Standard 4.1. Organisation av intern kontroll. Föreskrifter och allmänna råd

Standard 4.1 Organisation av intern kontroll Föreskrifter och allmänna råd

Så här läser du standarderna Standarden är en ämnesvis indelad helhet av föreskrifter och råd som förpliktar eller vägleder tillsynsobjekt och andra aktörer på finansmarknaden, anger tillsynsmyndighetens mål för kvalitetsnivå och syn på god praxis samt motiverar regleringen. Datumangivelser i standardens marginal: Utfärdad: Anger när Finansinspektionen fattat beslutet att utfärda texten. Gäller fr.o.m.: Anger när textavsnittet trätt i kraft. Varje stycke i standarden har en egen marginalanteckning: Norm: Hänvisningar till gällande bestämmelser i lag eller förordning. : Föreskrifter som Finansinspektionen enligt lag har rätt att meddela företag under tillsyn och andra finansmarknadsaktörer. Rekommendation: Finansinspektionens riktgivande råd till företag under tillsyn eller andra finansmarknadsaktörer. Tillämpningsråd/-exempel: Praktiska anvisningar eller tillämpningsråd till eller -exempel på norm, bindande föreskrifter och rekommendationer. Hänvisning till Finansinspektionens standard eller en del av en standard. Se exemplet intill. : Redogör för regelverkens mål, syfte och bakgrund. Standarderna finns på Finansinspektionens webbplats www.finansinspektionen.fi

dnr 5/790/2003 3 (25) INNEHÅLL 1 Tillämpning 5 2 Syfte 8 3 Internationella regelverk 9 4 Rättsgrund 10 5 Centrala principer för intern kontroll 13 5.1 Intern kontroll en integrerad del av kompetent ledarskap enligt sunda och försiktiga affärsprinciper 13 5.2 Ansvar för organisation och upprätthållande av intern kontroll 14 5.3 Inrättande av oberoende funktioner 14 5.3.1 Riskkontrollfunktion 15 5.3.2 Funktion för regelefterlevnad (compliance) 15 5.3.3 Internrevision 16 6 Delområden av den interna kontrollen 17 6.1 Ledarskap och kontrollkultur 17 6.2 Riskhantering 18 6.3 Daglig kontroll och dualitetsprincipen 18 6.4 Rapportering och intern information 19 6.5 Uppföljning av den interna kontrollen 20 6.6 System och säkerhet 20 7 Rapportering till Finansinspektionen 21

dnr 5/790/2003 4 (25) 8 Definitioner 22 9 Ytterligare information 23 10 Ändringshistorik 24

dnr 5/790/2003 5 (25) 1 TILLÄMPNING Utfärdad 15.12.2011 Gäller fr.o.m. 1.1.2012 (1) Denna standard redogör för de centrala principerna för och organisationen av intern kontroll och riskhantering, som är en integrerad del av intern kontroll. Standarden tillämpas på följande företag under tillsyn enligt 1 kap. 4 i lagen om Finansinspektionen: kreditinstitut och deras holdingföretag värdepappersföretag och deras holdingföretag fondbolag som tillhandahåller investeringstjänster (kapitalförvaltning) holdingföretag i finansiellt inriktade finans- och försäkringskonglomerat centralinstitut enligt lagen om andelsbanker och andra kreditinstitut i andelslagsform (1504/2001) fondbörser och företag som utövar ett bestämmande inflytande över fondbörser på det sätt som avses i 2 kap. 4 i lagen om handel med finansiella instrument (748/2012) Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (2) Standarden tillämpas också på moderföretag i finansiellt inriktade finansoch försäkringskonglomerat.

dnr 5/790/2003 6 (25) Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (3) Nedan i standarden används också beteckningen "institut" för alla företag som nämns i styckena 1 och 2. (4) Den interna kontrollen ska täcka alla funktioner i institutet. Intern kontroll ska byggas in i institutets organisationsstruktur och avpassas efter verksamhetens art, omfattning och komplexitet. I koncerner eller i företag med verksamhet i flera länder ska särskild vikt fästas vid den interna kontrollens organisation. (5) Om institutet ingår i en koncern eller företagsgrupp påverkar detta organisationen av verksamheten. Moderbolaget leder och övervakar dotterbolagens verksamhet. Inom koncernen kan funktioner organiseras och utföras centralt. Institut som är dotterbolag ska sörja för att deras kärnuppgifter handläggs på ett behörigt sätt i koncernen och att beslut om dem fattas på ett lämpligt sätt i institutet. (6) Standarden tillämpas på institut och verksamheter av olika typ. Institutet ska beakta verksamhetens art, omfattning och komplexitet och eventuella andra faktorer av betydelse när det beslutar om ett ändamålsenligt och effektivt sätt att uppfylla syftet med standarden i sin egen verksamhet det viktigaste är att styrelsen kan försäkra sig om att internkontrollen är välfungerande. För att institutet endast i tillämpliga delar ska kunna följa de förpliktande föreskrifterna om intern kontroll ska styrelsen fatta ett särskilt beslut om alternativa kontrollmetoder. Instituten ska alltid sörja för att den interna kontrollen är tillfredsställande och avpassad efter riskerna i verksamheten. Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (7) Finansinspektionen rekommenderar att även de företag under Finansinspektionens tillsyn inom finanssektorn för vilka denna standard inte är bindande organiserar internkontrollen i enlighet med principerna i denna standard. (8) För styrelsens, verkställande direktörens, internrevisionens och compliancefunktionens uppgifter och hanteringen av dem redogörs närmare i Finansinspektionens standard för finanssektorn 1.3 Intern styrning och organisation av verksamheten. För lämplighetskraven för ledande befattningshavare och befattningshavare med ansvar för centrala verksamhetsområden i institutet inklusive principerna för lämplighetsprövning redogörs i Finansinspektionens standard för finanssektorn 1.4 Lämplighetsprövning (fit & proper). Detaljerade bestämmelser om riskhanteringen finns i standarderna om de enskilda riskkategorierna under huvudavsnitt 4 Kapitaltäckning och riskhantering i Finansinspektionens föreskriftssamling för finanssektorn.

dnr 5/790/2003 7 (25) Särskilda föreskrifterna och anvisningarna har också getts ut om kapitalutvärdering (standard 4.2) och utläggning av verksamheten (1/2012 Utläggning).

dnr 5/790/2003 8 (25) 2 SYFTE Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (1) Organisationen av den interna kontrollen är av central betydelse för att säkerställa att företagen under Finansinspektionens tillsyn leds med kompetens och enligt sunda och försiktiga affärsprinciper. (2) Syftet med reglerna om intern kontroll är att säkerställa att instituten och företagen i deras finansiella företagsgrupper har en intern kontroll som är tillfredsställande med hänsyn till verksamhetens art, omfattning och komplexitet instituten och företagen i deras finansiella företagsgrupper inte i sin verksamhet tar så stora risker att kapitaltäckningen, likviditeten eller den konsoliderade kapitaltäckningen väsentligt äventyras instituten har interna kontrollrutiner för identifiering, analys och begränsning av riskerna i verksamheten instituten tillämpar adekvata rutiner och förfaranden i sina kundrelationer. (3) Denna standard syftar vidare till att på ett allmänt plan lägga fram de centrala principer som företagen under tillsyn ska tillämpa vid organisationen av den interna kontrollen. Framför allt betonas styrelsens ansvar för att företaget lägger upp och upprätthåller system för intern kontroll.

dnr 5/790/2003 9 (25) 3 INTERNATIONELLA REGELVERK (1) Denna standard bygger på rekommendationer från Baselkommittén för banktillsyn (Baselkommittén) och Europeiska banktillsynskommittén (CEBS). Baselkommitténs reviderade rekommendation Core Principles for Effective Banking Supervision från oktober 2006 lägger fram de viktigaste principerna för organisation av en tillfredsställande intern kontroll med hänsyn till bankens storlek och verksamhetens omfattning. Till principerna hör tydliga rutiner för fördelning av befogenheter och ansvar segregation av funktioner som gäller åtaganden för bankens räkning, hantering av bankens utgående betalningar och bankens redovisning (dualitetsprincipen) inbördes samordning av dessa funktioner säkring av bankens tillgångar inrättande av ändamålsenliga och oberoende funktioner för att säkerställa att den interna kontrollen är välfungerande och effektiv och att lagar och föreskrifter följs. Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (2) I september 1998 gav Baselkommittén ut rekommendationen Framework for Internal Control in Banking Organisations. I den framhålls att kreditinstitutens styrelse, verkställande direktör och andra ledande befattningshavare tillsammans med intern- och externrevisorerna ska fästa större vikt vid den interna kontrollens organisation och fortlöpande se över dess funktion. Kapitel 6 i denna standard bygger huvudsakligen på rekommendationen. (3) Avsnitt 2.1 i CEBS vägledning Guidelines on the Application of the Supervisory Review Process under Pillar 2 (CP03 revised) från januari 2006 ger tillsynsmyndigheterna för utvärderingen riktlinjer om organisation och ledning av verksamheten och organisation av den interna kontrollen. Avsnitt 5.3 i denna standard beaktar principerna om inrättande av oberoende funktioner i avsnitt 2.1 del C i vägledningen.

dnr 5/790/2003 10 (25) 4 RÄTTSGRUND (1) De nationella reglerna om organisation av intern kontroll bygger på följande EU-direktiv: Europaparlamentets och rådets direktiv 2006/48/EG om rätten att starta och driva verksamhet i kreditinstitut (32006L0048); EUT L 177, 30.6.2006, s. 1 200 Europaparlamentets och rådets direktiv 2004/39/EG om marknader för finansiella instrument och om ändring av rådets direktiv 85/611/EEG och 93/6/EEG och Europaparlamentets och rådets direktiv 2000/12/EG samt upphävande av rådets direktiv 93/22/EEG (32004L0039); EUT L 145, 30.4.2004, s. 1 44 Kommissionens direktiv 2006/73/EG om genomförandet av Europaparlamentets och rådets direktiv 2004/39/EG vad gäller organisatoriska krav och villkor för verksamheten i värdepappersföretag, och definitioner för tillämpning av det direktivet (32006L0073); EUT L 241, 2.9.2006, s. 26 58 Europaparlamentets och rådets direktiv 2006/49/EG om kapitalkrav för värdepappersföretag och kreditinstitut (32006L0049); EUT L 177, 30.6.2006, s. 201 255 Rådets direktiv 85/611/EEG om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (31985L0611) EGT L 375, 31.12.1985, s. 3 18; och Europaparlamentets och rådets direktiv 2001/107/EG av den 21 januri 2002 om ändring av rådets direktiv 85/611/EEG om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) i syfte att införa regler för förvaltningsbolag och förenklade prospekt (32001L0107); EGT L 41, 13.2.2002, s. 20 34 Europaparlamentets och rådets direktiv 2002/87/EG om extra tillsyn över kreditinstitut, försäkringsföretag och värdepappersföretag i ett finansiellt konglomerat och om

dnr 5/790/2003 11 (25) ändring av rådets direktiv 73/239/EEG, 79/267/EEG, 92/49/EEG, 92/96/EEG, 93/6/EEG och 93/22/EEG samt Europaparlamentets och rådets direktiv 98/78/EG och 2000/12/EG (32002L0087); EUT L 35, 11.2.2003, s.1 27. (2) Detaljerade föreskrifter om organisationen av intern kontroll ingår i artikel 22 och bilaga V i direktiv 2006/48/EG, som gäller organisationen av intern styrning och intern kontroll som en av förutsättningarna för att starta verksamhet i kreditinstitut. Bilaga V innehåller tekniska kriterier för styrformerna, riskklassificeringen och riskhanteringen. (3) Motsvarande krav gäller för värdepappersföretag enligt artikel 34 i rådets direktiv 2006/49/EG om kapitalkrav för värdepappersföretag och kreditinstitut. Enligt artikeln ska varje värdepappersföretag uppfylla kraven i artikel 22 i direktiv 2006/48/EG. (4) Kraven på tillfredsställande system för intern kontroll, effektiva riktlinjer och förfaranden för riskhantering och inrättande av en oberoende riskhanteringsfunktion i institut som tillhandahåller investeringstjänster ingår i artikel 13 i direktiv 2004/39/EG och artikel 5 9 i direktiv 2006/73/EG. (5) Nationella bestämmelser om intern kontroll inklusive riskhantering, som är en integrerad del av intern kontroll, ingår i 49 1 mom. i kreditinstitutslagen (121/2007, KIL), som innehåller en generalklausul om riskhantering. Motsvarande bestämmelse för finansiella företagsgrupper finns i 74 i kreditinstitutslagen 54 2 mom. i kreditinstitutslagen, som föreskriver att kreditinstitut ska ha principer och rutiner för intern kapitalutvärdering och riskhantering. Motsvarande bestämmelse för finansiella företagsgrupper finns i 78 2 mom. i kreditinstitutslagen 7 och 9 kap. i lagen om investeringstjänster (747/2012) 30 a 1 mom. i lagen om placeringsfonder (48/1999, PlacFL), som innehåller krav på tillräcklig intern kontroll och tillräckliga riskhanteringssystem och 6 5 mom. i PlacFL (kapitalförvaltande fondbolag) 5 i lagen om andelsbanker och andra kreditinstitut i andelslagsform (1504/2001, andelsbankslagen), som innehåller en generalklausul om riskhantering, och 8 3 och 5 mom. om

dnr 5/790/2003 12 (25) den interna kapitalutvärderingen i sammanslutningen av andelsbanker 16 1 och 2 mom. i lagen om tillsyn över finans- och försäkringskonglomerat (699/2004), som innehåller en generalklausul om riskhantering 2 kap. 17 i lagen om handel med finansiella instrument (748/2012), som innehåller en bestämmelse om organisation av verksamheten, och 2 kap. 44 om krav på att värdepappersförmedlare ska införa principer för identifiering och förebyggande av intressekonflikter (bestämmelser om förebyggande av intressekonflikter finns också i 26 2 mom. i PlacFL). (6) Finansinspektionens befogenheter att meddela tvingande föreskrifter om standardens sakområde grundar sig på följande bestämmelser: 2 5 mom. och 93 1 mom. i kreditinstitutslagen 7 kap. 23 i lagen om investeringstjänster 5 5 mom., 26 3 mom. och 30 a 3 mom. i lagen om placeringsfonder och 6 5 mom. (kapitalförvaltande fondbolag) 5 och 8 5 mom. (intern kapitalutvärdering) i lagen om andelsbanker och andra kreditinstitut i andelslagsform 16 3 mom. i lagen om tillsyn över finans- och försäkringskonglomerat 2 kap. 44 i lagen om handel med finansiella instrument

dnr 5/790/2003 13 (25) 5 CENTRALA PRINCIPER FÖR INTERN KONTROLL 5.1 Intern kontroll en integrerad del av kompetent ledarskap enligt sunda och försiktiga affärsprinciper (1) Instituten ska ledas professionellt och enligt sunda och försiktiga affärsprinciper. (2) En effektiv och tillförlitlig intern kontroll är en viktig grund för kompetent ledarskap enligt sunda och försiktiga affärsprinciper. (3) Intern kontroll omfattar ekonomisk och övrig kontroll. Internkontrollen i ett företag genomförs av styrelsen och verkställande direktören tillsammans med andra ledande befattningshavare och de anställda. Med intern kontroll avses den del av företagets ledning och verksamhet som syftar till att säkerställa måluppfyllelse ekonomiskt och effektivt utnyttjande av resurser tillfredsställande hantering av riskerna i verksamheten tillförlitlig och riktig ekonomisk och övrig information för ledningen kontroll av regelefterlevnad (compliance) tillräckligt skydd av verksamhet, information, institutets egna tillgångar och kundernas tillgångar tillräckliga och ändamålsenliga manuella och informationstekniska system till stöd för verksamheten.

dnr 5/790/2003 14 (25) 5.2 Ansvar för organisation och upprätthållande av intern kontroll Norm Tillämpningsråd Tillämpningsråd (4) Styrelsen svarar för institutets förvaltning och en ändamålsenlig organisation av verksamheten 1. (5) Styrelsens och verkställande direktörens ansvarsområden och uppgifter bestäms enligt den tillämpliga associationsrättsliga lagstiftningen och institutets bolagsordning eller stadgar. (6) En ändamålsenlig organisation av verksamheten omfattar också organisation och upprätthållande av en tillfredsställande och välfungerande intern kontroll. (7) Bestämmelserna om styrelsens uppgifter i denna standard tar hänsyn till att institutet också kan ha ett förvaltningsråd. I institut med förvaltningsråd är det viktigt att arbetsfördelningen mellan styrelsen och förvaltningsrådet definieras tydligt. (8) Moderföretagets styrelse ska försäkra sig om att samma principer för intern kontroll tillämpas i moderföretagets alla ägarkontrollerade bolag. Detta påverkar inte det ansvar för organisation av intern kontroll i dotterbolag som tillkommer dotterbolagsstyrelsen. 5.3 Inrättande av oberoende funktioner (9) Företag under tillsyn ska inrätta följande funktioner som är oberoende av den affärsdrivande verksamheten för att säkerställa en effektiv och övergripande intern kontroll av alla verksamhetsområden: riskkontrollfunktion (risk control function) funktion för regelefterlevnad (compliance function) internrevisionsfunktion (internal audit function). (10) Styrelsen ska försäkra sig om att riskkontrollfunktionen, funktionen för regelefterlevnad och internrevisionsfunktionen har tillräckliga och professionella personella resurser med hänsyn till verksamhetens art, omfattning och komplexitet. 1 6 kap. 2 1 mom. i aktiebolagslagen, 5 kap. 6 2 mom. i lagen om andelslag, 52 1 mom. i sparbankslagen.

dnr 5/790/2003 15 (25) 5.3.1 Riskkontrollfunktion (11) För kontrollen av risktagandet ska institutet inrätta en riskkontrollfunktion som är oberoende av den affärsdrivande verksamheten. (12) Genom kontroll av riskerna och riskhanteringen ska riskkontrollfunktionen sörja för att institutet tillämpar de riskhanteringsprinciper och den riskstrategi som styrelsen godkänt. Den ska utforma och administrera riskhanteringsprinciper att fastställas av styrelsen samt planera och ta fram rutiner för kontroll av riskerna och riskhanteringen. Den ska kontrollera att varje risk håller sig inom fastställda gränser och att metoderna för mätning av de respektive riskerna är adekvata och tillförlitliga. Metoderna ska också inbegripa analys av effekterna av extrema situationer (stresstester). (13) Riskkontrollfunktionen ska också se till att den samlade effekten av samtliga större risker i verksamheten på institutets och den finansiella företagsgruppens resultat och kapitalbas rapporteras till styrelsen. (14) Styrelsen ska dessutom åtminstone en gång per år ges en utförlig sammanfattning eller rapport om verksamheten i riskkontrollfunktionen och gjorda observationer. I sammanfattningen eller rapporten ska nämnas vilka åtgärder som har vidtagits för att avhjälpa eventuella brister. (15) Utgående från sammanfattningen eller rapporten bedömer styrelsen hur tillförlitlig och effektiv riskhanteringen är. Tillämpningsråd (16) Det är inte nödvändigt att inrätta en riskkontrollfunktion om institutets verksamhet är av sådan art och omfattning att styrelsen på annat sätt kan försäkra sig om att riskhanteringen är välfungerande och effektiv. (17) Det behövs ett särskilt styrelsebeslut om att en riskkontrollfunktion inte inrättas. Av beslutet ska framgå på viket annat sätt styrelsen då säkrar en välfungerande och effektiv riskhantering. (18) Om institutet inte inrättar en fristående och oberoende riskkontrollfunktion, ska en riskkontrollansvarig utses. 5.3.2 Funktion för regelefterlevnad (compliance) (19) För att företagen på finansmarknaden ska vara framgångsrika krävs att kunderna och marknaden har förtroende för deras verksamhet. Till detta förtroende bidrar instituten själva genom att noga följa lagstiftning, myndigheternas anvisningar och föreskrifter och marknadens självreglering. Institutets egna interna regler, bindande etiska principer och andra instruktioner ska också följas.

dnr 5/790/2003 16 (25) Tillämpningsråd (20) Bestämmelser om inrättande av en funktion för regelefterlevnad (compliance) finns i Finansinspektionens standard för finanssektorn 1.3 Intern styrning och organisation av verksamheten. 5.3.3 Internrevision (21) Internrevisionen är en oberoende och objektiv gransknings- och utvärderingsverksamhet som har till uppgift att kontrollera att internkontrollen är tillräcklig, välfungerande och effektiv. Tillämpningsråd (22) Bestämmelser om internrevisionen finns i Finansinspektionens standard för finanssektorn 1.3 Intern styrning och organisation av verksamheten.

dnr 5/790/2003 17 (25) 6 DELOMRÅDEN AV DEN INTERNA KONTROLLEN 6.1 Ledarskap och kontrollkultur Norm Tillämpningsråd/-exempel (1) Styrelsen svarar för institutets förvaltning och en ändamålsenlig organisation av verksamheten 2. (2) En välfungerande och effektiv intern kontroll förutsätter att styrelsen, verkställande direktören och andra ledande befattningshavare främjar en företagskultur som ser den interna kontrollen som en naturlig och nödvändig del av företagsverksamheten ser till att personalen är kompetent, lämpad för sina uppgifter, engagerad och klar över den interna kontrollens betydelse och sin egen roll inom den interna kontrollen. (3) Typiska uppgifter för styrelsen ur internkontrollperspektivet är att bära det primära ansvaret för den interna kontrollen och dess funktion fastställa riskhanteringsprinciperna och se till att de innefattar en beslutsordning för nya engagemang och nya produkter försäkra sig om att riskhanteringen är välfungerande och förenlig med lagar, myndighetsföreskrifter och riktlinjer besluta om rapporteringen och övriga rutiner för den interna kontrollen som styrelsen behöver för bevakning av verksamhet, rörelseresultat och risker i verksamheten. 2 6 kap. 2 1 mom. i aktiebolagslagen, 5 kap. 6 2 mom. i lagen om andelslag, 52 1 mom. i sparbankslagen.

dnr 5/790/2003 18 (25) Norm Tillämpningsråd/-exempel (4) Verkställande direktören sköter bolagets löpande förvaltning enligt styrelsens instruktioner 3. (5) Till verkställande direktörens och andra ledande befattningshavares uppgifter hör bland annat att sörja för att den interna kontrollen genomförs i praktiken ta fram, upprätthålla och dokumentera rutiner för identifiering, analys, mätning, kontroll och begränsning av risker i enlighet med de riskhanteringsprinciper som styrelsen antagit upprätthålla en organisationsstruktur där ansvar, befogenheter och rapporteringsförhållanden fastställts skriftligen på ett tydligt och utförligt sätt inrätta oberoende funktioner för att säkerställa en effektiv och övergripande intern kontroll av alla verksamhetsområden. 6.2 Riskhantering Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 Tillämpningsråd (6) Riskhanteringen är en integrerad del av internkontrollen. Riskhanteringen ska se till att större risker identifieras, analyseras, mäts och bevakas som ett led i den dagliga ledningen av affärsverksamheten. (7) Riskhanteringen ska omfatta alla väsentliga risker som hänför sig till institutets verksamhet: interna och externa, mätbara och icke mätbara, risker under institutets kontroll och risker som institutet inte direkt kan påverka utan endast skydda sig emot. För mätbara risker ska mätmetoder fastställas och för icke mätbara risker ska ändamålsenliga analysmetoder tas fram. (8) Institutet ska fortlöpande se över och utveckla riskhanteringsrutinerna för att säkerställa att även alla nya väsentliga men tidigare oidentifierade risker fångas upp av riskhanteringen. (9) Detaljerade bestämmelser om riskhanteringen finns i föreskrifterna och anvisningarna om de enskilda riskkategorierna under Finansinspektionen. 6.3 Daglig kontroll och dualitetsprincipen (10) Internkontrollen ska vara en integrerad del av institutets dagliga rutiner. 3 6 kap. 17 1 mom. i aktiebolagslagen, 5 kap. 6 2 mom. i lagen om andelslag, 56 i sparbankslagen.

dnr 5/790/2003 19 (25) (11) En välfungerande och effektiv internkontroll innebär att institutet har ett ändamålsenligt internkontrollsystem och fastställda kontrollåtgärder för samtliga verksamhetsnivåer. (12) En välfungerande och effektiv internkontroll innebär för sin del att arbetsuppgifterna har delats upp på olika personer på ett behörigt sätt och att de anställda som representanter för institutet inte handlägger affärstransaktioner som berör dem själva eller närstående och inte kan påverka och/eller inte heller på annat sätt deltar i beslut om sådana transaktioner. Eventuella kritiska uppgiftskombinationer i befattningsbeskrivningen och intressekonflikter har identifierats och om möjligt eliminerats. Tillämpningsråd/-exempel (13) De dagliga kontrollrutinerna omfattar till exempel rapportering till styrelsen, verkställande direktören och andra ledande befattningshavare, ändamålsenliga mätetal för varje affärsområde och -enhet, fysiska kontroller, efterlevnadskontroll av fastställda risklimiter och verksamhetsprinciper/- instruktioner, avvikelserapportering, delegations- och attestordning samt olika kontroll- och avstämningsrutiner. Tillämpningsråd (14) Detaljerade bestämmelser om hantering av intressekonflikter i institut som tillhandahåller investeringstjänster och om den övriga organisationen av verksamheten finns i Finansinspektionens standard för finanssektorn 1.3 Intern styrning och organisation av verksamheten. 6.4 Rapportering och intern information (15) En förutsättning för en välfungerande internkontroll är att styrelsen, verkställande direktören och andra ledande befattningshavare har tillgång till tillräckliga och utförliga uppgifter som underlag för sina beslut: intern information om institutets ekonomi och verksamhet och om efterlevnaden av externa bestämmelser och interna rutiner samt extern information om omvärlden och marknadsutvecklingen. Informationen ska vara tillförlitlig, relevant och aktuell och föreligga i överenskommen form. Rekommendation (16) En effektiv internkontroll förutsätter öppen förmedling av nödvändig information både uppåt och nedåt i organisationen och genom hela organisationen. (17) En väl genomtänkt organisationsstruktur främjar informationsgången uppåt i organisationen så att styrelsen, verkställande direktören och andra ledande befattningshavare får den information de behöver för att sköta sina uppgifter (resultat, risker, avvikelser, iakttagelser om hur den interna kontrollen fungerar osv.). En tillräcklig informationsgång nedåt i

dnr 5/790/2003 20 (25) organisationen ser till att de anställda blir medvetna om de arbetssätt och rutiner som styrelsen fastställt och som de ska följa och också får annan information som de behöver för sina arbetsuppgifter. (18) Institutets verkställande direktör och andra ledande befattningshavare ska se till att de anställda på alla nivåer i organisationen får den information som de behöver för att kunna sköta sina uppgifter. 6.5 Uppföljning av den interna kontrollen Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (19) Den interna kontrollens funktion ska granskas på ett effektivt och mångsidigt sätt i institutet. Den interna kontrollen ska också regelbundet ses över i sin helhet. (20) En effektiv och mångsidig internkontroll förutsätter att observerade brister och förbättringsbehov i internkontrollen dokumenteras och rapporteras till ansvarig chef för korrigering. Rekommendation Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (21) Viktiga observationer ska helst rapporteras ända till verkställande direktören och styrelsen. Observationerna och korrigeringsåtgärderna bör också sammanfattas i en utförlig rapport till styrelsen och verkställande direktören för att dessa ska kunna bilda sig en helhetsuppfattning om den interna kontrollens effektiva funktion. 6.6 System och säkerhet Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (22) Till grund för den affärsdrivande verksamheten ska institutet ha sådana manuella och informationstekniska system som är tillräckliga och ändamålsenliga med hänsyn till verksamhetens art och omfattning. (23) Institutets verksamhet, databehandling och dataöverföring ska vara tillräckligt säkra och tillgångarna och informationen säkrade i tillräcklig grad. Tillämpningsråd (24) Finansinspektionens standard för finanssektorn 4.4b Hantering av operativa risker innehåller detaljerade bestämmelser och datasystem och datasäkerhet.

dnr 5/790/2003 21 (25) 7 RAPPORTERING TILL FINANSINSPEKTIONEN Utfärdad 27.5.2003 Gäller fr.o.m. 1.7.2003 (1) Några regelbundna rapporter om organisationen av den interna kontrollen behöver inte lämnas in till Finansinspektionen. Tillämpningsråd Tillämpningsråd (2) Instituten ska dock regelmässigt i bokslutet lämna uppgifter även om organisationen av den interna kontrollen och riskhanteringen, som är en intregrerad del av internkontrollen. (3) Närmare bestämmelser om de uppgifter som ska redovisas i bokslutet finns i Finansinspektionens förevarande föreskrifter och anvisningar.

dnr 5/790/2003 22 (25) 8 DEFINITIONER En oberoende funktion deltar inte i verksamhetsstyrningen och svarar inte för rörelseresultatet. Funktionen kan i regel betraktas som oberoende när följande villkor uppfylls: funktionen är organisatoriskt fristående från den verksamhet som den övervakar. Chefen för funktionen är underställd en sådan person som inte är ansvarig för ledningen av den verksamhet som övervakas av funktionen de anställda inom funktionen har inga uppgifter inom den verksamhet som övervakas av funktionen chefen för funktionen rapporterar direkt till styrelsen, verkställande direktören och andra ledande befattningshavare och/eller till revisionskommittén (audit committee) lönerna för de anställda inom funktionen är inte bundna till resultatet för den verksamhet som övervakas av funktionen. Till andra ledande befattningshavare hör också personer som utöver styrelsen och verkställande direktören i praktiken leder institutets verksamhet. Det kan till exempel handla om direktören för ett viktigt affärsområde. De andra ledande befattningshavarna bildar tillsammans med styrelsemedlemmarna och verkställande direktören institutets högsta ledning.

dnr 5/790/2003 23 (25) 9 YTTERLIGARE INFORMATION Kontaktinformation finns i listan över standardansvariga på Finansinspektionens webbplats. Upplysningar lämnas också av: Institutionstillsyn

dnr 5/790/2003 24 (25) 10 ÄNDRINGSHISTORIK När denna standard trädde i kraft (1.7.2003) upphävdes följande föreskrifter och anvisningar: Föreskrift om riskhantering och övrig intern kontroll i kreditinstitut (108.1). Anvisning om principer för riskhantering och intern kontroll och internrevision i kreditinstitut (108.2) frånsett bestämmelserna om databehandling och intern revision. Närmare bestämmelser om databehandling och internrevision lämnas i kommande standarder. Anvisning om riskhantering och övrig intern kontroll i fondbörser (202.13) frånsett bestämmelserna om databehandling och intern revision. Närmare bestämmelser om databehandling och internrevision lämnas i kommande standarder. Föreskrift om riskhantering och övrig intern kontroll i värdepappersföretag (203.27). Anvisning om principer för riskhantering och intern kontroll och internrevision i kreditinstitut (203,28) frånsett bestämmelserna om databehandling och intern revision. Närmare bestämmelser om databehandling och internrevision lämnas i kommande standarder. Anvisning om riskhantering och övrig intern kontroll i fondbörser (206.4) frånsett bestämmelserna om databehandling och intern revision. Närmare bestämmelser om databehandling och internrevision lämnas i kommande standarder. Avsnitt 5.4 upphävd genom standard 1.6 Utläggning av verksamhet som trädde i kraft den 1 november 2007.

dnr 5/790/2003 25 (25) Standarden har den 16 december 2008 ändrats enligt följande:, gäller fr.o.m. 1.1.2009. Ändringarna i internationella regelverk och den nationella lagstiftningen har beaktats. Tillämpningsområdet har utvidgats till att omfatta fondbolag, holdingföretag i finansiellt inriktade finans- och försäkringskonglomerat och fondbörser och företag som utövar ett bestämmande inflytande över fondbörser på det sätt som avses i 1 kap. 5 i värdepappersmarknadslagen. Standardens syfte har preciserats. Standardens namn har ändrats från Uppläggning av intern kontroll och riskhantering till Organisation av intern kontroll. Ett nytt avsnitt 5.3 om oberoende funktioner har lagts till i standarden. Avsnitt 5.3 Oberoende riskkontrollfunktion har skrivits om och blivit avsnitt 5.3.1. Nya avsnitt 5.3.2 Funktion för regelefterlevnad (compliance) och 5.3.3 Internrevision har lagts till i standarden. Nya marginaltexter har lagts till. Definitionen på oberoende funktion har skrivits om. Definitionerna på högsta och verkställande ledning har slopats. Definition på andra ledande befattningshavare har lagts till i standarden. Språkdräkten har setts över. Standarden har den 15 december 2011 ändrats enligt följande (ikraft den 1 januari 2012): Tillämpningsområdet omfattar inte längre de fondbolag som inte tillhandahåller investeringstjänster. Standarden har den 06.06.2013 ändrats enligt följande (ikraft den 1.7.2013): Ändringarna enligt totalreformen av värdepappersmarknadslagen Alla tidigare versioner av standarderna finns samlade på Finansinspektionens webbplats under Regelverk/Föreskriftssamling.