svenska Banl<föreningen Swedish Bankers' Association

Transkript

1 ~ svenska Banl<föreningen Swedish Bankers' Association SVENSKA FONDHANDLARE FÖRENINGEN REMISSYTTRANDE Vår referens: 2013/00115 Er referens: Fl Dnr (26) Finansinspektionen finansinspektionen@fi.se Remiss av förslag till nya föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut Inledning och sammanfattning Svenska Bankföreningen och Svenska Fondhandlareföreningen ser mycket positivt på Finansinspektionens (Fl) öppna process vid framtagandet av dessa föreskrifter och de möjligheter till möten och samtal som Fl erbjudit under projektets gång. Antalet regler och pågående regelprojekt har under senare tid ökat markant. Det gäller såväl internationella som inhemska regelprojekt. Komplexitetsgraden i regelfloran ökar likaså vilket skapar ett stort behov hos branschen för en öppen och fortlöpande dialog. På ett mer övergripande plan är det bra att Fl inom ramen för detta regelprojekt valt att hänvisa, bl.a. vad gäller whistle blowing och ersättningspolicyn, till GL 44 och befintliga föreskrifter i avvaktan på implementeringen av CRD 4. Det är också bra att Fl valt att inte införa nya regler avseende etiska frågor utan i stället hänvisar till de allmänna råden i FFFS 1998:22. Vi delar Fis inställning om att en fullständig översyn krävs innan bindande regler införs på området. Vi ser det emellertid som mycket bekymmersamt att det finns en diskrepans mellan den grundläggande uppdelningen enligt aktiebolagslagen (ABL) av bolagsorganens ansvarsområden och den associationsrättsliga regleringen i föreskriften. I och med att aktiebolagslagens bestämmelser också ska tillämpas av bankaktiebolag är det av grundläggande betydelse att dessa bestämmelser också utgör grunden för föreskriftens bestämmelser. Det får inte råda någon tveksamhet om att de möjligheter och skyldigheter som följer av ABL också är tillämpliga för kreditinstitut som är aktiebolag. Proportionalitetsprincipen är ett annat problematiskt område. Föreskriftens tillämpningsområde är brett och omfattar såväl små som stora företag och komplex likväl som mindre komplex verksamhet. Det är därför viktigt att bestämmelserna i föreskriften kan tillämpas i proportion till arten och omfattningen av företagets verksamhet och till dess komplexitetsgrad. En sådan ordning gäller enligt bank- och

2 2 (26) finansieringsrörelselagen och bör införas även i föreskriften. Detaljeringsgraden i föreskriftens bestämmelser gör det vidare problematiskt för företagen att applicera bestämmelserna utifrån ett riskbaserat förhållningssätt. Risk och kontroll torde vara det fundamentala syftet bakom föreskriften. En bra riskhantering kräver att regleringen ger företagen ett visst mått av flexibilitet. Tekniska regler med en alltför hög komplexitetsgrad riskerar att motverka sitt syfte. Även om bindande regler är ägnade att strama upp och förtydliga kravet på en god intern styrning och kontroll, måste företagen ges möjlighet att agera utifrån sina respektive organisationsstrukturer och bedömda riskområden/nivåer. Slutligen vill vi understryka att en samordning mellan föreskriftens bestämmelser och andra nationella och internationella standarder/ bindande regler på området är av avgörande betydelse för att möjliggöra en ändamålsenlig hantering för företagen. Nedan lämnar vi mer detaljerade synpunkter på föreskriftens olika delområden. Inledningsvis lämnas först en mer utförlig kommentar till de problem vi ser avseende de mer generella områdena associationsrätt, proportionalitet samt föreskriftens ikraftträdandedatum. Associationsrättsliga regler Föreskriften innehåller på flera håll rent associationsrättslig reglering. För företag som är aktiebolag gäller ABLs regler. I bank- och finansieringsrörelselagen finns därutöver särskilda regler för kreditinstitut. Det saknas bemyndiganden i såväl ABL som i bank- och finansieringsrörel selagen avseende de associationsrättsliga reglerna. Sålunda måste ABL och bank- och finansieringsrörelselagens associationsrättsliga regler vara utgång spunkten även i förhållande till föreskriften. Vad gäller Svensk kod för bolagsstyrning (koden) synes Fl helt ha bortsett från denna, vilket är förvånande och mycket olyckligt. Koden började gälla den 1 juli 2008 och omfattar alla svenska bolag, vilkas aktier är upptagna till handel på en svensk reglerad marknad. Reglerade marknader i Sverige är för närvarande Nasdaq OMX Stockholm och NGM Equity. En reviderad kod trädde i kraft den 1 februari Det följer av börsens regler för emittenter att börsnoterade bolag ska följa allmänt vedertagen god sed på värdepappersmarknaden. I den förklarande texten till nämnda bestämmelse står följande: "Bolaget ska även följa - förutom lag, annan författning och detta regelverk - allmänt accepterad god sed på den svenska aktiemarknaden. Med allmänt accepterad god sed avses en faktiskt förekommande praxis för börsbolagens uppträdande på aktiemarknaden. En sådan praxis kan t.ex. komma till uttryck genom Aktiemarknadsnämndens uttalanden, rekommendationer från Rådet för finansiell rapportering eller genom reglerna i den svenska koden för bolagsstyrning".

3 3 (26) Redan innan arbetet med aktuellt regelprojekt (styrning m.m.) påbörjades påpekades från branschens sida att koden har fungerat bra och att den därför bör tjäna som utgångspunkt vid implementeringen av GL 44. Denna ståndpunkt gör sig fortfarande gällande och vi menar att koden bör vara den naturliga utgångspunkten vid nyreglering inom de områden där förhållandet också regleras i koden. Mot denna bakgrund är det viktigt att kompetensfördelningen mellan de bolagsrättsliga organen enligt ABL och koden beaktas. Bland annat är det bolagsstämman som utser styrelsen i bolaget och bestämmer över mångfald, kompetenskrav m.m. Det ankommer således inte på företaget eller dess tjänstemän, att reglera tillsättning av styrelsens ledamöter eller att säkerställa styrelsens kompetens. I ABL och koden regleras också styrelsens ansvar och uppgifter. Styrelsen ansvarar bl.a. för bolagets organisation och förvaltningen av bolagets angelägenheter. Styrelsen har möjlighet att delegera uppgifter till en eller flera av styrelsens ledamöter eller till andra. Oavsett om delegation har skett, inom eller utom styrelsekretsen, kan styrelsen aldrig avhända sig det yttersta ansvaret. Vid delegering bör styrelsen handla med omsorg och fortlöpande kontrollera om delegationen kan upprätthållas. Någon begränsning avseende styrelsens delegationsmöjlighet finns inte i bank- och fin ansieringsrörelselagen. Utgångspunkten måste därför vara, när det gäller vad som i föreskriften anges om styrelsens uppgifter, att dessa bestämmelser ska grundas på bl.a. ABLs regler. Det innebär att styrelsen även när den tillämpar föreskriften kan delegera uppgifter till kommitteer, utskott eller liknande. Det ställs till och med krav på inrättandet av kommitteer i en rad olika befintliga och föreslagna regleringar såsom i ABL, koden, GL 44 och CRD 4. Som anges i den associationsrättsliga regleringen har styrelsen dock alltid det yttersta ansvaret. Detta bör förtydligas i promemorian så att det inte råder någon tveksamhet om att de möjligheter och skyldigheter som följer av ABL, såsom rätten att delegera frågor till kommitteer, också är tillämpliga för kreditinstitut som är aktiebolag. Även ABLs bestämmelser om jäv för styrelsen måste anses gälla. De delar av föreskriften som behandlar associationsrättsliga frågor bör därför ses över så att de överensstämmer med ABLs och kodens regler. Proportionalitetsprincipen Av bank- och finansieringsrörelselagen framgår att bestämmelserna i 6 kap. 1-3 om soliditet, likviditet, riskhantering och genomlysning ska tillämpas i proportion till arten och omfattningen av kreditinstitutets verksamhet och till dess komplexitetsgrad. Denna proportionalitetsprincip bör därför också vara tillämplig avseende de krav som uppställs i föreskriften. Proportionalitetsprincipen begränsas en ligt bestämmelsen til l arten och omfattnin gen av institutets verksamhet samt till komplexitetsgraden. Bestämmelsen begränsar inte tillämpningsområdet till företagets storlek utan till den verksamhet som företaget driver. Det är viktigt att denna princip också genomsyrar föreskriften och att det tydligt framgår att principen ska kunna tillämpas i samtliga fall där föreskriften behandlar de bestämmelser som anges i lagens 6 kap Av

4 4 (26) remisspromemorian framgår att Fl valt att endast införa proportionalitetsprincipen på vissa klart avgränsade områden. Det kan ifrågasättas om detta är förenligt med lagens krav. En översyn och ändring bör ske i såväl föreskriften som i promemorian. Övergångsbestämmelser m.m. Av förslaget framgår att föreskriften ska träda i kraft den 1 januari Några övergångsbestämmelser föreslås inte med hänvisning till att företagen sedan en längre tid redan ska följa riktlinjerna i GL 44. Till att börja med måste beaktas att GL 44 är, som Fl också anger, riktlinjer vilka inte gäller som lag, förordning eller föreskrift för företagen. Riktlinjer, eller allmänna råd, är just riktlinjer. Fl anger på sin hemsida att när ett företag inte följer en riktlinje och inte heller handlar på något annat sätt som leder till att kraven i bakomliggande bestämmelser uppfylls, kan Fl ingripa mot bolaget. Vi anser att detta innebär att principen följ eller förklara ska gäller för riktlinjer. Det finns således anledning att utgå från att företagen valt olika vägar för att uppnå syftet med riktlinjerna. Vidare kan konstateras att GL 44 översattes till svenska under Fis uttalande att företagen sedan en längre tid har haft att följa GL 44 kan således med fog ifrågasättas. Förutom att det nu är fråga om föreskrifter, som företag måste följa, och inte riktlinjer, måste också beaktas att de föreslagna föreskrifterna i vissa avseenden ställer mer långgående krav än vad som anges i GL 44 och i andra avseenden reglerar områden som inte omfattas av GL 44. En annan viktig och försvårande aspekt är att Fis styrelse förväntas fatta beslut först i november Innan föreskriften är beslutad är det svårt för företagen att bedöma i vilka avseenden Fl kommer att lyssna till de synpunkter som berörda intressenter redan lämnat vid olika seminarier, och som Fl sagt sig komma att överväga samt de synpunkter som berörda intressenter kommer att lämna in. Det skulle föra för långt att uppställa krav på företagen att redan innan föreskriften är beslutad vidta åtgärder som sedermera kan behöva ändras. En implementeringstid om drygt en månad är i alla hänseenden allt för kort. Det finns därför skäl att se över ikraftträdandetidpunkten och även överväga att införa övergångsbestämmelser för i vart fall de bestämmelser som går längre eller utöver riktlinjerna från EBA. I den föreslagna föreskriften, bilaga 1, anges att vissa delar av riktlinjerna inte är tillämpliga eller att de inte har tagits med i föreskriften. Det anges t.ex. att riktlinjerna i den del de avser att styrelsen ska ha en policy för utnämning av ledamöter och för successionsplanering inte är tillämpliga eftersom det i Sverige inte är styrelsen utan bolagsstämman som utser styrelseledamöter. Ska detta tolkas så att riktlinjerna inte alls är tillämpliga i den delen eller gäller riktlinjerna ändå som allmänt råd? Samma principiella synsätt torde gälla avseende EBAs riktlinjer om lämplighetsprövning av styrelseledamöter och ledande befattningshavare. Ska dessa riktlinjer tillämpas vad avser styrelseledamöter? Hur de två regelverken förhåller sig till varandra är mycket oklart.

5 5 (26) Förslag till föreskrifter 1 kap. 1 tillämpningsområde Det finns uppenbara fördelar med att föreskriften också ska tillämpas på värdepappersrörelsen i de företag som omfattas av regleringen. Det är dock av väsentlig betydelse att föreskriftens bestämmelser samordnas med de regler som gäller för bolag som driver värdepappersrörelse utan tillstånd att också driva bankeller finansieringsrörelse. Detta inte minst mot bakgrund av att bestämmelserna ska tillämpas på finansiella företagsgrupper enligt definitionen i 9 kap. 1 lagen om kapitaltäckning och stora exponeringar. Det är därför viktigt att en grundlig analys genomförs av de eventuella konflikter som kan uppstå mellan den aktuella föreskriften och andra gällande regler, t.ex. rekommendationer och standarder utfärdade av ESMA och andra länders implementering av EBAs rekommendationer i GL44. Det bör också analyseras hur eventuella konflikter mellan olika regelverk bör hanteras av de företag som omfattas av föreskriften. En sådan är om dotterföretag som är fondbolag, värdepappersbolag och försäkringsföretag ska omfattas. Eftersom särskild reglering gäller för dessa verksamheter och dessa dessutom står under tillsyn av särskilda EU-organ. kan dessa rimligen inte omfattas. Detta behöver dock tydliggöras. Vidare anges i 1 kap. 1, tredje stycket, sista meningen, att vad som i föreskrifterna anges om styrelse och VD ska beträffande finansiella företagsgrupper gälla moderföretagets styrelse och VD. Som detta är uttryckt i bestämmelsen är det svårt att tolka det på annat sätt än att bestämmelserna om styrelse och VD bara ska gälla moderföretaget och inte övriga företag i gruppen. Detta bör förtydligas antingen i föreskriften eller i beslutspromemorian. Om avsikten är att bestämmelsen ska omfatta samtliga företag i gruppen kan förtydligande enkelt ske genom tillägg av ordet "även" enligt följande. "Vad som anges om styrelse och verkställande direktör ska då även gälla moderföretagets (det ansvariga institutets) styrelse och verkställande direktör." 1 kap. 3 definitioner 10. ramverk för riskhantering Begreppet funktioner i denna punkt måste tydliggöras. Enligt definitionen avses en enhet, avdelning eller kommitte som består aven eller flera personer med uppdrag att utföra en eller flera av de uppgifter som regleras i föreskriften. I punkten 10 anges att med ett ramve rk för riskhantering avses företagets funktioner, strategier m.m. Frågan är om detta innebär att ramverket för riskhantering ska innehålla såväl strategier, processer och t. ex. avdelningar. Definitionen av ramverk för riskhantering bör rimligen begränsas till strategier, processer, rutiner, interna regler, limiter, kontroller och rapporteringsrutiner. Det bör också förtydligas att de risker som avses i

6 6 (26) detta sammanhang är risker som företaget identifierat i pelare 2, ICAAP, som Lex. kreditrisker, finansiella risker, likviditetsrisker, operativa risker, affärsrisker, strategiska risker, ryktesrisker och fastighetsrisker. Riskhanteringen avseende Lex. drift och fysiska risker bör behandlas i 2 kap. 8 om kontinuitetsplanering. 11, 13 och 14 riskaptit, riskstrategi och risktolerans Hanteringen av begreppen riskaptit och risktolerans, men också riskstrategi, är ägnat att skapa förvirring. Förutom Fis föreskrifter ska berörda institut tillämpa EBAs rekommendation GL 44 samt övriga internationella regleringar på områdel Det är således av vikt att definitionerna ges sådan flexibilitet att instituten kan tillämpa även övriga regleringar utan problem. Föreslagna skrivningar är alltför tekniska och därmed komplexa, vilket kan medföra att de blir kontraproduktiva. EBA tillämpar t.ex. i sin rekommendation GL44 risktolerans och riskaptit synonymt för att beskriva både den absoluta risk som ett institut är öppen för att ta och de faktiska limiter inom den absoluta risken som institutet strävar efter att hålla. Baselkommitten för banktillsyn definierar i sina rekommendationer för en sund likviditetsriskhantering risktolerans som att institutet tydligt bör formulera en tolerans för likviditetsrisk som är lämplig utifrån institutets affärsstrategi och dess roll i det finansiella systemet. Eftersom instituten redan i dag har att förhålla sig till de internationella regler som finns på området bör definitionerna i Fis föreskrifter stämma överens med rådande praxis alternativt ges sådan flexibilitet att det går att hantera och samordna de olika regelverken i den praktiska tillämpningen. I detta sammanhang bör även påpekas att Financial Stability Board har publicerat en konsultation avseende förslag till principer för en ram för en effektiv riskaptit som också innehåller definitioner av riskaptit, risklimit m.m. Begreppet "riskstrategi" kan även få en olycklig tolkning. Det är inte självklart att styrelsen ska sätta en strategi för hur verksamheten ska nå vissa risknivåer. Styrelsen kan mycket väl ha en risktolerans (riskaptit) som företagets ledning från tid till annan bedömer vara olämpligt hög. Det måste då vara möjligt för företagsledningen att lägga sig på en lägre risknivå (vilket görs med indragning eller omfördelning av limiter). Såsom föreskriftsförslaget beskriver riskstrategi ges intryck av att styrelsen först sätter en bortre gräns för hur mycket risk företaget får exponeras för (risktoleran s/aptit) och därefter sätter en strategi för att se till att risken hamnar på den nivån. Det naturliga är att styrelsen först bestämmer vad bolaget ska ägna sig åt, sedan hur mycket risk bolaget får exponera sig för varvid hänsyn tas till kapitalsituation m.m. genom att besluta om risktolerans/aptit. Därefter fattar styrelsen beslut om verksamhetsstrategi och expansionsplaner m.m., Lex. om banken ska gå in på nya marknader etc. I samband därmed görs en riskbedömning för att säkerställa att strategibesluten inte innebär att verksamheten utsätts för större risk än den beslutade risktoleranseniaptiten. Man bör överväga att helt ta bort begreppet riskstrategi i föreskrifterna.

7 7 (26) 15. uppdragsavtal I lagen om bank- och finansieringsrörelse regleras de fall ett kreditinstitut ska anmäla och ge in uppdragsavtalet till Fl. Regleringen är begränsad till de tjänster som avses i 7 kap. 1 samma lag. Genom att den föreslagna definitionen omfattar alla tjänster, processer eller verksamheter som ett institut lägger ut får regleringen i förslagets 10 kap. ett mer vidsträckt tillämpningsområde än vad lagen om bank- och finansieringsrörelse stipulerar. Definitionen av begreppet uppdragsavtal bör överensstämma med det reglerade området för uppdragsavtal som anges i lagen om bank- och finansieringsrörelse. Ny punkt - styrelse Styrelse bör läggas in som en ny punkt i definitionerna. Där bör framgå att med styrelse avses även styrelsekommitte, styrelseutskott och liknande arbetsgrupperingar som verkar inom ramen för styrelsearbetet. 2 kap. 1 allmänna organisatoriska krav Kravet i punkten 3 "varje befattnings ansvar och arbetsuppgifter är dokumenterade i en befattningsbeskrivning" är alltför långtgående. Fl har i sin remisspromemoria något modifierat bestämmelsens räckvidd på så sätt att i de fall där en grupp eller en enhet med anställda utför identiska arbetsuppgifter kan en befattningsbeskrivning omfatta hela den aktuella gruppen eller enheten. Detta bör framgå direkt av föreskriften. Syftet med bestämmelsen torde vara att för företaget väsentliga befattningar beskrivs i en befattningsbeskrivning för att tydliggöra det ansvar och de befogenheter (t.ex. limiter) som följer aven sådan befattning. Det är svårt att se syftet med att kräva att samtliga företag ska upprätta befattningsbeskrivningar för samtliga anställda vid sidan av befintliga anställningskontrakt och interna regler. Bestämmelsen bör kompletteras med ett väsentlighets- och behovsrekvisit. Fis styrelse kommer sannolikt att fatta besluta om föreskrifterna under november 2013 vilket innebär att instituten skulle få en mycket kort tid (en månad) på sig för att uppfylla kraven. Detta är inte rea listiskt. Instituten måste få betydligt längre tid på sig för att uppfylla detta krav. I punkten 8 anges att ett företag ska bevara relevanta uppgifter som avser verksamheten och den interna organisationen i minst fem år. Det är svårt att förstå det bakomliggande syftet med regleringen. Begreppet relevanta uppgifter är alltför vagt och måste förtydligas i föreskriften. Om relevanta uppgifter avser något annat än vad som framgår av I.ex. bokföringslagen eller lagen om åtgärder mot penningtvätt och finansiering av terrorism, vilket skrivningen i remisspromemorian antyder, kan det också ifrågasättas med vilket lagstöd en sådan ny arkiveringsbestämmelse införs iföreskriftsform.

8 8 (26) Punkten 9 anger att om en person arbetar inom flera funktioner ska detta inte hindra denne från att bl.a. fullgöra sina uppgifter på ett ärligt sätt. Detta väcker frågan om Fl arbetar under antagandet att personer som arbetar inom flera funktioner i grunden fullgör sina uppgifter på ett oärligt sätt. Att anställda fullgör sina uppgifter på ett ärligt sätt torde vara en grundförutsättning. Om det finns grund för att reglera detta är begreppet korrekt mer passande. 2 kap. 2 ändamålsenliga it-system Begreppen it-system och system synes ibland användas synonymt i texten och ibland med olika innebörd. En översyn av texten bör ske för att undanröja möjligheten till eventuella missförstånd. I nämnda paragraf anser vi därför att det räcker med att hänvisa till system i första meningen. 2 kap. 3 riskaptit för samtliga risker - 5 kap. 2 relevanta risker Det vore orimligt att begära att en dokumenterad riskaptit upprättas för samtliga risker som den föreslagna bestämmelsen anger. Kravet bör istället omformuleras till att omfatta samtliga riskslag eller riskkategorier. Bestämmelsen i 2 kap. 3 och kravet i 5 kap. 2 bör ha samma omfattning. I 5 kap. 2 anges att ramverket för riskhantering ska avse samtliga relevanta risker. Detta stämmer inte överens med kravet i 2 kap. 3 som avser samtliga risker oavsett väsentlighet eller mätbarhet. För att skapa en enhetlighet i föreskriften bör såväl 2 kap. 3 som 5 kap. 2 omfatta väsentliga och mätbara risker (alternativt riskslag eller riskkategorier), jämför även 2 kap. 5. Vidare kan det noteras att det i all affärsverksamhet finns risker (av naturliga skäl och inte för att banken eftersträvar dem) och det viktiga och centrala för banker är att hålla bankens verksamhet inom den risktolerans som styrelsen beslutat. Inte att aktivt eftersträva viss risknivå. Oavsett vilka riskbegrepp som används är det viktigaste att styrelsen sätter en bortre gräns för vilken risk som en bank får ta på sig. Inom denna gräns styrs sen verksamheten genom att styrelsen tillåter olika delar att exponera sig för risker och detta sker genom fördelning av limiter. Det ger således följande hierarki i riskbegreppen: Risktolerans (eller riskaptit). Detta är den maximala riskexponering som styrelsen bestämt att en bank får utsätta sig för i kvantitativa eller kvalitativa termer. Risklim iter. Detta är de styrverktyg som styrelsen ger VD rätt att fördela. Dock måste alla utfördelade limiter rymmas inom den av styrelsen beslutade risktoleransen (riskaptit). Genom att fördela limiterna kan VD få en riskprofil som stämmer överens med hur företagsledningen anser att den reguljära verksamheten ska bedrivas.

9 9 (26) 2 kap. 5 automatiskt sammanställa data Av remisspromemorian framgår att syftet med bestämmelsen är att företagen ska ha en tillräckligt hög automatisering för att inom rimlig tid kunna möta föränderli ga rapporteringsbehov vid t.ex. krissituationer. Kravet i föreskriften synes gå längre än vad Fl haft som syfte med bestämmelsen. Bestämmelsen i föreskriften bör därför mjukas upp så att det framgår att "företagen ska sträva efter en automatisering i så hög grad som möjligt vid framtagande och sammanställning av riskdata". Många banker har idag riskdata lagrad i ett flertaiit-system. Krav på automatisering fullt ut i processen skulle innebära betungande IT -investeringar. Huvudsyftet med sammanställningen av data bör vara att den kan samlas in snabbt och med tillförlitlighet. inte nödvändigtvis att det i alla delar sker med automatik. Skrivningen "så snart som möjligt" bör bytas ut mot "i rimlig tid". I 6 kap. 4 FFFS 2007:16 anges att ett värdepappersbolag ska "inom rimlig tid, lämna finansiella rapporter". Bestämmelsen i 2 kap. 5 bör ändras i överensstämmelse med bestämmelsen i FFFS 2007: 16 och med skrivningen i remisspromemorian (s. 15, 2 stycket). Jämför också kommentar under 2 kap. 7 andra stycket. 2 kap. 7 I bestämmelsen anges att företagen ska ha aktuella interna regler. Begreppet aktuella bör tas bort. Av bl.a. 3 kap. framgår att interna regler minst årligen ska ses över och vid behov revideras. Om med begreppet aktuella interna regler avses att dessa minst årligen ska ses över och vid behov revideras är ordet aktuella överflödigt. Om begreppet å andra sidan avser något annat bör detta framgå av föreskriften. 16 kap. 4 FFFS 2007:16 anges att ett värdepappersbolag ska "inom rimlig tid, lämna finansiella rapporter". Bestämmelsen i 2 kap. 7 förslaget till föreskrift anger att ett företag "så snart som möjligt" ska lämna finansiella rapporter. Bestämmelsen i 2 kap. 7 bör ändras i överensstämmelse med bestämmelsen i FFFS 2007: kap. 8 funktioner Bestämmelsen anger att företagets funktioner ska bevaras. Med funktion avses enligt definitionen en enhet, avdelning m.m. som består aven eller flera personer med uppdrag att utföra en eller flera av de uppgifter som regleras i föreskriften. Mot bakgrund av föreskriftens definition av funktion bör bestämmelsen i 2 kap. 8 revideras. 2 kap. 9 dua litets principen Bestämmelsen om dualitet bör utvecklas för att kunna ta höjd för de teknikförändringar som skett, och kommer att ske. Redan i dag används i vissa fa ll tekniska system som väl uppfyller kravet på att ingen person ensam ska kunna

10 10 (26) handlägga en transaktion genom hela behandlingskedjan. Mot denna bakgrund finns anledning att revidera bestämmelsen så att det framgår att den kontrollnivå som dualitet kan ge kan uppfyllas med hjälp av tekniska system, vilket kan skapa bättre förutsättningar. Vidare är det oklart vad som avses med en transaktion. Ska samtliga åtgärder som ingår i en överföring, uttag, insättning, valutaväxling m.m. konstituera en transaktion? Även här är det viktigt att använda begrepp som inte är ägnade att skapa tvetydigheter. Det kan noteras att redan idag sker en mängd transaktioner i banker utan dualitet när kunder initierar transaktioner över webb, mobil eller bankomat. Det kan ifrågasättas om inte en god kontrollmiljö skulle vara ett mer lämpligt redskap än dualitet i samtliga transaktioner. 3 kap. styrelsen och den verkställande direktörens ansvar Inledningsvis bör åter påpekas att ABL måste utgöra grundbulten för de bestämmelser som gäller styrelsen och VD (se vad som anförts ovan t.ex. om kommitteer). Av remisspromemorian framgår att Fl i föreskriftsprojektet gjort ett antal överväganden avseende de områden som regleras i såväl GL 44 och i GRD 4. Mot denna bakgrund framstår det som märkligt att Fl inte har valt att hantera styrelsen som ett kollektiv. I såväl GRD 4 som i EBAs riktlinjer utgår man från att styrelsen som kollektiv ska besitta nödvändig kompetens och erfarenhet. Trots detta har Fl valt att i föreskriften ställa krav på styrelsens ledamöter i stället för att tala om styrelsen som en helhet. Då det kan antas att GRD 4 kommer att vara införlivad i svensk rätt nästa år bör Fl redan nu ta höjd för dessa förändrade krav. I detta sammanhang bör noteras att kravet i GRD 4 om maximalt antal uppdrag som en ledamot kan ha samtidigt kommer att få stora konsekvenser för arbetet i valberedningarna med att nominera nya ledamöter. Valberedningarna påbörjar sitt arbete under hösten och detta måste vara klart i god tid före nyår för att kunna presenteras i t.ex. de större bankernas bolagsstämmor som ligger i början av nästa år. Här måste de finansiella instituten snarast få klara besked om vad som kommer att gälla. I annat fall är det inte möjligt för instituten att möta kraven förrän tidigast i samband med årsstämmorna kap. 2 affärsstrategi I bestämmelsen anges att "När styrelsen fastställer företagets affärsstrategi... ". Detta stämmer dock inte överens med skrivningen i 3 kap. 1 där det i punkt 2 istället talas om "företagets övergripande strategier och mål". Skrivningen i andra paragrafen bör ändras så att den stämmer överens med första paragrafen, dvs. "När styrelsen fastställ er företagets övergripande strategi... ".

11 11 (26) 3 kap. 4 säkerställa styrelseledamöternas kvalifikationer Enligt bestämmelsen ska företaget tillse att styrelsens ledamöter vid varje tidpunkt har tillräckliga kvalifikationer. Av 8 kap. 8 ABL följer att styrelsen ska utses av bolagsstämman. Val och entledigande av styrelseledamöter beslutas i normalfallet av bolagsstämman. Även om det finns en möjlighet för företaget att tillhandahålla ledamöterna i styrelsen regelbunden utbildning för att upprätthålla och fördjupa sina kunskaper är det svårt för företaget att säkerställa att styrelsens ledamöter vid var tid har tillräckliga kvalifikationer. Det är ytterst bolagsstämman som beslutar. Eftersom bolagsstämman beslutar om tillsättandet av styrelseledamöter kan företaget inte säkerställa rätt kompetens på annat sätt än att erbjuda styrelsens ledamöter utbildning. Det ska heller inte bortses från att bolaget kan ha en annan uppfattning om utbildningens inriktning än vad styrelsen har. Det finns mot denna bakgrund anledning att ta bort kravet på att företaget ska säkerställa vissa kvalifikationer. Tilläggas bör också att konsekvensen av att företaget inte kan "säkerställa" att styrelseledamöterna har rätt kvalifikationer ytterst blir att styrelseledamoten måste avsättas och för det krävs ett bolagsstämmobeslut, dvs. det krävs en ny bolagsstämma. För det fall bestämmelsen ändå kvarstår bör den omformuleras och begränsas. I förslaget står att styrelsens ledamöter vid va rje tidpunkt har tillräckliga kvalifikationer. Vid va rje tidpunkt är ett orealistiskt krav. Vid varje tidpunkt bör tas bort, eftersom det är en pågående process att ha kvalifikationer. Ett alternativ är att säga att uppföljning ska ske regelbundet. Vad avses med tillräckliga kvalifikationer? Vidare bör arbetstagarrepresentanter undantas från kravet på motsvarande sätt som görs i CRD 4. Detta eftersom företaget inte heller för dessa på något sätt kan påverka vem som utses. Enligt lagen om styrelserepresentation för de privatanställda utses arbetstagarrepresentanterna av de lokala arbetstagarorganisationer som är bundna av kollektivavtal i förhållande till företaget eller, i moderföretag, av de lokala arbetstagarorganisationer som är bundna av kollektivavtal i förhållande till ett företag inom koncernen. Vad gäller ledamöternas kvalifikationer är det reglerat på ett bra sätt i koden. I koden stadgas att styrelseledamoten ska tillägna sig den kunskap om bolagets verksamhet, organisation, marknader mm som erfordras för uppdraget (koden 5.2). Vidare stadgas att styrelsens ordförande ska se till att nya styrelsemedlemmar får en introduktionsutbildning samt övrig utbildning de gemensamt kommer överens om (koden 6.3). Kodens regler bör användas som utgångspunkt i revideringsarbetet. 3 kap. 5 styrelsens uppgifter Det följer av ABL att styrelsen ansvarar för företagets organisation och förvaltning och styrelsen ska därför fortlöpande bedöma bolagets, och i tillämpliga fall även koncernens, ekonomiska situation samt se till att bolagets organisation är utformad

12 12 (26) så att bokföringen, medelsförvaltningen och bolagets förhållanden i övrigt kontrolleras på ett betryggande sätt. Fl synes gå utöver ABLs krav i den föreslagna regleringen och det är fortfarande något oklart vad som fakti skt avses. I promemorian anges att "styrelsen ska bl.a. besluta om företagets revisionsplan och interna regler för de tre kontrollfunktionerna. Därutöver ges styrelsen ett särskilt uppföljnings- och kontrol/ansvar." Remisspromemorian utvecklar ett resonemang kring att styrelsen behöver besluta om ett antal interna reglerna bl.a. företagets regler kring redovisning och riskrapportering men därutöver är det fortfarande otydligt vad uppföljningsansvaret omfattar. I praxis har intern revisorn fungerat som styrelsens verktyg för uppföljning och det finns en väl utvecklad praxis på området. Vi skulle gärna se en hänvisning till vedertagen praxis på revisionsområdet. 4 kap. 2 kreditinstitut som har tillstånd att driva värdepappersrörelse Av bestämmelsen framgår att 3-6 inte gäller för kreditinstitut som har tillstånd att driva värdepappersrörelse. Därefter anges att det finns bestämmelser i FFFS 2007:16. Bestämmelsen är otydlig och anger inte om ett kreditinstitut med värdepappersrörelse ska tillämpa bestämmelserna i 3-6 för "bankdelen" och FFFS 2007:16 på värdepappersdelen, eller om FFFS 2007:16 ska tillämpas på hela verksamheten. Anvisningen i paragrafen anger endast att bestämmelser finns i FFFS 2007:16 inte att dessa ska til lämpas, eller på vilken del av verksamheten. Detta måste förtydligas. 4 kap. 7 intressekonflikter i styrelsen Av 10 kap. lagen om bank- och finansieringsrörelse framgår att bestämmelserna i ABL gäller även för bankaktiebolag om inte annat följer av denna lag eller är särskilt föreskrivet. I 10 kap. 5-8 lagen om bank- och finansieringsrörelse finns särskilda bestämmelser om bankens ledning. Bl.a. anges i 10 kap. 8 att bolagsstämmans ordförande innan styrelseval förrättas ska lämna uppgift till stämman om vilka uppdrag den som valet gäller innehar i andra företag. Det följer också av koden att valberedningen i anslutning till att kallelse utfärdas på bolagets webbplats ska lämna ett motiverat yttrande beträffande sitt förslag till styrelse med beaktande av vad som sägs om styrelsens sammansättning i kod regel 4.1. På webbplatsen ska samtidigt för en styrelseledamot som föreslås för nyval eller omval uppgift lämnas information om bl.a. uppdrag i bolaget och andra väsentliga uppdrag, eget eller närstående fysisk eller juridisk persons innehav av aktier och andra finansiella instrument i bolaget samt oberoende (koden 2.6). Lagens jävsbestämmelser för styrelseledamöter finns i 8 kap. 23 ABL. Bemyndigande för Fl att meddela närmare föreskrifter om intressekonflikter i styrelsen saknas i såväl ABL som i lagen om bankoch finansieringsrörelse. Eventuella intressekonflikter i styrelsen bör därför hanteras i en lighet med bestämmelserna i ABL och lagen om bank- och finansieringsrörelse. Den föreslagna bestämmelsen synes gå utöver riktlinjerna i punkt 12 i GL 44 i denna del. I 4 kap. 4 anges att företaget ska ha interna regler som anger hur företaget

13 13 (26) hanterar intressekonflikter enligt 4 kap. 3. I sistnämnda paragraf framgår att företaget ska identifiera och hantera de intressekonflikter som finns eller kan uppstå i verksamheten. Bestämmelserna i 4 kap. 3 och 4 bör anses vara tillräckliga och 4 kap. 7 bör därmed tas bort. För det fall 4 kap. 7 kvarstår vill vi, vad avser uppräkningen av vilken information de interna reglerna ska innehålla, vidhålla tidigare lämnad kommentar, nämligen att det är ett stort praktiskt problem om det redan i de interna reglerna ska stå denna typ av information. Regler är aven mer generell karaktär och den här typen av information som refereras till utgör exempelvis SLA, avtal med leverantörer etc. Det innebär att ett sådant dokument riskerar att bli enormt omfattande och detaljeringsgraden i kombination med att det ska beslutas av styrelsen riskerar att leda till att de ej är fullt uppdaterade. Med nuvarande skrivning uppstår också frågan vad som gäller för ordförandes eventuella intressekonflikter. 5 kap 3 interna regler Av 5 kap. 1 framgår att ett företag bl.a. ska ha de interna regler som behövs för att säkerställa att företaget löpande kan hantera risker som företaget är eller kan komma att bli exponerat för. I och med att det redan framgår av 5 kap. 1 att företaget ska ha interna regler för att hantera sina risker bör 5 kap. 3 första stycket utgå för att inte skapa osäkerhet om föreskriften kräver två olika uppsättningar interna regler avseende samma fråga. Vidare kan andra stycket också samordnas med 5 kap. 1 samt ändras så att det framgår att styrelsen eller i förekommande fall styrelsens kommitteer, ska besluta om de övergripande interna reglerna. Kravet vad gäller styrelsens ansvar att fatta beslut om de interna reglerna för riskhantering bör begränsas till att "fatta beslut om de övergripande reglerna för riskhantering", (ordet övergripande bör läggas till), ansvaret blir annars orimligt betungande för styrelserna. 5 kap 4 nya produkter m.m. Det är inte självklart att ett företag utsätter sig för ökade risker på sätt som beskrivs i promemorian. De nämnda förändringarna kan komma att leda till att riskerna faktiskt minskar. Bättre att skriva att företaget utsätter sig för nya eller förändrade risker. Vidare är det inte bara införandet av nya produkter etc. som skapar risk - att inte ändra alls kan innebära ännu större risker. 5 kap. 6 rubrik Rubriken inför ett nytt begrepp, riskkultur, som sedan används i paragrafen utan närmare definition. Rubriken och begreppet bör därför tas bort eller införas som definition i 1 kap. 3.

14 14 (26) 5 kap. 6 relevant kunskap Syftet med regleringen avseende ri skhantering torde vara den som anges i 5 kap. 1, dvs. att företaget ska ha ett ramverk för riskhantering enligt vissa parametrar. Att all personal ska ha relevant kunskap om detta ramverk innebär ett långtgående krav som i praktiken sannolikt inte kommer att tjäna sitt syfte. För att uppnå syftet att ha en god styrning, riskhantering och kontroll bör kravet istället kopplas till anställda inom den enheubefattning som ska hantera en viss risk. Dessa ska ha kunskap om de delar av ramverket för riskhantering som är relevanta för deras arbete. Därutöver bör alla anställda känna till var de kan inhämta information om övriga delar av företagets ramverk för riskhantering. Vi förutsätter att de risker som avses här är risker enligt synpunkten i 1 kap. 3 punkt 10 definition av riskhantering. Det gäller även övriga paragrafer i detta kap. och i kap. 7, dvs. risker som hanteras i kontinuitetsplaneringen. 5 kap. 7 riskmandat I paragrafen införs ett nytt begrepp, riskmandat, utan närmare definition. Vidare kopplas både limiter och riskmandat till anställda vilket inte inkluderar verksamhet som företaget uppdragit åt annan att utföra eller för det fall företaget har beslutat limiter för olika portföljer. Bestämmelsen bör därför ändras så att det klart framgår att ett företag ska ha limiter som anger gränserna för de åtaganden som behörig beslutfattare har att följa. Det bör vidare framgå hur limiter och riskmandat ska kunna hanteras för t ex operativa risker som är en del av all den verksamhet som bedrivs eller för regelefterlevnadsrisker. 5 kap. 8, 9 riskmandat Även i dessa paragrafer används begreppet riskmandat utan närmare definition. Således bör även dessa paragrafer justeras så att det klart framgår vad som avses med riskmandat. Även här är det oklart hur riskmandat och övervakning ska förstås i relation till operativa risker och regelefterlevnadsrisker. 6 kap kontrollfunktioner Kapitlet innehåller gemensamma bestämmelser för kontrollfunktionerna. Därutöver finns särskilda bestämmelser i kapitlen 7-9 vilka inte är kongruenta med 6 kap. För att öka läsbarheten och förståelsen av bestämmelserna i 6-9 kap. bör samtliga för kontrollfunktionerna gemensamma regler återges i 6 kap. Det gäller bl.a. bestämmelserna om interna regler (7 kap. 1, 8 kap. 1 och 9 kap. 5 ), rapportering (6 kap. 6 4.) och kvalifikationskrav på de personer som ingår i kontrollfunktionerna (6 kap. 3 och 4 ).

15 15 (26) 6 kap. 1 interna regler Titeln till 6 kap. 1-5 anger att bestämmelserna därunder ska hantera generella krav på kontrollfunktionerna. Första paragrafen hänför sig dock inte till kontrollfunktionerna utan till företaget som sådant. Innehållet i 6 kap. 1 hör därför bättre hemma under 2 kap. som behandlar allmänna organisatoriska krav. Vidare måste de krav som framgår av 2 kap. också anses innefatta det krav som framgår av 6 kap. 1. Bestämmelsen skapar endast en otydlighet om det ställs krav på att ytterligare ett lager interna regler ska upprättas. Bestämmelsen bör i stället ange krav på interna regler för respektive kontrollfunktions ansvar, arbetsuppgifter och rutiner för rapportering, se ovan. 6 kap 2 kombinera kontrollfunktioner På ett övergripande plan hör bestämmelserna om den organisatoriska placeringen av funktionerna nära samman med funktionernas uppgift. I och med att det inte är, och inte heller bör vara, i detalj reglerat vilka uppgifter riskkontroll- respektive regelefterlevnadsfunktionen ska ha måste bestämmelserna om den organisatoriska placeringen ges ett större mått av flexibilitet. I annat fall är det svårt för företagen att korrekt kunna uppfylla samtliga krav på de olika funktionerna, var för sig och som helhet. När det gäller funktionerna för riskkontroll och regelefterlevnad har flera institut idag organisatoriskt kombinerat dessa funktioner. Detta innebär bl.a. att funktionen för regelefterlevnad organisatoriskt utgör en del av riskkontrollfunktionen men agerar på ett självständigt sätt och upprättar egna oberoende rapporter till VD/styrelsen. Bestämmelsen i 6 kap. 2 medger endast att små företag under vissa förutsättningar kan kombinera dessa funktioner. I remisspromemorian anges inte närmare på vilka grunder endast små företag ska kunna kombinera dessa funktioner. Däri framgår endast att Fl är av uppfattningen att endast mycket små företag kan komma i fråga. Det redovisas således inte något bärande skäl för att den organisationsstruktur som företagen har i dag inte skulle uppfylla kraven i föreskriften i övrigt. Den strikta formuleringen om att regelefterlevnadsfunktionen ska vara separat från riskkontrollfunktionen (och inte bara oberoende från de verksamheter som monitoreras och från internrevisionen) motverkar den utveckling i riktning mot en alltmer sammanhållen risksyn och rapportering, som setts under senare år och som också drivits av tillsynsmyndigheter i olika länder. Det stämmer inte heller överens med MiFIDs genomförandedirektiv (2006/73 EG art 6.3 och skäl 15), ESMAguidelines (ESMA Final report/2012/388) och går även längre än GL44 som använder ordet bör (shouid) och inte ska (shall) i denna del. Atminstone bör ett visst mått av flexibilitet införas i paragrafen så att riskkontrollfunktionen och funktionen för regelefterlevnad ska kunna vara kombinerad i små företag eller i avgränsade delar av organisationen i större företag, om det är lämpligt med hänsyn till företagets organisation och verksamhet samt för att uppnå en sammantaget god intern- och

16 16 (26) riskkontroll på både företags- och gruppnivå. Av MiFID-regelverket framgår uttryckligen att funktionerna för regelefterlevnad och riskhantering kan utföras aven och samma person utan att detta nödvändigtvis innebär att oberoendet vid utförandet av funktionerna riskeras. En proportionalitetsprincip som genomför EUregleringen i denna del framgår av 6 kap. 10 andra stycket FFFS 2007:16, vilken bör föras över också till denna föreskrift. Bestämmelserna i 6 kap. 2 bör även innehålla en generell bestämmelse som anger var i organisationen kontrollfunktionerna ska ligga. Lämpligen bör anges att kontrollfunktionen ska vara direkt underställd styrelsen (internrevision) eller den verkställande direktören (riskkontroll och regelefterlevnad). Om avvikelser från den generella bestämmelsen ska göras bör det ske i respektive kapitel. Vad gäller riskkontrollfunktionen bör således anges i 7 kap. 2 att funktion en i förekommande fall kan vara underställd riskchefen och i 9 kap. 2 avseende internrevi sionsfunktionen att den ska vara direkt underställd styrelsen. 6 kap. 3 och 4 kvalifikationskrav Bestämmelsen 6 kap. 3 anger att kontrollfunktionerna ska ha de resurser som krävs samt tillgång till den information som behövs för att fullgöra sina uppgifter. Efterföljande bestämmelse (6 kap. 4 ) föreskriver att personalen i en kontrollfunktion löpande ska utbildas för att hålla kunskapen aktuell. Dessa bestämmelser gäller för samtliga tre kontrollfunktionerna. I 7-9 kap. anges närmare vilka uppgifter respektive kontrollfunktion tillskrivs. För att kontrollfunktionerna ska kunna fullgöra sina uppgifter krävs således att personalen i respektive funktion minst har ku nskap inom dessa områden. Eftersom kraven på kunskap i 6 kap. kombinerad med de angivna områdena för respektive funktion i 7-9 kap. tydligt anger vi lka kvalifikationer personalen i funktionerna bör ha, krävs inte någon ytterligare reglering avseende detta utöver bestämmelserna i 6 kap. 3 och 4. Uppräknin gen i 7 kap. 1 och 9 kap. 3 bör därför tas bort. 6 kap. 6 För att öka läsbarheten och förståelsen bör även uppräkningen i denna paragraf modifieras så att den omfattar samtliga kontrollfunktioner. Enligt punkten 1 ska personalen i kontrollfunktionen inte utföra uppgifter som ingår i den verksamhet de ska övervaka och kontrollera. Eftersom detta är en generell bestämmelse som gäller samtliga kontrollfunktioner bör inte detta ånyo återges i de efterföljande kapitlen (7 kap. 1 och 9 kap. 1 ). Vidare ska, en ligt punkten 2, kontrollfunktionen organisatoriskt va ra skild från de funktioner och områden som den ska granska och kontrollera. Enligt FFFS 2007: 16 ska riskkontrollfunktionen och regelefterlevnadsfunktionen arbeta oberoende medan internrevisionsfunktionen för att uppfylla oberoende ska va ra åtskil d från och

17 17 (26) oberoende av företagets övriga funktioner och verksamhet. Bestämmelsen i punkten 2 bör samordnas med FFFS 2007:16, dvs. det generella kravet i 6 kap. bör ange att kontrollfunktionerna ska arbeta oberoende av de funktioner och områden som de ska övervaka och kravet på organisatorisk åtskillnad tas bort. I 9 kap. 1 kan de särskilda krav på oberoende som gäller för internrevisionsfunktionen anges. Generellt kan noteras att termen "oberoende" är svårhanterlig i organisationer där alla är anställda. Många olika former av beroenden föreligger i många olika avseenden vilka skulle kunna påverka personers opartiskhet. Termen bör därför kombineras med förtydligandet att oberoendet ska gälla i förhållande till den verksamhet som ska kontrolleras. Det är viktigt att det i paragraf 6 införs den proportionalitetsprincip som finns i 6 kap. 10 andra stycket FFFS 2007:16. Bestämmelsen härrör från MiFID-regelverket som innebär fullharmonisering även för kreditinstitut med värdepappersrörelse. Särskilt för mindre kreditinstitutlkreditmarknadsbolag är det viktigt att kunna organisera sin verksamhet på ett sådant sätt att personer som arbetar med regelefterlevnad även kan arbeta med riskhantering eller vissa juridiska frågor, givet att Fl gör bedömningen att verksamheten fortfarande är effektiv. Det kan noteras att möjligheten att kombinera regelefterlevnad med I.ex. juridik även har tydligt stöd i ESMAs guidelines om regelefterlevnad. Det vore högst olyckligt om Fl väljer att införa strängare regler för svenska kreditinstitut med värdepappersrörelse än vad som gäller för värdepappersbolag vad gäller regelefterlevnadsfunktionens organisation. Enligt punkten 3 ska den ansvarige för kontrollfunktionen inte vara underställd den som är ansvarig för de funktioner m.m. som funktionen ska övervaka. Eftersom VD är ansvarig för den löpande verksamheten bör bestämmelsen ändras så att det framgår att den ansvarige för kontrollfunktionen inte ska vara underställd den som har det operativa affärsansvaret för de funktioner eller områden som kontrollfunktionen ska övervaka. Rapporteringskravet enligt punkten 4 bör samordnas för samtliga funktioner. Lämpligen bör bestämmelsen i 9 kap överföras till 6 kap. 6 4 så att det framgår att den ansvarige för kontrollfunktionen regelbundet ska rapportera direkt till styrelsen eller i förekommande fall dess kommitteer och VD samt regelbundet, dock minst årligen (i linje med FFFS 2007:16 6 kap. 7 ) rapportera sin bedömning såväl skriftligen som muntligen. Det bör även framgå att den ansvarige regelbundet ska närvara vid styrelsens eller kommitteernas sammanträden i samband med att respektive funktions ansvarsområde behandlas om inte styrelsen eller kommitten bestämmer annorlunda.

18 18 (26) 6 kap. 7 rapportering Rapporteringskravet i 6 kap. 7 bör överensstämma med kravet i 5 kap. 1, dvs. kontrollfunktionen ska löpande mäta, bedöma och rapportera. I bestämmelsen anges vidare att kontrollfunktionen ska rapportera om de väsentliga brister och risker som den identifierar. Det saknas en definition av vad som avses med brister och risker. Normalt sett torde en brist också utgöra en risk varför begreppet brist bör utgå. Alternativt bör en definition av brist och risk införas i 1 kap. 3. Det bör dock noteras det olyckliga i att det införs krav på att kontrollfunktionerna ska rapportera alla risker som de identifierar. Verksamheten består i medvetet risktagande och det är inte risker som ska rapporteras, snarare iakttagelser om brister i hanteringen. 7 kap. 1 samarbete I enlighet med vad som anförts avseende 6 kap. bör bestämmelsen i denna paragraf renodlas till att ange att riskkontrollfunktionen ska samarbeta med och nära de affärs- och stödenheter vilkas risker de kontrollerar. Övriga delar av bestämmelsen bör, som anförts ovan, samordnas i 6 kap. Vidare bör begreppet "arbete" i tredje stycket strykas eller ersättas med "uppgifter" eller möjligen "ansvar och uppgifter" som är vedertagna begrepp. I såväl 7 kap. 1 som i 8 kap. 1 anges att interna regler för riskkontroll respektive regelefterlevnadsfunktionen ska fastställas av styrelsen. Begreppet "interna regler" omfattar enligt definitionen i föreskrifterna samtliga styrdokument, såväl övergripande policydokument som detaljerade instruktioner. Det är mot denna bakgrund viktigt att tydliggöra på vilken nivå styrelsen ska fastställa interna regler, dvs. om det är inom ramen för mer övergripande interna regler om organisation, styrning och intern kontroll eller om kravet är att styrelsen ska fastställa detaljerade in struktioner för funktionerna. Det framstår som en mycket märklig ordning om styrelsen ska fastställa detaljerade instruktioner för en funktion som är underställd VD, vilket ju är fallet med riskkontroll och kan vara fallet med regelefterlevnadsfunktionen. Det bör i så fall utredas vilka konsekvenser detta får ur ansvarssynpunkt och om en sådan ordning överhuvudtaget är förenlig med ABL. Det är en uppenbar risk att styrelsen genom fastställande av detaljerade instruktioner tar på sig samma ansvar som om funktionen vore direkt underställd styrelsen. Att funktionen då är underställd VD skapar betydande otydlighet. 7 kap. 2 underställd Enligt bestämmelsen ska riskkontrollfunktionen vara underställd VD. Av 8 kap. 2 framgår däremot ska regelefterlevnadsfunktionen vara underställd styrelsen ell er VD. Det framgår inte av remisspromemorian till förslaget eller av EBAs riktlinjer (GL 44) varför regleringen i detta avseende skiljer sig mellan funktionerna. I punkten i remisspromemorian anges att Fl i arbetet med föreskrifterna tagit hänsyn till hur