en central roll när det gäller att identifiera, mäta och bedöma, övervaka, kontrollera och minska institutets operativa risker, och att den är tillräckligt oberoende från institutets affärsenheter så att det säkerställs att dess sakkunnigutlåtanden och rekommendationer är både oberoende och opartiska. Det bör också fastställas att den verkställande ledningen ansvarar för att utarbeta och genomföra de ramar för styrning och hantering av operativa risker som ledningsorganet har godkänt och att dessa ramar genomförs konsekvent i hela institutets organisation. De behöriga myndigheterna bör också kontrollera att personal på alla nivåer ges tillgång till lämpliga verktyg och lämplig information så att de förstår sitt ansvar när det gäller att hantera operativa risker.

(7)

Effektiva interna rapporteringssystem är en nödvändig del av en sund intern styrning. De behöriga myndigheterna bör därför se till att institut som ansöker om tillstånd att använda internmätningsmetoder inför effektiva system för rapportering av risker, inte bara till ledningsorganet och den verkställande ledningen, utan även till alla de funktioner som ansvarar för hantering av operativa risker som institutet är eller kan vara exponerat för. Rapporteringssystemet bör reflektera aktuell status för frågor som rör operativ risk vid institutet och inkludera alla väsentliga aspekter av hantering och mätning av operativa risker.

(8)

Enligt artikel 321 a i förordning (EU) nr 575/2013 måste ett instituts interna metod för mätning av operativa risker vara nära integrerad med dess dagliga riskhanteringsprocesser. Metoden för bedömning av internmätningsmetoder bör därför göra det möjligt för de behöriga myndigheterna att säkerställa att ett institut som ansöker om tillstånd att använda en internmätningsmetod faktiskt använder sitt system för mätning av operativa risker i sin dagliga verksamhet och för att hantera risker på ett fortlöpande sätt, och inte enbart för att beräkna kapitalbaskraven för operativ risk. Bestämmelserna för tillsynsmyndigheternas bedömning av internmätningsmetoder bör därför innehålla regler om vilka krav på användningstest för tillsynsändamål som institut som ansöker om tillstånd förväntas uppfylla.

(9)

För att både institut och behöriga myndigheter ska kunna försäkra sig om att ett instituts system för mätning av operativa risker är tillförlitligt och robust och genererar mer trovärdiga kapitalbaskrav för operativ risk än en enklare lagstadgad metod, bör de behöriga myndigheterna kontrollera att institutet har jämfört systemet mot basmetoden eller schablonmetoden för operativ risk som fastställs i artiklarna 315, 317 och 319 i förordning (EU) nr 575/2013 under en viss bestämd tidsperiod. Tidsperioden bör vara tillräckligt lång för att den behöriga myndigheten ska kunna fastställa att institutet uppfyller de kvalitativa och kvantitativa standarder som anges i förordning (EU) nr 575/2013 för användning av internmätningsmetoder.

(10)

Enligt artikel 321 g i förordning (EU) nr 575/2013 måste ett instituts dataflöden och processer förknippade med riskmätningssystemet för internmätningsmetoden vara transparenta och tillgängliga. Data om operativa risker är inte omedelbart tillgänglig, eftersom sådana data först måste identifieras i institutets räkenskaper och dokumentation, och sedan samlas in och bevaras på ett korrekt sätt. Dessutom är riskmätningssystemen vanligtvis mycket sofistikerade och innehåller flera logiska och beräkningsmässiga steg för att generera kapitalbaskraven enligt internmätningsmetoden. Metoden för bedömning av internmätningsmetoder bör därför innefatta en kontroll av att krav på datakvalitet och it-system är ändamålsenligt utformade och tillämpas korrekt inom institutet så att de uppnår sitt avsedda syfte.

(11)

Ramen för ett instituts internmätningsmetod omfattas av intern validering och översyn av revisorer enligt artikel 321 e och f i förordning (EU) nr 575/2013. Även om funktionerna för intern validering och revision kan vara olika strukturellt organiserade beroende på institutets karaktär, komplexitet och verksamhet bör det säkerställas att metoden för bedömning av internmätningsmetoder, avseende utvärderingen av de översyner som dessa funktioner utför, baseras på gemensamma kriterier vad gäller översynernas villkor och omfattning.

(12)

Modellering avseende operativ risk är ett relativt nytt område under utveckling. Enligt artikel 322 i förordning (EU) nr 575/2013 ges instituten därför stor flexibilitet när de utformar system för mätning av operativa risker för att beräkna kapitalbaskraven enligt internmätningsmetoden. Det bör dock inte vara så att denna flexibilitet leder till betydande skillnader mellan olika institut när det gäller riskmätningssystemens grundläggande delar, inbegripet användning av intern och extern data, scenarioanalys och faktorer avseende affärsmiljö och interna kontrollsystem (de fyra delarna), de grundläggande modellantaganden som gör det möjligt att fånga upp extrema händelser som kan ge allvarliga följder (omfattande svanshändelser) och de relaterade riskfaktorerna (uppbyggnad av beräkningsdatamängen, detaljnivån, identifiering av förlustfördelningar och bestämning av aggregerade förlustfördelningar, och riskmått) eller den förväntade förlusten, korrelation samt kriterier för kapitalfördelning, som bör säkerställa inbördes konsekvens inom riskmätningssystemet. För att säkerställa att riskmätningssystemen bygger på en välgrundad metod och är jämförbara institut emellan, att de verkligen fångar institutens faktiska och potentiella operativa risker och att de är tillförlitliga och robusta när det gäller att generera de lagstadgade kapitalkraven enligt internmätningsmetoden, bör metoden för att bedöma internmätningsmetoder föreskriva att alla behöriga myndigheter i hela unionen tillämpar samma krav och kriterier. Metoden för att bedöma internmätningsmetoder bör även beakta företagsspecifika komponenter av operativa risker som hänger samman med institutens olika storlek, karaktär och komplexitet.

(13)

Särskilt när det gäller intern data bör hänsyn tas till det faktum att även om en förlust till följd av operativa risker kan uppstå enbart på grund av en operativ riskhändelse kan den upptäckas genom flera olika poster, däribland direkta avgifter, utgifter, avsättningar och förlorade intäkter. Medan effekterna av vissa operativa riskhändelser är kvantifierbara och återspeglas i institutets finansiella rapporter, kan andra inte kvantifieras och påverkar inte institutets finansiella rapporter och upptäcks därför på andra sätt, till exempel via administrativ dokumentation och uppgifter om incidenter. Bestämmelserna för att specificera den metod som de behöriga myndigheterna ska använda för att bedöma om institut kan ges tillstånd att använda internmätningsmetoder bör därför ange vad som utgör en förlust till följd av operativa risker och vilket belopp som ska redovisas för användningen av internmätningsmetoden och, mer allmänt, alla potentiella poster genom vilka operativa riskhändelser skulle kunna upptäckas.

(14)

Ibland kan institut snabbt återvinna nyupptäckta förluster till följd av operativa risker. Snabbt återvunna förluster bör inte beaktas vid beräkningen av kapitalbaskraven enligt internmätningsmetoden, även om informationen kan vara till nytta för riskhanteringen. Eftersom det finns flera olika kriterier som instituten använder för att kvalificera en förlust som en snabbt återvunnen förlust bör det i specificeringen av metoden för bedömning av internmätningsmetoder ingå lämpliga kriterier för att kvalificera förluster som snabbt återvunna.

(15)

De behöriga myndigheterna kan erkänna riskreducerande metoder i internmätningsmetoderna, förutsatt att vissa villkor är uppfyllda, enligt vad som avses i artikel 323 i förordning (EU) nr 575/2013. För att bestämmelserna om sådana riskreducerande metoder ska tillämpas på ett effektivt sätt bör de behöriga myndigheterna följa särskilda standarder när de bedömer ett instituts tillämpning av dem. Om dessa riskreduceringsmetoder utgörs av försäkringar är det särskilt viktigt att säkerställa att försäkringarna tillhandahålls av försäkringsföretag som auktoriserats i unionen eller i jurisdiktioner med lagstadgade standarder för försäkringsföretag som är likvärdiga med bestämmelserna i unionen.

(16)

Om det rör sig om andra former av risköverföring än försäkringar bör de behöriga myndigheterna säkerställa att dessa mekanismer verkligen överför risk och inte bara används för att kringgå kapitalbaskraven enligt internmätningsmetoden. Detta är ett nödvändigt villkor med tanke på de operativa riskernas särskilda beskaffenhet, där det inte finns några tydliga underliggande referenstillgångar och där oväntade förluster spelar en större roll än i andra typer av risker. Ett ytterligare försvårande förhållande är att det saknas effektiva, likvida och strukturerade marknader för ”produkter” för att täcka operativa risker; sådana produkter har hittills handlats utanför banksektorn, till exempel katastrofobligationer och väderderivat. Vidare är det ofta mycket svårt att bedöma den legala risken för dessa mekanismer, även om avtalsvillkoren är tydligt och noggrant angivna.

(17)

För att övergången ska bli smidig för institut som redan har tillstånd att använda en internmätningsmetod eller som har ansökt om sådant tillstånd innan denna förordning träder i kraft, bör det föreskrivas att de behöriga myndigheterna ska tillämpa denna förordning vid bedömning av dessa instituts internmätningsmetoder först efter en viss övergångsperiod. Eftersom den regelbundna översynen av internmätningsmetoderna som avses i artikel 101.1 i direktiv 2013/36/EU vanligtvis görs på årsbasis bör övergångsperioden vara ett år från och med dagen för denna förordnings ikraftträdande.

(18)

Institut som använder gaussiska fördelningar eller fördelningar av normalfördelningstyp för att räkna med korrelation i samtliga eller vissa delar av sin internmätningsmetod bör inte längre använda sådana fördelningar i detta sammanhang eftersom dessa antaganden skulle innebära att riskkategorierna är oberoende i svansen, vilket utesluter möjligheten att olika typer av stora förluster uppstår samtidigt, och ett sådant antagande är varken försiktigt eller realistiskt. Instituten bör därför ges tillräcklig tid så att de på ett smidigt sätt kan övergå till en ny ordning med ett riskmätningssystem för operativa risker med mer försiktiga antaganden som innebär positiva beroendeförhållanden i svansen. Eftersom man för att införa dessa antaganden kan komma att behöva ändra vissa grundläggande delar i ramen för internmätningsmetoden, och de förfaranden som är förknippade med dessa delar, bör en period på två år föreskrivas för övergången.

(19)

Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som Europeiska bankmyndigheten har lagt fram för kommissionen.

(20)

Europeiska bankmyndigheten har anordnat öppna offentliga samråd om de förslag till tekniska tillsynsstandarder som den här förordningen baseras på, gjort en kostnads–nyttoanalys samt begärt ett yttrande från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010 (4).

a)

Att villkoren enligt artiklarna 3–6 är uppfyllda.

b)

Att villkoren enligt kapitlen 2 och 3 är uppfyllda.

c)

Att villkoren enligt kapitel 4 är uppfyllda, om institutet har försäkringar och andra mekanismer för risköverföring enligt vad som avses det kapitlet.

a)

Bedömning av hur väsentliga utvidgningar eller ändringar av ett instituts internmätningsmetod är.

b)

Bedömning av planen för stegvis införande av ett instituts internmätningsmetod.

c)

Bedömning av ett instituts återgång till användning av mindre sofistikerade metoder i enlighet med artikel 313 i förordning (EU) nr 575/2013.

d)

Löpande granskning av ett instituts internmätningsmetod.

a)

Att institutet tydligt identifierar och klassificerar som operativ risk förluster eller andra utgifter som härrör från händelser som leder till rättsliga förfaranden, däribland åtminstone följande:

b)

Att institutet tydligt identifierar och klassificerar som operativ risk förluster eller andra utgifter som uppstår till följd av frivilliga handlingar som utförs med avsikten att undvika eller minska legala risker till följd av operativa riskhändelser, inklusive återbetalningar eller rabatter på framtida tjänster som erbjuds till kunderna frivilligt, där återbetalningarna inte sker som en följd av kundernas klagomål.

c)

Att institutet tydligt identifierar och klassificerar som operativ risk förluster som uppstår till följd av fel och utelämnanden i avtal och handlingar.

d)

Att institutet inte klassificerar följande som operativ risk:

a)

Alla krav som härrör från nationell eller internationell lagstiftning.

b)

Alla krav som härrör från avtalsbestämmelser, interna regler och uppförandekoder som upprättats i enlighet med nationella eller internationella standarder och praxis.

c)

Etiska regler.

a)

Att minst följande händelser och de därmed sammanhängande förlusterna som är kopplade till modeller som används för beslutsfattande klassificeras som operativ risk:

b)

Att händelser som är kopplade till underskattning av kapitalbaskraven genom interna modeller som är godkända av behöriga myndigheter inte ingår i identifieringen, insamlingen och behandlingen av uppgifter om operativa risker och förluster kopplade till modellrisk.

a)

Händelser till följd av operativa misstag och fel vid datainmatning, däribland följande:

b)

Händelser till följd av brister i den interna kontrollen, däribland följande:

c)

Händelser till följd av bristande datakvalitet och bristande tillgång till it-hjälpmedel, inklusive att marknaden inte kan tillgås av tekniska skäl vilket gör att avtal inte kan avslutas.

a)

Att dokumentationen är godkänd på lämplig ledningsnivå inom institutet.

b)

Att institutet har riktlinjer med standarder för att säkerställa att den interna dokumentationen håller hög kvalitet, inklusive särskilt angivande av ansvar för att se till att dokumentation är fullständig, konsekvent, korrekt, aktuell, godkänd och säker.

c)

Att dokumentationens utformning enligt de riktlinjer som avses i led b är sådan att minst följande upplysningar finns med:

d)

Att institutet noggrant dokumenterar sina riktlinjer, förfaranden och metoder.

a)

Att dokumentationen är tillräckligt detaljerad och precis för att internmätningsmetoden ska kunna granskas av tredje part, inklusive information som gör det möjligt att

a)

Att institutets ledningsorgan diskuterar och godkänner styrningen av operativa risker, riskhanteringsprocessen för operativa risker och systemet för mätning av operativa risker.

b)

Att institutets ledningsorgan tydligt definierar och fastställer följande minst en gång per år:

c)

Att institutets ledningsorgan löpande övervakar institutets efterlevnad av den skriftliga redogörelse för risktoleransen med avseende på operativ risk som avses i punkt b ii.

d)

Att institutet tillämpar en löpande riskhanteringsprocess för operativa risker för att kartlägga, bedöma och mäta samt övervaka och rapportera om operativa risker, däribland händelser hänförliga till misskötsamhet, och kan identifiera den personal som ansvarar för riskhanteringsprocessen för operativa risker.

e)

Att den information som framkommer genom den process som avses i led d förmedlas till institutets berörda kommittéer och verkställande organ, och att de beslut som fattas inom dessa kommittéer förmedlas till de personer i institutet som ansvarar för insamling, kontroll, övervakning och hantering av operativa risker och till de personer som leder verksamhet som ger upphov till operativa risker.

f)

Att institutet minst en gång per år utvärderar hur effektiva systemen är för riskstyrning, riskhantering och riskmätning avseende operativa risker.

g)

Att institutet minst en gång per år underrättar den berörda behöriga myndigheten om resultaten av den utvärdering som avses i led f.

a)

I vilken mån institutets personal har kunskap om riktlinjer och förfaranden för operativa risker.

b)

Vilken intern process som finns inom institutet för att pröva utformningen och effektiviteten av ramen för internmätningsmetoden.

a)

Att riskhanteringsfunktionen för operativa risker utför följande uppgifter åtskilt från institutets verksamhetsgrenar:

b)

Att riskhanteringsfunktionen för operativa risker får lämpliga mandat från ledningsorganet och den verkställande ledningen och har en lämplig ställning inom organisationen för att fullgöra sitt uppdrag.

c)

Att riskhanteringsfunktionen för operativa risker inte samtidigt ansvarar för internrevisionsfunktionen.

d)

Att minst följande gäller för den person som leder riskhanteringsfunktionen för operativa risker:

a)

Att den verkställande ledningen ansvarar för att genomföra den ram för styrning och hantering av operativa risker som har antagits av ledningsorganet.

b)

Att den verkställande ledningen har getts befogenhet av ledningsorganet att utveckla strategier, processer och förfaranden för hantering av operativa risker.

c)

Att den verkställande ledningen genomför de strategier, processer och förfaranden för hantering av operativa risker som avses i led b.

a)

Att problem i institutets rapporteringssystem och interna kontroller upptäcks snabbt och korrekt.

b)

Att institutets rapportering om operativa risker förmedlas till lämpliga ledningsnivåer och till de ställen inom instituten som har identifierats som problematiska i rapporterna.

c)

Att institutets verkställande ledning minst en gång i kvartalet får lägesrapporter om institutets riskprofil avseende operativa risker, och använder sig av dessa rapporter i beslutsprocessen.

d)

Att institutets rapportering om operativa risker innehåller information som är relevant för ledningen och åtminstone innehåller en övergripande sammanfattning av de viktigaste operativa riskerna för institutet och relevanta dotterbolag och affärsenheter.

e)

Att institutet använder särskilda rapporter för att beskriva vissa eventuella brister i sina strategier, processer och förfaranden för hantering av operativa risker för att snabbt upptäcka och åtgärda dessa brister och därmed väsentligt minska en förlusthändelses potentiella frekvens och omfattning.

a)

Att institutets system för mätning av operativa risker används för att hantera operativa risker inom olika affärsgrenar, enheter eller juridiska enheter inom organisationen.

b)

Att systemet för mätning av operativa risker är integrerat i gruppens olika enheter och, om det används på gruppnivå, att moderinstitutets ram för internmätningsmetoden utvidgas till dotterbolagen, och att dessa dotterbolags operativa risker och faktorer avseende affärsmiljö och intern kontroll som avses i artiklarna 322.1 och 322.6 i förordning (EU) nr 575/2013 ingår i beräkningarna enligt internmätningsmetoden för hela gruppen.

c)

Att systemet för mätning av operativa risker även används för institutets interna process för bedömning av kapitalbehov som avses i artikel 73 i direktiv 2013/36/EU.

a)

Att systemet för mätning av operativa risker uppdateras regelbundet och vidareutvecklas i takt med att erfarenheten ökar och hanteringen och kvantifieringen av operativa risker blir mer sofistikerad.

b)

Att den information som används i systemet för mätning av operativa risker är relevant och välbalanserad och löpande återspeglar institutets affärsverksamhet, strategi, organisation och exponering mot operativa risker.

a)

Att systemet för mätning av operativa risker verkligen används för att regelbundet och snabbt rapportera enhetlig information som på ett korrekt sätt återspeglar typen av affärsverksamhet och institutets riskprofil avseende operativa risker.

b)

Att institutet vidtar korrigerande åtgärder för att förbättra sina interna processer när resultat från systemet för mätning av operativa risker har framkommit.

a)

Att institutets definition av risktoleransen avseende operativ risk och de riskhanteringsmål och den riskhanteringsverksamhet som är kopplad till detta förmedlas på ett tydligt sätt inom institutet.

b)

Att sambandet mellan institutets affärsstrategi och dess hantering av operativa risker, även när det gäller att godkänna nya produkter, system och processer, förmedlas på ett tydligt sätt inom institutet.

c)

Att systemet för mätning av operativa risker är sådant att det ökar transparensen, riskmedvetenheten och expertkunnandet inom hantering av operativa risker och skapar incitament för att förbättra hanteringen av operativa risker i hela institutet.

d)

Att den information som används i systemet för mätning av operativa risker och de resultat som framkommer används i relevanta beslut och program, inklusive i institutets handlingsplaner, planer för verksamhetskontinuitet, arbetsprogram för internrevision, kapitaltilldelningsbeslut, försäkringsplaner och budgetbeslut.

a)

Att institutet, innan det beviljas tillstånd att använda internmätningsmetoden för tillsynsändamål, har beräknat sina kapitalbaskrav för operativ risk enligt både internmätningsmetoden och enligt den mindre sofistikerade metod som tidigare gällde för institutet, och att det har gjort denna beräkning

b)

Att följande gäller för institutet:

a)

Att funktionen för intern validering avger ett motiverat och välgrundat yttrande om huruvida systemet för mätning av operativa risker fungerar som planerat, och att modellresultatet är passande för dess olika interna ändamål och tillsynsändamål, minst en gång om året.

b)

Att revisionsfunktionen kontrollerar integriteten i strategier, processer och förfaranden för operativa risker och gör en bedömning av om dessa är förenliga med regelverket och med etablerade kontroller, minst en gång om året, och särskilt att revisionsfunktionen gör en kvalitetsbedömning av de källor och uppgifter som används för hantering och mätning av operativa risker.

c)

Att funktionerna för revision och intern validering har en kontrollplan som täcker de delar av internmätningsmetoden som omfattas av denna förordning och som uppdateras regelbundet med beaktande av följande:

d)

Att den interna valideringen görs av kvalificerade resurser som är oberoende av de enheter som valideras.

e)

Att, om revisionen utförs av interna eller externa revisionsfunktioner eller kvalificerade externa parter, dessa är oberoende av den process eller det system som granskas och, om dessa är utkontrakterade, att institutets ledningsorgan och verkställande ledning behåller ansvaret för att se till att utkontrakterade funktioner följer institutets godkända revisionsplan.

f)

Att granskning av ramen för internmätningsmetoden genom revision och intern validering dokumenteras ordentligt och att resultaten förmedlas till lämpliga mottagare inom institutet, inbegripet, i förekommande fall, riskkommittéer, riskhanteringsfunktionen för operativa risker, ledningen för affärsgrenarna och övrig relevant personal.

g)

Att resultaten från granskning genom revision och intern validering sammanfattas och rapporteras minst en gång om året till institutets ledningsorgan eller till en kommitté som ledningsorganet har utsett för godkännande.

h)

Att effektiviteten hos institutets ram för internmätningsmetoden granskas och godkänns minst en gång om året.

a)

Att revisionsplaner för granskning av ramen för internmätningsmetoden omfattar all betydande verksamhet som skulle kunna exponera institutet för väsentliga operativa risker, inbegripet utkontrakterad verksamhet.

b)

Att metoderna för intern validering står i proportion till ändrade marknadsvillkor och verksamhetsvillkor, och att resultaten omfattas av revision.

a)

Uppgifter för att bygga upp och spåra institutets historik avseende operativa risker, bestående av intern och extern data, scenarioanalys och faktorer avseende affärsmiljö och intern kontroll.

b)

Kompletterande uppgifter, inbegripet modellparametrar, modellresultat och modellrapporter.

a)

De har tillräcklig bredd, tillräckligt djup och tillräcklig omfattning för den aktuella uppgiften.

b)

De uppfyller nuvarande och potentiella användares behov.

c)

De uppdateras utan dröjsmål.

d)

De lämpar sig för och överensstämmer med den avsedda användningen.

e)

De avspeglar på ett korrekt sätt det verkliga fenomen som de representerar.

f)

De strider inte mot någon verksamhetsregel, och databasen upprätthålls statiskt och dynamiskt.

a)

En övergripande kartläggning av de databaser som ingår i systemet för mätning av operativa risker med tillhörande beskrivningar.

b)

Datapolicy och ansvarsdeklaration.

c)

Beskrivningar av arbetsflöden och förfaranden för insamling och lagring av data.

d)

En redogörelse för brister, innefattande alla brister som upptäckts i databaserna för validerings- och granskningsprocesserna, och en redogörelse för hur institutet planerar att åtgärda eller minska dem.

a)

Att de it-system och den it-infrastruktur som institutet använder för internmätningsmetoden är sunda och motståndskraftiga och att dessa egenskaper bibehålls på en kontinuerlig basis.

b)

Att SDLC för internmätningsmetoden är sund och korrekt med tanke på följande:

c)

Att den it-infrastruktur som institutet använder för internmätningsmetoden omfattas av processer för konfigurations-, förändrings- och versionshantering.

d)

Att SDLC och beredskapsplaner för internmäntingsmetoden har godkänts av institutets ledningsorgan eller den verkställande ledningen, och att ledningsorganet och den verkställande ledningen regelbundet informeras om hur väl it-infrastrukturen fungerar för internmätningsmetoden.

a)

Att institutet har intern dokumentation som i detalj redogör för hur de fyra delarna samlas in, kombineras och/eller viktas, inklusive en beskrivning av modelleringsprocessen som visar hur de fyra delarna används och kombineras och en beskrivning av grunden för val av modell.

b)

Att institutet har god kunskap om hur var och en av de fyra delarna påverkar kapitalbaskraven enligt internmätningsmetoden.

c)

Att den kombination av de fyra delarna som institutet använder grundas på en sund statistisk metod, med tillräckligt god förmåga att skatta höga percentiler.

d)

Att institutet tillämpar minst följande kriterier när det samlar in, genererar och behandlar de fyra delarna:

a)

Att institutet samlar alla följande komponenter inom gruppen på ett tydligt och konsekvent sätt:

b)

Att institutet efter en operativ riskhändelse kan särskilja bruttoförlustbeloppet, återvinning från försäkringar och andra former av risköverföring och annan återvinning än från försäkringar och andra former av risköverföring, med undantag för förluster som helt eller delvis kan återvinnas inom fem arbetsdagar.

c)

Att institutet tillämpar ett system för att bestämma och motivera lämpliga tröskelvärden för datainsamling baserat på bruttoförlustbeloppet.

d)

Att kategorin av operativ risk är rimlig och att förlustuppgifter som är väsentliga för effektiv mätning och hantering av operativa risker inte utelämnas.

e)

Att institutet för varje enskild förlust kan identifiera och registrera minst följande komponenter i den interna databasen:

a)

Direkta avgifter, inklusive värdeminskningar och avvecklingskostnader, som redovisas i resultaträkningen och nedskrivningar till följd av den operativa riskhändelsen.

b)

Kostnader som uppkommit till följd av den operativa riskhändelsen, bland annat följande:

c)

Avsättningar eller reserver som redovisas i resultaträkningen mot troliga förluster till följd av operativa risker, inbegripet förluster till följd av händelser hänförliga till misskötsamhet.

d)

Förluster som ännu inte har beaktats, vilka utgörs av förluster till följd av en operativ riskhändelse som tillfälligt redovisas på övergångskonton eller interimskonton och ännu inte är redovisade i resultaträkningen, men som avses föras upp inom en tidsperiod som är i proportion till postens storlek och ålder.

e)

Väsentliga icke uppburna intäkter som är kopplade till avtalsenliga förpliktelser mot tredje part, däribland ett beslut att kompensera en kund till följd av den operativa riskhändelsen – i stället för genom återbetalning eller direkt utbetalning – genom att avstå från justering av intäkter eller genom att sänka avtalsenliga avgifter för en viss framtida tidsperiod.

f)

Periodrelaterade förluster, om de sträcker sig över mer än ett räkenskapsår och leder till legal risk.

a)

Ett tillbud som inte orsakade förlust men som var nära att göra det, orsakat av en operativ riskhändelse, till exempel en störning i it-systemen strax före eller efter handelsperioden.

b)

En vinst som orsakats av en operativ riskhändelse.

c)

Alternativkostnader i form av ökade kostnader eller minskade intäkter till följd av operativa riskhändelser som hindrar ej fastställd framtida verksamhet från att genomföras, inklusive icke-budgeterade personalkostnader, uteblivna intäkter och projektkostnader för att förbättra processer.

d)

Interna kostnader, inklusive övertidsersättning och bonusar.

a)

Kostnader för allmänt underhåll av fastigheter, maskiner och utrustning.

b)

Interna eller externa utgifter för att förbättra verksamheten efter en operativ riskhändelse, inklusive uppgraderingar, förbättringar, riskbedömningsåtgärder och förstärkningar.

c)

Försäkringspremier.

a)

Att hela beloppet av de uppkomna förlusterna eller utgifterna, inbegripet avsättningar, kostnader för avveckling, skadestånd, straffavgifter, dröjsmålsräntor och juridiska arvoden, betraktas som redovisat förlustbelopp, både för hanteringen av operativa risker och för beräkningen av kapitalbaskravet enligt internmätningsmetoden, om inte annat anges.

b)

Att institutet – om den operativa riskhändelsen är kopplad till marknadsrisk – tar med kostnaderna för att avveckla marknadspositioner i det redovisade förlustbeloppet för de operativa riskposterna, och att institutet – om positionen avsiktligt hålls öppen efter det att den operativa riskhändelsen redovisas – i det redovisade förlustbeloppet för de operativa riskposterna inte tar med någon del av förlusten som beror på ogynnsamma marknadsförhållanden efter beslutet att hålla positionen öppen.

c)

Att institutet – om skattebetalningar avser fel eller olämpliga processer inom institutet – i det redovisade förlustbeloppet för de operativa riskposterna tar med de utgifter som följer av den operativa riskhändelsen, inklusive straffavgifter, ränteavgifter, dröjsmålsavgifter och juridiska arvoden, med undantag av det skattebelopp som ursprungligen skulle betalas.

d)

Att institutet – om det förekommer periodrelaterade förluster och den operativa riskhändelsen direkt påverkar tredje part, inbegripet institutets kunder, leverantörer och personal – i det redovisade förlustbeloppet för den operativa riskposten även tar med korrigeringen av redovisningen.

a)

Bedrägerier som en kund till institutet begår för egen räkning, vilka äger rum i samband med en kreditprodukt eller en kreditprocess på ett tidigt stadium i kreditförhållandets livscykel, till exempel att kunden lämnar underlag för lånebeslut i form av förfalskade handlingar eller felaktig redovisning, såsom avsaknad eller övervärdering av säkerheter och förfalskade lönebesked.

b)

Bedrägerier som begås med hjälp av en annan ovetande persons identitet, inbegripet låneansökningar genom elektroniskt identitetsbedrägeri med användning av kunduppgifter eller fiktiva identiteter eller bedräglig användning av kunders kreditkort.

a)

Justerar upp tröskelvärdet för datainsamling för sådana förlusthändelser som beskrivs i punkt 1 till nivåer som är jämförbara med nivåerna för de andra kategorierna av operativ risk inom ramen för internmätningsmetoden, där så är lämpligt.

b)

Tar med i bruttoförlusten till följd av händelser som beskrivs i punkt 1 det totala belopp som var utestående vid tidpunkten för bedrägeriet eller efter dess upptäckt, samt alla tillhörande utgifter, inklusive dröjsmålsräntor och juridiska arvoden.

a)

Att institutet – om det deltar i konsortier för insamling av operativa riskhändelser och operativa riskförluster – kan tillhandahålla data av samma kvalitet, vad gäller omfattning, tillförlitlighet och fullständighet, som intern data som uppfyller de standarder som avses i artiklarna 21, 22, 23 och 24 och att detta görs på ett sätt som är samstämmigt med den typ av data som krävs enligt konsortiets rapporteringsstandarder.

b)

Att institutet har en filtreringsprocess som gör det möjligt att välja ut relevant extern data på grundval av särskilda fastställda kriterier, och att all extern data som används är relevant och överensstämmer med institutets riskprofil.

c)

Att filtreringsprocessen – för att undvika systematiska fel i parameterskattningarna – leder till konsekventa urval av data, oberoende av förlustbeloppet, och att institutet, om det medger undantag från denna urvalsprocess, har riktlinjer som anger kriterierna för undantag och dokumentation som motiverar dessa undantag.

d)

Att skalningen– om institutet använder skalning av data, där förlustbelopp som rapporterats som extern data eller tillhörande fördelningar justeras för att anpassas till institutets affärsverksamhet, karaktär och riskprofil – är systematisk och statistiskt underbyggd och resultaten överensstämmande med institutets riskprofil.

e)

Att institutets skalningsprocess är konsekvent över tiden och att dess validitet och effektivitet ses över regelbundet.

a)

Att institutet har solida ramar för att styra scenarioprocessen så att den ger trovärdiga och tillförlitliga skattningar, oavsett om scenariot används för att bedöma extrema händelser eller samlad exponering mot operativa risker.

b)

Att scenarioprocessen är väldefinierad, väldokumenterad, repeterbar och utformad för att i största möjliga mån undvika subjektivitet och systematiska fel, däribland följande:

c)

Att kvalificerade och erfarna handledare bidrar till processen för att göra den konsekvent.

d)

Att de antaganden som används i scenarioprocessen i största möjliga utsträckning bygger på relevant intern och extern data, med en objektiv och opartisk urvalsprocess.

e)

Att det valda antalet scenarier och den nivå som de undersöks på, eller de enheter som de undersöks i, är realistiska och väl förklarade, och att skattningarna från scenariot beaktar relevanta förändringar i de interna och externa förhållanden som kan påverka institutets exponering för operativa risker.

f)

Att skattningarna från scenariot genereras med beaktande av potentiella eller sannolika operativa riskhändelser som ännu inte, helt eller delvis, har lett till en förlust till följd av operativa risker.

g)

Att scenarioprocessen och skattningarna underkastas grundlig oberoende prövning och tillsyn.

a)

Att institutets faktorer avseende affärsmiljö och intern kontroll är framåtblickande och återspeglar potentiella källor till operativ risk, inbegripet snabb tillväxt, införande av nya produkter, personalomsättning och driftstopp i systemen.

b)

Att institutet har tydliga strategiska riktlinjer för att begränsa minskningar av kapitalbaskraven enligt internmätningsmetoden som beror på justeringar av faktorerna avseende affärsmiljö och intern kontroll.

c)

Att de justeringar av faktorerna avseende affärsmiljö och intern kontroll som avses i led b är motiverade och att man bekräftar att nivån är lämplig genom jämförelse över tid med riktningen för och omfattningen av verklig data om interna förluster, förhållanden i företagsklimatet och förändringar i kontrollernas validerade effektivitet.

a)

Att institutet utvecklar, genomför och underhåller ett system för mätning av operativa risker som är metodologiskt välgrundat, effektivt för att fånga upp institutets faktiska och potentiella operativa risker, och tillförlitligt och robust för att generera kapitalbaskrav enligt internmätningsmetoden.

b)

Att institutet har lämpliga riktlinjer för uppbyggnad av beräkningsdatamängden, i enlighet med artikel 29.

c)

Att institutet tillämpar en lämplig detaljnivå i sin modell, i enlighet med artikel 30.

d)

Att institutet tillämpar en lämplig process för identifiering av förlustfördelningarna, i enlighet med artikel 31.

e)

Att institutet fastställer de aggregerade förlustfördelningarna och riskmåtten på lämpligt sätt, i enlighet med artikel 32.

a)

Att institutet fastställer särskilda kriterier och exempel för klassificering och behandling av operativa riskhändelser och förluster till följd av operativa risker inom beräkningsdatamängden, och att dessa kriterier och exempel leder till att förlustdata behandlas på ett enhetligt sätt i hela institutet.

b)

Att institutet inte använder förluster med avdrag för återvinning från försäkringar och andra former av risköverföring i beräkningsdatamängden.

c)

Att institutet för operativa riskkategorier med låg händelsefrekvens har antagit en observationsperiod som är längre än den minimiperiod som anges i artikel 322.3 a i förordning (EU) nr 575/2013.

d)

Att institutet, när det bygger upp beräkningsdatamängden för att skatta fördelningar för förlusters frekvens och omfattning, endast använder dagen för upptäckt eller redovisningsdagen, och att det inte använder en senare dag än redovisningsdagen för att ta med förluster eller avsättningar kopplade till legal risk i beräkningsdatamängden.

e)

Att institutets val av minimitröskelvärde i modellen inte på ett negativt sätt påverkar riktigheten i de operativa riskmåtten och att användningen begränsas av minimitröskelvärden i modellen som är betydligt högre än tröskelvärdena för datainsamling och att de, då de används, vederbörligen motiveras genom känslighetsanalys av olika tröskelvärden som institutet utför.

f)

Att institutet i beräkningsdatamängden tar med alla operativa förluster som överstiger minimitröskelvärdet i modellen och använder dem, oavsett deras nivå, för att generera kapitalbaskraven enligt internmätningsmetoden.

g)

Att institutet tillämpar lämpliga justeringssatser på data där inflations- eller deflationseffekterna är väsentliga.

h)

Att institutet grupperar och tar med förluster i beräkningsdatamängden som en enda förlust, då dessa förluster har orsakats av en bakomliggande händelse i form av en gemensam operativ riskhändelse, eller av flera händelser kopplade till en inledande operativ riskhändelse som genererar händelser eller förluster.

i)

Att alla eventuella undantag från den behandling som anges i led h är vederbörligen dokumenterade och motiverade för att förhindra otillbörlig minskning av kapitalbaskraven enligt internmätningsmetoden.

j)

Att institutet inte tar bort från beräkningsdatamängden för internmätningsmetoden väsentliga justeringar av förluster till följd av operativa risker hänförliga till enskilda eller sammankopplade händelser, då referensdagen för dessa justeringar infaller inom observationsperioden och referensdagen för den ursprungliga enskilda händelsen eller den bakomliggande händelsen enligt led h ligger utanför denna period.

k)

Att institutet för varje referensår inom observationsperioden kan särskilja de förlustbelopp som hör samman med händelser som upptäcks eller redovisas under det året, från förlustbelopp som hör samman med justeringar eller gruppering av händelser som upptäcks eller redovisas under tidigare år.

a)

Att institutet beaktar karaktär, komplexitet och företagspecifika komponenter hos sin affärsverksamhet och de operativa risker som det är exponerat för då det grupperar risker med gemensamma faktorer och definierar de operativa riskkategorierna för en internmätningsmetod.

b)

Att institutet motiverar sitt val av detaljnivå för sina operativa riskkategorier med kvalitativa och kvantitativa medel, och att det klassificerar operativa riskkategorier grundat på enhetlig, oberoende och stationär data.

c)

Att institutets val av detaljnivå för sina operativa riskkategorier är realistiskt och inte inverkar negativt på försiktigheten i modellens resultat eller i dess delar.

d)

Att institutet regelbundet granskar valet av detaljnivå för sina operativa riskkategorier för att säkerställa att nivån fortfarande är lämplig.

a)

Att institutet följer ett förfarande som är väl dokumenterat och medger spårbarhet för val, uppdatering och översyn av förlustfördelningar och skattning av deras parametrar.

b)

Att förfarandet för att välja förlustfördelningar leder till att institutet gör konsekventa och tydliga val, att det på ett korrekt sätt fångar in riskprofilen i svansen och att det innehåller minst följande komponenter:

c)

Att institutet, när det väljer en förlustfördelning, noggrant tar hänsyn till positiv skevhet och leptokurtosis i datan.

d)

Att institutet, om spridningen av data är stor i svansen, inte använder empiriska kurvor för att skatta svansen, utan i stället subexponentiella fördelningar där svansen avtar långsammare än i exponentiella fördelningar, om det inte finns särskilda skäl för att använda andra funktioner, som i vilket fall måste vara korrekt hanterade och fullt ut motiverade så att otillbörlig minskning av kapitalbaskravet enligt internmätningsmetoden förhindras.

e)

Att institutet – om separata förlustfördelningar används för fördelningens centralområde och svans – noggrant beaktar valet av modellgränsvärde som delar fördelningens svans från dess centralområde.

f)

Att dokumenterat statistiskt underlag, vid behov kompletterat med kvalitativ information, föreligger för det valda modellgränsvärdet som delar fördelningens svans från dess centralområde.

g)

Att institutet när det skattar fördelningarnas parametrar antingen ser till att modellen återspeglar beräkningsdatamängdens ofullständighet som beror på att man använt ett minimitröskelvärde i modellen, eller att det kan motivera användningen av en ofullständig beräkningsdatamängd eftersom detta inte på ett negativt sätt påverkar riktigheten av parameterskattningarna och kapitalbaskraven enligt internmätningsmetoden.

h)

Att institutet har metoder för att minska variationen i skattningarna av parametrarna och mått för att mäta felet kring dessa skattningar, inklusive konfidensintervall och p-värden.

i)

Att institutet – om det fastställer robusta estimatorer i form av generaliseringar av klassiska estimatorer, som har goda statistiska egenskaper inklusive hög effektivitet och lågt systematiskt fel, för en hel omgivning av den okända underliggande datafördelningen – kan visa att användningen av dessa estimatorer inte underskattar risken i förlustfördelningarnas svans.

j)

Att institutet bedömer anpassningsgraden mellan datan och den valda fördelningen genom användning av både grafiska och kvantitativa diagnostiska verktyg, där känsligheten är större för svansen än för centralområdet, särskilt om spridningen av data är stor i svansen.

k)

Att institutet vid behov – bland annat om de diagnostiska verktygen inte leder till tydliga val av den bäst anpassade fördelningen eller för att dämpa effekterna av urvalets storlek och antalet skattade parametrar i anpassningstesten – använder utvärderingsmetoder som jämför de olika förlustfördelningarnas prediktionsförmåga, inklusive likelihood-kvoten, AIC-kriteriet (Akaikes informationskriterium) och BIC-kriteriet (Schwarz bayesianska informationskriterium).

l)

Att institutet har en regelbunden process för att kontrollera antagandena för de valda förlustfördelningarna och att det, om antagandena befinns ogiltiga, inklusive när de genererar värden som ligger utanför fastställda intervall, har testat alternativa metoder och att det på korrekt sätt klassificerat ändringar av antagandena, i enlighet med kommissionens delegerade förordning (EU) nr 529/2014 (5).

a)

Att de metoder som institutet har utarbetat för detta syfte säkerställer att riskmåtten har lämpliga nivåer av precision och stabilitet.

b)

Att riskmåtten kompletteras med information om sin noggrannhet.

c)

Att institutet, oavsett vilken metod som används för att aggregera fördelningar för förlusters frekvens och omfattning, till exempel Monte Carlo-simuleringar, metoder av fouriertransform-typ, Panjer-algoritmer och enskild förlust-approximationer, fastställer kriterier som begränsar urvalsfel och numeriska fel och ger ett mått på felens storlek.

d)

Att, om Monte Carlo-simulering används, så är antalet steg som ska utföras förenligt med fördelningarnas form och med den konfidensnivå som ska uppnås.

e)

Att, om förlustfördelningen har en tjock svans och mäts vid en hög konfidensnivå, så är antalet steg tillräckligt stort för att minska urvalets variabilitet till en godtagbar nivå.

f)

Att, om fouriertransformering eller andra numeriska metoder används, så beaktas noggrant aspekter som rör algoritmstabilitet och fortplantning av fel.

g)

Att institutets riskmått som genereras av systemet för mätning av operativa risker uppfyller kraven på monotonicitet med avseende på risk, vilket kan ses genom att högre kapitalbaskrav genereras då den underliggande riskprofilen ökar och lägre kapitalbaskrav genereras då den underliggande riskprofilen minskar.

h)

Att institutets riskmått som genereras av systemet för mätning av operativa risker är realistiskt ur förvaltningsmässig och ekonomisk synvinkel, och vidare att institutet tillämpar lämpliga metoder för att undvika en övre gräns för största enskilda förlust, om det inte ger en tydlig objektiv motivering för en sådan övre gräns, och för att undvika att fördelningen saknar första ordningens moment.

i)

Att institutet tydligt utvärderar resultatet av systemet för mätning av operativa risker genom lämplig känslighetsanalys av indata eller parametrar.

a)

Att institutets metod för att skatta förväntade förluster överensstämmer med systemet för mätning av operativa risker för skattning av kapitalbaskraven enligt internmätningsmetoden som omfattar både förväntade och oväntade förluster, och att processen för skattning av förväntad förlust görs per kategori av operativ risk och är konsekvent över tid.

b)

Att institutet fastställer förväntad förlust med hjälp av statistiska uppgifter som påverkas mindre av extrema förluster, inklusive medianvärde och trimmat medelvärde, särskilt när det gäller data med medeltjock eller tjock svans.

c)

Att den högsta utjämning som institutet tillämpar för förväntad förlust begränsas av den totala förväntade förlusten, och att den högsta utjämningen av förväntad förlust i varje kategori av operativ risk begränsas av den relevanta förväntade förlusten, beräknad enligt institutets system för mätning av operativa risker som tillämpas för den kategorin.

d)

Att de utjämningar som institutet tillämpar för förväntad förlust i varje kategori av operativ risk är kapitalsubstitut eller att de på annat sätt med stor säkerhet är tillgängliga för att täcka förväntade förluster under en ettårsperiod.

e)

Att institutet, om utjämningen utgörs av annat än avsättningar, begränsar möjligheten till utjämning till verksamheter med höga förutsägbara, stabila och återkommande förluster.

f)

Att institutet inte utjämnar förväntad förlust med särskilda reserver för exceptionella händelser som leder till förlust till följd av operativa risker som redan inträffat.

g)

Att institutet tydligt dokumenterar hur förväntad förlust mäts och fångas upp, inklusive hur eventuell utjämning av förväntad förlust uppfyller villkoren i led a–f.

a)

Att institutet noga överväger alla former av linjära eller icke-linjära beroendeförhållanden, avseende all data, antingen i fördelningens centralområde eller i dess svans, mellan två eller flera kategorier av operativ risk eller inom en och samma kategori av operativ risk.

b)

Att institutet i största möjliga utsträckning har stöd för sina korrelationsantaganden genom en lämplig kombination av analys av empirisk data och expertbedömningar.

c)

Att förluster inom varje kategori av operativ risk är oberoende av varandra.

d)

Att, om villkoret i led c inte är uppfyllt, inbördes beroende förluster aggregeras.

e)

Att, endast när inget av villkoren i leden c eller d kan uppfyllas, beroendeförhållanden inom kategorierna för operativ risk modelleras på ett lämpligt sätt.

f)

Att institutet noga överväger beroendeförhållanden mellan svanshändelser.

g)

Att institutet inte grundar beroendestrukturen på gaussiska fördelningar eller fördelningar av normalfördelningstyp.

h)

Att alla antaganden om beroendeförhållanden som institutet tillämpar är försiktiga, med tanke på osäkerheterna i beroendemodeller för operativ risk, och att institutets försiktighet ökar i förhållande till att beroendeantagandena blir mindre strikta och de resulterande kapitalbaskraven blir mindre tillförlitliga.

i)

Att institutet vederbörligen motiverar de beroendeantaganden som det tillämpar och att det utför regelbundna känslighetsanalyser för att bedöma hur beroendeantagandena påverkar dess kapitalbaskrav enligt internmätningsmetoden.

a)

Att institutets mekanism för kapitalfördelning överensstämmer med institutets riskprofil och den allmänna utformningen av systemet för att mäta operativa risker.

b)

Att man vid fördelningen av kapitalbaskraven enligt internmätningsmetoden beaktar potentiella interna skillnader avseende risk, kvalitet på hantering av operativa risker och intern kontroll mellan de delar av gruppen som dessa kapitalbaskrav fördelas på.

c)

Att det inte finns några observerbara rådande eller väntade praktiska eller rättsliga hinder för snabb överföring av medel ur kapitalbasen eller återbetalning av skulder.

d)

Att fördelningen av kapitalbaskrav enligt internmätningsmetoden från den konsoliderade gruppnivån nedåt till de delar av gruppen som ingår i systemet för mätning av operativa risker grundas på sunda och, i största möjliga utsträckning, riskkänsliga metoder.

a)

Att försäkringsgivaren uppfyller de krav på auktorisation som avses i artikel 323.2 i förordning (EU) nr 575/2013, i enlighet med artikel 37.

b)

Att försäkringen tillhandahålls av tredje part, enligt vad som avses i artikel 323.3 e i förordning (EU) nr 575/2013, i enlighet med artikel 38.

c)

Att institutet undviker dubbelräkning av riskreducerade åtgärder, enligt vad som anges i artikel 322.2 e i förordning (EU) nr 575/2013, i enlighet med artikel 39.

d)

Att man i riskreduceringsberäkningen vederbörligen väger in försäkringsskydden, enligt vad som avses i artikel 323.3 d i förordning (EU) nr 575/2013, och att ramverket för erkännande av försäkring är väl motiverat och dokumenterat, enligt vad som avses i artikel 323.3 f i samma förordning, där följande ska gälla:

e)

Att institutets metod för att erkänna försäkringar täcker alla relevanta delar genom tillämpning av avdrag eller nedsättningar avseende försäkringsbeloppet, enligt vad som avses i artikel 323.3 a och b och artikel 323.4 i förordning (EU) nr 575/2013, i enlighet med artikel 43.

f)

Att institutet kan visa att en märkbar riskreducerande effekt uppnås genom andra mekanismer för risköverföring, enligt vad som avses i artikel 323.1 andra meningen i förordning (EU) nr 575/2013, i enlighet med artikel 44.

a)

Institutet skattar sannolikheten för återvinning från försäkring och den möjliga tidsfristen för mottagandet av utbetalningar från försäkringsgivarna, inbegripet sannolikheten för talan mot skadeanspråk, längden på en sådan process och nuvarande skaderegleringstid och -villkor, baserat på erfarenheter från sin försäkringsriskhanteringsgrupp, vid behov med stöd av lämpliga externa experter, inklusive juridiska rådgivare, mäklare och försäkringsbolag.

b)

Institutet använder skattningarna enligt led a för att bedöma resultatet av försäkringsskyddet i händelse av en förlust till följd av operativa risker, och utformar denna process i syfte att kunna bedöma försäkringsskyddets resultat för all förlust- och scenariodata som matas in i systemet för att mäta operativa risker.

c)

Institutet kartlägger sina försäkringsavtal på grundval av bedömningen enligt led b mot sina egna operativa risker på högsta detaljnivå, med användning av alla tillgängliga informationskällor, inklusive intern och extern data och scenarioskattningar.

d)

Institutet använder lämplig expertis och genomför denna kartläggning på ett öppet och konsekvent sätt.

e)

Institutet väger på ett lämpligt sätt in historiska och förväntade resultat från försäkringsskyddet genom en bedömning av försäkringsavtalets olika delar.

f)

Institutet erhåller formellt godkännande från lämpligt riskorgan eller lämplig riskkommitté.

g)

Institutet omprövar regelbundet försäkringskartläggningsprocessen.

a)

Den är förenlig med det system för att mäta operativa risker som har antagits för att kvantifiera bruttoförluster utan avdrag för återvinning från försäkringar.

b)

Den är tydlig och öppen i hur den förhåller sig till den faktiska sannolikhet för förluster och deras effekter som används vid den övergripande beräkningen av kapitalbaskraven enligt internmätningsmetoden, och den är även i överenstämmelse med detta förhållande.

a)

Att institutet har sett över användningen av försäkringsskydd och gjort en ny beräkning av kapitalbaskraven enligt internmätningsmetoden, vid behov, om försäkringsskyddet har ändrats väsentligt eller om det har skett en betydande förändring av institutets riskprofil avseende operativ risk.

b)

Att institutet – om väsentliga förluster som påverkar försäkringsskyddet uppstår – gör en ny beräkning av kapitalbaskraven enligt internmätningsmetoden med ytterligare försiktighetsmarginal.

c)

Att institutet – om försäkringsskyddet upphör eller minskar på ett oväntat sätt – är förberett för att omedelbart ersätta försäkringsavtalet med motsvarande eller bättre villkor och skydd, eller att öka kapitalbaskraven enligt internmätningsmetoden till en nivå som motsvarar bruttoförluster utan avdrag för återvinning från försäkringar.

d)

Att institutet beräknar kapital med och utan avdrag för återvinning från försäkringar på en detaljnivå som gör det möjligt att omedelbart i kapitalbaskraven enligt internmätningsmetoden räkna in effekterna av varje minskning av det tillgängliga försäkringsbeloppet, inklusive betalning av en väsentlig förlust, eller en ändring av försäkringsskyddet.

a)

Att institutet undersöker de olika faktorer som innebär risk för att försäkringsgivaren inte kommer att betala som förväntat, och göra risköverföringen mindre effektiv, inklusive försäkringsgivarens förmåga att betala i tid och institutets förmåga att identifiera, analysera och rapportera sin skada i tid.

b)

Att institutet undersöker hur de olika faktorer som avses i led a tidigare har påverkat försäkringens riskreducerande effekt på riskprofilen avseende operativa risker och hur de kan påverka denna effekt i framtiden.

c)

Att institutet räknar in de osäkerheter som avses i led a i sina kapitalbaskrav enligt internmätningsmetoden genom nedsättningar, med tillämpning av lämplig försiktighet.

d)

Att institutet noggrant beaktar försäkringsavtalens egenskaper, däribland om de är så beskaffade att de endast täcker förluster där ersättning begärs eller som meddelas till försäkringsgivaren under försäkringens löptid, vilket innebär att förluster som upptäcks efter försäkringsavtalets utgång inte är täckta, eller om de täcker förluster som uppstår under försäkringsavtalets löptid, även om förlusterna inte upptäcks och skadeanmälan inte lämnas in förrän efter avtalets utgång, eller om förlusterna är direkta förluster för första part eller förluster till följd av ansvar gentemot tredje part.

e)

Att institutet beaktar och fullt ut dokumenterar data om försäkringsutbetalningar per förlusttyp i sina databaser över förluster, och fastställer nedsättningar i enlighet med detta.

f)

Att institutet har inrättat förfaranden för identifiering av förluster, analys och hantering av skadeanmälan, så att det kan kontrollera skyddet som försäkringsgivaren faktiskt erbjuder eller möjligheten att erhålla betalning för skadan inom en rimlig tid.

g)

Att institutet uttryckligen kvantifierar och separat modellberäknar nedsättningarna avseende var och en av de identifierade relevanta osäkerheterna, och inte tillämpar en samlad nedsättning i beräkningen som omfattar alla osäkerheter, eller en efterhandsberäknad nedsättning.

h)

Att institutet i största möjliga utsträckning beaktar risken avseende försäkringsgivarens förmåga att ersätta skada, genom att tillämpa lämpliga nedsättningar i försäkringsmodellerna.

i)

Att institutet säkerställer att risken avseende försäkringsgivarens förmåga att ersätta skada när det gäller motpartsfallissemang bedöms på grundval av kreditvärdigheten hos det försäkringsföretag som är ansvarigt för det berörda försäkringsavtalet, oavsett om försäkringsföretagets moderinstitut har ett bättre kreditbetyg eller om risken överförs till en tredje part.

j)

Att institutet gör försiktiga antaganden avseende förnyelse av försäkringsavtal på grundval av villkor och skydd som motsvarar de ursprungliga eller de gällande avtalen.

k)

Att institutet har inrättat processer för att säkerställa att dess metoder för att beakta försäkring i internmätningsmetoden på ett tillräckligt sätt tar hänsyn till ett potentiellt uppnående av försäkringsavtalens övre gräns, pris och tillgång på återställande av försäkringsskydd, samt fall då försäkringsavtalet inte matchar institutets riskprofil avseende operativa risker.

a)

Institutet kan visa att det har haft fortlöpande försäkringsskydd med motsvarande eller bättre villkor och skydd under minst 365 dagar.

b)

Institutet har ett försäkringsavtal som inte kan annulleras av försäkringsgivaren, utom vid utebliven premiebetalning, eller som har en uppsägningstid på mer än ett år.

a)

Bekräfta att institutet har erfarenhet av att använda instrument för risköverföring och av instrumentens egenskaper, inklusive sannolikheten för skydd och betalning i tid, innan dessa instrument får redovisas i institutets system för att mäta operativa risker.

b)

Neka till att godta andra mekanismer för risköverföring som riskreducerande instrument för kapitalbaskraven enligt internmätningsmetoden om dessa instrument hålls eller används för handelsändamål snarare än för riskhanteringsändamål.

c)

Kontrollera att försäkringsgivaren är kvalificerad, oavsett om det rör sig om en reglerad eller oreglerad enhet, samt kontrollera hur skyddet är utformat och beskaffat, om det är förfinansierat skydd, värdepapperisering, garantimekanism eller derivat.

d)

Bekräfta att utkontrakterad verksamhet inte betraktas som en del av risköverföringsmekanismerna.

e)

Bekräfta att institutet beräknar kapitalbaskraven enligt internmätningsmetoden med och utan avdrag för andra mekanismer för risköverföring för varje kapitalberäkning, på en detaljnivå som gör det möjligt att omedelbart räkna in effekterna på kapitalkraven av varje minskning av det tillgängliga skyddsbeloppet.

f)

Bekräfta att institutet – om väsentliga förluster uppstår, vilka påverkar det skydd som ges genom andra mekanismer för risköverföring, eller om ändringar av mekanismernas avtal skapar stor osäkerhet vad gäller skyddet – gör en ny beräkning av kapitalbaskraven enligt internmätningsmetoden med ytterligare försiktighetsmarginal.

a)

Denna förordning ska tillämpas med början ett år efter det att den har trätt i kraft.

b)

Artikel 34 g ska tillämpas med början två år efter det att förordningen har trätt i kraft.