Bestyrelsens og direktionens pligter

Artikelserie: Nye krav til ledelse og styring af pengeinstitutter m.fl.

Finanstilsynets nye bekendtgørelse stiller nye krav til virksomhedens tilrettelæggelse af ledelse og styring.

Krav til bestyrelsen

Bekendtgørelsen stiller således krav til risikostyring og skærper kravene til bestyrelsens opgaver med henblik på en effektiv styring af virksomheden og virksomhedens likviditet.

Effektiv styring af virksomheden

Udgangspunktet for en effektiv styring af virksomheden er, at bestyrelsen som led i den overordnede og strategiske ledelse tager stilling til og fastlægger:

Virksomhedens forretningsmodel og risikoprofil
Virksomhedens acceptable risikoniveauer for de enkelte aktivitetsområder.

Samtidig skal bestyrelsen løbende vurdere, om dens medlemmer tilsammen har den fornødne viden og erfaring om virksomhedens risici med henblik på en forsvarlig drift af virksomheden.

Klar beskrivelse af opgaver og ansvar

Med udgangspunkt i bestyrelsens fastlæggelse af en forretningsmodel og acceptable risikoniveauer indeholder den nye bekendtgørelse en specifik beskrivelse af bestyrelsens opgaver og ansvar. Det er i den forbindelse præciseret, hvilke beføjelser der ikke kan videregives til direktionen, jf. nedenfor. F.eks. kan principper for opgørelse af risici og anvendelse af interne modeller ikke længere uddelegeres.

Krav til protokol, politikker og beredskabsplaner mv.

Bestyrelsen skal mindst én gang årligt foretage en grundig gennemgang og vurdering af virksomhedens risici, og denne vurdering skal føres til protokol. Derudover skal bestyrelsen vedtage relevante politikker og beredskabsplaner mv. på baggrund af risikovurderingen. Denne risikovurdering er baseret på en redegørelse om risici, som er udarbejdet af direktionen, jf. nedenfor.

Til brug for dette arbejde har Finanstilsynet i den nye bekendtgørelse opstillet en række yderligere minimumskrav til indholdet af disse politikker og beredskabsplaner mv., jf. bilag 1- 5 til bekendtgørelsen.

Der skal i den forbindelse udformes politikker og beredskabsplaner mv. for følgende områder:

En kreditpolitik, jf. bilag 1
En markedsrisiko politik, jf. bilag 2
En politik for håndtering af operationelle risici, jf. bilag 3
En politik for forsikringsmæssig afdækning af risici
En likviditetspolitik, jf. bilag 4
En it-sikkerhedspolitik, jf. bilag 5
En beredskabsplan for øvrige alvorlige driftsforstyrrelser.

Politikker og beredskabsplaner skal ajourføres årligt og danner som tidligere baggrund for bestyrelsens udformning af retningslinjer til direktionen.

Som et eksempel på en skærpelse ved udarbejdelsen af virksomhedens politikker skal kreditpolitikken fremover udformes ud fra et forsigtighedsprincip. Dette er et tegn på omgivelsernes og Finanstilsynets nye hårdere linje over for virksomhederne - en linje som også udtrykkes i udformningen af bekendtgørelsens øvrige krav til virksomhederne.

Beslutninger, der alene kan tages af bestyrelsen

Derudover er der visse beslutninger, som ikke kan uddelegeres til direktionen. Det drejer sig bl.a. om følgende beslutninger:

Outsourcing af væsentlige aktivitetsområder
Bevilling af usædvanlige eller betydende engagementer
Bevilling af engagementer omfattet af FIL § 78
Årlig gennemgang af større aktiver og passiver
Ansættelse af direktion og revisionschef
Principper for opgørelse af risici, herunder anvendelse af øvrige interne modeller end nævnt nedenfor
Ansøgning om godkendelse af interne modeller til opgørelse af virksomhedens solvens, herunder:
- VaR-modeller
- AMA-modeller
- EPE-modeller
- Anvendelse af IRB-metoden.
Fastlæggelse af virksomhedens individuelle solvensbehov.

Bestyrelsens retningslinjer til direktionen skal desuden beskrive forudsætningerne for direktionens eventuelle disponering uden for den fastlagte risikoprofil og retningslinjernes grænser. Hvis forudsætningerne ikke er fastlagt, kan direktionen ikke opnå en forudgående godkendelse for overskridelse i visse fastlagte situationer.

Krav til bestyrelsens forretningsorden

Kravene til bestyrelsens forretningsorden er i bilag 6 ajourført med bestemmelserne i den nye selskabslov.

Herudover er kravene præciseret i forhold til tilrettelæggelsen af arbejdet i bestyrelsen. Forretningsordenen skal bl.a. indeholde procedurer for:

Bestyrelsens løbende stillingtagen til virksomhedens forretningsplan, risikoprofil, organisation og ressourcer
Bestyrelsens løbende stillingtagen til tilsynet med direktionen, herunder en vurdering af, om direktionen varetager sine opgaver på behørig måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker og bestyrelsens retningslinjer til direktionen
Bestyrelsens løbende stillingtagen til organisatorisk placering og bemanding af virksomhedens risikostyringsfunktion.

Krav til bestyrelsens forhandlingsprotokol

I bilaget til bekendtgørelsen, punkt 10, om bestyrelsens forhandlingsprotokol præciseres det, at:

”… forhandlingsprotokollen skal afspejle de på møderne førte drøftelser, herunder skal væsentlige risikovurderinger og trufne beslutninger samt forudsætninger for disse fremgå”.

Det er dermed ikke længere tilstrækkeligt, at bestyrelsesprotokollen alene er et beslutningsreferat. Protokollen skal gengive de drøftelser, som førte frem til bestyrelsens beslutninger, herunder naturligvis de risikovurderinger, som bestyrelsen har foretaget, og på hvilket grundlag vurderingerne er foretaget.

Læs mere om krav til bestyrelsen

For mere information om kravene til bestyrelsens involvering se artiklerne om:

Krav til direktionen

Bekendtgørelsen beskriver mere detaljeret direktionens opgaver og ansvar i forbindelse med ledelsen af virksomheden, hvilket bl.a. udtrykkes i ovennævnte bilag til bekendtgørelsen. Nedenfor kan du læse om de mere overordnede krav til direktionen.

Krav til risikoredegørelse

Til brug for bestyrelsens årlige vurdering af virksomhedens risici skal direktionen udarbejde en risikoredegørelse, der som minimum skal indeholde en beskrivelse af:

De risikotyper virksomheden er udsat for, herunder en vurdering af forretningsmodellens indflydelse på risici og risikoniveauer
Hvilke aktiviteter risici er tilknyttet
Omfang af typer af risici
Hvordan risikotyper indbyrdes påvirker hinanden.

Hvis virksomheden fravælger bekendtgørelsens bestemmelser eller supplerer med yderligere tiltag, skal direktionen oplyse om dette og beskrive, hvad fravalget eller de supplerende tiltag består af. Herudover skal det fremgå af bestyrelsens forhandlingsprotokol, at bestyrelsen har taget stilling til fravigelser eller nødvendige supplerende tiltag i forhold til bekendtgørelsens bestemmelser.

Direktionen skal sikre, at virksomheden alene påtager sig risici, som ledelse og medarbejdere i fornødent omfang kan vurdere konsekvenserne af.

Direktionen skal desuden godkende retningslinjer for udvikling og godkendelse af nye eller ændrede produkter, der kan føre til væsentlige risici for virksomheden, modparter eller kunder.

Læs mere i artiklen Risikoansvarlig, compliance-funktion og procedurer for nye eller ændrede produkter.

Udpegning af en risikoansvarlig

Som noget nyt skal direktionen udpege en risikoansvarlig, som skal være ansvarlig for:

At risikostyringen foretages på betryggende vis
At der skabes overblik over virksomhedens risici og samlede risikobillede.

Læs mere om kravene til den risikoansvarlige i artiklen Risikoansvarlig, compliance-funktion og procedurer for nye eller ændrede produkter.

Krav til virksomhedens organisatoriske opbygning

Omkring kravene for funktionsadskillelse er det præciseret, at virksomheden opbygges, således at disponerende enheder ikke refererer til en leder, som har ansvar for enheder, der udfører afvikling, resultat- og risikoopgørelser, kontrol eller rapportering. Det er som tidligere direktionens ansvar, at organisationen er korrekt opbygget, herunder med nødvendige funktionsadskillelser og kompetencer.