Risikoansvarlig, compliance-funktion og procedurer for nye eller ændrede produkter

Artikelserie: Nye krav til ledelse og styring af pengeinstitutter m.fl.

Krav til den udpegede risikoansvarlige

Den risikoansvarlige skal referere direkte til direktionen. Afskediges den risikoansvarlige, skal bestyrelsen orienteres om afskedigelsen og begrundelsen for denne

Kompetencekrav til den risikoansvarlige

Den risikoansvarlige skal have tilstrækkelig viden og uafhængighed til at kunne vurdere virksomhedens risici. Dette er et nyt kompetencekrav fra Finanstilsynet, som ledelsen skal sikre er opfyldt.

Risikoansvarlig i mindre virksomheder

Den risikoansvarlige kan i mindre virksomheder være medlem af direktionen. Hvis direktionen vurderer, at det er hensigtsmæssigt på grund af f.eks. virksomhedens størrelse, kan en medarbejder med ansvar for intern kontrol udpeges som risikoansvarlig.

Bestyrelsen skal i sådanne situationer informeres om baggrunden for ikke at etablere en selvstændig risikostyringsfunktion. Direktionen skal samtidig forklare, hvorfor risikostyringen i virksomheden fortsat kan gennemføres på betryggende vis.

Dispositioner

Den risikoansvarlige skal have mulighed for at udtale sig om risikoen ved større og usædvanlige påtænkte dispositioner. Hvis en disposition frarådes, skal direktionen skriftligt orienteres.

Hvis direktionen fortsat ønsker at gennemføre en disposition, skal direktionen straks informere bestyrelsen om den risikoansvarliges indstilling for at opnå bestyrelsens stillingtagen. I situationer, hvor man ikke kan vente på dette uden væsentlig ulempe for virksomheden, skal bestyrelsen hurtigst muligt underrettes om den gennemførte disposition og den risikoansvarliges indstilling.

Virksomhedens risikoredegørelse

Den risikoansvarlige skal som minimum have mulighed for at udtale sig i forbindelse med direktionens årlige udformning af redegørelse om virksomhedens samlede risici.

Nye og ændrede produkter

Den risikoansvarlige skal deltage eller som minimum høres i forbindelse med udvikling af nye produkter eller ændring af eksisterende produkter. Den risikoansvarlige skal også orienteres om godkendelsesprocessen af sådanne produkter.

Den risikoansvarliges ressourcer

Den risikoansvarlige skal have tilstrækkelige ressourcer til at identificere, vurdere, følge op på og forholde sig til virksomhedens risikoprofil, principper for opgørelse af risici, anvendte modeller og risikoeksponering under et og på de enkelte områder.

Krav til compliance-funktionen

Der stilles krav om, at virksomhederne skal have en egentlig compliance-funktion, som fungerer uafhængigt. Compliance-funktionen er ansvarlig for at kontrollere og vurdere, om de metoder og procedurer, som virksomheden skal have implementeret til sikring af efterlevelse af de eksisterende regelsæt, nu også fungerer i praksis.

Implementer optimale metoder og procedurer

Der stilles først og fremmest krav om, at virksomhederne skal implementere metoder og procedurer, der er egnede til at opdage og mindske risikoen for, at

virksomheden bliver pålagt sanktioner
virksomheden lider tab af omdømme, eller at
virksomheden eller dens kunder lider væsentlige økonomiske tab som følge af manglende overholdelse af gældende lovgivning, markedsstandarder og interne procedurer.

Samlet set kaldes disse risici for compliance-risici. Compliance-funktionen skal også påse og vurdere, om de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.

Krav til ansatte i compliance-funktionen

Virksomheden skal sørge for, at compliance-funktionen kan varetage sine opgaver korrekt og uafhængigt. Dette skal bl.a. ske ved at sikre, at følgende forhold er opfyldt:

Compliance-funktionen har de nødvendige ressourcer, kompetencer og sagkundskab samt adgang til alle relevante oplysninger
En person er udnævnt til compliance-ansvarlig og er ansvarlig for, at der sker rapportering til bestyrelse og direktion mindst én gang årligt om de opgaver, som er udført, og resultatet
Medarbejdere, som er involveret i compliance-funktionen, må ikke deltage i leveringen af de tjenesteydelser eller udførelsen af de opgaver, som de deltager i kontrollen af
Vederlaget til medarbejdere i compliance-funktionen må ikke fastsættes efter en metode, som bringer deres uafhængighed i fare.

Overvej virksomhedens aktiviteter i relation til compliance

Når virksomheden etablerer de nødvendige metoder og procedurer, skal der naturligt tages højde for art, omfang og sammensætning af virksomhedens aktiviteter. Tilsvarende er det muligt for mindre virksomheder eller virksomheder med ukomplicerede aktiviteter at udnævne den samme person til risikoansvarlig og ansvarlig for compliance-funktionen. Dog skal det i så fald altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de kontrollerer som led i deres compliance-opgaver.

Krav til procedurer for nye eller ændrede produkter

Direktionen skal godkende retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, samt ændringer i eksisterende tjenesteydelser og produkter, hvis ændringen medfører en væsentlig ændring af risikoprofilen. Retningslinjerne skal som minimum indeholde følgende:

Afgrænsning af, hvornår der er tale om et nyt produkt eller tjenesteydelse (i det omfang det er muligt)
Angive, hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg der skal stå for udviklingsprocessen, evt. opdelt pr. risikoområde
Retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, så det sikres, at alle relevante forhold belyses
Retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder:
- art, størrelse og opgørelse af risici for virksomheden
- påvirkning af virksomhedens omkostninger og indtjening
- virksomhedens muligheder for at agere på nye markeder
- påvirkning af virksomhedens solvens
- regnskabsmæssig behandling.
Krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye eller ændrede produkt eller tjenesteydelse på betryggende vis
Retningslinjer for, at nye eller ændrede produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller kunderne, skal forelægges bestyrelsen. Bestyrelsen vurderer, om anvendelsen af det nye eller ændrede produkt eller tjenesteydelse giver anledning til ændring af allerede vedtagne politikker og retningslinjer. Bestyrelsen skal også vurdere, om der skal stilles særlige principper for opgørelse af risici knyttet til produktet.

Bestyrelsens involvering

Bestyrelsen bør på baggrund af ovenstående retningslinjer have givet et klart mandat til direktionen for, hvilke typer af nye produkter som kan godkendes uden bestyrelsens involvering. Mandatet kan med fordel opstilles ud fra risikorammer.

Den risikoansvarliges involvering

Den risikoansvarlige skal deltage eller som minimum høres ved udvikling og godkendelse af nye produkter eller tjenesteydelser og orienteres om forløbet af godkendelsesprocessen.

Derudover skal den risikoansvarlige høres ved ændring af eksisterende produkter eller tjenesteydelser for at vurdere, om ændringen skal være omfattet af kravene til udvikling af nye produkter eller tjenesteydelser. Den risikoansvarlige skal kunne kræve, at en ændring omfattes af godkendelsesproceduren for nye produkter eller tjenesteydelser.

Bemærk ligeledes, at den risikoansvarlige har selvstændig rapporteringspligt til direktion og bestyrelse. Derfor må man antage, at der skal ske direkte rapportering til både direktion og bestyrelse, hvis den risikoansvarlige ikke kan godkende et nyt eller ændret produkt eller tjenesteydelse i den foreliggende form - forudsat at der sker en væsentlig ændring af risikoprofilen.