Operativa risker avser negativ påverkan på verksamheten bland annat till följd av att interna processer och rutiner är felaktiga eller inte ändamålsenliga, mänskliga fel, felaktiga system eller externa händelser inklusive legala risker.

Operativa risker delas upp i:

  • Personalrisker avser risker som är kopplade till Koncernens organisationsstruktur, hantering av personal, arbetsförhållanden, missförhållanden i arbetsmiljö eller intern brottslig verksamhet.
  • Verksamhets- och processrisker avser risker som uppstår på grund av svagheter i implementering eller utformning av Koncernens väsentliga processer och fastställda rutiner kopplade till dessa processer.
  • Legala risker och regelefterlevnadsrisker avser legala risker som leder till ekonomisk förlust till följd av överträdelser av lagar och regler i verksamheten. Det avser också risker kopplade till bristande efterlevnad av legala krav, externa och interna regelverk samt misslyckande med att implementera nya regelverk.
  • IT- och informationssäkerhetsrisker avser risker som berör tillgänglighet, integritet eller konfidentialitet i informations- och kommunikationstekniska system eller information som används för att tillhandahålla tjänster.
  • Externa risker avser risker som ligger utanför Koncernens kontroll, till exempel brottsliga handlingar, brister hos leverantörer och katastrofer. Det kan också röra sig om utläggning av verksamhet och regelförändringar.

Koncernen har en standardiserad riskhanteringsprocess som bland annat inkluderar metoder för riskidentifiering, bedömning, hantering, implementering av åtgärder samt övervakning och rapportering av operativa risker.

Fokus är att hantera de väsentliga riskerna genom kartläggning och dokumentation av processer och rutiner samt vidta riskreducerande åtgärder. Koncernens processer har kartlagts med kontroller för att säkerställa att identifierade risker hanteras och följs upp på ett effektivt sätt.

Koncernen har en process för godkännande av nya eller väsentliga förändringar i befintliga produkter/tjänster, marknader, processer eller andra större förändringar i verksamheten. Syftet med processen är att banken på ett effektivt och ändamålsenligt sätt ska hantera de risker som kan uppstå i samband med till exempel nya eller väsentligt förändrade produkter/tjänster.