{ "pages": [ { "name": "Strategi og overordnede retningslinjer1", "elements": [ { "type": "matrixdropdown", "name": "Strategi_policyer", "title": "Strategi - policyer", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha et rammeverk som inkluderer en strategi for styring av operasjonell risiko og som dekker hele virksomheten, jf. finansforetaksloven § 13-5 (1) og Baselkomiteens prinsipp 2.", "Rammeverket bør i tillegg til strategi inkludere rammer og retningslinjer for styring av operasjonell risiko, system for kontroller, registrering, oppfølging og rapportering, og det bør videre hensynta foretakets forretningsmodell, virksomhetsområder og konkurranseforhold, samt risikokultur. ", "Rammeverket bør fastsettes av styret og revideres jevnlig av styret i lys av endrede rammebetingelser, makroøkonomiske utsikter, utviklingen innenfor strategiske satsningsområder, foretakets soliditet og økonomiske utvikling, jf. kapitalkravsforskriften § 47-1 og Baselkomiteens prinsipp 3." ] } ], "title": "Strategi og overordnede retningslinjer 1" }, { "name": "Strategi og overordnede retningslinjer2", "elements": [ { "type": "matrixdropdown", "name": "Strategi_innhold", "title": "Strategi - innhold", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere, jf. Baselkomiteens prinsipp 4. ", "Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet.", "Strategi og policy bør inneholde kvantifiserte rammer for eksponering på ulike områder og for ulike typer operasjonell risiko. ", "Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette. " ] } ], "title": "Strategi og overordnede retningslinjer 2" }, { "name": "Strategi og overordnede retningslinjer3", "elements": [ { "type": "matrixdropdown", "name": "Måltall_rammer", "title": "Måltall og rammer", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Styret bør gjennom den etablerte rammestrukturen sikre at foretaket har tilstrekkelig styring med den operasjonelle risikoen.", "Rammestrukturen bør være tilpasset aktivitets- og risikonivået i foretaket og dekke hele virksomheten." ] } ], "title": "Strategi og overordnede retningslinjer 3" }, { "name": "Strategi og overordnede retningslinjer4", "elements": [ { "type": "matrixdropdown", "name": "Strategi_og_overordnede_retingslinjer_Kilder_til_informasjon", "title": "Strategi og overordnede retingslinjer: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Strategi og/eller policy for operasjonell risiko, samt evt. overordnede retningslinjer/prinsipper.", "Dokumentasjon som viser måltall/rammestruktur for å styre foretakenes operasjonelle risiko." ] } ], "title": "Strategi og overordnede retningslinjer 4" }, { "name": "Organisering, ansvarsforhold, utkontraktering mv.1", "elements": [ { "type": "matrixdropdown", "name": "Organisering_og_ansvarsforhold", "title": "Organisering og ansvarsforhold", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Styret har det overordnede ansvaret og bør etablere en sterk risikostyringskultur i hele organisasjonen, jf. finansforetaksloven § 13-5 og underliggende forskrifter og Baselkomiteens prinsipp 1. \"Tonen fra toppen\" er avgjørende for risikostyringen i et foretak og arbeid med organisasjonskultur antas å gi positivt bidrag til operasjonell risikostyring. ", "Styret skal føre tilsyn med foretakets ledelse for å se til at policyer, prosesser og systemer for styring av operasjonell risiko er effektivt implementert på alle beslutningsnivåer i organisasjonen, jf. finansforetaksloven § 8-6 og Baselkomiteens prinsipp 3.", "Styret bør påse at det eksisterer en sunn organisasjonskultur. Organisasjonskulturen (verdier, holdninger, etikk, mv.) i et foretak kan innvirke på operasjonelle hendelser. En usunn organisasjonskultur kan øke sannsynligheten for operasjonelle tap og konsekvensene eventuelle hendelser kan få for foretaket. ", "Foretakets godtgjørelsesordning, som skal fastsettes av styret, skal bidra til god styring og kontroll med foretakets risiko, motvirke høy risikotaking og bidra til å unngå interessekonflikter, jf. § 1 i forskrift om godtgjørelse i finansinstitusjoner mv. Godtgjørelsesordninger som stimulerer til aggressiv oppførsel kan øke den operasjonelle risikoen i foretaket ved økt regelbrudd, kritikkverdig adferd og feil. ", "Foretakets øverste administrative ledelse er ansvarlig for å utvikle en klar, effektiv og robust styringsstruktur med definerte, transparente og konsistente ansvarslinjer som godkjennes av styret, jf. finansforetaksloven § 8-11. ", "Ledelsen er ansvarlig for å implementere og vedlikeholde policyer, prosesser og systemer for styring av operasjonell risiko i hele virksomheten i samsvar med styrets definerte risikotoleranse, jf. risikostyringsforskriften § 4 og Baselkomiteens prinsipp 5.", "Foretaket må sikre at det er tilstrekkelig uavhengighet og arbeidsdeling mellom enheter og personell med utøvende funksjoner og enheter og personell med ansvar for overvåking, rapportering og kontroll av operasjonell risiko. ", "Et finansforetak skal ha uavhengige kontrollfunksjoner med ansvar for internrevisjon, risikostyring og etterlevelse (compliance), jf. finansforetaksloven § 13-5 (2). ", "Risikokontrollfunksjonen, som også har et ansvar for styring og kontroll av operasjonell risiko, skal være uavhengig av operative funksjoner, rapportere enten direkte eller indirekte til daglig leder, kunne rapportere direkte til styret og ikke kunne avsettes uten samtykke fra styret, jf. kapitalkravsforskriften § 47-3. " ] } ], "title": "Organisering, ansvarsforhold, utkontraktering mv. 1" }, { "name": "Organisering, ansvarsforhold, utkontraktering mv.2", "elements": [ { "type": "matrixdropdown", "name": "Ressurser_og_kompetanse", "title": "Ressurser og kompetanse", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Styret og foretakets ledelse må sikre at foretaket har personale med tilstrekkelig kompetanse til å styre og kontrollere de aktuelle operasjonelle risikoene. ", "Antallet medarbeidere bør være tilpasset virksomhetens kompleksitet og omfang. Ressursene bør være tilstrekkelig til å dekke inn midlertidig fravær av nøkkelpersonell. ", "Styret bør definere nøkkelfunksjoner, jevnlig vurdere denne risikoen og iverksette risikoreduserende tiltak dersom risikoen blir for høy.", "Risikokontrollfunksjonens, compliance-funksjonens og internrevisjonens ressurser innenfor operasjonell risikostyring bør være tilpasset kompleksiteten og omfanget av virksomheten, og det er avgjørende at personell med kontrollansvar har tilstrekkelig kompetanse og autoritet. " ] } ], "title": "Organisering, ansvarsforhold, utkontraktering mv. 2" }, { "name": "Organisering, ansvarsforhold, utkontraktering mv.3", "elements": [ { "type": "matrixdropdown", "name": "Utkontraktering", "title": "Utkontraktering", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Ansvar kan ikke utkontrakteres, foretaket er ansvarlig for risikostyring og internkontroll også av evt. utkontrakterte deler av virksomheten, jf. finansforetaksloven § 13-4 (3), risikostyringsforskriften § 5 og IKT-forskriften § 12. ", "Styret bør fastsette interne retningslinjer for utkontraktering. Retningslinjene bør inkludere rutiner for melding til Finanstilsynet før inngåelse av avtaler om utkontraktering, jf. finanstilsynsloven § 4c. ", "Utkontraktering forutsetter en skriftlig avtale som sikrer innsyn, kontroll og revisjon av den utkontrakterte virksomheten, også for Finanstilsynet. ", "Avtaler om utkontraktering bør godkjennes av styret og sikre rimelig rett til oppsigelse av avtalen under betryggende forhold til alternativ løsning er etablert. Avtaler om utkontraktering av IKT-systemer som er av betydning for foretakets virksomhet (og endringer i slike) skal behandles av styret, jf. IKT-forskriften § 2. Beslutning om utkontraktering skal tas på grunnlag av en risikovurdering. Foretaket må selv ha kompetanse til å vurdere om oppdragstaker utfører oppdraget tilfredsstillende. Oppdragsgiver må fortløpende ha mulighet til å identifisere og kontrollere de risikoene som er knyttet til utkontraktering av oppgavene. " ] } ], "title": "Organisering, ansvarsforhold, utkontraktering mv. 3" }, { "name": "Organisering, ansvarsforhold, utkontraktering mv.4", "elements": [ { "type": "matrixdropdown", "name": "Organisering_ansvarsforhold_utkontraktering_med_videre_Kilder_til_informasjon", "title": "Organisering, ansvarsforhold, utkontraktering med videre: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Organisasjonskart som viser faktiske rapporteringslinjer og ansvarsområder for operasjonell risiko, risikostyring o.l., med angivelse av antall årsverk og navn på nøkkelfunksjoner.", "Stillingsinstrukser for nøkkelfunksjoner innen risikostyringsfunksjonen, compliance og internrevisjon.", "Retningslinjer og rammer for godtgjørelsesordninger.", "Interne retningslinjer/instruks for kontrollfunksjoner etc.", "Foretakets verdier og etiske retningslinjer.", "Interne retningslinjer for utkontraktering.\"" ] } ], "title": "Organisering, ansvarsforhold, utkontraktering mv. 4" }, { "name": "Måling inkludert tapshendelseskategorier1", "elements": [ { "type": "matrixdropdown", "name": "Måling_av_operasjonell_risiko", "title": "Måling av operasjonell risiko", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha system og interne retningslinjer for å identifisere og måle den operasjonelle risikoen i alle vesentlige produkter, aktiviteter, prosesser og systemer, jf. Baselkomiteens prinsipp 6. ", "Foretakenes taps- og hendelsesdatabase bør designes slik at den bevarer så mye informasjon som mulig og informasjonen bør systematiseres på en måte som muliggjør læring og økt kunnskap samt igangsetting av tiltak for å forhindre fremtidige uønskede hendelser. ", "Foretaket bør ha system og interne retningslinjer som sikrer at hendelser som medfører vesentlig reduksjon i funksjonalitet i IKT-systemer rapporteres til Finanstilsynet, jf. IKT-forskriften § 9 og rundskriv 15/2009. " ] } ], "title": "Måling inkludert tapshendelseskategorier 1" }, { "name": "Måling inkludert tapshendelseskategorier2", "elements": [ { "type": "matrixdropdown", "name": "Nye_produkter_aktiviteter_prosesser_og_systemer", "title": "Nye produkter, aktiviteter, prosesser og systemer", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretakets ledelse må sørge for at foretaket har en godkjenningsprosess som inkluderer interne retningslinjer for nye produkter, aktiviteter, prosesser og systemer, jf. Baselkomiteens prinsipp 7.", "Nye produkter, aktiviteter, prosesser og systemer av vesentlig betydning og/eller avvikende risikoprofil bør godkjennes av styret og/eller relevante organ på øverste ledelsesnivå.", "Foretaket skal ved endring eller etablering av produkter og rutiner av vesentlig betydning gjøre en risikovurdering før virksomheten igangsettes, jf. risikostyringsforskriften § 6, en risikovurdering som må inkludere operasjonelle risikofaktorer. ", "Risikovurderingen bør klargjøre risikoreduserende tiltak, både tiltak som skal iverksettes før igangsetting og tiltak som kan iverksettes på kort og lang sikt dersom risikoen utvikler seg negativt. " ] } ], "title": "Måling inkludert tapshendelseskategorier 2" }, { "name": "Måling inkludert tapshendelseskategorier3", "elements": [ { "type": "matrixdropdown", "name": "Operasjonell_risiko_og_kapitalbehov", "title": "Operasjonell risiko og kapitalbehov", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha rutiner og prosedyrer som sikrer riktig måling og beregning av regulatorisk kapital for operasjonell risiko.", "Beregnet regulatorisk kapital bør vurderes mot foretakets definerte risikotoleranse og faktiske historiske tap som følge av operasjonelle feil. " ] } ], "title": "Måling inkludert tapshendelseskategorier 3" }, { "name": "Måling inkludert tapshendelseskategorier4", "elements": [ { "type": "matrixdropdown", "name": "Enkelte_underkategorier_OpRisk1", "title": "Enkelte underkategorier OpRisk", "description": "Modellrisiko", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ " Risiko for underestimering av kapitalbehov som følge av feil i utvikling, implementering og bruk av interne modeller, vanligvis IRB-modeller for beregning av kapital for kredittrisiko.", "Risiko for tap som følge av utvikling, implementering og feilaktig bruk av modeller som brukes i foretakets beslutningsprosesser, eksempelvis til prising av produkter, evaluering av finansielle instrumenter, overvåking av risikorammer og måltall, mv.\"" ] } ], "title": "Måling inkludert tapshendelseskategorier 4" }, { "name": "Måling inkludert tapshendelseskategorier5", "elements": [ { "type": "matrixdropdown", "name": "Enkelte_underkategorier_OpRisk2", "title": "Enkelte underkategorier OpRisk", "description": "Adferdsrisiko og forbrukervern", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha interne retningslinjer som sikrer at forbrukerne får tilstrekkelig og pålitelig informasjon og god rådgiving om de produktene foretakene selger, og at kundenes interesser blir prioritert, og bør bl.a. omfatte utvikling og kvalitetssikring av dokumentasjon og markedsmateriell, samt opplæring. ", "Banker med verdipapirtillatelse skal ha interne retningslinjer som sikrer etterlevelse av kravene til investeringsrådgiving i tråd med verdipapirhandellovens bestemmelser (MiFID-reglene), jf. verdipapirhandelloven § 9-11 og verdipapirforskriften del 2 kapittel 3 II. ", "Foretaket skal ha et register over finansagenter som skal gjøres offentlig tilgjengelig på foretakets egen nettside, jf. rundskriv 16/2009. ", "Foretaket skal ha skriftlige rutiner som sikrer grundig klagebehandling, herunder at alle kundeklager registreres i et eget register, og årlig rapportering av kundeklager til Finanstilsynet, jf. rundskriv 12/2014. " ] } ], "title": "Måling inkludert tapshendelseskategorier 5" }, { "name": "Måling inkludert tapshendelseskategorier6", "elements": [ { "type": "matrixdropdown", "name": "Enkelte_underkategorier_OpRisk3", "title": "Enkelte underkategorier OpRisk", "description": "IKT-risiko", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "IKT-forskriftens bestemmelser er essensielle. Foretakene skal ha en IKT-strategi, det skal gjennomføres risikoanalyser, det skal fastsettes kvalitetsmål og utarbeides prosedyrer som sikrer systemene, for utvikling, anskaffelse, drift, avviks- og endringshåndtering, samt avtaler for utkontraktering. Videre stilles det krav til kontinuitet og kriseplan mv. Videre skal foretaket ha system og interne retningslinjer som sikrer at hendelser som medfører vesentlig reduksjon i funksjonalitet i IKT-systemer rapporteres til Finanstilsynet, jf. IKT-forskriften § 9 og rundskriv 15/2009. I OpRisk-modulen er det lagt opp til en begrenset vurdering av IKT-risiko. Ved behov for en grundigere gjennomgang, eksempelvis på grunnlag av funn fra OpRisk-tilsyn eller tilsyn på andre områder, vurderes det i spesifikke IT-tilsyn hvor det anvendes egne moduler basert på COBIT.\"" ] } ], "title": "Måling inkludert tapshendelseskategorier 6" }, { "name": "Måling inkludert tapshendelseskategorier7", "elements": [ { "type": "matrixdropdown", "name": "Enkelte_underkategorier_OpRisk4", "title": "Enkelte underkategorier OpRisk", "description": "Hvitvasking og terrorfinansiering", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket må ha en klar organisering og tydelig ansvarsfordeling av sitt arbeid, bl.a. med en hvitvaskingsansvarlig i ledergruppen, og tilstrekkelig med ressurser og kompetanse på området, jf. hvitvaskingsloven § 23. ", "Styret skal fastsette interne retningslinjer som er konkret og dekkende og som sikrer etterlevelse av regelverket på området. ", "Foretaket skal ha et elektronisk transaksjonsovervåkingssystem som dekker hele virksomheten, jf. hvitvaskingsloven § 24. ", "Foretaket skal gjennomføre en risikobasert kundekontroll og løpende oppfølging, jf. hvitvaskingsloven kapittel 2, herunder: - Risikoklassifisering av kunder (§ 5) Gjennomføre kundekontroll (§§ 6 til 15), inkludert bekrefte kundens identitet, identifisere reelle rettighetshavere, innhente opplysninger om formål og tilsiktet art, midlers opprinnelse og fastslå om kunden er en politisk eksponert person", "Foretaket skal undersøke og rapportere til Økokrim mistenkelige transaksjoner, jf. hvitvaskingsloven kapittel 3. ", "Foretaket skal oppbevare dokumentasjon og registrerte opplysninger, jf. hvitvaskingsloven § 22. Foretaket må også påse at dokumentasjon slettes etter at oppbevaringsplikten er omme. " ] } ], "title": "Måling inkludert tapshendelseskategorier 7" }, { "name": "Måling inkludert tapshendelseskategorier8", "elements": [ { "type": "matrixdropdown", "name": "Måling_inkludert_tapshendelseskategorier_Kilder_til_informasjon", "title": "Måling inkludert tapshendelseskategorier: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Interne retningslinjer for å identifisere, måle og registrere hendelser i foretakenes taps- og hendelsesdatabase.", "Oversikt over tapshendelser siste 1-2 år (kopi av taps- og hendelsesdatabasen).", "Rapporterte hendelser til Finanstilsynet, jf. IKT-forskriften og rundskriv 15/2009.", "Interne retningslinjer for godkjenning av endringer i eller etablering av nye produkter, aktiviteter, prosesser og systemer.", "Eksempel på risikovurdering som vedrører endring eller etablering av produkter og/eller rutiner av vesentlig betydning.", "Eventuell gjennomført gap-analyse dersom foretaket i løpet av siste år har tatt i bruk sjablongmetoden, jf. kapitalkravsforskriften § 43-1.", "Foretakets agentregister på selskapets nettside,", "Markedsføringsmateriell av kundeprogram og prislister.", "Interne retningslinjer som sikrer etterlevelse av kravene til investeringsrådgiving.", "Interne retningslinjer for kundeklager og kundeklageregister.", "Organisasjonskart som viser organiseringen av foretakets hvitvaskingsansvarlige.", "Interne retningslinjer for gjennomføring av hvitvaskingsloven.", "Et utvalg av dokumentasjon knyttet til gjennomført kundekontroll av nye og eksisterende kunder.", "Oversikt over flaggede og rapporterte mistenkelige transaksjoner siste 1-2 år.\"" ] } ], "title": "Måling inkludert tapshendelseskategorier 8" }, { "name": "Overvåking, rapportering og offentliggjøring av info1", "elements": [ { "type": "matrixdropdown", "name": "Overvåking", "title": "Overvåking", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha enhetlige rutiner og prosedyrer som sikrer jevnlig overvåking av den operasjonelle risikoutviklingen og vesentlige tapseksponeringer i hele virksomheten, jf. Baselkomiteens prinsipp 8. ", "Foretaket bør videre ha rutiner og prosedyrer som sikrer jevnlig overvåking av etterlevelse av lov- og forskriftskrav samt interne retningslinjer og rutiner. Ved gjentatte brudd på regelverket må det vurderes om dette skyldes manglende respekt for regelverket og/eller at rutinene for overvåkningen ikke er tilfredsstillende. " ] } ], "title": "Overvåking, rapportering og offentliggjøring av info 1" }, { "name": "Overvåking, rapportering og offentliggjøring av info2", "elements": [ { "type": "matrixdropdown", "name": "Rapportering_og_oppfølging", "title": "Rapportering og oppfølging", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør ha rapportering og oppfølging på de strategiske måltallene og rammene som er fastsatt i foretakets strategi/policy for operasjonell risiko. ", "Mottaker av rapporter bør være det organisatoriske nivå som har fastsatt strategi, policy, mål og rammer. ", "Foretaket bør dokumentere hvilke rapporter som produseres, hvor ofte de produseres, hvem som er ansvarlig for innhold i rapportene, hvem som mottar hvilke rapporter og hvorledes informasjonen brukes og følges opp. ", "Foretaket bør ha etablert rutiner for kvalitetssikring av rapporteringsdataene og systemene for rapportering, både for interne rapporter og for rapportering til myndighetene. Det bør foretas rimelighetskontroller og stikkprøver av dataene. Rapportenes form, innhold og frekvens bør revurderes jevnlig. " ] } ], "title": "Overvåking, rapportering og offentliggjøring av info 2" }, { "name": "Overvåking, rapportering og offentliggjøring av info3", "elements": [ { "type": "matrixdropdown", "name": "Internkontroll_av_OpRisk", "title": "Internkontroll av OpRisk", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Styret bør utvikle og vedlikeholde robuste systemer for internkontrollen med hensiktsmessige interne kontroller som dekker operasjonelle risikoforhold i hele virksomheten, jf. Baselkomiteens prinsipp 9. ", "Ledelsesrapportene bør være konkrete på hvilke operasjonelle risikofaktorer som er kontrollert og vurdert, hvilke kontrollhandlinger som er foretatt, resultatene av disse og utviklingen over tid, samt risikoreduserende tiltak som er iverksatt, jf. risikostyringsforskriften § 7. " ] } ], "title": "Overvåking, rapportering og offentliggjøring av info 3" }, { "name": "Overvåking, rapportering og offentliggjøring av info4", "elements": [ { "type": "matrixdropdown", "name": "Offentlingjøring_av_informasjon", "title": "Offentlingjøring av informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretaket bør offentliggjøre tilstrekkelig med informasjon som gjør det mulig for interessenter å vurdere foretakets tilnærming til operasjonell risikostyring, jf. Baselkomiteens prinsipp 11. ", "Foretaket skal ha interne retningslinjer og rutiner for å oppfylle sin informasjonsplikt innenfor operasjonell risiko (pilar 3), jf. kapitalkravsforskriften § 45-4. ", "For operasjonell risiko skal foretaket minimum offentliggjøre informasjon om strategi og prosesser, organisering av risikostyringsfunksjonen, risikorapporterings- og målesystemet samt retningslinjer og rutiner for overvåking og bruk av sikkerhetsstillelse, jf. kapitalkravsforskriften § 45-7." ] } ], "title": "Overvåking, rapportering og offentliggjøring av info 4" }, { "name": "Overvåking, rapportering og offentliggjøring av info5", "elements": [ { "type": "matrixdropdown", "name": "Overvåking_rapportering_og_offentliggjøring_av_info_kilder_til_informasjon", "title": "Overvåking, rapportering og offentliggjøring av info: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Interne retningslinjer for etterlevelse av regelverk, rutiner mv. (compliance).", "Erfaringer med myndighetsrapportering til Finanstilsynet.", "Oversikt over rapporter til styret og øverste ledelse som omhandler operasjonelle risikoforhold samt siste utgave av hver rapport.", "Siste ledelsesrapporter vedr. internkontroll.", "Interne retningslinjer for myndighetsrapportering og offentliggjøring av finansiell informasjon.\"" ] } ], "title": "Overvåking, rapportering og offentliggjøring av info 5" }, { "name": "Beredskap og kontinuitet1", "elements": [ { "type": "matrixdropdown", "name": "Beredskap_og_kontinuitet", "title": "Beredskap og kontinuitet", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Foretakets beredskapsplaner, både på overordnet nivå og for vesentlige virksomhetsområder, bør være dekkende for hele virksomheten, sees i sammenheng og være basert på en oppdatert risikovurdering. Foretakets beredskapsplaner bør godkjennes av styret. ", "Beredskapsplanene bør oppdateres jevnlig og i lys av endrede rammebetingelser, utviklingen innenfor strategiske satsningsområder, mv.", "Beredskapsplanene bør være tilgjengelige ved alle situasjoner. ", "Foretaket bør gjennomføre opplæring regelmessig og beredskapsplanene bør testes jevnlig. ", "Planene bør omfatte forskjellige type scenarier som kan påvirke foretakets driftssituasjon vesentlig, det være fysiske hendelser som eksempelvis brann, ran og flom, og hendelser knyttet til IKT-systemene som eksempelvis hacking, trojanerangrep og DDoS-angrep.", "Planene bør bl.a. inkludere interne retningslinjer og prosedyrer med tiltak, oversikt over roller og ansvarsforhold (beredskapsorganisasjon), og krav til intern og ekstern informasjon og kommunikasjon. ", "Kriseplaner for foretakets IKT-systemer må tilfredsstille IKT-forskriftens krav i § 11. ", "Beredskapsplaner for likviditetskriser må videre tilfredsstille likviditetsstyringsforskriftens krav." ] } ], "title": "Beredskap og kontinuitet 1" }, { "name": "Beredskap og kontinuitet2", "elements": [ { "type": "matrixdropdown", "name": "Beredskap_og_kontinuitet_Kilder_til_informasjon", "title": "Beredskap og kontinuitet: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Beredskaps- og kontinuitetsplaner.", "Interne retningslinjer for oppdatering, opplæring og testing av beredskaps- og kontinuitetsplaner.", "Rapporter etter gjennomførte kriseøvelser." ] } ], "title": "Beredskap og kontinuitet 2" }, { "name": "Uavhengig kontroll1", "elements": [ { "type": "matrixdropdown", "name": "Uavhengig_kontroll", "title": "Uavhengig kontroll", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "De uavhengige kontrollfunksjonene bør foreta relevante, dokumenterbare operasjonelle risikokontroller med høy faglig standard.", "De uavhengige kontrollfunksjonene må ha tilstrekkelig kompetanse og ressurser innen operasjonell risiko.", "Rapporter fra uavhengige kontrollfunksjoner som omhandler operasjonell risiko bør adresseres til og behandles av relevant nivå i organisasjonen. ", "Foretaket bør ha prosedyrer for hvordan påpekninger som omhandler operasjonell risiko fra uavhengige kontrollfunksjoner skal behandles og følges opp. ", "Foretakets system for styring og kontroll av operasjonell risiko bør jevnlig evalueres av uavhengige kontrollfunksjonene. For foretak som benytter sjablongmetoden skal systemet gjennomgås og bekreftes av en uavhengig funksjon regelmessig, jf. kapitalkravsforskriften § 43-1 (1). " ] } ], "title": "Uavhengig kontroll 1" }, { "name": "Uavhengig kontroll2", "elements": [ { "type": "matrixdropdown", "name": "Uavhengig_kontroll_Kilder_til_informasjon", "title": "Uavhengig kontroll: Kilder til informasjon", "columns": [ { "name": "Etablering", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Etterlevelse", "cellType": "radiogroup", "colCount": 1, "isRequired": true, "choices": [ { "value": "1", "text": "Vesentlige svakheter" }, { "value": "2", "text": "Må forbedres" }, { "value": "3", "text": "Bør forbedres" }, { "value": "4", "text": "Tilstrekkelig" }, { "value": "5", "text": "Svært god" }, { "value": "6", "text": "Ikke aktuelt" } ] }, { "name": "Innspill", "cellType": "comment" } ], "choices": [ 1, 2, 3, 4, 5 ], "rows": [ "Risikorapporter.", "Rapporter fra compliance.", "Rapporter fra og korrespondanse med intern- og ekstern revisor.", "Dersom foretaket benytter sjablongmetoden, siste bekreftelse fra uavhengig funksjon." ] } ], "title": "Uavhengig kontroll 2" } ], "showQuestionNumbers": "off" }