9.3 Tilhørende oppgaver til operasjonell risiko

Følgende tilhørende oppgaver hører inn under operasjonell risiko:

Antihvitvaskingsarbeid

Policy for Antihvitvasking med tilhørende rutiner fastsetter hvordan kunder skal etableres, informasjon om de skal innhentes og registreres, og transaksjoner skal overvåkes. Avdeling Operasjonell risiko er ansvarlig for å utarbeide rutiner, følge opp transaksjoner og kunder på forsterket kontroll, samt for å påse at rutinene etterleves i resten av organisasjonen.

Mistenkelige transaksjoner og avvik fra rutinen skal inngå som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Risikovurdering av produkter, prosesser og systemer

Retningslinjer for produkthåndtering fastsetter at avdeling Operasjonell risiko skal involveres ved etablering og vesentlige endringer innenfor produkter og tjenester, herunder også ved endringer i prosesser og i systemer.

Risikovurderingene inngår som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Avdeling operasjonell risiko skal gjennomføre risikovurderinger ved både endringsprosessen og de nye løsningene ved denne typen prosesser. Risikovurderingen skal dokumenteres og inngå som en del av beslutningssaken.

Utkontraktering

Retningslinjer for utkontraktering fastsetter at avdeling Operasjonell risiko skal involveres ved utkontraktering av nye tjenester eller vesentlige endringer i eksisterende utkontrakteringer.

Avdeling Operasjonell risiko skal gjennomføre risikovurderinger av utkontrakteringene eller endringen. Risikovurderingen skal dokumenteres og inngå som en del av beslutningssaken.

Risikovurderingene inngår som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Kundeklager

Retningslinjer for håndtering av kundeklager fastsetter hvordan klager skal behandles. Banken skal ha kultur for god klagebehandling.

Avdeling Operasjonell risiko skal følge klagebehandlingshåndteringen tett. Dette innebærer også å systematisk arbeid med informasjonen for bruk til forbedring av arbeidsprosesser ved organisatorisk læring.

Klagene inngår som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Avvikshåndtering for personopplysninger

Retningslinjer for håndtering av personopplysninger beskriver hvordan avvik fra rutiner for behandling av personopplysninger skal håndteres.

Avdeling Operasjonell risiko er behandlingsansvarlig for personopplysninger, og skal følge opp at personopplysninger anvendes tilfredsstillende. Dersom det avdekkes eller rapporteres om avvik skal disse registreres og vurderes om de skal rapporteres til datatilsynet.

Registrerte avvik inngår som en del av grunnlaget til risikoanalysene for operasjonell risiko. 

IKT-hendelser

Informasjonssikkerhetspolicy med tilhørende instruks beskriver hvordan ansatte skal behandle informasjon, herunder objekter som håndterer informasjonen. Avdeling Operasjonell risiko er ansvarlig for informasjonssikkerhetspolicyen og tilrettelegging for etterlevelse av denne. Ved eventuelle avvik må det iverksettes tiltak.

Kvalitetssystemet for IKT som bygger på IKT-forskriften fastsetter krav til hendelser som skal rapporteres til Finanstilsynet ifbm.  mangler i bankens systemer.  Ansvarlig for rapportering er leder for avdeling IT Drift og Forvaltning.

IT Drift og Forvaltning utarbeider årlig en risikoanalyse for bankens systemer, samt gjennomgår de tjenester som er utkontraktert.

Avvik fra informasjonssikkerhetspolicy, hendelser rapportert til Finanstilsynet og risikoanalysen av bankens systemer inngår som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Sikkerhetshendelser

Sikkerhetshåndboken fastsetter retningslinjer for å verne verdier og hindre økonomisk tap og tap av omdømme for Sparebanken Møre. Avdeling Operasjonell risiko er ansvarlige for utarbeidelse av retningslinjer, å påse etterlevelse i organisasjonen og registrere hendelser.

Hendelser, eksterne og interne, som medfører risiko for tap av verdier eller omdømme, og avvik fra sikkerhetsrutinene skal inngå som en del av grunnlaget til risikoanalysene for operasjonell risiko.

Beredskapsplaner og kontinuitet

Bankens beredskapsplaner, både på overordnet nivå og for vesentlige virksomhetsområder, skal være dekkende for hele virksomheten. Planene skal regelmessig testes, og oppdateres basert på resultatene fra testene, regelmessige risikovurderinger og endringer i rammebetingelsene.

Avdeling Operasjonell risiko skal være en pådriver for gjennomføring av tester og benytte resultatene som en del av grunnlaget til risikoanalysene for operasjonell risiko.

 

 

Banken benytter seg av basismetoden for beregning av kapitalkravet for operasjonell risiko i pilar 1. Banken skal i sin interne kapitalvurderingsprosess (ICAAP) minimum årlig vurdere sitt kapitalbehov for operasjonell risiko. I den forbindelse skal banken vurdere om beregnet regulatorisk kapital er tilstrekkelig sett i forhold til risikonivå, og vurdere om det er behov for et pilar 2-tillegg for operasjonell risiko.

  Vurderingen av kapitalbehovet og drivere for kapital skal inngå som en del av grunnlaget til risikoanalysene for operasjonell risiko.