Operativa risker

Operativa risker avser bland annat risker för förluster till följd av att interna processer och rutiner är felaktiga eller inte ändamålsenliga, mänskliga fel, felaktiga system eller externa händelser inklusive legala risker.

Operativa risker innefattar följande huvudkategorier av risker:

  • Processrisker, vilka uppstår på grund av svagheter i processer, otydlig ansvarsfördelning, brister i internkontrollen etcetera.
  • Personalrisker, vilka uppstår till exempel vid förändrad bemanning, svagheter i projektledning, företagskultur och kommunikation, misstag av anställda, risker hänförliga till ersättningssystem etcetera.
  • IT-/systemrisker, vilka uppstår till följd av brister i IT-system, inadekvat systemstöd etcetera.
  • Externa risker, vilka uppstår vid brottsliga handlingar, brister hos leverantörer, katastrofer etcetera.
  • Legala risker, vilka uppstår exempelvis när avtal inte blir verkställbara (helt eller delvis), stämningar, negativa utslag eller andra legala processer som avbryter eller negativt påverkar verksamheten. Legala risker inbegriper också compliancerisker, vilka uppstår till följd av att lagar, regler, förordningar, avtal, föreskriven praxis och etiska standarder inte efterlevs och kan leda till nuvarande eller framtida risker i förhållande till resultat och kapital.

Säkerhetsrisker ingår i operativa risker och avser risken för otillräckliga eller felaktiga interna processer eller externa händelser, inklusive cyberattacker eller otillräcklig fysisk säkerhet, som negativt kan påverka tillgängligheten, integriteten eller konfidentialiteten i informations- och kommunikationstekniska system eller den information som används för att tillhandahålla tjänster.

Koncernen hanterar operativa risker genom bland annat ramverk för riskhantering som inkluderar metoder för riskidentifiering, bedömning, utbildning, dokumentation, kontroll och rapportering av operativa risker. Fokus är att hantera de väsentliga riskerna genom kartläggning och dokumentation av processer och rutiner samt vidta riskreducerande åtgärder. Koncernens processer har kartlagts med kontroller för att säkerställa att identifierade risker hanteras och följs upp på ett effektivt sätt. Koncernen har en process för godkännande av nya eller väsentliga förändringar i befintliga produkter/tjänster, marknader, processer eller andra större förändringar i verksamheten. Syftet med processen är att koncernen på ett effektivt och ändamålsenligt sätt ska hantera de risker som kan uppstå i samband med till exempel nya eller väsentligt förändrade produkter/tjänster.