Standard 4.1. Uppläggning av intern kontroll och riskhantering. Föreskrifter och allmänna råd

Standard 4.1 Uppläggning av intern kontroll och riskhantering Föreskrifter och allmänna råd

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 2 (20) INNEHÅLL 1 Tillämpning 4 2 Syfte 6 3 Internationella regelverk 7 4 Rättsgrund 8 5 Centrala principer för intern kontroll 9 5.1 Definition av begreppet intern kontroll 9 5.2 Högsta ledningens ansvar för uppläggning av intern kontroll 10 5.3 Oberoende riskkontrollfunktion 10 5.4 Utläggning av verksamhet och anlitande av ombud 11 6 Delområden av den interna kontrollen 13 6.1 Ledarskap och kontrollkultur 13 6.2 Riskhantering 14 6.3 Daglig kontroll och dualitetsprincipen 14 6.4 Rapportering och intern information 15 6.5 Uppföljning och granskning av den interna kontrollen 15 6.6 System och säkerhet 16 7 Rapportering till Finansinspektionen 17 8 Definitioner 18 9 Ytterligare information 19

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 3 (20) 10 Upphävda anvisningar och föreskrifter 20

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 4 (20) 1 TILLÄMPNING (1) Denna standard redogör för de centrala principerna för intern kontroll och riskhantering och för den interna kontrollens och riskhanteringens uppläggning. Standarden är bindande för följande tillsynsobjekt: kreditinstituten värdepappersföretagen holdingsammanslutningarna centralinstitutet enligt andelsbankslagen moderföretagen till finansiellt inriktade finans- och försäkringskonglomerat. (2) Den interna kontrollen och riskhanteringen skall täcka alla funktioner i företaget under tillsyn. Den interna kontrollen och riskhanteringen skall byggas in i tillsynsobjektets organisationsstruktur och avpassas efter verksamhetens omfattning och mångfald. Särskild vikt skall fästas vid den interna kontrollens och riskhanteringens uppläggning i koncerner eller i företag med verksamhet i flera länder. (3) Tillsynsobjektet kan följa de detaljerade bestämmelserna i tillämpliga delar om organisationen är liten, om risktagandet enligt verksamhetsplanen är lågt, om den riskfyllda verksamheten är begränsad och enkel eller i övrigt genomsynlig eller om den verkställande ledningen själv aktivt deltar i det detaljerade beslutsfattandet om den dagliga operativa verksamheten. För att tillsynsobjektet endast i tillämpliga delar skall kunna följa de bindande bestämmelserna om intern kontroll skall högsta ledningen fatta ett särskilt beslut om alternativa kontrollmetoder. Tillsynsobjekten skall alltid sörja för att den interna kontrollen och riskhanteringen är tillfredsställande och avpassad efter riskerna i verksamheten. (4) Finansinspektionen rekommenderar dock att samtliga tillsynsobjekt lägger upp den interna kontrollen och riskhanteringen i enlighet med denna standard.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 5 (20) (5) I standarden används beteckningen tillsynsobjekt för alla sammanslutningar som standarden gäller.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 6 (20) 2 SYFTE (1) Uppläggningen av den interna kontrollen och riskhanteringen är av central betydelse för att säkerställa att företagen under Finansinspektionens tillsyn leds med kompetens och enligt sunda och försiktiga affärsprinciper. (2) Syftet med reglerna för den interna kontrollen och riskhanteringen är att säkerställa att tillsynsobjektet och företagen i dess konsolideringsgrupp har en intern kontroll som är tillfredsställande i förhållande till verksamhetens art och omfattning tillsynsobjektet och företagen i dess konsolideringsgrupp inte i sin verksamhet tar så stora risker att kapitaltäckningen eller den konsoliderade kapitaltäckningen väsentligt äventyras tillsynsobjektet har interna kontrollrutiner för identifiering, analys och begränsning av riskerna i verksamheten tillsynsobjektet tillämpar adekvata rutiner och förfaranden i sina kundrelationer.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 7 (20) 3 INTERNATIONELLA REGELVERK (1) Denna standard bygger på Baselkommitténs rekommendationer. Baselkommittén anser att brister i uppläggningen av den interna kontrollen bidrog till bankernas problem på 1990-talet. Enligt princip 14 i de banktillsynsprinciper, Core Principles for Effective Banking Supervision, som Baselkommittén gav ut i september 1997 skall den interna kontrollen i kreditinstitut uppfylla följande villkor: klara principer för fördelningen av befogenheter och ansvar ingen person skall ensam handlägga en transaktion genom hela behandlingskedjan (dualitetsprincipen), dvs. beslut, utbetalning av medel och bokföring av transaktionen avstämning och verifiering av transaktionsserierna säkring av tillgångar behöriga rutiner för internrevision och övriga kontrollfunktioner (compliance) för kontroll att de interna kontrollsystemen fungerar och att lagar och bestämmelser följs. (2) I september 1998 gav Baselkommittén för banktillsyn ut rekommendationen Framework for Internal Control in Banking Organisations. I den framhålls att kreditinstitutens högsta ledning tillsammans med den verkställande ledningen samt internrevisorerna och de externa revisorerna skall fästa större vikt vid den interna kontrollens uppläggning och fortlöpande se över dess funktion. Avsnitt 6 i denna standard bygger huvudsakligen på principerna i rekommendationen. (3) IOSCO gav i februari 2002 ut rekommendationen Objectives and Principles of Securities Regulation. Enligt princip 23 i rekommendationen skall intermediärer på marknaden organisera sin verksamhet ändamålsenligt och införa rutiner som syftar till att trygga kundernas intressen och en adekvat riskhantering. Bolagets högsta ledning bär tillsammans med den verkställande ledningen ansvaret för att verksamheten organiseras och att rutinerna fungerar och övervakas.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 8 (20) 4 RÄTTSGRUND (1) Finansinspektionens bindande regler om uppläggning av den interna kontrollen och riskhanteringen baserar sig på 68 3 mom. kreditinstitutslagen (1607/1993) och 29 3 mom. lagen om värdepappersföretag (579/1996). Regelgivningen preciserar också de krav som enligt 13 lagen om tillsyn över finans- och försäkringskonglomerat (44/2002) ställs på uppläggningen av den interna kontrollen och riskhanteringen i moderföretag till konglomerat. (2) Regelgivningen grundar sig på Europaparlamentets och rådets direktiv 2000/12/EG (32000L0012) om rätten att starta och driva verksamhet i kreditinstitut; EGT L 126, 26.5.2000, s. 1, samt rådets direktiv 93/22/EEG (31993L0022) om tjänster inom värdepappersområdet, EGT L 141, 11.6.1993, s. 27.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 9 (20) 5 CENTRALA PRINCIPER FÖR INTERN KONTROLL 5.1 Definition av begreppet intern kontroll (1) Tillsynsobjektet skall ledas yrkesmässigt och enligt sunda och försiktiga affärsprinciper. Det förutsätter en effektiv och tillförlitlig intern kontroll. (2) Den interna kontrollen omfattar ekonomisk och övrig kontroll och utförs i företaget av den högsta ledningen tillsammans med den verkställande ledningen och hela den övriga personalen. Med intern kontroll avses den del av företagets ledning och verksamhet som syftar till att säkerställa måluppfyllelse ekonomiskt och effektivt utnyttjande av resurser tillfredsställande hantering av riskerna i verksamheten tillförlitlig och riktig ekonomisk och övrig information för ledningen efterlevnad av externa regler och interna rutiner samt adekvata rutiner och förfaranden i kundrelationer (jfr avsnitt 3, compliance) adekvat skyddande av verksamhet, information, tillgångar och kundernas medel tillfredsställande och ändamålsenliga manuella system och datasystem till stöd för verksamheten. (3) Riskhanteringen är integrerad med den interna kontrollen. Med riskhantering avses identifiering, analys/mätning, begränsning och kontroll av de risker som verksamheten medför och som förekommer i verksamheten. Riskhanteringen syftar till att minska sannolikheten för oförutsedda förluster eller hot mot tillsynsobjektets anseende.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 10 (20) 5.2 Högsta ledningens ansvar för uppläggning av intern kontroll (4) Högsta ledningen svarar för att tillsynsobjektet lägger upp och upprätthåller en tillfredsställande och väl fungerande intern kontroll. Minst en gång om året skall högsta ledningen fastställa önskad nivå på risktagandet med hänsyn till tillsynsobjektets riskhanteringsförmåga och se över dessa som ett led i verksamhetsplaneringen. Högsta ledningen fastställer också de viktigaste riskhanteringsprinciperna. Samtidigt skall den se till att den interna kontrollen och riskhanteringen är heltäckande och välfungerande. (5) Högsta ledningen i ett moderföretag skall se till att samtliga ägarkontrollerade företag följer principerna för intern kontroll och särskilt att inget av de ägarkontrollerade företagen i sin verksamhet tar så stora risker att kapitaltäckningen eller den konsoliderade kapitaltäckningen väsentligt äventyras. Det ansvar som tillkommer den högsta ledningen i moderföretaget fråntar inte dotterbolagets högsta ledning dess ansvar för uppläggning av intern kontroll och riskhantering i dotterbolaget. (6) Högsta ledningen skall se till att organisationsstrukturen skapar förutsättningar för en effektiv intern kontroll. Det förutsätter att befogenheter och ansvar samt rapporteringsförhållanden tydligt definieras inom organisationen och att uppgifterna åtskiljs på ett behörigt sätt. För att rapporteringen skall vara tillförlitlig skall den vara oberoende av den operativa verksamheten. Efterlevnadskontrollen av externa regler och interna rutiner skall dessutom vara upplagd så att den är tillförlitlig och oberoende, och tillsynsobjektet skall ha en internrevision som sörjer för en effektiv och mångsidig granskning av den interna kontrollens effektivitet och rapporterar de viktigaste iakttagelserna även direkt till högsta ledningen. (7) Högsta ledningen skall regelbundet följa upp rörelseresultat och risker i verksamheten. Skriftliga rutiner för begränsningen av större risker skall upprättas och limiter för mätbara risker skall fastställas. 5.3 Oberoende riskkontrollfunktion (8) För kontrollen av risktagandet skall tillsynsobjektet inrätta en riskkontrollfunktion som är oberoende av risktagandet och riskhanteringen. Riskkontrollfunktionen skall upprätthålla, utveckla och utarbeta riskhanteringsprinciper som skall fastställas av högsta ledningen samt ta fram metoder för analys och mätning av riskerna. Den skall fortlöpande se till att varje risk håller sig inom tillåtna gränser och att adekvata riskmätningsmetoder tillämpas på varje enskild risk. Metoderna skall också inbegripa analys av effekterna av exceptionella situationer (stresstest).

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 11 (20) Riskkontrollfunktionen skall också se till att den samlade effekten av samtliga större risker i verksamheten på tillsynsobjektets och konsolideringsgruppens resultat och kapitalbas rapporteras både till högsta ledningen och till den verkställande ledningen. Motivering (9) Kravet på organisering av en oberoende riskkontrollfunktion behöver uppfyllas endast i tillämpliga delar om organisationen är liten, om risktagandet enligt verksamhetsplanen är lågt, om den riskfyllda verksamheten är begränsad och enkel eller i övrigt genomsynlig eller om den verkställande ledningen själv aktivt deltar i det detaljerade beslutsfattandet om den dagliga operativa verksamheten. Riktgivande är då hur högsta ledningen kan kontrollera att riskhanteringen och den interna kontrollen fungerar. 5.4 Utläggning av verksamhet och anlitande av ombud (10) Anlitande av ombud eller annan utläggning av verksamhet (nedan utläggning) fråntar inte tillsynsobjektet dess ansvar och skyldigheter. (11) Vid utläggning av verksamhet skall tillsynsobjektet försäkra sig om att utläggningen inte medför skada för riskhanteringen, den övriga interna kontrollen eller själva verksamheten. (12) Utläggningen får inte försvåra tillgången på information för tillsynsobjektets ledning eller ledningens möjligheter att styra och övervaka den utlagda verksamheten. Den får inte förhindra tillgången på sådan information som behövs för myndighetstillsynen, riskhanteringen eller den övriga interna kontrollen, inte heller rätten att överlåta informationen vidare. Tillsynsobjektet skall tillämpa de centrala principerna för intern kontroll och riskhantering även på den utlagda verksamheten. (13) Tillsynsobjektet skall se till att verksamheten läggs ut på en uppdragstagare som är ekonomiskt sund och kompetent och som är medveten om och förbinder sig att följa de bestämmelser som är bindande för tillsynsobjektet och därmed också gäller den utlagda verksamheten samt god bank- och värdepappersmarknadssed. (14) En skriftlig plan skall upprättas över utläggningsprojekten och de viktigaste projekten skall godkännas av tillsynsobjektets högsta ledning. Av planen skall framgå hur den utlagda verksamheten fångas upp av tillsynsobjektets riskhantering och övriga interna kontroll, t.ex. vilka åtgärder vidtagits för att säkerställa en tillförlitlig rapportering och efterlevnaden av externa regler och interna rutiner samt hur internrevisionen av den utlagda verksamheten fungerar.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 12 (20) (15) Den utlagda verksamheten måste regleras i ett skriftligt avtal. Tillsynsobjektet skall ha rätt att säga upp avtalet och upprätta en reservplan för den händelse att uppdragstagaren sköter uppgiften dåligt eller inte alls klarar av den. Avtalet skall innehålla en bestämmelse om att uppdragstagaren inte kan lägga ut verksamheten på tredje part utan tillsynsobjektets samtycke.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 13 (20) 6 DELOMRÅDEN AV DEN INTERNA KONTROLLEN 6.1 Ledarskap och kontrollkultur (1) Högsta ledningen skall åtminstone bära det primära ansvaret för den interna kontrollen och dess effektivitet besitta den mångsidiga kompetens och erfarenhet som behövs för identifiering av omvärldsrisker fastställa tillsynsobjektets verksamhetsplan och som ett led i den risktagandenivån enligt tillsynsobjektets riskhanteringsförmåga samt se över planen minst en gång om året fastställa riskhanteringsprinciperna och se till att de innefattar en beslutsordning för nya engagemang och nya produkter försäkra sig om att riskhanteringen är effektiv och förenlig med lagar och myndighetsföreskrifter/-standarder fastställa verksamhetsprinciper och revisionsplan för internrevisionen besluta om organisationsstrukturen besluta om rapporteringen och övriga rutiner för den interna kontrollen som högsta ledningen behöver för bevakning av verksamhet, rörelseresultat och risker i verksamheten. (2) Den verkställande ledningen skall åtminstone sörja för att den interna kontrollen genomförs i praktiken fastställa kvantitativa och kvalitativa mål för varje delområde av verksamheten i enlighet med den verksamhetsplan som högsta ledningen fastställt samt kontrollera att målen uppfylls ta fram och upprätthålla rutiner i enlighet med de

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 14 (20) riskhanteringsprinciper som högsta ledningen antagit för identifiering, analys/mätning, kontroll och begränsning av risker samt dokumentera rutinerna upprätthålla en organisationsstruktur där ansvar, befogenheter och rapporteringsförhållanden fastställts skriftligen på ett tydligt och heltäckande sätt inrätta en oberoende riskkontrollfunktion. (3) I sin verksamhet skall högsta ledningen tillsammans med den verkställande ledningen främja en företagskultur som ser den interna kontrollen som en naturlig och nödvändig del av företagsverksamheten se till att personalen är kompetent, lämpad för sina uppgifter, engagerad och klar över den interna kontrollens betydelse och sin egen roll inom den interna kontrollen. 6.2 Riskhantering (4) Riskhanteringen skall se till att sådana betydande risker som kan göra det svårt för tillsynsobjektet att uppfylla verksamhetsmålen identifieras, analyseras/ mäts och bevakas som ett led i den dagliga ledningen av verksamheten. Riskhanteringen skall omfatta alla risker som väsentligen hör till verksamheten: interna såväl som externa, mätbara såväl som icke mätbara, risker under tillsynsobjektets kontroll och risker som tillsynsobjektet inte direkt kan påverka utan endast skydda sig emot. För mätbara risker skall mätmetoder fastställas och för icke mätbara risker skall ändamålsenliga analysmetoder tas fram. Riskhanteringsrutinerna skall fortlöpande ses över och utvecklas för att säkerställa att även alla nya väsentliga men tidigare oidentifierade risker fångas upp av riskhanteringen. 6.3 Daglig kontroll och dualitetsprincipen (5) Den interna kontrollen skall vara en integrerad del av tillsynsobjektets dagliga rutiner. En effektiv intern kontroll utgår från att tillsynsobjektet har ett ändamålsenligt kontrollsystem och att kontrollåtgärder fastställts för samtliga verksamhetsnivåer. De dagliga kontrollrutinerna omfattar bl.a. rapportering till ledningen, ändamålsenliga mått för varje verksamhetsområde och -enhet, fysiska kontroller, efterlevnadskontroll av fastställda risklimiter och verksamhetsprinciper/-instruktioner och avvikelserapportering, delegations- och attestordning samt olika kontroll- och avstämningsrutiner.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 15 (20) (6) En effektiv intern kontroll förutsätter att arbetsuppgifterna har delats upp på olika personer på ett behörigt sätt och att de anställda som representanter för tillsynsobjektet inte handlägger affärstransaktioner som berör dem själva eller personer i deras närmaste krets eller inte kan påverka och/eller inte heller på annat sätt deltar i beslut om sådana transaktioner. Eventuella farliga arbetskombinationer i befattningsbeskrivningen samt intressekonflikter skall identifieras och om möjligt elimineras. 6.4 Rapportering och intern information (7) En väl fungerande intern kontroll förutsätter att tillsynsobjektet har tillgång till tillräckliga och heltäckande uppgifter som underlag för sina beslut: intern information om tillsynsobjektets ekonomi och verksamhet och om efterlevnaden av externa bestämmelser och interna rutiner samt extern information om omvärlden och marknadsutvecklingen. Informationen skall vara tillförlitlig, relevant och aktuell samt föreligga i överenskommen form. (8) En väl fungerande intern kontroll förutsätter att tillsynsobjektet har funktionssäkra informationssystem med alla väsentliga funktioner. Systemen skall vara säkra, kontrollerade av oberoende part och funktionssäkrade genom kontinuitetsplaner. (9) En effektiv intern kontroll förutsätter öppen förmedling av nödvändig information både uppåt och nedåt i organisationen samt genom hela organisationen. Organisationsstrukturen skall främja informationsförmedlingen uppåt i organisationen så att både högsta ledningen och den verkställande ledningen får den information de behöver för att sköta sina uppgifter (resultat, risker, avvikelser, iakttagelser om hur den interna kontrollen fungerar osv.). Informationsförmedlingen nedåt i organisationen ser till att de anställda är medvetna om de verksamhetsprinciper och rutiner som fastställts av högsta ledningen gällande deras arbetsuppgifter och att de anställda också får annan sådan information som de behöver för sina arbetsuppgifter. 6.5 Uppföljning och granskning av den interna kontrollen (10) Effektiviteten i den interna kontrollen skall fortlöpande följas upp och utvecklas. Bevakningen av väsentliga risker skall vara en integrerad del av den dagliga verksamheten. Dessutom skall den interna kontrollens effektivitet med jämna mellanrum utvärderas av internrevisionen som är oberoende av den operativa verksamheten och riskhanteringen. Den interna kontrollen skall

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 16 (20) också regelbundet ses över i sin helhet. (11) Den interna kontrollens effektivitet skall granskas på ett effektivt och mångsidigt sätt. Granskningen utförs av internrevisionen, som är oberoende av den operativa verksamheten. De anställda på internrevisionen skall ha behörig utbildning och kompetens. Internrevisionen skall rapportera om den interna kontrollens effektivitet direkt både till högsta ledningen och till den verkställande ledningen. (12) Brister som upptäckts i verksamheten och brister som internrevisionen eller någon annan kontrollansvarig upptäckt i den interna kontrollen skall jämte förbättringsförslag dokumenteras och rapporteras till ansvarig chefsnivå, som omedelbart skall vidta nödvändiga åtgärder. Viktiga iakttagelser skall alltid rapporteras både till den verkställande ledningen och till högsta ledningen. Iakttagelserna och korrigeringsåtgärderna skall också sammanfattas i en heltäckande rapport till högsta ledningen och den verkställande ledningen för att dessa skall kunna bilda sig en helhetsuppfattning om den interna kontrollens effektivitet. 6.6 System och säkerhet (13) Till grund för den operativa verksamheten skall tillsynsobjektet ha sådana manuella system och datasystem som är tillfredsställande och ändamålsenliga i förhållande till verksamhetens art och omfattning. (14) Tillsynsobjektets verksamhet, tillgångar och information skall vara tillräckligt säkert organiserade och databehandlingen och dataöverföringen skall vara tillräckligt säkra.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 17 (20) 7 RAPPORTERING TILL FINANSINSPEKTIONEN Motivering (1) Tillsynsobjekten är inte skyldiga att till Finansinspektionen lämna in separata regelbundna rapporter om uppläggningen av den interna kontrollen och riskhanteringen. (2) Tillsynsobjekten skall dock regelmässigt i bokslutet lämna uppgifter om uppläggningen av den interna kontrollen och riskhanteringen. För innehållet i de uppgifter som skall redovisas i bokslutet redogörs närmare i huvudavsnittet Redovisning och bokslut.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 18 (20) 8 DEFINITIONER (1) Med högsta ledning avses här det organ som fastställer den allmänna verksamhetsramen för företaget och som har det högsta ansvaret för organisationens verksamhet, beslut om verksamhetsplaner och mål och en väl fungerande intern kontroll. (2) Med den verkställande ledningen avses det organ som svarar för den dagliga operativa ledningen i företaget och verkställer den högsta ledningens beslut. (3) Den från den operativa verksamheten oberoende funktionen deltar inte i ledningen av den operativa verksamheten och svarar inte för rörelseresultatet. Funktionen står inte i organisationsstrukturen ens administrativt i rapporteringsförhållande till den operativa verksamheten eller dess ledning.

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 19 (20) 9 YTTERLIGARE INFORMATION Kontaktinformation finns i listan över standardansvariga på Finansinspektionens webbplats. Upplysningar lämnas också av:

FINANSINSPEKTIONEN 4.1 dnr 5/790/2003 20 (20) 10 UPPHÄVDA ANVISNINGAR OCH FÖRESKRIFTER (1) Med denna standard upphävs följande föreskrifter och anvisningar: Föreskrift om riskhantering och övrig intern kontroll i kreditinstitut (108.1) Anvisning om principer för riskhantering och intern kontroll och internrevision i kreditinstitut (108.2), med undantag för de anvisningar som gäller databehandling och internrevision närmare regler om databehandling och internrevision följer i senare standarder Anvisning om riskhantering och övrig intern kontroll i fondbörser (202.13), med undantag för de anvisningar som gäller databehandling och internrevision närmare regler om databehandling och internrevision följer i senare standarder Föreskrift om riskhantering och övrig intern kontroll i värdepappersföretag (203.27) Anvisning om principer för riskhantering och övrig intern kontroll och om internrevision i värdepappersföretag (203.28), med undantag för de anvisningar som gäller databehandling och internrevision närmare regler om databehandling och internrevision följer i senare standarder Anvisning om riskhantering och internrevision i värdepapperscentraler (206.4), med undantag för de anvisningar som gäller databehandling och internrevision närmare regler om databehandling och internrevision följer i senare standarder.