Riktlinjer för riskhantering och hantering av operativa risker
Riktlinjer för riskhantering och hantering av operativa risker
Eminova Fondkommission AB (”Bolaget”) har mot bakgrund av Artikel 23 i förordning (EU) 2017/565, 3 kap. 7-9 §§ FFFS 2017:2
och 2 kap. 2 § FFFS 2014:4 fastställt följande riktlinjer för riskhantering och hantering av operativa risker.
Bolaget har en instruktion för att bedöma kapitalbehovet under Basel II (Process för IKLU).
1 Inledning
För att bedriva en effektiv och lönsam affärsverksamhet måste Bolaget ha en väl fungerande intern kontroll med rutiner så att risker i verksamheten kan hanteras på ett effektivt sätt.
Bolaget ska därför se till att
1. Dels ha aktuella och lämpliga riktlinjer och rutiner för riskhantering i syfte att identifiera de risker som finns i dess verksam- het (inklusive risker som följer av utkontrak- tering), metoder och system, dels vid behov fastställa den risknivå som det kan acceptera, och
2. Anta effektiva rutiner, metoder och mekanismer för att, mot bakgrund av risk- nivån i 1, hantera de risker som finns i dess verksamhet, metoder och system.
Bolaget ska även kontrollera
1. Att riktlinjer och rutiner enligt första stycket 1 är lämpliga och effektiva,
2. I vilken utsträckning bolaget och dess anställda följer de rutiner, metoder och mekanismer som ska antas enligt första stycket 2, och
3. Att åtgärder som bolaget vidtagit för att avhjälpa eventuella brister i riktlinjer, rutiner, metoder och mekanismer samt de anställdas tillämpning av dessa, är lämpliga och effektiva.
2 Riskhanteringsfunktion Bolaget har utkontrakterat funktionen för riskhantering. Funktionen är oberoende av Bolagets operativa verksamhet. Funktionen för riskhantering ansvarar för att Bolaget uppfyller kraven på riskhantering. Xxx-Xxxxx
Xxxxxxxx (Advokatfirma DLA Piper KB), är
utsedd till riskhanteringsfunktion i Bolaget.
2.1 Ansvar och rapportering Riskhanteringsfunktionen ska implementera de riktlinjer och rutiner för riskhantering som fastställs i verksamheten. Riskhanterings- funktionen ska lämna råd samt regelbundet och åtminstone årligen skriftligen rapportera till Bolagets styrelse och verkställande direk- tör (VD) om de områden som omfattas av be- stämmelserna om riskhantering. Rapporterna ska bl.a. innehålla uppgifter om vilka åtgärder som har vidtagits vid eventuella brister i risk- hanteringen. I händelse av att sådana risker, som kan anses äventyra Bolagets verksam- het, identifieras ska riskhanteringsfunktionen utan dröjsmål informera Bolagets verkstäl- lande direktör och styrelse samt Bolagets funktion för regelefterlevnad. Övervägande ska härvid också göras av Riskhanterings- funktionen, i samråd med VD och funktion för regelefterlevnad om rapportering till Finans- inspektionen ska ske i enlighet med Bolagets Riktlinjer för hantering och rapportering av händelser av väsentlig betydelse.
2.2 Kapitalkrav m.m. Riskhanteringsfunktionen följer löpande upp beräkning, värdering och upprätthållandet av kapitalkraven. Riskhanteringsfunktionen gör, för denna kapitalutvärdering, löpande avstämningar med Bolagets VD.
Riskhanteringsfunktionen ska inför Bolagets ordinarie styrelsemöten utvärdera, beräkna och värdera Bolagets exponeringar mot risker. Riskhanteringsfunktionen inhämtar den information som anses nödvändig för denna utvärderings genomförande från Bolagets VD. Resultatet av denna utvärdering ska dokumenteras skriftligen i den riskhanterings- rapport som Riskhanteringsfunktionen ska upprätta.
2.3 Extern rapportering
Bolaget offentliggör information om kapi- taltäckning och likviditetssituation enligt FFFS 2014:12 och FFFS 2010:7 i Bolagets årsredovisning.
3 Risker i verksamheten
Bolaget har identifierat följande huvudsakliga riskområden där Bolaget på olika sätt är exponerad för risk.
3.1 Marknadsrisk
Med marknadsrisk avses den risk som föreligger för att Bolagets kapital ska urholkas i värde på grund av marknadsrörelser. Medel ska huvudsakligen förvaltas genom en försik- tig placering såsom genom bankinlåning och daglighandlade räntefonder. Alla investe- ringar ska löpande följas upp vad gäller risk, orealiserat resultat, marknadsvärde samt krav på kapitaltäckning. Tillgångarnas värde kan fluktuera över tiden. Det kan innebära att ka- pitaltäckningskraven för kreditrisken varierar. Bolaget hanterar detta genom att ha en rutin för att värdera tillgångarna.
Bolagets ekonomifunktion underrättar VD och riskhanteringsfunktionen löpande om värderingen på bolagets olika innehav.
Bolagets verksamhet med tillhörande tillstånd är av den omfattningen att exponering mot marknadsrisker inte föreligger. Riskhante- ringsfunktionen ska löpande följa upp Bola- gets exponering mot marknadsrisker.
3.2 Kreditrisk
Med kreditrisk definieras risken för förlust på grund av att bolaget inte erhåller betalning enligt överenskommelse och/eller att en mot- part inte fullgör sina förpliktelser mot bolaget.
Kreditgivning förekommer inte i Bolagets verksamhet, vilket innebär att Bolaget inte kommer att ha några egentliga kreditrisker. Motpartsrisker uppstår i samband med normala fordringar på kunder, leverantörer och motparter etc. Bolagets kreditrisk uppstår i samband med normala fordringar på kunder etc.
Kredit- och motpartsriskerna förebyggs genom avtalsdokumentation. Bolagets kre- ditrisker består främst av kundfordringar och insatta medel hos kreditinstitut. Risken för att en motpart fallerar anses låg.
För att säkerställa betalning för vissa upp- drag, kommer bolaget att så långt som möjligt kräva viss förskottsbetalning samt ta betalt för tjänsterna genom avdrag från emissionslikvid.
Bolagets ekonomifunktion underrättar VD när betalningsdröjsmål från kund avseende faktura föreligger
Riskhanteringsfunktionsansvarig ska löpande följa upp bolagets exponering mot kreditrisker och marknadsrisker. Riskhanteringsfunktio- nen ska löpande följa upp kreditvärderingen för Bolagets institut avseende bl.a. bankinlå- ning.
3.3 Operativ risk
Inom området operativ risk finns sannolikt bolagets huvudsakliga risker. Det kan handla om administrativa brister, brister i utförandet av tjänster, tekniska problem, bristande ruti- ner vid investeringsrådgivning, legala risker samt andra compliancerelaterade risker.
Bolaget har två parallella processer för att identifiera, mäta och hantera operativ risk i verksamheten; löpande incidentrapportering och årlig workshop avseende operativ risk.
Inträffade incidenter ska rapporteras till risk- ansvarig. VD fattar beslut om vilka eventuella åtgärder som bör vidtas. Incidentrapportering är en bakåtblickande process som fångar upp operativa risker som redan har inträffat.
Den årliga workshopen avseende operativ risk initieras och leds av riskansvarig och syftar till att Bolaget ska identifiera poten- tiella operativa risker som kan komma att inträffa. Potentiella risker klassificeras sedan utifrån sannolikheten för att de inträffar och konsekvensen av om de inträffar. Åtminsto- ne följande områden ska behandlas under workshopen
• Operativa risker i bolagets produkter, tjänster, funktioner och IT-system samt i sam- band med förändringar av dessa exempelvis tillhandahållande av nya produkter/tjänster eller förändringar av IT-systemen
• Operativa risker i processerna där det
finns risk för betydande förluster på grund av t.ex. misstag, manipulering av information eller möjlighet att dölja felbedömningar och förluster
• Operativa risker på grund av intresse- konflikter som kan finnas i förhållande till kunder, leverantörer, motparter eller ägarföre- trädare
• Operativa risker som kan uppkomma i samband med uppdatering av befattningsbe- skrivningar, mandat eller limiter
• Operativa risker som kan uppstå vid nyanställning av personal
• Operativa risker på grund av outsourcad verksamhet
• Operativa risker som kan uppstå till följd av att verksamheten inte följer förekommande regelverk eller gällande avtal
För bolagets mest allvarliga operativa risker ska utformas konkreta åtgärdsförslag som syftar till att minska sannolikheten för att riskerna inträffar eller konsekvensen givet att de inträffar. Workshopen avseende operativ risk är en framåtblickande process som syftar till att identifiera potentiella operativa risker och därmed skapa förutsättningar för att vidta åtgärder som syftar till att sänka bolagets operativa riskprofil.
Riskansvarig ska dokumentera de operativa risker som identifieras och ansvarar för att dessa risker värderas löpande.
Rutin för incidentrapportering
Anställda är skyldiga att rapportera incidenter till bolaget. Rapporteringen ska ske i enlighet med bolagets incidentrapporteringsrutin.
Riskvärdering
Sannolikheten för att en operativ risk inträffar och konsekvensen av att den verkligen inträffar ska värderas utifrån en fyrgradig skala. Genom att multiplicera den bedömda sannolikheten med den bedömda konsekven- sen erhålls ett riskvärde som anger hur stor risken bedöms vara.
Bolaget ska kontinuerligt arbeta för att minska riskerna i verksamheten. Bolagets målsätt-
ning är att det genomsnittliga riskvärdet för bolagets samtliga operativa risker inte ska överstiga riskvärdet 6. Om medelvärdet för samtliga operativa risker överskrids eller om riskvärdet för
en enskild operativ risk bedöms vara 8 eller däröver ska konkreta åtgärder vidtas för att minska risken och en tidsplan anges för när åtgärderna ska vara genomförda.
Riskansvarig ansvarar för uppföljning av bolagets risknivå avseende operativa risker och för att beslutade åtgärder för att minska de operativa riskerna genomförs.
Riskaptit
Det är styrelsens uppgift att fastställa en ris- kaptit för bolagets operativa risker. Styrelsen har beslutat att riskaptiten är begränsad till att acceptera de risker i verksamheten vars förväntade förluster kan täckas av bolagets löpande intjäningsförmåga.
Indikatorer och gränsvärden för operativa risker
Följande indikatorer som kan tyda på att de operativa riskerna ökar kan vara följande
• Kundklagomål
• Antalet incidenter ökar eller typen av incidenter förändras
• Funktionerna för compliance, risk- hantering eller internrevision har rapporterat väsentliga brister i verksamheten
• Andra för bolaget mindre sannolika indikatorer kan vara frekventa omorganisa- tioner, större verksamhetsförändringar, hög personalomsättning eller många vakanta tjänster
Om det finns tecken på att de operativa ris- kerna ökar ska en extra workshop hållas för att identifiera eventuellt nya operativa risker eller att vissa operativa risker ska åsättas ett högre riskvärde än tidigare.
I verksamheten har bland annat följande
operativa risker identifierats:
3.3.1 Avsaknad av kunddokumentation och avtal m.m.
Verksamheten inom bolaget består huvud- sakligen i genomförande av ägarspridning och emissioner, prospekt och memoran- dumskrivningar, erbjuda tjänsten som certified adviser samt liknande frågor.
Uppdragen är i huvudsak administrativa och för att i möjligaste mån undvika brister i detta avseende ska riskerna för administrativa eller legala fel på grund av avsaknad av erforderlig kunddokumentation och kundavtal begränsas genom att bolaget upprättat processbeskriv- ningar för nya kunder och avtal. Avtal ska upprättas med samtliga kunder.
3.3.2 Felaktig eller bristfällig rådgivning med risk för skadeståndskrav mot Bolaget. Bolaget lämnar råd till bolag avseende olika former av emissioner och upprättande av prospekt och memorandumskrivningar. Varje råd som lämnas innehåller en potentiell risk för att drabbas av skadeståndsansvar varför det är av yttersta vikt att rådgivningen ska dokumenteras i enlighet med det regelverk som omger verksamheten. För att begränsa risken för fel i samband med rådgivning ska samtliga avtal granskas av VD, samt av com- pliance- funktionen på stickprovsbasis. Vidare begränsas denna risk genom ansvarförsäk- ringsskydd.
3.3.3 Spridning av konfidentiell informa- tion samt insiderinformation.
Bolaget hanterar känslig och konfidentiell information om bolag vilken inte får spridas. Spridning av konfidentiell information kan leda till negativa konsekvenser för kunderna och skadeståndsanspråk. För att begränsa risken för spridning av information så har samtliga anställda hos Xxxxxxx har informe- rats om gällande regelverk och sekretessav- tal tillämpas.
3.3.4 Informationssäkerhetsrisker Med informationssäkerhetsrisker avses
risker för ekonomiska och förtroendemässiga förluster som kan uppstå, på grund av brister i säkerheten inom framförallt datormiljön.
Bolaget gör bedömningen att de största
informationssäkerhetsriskerna framförallt handlar om förlust eller otillbörlig användning av informationen i Bolagets server. För att begränsa dessa risker har Xxxxxxx utarbetat särskilda rutiner för IT-säkerhet och back up. Risken för dataintrång i syfte att komma åt affärskänslig information hanteras genom lösenordshantering.
3.3.5 Tekniska risker
Med tekniska risker avses risker för förluster till följd av brister i teknisk utrustning, såsom tele- och datakommunikation, säkerhetsut- rustning m.m.
För att begränsa dessa risker, i form av driftsavbrott, har Bolaget utarbetat särskilda rutiner för IT-säkerhet och back up. I syfte att garantera oavbruten drift av verksamheten ska Bolaget vid var tid ha en kontinuitetsplan för att säkerställa att Bolagets verksamhet ska kunna bedrivas även vid operativa stör- ningar såsom om dess ordinarie lokaler inte kan utnyttjas, nyckelpersoners frånvaro mm.
3.3.6 Administrativa risker
Med administrativa risker avses risker som kan uppkomma till följd av brister i adminis- tration av Bolaget och i administrationen av kundhanteringen. Sådana risker kan bestå av exempelvis felaktiga utbetalningar, felaktig bokföring eller brott mot lagar och förordning- ar, till exempel bokföringen och skattelag- stiftningen. Fel i avstämning på klientmedel- skonton, fel vid upprättande och distribution av avräkningsnotor, fel vid upprättande av teckningslista mm.
All verksamhet inom Bolaget genomsyras av att dualitet är väl inarbetad i Bolagets processer vilket minimerar de administrativa riskerna i stor utsträckning. Dualiteten inne- bär att ingen person ensam ska genomföra en administrativ åtgärd från början till slut
utan varje åtgärd ska i något skede involvera åtminstone ytterligare en person.
För att begränsa de administrativa riskerna ska de kostnader som slutligt ska bäras av Bolaget, attesteras enligt bolagets attestord-
ning. När det gäller kontroll av efterlevnaden av lagar och förordningar har styrelsen fastställt dels en arbetsordning för styrelsens arbete dels en instruktion för VD. Genom dessa dokument har ansvarsfördelningen mellan styrelsen och VD avseende bland an- nat rapportering och efterlevnad av exempel- vis lagar och andra författningar tydliggjorts. Detta följs upp i styrelsearbetet på det sätt som framgår av ovan angivna dokument.
Utöver detta har en särskild intern instruktion i form av en årskalender för rapportering till Finansinspektionen antagits.
Personalens och styrelsens kunskapsnivå och medvetenhet om gällande rutiner och re- gelsystem samt medvetenhet om sin roll och sitt ansvar i Bolaget är viktigaste faktorerna för att skydda Bolaget från exponering mot administrativa risker. Det är VD:s ansvar att se till att relevant information ges till berörda medarbetare och styrelse i samband med
att nya eller omarbetade regler och rutiner tillkommer. I dessa frågor har VD stöd av funktionen för regelefterlevnad.
3.3.7 Legala risker
Legala risker kan uppstå internt i Bolaget på grund av bristande kännedom om lagar, före- skrifter och andra bestämmelser samt rutiner vilka bildar ramarna för verksamheten. VD bär ansvaret för att hålla sig och sin personal informerad om förändringar i tillämplig lag och föreskrifter. I dessa frågor har VD stöd av funktionen för regelefterlevnad.
I samband med att Bolaget ingår avtal kan risker uppstå om avtalen inte belyser
relevanta legala aspekter. Bolaget ska därför vid behov inhämta synpunkter på avtal från juridisk expertis och där så är möjligt utnyttja standardiserade avtal.
3.3.8 Risker som följer av utkontraktering Bolaget har utkontrakterat funktionerna för regelefterlevnad, riskhantering, internrevision samt löpande bokföring och rapportering
till Finansinspektionen. Risker som följer av utkontraktering kan uppstå om Xxxxxxxx uppdragstagare saknar den kompetens,
kapacitet och i förekommande fall de tillstånd som krävs för att utföra den utkontrakterade verksamheten på ett professionellt sätt.
Vid utkontraktering av delar av arbete och funktioner av väsentlig betydelse för verksamheten ska Bolaget se till att
verksamheten utförs av uppdragstagaren under kontrollerade och säkerhetsmässigt betryggande former och att uppdraget inte väsentligt försämrar kvaliteten på institutets internkontroll och Finansinspektionens möjlig- heter att övervaka att institutet följer de regler som gäller för verksamheten. VD ansvarar för att övervaka och följa upp utförandet av de utlagda funktionerna. Om uppdragstagaren inte utför sitt uppdrag effektivt och i överens- stämmelse med tillämpliga lagar och andra bestämmelser ska Bolaget tillse att lämpliga åtgärder vidtas så att rättelse sker.
För att begränsa riskerna som följer av utkon- traktering har Bolaget antagit interna riktlinjer för outsourcing, som reglerar förutsättning- arna för val av uppdragstagare, löpande övervakning av de utlagda funktionerna samt ansvarsfördelning för den utlagda verksam- heten inom Bolaget. Förutsättningarna för den utlagda verksamheten regleras i skriftligt avtal mellan Bolaget och uppdragstagaren, och uppdragstagaren åtar sig att följa de de- lar av Bolagets interna regelverk som gäller för funktionen.
3.3.9 Övriga operativa risker
I syfte att garantera oavbruten drift av verksamheten ska bolaget vid var tid ha en kontinuitetsplan för att säkerställa att Bola- gets verksamhet ska kunna bedrivas även vid operativa störningar såsom om dess ordinarie lokaler inte kan utnyttjas, nyckelpersoners frånvaro mm. En övrig operativ risk är även brister i rutiner och nyckelpersonsberoende.
• Förebyggs genom avtalsdokumentation och kontinuitetsplan. Åligger samtliga anställ- da som erhåller information om rubricerad risk att underrätta VD.
• Förebyggs genom dokumenterade instruktioner på Bolagets samtliga processer samt dualitet.
• Bolaget ska för sin verksamhet ha ett försäkringsskydd som väl uppfyller verk- samhetens krav. Styrelsen ska minst en gång per år ompröva Bolagets försäkringsskydd.
3.4 Risker i pelare 2
Bolaget ska, förutom att ha en välfungerande löpande riskhantering, även upprätta metoder som möjliggör att Bolaget fortlöpande kan värdera och upprätthålla ett kapital som är tillräckligt för att även täcka de övriga risker som Bolaget har eller kan komma att bli utsatt för. Övriga risker ingår i Pelare 2 och kan utgöras av till exempel likviditetsrisker, ryktesrisker, strategiska risker samt intjä- ningsrisker. Riskhanteringsfunktionsansvarig ansvarar, förutom för den löpande riskhan- teringen angiven i denna riktlinje, även för Bolagets process för interna kapital- och likviditetsutvärdering (IKLU). IKLUn syftar till att säkerställa att Bolaget har en kapitalbas som minst motsvarar kapitalkraven för iden- tifierade risker under Pelare 1 samt pelare
2. Då Bolagets verksamhet kan komma att
förändras över tiden åligger det VD samt sty- relse att tillsammans med riskhanteringsfunk- tionen löpande genomföra bedömningar och värderingar av att Bolagets IKLU är anpassad till Bolagets aktuella verksamhet. De risker som Bolaget har identifierat inom pelare 2 framgår av bolagets riskutvärdering (Opera- tional Risk Assessment) men sammanfattas kortfattat nedan.
3.4.1 Koncentrationsrisk
Med koncentrationsrisk avses att Bolagets engagemang är koncentrerat till ett fåtal kunder, till en viss bransch eller geografiskt område vilket leder till ökad sårbarhet för Bolaget.
Då Bolagets kunder är aktiva inom olika bran- scher och spridna inom ett större geografiskt område bedöms koncentrationsrisken som låg.
3.4.2 Affärs – och intjäningsrisk
Med affärs- och intjäningsrisk avses att löpande rörelseintäkter utvecklas sämre än förväntat.
Affärsrisken begränsas genom att Bolaget har flera affärsområden. Affärsrisken ska även begränsas genom att ha en diversifierad spridning av bolagets intäkter fördelat på
flera mindre kundavtal istället för några få stora kundavtal. Vidare ska risken begränsas genom att eftersträva en låg nivå Bolagets fasta kostnader.
3.4.3 Ränterisk
Bolaget är inte känsligt för upplåning då Bolaget enbart finansieras med eget kapital. Ränterisken hanteras genom egen finan- siering eller vid behov en begränsad extern finansiering i kombination med låga fasta kostnader.
3.4.4 Likviditetsrisk
Bolaget har fastställt särskilda riktlinjer för hantering av likviditetsrisker.
3.4.5 Strategisk risk
Med strategisk risk avses institutionella förändringar i form av regelverksändringar och förändringar i grundläggande marknads- förutsättningar som kan inträffa.
Den strategiska risken ska hanteras bl. a ge- nom att Bolaget följer och bevakar den legala utvecklingen samt marknadsutvecklingen inom Bolagets område, för att på så sätt vara förberedd för eventuella förändringar.
3.4.6 Ryktesrisk
Med ryktesrisk avses risken att Xxxxxxx drabbas av dåligt rykte på grund av missnöj- da kunder eller andra sprider ofördelaktiga uppgifter om Bolaget på marknaden, i media etc.
Ryktesrisken begränsas bl.a. genom god intern styrning och kontroll, samt kvalitetssäk- ring av alla affärer som görs genom Bolaget samt, genom kontinuerlig utvärdering av Bolagets samarbetspartners.
4 Intern kontroll
Bolagets verksamhet är av begränsad omfattning, men har fortfarande behov av en fungerande intern kontroll avseende riskhan- tering. Med intern styrning och kontroll menas en process genom vilken företagets styrelse, VD, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål med intern styrning och kontroll uppnås. Bolagets organisation omfattar en första linje i den löpande verksamheten, en andra linje genom Bolagets Riskhanterings- och regelefterlev- nadsfunktion.
För att uppnå en effektiv intern kontroll är det Bolagets målsättning att så långt som möjligt ha inbyggda kontroller i verksamheten sam- tidigt som det ska eftersträva dualitet i alla
centrala processer. Ansvar och arbetsfördel- ningen inom bolaget ska verka för att interna kontrollrutiner är effektiva och ändamålsen- liga. I bolagets verksamhetssystem ska det framgå vem eller vilka som är ansvariga för bolagets olika arbetsområden.
VD och Riskhanteringsfunktionen ska vidta erforderliga åtgärder för att löpande upp- rätthålla en hög medvetenhet inom dessa områden. Bolagets interna regler ska normalt sett utvärderas och fastställas minst en gång per år av styrelsen i Bolaget.
Överträdelser som kan påverka Bolagets risk ska dokumenteras och rapporteras uppåt internt i organisationen till såväl VD och styrelsen. Ansvarig för rapporteringen till
styrelsen är VD. Funktionen för Riskhantering ansvarar för att styrelsen i Bolaget får regel- bundna, åtminstone årliga, skriftliga rapporter avseende riskrapportering.