Operativa risker avser bland annat risker för förluster till följd av att interna processer och rutiner är felaktiga eller inte ändamålsenliga, mänskliga fel, felaktiga system eller externa händelser inklusive legala risker.
Operativa risker innefattar följande risktyper:
- Personalrisker avser risker som är kopplade till Bankens organisationsstruktur, hantering av personal, arbetsförhållanden, missförhållanden i arbetsmiljö eller intern brottslig verksamhet.
- Verksamhets- och processrisker avser risker som uppstår på grund av svagheter i implementering eller utformning av Bankens väsentliga processer och fastställda rutiner kopplade till dessa processer.
- IT- och informationssäkerhetsrisker avser risker som berör tillgänglighet, integritet eller konfidentialitet i informations- och kommunikationstekniska system eller information som används för att tillhandahålla tjänster.
- Externa risker avser risker som ligger utanför Bankens kontroll, till exempel brottsliga handlingar, brister hos leverantörer och katastrofer. Det kan också röra sig om utläggning av verksamhet och regelförändringar.
Koncernen hanterar operativa risker genom bland annat ramverk för riskhantering som inkluderar metoder för riskidentifiering, bedömning, utbildning, hantering, kontroll och rapportering av operativa risker. Fokus är att hantera de väsentliga riskerna genom kartläggning och dokumentation av processer och rutiner samt vidta riskreducerande åtgärder. Koncernens processer har kartlagts med kontroller för att säkerställa att identifierade risker hanteras och följs upp på ett effektivt sätt.
Koncernens förmåga till riskhantering har påverkats i viss utsträckning under pandemin, men tack vare robusta processer är påverkan begränsad. Koncernen har hanterat risken för personalbortfall inom kritiska funktioner genom zonindelning och hemarbete. Ökat hemarbete har ställt högre krav på informationssäkerhetsarbetet och på uppföljningen av koncernens kontrollramverk.