B.3.5.1. Risicobeheersmaatregelen

Operationele risico’s doen zich voor op alle niveaus binnen de organisatie. De beheersmaatregelen zijn derhalve ook vastgelegd in verschillende specifieke beleidsdocumenten, protocollen en procesbeschrijvingen.

Met behulp van Risk Control Self Assessments (RCSA) evalueert het management (minimaal jaarlijks) in hoeverre de belangrijkste risico’s effectief worden beheerst, welke restrisico’s bestaan en aan welke punten gewerkt dient te worden om risico’s verder te beperken (managementacties). Daarbij evalueert het management ten minste de risicocategorieën van het risicoprofiel alsook de effectiviteit van de beheersing ervan. Deze RCSA’s vinden plaats binnen alle juridische entiteiten en ook op groepsniveau. Het resultaat hiervan is een Internal Control Statement (“ICS”) per juridische entiteit en op groepsniveau. Het management rapporteert het ICS aan het bestuur, de directieteams en aan de Operational Risk Manager en de manager Reporting & Control.

De verschillende beleidsdocumenten dekken gezamenlijk een aantal onderwerpen af:

  • het vaststellen van operationele risico’s waaraan DELA is of kan worden blootgesteld en de beoordeling van de wijze waarop dit risico’s kunnen worden gemitigeerd;
  • activiteiten en interne processen voor het beheer van operationele risico’s, waaronder het IT-systeem ter ondersteuning van die activiteiten en interne processen;
  • risicotoleranties en limieten voor de belangrijkste operationele risicogebieden van DELA;
  • DELA beschikt over processen voor het vaststellen, analyseren en rapporteren van voorvallen met een operationele risicocomponent. Daarvoor is een proces ingericht voor het registreren van dergelijke voorvallen met een operationele risicocomponent;
  • DELA dient voor het beheer van operationele risico’s een geschikt aantal stressscenario’s te ontwikkelen en te analyseren. Deze stressscenario’s zijn ten minste gebaseerd op het falen van een sleutelproces, of het wegvallen van sleutelpersoneel of een sleutelfunctie of het optreden van onvoorziene externe gebeurtenissen.

Een tweetal elementen wordt hieronder specifiek toegelicht.