Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2018.169.1

Rozporządzenie delegowane 2018/959 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 w odniesieniu do regulacyjnych standardów technicznych określających metodę oceny, w ramach której właściwe organy zezwalają instytucjom na stosowanie metod zaawansowanego pomiaru na potrzeby obliczania ryzyka operacyjnego

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/959
z dnia 14 marca 2018 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 w odniesieniu do regulacyjnych standardów technicznych określających metodę oceny, w ramach której właściwe organy zezwalają instytucjom na stosowanie metod zaawansowanego pomiaru na potrzeby obliczania ryzyka operacyjnego
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 1 , w szczególności jego art. 312 ust. 4 akapit trzeci,

a także mając na uwadze, co następuje:

(1) Na potrzeby obliczania wartości wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego w art. 312 ust. 2 akapit pierwszy rozporządzenia (UE) nr 575/2013 przewidziano, że właściwe organy zezwalają instytucjom na stosowanie metod zaawansowanego pomiaru na podstawie ich własnych systemów pomiaru ryzyka operacyjnego, jeśli spełnione są wszystkie standardy jakościowe i ilościowe określone w tym artykule oraz jeśli instytucje stale spełniają wszystkie te wymogi. W rezultacie taka ocena nie tylko odnosi się do pierwotnego wniosku instytucji o udzielenie zezwolenia na stosowanie metody zaawansowanego pomiaru, ale i jest stosowana na bieżąco.

(2) Różne elementy składające się na ramy stosowania metody zaawansowanego pomiaru w danej instytucji nie powinny być oceniane osobno; należy raczej poddawać je przeglądowi i oceniać jako pakiet powiązanych ze sobą elementów, aby zapewnić zadowalający dla właściwych organów odpowiedni poziom zgodności każdej części tych ram.

(3) Właściwe organy nie powinny przeprowadzać oceny zgodności instytucji z wymogami określonymi w art. 312 ust. 4 lit. a) i b) rozporządzenia (UE) nr 575/2013, na podstawie których udzielane jest zezwolenie na stosowanie metod zaawansowanego pomiaru, w jednolity sposób. Charakter elementów, które należy poddać ocenie, jest różny w zależności od rodzaju przeprowadzanej oceny, co z kolei zależy od rodzaju złożonego wniosku. Obowiązkiem właściwych organów jest ocena zgodności w przypadkach, w których: instytucja składa pierwszy wniosek o udzielenie zezwolenia na stosowanie metody zaawansowanego pomiaru, instytucja składa wniosek o rozszerzenie metody zaawansowanego pomiaru zgodnie z przyjętym planem stopniowego wdrożenia, instytucja składa wniosek o rozszerzenie lub zmianę metody zaawansowanego pomiaru, na której stosowanie uzyskała zezwolenie, lub instytucja składa wniosek o powrót do stosowania mniej zaawansowanych metod zgodnie z art. 313 rozporządzenia (UE) nr 575/2013. Ponadto właściwe organy powinny przeprowadzać ciągłą kontrolę stosowania metod zaawansowanego pomiaru przez instytucje. Właściwe organy powinny zatem przeprowadzać ocenę spełnienia przez instytucje wymogów stosowania metod zaawansowanego pomiaru zgodnie z charakterem elementów, które mają zostać poddane ocenie, odpowiednio do właściwych metod oceny.

(4) W art. 85 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE 2  zawarto wymóg, by instytucje określiły, co stanowi ryzyko operacyjne do celów wdrożenia polityk i procedur, za pomocą których będą one oceniać ekspozycję na ryzyko operacyjne i nią zarządzać. W rozporządzeniu (UE) nr 575/2013 przedstawiono definicję "ryzyka operacyjnego", która obejmuje zarówno ryzyko prawne, jak i ryzyko modelu. W art. 3 ust. 1 dyrektywy 2013/36/UE termin "ryzyko modelu" odnosi się do potencjalnych strat poniesionych z powodu błędów w opracowaniu, wdrażaniu lub stosowaniu modeli wewnętrznych, lecz nie obejmuje potencjalnych strat poniesionych z powodu korekt wyceny wynikających z ryzyka modelu, o których mowa w art. 105 (dotyczącym ostrożnej wyceny) rozporządzenia (UE) nr 575/2013 lub w rozporządzeniu delegowanym Komisji (UE) 2016/101 3 , ani nie odnosi się do ryzyka modelu związanego ze stosowaniem potencjalnie nieprawidłowej metody wyceny, o którym mowa w art. 105 ust. 13 rozporządzenia (UE) nr 575/2013. W rozporządzeniu (UE) nr 575/2013 podobnie nie określono, w jaki sposób właściwe organy powinny weryfikować zgodność z wymogiem określenia wszelkiego ryzyka operacyjnego związanego z ryzykiem prawnym i ryzykiem modelu. Takie doprecyzowanie powinny zatem zawierać przepisy określające metodę oceny, którą właściwe organy powinny stosować przy ocenie tego, czy instytucje mogą stosować metody zaawansowanego pomiaru.

(5) Konieczna jest także harmonizacja metod nadzoru w odniesieniu do prawidłowego określania ryzyka operacyjnego związanego z transakcjami finansowymi, w tym transakcjami narażonymi na ryzyko rynkowe, gdyż wykazano, że ryzyko operacyjne związane z tymi transakcjami jest znaczne, a spójne wykrywanie i rejestrowanie czynników wpływających na poziom tego ryzyka, które zazwyczaj mają wielowymiarowy charakter, może nie być możliwe w całej Unii.

(6) Standardy, które należy uwzględnić w obowiązujących w instytucji ramach zarządzania instytucją i ramach zarządzania ryzykiem, określono w art. 74 dyrektywy 2013/36/UE i art. 321 rozporządzenia (UE) nr 575/2013. W rezultacie w metodach oceny metod zaawansowanego pomiaru należy przewidzieć dokonanie przez właściwe organy weryfikacji, czy instytucja ma wyraźną strukturę organizacyjną zapewniającą odpowiednie administrowanie i zarządzanie ryzykiem operacyjnym oraz precyzyjnie zdefiniowane, przejrzyste i spójne zakresy obowiązków uwzględniające charakter, skalę i złożoność działalności danej instytucji, przy czym należy to uwzględnić podczas oceniania, czy dana instytucja może stosować metody zaawansowanego pomiaru. W szczególności należy ustalić, czy funkcja zarządzania ryzykiem operacyjnym odgrywa kluczową rolę w określaniu, mierzeniu, ocenie, monitorowaniu, kontrolowaniu i ograniczaniu ryzyka operacyjnego, na które narażona jest instytucja, oraz czy funkcja ta jest dostatecznie niezależna od jednostek gospodarczych instytucji, by zagwarantować niezależne i obiektywne zalecenia i profesjonalny osąd. Należy również ustalić, czy kadra kierownicza wyższego szczebla odpowiada za opracowanie i wdrożenie systemu zarządzania i administrowania ryzykiem operacyjnym zatwierdzonego przez organ zarządzający oraz czy system ten jest konsekwentnie wdrażany w całej strukturze organizacyjnej instytucji. Właściwe organy powinny także ocenić, czy na wszystkich szczeblach roboczych zapewniono odpowiednie narzędzia i informacje umożliwiające wszystkim pracownikom zrozumienie swoich obowiązków związanych z zarządzaniem ryzykiem operacyjnym.

(7) Warunkiem niezbędnym należytego zarządzania wewnętrznego są skuteczne systemy sprawozdawczości wewnętrznej. Właściwe organy powinny zatem zapewnić wprowadzenie przez instytucję wnioskującą o zezwolenie na stosowanie metod zaawansowanego pomiaru skutecznych systemów raportowania ryzyka nie tylko organowi zarządzającemu i kadrze kierowniczej wyższego szczebla, ale także wszystkim funkcjom odpowiedzialnym za zarządzanie ryzykiem operacyjnym, na które instytucja jest lub może być narażona. System raportowania powinien odzwierciedlać aktualny status problemów związanych z ryzykiem operacyjnym w instytucji i uwzględniać wszelkie istotne aspekty zarządzania ryzykiem operacyjnym i jego pomiaru.

(8) Zgodnie z art. 321 lit. a) rozporządzenia (UE) nr 575/2013 wewnętrzny system pomiaru ryzyka operacyjnego danej instytucji jest ściśle powiązany z jej bieżącymi procedurami zarządzania ryzykiem. W rezultacie w metodzie oceny metody zaawansowanego pomiaru należy przewidzieć nałożenie na instytucję wnioskującą o zezwolenie na stosowanie metody zaawansowanego pomiaru obowiązku faktycznego stosowania systemu pomiaru ryzyka operacyjnego instytucji w bieżących procesach biznesowych i do celów bieżącego zarządzania ryzykiem, a nie tylko do celów obliczania wartości wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego. W przepisach regulujących przeprowadzaną przez organy nadzoru ocenę metod zaawansowanego pomiaru należy zatem uwzględnić przepisy dotyczące oczekiwań organów nadzoru, które musi spełnić instytucja wnioskująca o zezwolenie na stosowanie metod zaawansowanego pomiaru w odniesieniu do "testów praktycznych".

(9) W celu dostarczenia zarówno instytucjom, jak i właściwym organom dowodów na to, że system pomiaru ryzyka operacyjnego instytucji jest wiarygodny i prawidłowy oraz pozwala obliczyć wartość wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego w sposób bardziej wiarygodny niż prostsza regulacyjna metoda pomiaru ryzyka operacyjnego, właściwe organy powinny ustalić, czy dana instytucja dokonała obejmującego określony okres porównania systemu pomiaru ryzyka operacyjnego z metodą wskaźnika bazowego lub metodą standardową obliczania ryzyka operacyjnego, o których mowa w art. 315, 317 i 319 rozporządzenia (UE) nr 575/2013. Okres ten powinien być wystarczająco długi, by właściwy organ mógł ustalić, czy instytucja spełnia przewidziane w rozporządzeniu (UE) nr 575/2013 standardy jakościowe i ilościowe warunkujące stosowanie metody zaawansowanego pomiaru.

(10) Zgodnie z art. 321 lit. g) rozporządzenia (UE) nr 575/2013 wymaga się, by przepływy danych oraz procedury związane z systemem pomiaru ryzyka według metody zaawansowanego pomiaru w instytucji były przejrzyste i dostępne. Dane dotyczące ryzyka operacyjnego nie są natychmiast dostępne, jako że muszą najpierw zostać zidentyfikowane w księgach i archiwach instytucji, a następnie prawidłowo zgromadzone i przechowywane. Co więcej, system pomiaru jest zazwyczaj bardzo złożony i obliczenie wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru wymaga kilku kroków logicznych i obliczeniowych. Metodyka oceny metody zaawansowanego pomiaru powinna zatem pozwolić na sprawdzenie, czy mechanizmy służące zapewnieniu jakości danych i systemy informatyczne zostały odpowiednio zaprojektowane i prawidłowo wdrożone w instytucji, tak aby służyły celom, do jakich je stworzono.

(11) Ramy stosowania metody zaawansowanego pomiaru w danej instytucji podlegają walidacji wewnętrznej i przeglądom przeprowadzanym przez audytorów zgodnie z art. 321 lit. e) i f) rozporządzenia (UE) nr 575/2013. Choć struktury organizacyjne funkcji walidacji wewnętrznej i audytu różnią się w zależności od charakteru, złożoności i działalności instytucji, należy zapewnić, by metoda oceny metody zaawansowanego pomiaru w odniesieniu do przeglądów przeprowadzanych w ramach tych funkcji była zgodna ze wspólnymi kryteriami dotyczącymi warunków i zakresu takich przeglądów.

(12) Modelowanie ryzyka operacyjnego to stosunkowo nowa i rozwijającą się dyscyplina. W związku z tym w art. 322 rozporządzenia (UE) nr 575/2013 przyznano instytucjom znaczną elastyczność w opracowywaniu systemów pomiaru ryzyka operacyjnego na potrzeby obliczania wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru. Taka elastyczność nie powinna jednak prowadzić do znacznych różnic między instytucjami w zakresie głównych elementów systemów pomiaru, w tym korzystania z danych wewnętrznych, danych zewnętrznych, analizy scenariuszy i czynników otoczenia biznesowego i kontroli wewnętrznej (znanych jako i zwanych dalej "czterema elementami"), głównych założeń modelowania, które pozwalają uwzględnić skrajne zdarzenia w ogonie rozkładu i powiązane czynniki ryzyka (tworzenie zbioru danych obliczeniowych, stopień szczegółowości, określenie rozkładu strat i określenie łącznego rozkładu strat i miar ryzyka) lub oczekiwanej straty, korelacji i kryteriów alokacji kapitału, które powinny zapewnić wewnętrzną spójność systemu pomiaru. Dlatego też, aby zapewnić solidne podstawy metodyczne systemu pomiaru ryzyka, jego porównywalność z systemami innych instytucji, skuteczność tego systemu w określaniu rzeczywistego i potencjalnego ryzyka operacyjnego w instytucji oraz obliczanie przez ten system w sposób wiarygodny i prawidłowy wartości regulacyjnych wymogów kapitałowych według metod zaawansowanego pomiaru, metodyka oceny metody zaawansowanego pomiaru powinna przewidywać stosowanie przez właściwe organy w całej Unii takich samych kryteriów i wymogów. Metodologia oceny metody zaawansowanego pomiaru powinna także uwzględniać idiosynkratyczne elementy ryzyka operacyjnego związane z różną wielkością, charakterem i złożonością instytucji.

(13) W szczególności w odniesieniu do danych wewnętrznych należy uwzględnić fakt, że choć strata wynikła z ryzyka operacyjnego może zostać poniesiona wyłącznie wskutek zdarzenia ryzyka operacyjnego, na jej wystąpienie mogą wskazywać różne pozycje, w tym obciążenia bezpośrednie, koszty, rezerwy i niepobrane przychody. Choć wpływ niektórych zdarzeń ryzyka operacyjnego jest mierzalny i znajduje odzwierciedlenie w sprawozdaniu finansowym instytucji, inne zdarzenia nie poddają się ocenie ilościowej i nie mają wpływu na wynik wykazany przez instytucję w sprawozdaniu finansowym, co oznacza, że można je wykryć na podstawie innych źródeł, w tym archiwów kierownictwa i zbiorów danych o incydentach. W przepisach określających metodykę stosowaną przez właściwe organy w celu przeprowadzenia oceny stanowiącej podstawę udzielenia zezwolenia na stosowanie metod zaawansowanego pomiaru należy określić, co stanowi stratę wynikłą z ryzyka operacyjnego i kwotę, którą należy odnotować na potrzeby metody zaawansowanego pomiaru, oraz, bardziej ogólnie, wszelkie potencjalne pozycje, które mogłyby wskazywać na wystąpienie zdarzenia ryzyka operacyjnego.

(14) Instytucje są niekiedy w stanie szybko odzyskać pojawiające się straty wynikłe z ryzyka operacyjnego. Choć szybko odzyskane straty mogą okazać się przydatne do celów zarządczych, nie należy uwzględniać ich w obliczeniach wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru. Instytucje stosują różne kryteria uznawania strat za szybko odzyskane, stąd przepisy regulujące metodykę oceny metody zaawansowanego pomiaru powinny obejmować przepisy określające stosowne kryteria uznawania strat za szybko odzyskane straty.

(15) Właściwe organy mogą uznać techniki ograniczania ryzyka stosowane w ramach metod zaawansowanego pomiaru, o ile spełnione są określone warunki, o których mowa w art. 323 rozporządzenia (UE) nr 575/2013. Aby skutecznie stosować przepisy dotyczące tych technik ograniczania ryzyka, właściwe organy muszą stosować szczegółowe standardy przy ocenie stosowania tych przepisów przez instytucję. W szczególności jeśli odnośne techniki ograniczania ryzyka przyjmują formę ubezpieczenia, należy zapewnić, aby dostawcą takiego ubezpieczenia był zakład ubezpieczeń posiadający zezwolenie na prowadzenie działalności w Unii lub w jurysdykcjach stosujących wobec zakładów ubezpieczeń równoważne z unijnymi standardy regulacyjne.

(16) Jeśli techniki ograniczania ryzyka przyjmują formę mechanizmów transferu ryzyka innych niż ubezpieczenie, właściwe organy powinny zapewnić, by mechanizmy te były rzeczywiście stosowane w celu transferu ryzyka, a nie w celu obejścia wymogów w zakresie funduszy własnych obliczonych według metod zaawansowanego pomiaru. Jest to warunek o kluczowym znaczeniu w świetle specyfiki ryzyka operacyjnego, w przypadku którego niemożliwe jest wyraźne określenie referencyjnych aktywów bazowych, a nieoczekiwane straty odgrywają większą rolę niż w przypadku innych rodzajów ryzyka. Sytuację dodatkowo pogarsza brak efektywnego, płynnego i ustrukturyzowanego rynku "produktów" ryzyka operacyjnego, które dotychczas były przedmiotem obrotu poza sektorem bankowym, np. w postaci obligacji katastroficznych i pogodowych instrumentów pochodnych. Ponadto ocena ryzyka prawnego związanego z takimi mechanizmami jest zwykle bardzo trudna, nawet jeśli wyraźnie i starannie określono warunki umów.

(17) Aby umożliwić płynne przejście instytucjom, które mają już zezwolenie na stosowanie metod zaawansowanego pomiaru lub które złożyły wniosek o zezwolenie na stosowanie tych metod przed wejściem niniejszego rozporządzenia w życie, właściwe organy powinny stosować niniejsze rozporządzenie w zakresie oceny metod zaawansowanego pomiaru stosowanych przez te instytucje dopiero po zakończeniu określonego okresu przejściowego. W związku z tym, że regularny przegląd metod zaawansowanego pomiaru przewidziany w art. 101 ust. 1 dyrektywy 2013/36/UE przeprowadzany jest zazwyczaj raz w roku, odnośny okres przejściowy powinien wynieść rok od daty wejścia niniejszego rozporządzenia w życie.

(18) Instytucje, które stosują rozkłady normalne (Gaussa) w celu określenia korelacji w ramach wszystkich lub niektórych stosowanych przez nie metod zaawansowanego pomiaru, nie powinny już ich stosować na potrzeby swoich metod zaawansowanego pomiaru, jako że takie założenia sugerowałyby niezależność w ogonie rozkładu w kategoriach ryzyka operacyjnego, wykluczając w ten sposób możliwość jednoczesnego wystąpienia dużych strat różnego rodzaju, co nie jest założeniem ani ostrożnym, ani realistycznym. Należy zatem wyznaczyć odpowiednio długi okres, aby umożliwić tym instytucjom płynne przejście do nowego systemu, w ramach którego w systemie pomiaru ryzyka operacyjnego wprowadza się ostrożniejsze założenia, sugerujące pozytywną zależność w ogonie rozkładu. Wdrożenie tych założeń może wymagać zmiany niektórych kluczowych elementów ram stosowania metod zaawansowanego pomiaru i powiązanych procedur, stąd stosowne jest wyznaczenie dwuletniego okresu przejściowego.

(19) Podstawę niniejszego rozporządzenia stanowi projekt regulacyjnych standardów technicznych przedłożony Komisji przez Europejski Urząd Nadzoru Bankowego.

(20) Europejski Urząd Nadzoru Bankowego przeprowadził otwarte konsultacje publiczne na temat tego projektu regulacyjnych standardów technicznych, dokonał analizy potencjalnych powiązanych kosztów i korzyści oraz zasięgnął opinii Bankowej Grupy Interesariuszy ustanowionej zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 4 ,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ  1

PRZEPISY OGÓLNE

Artykuł  1

Ocena metod zaawansowanego pomiaru

1. 
W ramach oceny, na podstawie której właściwe organy udzielają instytucji zezwolenia na stosowanie metod zaawansowanego pomiaru, potwierdza się:
a)
zgodność z elementami określonymi w art. 3-6;
b)
zgodność z przepisami rozdziałów 2 i 3;
c)
zgodność z przepisami rozdziału 4 w przypadku instytucji, które przyjęły ubezpieczenie jako mechanizm transferu ryzyka oraz inne mechanizmy transferu ryzyka przewidziane w przywołanym rozdziale.
2. 
Rozdziały 1-4 uwzględnia się w przypadku przeprowadzania przez właściwe organy następujących działań:
a)
ocena istotności rozszerzeń i zmian w metodach zaawansowanego pomiaru stosowanych przez instytucję;
b)
ocena planu stopniowego wdrażania metod zaawansowanego pomiaru stosowanych przez instytucję;
c)
ocena powrotu instytucji do stosowania mniej zaawansowanych metod zgodnie z art. 313 rozporządzenia (UE) nr 575/2013;
d)
bieżące przeglądy metod zaawansowanego pomiaru stosowanych przez instytucję.
Artykuł  2

Definicje

Do celów niniejszego aktu delegowanego stosuje się następujące definicje:

1)
"modelowanie progu korpus-ogon" oznacza wartość straty oddzielającą korpus od ogona rozkładu strat;
2)
"zbiór danych obliczeniowych" oznacza część zgromadzonych danych, rzeczywistych lub konstruowanych, która spełnia warunki niezbędne do wykorzystania jej jako danych wejściowych do systemu pomiaru ryzyka operacyjnego;
3)
"próg gromadzenia danych" oznacza wartość straty, po osiągnięciu której instytucja identyfikuje i gromadzi dane o stracie wynikłej z ryzyka operacyjnego na potrzeby zarządzania i pomiaru;
4)
"data ujęcia" oznacza datę pierwszego ujęcia straty lub rezerwy na zdarzenie ryzyka operacyjnego w rachunku zysków i strat;
5)
"minimalny próg modelowania" oznacza wartość straty, po osiągnięciu której empiryczne lub parametryczne rozkłady częstotliwości i dotkliwości są dopasowywane do strat wynikłych z ryzyka operacyjnego;
6)
"strata brutto" lub "strata" oznaczają stratę wynikłą ze zdarzenia ryzyka operacyjnego przed odzyskaniem jakichkolwiek środków;
7)
"uchybienie" oznacza zdarzenie ryzyka operacyjnego wynikające z zaniedbania lub umyślnego uchybienia, w tym z niewłaściwego świadczenia usług finansowych;
8)
"kategoria ryzyka operacyjnego" oznacza poziom, np. rodzaj zdarzenia lub linię biznesową, na którym system pomiaru ryzyka operacyjnego instytucji generuje osobne rozkłady częstotliwości i dotkliwości;
9)
"profil ryzyka operacyjnego" oznacza przedstawienie rzeczywistego i potencjalnego ryzyka operacyjnego w instytucji w wartościach bezwzględnych w określonym momencie;
10)
"tolerancja na ryzyko operacyjne" oznacza wyrażony w wartościach bezwzględnych, dokonany przez instytucję perspektywiczny ogląd zagregowanego poziomu i rodzajów ryzyka operacyjnego, które instytucja jest gotowa ponieść lub na poniesienie których instytucja jest przygotowana, nie stanowiące zagrożenia dla jej celów strategicznych i biznesplanu;
11)
"odzyskanie" oznacza zdarzenie związane ze stratą pierwotną, które ma miejsce niezależnie od tej straty i jest od niej oddzielone czasowo, polegające na otrzymaniu środków lub wpływów korzyści gospodarczych od osób pierwszych lub osób trzecich;
12)
"miara ryzyka" oznacza pojedynczą pozycję danych statystycznych dotyczącą ryzyka operacyjnego wyodrębnioną z łącznego rozkładu strat na pożądanym poziomie ufności, w tym wartość zagrożoną (VaR) lub miarę braków, np. oczekiwany niedobór (ang. Expected Shortfall) lub medianę niedoboru (ang. Median Shortfall);
13)
"cykl rozwoju systemu" oznacza proces planowania, tworzenia, testowania i wdrażania infrastruktury informatycznej;
14)
"strata czasowa" oznacza ujęte w okresie obrachunkowym negatywne skutki gospodarcze wywołane zdarzeniem ryzyka operacyjnego wywierającym wpływ na przepływy środków pieniężnych lub sprawozdania finansowe za poprzednie okresy obrachunkowe.
Artykuł  3

Zdarzenia ryzyka operacyjnego związane z ryzykiem prawnym

1. 
Właściwe organy potwierdzają, czy instytucja określa, gromadzi i przetwarza dane dotyczące zdarzeń ryzyka operacyjnego i strat wynikłych z ryzyka prawnego na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wartości wymogu w zakresie funduszy własnych według metod zaawansowanego pomiaru; w tym celu właściwe organy weryfikują co najmniej, czy:
a)
instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty lub inne koszty wynikające ze zdarzeń prowadzących do postępowania sądowego, w tym co najmniej poniższe elementy:
(i)
brak działania w sytuacjach, w których działanie takie należy podjąć, aby zapewnić zgodność z przepisem prawa;
(ii)
podjęcie działania w celu uniknięcia zgodności z przepisem prawa;
(iii)
uchybienia;
b)
instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty lub inne koszty wynikające z dobrowolnych działań ukierunkowanych na uniknięcie lub ograniczenie ryzyka prawnego wynikającego ze zdarzeń ryzyka operacyjnego, w tym zwroty lub zniżki na poczet przyszłych usług dobrowolnie oferowane klientom, w przypadku gdy tego rodzaju zwrotów nie oferuje się w wyniku skarg klientów;
c)
instytucja wyraźnie określa i klasyfikuje jako ryzyko operacyjne straty wynikłe z błędów i przeoczeń w umowach i dokumentacji;
d)
instytucja nie klasyfikuje poniższych pozycji jako ryzyka operacyjnego:
(i)
zwroty na rzecz osób trzecich lub pracowników i dobrowolne świadczenia wynikające z szans biznesowych, jeżeli naruszenie zasad etycznych ani kodeksu etycznego postępowania nie miało miejsca, a instytucja terminowo wypełniła swoje obowiązki;
(ii)
koszty zewnętrznej obsługi prawnej poniesione w wyniku zdarzenia innego niż zdarzenie ryzyka operacyjnego.

Do celów lit. a) uznaje się, że termin "postępowanie sądowe" oznacza wszelkie rozstrzygnięcia sporów prawnych, w tym ugody sądowe i pozasądowe.

2. 
Do celów niniejszego artykułu, termin "przepis prawa" obejmuje co najmniej poniższe elementy:
a)
wszelkie wymogi wynikające z krajowych lub międzynarodowych przepisów prawnych i ustawowych;
b)
wszelkie wymogi wynikające z ustaleń umownych, wewnętrznych zasad i kodeksów etycznego postępowania przyjętych zgodnie z krajowymi lub międzynarodowymi standardami i praktykami;
c)
zasady etyczne.
Artykuł  4

Zdarzenia ryzyka operacyjnego związane z ryzykiem modelu

Przy ocenie tego, czy instytucja określa, gromadzi i przetwarza dane dotyczące zdarzeń ryzyka operacyjnego i strat wynikłych z ryzyka modelu, jak zdefiniowano w art. 3 ust. 1 pkt 11 dyrektywy 2013/36/UE, na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wartości wymogu w zakresie funduszy własnych według metod zaawansowanego pomiaru, właściwe organy potwierdzają, czy:

a)
jako ryzyko operacyjne klasyfikowane są co najmniej poniższe zdarzenia i powiązane straty wynikające z modeli stosowanych w procesie decyzyjnym:
(i)
nieprawidłowa definicja wybranego modelu i jego charakterystyki;
(ii)
nieadekwatna weryfikacja odpowiedniości wybranego modelu dla ocenianego instrumentu finansowego lub wycenianego produktu, lub jego przydatności w panujących warunkach rynkowych;
(iii)
błędy we wdrażaniu wybranego modelu;
(iv)
nieprawidłowe wyceny według cen notowanych na aktywnych rynkach i pomiary ryzyka wynikające z błędnego zaksięgowania transakcji w systemie transakcyjnym;
(v)
stosowanie wybranego modelu lub uzyskanych za jego pomocą danych niezgodnie z przeznaczeniem, w tym na potrzeby manipulowania parametrami modelowania;
(vi)
nieterminowe i nieskuteczne monitorowanie działania modelu w celu ustalenia, czy model wciąż spełnia swoje zadanie;
b)
wydarzenia związane z niedoszacowaniem wymogów w zakresie funduszy własnych przez wewnętrzne modele zatwierdzone przez właściwe organy nie są uwzględniane w określaniu, gromadzeniu i przetwarzaniu danych o zdarzeniach ryzyka operacyjnego i stratach wynikłych z ryzyka modelu.
Artykuł  5

Zdarzenia ryzyka operacyjnego związane z transakcjami finansowymi, w tym związane z ryzykiem rynkowym

Przy ocenie tego, czy instytucja określa, gromadzi i przetwarza dane dotyczące zdarzeń ryzyka operacyjnego i strat związanych z transakcjami finansowymi i ryzykiem rynkowym na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wymogu w zakresie funduszy własnych z wykorzystaniem metod zaawansowanego pomiaru, właściwe organy potwierdzają, czy jako ryzyko operacyjne klasyfikowane są co najmniej poniższe zdarzenia i powiązane straty:

a)
zdarzenia wynikłe z błędów operacyjnych i błędów popełnionych podczas wprowadzania danych, w tym:
(i)
błędy i niepowodzenia podczas wprowadzania lub realizacji zleceń;
(ii)
utrata danych lub błędna interpretacja przepływu danych z jednostki operacyjnej do jednostki ds. działań wspierających i działu realizacji zleceń instytucji;
(iii)
błędy w klasyfikacji;
(iv)
nieprawidłowa specyfikacja transakcji w potwierdzeniu warunków transakcji, w tym błędnie wprowadzone kwoty transakcji, terminy zapadalności i cechy finansowe;
b)
zdarzenia wynikłe z błędów w mechanizmach kontroli wewnętrznej, w tym poniższe zdarzenia:
(i)
nieprawidłowa realizacja zlecenia zamknięcia pozycji rynkowej w przypadku niekorzystnych zmian cen;
(ii)
nieautoryzowane pozycje przekraczające przyznane limity, niezależnie od rodzaju ryzyka, z którym są związane;
c)
zdarzenia wynikające z nieodpowiedniej jakości danych i niedostępności środowiska informatycznego, w tym spowodowany względami technicznymi brak dostępu do rynku uniemożliwiający zawieranie umów.
Artykuł  6

Jakość dokumentacji i możliwość jej kontroli

1. 
Właściwe organy weryfikują jakość dokumentacji dotyczącej metod zaawansowanego pomiaru stosowanych przez instytucję, potwierdzając co najmniej, czy:
a)
dokumentacja została zatwierdzona przez kadrę kierowniczą stosownego szczebla instytucji;
b)
instytucja wprowadziła polityki, w których określono standardy zapewniające wysoką jakość dokumentacji wewnętrznej, w tym precyzyjne określenie odpowiedzialności za zapewnienie, by prowadzona dokumentacja była kompletna, spójna, dokładna i bezpieczna oraz by podlegała aktualizacji i zatwierdzaniu;
c)
wzór dokumentacji określony w politykach, o których mowa w lit. b), zawiera przynajmniej poniższe pozycje:
(i)
rodzaj dokumentu;
(ii)
autor;
(iii)
weryfikator;
(iv)
osoba autoryzująca lub właściciel;
(v)
daty opracowania i zatwierdzenia;
(vi)
numer wersji;
(vii)
historia zmian dokumentu;
d)
instytucja dokładnie dokumentuje swoje polityki, procedury i metody.
2. 
Właściwe organy weryfikują możliwość kontroli dokumentacji dotyczącej metod zaawansowanego pomiaru stosowanych przez instytucję, potwierdzając co najmniej, czy:
a)
dokumentacja jest wystarczająco szczegółowa i dokładna, by umożliwić zbadanie metod zaawansowanego pomiaru przez osoby trzecie, w tym umożliwia:
(i)
zrozumienie logiki i procedur stanowiących podstawę jej opracowania;
(ii)
zrozumienie systemu pomiaru ryzyka operacyjnego w celu ustalenia, jak funkcjonuje wymóg w zakresie funduszy własnych obliczany według metod zaawansowanego pomiaru, jakie ma ograniczenia i jakie są jego podstawowe założenia, i umożliwienia odtworzenia procesu opracowywania modelu.

ROZDZIAŁ  2

STANDARDY JAKOŚCIOWE

SEKCJA  1

Zarządzanie

Artykuł  7

Proces zarządzania ryzykiem operacyjnym

1. 
Właściwe organy oceniają skuteczności obowiązujących w instytucji ram stosowania metod zaawansowanego pomiaru w celach zarządzania i administrowania ryzykiem operacyjnym w instytucji i ustalają, czy w instytucji istnieje wyraźna struktura organizacyjna o precyzyjnie zdefiniowanym, przejrzystym i spójnym podziale obowiązków, potwierdzając co najmniej, czy:
a)
organ zarządzający instytucji omawia i zatwierdza zarządzanie ryzykiem operacyjnym, proces zarządzania ryzykiem operacyjnym i system pomiaru ryzyka operacyjnego;
b)
przynajmniej raz w roku organ zarządzający instytucji wyraźnie określa i ustala poniższe elementy:
(i)
tolerancja instytucji na ryzyko operacyjne;
(ii)
sporządzone w formie pisemnej oświadczenie w sprawie tolerancji instytucji na ryzyko operacyjne dotyczące łącznego poziomu straty wynikłej z ryzyka operacyjnego i rodzajów zdarzeń ryzyka operacyjnego, obejmujące miary jakościowe i ilościowe, w tym progi i limity oparte na miarach strat wynikłych z ryzyka operacyjnego, które instytucja jest gotowa ponieść lub na poniesienie których instytucja jest przygotowana w celu osiągnięcia swoich celów strategicznych i realizacji biznesplanu, przy zapewnieniu jego dostępności w całej instytucji i zrozumiałości dla wszystkich jej pracowników;
c)
organ zarządzający instytucji na bieżąco monitoruje zgodność działania instytucji z oświadczeniem w sprawie tolerancji na ryzyko operacyjne, o którym mowa w lit. b) ppkt (ii);
d)
instytucja stosuje ciągły proces zarządzania ryzykiem operacyjnym w celu określania, oceny i pomiaru, monitorowania i zgłaszania ryzyka operacyjnego, w tym uchybień, i jest w stanie wskazać pracowników odpowiedzialnych za proces zarządzania ryzykiem operacyjnym;
e)
informacje uzyskane w ramach procesu, o którym mowa w lit. d), przekazuje się właściwym komitetom i organom wykonawczym instytucji, a o decyzjach podejmowanych przez wspomniane komitety informuje się osoby odpowiedzialne za gromadzenie, kontrolowanie i monitorowanie ryzyka operacyjnego oraz zarządzanie nim w instytucji i osoby odpowiedzialne za zarządzanie działaniami, które są źródłem ryzyka operacyjnego;
f)
instytucja przynajmniej raz w roku ocenia skuteczność zarządzania ryzykiem operacyjnym w instytucji, procesu zarządzania ryzykiem operacyjnym i systemu pomiaru ryzyka operacyjnego;
g)
instytucja przynajmniej raz w roku powiadamia odpowiedni właściwy organ o ustaleniach wynikających z oceny, o której mowa w lit. f).
2. 
Do celów oceny, o której mowa w ust. 1, właściwe organy uwzględniają wpływ struktury zarządzania ryzykiem operacyjnym na zaangażowanie pracowników instytucji w kulturę zarządzania ryzykiem operacyjnym i samo zarządzaniem tym ryzykiem, w tym co najmniej poniższe elementy:
a)
poziom świadomości pracowników instytucji w zakresie polityk i procedur dotyczących ryzyka operacyjnego;
b)
wewnętrzny proces instytucji dotyczący kwestionowania konstrukcji i skuteczności ram stosowania metod zaawansowanego pomiaru.
Artykuł  8

Niezależna funkcja zarządzania ryzykiem operacyjnym

1. 
Właściwe organy oceniają niezależność funkcji zarządzania ryzykiem operacyjnym od jednostek gospodarczych instytucji, potwierdzając co najmniej, czy:
a)
w ramach funkcji zarządzania ryzykiem operacyjnym następujące zadania wykonywane są oddzielnie od innych linii biznesowych instytucji:
(i)
projektowanie, opracowanie, wdrożenie i utrzymanie procesu zarządzania ryzykiem operacyjnym i systemu pomiaru ryzyka operacyjnego oraz nadzór nad nimi;
(ii)
analiza ryzyka operacyjnego związanego z wprowadzaniem i opracowywaniem nowych produktów, rynków, linii biznesowych, procesów, systemów i istotnych zmian w istniejących produktach;
(iii)
nadzór nad działalnością mogącą generować ekspozycję na ryzyko operacyjne, w wyniku której mogłoby dojść do przekroczenia poziomu tolerancji instytucji na ryzyko;
b)
organ zarządzający i kadra kierownicza wyższego szczebla wykazują odpowiednie wsparcie dla funkcji zarządzania ryzykiem operacyjnym, a funkcja ta cieszy się stosowaną rangą w instytucji, tak aby mogła wypełniać swoje zadania;
c)
funkcja zarządzania ryzykiem operacyjnym nie wiąże się jednocześnie z odpowiedzialnością za funkcję audytu wewnętrznego;
d)
kierownik funkcji zarządzania ryzykiem operacyjnym spełnia co najmniej poniższe wymogi:
(i)
ma odpowiednie doświadczenie pozwalające na zarządzanie rzeczywistym i potencjalnym ryzykiem operacyjnym, zgodnie z profilem ryzyka operacyjnego;
(ii)
regularnie wymienia informacje z organem zarządzającym i jego komitetami zgodnie ze strukturą zarządzania ryzykiem w instytucji;
(iii)
aktywnie uczestniczy w określaniu tolerancji instytucji na ryzyko i formułowaniu strategii zarządzania tym ryzykiem i jego ograniczania;
(iv)
jest niezależny od funkcji i jednostek operacyjnych, które podlegają kontroli ze strony funkcji zarządzania ryzykiem operacyjnym;
(v)
za przyznawanie budżetu funkcji zarządzania ryzykiem operacyjnym odpowiada kierownik funkcji zarządzania ryzykiem, o którym mowa w art. 76 ust. 5 akapit czwarty dyrektywy 2013/36/UE, lub członek organu zarządzającego pełniący funkcję nadzorczą, a nie jednostka gospodarcza czy funkcja zarządcza.
Artykuł  9

Zaangażowanie kadry kierowniczej wyższego szczebla

Właściwe organy oceniają stopień zaangażowania kadry kierowniczej wyższego szczebla instytucji, potwierdzając co najmniej, czy:

a)
kadra kierownicza wyższego szczebla jest odpowiedzialna za wdrażanie zatwierdzonych przez organ zarządzający ram zarządzania i administrowania ryzykiem operacyjnym;
b)
kadra kierownicza wyższego szczebla została upoważniona przez organ zarządzający do opracowywania polityk, procesów i procedur zarządzania ryzykiem operacyjnym;
c)
kadra kierownicza wyższego szczebla wdraża polityki, procesy i procedury zarządzania ryzykiem operacyjnym, o których mowa w lit. b).
Artykuł  10

Sprawozdawczość

Właściwe organy oceniają, czy sprawozdawczość instytucji w zakresie profilu ryzyka operacyjnego i zarządzania ryzykiem operacyjnym jest wystarczająco regularna, terminowa i prawidłowa, potwierdzając co najmniej, czy:

a)
problemy związane z systemami sprawozdawczości i mechanizmami kontroli wewnętrznej instytucji są szybko i dokładnie identyfikowane;
b)
sprawozdania instytucji dotyczące ryzyka operacyjnego są przekazywane kadrze kierowniczej stosownego szczebla i jednostkom instytucji, które w sprawozdaniach wskazano jako obszary problematyczne;
c)
kadra kierownicza wyższego szczebla instytucji co najmniej raz na kwartał otrzymuje sprawozdania dotyczące najnowszego statusu profilu ryzyka operacyjnego instytucji i wykorzystuje te sprawozdania w procesie decyzyjnym;
d)
sprawozdania instytucji dotyczące ryzyka operacyjnego zawierają istotne informacje związane z zarządzaniem i przynajmniej ogólne podsumowanie najpoważniejszych rodzajów ryzyka operacyjnego w instytucji i stosownych spółkach zależnych oraz jednostkach gospodarczych;
e)
instytucja stosuje sprawozdania ad hoc w przypadku określonych braków w politykach, procesach i procedurach zarządzania ryzykiem operacyjnym w celu szybkiego wykrycia i wyeliminowania tych braków, a co za tym idzie - znacznego zmniejszenia potencjalnej częstotliwości i dotkliwości zdarzenia prowadzącego do straty.

SEKCJA  2

Test praktyczny

Artykuł  11

Stosowanie metod zaawansowanego pomiaru

Właściwe organy oceniają, czy instytucja stosuje metody zaawansowanego pomiaru na potrzeby wewnętrzne; w tym celu właściwe organy potwierdzają co najmniej, czy:

a)
system pomiaru ryzyka operacyjnego instytucji jest stosowany w celu zarządzania ryzykiem operacyjnym w różnych liniach biznesowych, jednostkach i podmiotach prawnych w ramach jej struktury organizacyjnej;
b)
system pomiaru ryzyka operacyjnego jest zakorzeniony w różnych podmiotach grupy i, jeśli jest stosowany na poziomie skonsolidowanym, ramy stosowania metod zaawansowanego pomiaru instytucji dominującej obejmują jednostki zależne, a występujące w tych jednostkach zależnych czynniki otoczenia gospodarczego i kontroli wewnętrznej, o których mowa w art. 322 ust. 1 i 6 rozporządzenia (UE) nr 575/2013, i ryzyko operacyjne są uwzględniane w obliczeniach z wykorzystaniem metod zaawansowanego pomiaru w całej grupie;
c)
system pomiaru ryzyka operacyjnego jest stosowany także do celów procedury wewnętrznej oceny adekwatności kapitałowej instytucji, o której mowa w art. 73 dyrektywy 2013/36/UE.
Artykuł  12

Ciągła integracja metod zaawansowanego pomiaru

Właściwe organy oceniają, czy instytucja zapewnia ciągłą integrację systemu zarządzania ryzykiem operacyjnym ze swoimi bieżącymi procesami zarządzania ryzykiem; w tym celu właściwe organy potwierdzają co najmniej, czy:

a)
system pomiaru ryzyka operacyjnego jest regularnie aktualizowany i rozwijany w miarę zdobywania nowych doświadczeń i wypracowywania bardziej zaawansowanych metod zarządzania i kwantyfikacji ryzyka operacyjnego;
b)
charakter i zestaw danych wprowadzanych do systemu pomiaru ryzyka operacyjnego są stosowne i w każdym czasie odzwierciedlają charakter działalności, strategii i organizacji instytucji oraz jej ekspozycję na ryzyko operacyjne.
Artykuł  13

Stosowanie metod zaawansowanego pomiaru w celu wspierania zarządzania ryzykiem operacyjnym w instytucji

Właściwe organy oceniają, czy instytucja stosuje metody zaawansowanego pomiaru w celu wspierania zarządzania ryzykiem operacyjnym w instytucji; w tym celu właściwe organy potwierdzają co najmniej, czy:

a)
system pomiaru ryzyka operacyjnego jest skutecznie stosowany na potrzeby regularnego i bezzwłocznego zgłaszania spójnych informacji, które rzetelnie odzwierciedlają charakter działalności instytucji oraz jej profil ryzyka operacyjnego;
b)
instytucja podejmuje działania zaradcze w celu udoskonalenia procesów wewnętrznych z chwilą otrzymania informacji o ustaleniach pochodzących z systemu pomiaru ryzyka operacyjnego.
Artykuł  14

Stosowanie metod zaawansowanego pomiaru w celu poprawy organizacji systemu zarządzania ryzykiem operacyjnym i kontroli tego ryzyka w instytucji

Właściwe organy oceniają, czy instytucja stosuje metody zaawansowanego pomiaru w celu poprawy organizacji systemu zarządzania ryzykiem operacyjnym i kontroli tego ryzyka w instytucji w tym celu właściwe organy potwierdzają co najmniej, czy:

a)
w obrębie instytucji komunikuje się jasne informacje o przyjętej przez instytucję definicji tolerancji na ryzyko operacyjne i powiązanych celach zarządzania ryzykiem operacyjnym;
b)
w obrębie instytucji komunikuje się jasne informacje o związkach między strategią działalności a zarządzaniem ryzykiem operacyjnym, w tym w kontekście zatwierdzania nowych produktów, systemów i procesów;
c)
system pomiaru ryzyka zwiększa przejrzystość, świadomość ryzyka i wiedzę ekspercką dotyczącą zarządzania ryzykiem operacyjnym i stwarza zachęty do poprawy zarządzania ryzykiem operacyjnym w całej instytucji;
d)
dane wejściowe i wyjściowe systemu pomiaru ryzyka operacyjnego są uwzględniane w istotnych decyzjach i planach, w tym w planach działaniach instytucji, jej planach ciągłości działania, planach roboczych audytu wewnętrznego, decyzjach w sprawie alokacji kapitału, planach ubezpieczeniowych i decyzjach budżetowych.
Artykuł  15

Porównanie metod zaawansowanego pomiaru z mniej zaawansowanymi metodami

1. 
Właściwe organy oceniają, czy instytucja wykazuje stabilność i prawidłowość danych wyjściowych uzyskanych za pomocą metod zaawansowanego pomiaru; w tym celu właściwe organy potwierdzają co najmniej, czy:
a)
przed uzyskaniem zezwolenia na stosowanie metod zaawansowanego pomiaru do celów regulacyjnych instytucja obliczała wymóg w zakresie funduszy własnych z tytułu ryzyka operacyjnego zarówno według metody zaawansowanego pomiaru, jak i dotychczas stosowanej mniej zaawansowanej metody, a obliczenia te:
(i)
były wykonywane regularnie, przynajmniej raz na kwartał;
(ii)
obejmowały wszystkie istotne podmioty prawne, które miałyby stosować metody zaawansowanego pomiaru począwszy od daty pierwszego wdrożenia tej metody;
(iii)
obejmowały wszystkie rodzaje ryzyka operacyjnego, które miałyby być uwzględnione w obliczeniach z wykorzystaniem metody zaawansowanego pomiaru począwszy od daty pierwszego wdrożenia tej metody;
b)
instytucja zapewnia zgodność co najmniej z poniższym:
(i)
proces zarządzania ryzykiem operacyjnym i system pomiaru ryzyka operacyjnego opracowano i przetestowano;
(ii)
wszelkie problemy wyeliminowano, a sam systemem i powiązane z nim procesy precyzyjnie skalibrowano;
(iii)
zapewniono, by system pomiaru ryzyka operacyjnego generował wyniki zgodne z oczekiwaniami instytucji, w tym uwzględniał dane z obu systemów instytucji - obecnego i poprzedniego;
(iv)
wykazano, że możliwa jest szybka zmiana parametrów modelu na potrzeby ustalenia wpływu zmienionych założeń uwzględniających minimalne dostosowania systemu lub interwencje ręczne;
(v)
możliwe jest wykonanie odpowiednich korekt kapitału w wymogu w zakresie funduszy własnych przed pierwszym zastosowaniem metod zaawansowanego pomiaru w warunkach rzeczywistych;
(vi)
wykazano na podstawie rozsądnego okresu, że nowe systemy i procedury sprawozdawcze są prawidłowe i generują informacje zarządcze, które instytucja może wykorzystywać do określania ryzyka operacyjnego i zarządzania nim.

Do celów lit. a) przeprowadzana ocena obliczeń musi obejmować co najmniej dwa kolejne kwartały.

2. 
Właściwe organy mogą udzielić zezwolenia na stosowanie metody zaawansowanego pomiaru, jeśli instytucja przedstawi wykonywane nieprzerwanie przez okres jednego roku od udzielenia zezwolenia porównanie obliczeń wymogu w zakresie funduszy własnych według metody zaawansowanego pomiaru i dotychczasowej, mniej zaawansowanej metody.

SEKCJA  3

Audyt i walidacja wewnętrzna

Artykuł  16

Funkcjonowanie audytu i walidacji wewnętrznej

1. 
Właściwe organy oceniają stopień, w jakim funkcje walidacji wewnętrznej i audytu instytucji potwierdzają, że procesy pomiaru ryzyka operacyjnego i zarządzania nim wdrożone na potrzeby stosowania metod zaawansowanego pomiaru są wiarygodne i skuteczne w zakresie pomiaru ryzyka operacyjnego i zarządzania nim w obrębie instytucji; w tym celu właściwe organy sprawdzają co najmniej, czy:
a)
przynajmniej raz w roku funkcja walidacji wewnętrznej przedstawia uzasadnioną i rzetelną opinię na temat tego, czy system pomiaru ryzyka operacyjnego funkcjonuje zgodnie z przewidywaniami oraz czy dane wyjściowe modelu są odpowiednie do różnych celów wewnętrznych i nadzorczych;
b)
przynajmniej raz w roku funkcja audytu weryfikuje integralność procedur, procesów i polityk dotyczących ryzyka operacyjnego, oceniając, czy są one zgodne z wymogami regulacyjnymi i ustalonymi mechanizmami kontroli, a także w szczególności czy funkcja audytu ocenia jakość źródeł i danych wykorzystywanych do celów pomiaru ryzyka operacyjnego i zarządzania nim;
c)
funkcje audytu i walidacji wewnętrznej wdrożyły program przeglądów obejmujący aspekty stosowania metod zaawansowanego pomiaru, o których mowa w niniejszym rozporządzeniu, a program ten jest regularnie aktualizowany pod względem:
(i)
opracowywania procesów wewnętrznych na potrzeby określania, pomiaru i oceny, monitorowania, kontrolowania i ograniczania ryzyka operacyjnego;
(ii)
wdrażania nowych produktów, procesów i systemów, które narażają instytucję na istotne ryzyko operacyjne;
d)
walidacja wewnętrzna jest przeprowadzana przez wykwalifikowane kadry niezależne od jednostek poddawanych walidacji;
e)
w przypadku przeprowadzania działań kontrolnych przez funkcje audytu zewnętrznego lub wewnętrznego lub wykwalifikowane strony zewnętrzne, działania te pozostają niezależne od procesu lub systemu poddawanego kontroli, a w przypadku outsourcingu organ zarządzający i kadra kierownicza wyższego szczebla ponoszą odpowiedzialność za zapewnienie, by zlecone na zewnątrz funkcje wykonywane były zgodnie z zatwierdzonym planem audytu instytucji;
f)
przeglądy walidacji wewnętrznych i audytów dotyczące ram stosowania metod zaawansowanego pomiaru są prawidłowo udokumentowane, a pochodzące z nich dane wyjściowe są przekazywane właściwym odbiorcom w instytucjach, w tym - w stosownych przypadkach - komitetom ds. ryzyka, funkcji zarządzania ryzykiem operacyjnym, kierownictwu linii biznesowej i innym właściwym pracownikom;
g)
wyniki przeglądów walidacji wewnętrznych i audytów są podsumowywane i przekazywane do zatwierdzenia przynajmniej raz w roku organowi zarządzającemu instytucji lub wyznaczonemu przez niego komitetowi;
h)
przegląd i zatwierdzenie skuteczności ram stosowania metod zaawansowanego pomiaru instytucji są przeprowadzane przynajmniej raz w roku.
Artykuł  17

Zarządzanie audytem i walidacją wewnętrzną

Właściwe organy oceniają, czy zarządzanie audytem i walidacją wewnętrzną w instytucji jest wysokiej jakości, potwierdzając co najmniej, czy:

a)
programy audytu dotyczące przeglądu ram stosowania metod zaawansowanego pomiaru obejmują wszystkie istotne działania, które mogłoby narazić instytucję na istotne ryzyko operacyjne, w tym działania zlecane na zewnątrz;
b)
techniki walidacji wewnętrznej są proporcjonalne do zmieniających się warunków rynkowych i warunków prowadzenia działalności, a ich wyniki poddawane są przeglądowi przeprowadzanemu przez audytorów.

SEKCJA  4

Jakość danych i infrastruktura informatyczna

Artykuł  18

Jakość danych

1. 
Właściwe organy oceniają stopień, w jakim utrzymywana jest jakość danych wykorzystywanych przez instytucję w ramach stosowania metod zaawansowanego pomiaru, oraz to, czy procedury przechowywania i gromadzenia danych są regularnie analizowane przez daną instytucję, sprawdzając, czy instytucja ma do dyspozycji przynajmniej następujące zbiory danych:
a)
dane umożliwiające tworzenie i śledzenie historii ryzyka operacyjnego, składające się z danych wewnętrznych i zewnętrznych, analizy scenariuszy i czynników otoczenia gospodarczego i kontroli wewnętrznej;
b)
dane uzupełniające, w tym parametry modelu, dane wyjściowe modelu i sprawozdania.
2. 
Do celów ust. 1 właściwe organy potwierdzają, czy instytucja zdefiniowała stosowne kryteria jakości danych w celu zapewnienia skutecznego wsparcia systemu pomiaru ryzyka operacyjnego i procesu zarządzania ryzykiem operacyjnym, oraz że na bieżąco spełnia ona ustalone kryteria.
3. 
Do celów ust. 1 właściwe organy potwierdzają, czy kryteria jakości danych instytucji spełniają co najmniej poniższe warunki:
a)
są wystarczająco szerokie i szczegółowe oraz mają odpowiedni zakres, by umożliwić wykonanie danego zadania;
b)
spełniają bieżące i potencjalne potrzeby użytkowników;
c)
są aktualizowane na bieżąco;
d)
są stosowne do zakresu ich wykorzystania i są z tym zakresem spójne;
e)
dokładnie odzwierciedlają rzeczywiste zjawiska, które mają odzwierciedlać;
f)
nie powodują naruszenia żadnej reguły biznesowej bazy danych podlegającej utrzymaniu w trybie statycznym i dynamicznym.
4. 
Do celów ust. 1 właściwe organy potwierdzają, czy instytucja ma stosowną dokumentację dotyczącą projektu i utrzymania baz danych używanych w ramach stosowania metod zaawansowanego pomiaru instytucji, oraz sprawdzają, czy dokumentacja ta zawiera co najmniej:
a)
globalny schemat baz danych wykorzystywanych w ramach systemu pomiaru ryzyka operacyjnego wraz z ich opisami;
b)
politykę w zakresie danych i oświadczenie dotyczące odpowiedzialności;
c)
opis przepływu pracy i procedur związanych z gromadzeniem i przechowywaniem danych;
d)
oświadczenie dotyczące niedoskonałości zawierające informacje o wszelkich niedoskonałościach wykrytych w bazach danych w ramach procesów przeglądu i walidacji oraz oświadczenie w sprawie planów instytucji w zakresie eliminowania lub ograniczania wykrytych niedoskonałości.
5. 
Właściwe organy ustalają, czy procedury cyklu rozwoju systemu mające zastosowanie do metod zaawansowanego pomiaru zostały zatwierdzone przez organ zarządzający i kadrę kierowniczą wyższego szczebla instytucji.
6. 
Jeśli instytucja korzysta z zewnętrznych źródeł danych, instytucja zapewnia zgodność z przepisami niniejszego artykułu.
Artykuł  19

Ocena nadzorcza infrastruktury informatycznej

1. 
Właściwe organy oceniają stopień, w jakim instytucja zapewnia solidność, niezawodność i sprawność infrastruktury informatycznej wykorzystywanej na potrzeby metod zaawansowanego pomiaru, potwierdzając co najmniej, czy:
a)
infrastruktura i systemy informatyczne instytucji wykorzystywane na potrzeby metod zaawansowanego pomiaru są solidne i odporne, oraz czy możliwe jest bieżące utrzymywanie tych cech;
b)
cykl rozwoju systemu na potrzeby stosowania metod zaawansowanego pomiaru jest adekwatny i prawidłowy pod względem:
(i)
zarządzania projektami, zarządzania ryzykiem i administrowania;
(ii)
prac inżynieryjnych, zapewnienia jakości i planowania testów;
(iii)
modelowania i opracowywania systemów;
(iv)
zapewnienia jakości wszystkich działań, w tym przeglądów kodów i, w stosownych przypadkach, weryfikacji kodów;
(v)
testowania, w tym próby odbiorczej z udziałem użytkowników;
c)
infrastruktura informatyczna instytucji, którą wdrożono na potrzeby metod zaawansowanego pomiaru, podlega procesom zarządzania konfiguracją, zmianą i wersjami;
d)
cykl rozwoju systemu i plany awaryjne na potrzeby metod zaawansowanego pomiaru zostały zatwierdzone przez organ zarządzający lub kadrę kierowniczą wyższego szczebla instytucji oraz czy organ zarządzający i kadra kierownicza wyższego szczebla są okresowo powiadamiani o sprawności działania infrastruktury informatycznej na potrzeby metod zaawansowanego pomiaru.
2. 
Jeśli instytucja zleca na zewnątrz część prac związanych z utrzymaniem infrastruktury informatycznej wykorzystywanej na potrzeby metod zaawansowanego pomiaru, instytucja zapewnia zgodność z przepisami niniejszego artykułu.

ROZDZIAŁ  3

STANDARDY ILOŚCIOWE

SEKCJA  1

Korzystanie z danych wewnętrznych, danych zewnętrznych, analizy scenariuszy i czynników otoczenia biznesowego i kontroli wewnętrznej ("cztery elementy")

Artykuł  20

Zasady ogólne

Właściwe organy oceniają spełnianie przez instytucję standardów dotyczących korzystania z danych wewnętrznych, danych zewnętrznych, analizy scenariuszy i czynników otoczenia biznesowego i kontroli wewnętrznej ("cztery elementy"), o których mowa w art. 322 rozporządzenia (UE) nr 575/2013, sprawdzając co najmniej, czy:

a)
instytucja dysponuje dokumentacją wewnętrzną zawierającą szczegółowy opis metod gromadzenia, łączenia lub ważenia czterech elementów, w tym opis procesu modelowania przedstawiający korzystanie z czterech elementów i ich konfigurację oraz uzasadnienie decyzji o wyborze danych trybów modelowania;
b)
instytucja w pełni rozumie wpływ, jaki każdy z czterech elementów wywiera na wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru;
c)
konfiguracja czterech elementów stosowana przez instytucję opiera się na wiarygodnej metodzie statystycznej wystarczającej, by oszacować górne percentyle;
d)
podczas gromadzenia, generowania i przetwarzania czterech elementów instytucja stosuje co najmniej poniższe kryteria:
(i)
kryteria, o których mowa w art. 21-24, związane z danymi wewnętrznymi;
(ii)
kryteria, o których mowa w art. 25, związane z danymi zewnętrznymi;
(iii)
kryteria, o których mowa w art. 26, związane z analizą scenariuszy;
(iv)
kryteria, o których mowa w art. 27, związane z czynnikami otoczenia biznesowego i kontroli wewnętrznej.

PODSEKCJA  1

Dane wewnętrzne

Artykuł  21

Cechy danych wewnętrznych

Właściwe organy oceniają przestrzeganie przez instytucję standardów dotyczących cech danych wewnętrznych zgodnie z art. 20 lit. d) ppkt (i), sprawdzając co najmniej, czy:

a)
instytucja w przejrzysty i spójny sposób gromadzi wszystkie z poniższych elementów w obrębie grupy:
(i)
strata brutto wynikła z wystąpienia zdarzenia ryzyka operacyjnego;
(ii)
odzyskane środki;
b)
po zdarzeniu ryzyka operacyjnego instytucja jest w stanie określić osobno kwotę straty brutto, środki odzyskane z ubezpieczenia i innych mechanizmów transferu ryzyka i środki odzyskane ze źródeł innych niż ubezpieczenie i inne mechanizmy transferu ryzyka, z wyłączeniem strat odzyskanych częściowo lub w całości w ciągu pięciu dni roboczych;
c)
instytucja stosuje system służący do definiowania i uzasadniania stosownych progów gromadzenia danych w oparciu o kwotę straty brutto;
d)
kategoria ryzyka operacyjnego została ustanowiona w sposób rozsądny i nie prowadzi do pomijania danych o stracie, które są istotne dla skutecznego pomiaru ryzyka operacyjnego i zarządzania ryzykiem;
e)
instytucja jest w stanie dla każdej poszczególnej straty określić i zarejestrować w wewnętrznej bazie danych co najmniej poniższe elementy:
(i)
data wystąpienia lub początkowy moment wystąpienia zdarzenia ryzyka operacyjnego, jeżeli są one dostępne;
(ii)
data wykrycia zdarzenia ryzyka operacyjnego;
(iii)
data ujęcia.
Artykuł  22

Zakres straty wynikłej z ryzyka operacyjnego

1. 
Właściwe organy potwierdzają, czy instytucja identyfikuje, gromadzi i przetwarza pozycje strat wynikłych ze zdarzenia ryzyka operacyjnego zgodnie z art. 20 lit. d) ppkt (i); w tym celu właściwe organy sprawdzają, czy instytucja uwzględnia co najmniej poniższe pozycje w zakresie straty wynikłej z ryzyka operacyjnego na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru:
a)
odpisy bezpośrednie, w tym z tytułu utraty wartości i rozliczeń, ujmowane w ciężar rachunku zysków i strat, i odpisy aktualizujące wartość wynikłe ze zdarzenia ryzyka operacyjnego;
b)
koszty poniesione wskutek zdarzenia ryzyka operacyjnego, w tym poniższe:
(i)
koszty zewnętrzne bezpośrednio związane ze zdarzeniem ryzyka operacyjnego, w tym koszty obsługi prawnej i wynagrodzenia doradców, pełnomocników lub dostawców;
(ii)
koszty naprawy lub zastąpienia niezbędne, by przywrócić stan pozycji sprzed zdarzenia ryzyka operacyjnego, przedstawione w formie dokładnych danych liczbowych lub, jeśli dane takie nie są dostępne, w postaci danych szacunkowych;
c)
rezerwy ujęte w rachunku zysków i strat na prawdopodobne straty wynikłe z ryzyka operacyjnego, w tym z uchybień;
d)
straty oczekujące, w postaci strat wynikłych ze zdarzenia ryzyka operacyjnego, które tymczasowo księguje się na kontach tymczasowych lub przejściowych i które nie są ujęte w rachunku zysków i strat, a które mają zostać w nim ujęte dla okresu odpowiadającego kwocie i wiekowi pozycji oczekującej;
e)
istotne niepobrane przychody wynikające ze zobowiązań umownych wobec osób trzecich, w tym decyzje o wypłaceniu klientowi rekompensaty z tytułu zdarzenia ryzyka operacyjnego raczej w drodze korekty przychodów poprzez odstąpienie od pobrania opłat umownych lub obniżenie ich wysokości w określonym przyszłym okresie niż w drodze przyznania zwrotu lub dokonania płatności bezpośredniej;
f)
straty czasowe, jeśli obejmują okres dłuższy niż jeden rok obrachunkowy i są źródłem ryzyka prawnego.
2. 
Do celów ust. 1 właściwe organy mogą, w odpowiednim zakresie, ustalić, czy instytucja na potrzeby zarządzania ryzykiem operacyjnym określa, gromadzi i przetwarza wszelkie dodatkowe pozycje, które wynikają z wystąpienia istotnego zdarzenia ryzyka operacyjnego, w tym poniższe:
a)
zdarzenie potencjalnie powodujące stratę w postaci zerowej straty wynikłej ze zdarzenia ryzyka operacyjnego, w tym zakłócenia w pracy systemów informatycznych w dziale operacji dealerskich tuż przed rozpoczęciem lub tuż po zakończeniu godzin handlu;
b)
zysk osiągnięty dzięki zdarzeniu ryzyka operacyjnego;
c)
koszty ukryte w postaci wyższych kosztów lub niższych przychodów wynikających ze zdarzeń ryzyka operacyjnego, które uniemożliwiają przyszłe wykorzystanie niezaistniałych jeszcze możliwości, w tym nieuwzględnione w budżecie koszty personelu, utracone przychody i koszty projektów związane z poprawą procesów;
d)
koszty wewnętrzne, w tym wynagrodzenie za pracę w godzinach nadliczbowych lub premie.
3. 
Do celów ust. 1 właściwe organy potwierdzają także, czy instytucja wyłącza poniższe pozycje z zakresu straty wynikłej z ryzyka operacyjnego:
a)
koszty wynikające z umów w sprawie ogólnej obsługi technicznej rzeczowych aktywów trwałych;
b)
wydatki wewnętrzne lub zewnętrzne na rzecz poprawy funkcjonowania działalności po wystąpieniu zdarzenia ryzyka operacyjnego, w tym aktualizacje, usprawnienia, udoskonalenia procesu oceny ryzyka i inicjatywy na rzecz oceny ryzyka;
c)
składki ubezpieczeniowe.
Artykuł  23

Odnotowana kwota straty dla pozycji ryzyka operacyjnego

1. 
Właściwe organy potwierdzają, czy instytucja wykazuje kwoty strat wynikłych ze zdarzeń ryzyka operacyjnego zgodnie z art. 20 lit. d) ppkt (i); w tym celu właściwe organy sprawdzają co najmniej, czy:
a)
cała kwota poniesionej straty lub poniesionych kosztów, w tym rezerw, kosztów ugody, kwot wypłaconych w celu naprawienia szkody, kar, zaległych odsetek i kosztów obsługi prawnej, jest traktowana - o ile nie określono inaczej - jako odnotowana kwota straty na potrzeby zarówno zarządzania ryzykiem operacyjnym, jak i obliczania wartości wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;
b)
jeśli zdarzenie ryzyka operacyjnego jest związane z ryzykiem rynkowym, instytucja uwzględnia koszty zamknięcia pozycji rynkowej w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego, natomiast jeśli pozycja celowo nie jest zamykana po wykryciu zdarzenia ryzyka operacyjnego - czy żadna część straty wynikłej z niekorzystnych warunków rynkowych, powstałej po podjęciu decyzji o niezamykaniu pozycji, nie jest ujmowana w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego;
c)
jeśli płatności z tytułu podatków są związane z błędami lub nieodpowiednimi procesami w instytucji, instytucja włącza do odnotowanej kwoty straty dla pozycji ryzyka operacyjnego wydatki poniesione wskutek zdarzenia ryzyka operacyjnego, w tym kary, zobowiązania z tytułu odsetek, odsetki karne za zwłokę i koszty obsługi prawnej, z wyłączeniem pierwotnej kwoty należnego podatku;
d)
jeśli występują straty czasowe, a zdarzenie ryzyka operacyjnego ma bezpośredni negatywny wpływ na osoby trzecie, w tym klientów, usługodawców i pracowników instytucji, instytucja ujmuje w odnotowanej kwocie straty dla pozycji ryzyka operacyjnego także korektę sprawozdania finansowego.
2. 
Do celów ust. 1, jeśli zdarzenie ryzyka operacyjnego skutkuje zdarzeniem straty, która zostaje częściowo szybko odzyskana, właściwe organy uznają za stosowne włączenie, w imieniu instytucji, do odnotowanej kwoty straty tylko tej części straty, która nie została szybko odzyskana zgodnie z art. 21 lit. b).
Artykuł  24

Straty wynikłe z ryzyka operacyjnego związane z ryzykiem kredytowym

1. 
Właściwe organy potwierdzają, czy instytucja określa, gromadzi i przetwarza pozycje straty wynikłej ze zdarzenia ryzyka operacyjnego związanej z ryzykiem kredytowym zgodnie z art. 20 lit. d) ppkt (i) w tym celu właściwe organy sprawdzają, czy instytucja - na potrzeby zarządzania ryzykiem operacyjnym - uwzględnia w zakresie straty wynikłej z ryzyka operacyjnego co najmniej poniższe elementy:
a)
nadużycia finansowe, których we własnym imieniu dopuścił się klient instytucji, w związku z produktami lub procesami kredytowymi na wczesnym etapie relacji kredytowej, w tym dopuszczenie się oszustwa kredytowego polegającego na wyłudzeniu decyzji o udzieleniu kredytu na podstawie sfałszowanych dokumentów lub niezgodnych z prawdą sprawozdań finansowych, np. brak zabezpieczenia lub przeszacowane zabezpieczenie lub sfałszowane zaświadczenie o zarobkach;
b)
nadużycia finansowe popełnione z wykorzystaniem tożsamości innej, nieświadomej osoby, w tym składanie wniosków kredytowych drogą elektroniczną w celu popełnienia oszustwa związanego z bezprawnym wykorzystaniem tożsamości w drodze wykorzystania danych klientów, fikcyjnych tożsamości lub bezprawnego wykorzystania kart kredytowych klientów.
2. 
Do celów ust. 1 właściwe organy potwierdzają, czy instytucja podejmuje co najmniej poniższe działania:
a)
dostosowuje próg gromadzenia danych odnoszący się do zdarzeń straty opisanych w ust. 1, w stosownych przypadkach, do porównywalnych poziomów, takich jak progi innych kategorii ryzyka operacyjnego obowiązujące w ramach stosowania metod zaawansowanego pomiaru;
b)
w stracie brutto wynikłej ze zdarzeń, o których mowa w ust. 1, ujmowana jest łączna kwota nieuregulowanych należności w chwili wykrycia nadużycia finansowego lub po wykryciu nadużycia finansowego oraz wszelkie powiązane wydatki, w tym zaległe odsetki i koszty obsługi prawnej.
Artykuł  25

Dane zewnętrzne

Właściwe organy oceniają przestrzeganie przez instytucję standardów dotyczących cech danych zewnętrznych zgodnie z art. 20 lit. d) ppkt (ii), sprawdzając co najmniej, czy:

a)
jeśli instytucja uczestniczy w inicjatywach konsorcyjnych mających na celu gromadzenie danych dotyczących zdarzeń ryzyka operacyjnego i wynikłych z nich strat, instytucja jest w stanie przedstawić dane tej samej jakości - pod względem zakresu, integralności i kompleksowości - co dane wewnętrzne spełniające standardy, o których mowa w art. 21, 22, 23 i 24, oraz konsekwentnie gromadzi i przetwarza rodzaje danych wymaganych zgodnie ze standardami sprawozdawczości obowiązującymi w konsorcjum;
b)
instytucja wprowadziła proces filtrowania danych, który umożliwia wybór istotnych danych zewnętrznych w oparciu o przyjęte, konkretne kryteria, a wykorzystywane dane zewnętrzne są istotne i spójne z profilem ryzyka instytucji;
c)
w celu uniknięcia błędów systematycznych w oszacowanych parametrach, proces filtrowania pozwala dokonać spójnej selekcji danych niezależnie od kwoty straty, a jeśli instytucja dopuszcza wyjątki od tego procesu selekcji - czy obowiązuje w niej polityka, w której określono kryteria uznania wyjątku, oraz posiada ona dokumentację uzasadniającą uznanie wyjątków;
d)
jeśli instytucja przyjęła proces skalowania danych obejmujący korekty kwot strat odnotowanych w danych zewnętrznych lub powiązanych rozkładów w celu dopasowania danych do działalności gospodarczej, charakteru i profilu ryzyka instytucji, rzeczony proces skalowania jest systematyczny i poparty danymi statystycznymi oraz generuje dane wyjściowe, które są spójne z profilem ryzyka instytucji;
e)
stosowany przez instytucję proces skalowania generuje spójne dane wraz z upływem czasu, a jego wiarygodność i skuteczność są poddawane regularnym przeglądom.
Artykuł  26

Analiza scenariuszy

1. 
Właściwe organy oceniają przestrzeganie przez instytucję standardów dotyczących analizy scenariuszy zgodnie z art. 20 lit. d) ppkt (iii), sprawdzając co najmniej, czy:
a)
w instytucji obowiązują sprawne ramy zarządzania obejmujące proces tworzenia scenariuszy, którego wynikiem są wiarygodne i rzetelne dane szacunkowe, niezależnie od tego, czy scenariusz jest stosowany do oceny zdarzeń o poważnych skutkach czy ogólnej ekspozycji na ryzyko operacyjne;
b)
proces tworzenia scenariuszy jest jasno określony, dobrze udokumentowany, powtarzalny i zaprojektowany tak, aby możliwie jak najbardziej ograniczać potencjalną subiektywność i błędy systematyczne, w tym:
(i)
niedoszacowania ryzyka wskutek małej liczby zaobserwowanych zdarzeń;
(ii)
błędne przedstawienie informacji wskutek sprzeczności interesów osób oceniających scenariusze z celami i następstwami oceny;
(iii)
przeszacowania zdarzeń, których niedawno doświadczyły osoby oceniające scenariusze;
(iv)
zniekształcenia oceny z powodu błędnej kategoryzacji odpowiedzi;
(v)
błędów systematycznych w informacjach przedstawionych w materiałach uzupełniających do pytań użytych w badaniu lub w samych pytaniach;
c)
o spójność procesu dbają wykwalifikowani i doświadczeni koordynatorzy;
d)
założenia procesu tworzenia scenariuszy są oparte, w takim stopniu, w jakim jest to możliwe, na istotnych danych wewnętrznych i zewnętrznych, i ukierunkowane na zapewnienie obiektywnego i wolnego od błędów systematycznych procesu tworzenia scenariuszy;
e)
wybrana liczba scenariuszy, poziom, na którym scenariusze są analizowane, oraz jednostki, w których scenariusze są analizowane, są realistyczne i prawidłowo uzasadnione, a dane szacunkowe scenariuszy uwzględniają istotne zmiany w otoczeniu wewnętrznym i zewnętrznym, które mogą mieć wpływ na ekspozycję instytucji na ryzyko operacyjne;
f)
dane szacunkowe scenariuszy wygenerowano z uwzględnieniem potencjalnych lub prawdopodobnych zdarzeń ryzyka operacyjnego, które jeszcze nie zmaterializowały się w całości lub w części jako strata wynikła z ryzyka operacyjnego;
g)
proces tworzenia scenariuszy i dane szacunkowe podlegają rzetelnemu, niezależnemu procesowi weryfikacji i nadzorowi.
Artykuł  27

Czynniki otoczenia biznesowego i kontroli wewnętrznej

Właściwe organy oceniają przestrzeganie przez instytucję standardów dotyczących czynników otoczenia gospodarczego oraz kontroli wewnętrznej zgodnie z art. 20 lit. d) ppkt (iv), sprawdzając co najmniej, czy:

a)
czynniki otoczenia gospodarczego oraz kontroli wewnętrznej instytucji są prospektywne i odzwierciedlają potencjalne źródła ryzyka operacyjnego, w tym szybki wzrost, wprowadzanie nowych produktów, rotację pracowników i przestoje systemu;
b)
w instytucji obowiązują jasne wytyczne dotyczące polityki, które ograniczają wielkość obniżek wartości wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru w wyniku korekt czynników otoczenia gospodarczego oraz kontroli wewnętrznej;
c)
korekty czynników otoczenia gospodarczego oraz kontroli wewnętrznej, o których mowa w lit. b), są zasadne, a stosowność skali tych korekt zostaje potwierdzona przez prowadzone na przestrzeni czasu porównanie z kierunkiem i wielkością danych dotyczących rzeczywistych strat wewnętrznych, warunkami otoczenia biznesowego i zmianami w potwierdzonej skuteczności środków kontroli.

SEKCJA  2

Główne założenia modelowania systemu pomiaru ryzyka operacyjnego

Artykuł  28

Ocena ogólna

Właściwe organy oceniają standardy instytucji dotyczące głównych założeń modelowania systemu pomiaru ryzyka operacyjnego, o których mowa w art. 322 ust. 2 lit. a) i c) rozporządzenia (UE) nr 575/2013, sprawdzając co najmniej, czy:

a)
instytucja opracowuje, wdraża i utrzymuje uzasadniony metodycznie system pomiaru ryzyka operacyjnego, który skutecznie ujmuje rzeczywiste i potencjalne ryzyko operacyjne w instytucji i pozwala na wiarygodne i prawidłowe obliczanie wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;
b)
w instytucji obowiązują stosowne polityki dotyczące tworzenia zbioru danych obliczeniowych, zgodnie z art. 29;
c)
instytucja zapewnia odpowiedni stopień szczegółowości swojego modelu, zgodnie z art. 30;
d)
w instytucji stosowany jest odpowiedni proces określania rozkładu strat, zgodnie z art. 31;
e)
instytucja w stosowny sposób określa łączny rozkład strat i miary ryzyka, zgodnie z art. 32.
Artykuł  29

Tworzenie zbioru danych obliczeniowych

W celu oceny, czy w instytucji obowiązują stosowne polityki dotyczące tworzenia zbioru danych obliczeniowych, o których mowa w art. 28 lit. b), właściwe organy potwierdzają co najmniej, czy:

a)
instytucja zdefiniowała konkretne kryteria i przykłady klasyfikacji i przetwarzania danych dotyczących zdarzeń ryzyka operacyjnego i wynikłych z nich strat w obrębie zbioru danych obliczeniowych, a kryteria i przykłady te zapewniają spójne przetwarzanie danych dotyczących strat w całej instytucji;
b)
instytucja nie wprowadza do zbioru danych obliczeniowych strat pomniejszonych o kwoty odzyskane z ubezpieczenia i z innych mechanizmów transferu ryzyka;
c)
dla kategorii zdarzeń ryzyka operacyjnego o niskiej częstotliwości instytucja przyjęła okres obserwacji dłuższy niż minimalny okres, o którym mowa w art. 322 ust. 3 lit. a) rozporządzenia (UE) nr 575/2013;
d)
instytucja, w trakcie tworzenia zbioru danych obliczeniowych na potrzeby oszacowania rozkładów częstotliwości i dotkliwości, uwzględnia wyłącznie datę wykrycia lub datę ujęcia, a do celów uwzględniania strat lub rezerw związanych z ryzykiem prawnym w zbiorze danych obliczeniowych stosuje datę przypadającą najpóźniej w dniu ujęcia;
e)
wybrany przez instytucję minimalny próg modelowania nie ma niekorzystnego wpływu na dokładność miar ryzyka operacyjnego oraz czy stosowanie minimalnych progów modelowania znacznie wyższych niż progi gromadzenia danych jest ograniczone, a jeżeli tego rodzaju progi są stosowane - czy ich stosowanie prawidłowo uzasadnia przeprowadzona przez instytucję analiza wrażliwości różnych progów;
f)
instytucja uwzględnia w zbiorze danych obliczeniowych wszystkie straty wynikłe z ryzyka operacyjnego przekraczające przyjęty minimalny próg modelowania i niezależnie od ich poziomu wykorzystuje te dane do obliczania wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;
g)
instytucja stosuje odpowiednie współczynniki korygujące dane w przypadku istotnego wpływu inflacji lub deflacji;
h)
instytucja grupuje straty wynikłe ze zdarzenia będącego pierwotną przyczyną straty, które występuje w formie powszechnego zdarzenia ryzyka operacyjnego lub więcej niż jednego zdarzenia związanego z pierwotnym zdarzeniem ryzyka operacyjnego wywołującym kolejne zdarzenia i straty, i wprowadza je do zbioru danych obliczeniowych jako jedną stratę;
i)
wszelkie możliwe wyjątki od zasad przetwarzania danych określone w lit. h) są właściwie udokumentowane i uzasadnione i nie przyczyniają się do nienależytego obniżenia wymogów w zakresie funduszy własnych obliczonych z wykorzystaniem metod zaawansowanego pomiaru;
j)
instytucja nie usuwa ze zbioru danych obliczeniowych stanowiących podstawę obliczeń według metod zaawansowanego pomiaru istotnych korekt strat wynikłych z jednego zdarzenia ryzyka operacyjnego lub powiązanych zdarzeń, jeżeli data odniesienia tych korekt przypada w okresie obserwacji, a data odniesienia pierwotnego, pojedynczego zdarzenia lub zdarzenia będącego pierwotną przyczyną straty, o których mowa w lit. h), przypada poza tym okresem;
k)
dla każdego roku referencyjnego objętego okresem obserwacji instytucja jest w stanie rozróżnić kwoty strat przynależne do zdarzeń wykrytych lub zaksięgowanych w danym roku od kwot strat przynależnych do korekt lub grup zdarzeń wykrytych lub zaksięgowanych w poprzednich latach.
Artykuł  30

Stopień szczegółowości

W celu oceny, czy instytucja zapewnia odpowiedni stopień szczegółowości swojego modelu, o którym mowa w art. 28 lit. c), właściwe organy potwierdzają co najmniej, czy:

a)
podczas grupowania ryzyk o wspólnych czynnikach i definiowania kategorii ryzyka operacyjnego na potrzeby metody zaawansowanego pomiaru instytucja uwzględnia charakter, złożoność i specyfikę swojej działalności gospodarczej i ryzyka operacyjnego, na jakie jest narażona;
b)
instytucja uzasadnia wybór stopnia szczegółowości kategorii ryzyka operacyjnego na podstawie środków ilościowych i jakościowych oraz czy klasyfikuje kategorie ryzyka operacyjnego w oparciu o jednorodne, niezależne i stacjonarne dane;
c)
instytucja dokonała realistycznego wyboru stopnia szczegółowości kategorii ryzyka operacyjnego i wybór ten nie ma niekorzystnego wpływu na założenia ostrożnościowe leżące u podstaw wyników modelu lub jego części składowych;
d)
instytucja regularnie dokonuje przeglądów wybranego stopnia szczegółowości kategorii ryzyka operacyjnego w celu zapewnienia jego ciągłej adekwatności.
Artykuł  31

Określanie rozkładów strat

W celu oceny, czy w instytucji obowiązuje stosowny proces określania rozkładu częstotliwości i dotkliwości strat, o których mowa w art. 28 lit. d), właściwe organy potwierdzają co najmniej, czy:

a)
w instytucji stosowany jest jasno określony, udokumentowany i identyfikowalny proces wyboru, aktualizacji i przeglądu rozkładów strat i szacowania ich parametrów;
b)
proces wyboru rozkładów strat prowadzi do dokonywania przez instytucję spójnych i jasnych wyborów, pozwala prawidłowo ujmować profil ryzyka w ogonie i obejmuje co najmniej poniższe elementy:
(i)
proces stosowania narzędzi statystycznych, w tym wykresów, miar środka, odchylenia, asymetrii i leptokurtozy, ukierunkowany na zbadanie zbioru danych obliczeniowych dla każdej kategorii ryzyka operacyjnego w celu lepszego zrozumienia statystycznego profilu danych i dokonania wyboru najodpowiedniejszego rozkładu;
(ii)
stosowne techniki szacowania parametrów rozkładu;
(iii)
stosowne narzędzia diagnostyczne do oceny rozkładów danych, dając pierwszeństwo tym z nich, które są najbardziej wrażliwe na wartości występujące w ogonie;
c)
podczas dokonywania wyboru rozkładu straty instytucja starannie rozpatruje dodatnią skośność i leptokurtozę danych;
d)
w przypadku znacznego rozproszenia danych w ogonie, do szacowania regionu ogona zamiast krzywych empirycznych stosowane są rozkłady podwykładnicze, których ogony zanikają wolniej niż w przypadku stosowania rozkładów wykładniczych, chyba że zachodzą wyjątkowe przesłanki do zastosowania innych funkcji, które są każdorazowo prawidłowo rozpatrzone i w pełni uzasadnione, aby zapobiec nienależytemu obniżeniu wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru;
e)
jeśli osobne rozkłady strat stosowane są w przypadku korpusu i ogona, instytucja starannie rozpatruje wybór progu modelowania progu korpus-ogon;
f)
dla wybranego modelowania progu korpus-ogon zapewniane jest udokumentowane wsparcie statystyczne, w razie potrzeby uzupełnione o elementy jakościowe;
g)
podczas szacowania parametrów rozkładu instytucja odzwierciedla niekompletność zbioru danych obliczeniowych wynikającą z obecności minimalnych progów modelowania w danym modelu albo uzasadnia stosowanie niekompletnego zbioru danych tym, że nie ma to niekorzystnego wpływu na dokładność danych szacunkowych parametrów i wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru;
h)
w instytucji stosowane są metody ukierunkowane na zmniejszenie zmienności danych szacunkowych parametrów, przy czym instytucja zapewnia miary błędów wokół tych szacunkowych parametrów, w tym przedziały ufności i p-wartości;
i)
jeśli instytucja przyjmuje solidne estymatory w formie uogólnień estymatorów klasycznych o dobrych właściwościach statystycznych, w tym o wysokiej skuteczności i niskiej liczbie błędów systematycznych dla całego sąsiedztwa nieznanego bazowego rozkładu danych, jest w stanie wykazać, że ich stosowanie nie prowadzi do niedoszacowania ryzyka w ogonie rozkładu straty;
j)
instytucja ocenia zgodność danych z wybranym rozkładem za pomocą graficznych i ilościowych narzędzi diagnostycznych, które są bardziej czułe na ogon niż na korpus danych, zwłaszcza w przypadku danych, które są bardzo rozproszone w ogonie;
k)
w stosownych przypadkach, w tym jeśli narzędzia diagnostyczne nie wskazują jednoznacznie na najbardziej odpowiedni rozkład lub w celu ograniczenia wpływu rozmiaru próby i liczby szacowanych parametrów w teście zgodności, instytucja stosuje metody ewaluacji porównujące względne wyniki rozkładów strat, w tym wskaźnik wiarygodności, kryterium informacyjne Akaikego i bayesowskie kryterium informacyjne Schwarza;
l)
w ramach regularnego cyklu instytucja kontroluje założenia stanowiące podstawę wybranych rozkładów strat, a w przypadku unieważnienia założeń, w tym jeśli założenia generują wartości wykraczające poza ustalone zakresy, instytucja stosuje sprawdzone metody alternatywne i prawidłowo klasyfikuje wszelkie zmiany wprowadzone do założeń, zgodnie z rozporządzeniem delegowanym Komisji (UE) nr 529/2014 5 .
Artykuł  32

Określanie łącznych rozkładów strat i miar ryzyka

W celu ustalenia, czy instytucja w odpowiedni sposób określa łączne rozkłady strat i miary ryzyka, o których mowa w art. 28 lit. e), właściwe organy potwierdzają co najmniej, czy:

a)
opracowane w tym celu przez instytucję techniki zapewniają odpowiednie poziomy precyzji i stabilności miar ryzyka;
b)
miary ryzyka są uzupełniane informacjami o ich poziomie dokładności;
c)
niezależnie od technik łączenia rozkładów częstotliwości i dotkliwości strat, w tym symulacji Monte Carlo, metod związanych z transformacją Fouriera, wzorem Panjera i aproksymacją pojedynczej straty, instytucja przyjmuje kryteria ograniczające błędy liczbowe i związane z próbą oraz zapewnia miarę wielkości tych błędów;
d)
w przypadku stosowania symulacji Monte Carlo liczba iteracji jest spójna z kształtem rozkładów i docelowym poziomem ufności;
e)
jeśli rozkład ma ciężki ogon i został zmierzony przy wysokim poziomie ufności, liczba iteracji jest wystarczająco wysoka, by obniżyć zmienność doboru prób do akceptowalnego poziomu;
f)
jeśli stosowana jest transformacja Fouriera lub inne metody numeryczne, instytucja starannie rozpatruje kwestie stabilności algorytmu i propagacji błędów;
g)
miara ryzyka instytucji wygenerowana przez system pomiaru ryzyka operacyjnego jest zgodna z monotoniczną zasadą ryzyka, na co wskazuje generowanie wyższych wymogów w zakresie funduszy własnych w przypadku zwiększenia bazowego profilu ryzyka i generowanie niższych wymogów w zakresie funduszy własnych w przypadku zmniejszenia bazowego profilu ryzyka;
h)
miara ryzyka instytucji generowana przez system pomiaru ryzyka operacyjnego jest realistyczna z perspektywy zarządczej i ekonomicznej; co więcej, czy instytucja stosuje odpowiednie techniki w celu unikania narzucania górnego limitu maksymalnej pojedynczej straty (chyba że zapewnia ona jasne i obiektywne uzasadnienie istnienia górnej granicy) oraz w celu unikania sugerowania braku pierwszego momentu statystycznego w rozkładzie;
i)
instytucja wyraźnie ocenia prawidłowość wyników uzyskanych za pomocą systemu pomiaru ryzyka operacyjnego, dokonując odpowiedniej analizy wrażliwości danych wejściowych lub jego parametrów.

SEKCJA  3

Oczekiwana strata i korelacja

Artykuł  33

Oczekiwane straty

Właściwe organy oceniają stosowane przez instytucję standardy dotyczące oczekiwanych strat, o których mowa w art. 322 ust. 2 lit. a) rozporządzenia (UE) nr 575/2013, potwierdzając - w przypadku gdy instytucja oblicza wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru tylko w odniesieniu do nieoczekiwanych strat -czy instytucja spełnia co najmniej poniższe wymogi:

a)
stosowane przez instytucję metody szacowania oczekiwanych strat są spójne z systemem pomiaru ryzyka operacyjnego do celów szacunku wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, który obejmuje zarówno oczekiwane, jak i nieoczekiwane straty, a oczekiwana strata szacowana jest według kategorii ryzyka operacyjnego i w sposób spójny w czasie;
b)
instytucja definiuje oczekiwaną stratę za pomocą danych statystycznych, na które skrajne straty, w tym mediana i średnia ucinana, mają mniejszy wpływ, zwłaszcza w przypadku danych o średnim lub ciężkim ogonie;
c)
stosowana przez instytucję maksymalna kompensacja w odniesieniu do oczekiwanej straty jest ograniczona wysokością łącznej oczekiwanej straty, a maksymalna kompensacja w odniesieniu do oczekiwanej straty dla każdej kategorii ryzyka operacyjnego jest ograniczona wysokością odpowiedniej oczekiwanej straty obliczonej zgodnie z systemem pomiaru ryzyka operacyjnego instytucji mającym zastosowanie do danej kategorii;
d)
kompensacje w odniesieniu do oczekiwanej straty, które instytucja dopuszcza w każdej kategorii ryzyka operacyjnego, są substytutami kapitału lub są udostępniane w inny sposób, by pokryć oczekiwaną stratę i zapewnić wysoki poziom pewności w okresie jednego roku;
e)
jeśli kompensacja obejmuje pozycje inne niż rezerwy, instytucja ogranicza kompensację do transakcji, które są wysoce przewidywalne, stabilne i obarczone rutynową stratą;
f)
instytucja nie wykorzystuje specjalnych rezerw na potrzeby wyjątkowych zdarzeń ryzyka operacyjnego, które miały już miejsce i zostały zaklasyfikowane jako kompensacje oczekiwanych strat;
g)
instytucja w przejrzysty sposób dokumentuje sposób dokonywania pomiaru i ujmowania oczekiwanej straty, w tym zgodność wszelkich kompensacji oczekiwanej straty z warunkami określonymi w lit. a)-f).
Artykuł  34

Korelacja

Właściwe organy oceniają stosowane przez instytucję standardy dotyczące korelacji, o których mowa w art. 322 ust. 2 lit. d) rozporządzenia (UE) nr 575/2013, potwierdzając - w przypadku gdy instytucja oblicza wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru w drodze ujmowania niepełnej korelacji w poszczególnych oszacowaniach ryzyka operacyjnego - czy instytucja przestrzega co najmniej poniższych wymogów:

a)
instytucja starannie rozważa wszelkie formy zależności liniowej i nieliniowej w odniesieniu do wszystkich danych, zarówno w korpusie, jak i w ogonie, między co najmniej dwoma kategoriami ryzyka operacyjnego lub w obrębie jednej kategorii ryzyka operacyjnego;
b)
instytucja opiera swoje założenia korelacji w najszerszym możliwym zakresie na właściwej kombinacji analizy danych empirycznych i opinii ekspertów;
c)
straty w każdej kategorii ryzyka operacyjnego są od siebie niezależne;
d)
jeśli warunek, o którym mowa w lit. c), nie jest spełniony, straty zależne podlegają agregacji;
e)
zależność między kategoriami ryzyka operacyjnego jest odpowiednio modelowana wyłącznie wówczas, gdy żaden z warunków, o których mowa w lit. c) lub d), nie może zostać spełniony;
f)
instytucja starannie rozważa zależność między zdarzeniami w ogonie;
g)
instytucja nie opiera struktury zależności na rozkładach normalnych (Gaussa);
h)
ze względu na niepewność związaną z modelowaniem zależności w ryzyku operacyjnym wszystkie stosowane przez instytucję założenia dotyczące zależności są ostrożne, a poziom ostrożności stosowany przez instytucję rośnie wraz ze spadkiem rygoru założeń zależności i wiarygodności otrzymywanych wymogów w zakresie funduszy własnych;
i)
instytucja prawidłowo uzasadnia stosowane założenia zależności i regularnie przeprowadza analizy wrażliwości w celu oceny wpływu założeń dotyczących zależności na wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru.

SEKCJA  4

Mechanizm alokacji kapitału

Artykuł  35

Spójność systemu pomiaru ryzyka operacyjnego

Właściwe organy oceniają stosowane przez instytucję standardy dotyczące wewnętrznej spójności systemu pomiaru ryzyka operacyjnego, o których mowa w art. 322 ust. 2 lit. e) rozporządzenia (UE) nr 575/2013, potwierdzając co najmniej, czy:

a)
mechanizm alokacji kapitału instytucji jest spójny z profilem ryzyka instytucji i ogólną konstrukcją systemu pomiaru ryzyka operacyjnego;
b)
alokacja wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru uwzględnia potencjalne różnice wewnętrzne w ryzyku i jakości systemów zarządzania ryzykiem operacyjnym i mechanizmów kontroli wewnętrznej między jednostkami grupy, którym przypisywane są wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru;
c)
nie zachodzą żadne obserwowalne bieżące ani przewidywane przeszkody prawne ani praktyczne uniemożliwiające szybki transfer funduszy własnych czy szybką spłatę zobowiązań;
d)
alokacja wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru ze szczebla skonsolidowanego grupy do części grupy objętych systemem pomiaru ryzyka operacyjnego przebiega w oparciu o sprawdzone metody, które w jak największym zakresie uwzględniają ryzyko.

ROZDZIAŁ  4

UBEZPIECZENIE I INNE MECHANIZMY TRANSFERU RYZYKA

Artykuł  36

Zasady ogólne

Właściwe organy oceniają przestrzeganie przez instytucję wymogów dotyczących wpływu ubezpieczenia i innych mechanizmów transferu ryzyka w obrębie metody zaawansowanego pomiaru, o których mowa w art. 322 ust. 2 lit. e) i art. 323 rozporządzenia (UE) nr 575/2013, potwierdzając co najmniej, czy:

a)
ubezpieczyciel spełnia wymogi dotyczące zezwoleń, o których mowa w art. 323 ust. 2 rozporządzenia (UE) nr 575/2013, zgodnie z art. 37;
b)
ubezpieczenie jest zapewniane przez jednostkę będącą osobą trzecią, jak określono w art. 323 ust. 3 lit. e) rozporządzenia (UE) nr 575/2013, zgodnie z art. 38;
c)
instytucja unika wielokrotnego uwzględniania tych samych technik ograniczenia ryzyka, o czym mowa w art. 322 ust. 2 lit. e) rozporządzenia (UE) nr 575/2013, zgodnie z art. 39;
d)
obliczenia dotyczące ograniczenia ryzyka właściwie uwzględniają zakres ubezpieczenia, o czym mowa w art. 323 ust. 3 lit. d) rozporządzenia (UE) nr 575/2013, a zasady uznawania ubezpieczenia są należycie uzasadnione i udokumentowane, o czym mowa w art. 323 ust. 3 lit. f) odnośnego rozporządzenia, w tym:
(i)
zakres ubezpieczenia odnosi się do profilu ryzyka operacyjnego instytucji, zgodnie z art. 40;
(ii)
instytucja wykonuje zaawansowane obliczenia dotyczące ograniczenia ryzyka, zgodnie z art. 41;
(iii)
obliczenia dotyczące ograniczenia ryzyka są terminowo dopasowywane do profilu ryzyka operacyjnego instytucji, zgodnie z art. 42;
e)
metoda uznawania ubezpieczenia stosowana przez instytucję obejmuje wszystkie istotne elementy z zastosowaniem obniżek lub redukcji wysokości uznanego ubezpieczenia, o czym mowa w art. 323 ust. 3 lit. a) i b) oraz art. 323 ust. 4 rozporządzenia (UE) nr 575/2013, zgodnie z art. 43;
f)
instytucja wykazuje osiągnięcie efektu wyraźnego ograniczenia ryzyka po wprowadzeniu innych mechanizmów transferu ryzyka, o czym mowa w art. 323 ust. 1 zdanie drugie rozporządzenia (UE) nr 575/2013, zgodnie z art. 44.
Artykuł  37

Równoważność zezwoleń ubezpieczycieli

Do celów oceny wymogów dotyczących zezwoleń mających zastosowanie do ubezpieczyciela, o których to wymogach mowa w art. 36 lit. a), właściwe organy ustalają, czy przedsiębiorstwo, które uzyskało zezwolenie w państwie trzecim, spełnia wymogi ostrożnościowe równoważne z wymogami ostrożnościowymi stosowanymi w Unii, w tym wymogi, o których mowa w art. 323 rozporządzenia (UE) nr 575/2013.

Artykuł  38

Świadczenie usług ubezpieczeniowych przez osobę trzecią

1. 
Do celów oceny, czy ubezpieczenie na potrzeby wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru dostarcza podmiot będący osobą trzecią, o czym mowa w art. 36 lit. b), właściwe organy ustalają, na podstawie kompleksowego obrazu sytuacji skonsolidowanej instytucji, o której mowa w art. 4 ust. 1 pkt 47 rozporządzenia (UE) nr 575/2013, czy ani instytucja, ani inne podmioty objęte konsolidacją nie mają w podmiocie dostarczającym ubezpieczenie udziału kapitałowego ani znacznych pakietów akcji, o których mowa odpowiednio w art. 4 ust. 1 pkt 35 i 36 rozporządzenia (UE) nr 575/2013.
2. 
W przypadku gdy wymogi, o których mowa w ust. 1, są częściowo spełnione, za ubezpieczenie dostarczone przez osobę trzecią uznaje się wyłącznie tę część dostarczonego ubezpieczenia, w przypadku której ostateczna odpowiedzialność spoczywa na kwalifikującym się podmiocie będącym stroną trzecią ze względu na fakt, że ryzyko jest skutecznie przenoszone poza podmioty skonsolidowane.
Artykuł  39

Wielokrotne uwzględnianie technik ograniczenia ryzyka

Do celów oceny, czy w ubezpieczeniu na potrzeby wymogów w zakresie funduszy własnych obliczanych za pomocą metod zaawansowanego pomiaru wyeliminowano wielokrotne uwzględnianie technik ograniczenia ryzyka, o czym mowa w art. 36 lit. c), właściwe organy potwierdzają, czy instytucja podjęła zasadne kroki ukierunkowane na zapewnienie, by ani instytucja, ani żaden podmiot objęty konsolidacją świadomie nie reasekurował umów obejmujących zdarzenia ryzyka operacyjnego stanowiące przedmiot pierwotnej umowy ubezpieczenia zawartej przez instytucję.

Artykuł  40

Proces mapowania ryzyka ubezpieczeniowego

1. 
Do celów oceny, czy zakres ubezpieczenia odnosi się do profilu ryzyka instytucji, o czym mowa w art. 36 lit. d) ppkt (i), właściwe organy potwierdzają, czy instytucja przeprowadziła dobrze udokumentowany i uzasadniony proces mapowania ryzyka ubezpieczeniowego, w ramach którego instytucja określa zakres ubezpieczenia spójny z prawdopodobieństwem i wpływem wszystkich strat wynikłych z ryzyka operacyjnego, na które może być potencjalnie narażona.
2. 
Do celów ust. 1 właściwe organy potwierdzają, czy instytucja spełnia co najmniej poniższe wymogi:
a)
instytucja szacuje prawdopodobieństwo odzyskania środków z tytułu ubezpieczenia i sporządza możliwy harmonogram wpłat od ubezpieczycieli, w tym prawdopodobieństwo wszczęcia postępowania w sprawie dochodzenia roszczeń, czas trwania takiego postępowania i bieżące warunki i stawki stosowane w rozstrzygnięciach sporów sądowych, w oparciu o doświadczenie zespołu ds. zarządzania ryzykiem instytucji i, jeśli to konieczne, w oparciu o właściwe opinie ekspertów zewnętrznych, w tym radców prawnych, brokerów i firm ubezpieczeniowych;
b)
instytucja korzysta z danych szacunkowych wynikających z lit. a) w celu dokonania oceny skuteczności ubezpieczenia w przypadku straty wynikłej z ryzyka operacyjnego i opracowuje ten proces w celu oceny skuteczności ochrony ubezpieczeniowej w odniesieniu do wszystkich istotnych danych dotyczących strat i scenariuszy wprowadzanych do systemu pomiaru ryzyka operacyjnego;
c)
instytucja przypisuje polisy ubezpieczeniowe w oparciu o wyniki ich oceny wynikające z lit. b) do własnego ryzyka operacyjnego instytucji na najwyższym możliwym poziomie szczegółowości, z wykorzystaniem wszelkich dostępnych źródeł informacji, w tym danych wewnętrznych, danych zewnętrznych i danych szacunkowych wynikających ze scenariuszy;
d)
instytucja wykorzystuje stosowną wiedzę fachową i przeprowadza powyższe mapowanie w sposób przejrzysty i spójny;
e)
instytucja przypisuje odpowiednie wagi do przeszłych i oczekiwanych wyników ubezpieczenia w ramach oceny komponentów polisy ubezpieczenia;
f)
instytucja uzyskuje formalne zatwierdzenie od właściwego organu lub komitetu ds. ryzyka;
g)
instytucja okresowo ponownie bada proces mapowania ubezpieczenia.
Artykuł  41

Stosowanie zaawansowanych obliczeń dotyczących ograniczenia ryzyka

Do celów oceny, czy instytucja stosuje zaawansowane obliczenia dotyczące ograniczenia ryzyka, o których mowa w art. 36 lit. d) ppkt (ii), właściwe organy potwierdzają, czy podejście modelowe stosowane w celu włączania ochrony ubezpieczeniowej do metod zaawansowanego pomiaru spełnia co najmniej poniższe warunki:

a)
jest spójne z systemem pomiaru ryzyka operacyjnego przyjętym do kwantyfikacji strat przed uwzględnieniem ewentualnych środków odzyskanych z ubezpieczenia;
b)
jego powiązania z rzeczywistym prawdopodobieństwem i wpływem strat, które instytucja wykorzystuje do ogólnego obliczania wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, są przejrzyste, a podejście to jest spójne z tymi powiązaniami.
Artykuł  42

Dopasowanie obliczeń dotyczących ograniczenia ryzyka do profilu ryzyka operacyjnego

Do celów oceny, czy obliczenia dotyczące ograniczenia ryzyka są terminowo dopasowywane do profilu ryzyka operacyjnego instytucji, o czym mowa w art. 36 lit. d) ppkt (iii), właściwe organy potwierdzają co najmniej, czy:

a)
instytucja dokonała, stosownie do przypadku, przeglądu stosowania ubezpieczenia i ponownie obliczyła wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru, w przypadku istotnej zmiany charakteru ubezpieczenia lub istotnej zmiany w profilu ryzyka operacyjnego instytucji;
b)
w przypadku poniesienia istotnych strat mających wpływ na zakres ubezpieczenia instytucja oblicza ponownie wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru z uwzględnieniem dodatkowego marginesu ostrożności;
c)
w przypadku nieoczekiwanego zakończenia ochrony ubezpieczeniowej lub ograniczenia zakresu ubezpieczenia instytucja jest przygotowana do niezwłocznego zastąpienia polisy ubezpieczeniowej polisą o równoważnych lub bardziej korzystnych warunkach i zakresie lub zwiększenia wymogów w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru do poziomu nieuwzględniającego ewentualnych środków odzyskanych z ubezpieczenia;
d)
instytucja oblicza kapitał przed uwzględnieniem i z uwzględnieniem ewentualnych środków odzyskanych z ubezpieczenia przy założeniu takiego stopnia szczegółowości, że wpływ każdej erozji dostępnej kwoty ubezpieczenia, w tym pokrycia istotnej straty lub zmiany zakresu ubezpieczenia, na wymogi w zakresie funduszy własnych obliczanych za pomocą metod zaawansowanego pomiaru może zostać niezwłocznie wykryty.
Artykuł  43

Ujmowanie wszelkich istotnych elementów

1. 
Do celów oceny, czy metody uznawania ubezpieczenia stosowane przez instytucję uwzględniają wszystkie istotne elementy z zastosowaniem obniżek lub redukcji wysokości uznanego ubezpieczenia, o czym mowa w art. 36 lit. e), właściwe organy potwierdzają co najmniej, czy:
a)
instytucja bada różne czynniki składające się na ryzyko, że ubezpieczyciel nie dokona oczekiwanych płatności, i obniżające skuteczność transferu ryzyka, w tym zdolność ubezpieczyciela do dokonywania terminowych płatności i zdolność instytucji do terminowego określania, analizowania i zgłaszania roszczenia;
b)
instytucja ustala, w jaki sposób różne czynniki, o których mowa w lit. a), wpływały na ograniczanie ryzyka przez ubezpieczenie w profilu ryzyka operacyjnego w przeszłości i jaki wpływ mogą wywrzeć w przyszłości;
c)
instytucja zapewnia, by niepewności, o których mowa w lit. a), były odzwierciedlane w wymogach w zakresie funduszy własnych obliczanych według metod zaawansowanego pomiaru z zastosowaniem odpowiednio ostrożnych redukcji wartości;
d)
instytucja ostrożnie uwzględnia cechy polis ubezpieczeniowych, w tym to, czy polisy te obejmują wyłącznie straty, których instytucja dochodzi lub o których powiadamia ubezpieczyciela w okresie obowiązywania polisy, i czy w rezultacie straty wykryte po wygaśnięciu polisy nie są objęte ubezpieczeniem, czy też polisy te obejmują straty poniesione w okresie obowiązywania polisy, nawet jeżeli wykryto je i stosowne roszczenie zgłoszono po wygaśnięciu polisy, czy też straty są bezpośrednimi stratami pierwszej osoby lub stratami z tytułu odpowiedzialności cywilnej;
e)
instytucja rozpatruje i wyczerpująco dokumentuje dane dotyczące wypłat z ubezpieczenia według rodzaju straty w bazach danych strat, i odpowiednio ustala redukcje wartości;
f)
w instytucji obowiązują procedury określania i analizy strat oraz rozpatrywania roszczeń ukierunkowane na weryfikację rzeczywistej ochrony zapewnionej przez ubezpieczyciela lub możliwości otrzymania środków z tytułu roszczenia w rozsądnym terminie;
g)
instytucja wyraźnie kwantyfikuje i osobno modeluje redukcje wartości w odniesieniu do każdej zidentyfikowanej niepewności, a nie stosuje jednej redukcji wartości do obliczeń obejmujących wszystkie niepewności czy redukcji wartości obliczanej ex post;
h)
instytucja uwzględnia w najszerszym możliwym zakresie ryzyko braku zdolności ubezpieczyciela do wypłaty środków z tytułu roszczenia przez stosowanie właściwych redukcji wartości w metodzie modelowania ubezpieczenia;
i)
instytucja zapewnia ocenę ryzyka braku zdolności do wypłaty środków z tytułu roszczenia w przypadku niewykonania zobowiązania przez kontrahenta na podstawie jakości kredytowej zakładu ubezpieczeń, na którym zgodnie z daną umową ubezpieczeniową spoczywa odpowiedzialność, niezależnie od ewentualnego lepszego ratingu instytucji dominującej danego zakładu ubezpieczeń lub przeniesienia ryzyka na osobę trzecią;
j)
instytucja przyjmuje ostrożne założenia dotyczące przedłużenia polis ubezpieczeniowych w oparciu o warunki i zakres ochrony równoważne z warunkami i zakresem pierwotnych lub istniejących umów;
k)
w instytucji funkcjonują procesy zapewniające prawidłowe odzwierciedlenie w metodach zaawansowanego pomiaru potencjalnego wyczerpania limitów ubezpieczenia, ceny i możliwości przywrócenia ochrony, a także przypadków braku dopasowania zakresu wynikającego z umowy ubezpieczenia do profilu ryzyka operacyjnego instytucji.
2. 
Do celów ust. 1 właściwe organy mogą uznać, że nie jest konieczny wymóg stosowania przez instytucję redukcji wartości w okresie pozostałym do wygaśnięcia umowy ubezpieczenia lub w okresie wypowiedzenia, jeżeli ochrona ubezpieczeniowa zostanie przedłużona i zachowuje ciągłość oraz jeżeli spełniony jest co najmniej jednego z poniższych warunków:
a)
instytucja jest w stanie wykazać istnienie ciągłej ochrony na równoważnych lub bardziej korzystnych warunkach obejmującej co najmniej 365 dni;
b)
instytucja jest objęta polisą, której ubezpieczyciel nie może anulować na innej podstawie niż brak wpłaty składki, lub której okres wypowiedzenia wynosi ponad rok.
Artykuł  44

Inne mechanizmy transferu ryzyka

Do celów oceny, czy instytucja wykazała, że wprowadzenie innych mechanizmów transferu ryzyka, o których mowa w art. 36 lit. f), pozwala wyraźnie ograniczyć ryzyko, właściwe organy podejmują co najmniej poniższe czynności:

a)
potwierdzają, czy instytucja ma doświadczenie w stosowaniu instrumentów innych mechanizmów transferu ryzyka i zna ich cechy, w tym prawdopodobieństwo objęcia ubezpieczeniem i terminowość wypłat, przed włączaniem ich do systemu pomiaru ryzyka operacyjnego instytucji;
b)
odmawiają dopuszczenia innych mechanizmów transferu ryzyka do stosowania jako instrumentów ograniczania ryzyka na potrzeby wymogów w zakresie funduszy własnych według metod zaawansowanego pomiaru, w przypadku gdy te inne mechanizmy transferu ryzyka są utrzymywane lub stosowane do celów handlowych, a nie do celów zarządzania ryzykiem operacyjnym;
c)
weryfikują kwalifikowalność sprzedawcy ochrony, w tym to, czy jest on podmiotem regulowanym czy nieregulowanym, oraz charakter i cechy zapewnionej ochrony, ustalając, czy jest to ochrona rzeczywista, sekurytyzacja, mechanizm gwarancji czy instrument pochodny;
d)
potwierdzają, czy działań zlecanych na zewnątrz nie uznaje się za część innych mechanizmów transferu ryzyka;
e)
potwierdzają, czy każdorazowo przy obliczaniu kapitału instytucja oblicza wymogi w zakresie funduszy własnych za pomocą metod zaawansowanego pomiaru przed i po zastosowaniu innych mechanizmach transferu ryzyka na poziomie szczegółowości, który pozwala niezwłocznie wykryć wpływ każdej erozji kwoty dostępnej ochrony na poziom wymogów kapitałowych;
f)
potwierdzają, czy w przypadku poniesienia istotnych strat mających wpływ na ochronę zapewnianą przez inne mechanizmy transferu ryzyka lub zmian w umowach dotyczących innych mechanizmów transferu ryzyka, które to zmiany powodują znaczną niepewność co do zakresu zapewnianej ochrony, instytucja ponownie oblicza swoje wymogi w zakresie funduszy własnych według metod zaawansowanego pomiaru z uwzględnieniem dodatkowego marginesu ostrożności.

ROZDZIAŁ  5

PRZEPISY KOŃCOWE

Artykuł  45

Przepis przejściowy

W odniesieniu do oceny - o której mowa w art. 1 - metod zaawansowanego pomiaru na potrzeby instytucji, która w dniu wejścia w życie niniejszego rozporządzenia stosuje już metody zaawansowanego pomiaru do obliczania swoich wymogów w zakresie funduszy własnych z tytułu ryzyka operacyjnego, lub instytucji, która złożyła już wniosek o zezwolenie na stosowanie w tym celu metod zaawansowanego pomiaru, zastosowanie mają oba poniższe przepisy:

a)
niniejsze rozporządzenie stosuje się po upływie roku od dnia jego wejścia w życie.
b)
art. 34 lit. g) stosuje się po upływie dwóch lat od dnia wejścia w życie niniejszego rozporządzenia.
Artykuł  46

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 14 marca 2018 r.
W imieniu Komisji
Jean-Claude JUNCKER
Przewodniczący
1 Dz.U. L 176 z 27.6.2013, s. 1.
2 Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).
3 Rozporządzenie delegowane Komisji (UE) 2016/101 z dnia 26 października 2015 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 w odniesieniu do regulacyjnych standardów technicznych dotyczących ostrożnej wyceny zgodnie z art. 105 ust. 14 (Dz.U. L 21 z 28.1.2016, s. 54).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE (Dz.U. L 331 z 15.12.2010, s. 12).
5 Rozporządzenie delegowane Komisji (UE) nr 529/2014 z dnia 12 marca 2014 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 w odniesieniu do regulacyjnych standardów technicznych dotyczących oceny istotności rozszerzeń i zmian metody wewnętrznych ratingów oraz metody zaawansowanego pomiaru (Dz.U. L 148 z 20.5.2014, s. 36).

Zmiany w prawie

Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"
Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"

Prezydent Andrzej Duda powiedział w czwartek, że ubolewa, że w sprawie ustawy o Wigilii wolnej od pracy nie przeprowadzono wcześniej konsultacji z prawdziwego zdarzenia. Jak dodał, jego stosunek do ustawy "uległ niejakiemu zawieszeniu". Wyraził ubolewanie nad tym, że pomimo wprowadzenia wolnej Wigilii, trzy niedziele poprzedzające święto mają być dniami pracującymi. Ustawa czeka na podpis prezydenta.

kk/pap 12.12.2024
ZUS: Renta wdowia - wnioski od stycznia 2025 r.
ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2018.169.1
Rodzaj: Rozporządzenie
Tytuł: Rozporządzenie delegowane 2018/959 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 w odniesieniu do regulacyjnych standardów technicznych określających metodę oceny, w ramach której właściwe organy zezwalają instytucjom na stosowanie metod zaawansowanego pomiaru na potrzeby obliczania ryzyka operacyjnego
Data aktu: 14/03/2018
Data ogłoszenia: 06/07/2018
Data wejścia w życie: 26/07/2018