RIKTLINJER FÖR RISKHANTERING

RIKTLINJER FÖR RISKHANTERING

Eminova Fondkommission AB (”Bolaget”) har mot bakgrund av Artikel 23 i förordning (EU) 2017/565, 8 kap. 1 c, 4 och 8 § lag (2007:528) om värdepappersmarknaden och 3 kap. 7-9 §§ FFFS 2017:2 fastställt följande riktlinjer för riskhantering.

1 Inledning

För att bedriva en effektiv och lönsam affärsverksamhet måste Bolaget ha en väl fungerande intern kontroll med rutiner så att risker i verksamheten kan hanteras på ett effektivt sätt. Bolaget ska i sam- band med detta även beakta hållbarhetsrisker. För att uppfylla detta krav ska Bolaget:

• Identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som Bolaget är eller kan bli exponerat för eller som Bolaget utsätter eller kan utsätta andra för,

• Ta fram metoder som gör det möjligt att fortlöpande värdera och upprätthålla ett kapital som till belopp, slag och fördelning är till- räckligt för att täcka arten och nivån på de risker som Bolaget är eller kan komma att bli exponerat för eller som bolaget utsätter eller kan utsätta andra för,

• Löpande utvärdera dessa metoder för att säkerställa att de är heltäckande,

• Särskilt se till att dess kundrisker, marknadsrisker, företagsrisker och andra risker sammantagna inte medför att dess förmåga att fullgöra sina förpliktelser äventyras, och

• Ha funktion för riskhantering som aktivt deltar i arbetet med Bolagets riskstrategi och i alla betydande riskhanteringsbeslut, samt lämnar fullständiga synpunkter på alla slags risker som gäl- ler för Bolaget. Bolaget ska se till att funktionen för riskhantering har tillräcklig auktoritet och ställning samt tillräckliga resurser.

2 Riskhanteringsfunktion

Bolaget har utkontrakterat funktionen för riskhantering. Funktionen är oberoende av Bolagets operativa verksamhet. Funktionen för risk- hantering ansvarar för att Bolaget uppfyller kraven på riskhantering. Xxx-Xxxxx Xxxxxxxx (Advokatfirma DLA Piper Sweden KB), är utsedd till riskhanteringsfunktion i Bolaget.

2.1 Xxxxxx och rapportering

Riskhanteringsfunktionen ska implementera de riktlinjer och rutiner för riskhantering som fastställs i verksamheten. Riskhanteringsfunktionen ska lämna råd samt regelbundet och åtminstone årligen skriftligen rapportera till Bolagets styrelse och verkställande direktör (VD) om de områden som omfattas av bestämmelserna om riskhantering. Rappor- terna ska bl.a. innehålla uppgifter om vilka åtgärder som har vidtagits vid eventuella brister i riskhanteringen. I händelse av att sådana risker, som kan anses äventyra Bolagets verksamhet, identifieras ska risk- hanteringsfunktionen utan dröjsmål informera Bolagets verkställande direktör och styrelse samt Bolagets funktion för regelefterlevnad.

Övervägande ska härvid också göras av Riskhanteringsfunktionen, i samråd med VD och funktion för regelefterlevnad om rapportering till Finansinspektionen ska ske i enlighet med Bolagets Riktlinjer för han- tering och rapportering av händelser av väsentlig betydelse.

Riskhanteringsfunktionen ska inför Bolagets ordinarie styrelsemöten utvärdera, beräkna och värdera Bolagets exponeringar mot risker. Riskhanteringsfunktionen inhämtar den information som anses nöd- vändig för denna utvärderings genomförande från Bolagets VD. Resul- tatet av denna utvärdering ska dokumenteras skriftligen i den riskhan- teringsrapport som Riskhanteringsfunktionen ska upprätta.

Riskhanteringsfunktionen ska, i sin utvärdering, särskilt beakta:

1. väsentliga källor till och effekter av kundrisker och all väsentlig in- verkan på kapitalbasen,

2. väsentliga källor till och effekter av marknadsrisker och all väsentlig inverkan på kapitalbasen,

3. andra väsentliga källor till1 och effekter av risker för Bolaget, framför allt de som kan förbruka den tillgängliga kapitalbasen, och

4. likviditetsrisker över lämpliga tidsperioder, inklusive intradag, för att säkerställa att Bolaget håller de likvida medlen på adekvat nivå, inbe- gripet när det gäller att hantera väsentliga källor till risker enligt 1, 2 och 3.

2.2 Kapitalkrav m.m.

Riskhanteringsfunktionen följer löpande upp beräkning, värdering och upprätthållandet av kapitalkraven. Riskhanteringsfunktionen gör, för denna kapitalutvärdering, löpande avstämningar med Bolagets VD.

3 Risker i verksamheten

Bolaget har identifierat följande huvudsakliga riskområden där Bolaget

på olika sätt är exponerad för risk.

3.1 Marknadsrisk

Med marknadsrisk avses den risk som föreligger för att Bolagets ka- pital ska urholkas i värde på grund av marknadsrörelser. Medel ska huvudsakligen förvaltas genom en försiktig placering såsom genom bankinlåning och daglighandlade räntefonder. Alla investeringar ska löpande följas upp vad gäller risk, orealiserat resultat, marknadsvärde samt krav på kapitaltäckning. Tillgångarnas värde kan fluktuera över tiden. Det kan innebära att kapitaltäckningskraven för kreditrisken varierar. Bolaget hanterar detta genom att ha en rutin för att värdera tillgångarna.

Bolagets ekonomifunktion underrättar VD och riskhanteringsfunktio- nen löpande om värderingen på bolagets olika innehav.

Bolagets verksamhet med tillhörande tillstånd är av den omfattningen att exponering mot marknadsrisker inte föreligger. Riskhanteringsfunk- tionen ska löpande följa upp Bolagets exponering mot marknadsrisker.

1 Väsentliga källor till risker ska omfatta väsentliga förändringar i det bokförda värdet av tillgångar, inklusive eventuella fordringar på anknutna ombud, kunders eller

motparters fallissemang, positioner i finansiella instrument, utländska valutor och råvaror samt förpliktelser mot förmånsbestämda pensionssystem.

3.2 Kundrisk

Med kundrisk avses den risk som förknippas med Bolagets verksamhet och kunder. Inom ramen för kategorin kundrisk har bland annat följande risker identifierats:

3.2.1 Koncentrationsrisk

Med koncentrationsrisk avses att Bolagets engagemang är koncentre- rat till ett fåtal kunder, till en viss bransch eller geografiskt område vilket leder till ökad sårbarhet för Bolaget.

Då Bolagets kunder är aktiva inom olika branscher och spridna inom ett större geografiskt område bedöms koncentrationsrisken som låg.

3.2.2 Ryktesrisk

Med ryktesrisk avses risken att Xxxxxxx drabbas av dåligt rykte på grund av missnöjda kunder eller andra sprider ofördelaktiga uppgifter om Bolaget på marknaden, i media etc.

Ryktesrisken begränsas bl.a. genom god intern styrning och kontroll, samt kvalitetssäkring av alla affärer som görs genom Bolaget samt, genom kontinuerlig utvärdering av Bolagets samarbetspartners.

3.2.3 Kreditrisk

Med kreditrisk definieras risken för förlust på grund av att bolaget inte erhåller betalning enligt överenskommelse och/eller att en motpart inte fullgör sina förpliktelser mot bolaget.

Kreditgivning förekommer inte i Bolagets verksamhet, vilket innebär att Bolaget inte kommer att ha några egentliga kreditrisker. Motpartsrisker uppstår i samband med normala fordringar på kunder, leverantörer och motparter etc. Bolagets kreditrisk uppstår i samband med normala ford- ringar på kunder etc.

Kredit- och motpartsriskerna förebyggs genom avtalsdokumentation. Bolagets kreditrisker består främst av kundfordringar och insatta medel hos kreditinstitut. Risken för att en motpart fallerar anses låg.

För att säkerställa betalning för vissa uppdrag, kommer bolaget att så långt som möjligt kräva viss förskottsbetalning samt ta betalt för tjäns- terna genom avdrag från emissionslikvid.

Bolagets ekonomifunktion underrättar VD när betalningsdröjsmål från

kund avseende faktura föreligger

3.2.4 Hållbarhetsrisk

Med hållbarhetsrisker avses en miljörelaterad, social eller styrningsre- laterad händelse eller omständighet som, om den skulle inträffa, skulle ha en faktisk eller potentiell betydande negativ inverkan på investering- ens värde.

3.3 Företagsrisker

Inom området företagsrisk finns sannolikt Bolagets huvudsakliga risker. Det kan handla om administrativa brister, brister i utförandet av tjänster, tekniska problem, bristande rutiner vid investeringsrådgivning, legala risker samt andra compliancerelaterade risker.

I verksamheten har bland annat följande företagsrisker identifierats:

3.3.1 Avsaknad av kunddokumentation och avtal m.m.

Verksamheten inom bolaget består huvudsakligen i genomförande av ägarspridning och emissioner, prospekt och memorandumskrivningar, erbjuda tjänsten som certified adviser samt liknande frågor. Uppdragen är i huvudsak administrativa och för att i möjligaste mån undvika brister i detta avseende ska riskerna för administrativa eller legala fel på grund av avsaknad av erforderlig kunddokumentation och kundavtal begrän- sas genom att bolaget upprättat processbeskrivningar för nya kunder och avtal. Avtal ska upprättas med samtliga kunder.

3.3.2 Felaktig eller bristfällig rådgivning med risk för skadeståndskrav mot Bolaget.

Bolaget lämnar råd till bolag avseende olika former av emissioner och upprättande av prospekt och memorandumskrivningar. Varje råd som lämnas innehåller en potentiell risk för att drabbas av skadeståndsan- svar varför det är av yttersta vikt att rådgivningen ska dokumenteras i enlighet med det regelverk som omger verksamheten. För att begränsa risken för fel i samband med rådgivning ska samtliga avtal granskas av VD, samt av compliance- funktionen på stickprovsbasis. Vidare begrän- sas denna risk genom ansvarförsäkringsskydd.

3.3.3 Spridning av konfidentiell information samt insiderinformation. Bolaget hanterar känslig och konfidentiell information om bolag vilken inte får spridas. Spridning av konfidentiell information kan leda till ne- gativa konsekvenser för kunderna och skadeståndsanspråk. För att begränsa risken för spridning av information så har samtliga anställda hos Xxxxxxx har informerats om gällande regelverk och sekretessavtal tillämpas.

3.3.4 Informationssäkerhetsrisker

Med informationssäkerhetsrisker avses risker för ekonomiska och förtroendemässiga förluster som kan uppstå, på grund av brister i sä- kerheten inom framförallt datormiljön. Bolaget gör bedömningen att de största informationssäkerhetsriskerna framförallt handlar om förlust eller otillbörlig användning av informationen i Bolagets server. För att begränsa dessa risker har Xxxxxxx utarbetat särskilda rutiner för IT-sä- kerhet och back up. Risken för dataintrång i syfte att komma åt affär- skänslig information hanteras genom lösenordshantering.

3.3.5 Tekniska risker

Med tekniska risker avses risker för förluster till följd av brister i teknisk utrustning, såsom tele- och datakommunikation, säkerhetsutrustning m.m.

För att begränsa dessa risker, i form av driftsavbrott, har Bolaget utar-

betat särskilda rutiner för IT-säkerhet och back up. I syfte att garantera oavbruten drift av verksamheten ska Bolaget vid var tid ha en kontinui- tetsplan för att säkerställa att Bolagets verksamhet ska kunna bedrivas även vid operativa störningar såsom om dess ordinarie lokaler inte kan utnyttjas, nyckelpersoners frånvaro mm.

3.3.6 Administrativa risker

Med administrativa risker avses risker som kan uppkomma till följd av brister i administration av Bolaget och i administrationen av kundhan- teringen. Sådana risker kan bestå av exempelvis felaktiga utbetalning- ar, felaktig bokföring eller brott mot lagar och förordningar, till exempel bokföringen och skattelagstiftningen. Fel i avstämning på klientmedel- skonton, fel vid upprättande och distribution av avräkningsnotor, fel vid upprättande av teckningslista mm.

All verksamhet inom Bolaget genomsyras av att dualitet är väl inarbe- tad i Bolagets processer vilket minimerar de administrativa riskerna i stor utsträckning. Dualiteten innebär att ingen person ensam ska ge- nomföra en administrativ åtgärd från början till slut utan varje åtgärd ska i något skede involvera åtminstone ytterligare en person.

För att begränsa de administrativa riskerna ska de kostnader som slutligt ska bäras av Bolaget, attesteras enligt bolagets attestordning. När det gäller kontroll av efterlevnaden av lagar och förordningar har styrelsen fastställt dels en arbetsordning för styrelsens arbete dels en instruktion för VD. Genom dessa dokument har ansvarsfördelningen mellan styrelsen och VD avseende bland annat rapportering och efter- levnad av exempelvis lagar och andra författningar tydliggjorts. Detta följs upp i styrelsearbetet på det sätt som framgår av ovan angivna dokument. Utöver detta har en särskild intern instruktion i form av en årskalender för rapportering till Finansinspektionen antagits.

Personalens och styrelsens kunskapsnivå och medvetenhet om gällan- de rutiner och regelsystem samt medvetenhet om sin roll och sitt ansvar i Bolaget är viktigaste faktorerna för att skydda Bolaget från exponering mot administrativa risker. Det är VD:s ansvar att se till att relevant in- formation ges till berörda medarbetare och styrelse i samband med att nya eller omarbetade regler och rutiner tillkommer. I dessa frågor har VD stöd av funktionen för regelefterlevnad.

3.3.7 Legala risker

Legala risker kan uppstå internt i Bolaget på grund av bristande känne- dom om lagar, föreskrifter och andra bestämmelser samt rutiner vilka bildar ramarna för verksamheten. VD bär ansvaret för att hålla sig och sin personal informerad om förändringar i tillämplig lag och föreskrifter. I dessa frågor har VD stöd av funktionen för regelefterlevnad.

I samband med att Bolaget ingår avtal kan risker uppstå om avtalen inte belyser relevanta legala aspekter. Bolaget ska därför vid behov inhämta synpunkter på avtal från juridisk expertis och där så är möjligt utnyttja standardiserade avtal.

3.3.8 Risker som följer av utkontraktering

Bolaget har utkontrakterat funktionerna för regelefterlevnad, riskhan- tering, internrevision samt löpande bokföring och rapportering till Fi- nansinspektionen. Risker som följer av utkontraktering kan uppstå om Bolagets uppdragstagare saknar den kompetens, kapacitet och i före- kommande fall de tillstånd som krävs för att utföra den utkontrakterade verksamheten på ett professionellt sätt.

Vid utkontraktering av delar av arbete och funktioner av väsentlig be- tydelse för verksamheten ska Bolaget se till att verksamheten utförs av uppdragstagaren under kontrollerade och säkerhetsmässigt be- tryggande former och att uppdraget inte väsentligt försämrar kvalite- ten på institutets internkontroll och Finansinspektionens möjligheter att övervaka att institutet följer de regler som gäller för verksamheten. VD ansvarar för att övervaka och följa upp utförandet av de utlagda funktionerna. Om uppdragstagaren inte utför sitt uppdrag effektivt och i överensstämmelse med tillämpliga lagar och andra bestämmelser ska Bolaget tillse att lämpliga åtgärder vidtas så att rättelse sker.

För att begränsa riskerna som följer av utkontraktering har Bolaget antagit interna riktlinjer för outsourcing, som reglerar förutsättningarna för val av uppdragstagare, löpande övervakning av de utlagda funk- tionerna samt ansvarsfördelning för den utlagda verksamheten inom Bolaget. Förutsättningarna för den utlagda verksamheten regleras i skriftligt avtal mellan Bolaget och uppdragstagaren, och uppdragstaga- ren åtar sig att följa de delar av Bolagets interna regelverk som gäller för funktionen.

3.3.9 Övriga företagsrisker

I syfte att garantera oavbruten drift av verksamheten ska bolaget vid var tid ha en kontinuitetsplan för att säkerställa att Bolagets verksam- het ska kunna bedrivas även vid operativa störningar såsom om dess ordinarie lokaler inte kan utnyttjas, nyckelpersoners frånvaro mm. En övrig företagsrisk är även brister i rutiner och nyckelpersonsberoende.

• Förebyggs genom avtalsdokumentation och kontinuitetsplan. Ålig- ger samtliga anställda som erhåller information om rubricerad risk att underrätta VD.

• Förebyggs genom dokumenterade instruktioner på Bolagets samtliga processer samt dualitet.

• Bolaget ska för sin verksamhet ha ett försäkringsskydd som väl uppfyller verksamhetens krav. Styrelsen ska minst en gång per år ompröva Bolagets försäkringsskydd.

3.4 Metoder för hantering av risker

Bolaget har två parallella processer för att identifiera, mäta och hantera risk i verksamheten; löpande incidentrapportering och årlig workshop avseende risk.

Inträffade incidenter ska rapporteras till riskansvarig. VD fattar beslut

om vilka eventuella åtgärder som bör vidtas. Incidentrapportering är en bakåtblickande process som fångar upp aktuella risker som Bolaget är exponerat för.

Den årliga workshopen avseende risk initieras och leds av risk- ansvarig och syftar till att Bolaget ska identifiera risker som Bolaget kan komma att bli exponerat för. Potentiella risker mäts sedan utifrån sannolikheten för att de inträffar och konsekvensen av om de inträffar.

För Bolagets mest allvarliga risker ska utformas metoder som syftar till att minska sannolikheten för att riskerna inträffar eller konsekvensen givet att de inträffar.

Riskansvarig ska dokumentera de risker som identifieras och ansvarar

för att dessa risker värderas löpande.

Rutin för incidentrapportering

Anställda är skyldiga att rapportera incidenter till Bolaget. Rapporte- ringen ska ske i enlighet med bolagets incidentrapporteringsrutin.

Indikatorer och gränsvärden för risker

Följande indikatorer som kan tyda på att de riskerna ökar kan vara följande

• Kundklagomål,

• Antalet incidenter ökar eller typen av incidenter förändras, och

• Funktionerna för compliance, riskhantering eller internrevision har rapporterat väsentliga brister i verksamheten.

3.5 IKLU

Bolaget ska, förutom att ha en välfungerande löpande riskhantering, även upprätta metoder som möjliggör att Bolaget fortlöpande kan be- döma det totala behovet av kapital och likviditet.

Bolaget ska inom ramen för denna skyldighet upprätta ett särskilt doku- ment som innehåller följande uppgifter:

• En heltäckande beskrivning av Bolagets verksamhet och de risker som den ger upphov till.

• En beskrivning av de processer och metoder som Bolaget använ- der för att bedöma kapitalbehovet enligt ovan.

• Information om Bolagets bedömning av kapitalbehovet.

• Information om Bolagets bedömning av vilken typ av kapital som behövs för att täcka kapitalbehovet för respektive risk.

• En beskrivning av de processer och metoder som Bolaget använ- der för att bedöma likviditetsbehovet enligt nedan.

• Information om Bolagets likviditetsbehov. Informationen ska inne- hålla Bolagets bedömning av vilken storlek och sammansättning

dess likviditetsreserv ska ha samt en redogörelse för vilka åtgär- der Bolaget vidtagit eller avser att vidta, för att hantera en stressad likviditetssituation.

Då Xxxxxxxx verksamhet kan komma att förändras över tiden åligger det VD samt styrelse att tillsammans med riskhanteringsfunktionen lö- pande uppdatera Bolagets IKLU, minst en gång per år.

4 Intern kontroll

Bolagets verksamhet är av begränsad omfattning, men har fortfarande behov av en fungerande intern kontroll avseende riskhantering. Med intern styrning och kontroll menas en process genom vilken företagets styrelse, VD, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål med intern styrning och kontroll uppnås. Bolagets organisation omfattar en första linje i den löpande verksamheten, en andra linje genom Bolagets Riskhanterings- och regelefterlevnadsfunk- tion.

För att uppnå en effektiv intern kontroll är det Bolagets målsättning att så långt som möjligt ha inbyggda kontroller i verksamheten samtidigt som det ska eftersträva dualitet i alla centrala processer. Ansvar och arbetsfördelningen inom bolaget ska verka för att interna kontrollrutiner är effektiva och ändamålsenliga. I bolagets verksamhetssystem ska det framgå vem eller vilka som är ansvariga för bolagets olika arbetsom- råden.

VD och Riskhanteringsfunktionen ska vidta erforderliga åtgärder för att löpande upprätthålla en hög medvetenhet inom dessa områden. Bola- gets interna regler ska normalt sett utvärderas och fastställas minst en gång per år av styrelsen i Bolaget.

Överträdelser som kan påverka Bolagets risk ska dokumenteras och rapporteras uppåt internt i organisationen till såväl VD och styrelsen. Ansvarig för rapporteringen till styrelsen är VD. Funktionen för Riskhan- tering ansvarar för att styrelsen i Bolaget får regelbundna, åtminstone årliga, skriftliga rapporter avseende riskrapportering.

5 Oberoende granskning

Funktionen för internrevision, eller av Bolaget externt anlitad obero- ende part, ska regelbundet genomföra en oberoende granskning och bedömning av bolagets styrning och kontroll av risker. Resultatet av denna granskning ska rapporteras till Bolagets styrelse.

6 Offentliggörande

Bolaget ska på sin hemsida offentliggöra sina mål och sin policy för riskhantering samt huruvida Xxxxxxx har inrättat en separat riskkom- mitté och hur många gånger denna kommitté har sammanträtt årligen. Offentliggörandet ska ske i enlighet med artikel 47 och 48 c) i förordning (EU) 2019/2033.