Høring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Transkript

1 Høring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Finanstilsynet har i dag sendt udkast til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. i høring. Bekendtgørelsen er en ændring af bekendtgørelse nr af 25. november 2015 om ledelse og styring af pengeinstitutter m.fl. Ændringen af bekendtgørelsen vedrører opfølgning på anbefalinger fra arbejdsgruppen vedrørende god selskabsledelse i SIFIer, herunder i forhold til - krav om inddragelse af hensynet til opretholdelsen af stabil finansiel sektor og en stabil finansiel infrastruktur - fastsættelse af særlige krav til risikostyringsfunktionen, herunder i forhold til rapportering og den risikoansvarliges løbende dialog med bestyrelsen og risikoudvalget - fastsættelse af særlige krav på it-sikkerhedsområdet, herunder krav om stillingtagen til behovet for flercenterdrift - forebyggelse af interessekonflikter 17. marts 2016 J.nr /GOVN FINANSTILSYNET Århusgade København Ø Tlf Fax CVR-nr [email protected] ERHVERVS- OG VÆKSTMINISTERIET præciseringer på markedsrisikoområdet, funktionsadskillelse og rapportering præciseringer og uddybninger af de nuværende krav til operationelle risici opfølgning på anbefaling fra Den Internationale Valutafond (IMF) enkelte sproglige tilpasninger De væsentligste ændringer i forhold til de gældende regler er følgende: Opfølgning på anbefalinger fra arbejdsgruppen vedrørende god selskabsledelse i SIFIer Baggrund Ved den politiske aftale af 10. oktober 2013 mellem den daværende regering (Socialdemokratiet, Radikale Venstre og Socialistisk Folkeparti) og Venstre, Dansk Folkeparti, Liberal Alliance og Det Konservative Folkeparti om Regulering af systemisk vigtige finansielle institutter (SIFI) samt krav til alle banker og realkreditinstitutter om mere og bedre kapital og højere likviditet, blev der indgået aftale om fastsættelse af skærpede krav til god selskabsledelse i systemisk vigtige finansielle institutter (SIFIer) i form af bl.a.:

2 2/7 fastsættelse af særlige krav til organisering og bemanding af risikostyringsfunktioner fastsættelse af særlige krav på it-området Det blev i den politiske aftale besluttet at nedsætte en arbejdsgruppe med deltagelse af den finansielle sektor, som skulle komme med forslag til, hvordan aftalens initiativer vedrørende krav til god selskabsledelse i SIFIer konkret kunne udmøntes. Aftalens parter skulle endvidere følge op på resultatet af arbejdsgruppens arbejde med henblik på efterfølgende indarbejdelse i lovgivningen. Arbejdsgruppen vedrørende god selskabsledelse i SIFIer blev nedsat i juni 2014, og ændringerne er en opfølgning på forslagene fra arbejdsgruppen, der afrapporterede til Erhvervs- og Vækstministeren den 7. december På baggrund af sine overvejelser har arbejdsgruppen stillet forslag til udmøntning af den politiske aftales punkter på området for god selskabsledelse i SIFIer. Udkast til reglerne i 2, stk. 3, bilag 5, nr. 4 og 10, samt bilag 7, nr. 21 og er baseret på arbejdsgruppens anbefalinger. Ændringer Det følger af de nugældende regler i 2, at bestyrelsen henholdsvis direktionen i de i 1, stk. 1 omfattede virksomheder, herunder SIFIer, har pligt til at træffe de foranstaltninger, som er tilstrækkelige til at sikre, at virksomheden drives betryggende, og at ledelsesbekendtgørelsens bestemmelser overholdes. Med udkast til 2, stk. 3 indføres en særskilt pligt for bestyrelsen henholdsvis direktionen i SIFIer til at inddrage hensynet til opretholdelsen af en stabil finansiel sektor ved vurderingen af, hvilke foranstaltninger indenfor risikostyringsområdet der er tilstrækkelige til at sikre, at SIFIet drives betryggende, og at bestemmelserne i bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. om risikostyring overholdes. Endvidere indføres en pligt for bestyrelsen henholdsvis direktionen i SIFI er til på itsikkerhedsområdet at inddrage hensynet til opretholdelsen af en stabil finansiel infrastruktur. I de nugældende regler i bilag 5 fastlægges bestyrelsens og direktionens opgaver og ansvar på it-sikkerhedsområdet. Med udkastet til bilag 5, nr. 4 indføres et særskilt krav om, at it-sikkerhedspolitikken i SIFIer indeholder en stillingtagen til behovet for etablering af flercenterdrift på alle forretningskritiske it-systemer. Samtidigt tilføjes der med udkastet til bilag 5, nr. 10 en pligt for direktionen i SIFIer, som har flere driftscentre, til at sikre, at afstanden mellem driftscentrene er tilstrækkelig til at undgå, at en hændelse, der sætter et center ud af drift, samtidigt rammer øvrige centre. Fastsættelse af afstanden mellem centrene skal bero på en konkret risikovurdering.

3 3/7 I de nugældende regler i bilag 7 fastlægges bl.a. krav til risikostyringsfunktionens organisation. Med udkast til bilag 7, nr. 21 tilføjes, at direktionen i et SIFI i forbindelse med vurderingen af allokeringen af ressourcer til de enkelte risikoområder skal tage stilling til, om risikostyringsfunktionen under ledelse af den risikoansvarlige skal organiseres, så der oprettes bemandede risikostyringsenheder for hvert væsentligt risikoområde i SIFI et for derved at øge virksomhedens opmærksomhed på de enkelte områders risikoeksponeringer. Samtidigt tilføjes der med udkast til bilag 7, nr. 24 og 25 en pligt for den risikoansvarlige i et SIFI til at deltage i risikoudvalgets møder, samt løbende, herunder i forbindelse med afgivelse af risikostyringsfunktionens rapport, at deltage i bestyrelsens møder med henblik på forelæggelse og drøftelse af virksomhedens risikostyring. På baggrund af anbefalinger fra arbejdsgruppen tilføjes der i den generelle bestemmelse om funktionsadskillelse i 11, stk. 1, en generel bestemmelse om forebyggelse af interessekonflikter gældende for alle virksomheder, som er omfattet af bekendtgørelsen. Krav til forebyggelse og håndtering af interessekonflikter må anses for en integreret del af god selskabsledelse, som er med til at sikre en forsvarlig drift af virksomheden, og arbejdsgruppen har fundet det hensigtsmæssigt at medtage et forslag herom, uanset at det ikke er et krav specifikt rettet til SIFIer. I den forbindelse er ordlyden af den generelle bestemmelse om funktionsadskillelse i 11, stk. 1, er præciseret sådan, at den i højere grad afspejler Finanstilsynets praksis, hvorefter disponerende medarbejdere, medarbejdere, der udfører afvikling, og medarbejdere, der udfører resultat- og risikoopgørelser samt kontrol og rapportering, skal referere til hver sin leder. Præciseringer på markedsrisikoområdet Funktionsadskillelse Finanstilsynets praksis for funktionsadskillelse på markedsrisikoområdet, herunder udmøntningen af proportionalitetsprincippet, er samtidig præciseret i bilag 2, nr Præciseringerne afspejler også, at der gælder skærpede krav til de virksomheder, der er udpeget som systemisk vigtige finansielle institutter (SIFI). Således er det præciseret, at SIFI er samt andre virksomheder med omfattende og/eller komplekse forretninger på markedsrisikoområdet skal etablere fuld funktionsadskillelse, ligesom det er præciseret, hvornår der kan være grundlag for ikke at etablere fuld funktionsadskillelse på markedsrisikoområdet. Desuden er det præciseret, at funktionsadskillelse på markedsrisikoområdet også indebærer, at interne modeller på markedsrisikoområdet skal underlægges uafhængig validering og/eller kompenserende foranstaltninger. Dette er af hensyn til at sikre en betryggende validering af modellerne, hvor det sikres, at modellerne bliver vurderet af person(er), der ikke har været involveret i udviklingen af modellerne. De omfattede interne modeller er interne modeller til opgørelse af solvens til dækning

4 4/7 af markedsrisiko (VaR-modeller), interne modeller til opgørelse af markedsrisici samt interne modeller til værdiansættelse af finansielle instrumenter. Rapportering, herunder på markedsrisikoområdet De generelle bestemmelser i 7, stk. 5, og 21, stk. 2 og 3, om rapportering på overholdelse og udnyttelsen af grænser for risikotagning er lempet sådan, at der kun skal ske rapportering på de væsentlige grænser for risikotagning fremfor samtlige grænser for risikotagning. Det vil sige, at virksomhederne kan undlade at rapportere på de grænser for risikotagning, som ikke er væsentlige for bestyrelsens og direktionens samt øvrige ledelsesniveauers beslutninger. Lempelsen skal således understøtte en mere risikobaseret rapportering, som i højere grad understøtter særligt bestyrelsens og direktionens overblik over virksomhedens væsentlige risici og udviklinger heri og dermed i højere grad understøtter beslutningstagningen. Der vil i henhold til bestemmelserne fortsat skulle rapporteres på overskridelse af samtlige grænser for risikotagning. I overensstemmelse med ovenstående og med henblik på at øge bestyrelsens grundlag for at træffe beslutninger på markedsrisikoområdet og vurdere, om direktionen løser opgaverne på markedsrisikoområdet tilfredsstillende, er der samtidig i bilag 2, nr , fastsat bestemmelse om rapportering til bestyrelsen på markedsrisikoområdet. Kravene til rapporteringen på markedsrisikoområdet afspejler Finanstilsynets praksis og udmønter proportionalitetsprincippet, herunder at der gælder skærpede krav til de virksomheder, der er udpeget som systemisk vigtige finansielle institutter (SIFI). Det er fastsat, at bestyrelsen i udgangspunktet mindst hvert kvartal skal modtage rapportering på markedsrisikoområdet på tilsvarende vis, som bestyrelsen mindst hvert kvartal skal modtage rapportering på kreditområdet 1. Endvidere er det fastsat, at rapporteringen skal fremhæve de væsentlige risici og udviklinger heri og indeholde de nødvendige forklaringer. For SIFI er og virksomheder med omfattende og/eller komplekse forretninger på markedsrisikoområdet er det desuden fastsat, at rapporteringen skal gøre det muligt for bestyrelsen at foretage en vurdering af, om indtjeningen på markedsrisikoområdet står mål med de markedsrisici, der er taget. Denne analyse er således central for bestyrelsens beslutninger på markedsrisikoområdet, jf. også 80 b, stk. 3, nr. 3, i lov om finansiel virksomhed. Bestemmelsen i bilag 2, nr. 24, om, at rapporteringen skal indeholde et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed, fremgik tidligere af 7, stk. 5. De omfattede modeller er interne modeller til 1 Rapporteringskravet på kreditområdet blev implementeret ved bekendtgørelse nr. 297 af 27/03/2014 som følge af anbefalinger om øgede krav til regelmæssige rapporteringer fra den daglige ledelse til bestyrelsen i Rangvid Udvalgets rapport.

5 5/7 opgørelse af solvens til dækning af markedsrisiko (VaR-modeller) og interne modeller til opgørelse af markedsrisici. Bestemmelsen i bilag 2, nr. 25, om rapportering om midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, fremgik tidligere af 7, stk. 6. Mindre præciseringer på markedsrisikoområdet I bilag 2, nr. 3c og 6d, er det i overensstemmelse med Finanstilsynets praksis præciseret, at der med aktiv risikotagning også menes risikotagning i forbindelse med virksomhedens likviditetsplaceringer. I bilag 2, nr. 4, er det i overensstemmelse med Finanstilsynets praksis præciseret, at markedsrisikopolitikken også skal tage højde for de markedsrisici, der følger af virksomhedens ind- og udlånsvirksomhed. Præciseringer og uddybninger af de nuværende krav til operationelle risici Finanstilsynet har erfaret, at en række virksomheder har haft udfordringer med at vurdere, hvordan de skal leve op til kravene i bilag 3. Som følge heraf har Finanstilsynet præciseret og uddybet teksten i bilaget med henblik på at tydeliggøre de gældende krav til håndtering af operationel risiko. Præciseringerne er en uddybning af de nuværende krav, som dels imødekommer virksomhedernes udfordringer og dels i højere grad kommer til at afspejle Finanstilsynets praksis på området. Præciseringerne vedrører især reglerne for bestyrelsens og direktionens arbejde vedrørende fastsættelsen af politik for operationel risiko, bestyrelsens retningslinjer til direktionen samt direktionens rolle. Præciseringerne tydeliggør opdelingen mellem identificering, registrering, kategorisering, rapportering og analyse af operationelle tabshændelser. Præciseringerne tydeliggør desuden kravene til identificering og håndtering af såkaldte halebegivenheder samt kravet om, at virksomheden skal inkludere tabshændelser, der har medført tab, såvel som tabshændelser, der kunne have medført tab. Nedenunder fremgår en nærmere beskrivelse af ændringerne i bilagets enkelte afsnit. Præciseringerne vedrørende krav til politik for operationel risiko Det fremgår af ledelsesbekendtgørelsens 3, nr. 2, at bestyrelsen på grundlag af forretningsmodellen skal træffe beslutning om virksomhedens politikker. Af 4, stk. 2, nr. 3, fremgår, at politikkerne skal omfatte politik for operationel risiko. I bilaget er kravene uddybet for operationel risiko. De er nu yderligere præciseret. Mere konkret er kravene til politik for operationel risiko omformuleret således, at det tydeligt fremgår, at politikken skal tage udgangspunkt i den pågældende virksomheds forretningsmodel, aktiviteter og organisering samt at bestyrelsen skal fastsætte et overordnet toleranceniveau for operationelle tabshændelser i de enkelte forretningsområder. End-

6 6/7 videre er det tydeliggjort hvilke områder, der særligt skal tages stilling til. Det er desuden tydeliggjort, at politikken skal adressere tabshændelser, der opstår med lav sandsynlighed (halebegivenheder) samt at politikken overordnet skal adressere hvordan virksomheden skal registrere, kategorisere og rapportere på operationelle tabshændelser. Præciseringerne til politikken har til hensigt at gøre det nemmere for virksomheden at vurdere, hvad der specifikt kræves i de af ledelsesbekendtgørelsens krav om politik for operationel risiko. Proportionalitetsprincippet er fastholdt, hvilke bevirker, at der ikke stilles de samme krav til en mindre eller ikke-kompleks virksomhed som til en stor og kompleks virksomhed. Det vurderes derfor, at præciseringerne ikke bevirker en ekstra byrde for virksomhederne. Præciseringerne vedrørende krav til bestyrelsens retningslinjer til direktionen Det fremgår af ledelsesbekendtgørelsens 6 at bestyrelsen på grundlag af risikovurderingen, jf. 5 og i henhold til de i 4 besluttede politikker, skal udstede retningslinjer til direktionen. Endvidere fremgår det af 7, at retningslinjerne blandt andet skal indeholde kontrollerbare grænser samt principper for udnyttelse af grænser. I bilaget er kravene til disse retningslinjer uddybet for operationel risiko. De er nu yderligere præciseret. Mere konkret er det præciseret, hvilke områder og grænser bestyrelsen skal adressere i retningslinjerne for operationel risiko. Dette omfatter, at retningslinjerne skal indeholde grænser for tabshændelser, der har medført tab, såvel som tabshændelser, der kunne have medført tab samt konkrete metoder til at identificere halebegivenheder. Endvidere er opdelingen mellem identificering, registrering, kategorisering og rapportering tydeliggjort. Præciseringerne til bestyrelsens retningslinjer til direktionen følger af de præciseringer, som er lavet til politik for operationel risiko, og de har til hensigt at gøre det nemmere for bestyrelsen at fastsætte specifikke retningslinjer til direktionen på området for operationel risiko. Det vurderes derfor, at præciseringerne ikke bevirker en ekstra byrde for virksomhederne. Præciseringer vedrørende krav til direktionens opgaver og ansvar Direktionens overordnede opgaver og ansvar fremgår af ledelsesbekendtgørelsens 8. Herunder fremgår det, at bestyrelsens vedtagne politikker og retningslinjer skal implementeres i virksomhedes daglige drift, jf. stk. 2. I bilaget er disse krav uddybet for operationel risiko, og de er nu yderligere præciseret. Som følge af præciseringerne i kraverne til politik og retningslinjer er opdelingen mellem identificering, registrering, kategorisering og rapportering tydeliggjort således, at det etableres effektive systemer og metoder herfor i virksomhedens væsentlige forretningsområder samt, at der er forretningsgange både for identificering, registrering og kategorisering samt opgørelse og rapportering til bestyrelsen. Endvidere er det specificeret, at direktionen skal sikre, at alle relevante medarbejdere har kendskab til politikken for operationel risiko. Dette følger allerede af bekendtgørelsens 8, stk. 2, og 12 og 13 men er nu særligt nævnt i bilag 3.

7 7/7 Præciseringerne af direktionens ansvar og opgaver har til hensigt at gøre det nemmere for virksomheden at tolke ledelsesbekendtgørelsens krav til direktionen vedrørende operationel risiko. Det nye krav følger af, at medarbejdernes kendskab til politikken er afgørende for, at medarbejderne kan identificere og registrere de operationelle tabshændelser. Opfølgning på anbefaling fra Den Internationale Valutafond (IMF) IMF har i sin seneste gennemgang af tilsynet på det finansielle område anført, at Finanstilsynets generelle indberetninger vedrørende operationelle risici er ikke tilstrækkeligt hyppige og omfattende til at overvåge operationelle tabshændelser, som kan have væsentlig betydning for virksomhedens kapitalgrundlag. Finanstilsynet var enig heri. Finanstilsynet har derfor foretaget en vurdering af, hvordan tilsynet skal kunne få information om væsentlige hændelser uden, at der pålægges uforholdsmæssige byrder på virksomhederne. Som følge heraf er der indført et krav om, at en virksomheds direktion skal sikre, at Finanstilsynet orienteres ved registrerede tabshændelser på mere end 1 pct. af virksomhedens kernekapital. Det skal hertil bemærkes, at et tab i den størrelsesorden indtræffer meget sjældent. Erfaringsmæssigt ser Finanstilsynet særdeles få tab af den størrelsesorden fra de finansielle virksomheder set under et. Finanstilsynet har derfor allerede en forventning om, at virksomhederne vil oplyse om sådanne væsentlige tab. Orienteringspligten er desuden ikke formaliseret ved skema eller system, hvorfor den blot betyder, at instituttet orienterer Finanstilsynet eksempelvis via telefon eller . Det vurderes derfor, at det nye krav ikke bevirker en ekstra byrde for virksomhederne. Bekendtgørelsen træder i kraft den 1. juli Udkastet er desuden sendt i høring hos en række organisationer. Finanstilsynet skal anmode om eventuelle bemærkninger til udkastet, således at disse er Finanstilsynet i hænde senest torsdag den 14. april Bemærkninger kan sendes pr. på [email protected] og [email protected] eller pr. post til Finanstilsynet, Århusgade 110, 2100 København Ø, Att.: Cathrine Brogaard Larsen og Stig Nielsen. Eventuelle spørgsmål kan rettes til Cathrine Brogaard Larsen, på tlf eller Stig Nielsen (vedr. markedsrisikoområdet og operationelle risici) på tlf Eventuelle høringssvar offentliggør Finanstilsynet på Høringsportalen. Svarene kan læses i 5 måneder efter høringsfristen er udløbet.