Bilag 2

Bilag

Andre bilag

  • Bilag 1 (Tilrettelæggelse af arbejdet i bestyrelsen for en investeringsforening, for en SIKAV og for et investeringsforvaltningsselskab, der administrerer en værdipapirfond)

  • Bilag 2 (Operationelle risici)

  • Bilag 3 (It-sikkerhed)

Operationelle risici
Bilag 2 1) Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter samme principper som operationelle risici.
2) Med hændelser forstås begivenheder, der kan medføre tab for investeringsforvaltningsselskabet eller investeringsforeningen, hvis den har valgt ikke at delegere den daglige ledelse til et investeringsforvaltningsselskab eller administrationsselskab.
Investeringsforvaltningsselskabets bestyrelses opgaver og ansvar
Politikken for operationel risiko
3) Politikken for operationel risiko skal omfatte
a) en identifikation af hvilke hændelser, som virksomheden kan blive ramt af og som kan medføre tab, som bestyrelsen ikke kan acceptere,
b) principperne for opsamling af oplysninger om hændelser, der kan anses for henhørende under området for operationelle risici,
c) efter hvilke overordnede principper virksomheden skal indrettes med henblik på at holde operationelle risici på et for bestyrelsen acceptabelt niveau,
d) arten og størrelsen af de stedfundne hændelser og tab, der skal ske rapportering om til bestyrelsen, og
e) principperne for rapportering om operationelle risici til bestyrelsen i øvrigt.
4) Bestyrelsen skal i politikken, i det omfang det er relevant, forholde sig til
a) særlige operationelle risici knyttet til virksomhedens forretningsmodel og aktiviteter,
b) integrationen, stabiliteten og egnetheden af virksomhedens it-systemer,
c) omfanget af manuelle rutiner, for eksempel i forbindelse med kontrol og afvikling af handler, kontroller og ikke integrerede it-systemer,
d) afhængighed af eksterne forhold, herunder underleverandører,
e) organisation, herunder omfanget af interne kontroller og eventuel manglende mulighed for at etablere funktionsadskillelse, og
f) fysisk sikkerhed.
5) Bestyrelsen skal være særlig opmærksom på hændelser, der forventes at indtræde med lav sandsynlighed, men med store tab.
6) Bestyrelsen skal tage stilling til relevante hændelser, og hvorledes disse forebygges eller imødegås. Politikken skal afspejle virksomhedens størrelse og kompleksitet. Hændelser, der ikke skønnes at kunne medføre tab af betydning, kan behandles summarisk i politikken. En stor eller kompleks virksomhed vil alt andet lige skulle have en mere omfattende politik end en lille og ikke-kompleks virksomhed.
Bestyrelsens retningslinjer til direktionen på området for operationel risiko
7) Bestyrelsen skal i sine retningslinjer til direktionen fastsætte
a) principper for indretningen og driften af virksomheden med henblik på at holde operationelle risici på et for virksomheden acceptabelt niveau,
b) principper for hvorledes operationelle risici skal opgøres,
c) principper for, herunder eventuelle beløbsmæssige grænser for, registrering af oplysninger om hændelser, der har medført tab eller som kunne have medført tab som følge af operationelle risici, og
d) retningslinjer for rapportering om operationelle risici og tab som følge heraf til bestyrelsen.
Direktionens opgaver og ansvar
8) Direktionen skal indrette virksomheden således, at operationelle risici begrænses, særligt at de styres inden for de principper, der er fastsat af bestyrelsen samt sikre, at alle relevante medarbejdere har kendskab til investeringsforvaltningsselskabets politik for operationelle risici.
9) Det påhviler direktionen at sikre, at
a) oplysning om hændelser, der har medførte tab, eller som kunne have medført tab, registreres i overensstemmelse med bestyrelsens politik for operationelle risici og retningslinjerne,
b) der er effektive systemer og metoder til at kommunikere og opbevare oplysninger om operationelle risici,
c) alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,
d) områder, systemer og produkter, der kan medføre væsentlige operationelle risici identificeres, og
e) der er forretningsgange for opsamling, opgørelse og rapportering om tab og eventuelt opstået risiko for tab.
10) Direktionen skal på forhånd vurdere om, og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med den af bestyrelsen fastsatte politik og strategi på området. Dette gælder såvel for principielle beslutninger på forretningsmæssige områder, herunder udførelser af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den risikoansvarlige.
11) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret, og i givet fald fastlægge en handlingsplan for dette.