Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Kapitel 7

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 1103 af 30. juni 2022

Kapitel 7 Risikostyring og compliance
Risikoansvarlig og risikostyringsfunktion
§ 16

Direktionen skal sikre, at virksomheden har en risikostyringsfunktion og en risikoansvarlig, jf. bilag 7. Direktionen skal sikre, at risikostyringsfunktionen i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at risikostyringsfunktionen kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden, uden at dette berører det ansvar, som bestyrelsen har.

Stk. 2 Afskedigelse af den risikoansvarlige kræver bestyrelsens forudgående godkendelse.

Stk. 3 Direktionen skal følge op på den risikoansvarliges konklusioner og anbefalinger samt i relevant omfang gennemføre korrigerende foranstaltninger. Virksomheden skal have retningslinjer for opfølgning på den risikoansvarliges konklusioner.

Stk. 4 Advarsler og betænkeligheder afgivet af risikostyringsfunktionen skal dokumenteres, og virksomheden skal have procedurer til at sikre dette.

Compliance
§ 17

Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den lovgivning, der gælder for virksomheden, markedsstandarder og interne regelsæt (compliancerisici).

Stk. 2 Virksomheden skal have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.

Stk. 3 I virksomheder, der er værdipapirhandlere, skal compliancefunktionen for den del af virksomheden, der vedrører handel med finansielle instrumenter, udføre compliance og yde rådgivning af og bistand til de personer, der har ansvaret for at yde investeringsservice og udføre investeringsaktiviteter i overensstemmelse med artikel 22, stk. 1-3, i Kommissionens delegerede forordning (EU) nr. 2017/565 af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv.

Stk. 4 For at sikre at compliancefunktionen kan varetage sine ansvarsområder korrekt og uafhængigt, skal direktionen sikre, at følgende betingelser opfyldes:

  • 1) Compliancefunktionen skal have de nødvendige ressourcer, den nødvendige kompetence og sagkundskab samt adgang til regelmæssig uddannelse og alle relevante oplysninger.

  • 2) En medarbejder, der er udpeget af direktionen, skal være ansvarlig for compliancefunktionen og for rapportering til bestyrelsen og direktionen. Rapporteringen skal ske mindst én gang om året. Den complianceansvarlige skal i øvrigt have mulighed for at udtale sig direkte til bestyrelsen, hvis den complianceansvarlige skønner det nødvendigt.

  • 3) Medarbejdere, der er involveret i compliancefunktionen, må ikke deltage i leveringen af de tjenesteydelser eller udførelsen af de aktiviteter, de kontrollerer.

  • 4) Metoden til at fastsætte vederlag til medarbejdere i compliancefunktionen må ikke bringe deres uafhængighed i fare.

Stk. 5 Stk. 4, nr. 3 og 4, finder ikke anvendelse, hvis det kan godtgøres, at disse krav ikke står i rimeligt forhold til arten, omfanget og sammensætningen af virksomhedens aktiviteter.

Stk. 6 Vurderer direktionen, at virksomhedens størrelse eller sammensætningen af virksomhedens aktiviteter berettiger hertil, kan den samme person udpeges til at være complianceansvarlig og risikoansvarlig. Det skal dog altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de kontrollerer som led i deres complianceopgaver.

Stk. 7 Direktionen skal følge op på den complianceansvarliges konklusioner og anbefalinger samt i relevant omfang gennemføre korrigerende foranstaltninger. Virksomheden skal have retningslinjer for opfølgning på den complianceansvarliges konklusioner.

Stk. 8 Advarsler og betænkeligheder afgivet af compliancefunktionen skal dokumenteres, og virksomheden skal have procedurer til at sikre dette.

Videregivelse af beføjelser
§ 18

Videregivelse af beføjelser fra bestyrelse, direktion og øvrige ledelsesniveauer skal dokumenteres, jf. § 14, og proceduren herfor skal fremgå af forretningsgangene, jf. § 13.

Stk. 2 Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til betryggende at kunne anvende beføjelserne.

Stk. 3 Videregivne beføjelser skal som minimum angive

  • 1) arten og størrelsen af den eller de videregivne beføjelser,

  • 2) principperne for opgørelse af udnyttelse af beføjelserne,

  • 3) hvilke produkter eller handlinger beføjelsen omfatter,

  • 4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 7, stk. 1, og

  • 5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4 Ingen kan videregive beføjelser, der går udover de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de beføjelser, som fremgår af bestyrelsens retningslinjer til direktionen.

Stk. 5 Er der fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller
§ 19

Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder af

  • 1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 7, stk. 1, nr. 1, i de retningslinjer, som bestyrelsen har givet til direktionen, og grænser i lovgivningen,

  • 2) overholdelse af videregivne beføjelser,

  • 3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter, og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser,

  • 4) dispositioner, hvor virksomheden har forpligtet sig til at overholde grænser for risici aftalt med modparter, for eksempel i rammeaftaler om handel med finansielle instrumenter,

  • 5) indsamling og behandling af data, som virksomheden anvender som grundlag for at vurdere risici og træffe forretningsmæssige beslutninger, og

  • 6) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab og fastsættelse af virksomhedens individuelle solvensbehov.

Stk. 2 Kontrol skal udføres af en anden enhed end den, der har udført opgaven, jf. § 11, stk. 1, medmindre kontrollen har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, og kontrollen i det konkrete tilfælde er betryggende.

Stk. 3 Kontroller omfattet af stk. 1 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4 Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering
§ 20

Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af væsentlige grænser for risikotagning, der fremgår af bestyrelsens vedtagne retningslinjer efter § 6 eller i den videregivne beføjelse. Direktionen skal også sikre, at der sker rapportering om overholdelse af de grænser, der er fastsat i lovgivningen for risiko, på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2 Rapporteringen skal ske i overskuelig form og give bestyrelse, direktion og øvrige ledelsesniveauer, der har videregivet beføjelser, jf. § 18, oplysning om den aktuelle udnyttelse af de væsentlige grænser og om udnyttelsen over tid. Uanset 1. pkt. og stk. 1 skal der ske rapportering om overskridelse af samtlige grænser.

Stk. 3 Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4 Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 21

Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke er omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan for eksempel dreje sig om rapportering vedrørende afstemningsfejl, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden, mulige lovovertrædelser, mangelfulde kontroller, uhensigtsmæssig adfærd eller andre uregelmæssigheder.

Stk. 2 Direktionen skal sikre, at virksomhedens forretningsgange i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om, og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter
§ 22

Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt, jf. § 8, stk. 9. Retningslinjerne skal som minimum

  • 1) afgrænse, hvornår der er tale om et nyt produkt eller en ny tjenesteydelse, i det omfang det er muligt,

  • 2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

  • 3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, så det sikres, at alle relevante forhold belyses,

  • 4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens, regnskabsmæssig behandling og påvirkning af virksomhedens kunders risici og omkostninger,

  • 5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og

  • 6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af politikker eller retningslinjer, der er vedtaget i medfør af §§ 4, 6 og 7, herunder til fastsættelse af særlige principper for opgørelse af de risici, der knytter sig til produktet.

§ 23

Den risikoansvarlige og den complianceansvarlige skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye tjenesteydelser og produkter. Den risikoansvarlige og den complianceansvarlige skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2 Den risikoansvarlige og den complianceansvarlige skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den risikoansvarlige og den complianceansvarlige skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Gearingsrisiko
§ 24

Ved gearing forstås i denne bekendtgørelse gearing som defineret i artikel 4, stk. 1, nr. 93, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Stk. 2 Ved overdreven gearingsrisiko forstås overdreven gearingsrisiko som defineret i artikel 4, stk. 1, nr. 94, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Risici forbundet med securitisering
§ 25

Deltagelse i securitiseringsaktiviteter som defineret i artikel 4, stk. 1, nr. 61, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber kan ske ved, at

  • 1) virksomheden eksponeres mod securitiseringspositioner, herunder eksponeringer fra investering i securitiseringspositioner eller udbud af kreditrisikoafdækning, eller

  • 2) virksomheden selv eller i samarbejde med andre etablerer eller arrangerer securitiseringstransaktioner, programmer for kortfristede gældsbreve eller ABCP-programmer, jf. artikel 242, nr. 9, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Stk. 2 Virksomheder, der deltager i securitiseringsaktiviteter, skal have betryggende politikker og forretningsgange på området, som skal sikre, at virksomheden vurderer og håndterer risici forbundet med securitisering, herunder omdømmemæssige risici, der kan opstå i forbindelse med deltagelse i komplekse strukturer, og at securitiseringsaktiviteternes økonomiske indhold afspejles i risikovurderingen og ledelsesbeslutningerne.