RIKTLINJER FÖR RISKHANTERING
Wictor Family Office AB
Version 11
Dessa riktlinjer har fastställts av styrelsen för Wictor Family Office AB
2024-03-22
ersätter
Version10 beslutad 2023-02-10
1 ALLMÄNT
Enligt 8 kap. 4 § lagen (2007:528) om värdepappersmarknaden (”LVPM”) ska ett värdepappersbolag identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med. Bolaget ska se till så att det har en tillfredsställande intern kontroll.
Enligt artikel 23.1 i Kommissionens och Rådets förordning (EU) 2017/565 ”Organisatoriska krav och villkor för verksamheten i värdepappersföretag” ska ett värdepappersföretag vidta följande åtgärder för riskhantering:
a. Införa, tillämpa och upprätthålla lämpliga riktlinjer och förfaranden för riskhantering som identifierar risker relaterade till företagets verksamhet, förfaranden och system, och, vid behov, fastställa den risknivå som företaget kan acceptera. Värdepappersföretag ska i samband med detta beakta hållbarhetsrisker,
b. Anta effektiva åtgärder, förfaranden och mekanismer för att hantera risker relaterade till företagets verksamhet, förfaranden och system mot bakgrund av den nivån av risktolerans som fastslagits i punkt 1, och
c. Övervaka följande:
I. Om huruvida värdepappersföretagets riktlinjer och förfaranden för riskhantering är lämpliga och effektiva.
II. I vilken utsträckning värdepappersföretaget och dess relevanta personer följer de särskilda arrangemang, förfaranden och mekanismer som antagits i enlighet med led b.
III. Om huruvida de åtgärder som vidtagits för att avhjälpa eventuella brister i dessa riktlinjer, förfaranden, arrangemang, processer och mekanismer, däribland de relevanta personernas underlåtenhet att uppfylla sådana arrangemang, processer, och mekanismer eller att följa sådana riktlinjer och förfaranden, är lämpliga och effektiva.
Därutöver framgår av artikel 23.2 i samma förordning, (EU) 2017/565, att värdepappersföretagen ska inrätta och upprätthålla en riskhanteringsfunktion som fungerar oberoende, om det är ändamålsenligt och rimligt med hänsyn till verksamhetens art, omfattning och komplexitet, och arten och omfattningen på de investeringstjänster och den investeringsverksamhet som utförs inom ramen för verksamheten.
Mot denna bakgrund har Wictor Family Office AB (”Bolaget”) antagit dessa riktlinjer.
2 FUNKTIONEN FÖR RISKHANTERING
Bolaget har outsourcat funktionen för riskhantering till Xxxxxxx Xxxxxxx på Briq & Legal Risk.
Den riskansvarige ansvarar för att tillämpa de riktlinjer och förfaranden för riskhantering, kontrollera de risker som redovisas nedan, regelbundet rapportera och ge råd till företagsledningen i Bolaget och dess anknutna ombud samt att löpande bedöma huruvida Bolagets riktlinjer och förfaranden för riskhantering är lämpliga och effektiva.
Det åligger riskansvarig att vid varje styrelsemöte skriftligen eller muntligen rapportera om de områden som omfattas av dessa riktlinjer, för det fall brister har påvisats. Under alla förhållanden ska riskansvarig minst en gång per år skriftligen rapportera till styrelsen om sitt ansvarsområde. Rapporten ska åtminstone innehålla en bedömning av om Bolaget har en godtagbar riskkontroll och vilka lämpliga åtgärder som har vidtagits vid eventuella brister.
Nedan redovisas de huvudsakliga risker som Bolaget har identifierat och hur Bolaget har värderat/mätt risken.
3 IDENTIFIERADE RISKER M.M.
Nedan redovisas de risker som Bolaget har identifierat och hur Bolaget har värderat/mätt risken. Vidare anges hur ofta kontroller ska göras.
3.1 Definitioner
Marknadsrisker
Med marknadsrisker avses kreditrisker, ränterisker, aktiekursrisker, motpartsrisker och valutakursrisker.
Kreditrisk
Med kreditrisk avses risken för att en motpart inte kan infria sin betalningsförpliktelse gentemot Bolaget.
Räntekursrisk
Med räntekursrisk avses risken för att en ändring i det allmänna ränteläget medför en negativ förändring av värdet i egna lager av finansiella instrument.
Aktiekursrisk
Med aktiekursrisk avses risken för att en ändring i marknadsvärdet på aktier, aktieliknande instrument och underliggande aktieindex medför en negativ förändring av värdet i egna lager av finansiella instrument.Motpartsrisk
Med motpartsrisk avses risken för att en motpart på värdepappersmarknaden inte kan fullgöra sin skyldighet att erlägga betalning för sålda finansiella instrument och leverera förvärvade finansiella instrument.
Valutakursrisk
Med valutakursrisk avses risken för att finansiella instrument i egna lager, utgivet i annan valuta än SEK, faller i värde gentemot SEK.
Likviditetsrisker
Med likviditetsrisker avses dels risken för att en kund inte kan infria sin betalning på likviddagen och dels risken för att Bolaget inte kan betala förfallna likvider.
Operativa risker
Med operativ risk avses risken för förlust på grund av icke ändamålsenliga eller misslyckade interna processer, mänskliga fel och felaktiga system eller externa händelser. Riskkategorin inkluderar bl.a. IT-risker och legala risker.
IT-risker
Med IT-risker och därmed sammanhängande tekniska risker avses främst risker för informationsförlust, dataintrång och driftsstörningar i IT-verksamheten.
Legala risker
Med legala risker avses risk för att ledning och/eller personal i Bolaget eller dess anknutna ombud i sin verksamhet begår legala fel till men för Bolaget.
Strategiska risker
Med strategiska risker avses aktuell och framtida risk för förlust på grund av förändrade marknadsförutsättningar och ogynnsamma affärsbeslut, felaktig anpassning av beslut eller brist på lyhördhet för marknadsförändringar.
Hållbarhetsrisker
Med hållbarhetsrisk avses en miljörelaterad, social eller styrningsrelaterad händelse eller omständighet som, om den skulle inträffa, skulle ha en faktisk eller potentiell betydande negativ inverkan på investeringens värde.
3.2 Identifierade risker
Marknadsrisker
Bolaget kommer endast i mindre utsträckning påverkas av olika marknadsrisker. Se nedan en redogörelse av Bolagets exponering och hantering av aktiekursrisker, motpartsrisker, räntekursrisker och valutakursrisker.
Aktiekursrisker
Bolaget kommer inte att ha ett eget lager. Däremot har Xxxxxxx möjlighet att placera överlikviditet i olika värdepapper. De aktiekursrisker som kan uppstå på grund av detta är dock små. Minst 40 % av överlikviditeten kommer att placeras på bankkonto, dock måste det uppfylla Bolagets likviditetskrav om minst 1/3 av Bolagets fasta kostnader. Maximalt 25 % av överlikviditeten kommer att placeras i stats- eller företagsobligationer, Investment grade (stabil rating), med en genomsnittlig duration på tre år. Vidare kommer maximalt 25 % av överlikviditeten placeras i diskretionära mandat med max risk 5, samt maximalt 10 % i aktier eller andra finansiella instrument med riskklass 6 eller mer.
Motpartsrisk
Då all handel med finansiella instrument kommer att ske på en reglerad handelsplats alternativt med större och reglerade motparter via ”delivery versus payment” bedömer Bolaget denna motpartsrisk som liten.
Räntekursrisk
Då maximalt 25 % av överlikviditeten kommer att placeras i räntor och obligationer och endast i bolag med stabil rating (Investment grade) samt då Bolaget inte kommer att ha ett eget lager bedömer Bolaget räntekursrisken som liten.
Valutakursrisk
Bolaget kommer inte ha ett eget lager och kommer maximalt att placera 10 % i instrument med valutakursrisk varför Bolagets exponering mot valutakursrisker är liten.
Kreditrisker
a) Risken att Bolagets samarbetspartners inte betalar avtalad ersättning till Bolaget.
Bolaget bedömer denna risk som liten då Bolaget endast samarbetar med stora försäkringsbolag. Dessutom är majoriteten av bolagets betalningsströmmar relaterade till depåer inom Bolaget och Bolaget kan då direkt dra arvodena från kundernas depåer.
b) Risken att den bank där Xxxxxxx har konto går omkull.
Bolaget bedömer denna risk som liten då Bolagets medel och kundernas medel förvaras på en av de största och mest stabila bankerna i Sverige.
c) Risken att kunderna inte kan betala sina krediter.
Bolaget bedömer risken som liten då endast krediter på värdepapper som förvaras hos Bolaget kommer tillåtas. Avtal mellan Bolaget och kredittagaren reglerar att tvångsförsäljning kan ske för att säkerställa pantsättningen för krediten.
Likviditetsrisker
Bolaget har en historik med negativa resultat vilket har en påverkan på likviditeten. Bolaget har fortfarande vissa månader med negativa resultat så likviditeten måste noggrannt följas för att säkerställa att likviditetskraven alltid hålls. Utöver de negativa resultaten så bedöms risken vara kontrollerad då Bolagets arvoden dras automatiskt från kundernas likvider i depåerna varje månad. Bolagets ägare är vidare mycket kapitalstarka och kan tillskjuta kapital om behov skulle uppstå.
Operativa risker
Bolagets främsta operativa risker är följande:
a) sekretessbrott och kurspåverkande insiderhandel (Legala risker),
b) extern brottslighet i form av dataintrång (IT-risker),
c) avbrott och störning i verksamheten (IT-risker),
d) felaktig rådgivning.
Legala risker
Bolagets funktion för regelefterlevnad ska tillse att anställda och uppdragstagare i Bolaget och dess anknutna ombud - genom utbildning och information - har en god kunskap om gällande regler för verksamheten, vilket minskar den legala risken. Funktionen följer vidare upp att gällande interna regler efterlevs. Av riktlinjerna för regelefterlevnad framgår att det åligger funktionen för regelefterlevnad att vid styrelsesammanträden i Bolaget rapportera om väsentliga ändringar i det regelverk som gäller för Bolagets verksamhet, samt att årligen hålla utbildning för anställda och uppdragstagare i Bolaget och dess anknutna ombud avseende förändringar i det regelverk som gäller för Bolagets verksamhet samt av Finansinspektionen utfärdade bestämmelser rörande hantering av etiska frågor.
Den verkställande direktören kontrollerar att funktionen för regelefterlevnad följer sina åtaganden. Eventuella brister ska snarast efter det att de har observerats rapporteras till styrelsen.
IT-risker
Bolaget bedömer risken som liten. Samtliga Bolagets och dess anknutna ombuds datorer har antivirusprogram och brandväggar. Bolaget och dess anknutna ombud tillämpar vidare en tvåstegsverifiering eller en BankID-lösning på kundkänsliga system. Beträffande de system
där detta inte går att tillämpa använder Bolaget och dess anknutna ombud sig av lösenordshanterare som på ett strukturerat sätt hanterar valet av lösenord.
Alla dokument som personalen upprättar sparas i ett molnbaserat system, Sharepoint, varifrån personalen kan nå informationen oavsett var de befinner sig under förutsättning att det finns tillgänglig internetuppkoppling. Konfidentiell information sparas i kundsystem med högsta säkerhet genom extern part. Vidare har alla anställda en möjlighet att göra ”remote wipe” på datorer och telefoner för det fall en dator eller telefon skulle bli stulen.
Felaktig rådgivning
En grundläggande förutsättning för att minimera denna risk är att personal som hanterar orderläggning är väl förtrogen med uppdragets beskaffenhet. För Bolagets och dess anknutna ombuds personal ska det vara en självklarhet att ha gedigen kunskap avseende denna fråga för att överhuvudtaget få förtroendet att handlägga ett kunduppdrag. Bolaget bedömer risken som liten. Bolaget och dess anknutna ombud har endast rådgivare med gedigen och relevant utbildning samt SwedSec- och InsureSec-licens. Vidare utbildar Xxxxxxx sin och dess anknutna ombuds personal i de förvaltningsstrategier som Bolaget erbjuder sina kunder samt de regelverk som finns internt och externt. Därutöver kontrolleras alla affärer av Xxxxxxxx backoffice som har ett nära samarbete med funktionen för regelefterlevnad som även stickprovsvis granskar rådgivarnas rådgivning. Vidare har Xxxxxxx backuper för alla nyckelpersoner inom Bolaget för att säkerställa kontinuiteten i verksamheten.
Ryktesrisker
Ryktesrisk refererar till risken att inkomster och kapital påverkas negativt på grund av ett skadat varumärke. Ryktesrisk är nära förknippad med operativa risker. Ryktesrisk kan uppstå som en följd av att operativa risker realiseras.
Bolaget arbetar löpande med sina operativa risker för att säkerställa att sannolikheten för att utomstående parter ska drabbas av skada minimeras. Om det trots detta skulle uppstå skada, ska Bolaget ha en tät dialog med de inblandade parterna och i möjligaste mån försöka minimera effekterna av skadan. Bolaget har en kommunikationspolicy som reglerar hur intern och extern kommunikation ska ske. Bolaget har även en varumärkespolicy som reglerar beteende, Bolagets värdegrund m.m. för att underlätta för personalen att kommunicera internt eller externt. Dessa policys ses över regelbundet.
Strategiska risker
I denna risk ligger bl.a. ledningens förmåga att planera, organisera och kontrollera verksamheten, dvs. risken för ett misslyckande att anpassa rörelsen till trender i ny teknik, parera för ökad konkurrens eller generellt reagera på förändringar i marknadsförutsättningar.
Styrelsens främsta uppgift är att bevaka relevanta omvärldsfaktorer för att kunna styra verksamheten utifrån marknadsläget. Den verkställande direktören och övrig personal har lång erfarenhet och god förståelse för branschen och övervakar löpande utvecklingen på de marknader där Xxxxxxx verkar och föreslår löpande strategisk inriktning för styrelsen.
Affärsrisk
Med affärsrisk avses risken för en negativ påverkan på Bolagets lönsamhet till följd av externa faktorer som kan förekomma både på kort och på lång sikt.
Bolaget har som mål att endast ta kalkylerade risker baserat på analys av potentiella risker och avkastning.
Bolaget kommer kontinuerligt att följa upp utvecklingen och vidta åtgärder för att minska påverkan av eventuella negativa utfall.
Bolaget bedömer risken som liten då Bolaget anser sig ha en sund arvodes- och affärsmodell som baseras på transparens, kundnytta och enkelhet.
IKLU-process
Bolagets CFO upprättar en IKLU och verkställande direktör lägger förslag på affärsbudget och likviditetsbudget som fastställs av styrelsen. Affärsbudgeten fastställs dels för ett år respektive tre år medan likviditetsbudgeten fastställs kvartalsvis upp till ett år. CFO rapporterar till verkställande direktör kontinuerligt medan verkställande direktör rapporterar till styrelsen vid styrelsemöten 4 - 5 gånger per år.
Hållbarhetsrisker
Bolaget har antagit en policy för integrering av hållbarhetsrisker vilken beskriver hur hållbarhetsrisker integreras inom ramen för Bolagets verksamhet för portföljförvaltning och investeringsrådgivning. När Bolaget tillhandahåller portföljförvaltning är det portföljförvaltningsavtalet som sätter ramarna för vad Bolaget för kundens räkning kan investera i. Inom ramen för portföljförvaltningsavtalet fattar Bolagets förvaltare investeringsbeslut där relevanta hållbarhetsrisker integreras som en del av den finansiella riskanalys som görs av ett potentiellt investeringsobjekt.
När Bolaget tillhandahåller investeringsrådgivning integrerar Bolaget hållbarhetsrisker vid rekommenderade produkter och lämnade råd genom att efterfråga kunderna vilken eller vilka hållbarhetspreferenser kunderna har. Bolaget tar även hänsyn till hållbarhetsriskerna vid bedömningen av vilken investering som kan rekommenderas en kund baserat på kundens generella preferenser i fråga om risk.
Det åligger Bolagets förvaltare och rådgivare att löpande genomföra analys av potentiella hållbarhetsrisker förenade med en investering. Det åligger Bolagets riskansvarige att säkerställa att Xxxxxxx hanterar hållbarhetsrisker i enlighet med dessa riktlinjer.
4 RAPPORTERING OCH DOKUMENTERING
Funktionen för riskhantering ska dokumentera och spara information om incidenter och förluster i verksamheten som kan ha påverkan på Bolagets riskhantering, i syfte att identifiera oupptäckta risker i verksamheten och att analysera områden och processer som kan förbättras. Löpande förs ett incidentregister där alla incidenter dokumenteras och följs upp. Xxxxxxxxxx för rapportering, definitioner och förebyggande åtgärder för denna process finns beskrivet i Instruktioner för incidenter som fastställts av VD.
Verkställande direktören ska löpande informera och konsultera funktionen för riskhantering i allt väsentligt som rör verksamheten och som kan ha betydelse för funktionens fullgörande av sin roll enligt dessa riktlinjer.
Funktionen för riskhantering ska löpande informera styrelsen, företagsledningen och funktionen för regelefterlevnad i riskfrågor, innefattande bl.a. realiserade risker och dess påverkan på verksamheten samt vidtagna åtgärder, eventuella avvikelser i verksamheten, samt andra iakttagelser i samband med funktionens arbete.
Vid överträdelser och brister rapporteras enligt ovanstående. Anses de betydande sker även direktrapportering till styrelsen.
5 PRINCIPEN OM TRE FÖRSVARSLINJER
Den första försvarslinjen leds av Bolagets VD tillsammans med den ledningsgrupp som är inrättad. Styrelsen har genom Bolagets policy för risk delegerat VD det högsta operativa ansvaret med rapporteringsansvar till styrelsen. Första försvarslinjen består av Bolagets affärsverksamhet, vilket innebär att VD, andra ledande befattningshavare och övriga anställda inom Bolaget och dess anknutna ombud ansvarar för att identifiera, hantera och rapportera de risker som uppkommer i affärsverksamheten.
Den andra försvarslinjen utgörs av de oberoende funktionerna för riskhantering och regelefterlevnad som granskar och kontrollerar Bolagets första försvarslinje. Funktionerna för risk och regelefterlevnad rapporterar till Bolagets VD och styrelse och har vanligen veckovisa uppföljningsmöten med VD samt deltar regelbundet på styrelsemöten.
Funktionen för regelefterlevnad är oberoende i förhållande till affärsverksamheten i första försvarslinjen och leds av den regelefterlevnadsansvarige vars uppgift är att verka för en god regelefterlevnad i Bolaget och dess anknutna ombud. Uppdraget vilar på två ben, dels att regelbundet kontrollera och utvärdera om verksamheten uppfyller kraven i styrande interna
och externa regelverk samt utvärdera om de åtgärder som Bolaget vidtagit för att avhjälpa brister i regelefterlevnaden är tillräckliga, dels att lämna råd och stöd till verksamheten i syfte att förebygga eventuella brister.
Funktionen för riskkontroll är också en från affärsverksamheten oberoende funktion och leds av Risk Manager (RM). Personer som tillhör Riskfunktionen ska inte vara verksamma inom den affärsdrivande verksamheten. Den personal som arbetar inom Riskfunktionen ska ha relevant kunskap och erfarenhet för att kunna utföra sitt uppdrag. Funktionen ska vidare vara organisatoriskt placerad under VD och rapportera direkt till VD och styrelsen.
Riskfunktionens rapporter beskriver dess arbete, riskhantering i Bolaget och dess anknutna ombud, information om överträdelser och åtgärder, regelförändringar med mera. Riskfunktionen närvarar vid styrelsemöten för att avrapportera riskrapporten samt om annat behov föreligger. Riskfunktionen rapporterar också årligen resultatet av Bolagets interna kapital- och likviditetsutvärdering (IKLU) till styrelsen. IKLU-arbetet regleras i Bolagets instruktion för IKLU och offentliggörande.
VD konsulterar löpande Riskfunktionen i allt väsentligt som rör verksamheten och som kan ha betydelse för funktionens fullgörande av sin roll enligt den policy och övriga styrdokument som rör riskhantering. Riskfunktionen informerar löpande styrelsen och regelansvarig i riskfrågor, innefattande bland annat realiserade risker och dess påverkan på verksamheten, vidtagna åtgärder, samt andra iakttagelser i samband med funktionens arbete. Vid överträdelser och brister rapporteras de enligt ovanstående och anses de betydande ska även rapportering ske direkt till styrelsen.
VD informerar styrelsen om alla väsentliga förändringar av eller undantag från beslutade instruktioner som styr utformningen och användningen av riskmätningsmetoder. Vid väsentliga förändringar eller avvikelser som kan leda till en förändrad riskbild eller förhöjd kostnad informerar verksamheten omedelbart Riskfunktionen.
Den tredje försvarslinjen utgörs av Bolagets funktion för internrevision som är oberoende från Bolagets övriga verksamhet och funktioner. Den tredje försvarslinjen granskar och kontrollerar den första och andra försvarslinjen. Funktionen för internrevision arbetar på styrelsens uppdrag och rapporterar regelbundet till Bolagets styrelse och VD. Funktionen, baserat på en revisionsplan fastställd av styrelsen, granskar och bedömer hur bolagets och dess anknutna ombuds verksamhet bedrivs. Funktionen utfärdar även rekommendationer baserat på resultatet av granskningarna samt kontrollerar att rekommendationerna följs.
Riktlinjer och rutiner; | ||
Fastställd av styrelsen; | 2016-11-04 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2017-09-05 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2017-12-07 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2018-08-31 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2018-12-20 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2019-08-27 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2019-12-18 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2020-12-18 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2021-06-15 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2021-12-15 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2023-02-10 | och träder i kraft omgående |
Föremål för revision av styrelsen; | 2024-03-22 | och träder i kraft omgående |