FFFS 2014:30
Föreskrifter om ändring i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut
Finansinspektionens författningssamling
Utgivare: Finansinspektionen, Sverige, www.fi.se
ISSN 1102-7460
1
Föreskrifter
om ändring i Finansinspektionens föreskrifter och allmänna
råd (FFFS 2014:1) om styrning, riskhantering och kontroll i
kreditinstitut;
beslutade den 26 juni 2014.
Finansinspektionen föreskriver1 med stöd av 5 kap. 2 § 5 och 6 förordningen
(2004:329) om bank- och finansieringsrörelse i fråga om Finansinspektionens före-
skrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i
kreditinstitut
dels att nuvarande 10 kap. 2 § ska betecknas 10 kap. 2 a §,
dels att 1 kap. 1 och 3 §§, 2 kap. 6 och 10 §§, 4 kap. 5 §, 5 kap. 5 §, 6 kap. 7 §,
9 kap. 5 § och 10 kap. 5, 7 och 9 §§ ska ha följande lydelse,
dels att det ska införas nio nya paragrafer, 2 kap. 12–14 §§, 5 kap. 12–16 §§ och
10 kap. 2 § av följande lydelse, samt närmast före 5 kap. 12 och 13 §§ nya rubriker
av följande lydelse.
1 kap.
1 § Dessa föreskrifter gäller för följande företag:
1. bankaktiebolag,
2. sparbanker,
3. medlemsbanker,
4. kreditmarknadsbolag, och
5. kreditmarknadsföreningar.
Föreskrifterna ska också tillämpas på värdepappersrörelsen i dessa företag.
Föreskrifterna ska, i enlighet med vad som gäller enligt 3 kap. 4 § lagen (2014:968)
om särskild tillsyn över kreditinstitut och värdepappersbolag, tillämpas på grupp-
eller undergruppsnivå.
3 § I dessa föreskrifter och allmänna råd ska termer och uttryck ha följande
betydelse.
1. EES: Europeiska ekonomiska samarbetsområdet.
2. Ersättningskommitté: detsamma som i Finansinspektionens föreskrifter (FFFS
2011:1) om ersättningssystem i kreditinstitut, värdepappersbolag och fondbolag
med tillstånd för diskretionär portföljförvaltning.
1
Jfr Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om
behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och
värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv
2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338, Celex 32013L0036).
FFFS 2014:30
Utkom från trycket
den 9 juli 2014
FFFS 2014:30
2
3. Funktion: en enhet eller en avdelning som består av en eller flera personer med
uppdrag att utföra en eller flera uppgifter inom verksamheten.
4. Tillsynsförordningen: Europaparlamentets och rådets förordning (EU) nr
575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappers-
företag och om ändring av förordning (EU) nr 648/2012.
5. Interna regler: policy- och styrdokument, riktlinjer, instruktioner eller andra
skriftliga dokument genom vilka ett företag styr sin verksamhet.
6. Kontrollfunktion: en funktion för riskkontroll, regelefterlevnad eller intern-
revision.
7. Limit: en fastställd gräns för riskexponering som avser t.ex. en viss kund,
kundgrupp, marknad eller produkt.
8. Ramverk för riskhantering: företagets strategier, processer, rutiner, interna
regler, limiter, kontroller och rapporteringsrutiner som utgör en ram för företagets
riskhantering.
9. Riskaptit: en nivå och inriktning på företagets risker som kan accepteras för att
uppnå företagets strategiska mål.
10. Riskexponering: ett mått på den risk som ett företag är exponerat för vid en viss
tidpunkt.
11. Riskkultur:
yrkesmässiga värderingar, attityder och beteenden som har
avgörande betydelse för hur ett företag hanterar sina risker.
12. Riskstrategi: en strategi för att ta på sig, styra och ha kontroll över de risker
som företaget är eller kan bli exponerat för.
13. Uppdragsavtal: ett avtal mellan ett företag och en uppdragstagare genom vilket
uppdragstagaren utför en process, en tjänst eller en verksamhet som företaget
annars självt skulle ha utfört.
14. Verkställande ledning: detsamma som i Finansinspektionens föreskrifter (FFFS
2011:1) om ersättningssystem i kreditinstitut, värdepappersbolag och fondbolag
med tillstånd för diskretionär portföljförvaltning.
2 kap.
6 § Ett företag ska ha it-system och rapporteringsrutiner som säkerställer att
information om dess verksamhet och riskexponering är aktuell och relevant samt
att den externa rapporteringen är tillförlitlig, aktuell, fullständig och att den
rapporteras i tid.
10 § Ett företag ska säkerställa att det har rutiner för åtskillnad av arbetsuppgifter
och förebyggande av intressekonflikter. Företaget ska även se till att ingen person
ensam handlägger en transaktion genom hela behandlingskedjan.
Företaget behöver inte uppfylla det som anges i första stycket andra meningen om
transaktionen är obetydlig.
FFFS
2014:30
3
12 § Ett företag ska avsätta tillräckligt med resurser för att utbilda styrelse-
ledamöterna.
13 § Ett företag ska när det tillsätter styrelseledamöter beakta en bred uppsättning
egenskaper och kunskaper och för detta ändamål ha en policy för att främja
mångfald i styrelsen.
14 § Ett företag ska på sin webbplats förklara hur det organiserar och styr
verksamheten. Företaget ska på webbplatsen även förklara hur styrelsen,
styrelseledamöterna och den verkställande direktören uppfyller kraven på
tillräcklig kunskap, insikt, erfarenhet och lämplighet.
Om företaget inte har en webbplats ska det kunna tillhandahålla informationen på
annat sätt till allmänheten.
4 kap.
5 §
Om ett företag ingår i en konsoliderad situation enligt artikel 18 i
tillsynsförordningen, ska det i de interna reglerna om intressekonflikter enligt 4 §
också ta hänsyn till de omständigheter som till följd av strukturen eller verksam-
heten i andra företag i gruppen, kan ge upphov till en intressekonflikt.
5 kap.
5 § Ett företag ska ha en rutin för att regelbundet rapportera de risker som finns
eller kan förväntas uppstå i verksamheten till styrelsen och riskutskottet, om ett
sådant har inrättats, den verkställande direktören, och övriga funktioner som
behöver ha informationen, så att de får tillförlitliga, aktuella och fullständiga
rapporter i rätt tid.
Styrelsen och riskutskottet, om ett sådant har inrättats, ska fastställa arten,
mängden, formatet och frekvensen på riskinformationen som de ska få ta emot.
Återhämtningsplan
12 § Ett företag ska ha en återhämtningsplan för återställande av sin finansiella
ställning efter en kraftig försämring. Företaget ska ha rutiner för att regelbundet
uppdatera återhämtningsplanen. Planen ska beslutas av styrelsen.
Återhämtningsplanen ska utformas med hänsyn till verksamhetens art, omfattning
och komplexitet, och arten på och omfattningen av företagets tjänster och verksam-
het.
Riskutskott
13 § Ett företag som är betydande i fråga om storlek, intern organisation och
verksamhetens art, omfattning och komplexitet ska se till att styrelsen har ett risk-
utskott. Riskutskottet ska bestå av ledamöter i styrelsen som inte ingår i företagets
verkställande ledning. Riskutskottets ledamöter ska ha lämpliga kunskaper och
färdigheter för att kunna förstå och övervaka företagets riskstrategi och riskaptit.
FFFS 2014:30
4
14 § Riskutskottet ska fungera som rådgivare för styrelsen när det gäller företagets
samlade nuvarande och framtida riskaptit och riskstrategi och bistå styrelsen när
den övervakar den verkställande ledningens genomförande av strategin. Styrelsen
ska behålla det övergripande riskansvaret.
15 § Riskutskottet ska se till att priset på skulder och tillgångar som erbjuds
kunderna beaktar företagets affärsmodell och riskstrategi. Om priserna inte korrekt
återspeglar riskerna i enlighet med affärsmodellen och riskstrategin ska risk-
utskottet ta fram en åtgärdsplan för styrelsen.
16 § För att bistå vid upprättandet av en sund ersättningspolicy och ersättnings-
praxis ska riskutskottet, utan att det påverkar de uppgifter och det ansvar som
företagets ersättningskommitté har, undersöka om incitamenten i ersättningssyste-
met tar hänsyn till risk, kapital, likviditet samt sannolikheten och tidpunkten för
företagets resultat.
6 kap.
7 § En kontrollfunktion enligt 1 § ska regelbundet, minst årligen, rapportera om
väsentliga brister och risker till styrelsen, riskutskottet, om ett sådant har inrättats,
och den verkställande direktören. Rapporterna ska följa upp tidigare rapporterade
brister och risker och redogöra för varje ny identifierad väsentlig brist och risk. En
konsekvensanalys och en rekommendation till åtgärder ska även ingå i rapporten.
Styrelsen, riskutskottet och den verkställande direktören ska så snart som möjligt
vidta lämpliga åtgärder med anledning av kontrollfunktionens rapport.
9 kap.
5 § Funktionen för internrevision ska
1. arbeta efter en aktuell och riskbaserad revisionsplan som styrelsen fastställt,
2.
granska och regelbundet utvärdera om företagets organisation, styrnings-
processer, it-system, modeller och rutiner är ändamålsenliga och effektiva,
3. granska och regelbundet utvärdera om företagets interna kontroll är ändamåls-
enlig och effektiv,
4. granska och regelbundet utvärdera om verksamheten drivs i enlighet med
företagets interna regler,
5. granska och regelbundet utvärdera företagets riskhantering utifrån den beslutade
riskstrategin och riskaptiten,
6. granska och utvärdera om företagets interna regler är lämpliga och förenliga med
lagar, förordningar och andra regler,
7. granska och utvärdera tillförlitligheten i företagets finansiella rapportering,
inklusive åtaganden utanför balansräkningen,
8. granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete
som utförs inom företagets övriga kontrollfunktioner,
FFFS
2014:30
5
9. lämna rekommendationer till berörda personer, baserade på de iakttagelser som
funktionen gjort, och
10. följa upp om åtgärderna enligt 9 genomförs.
10 kap.
2 § Bestämmelser om att ett institut ska anmäla till Finansinspektionen om det vill
uppdra åt någon annan att utföra någon av de tjänster som avses i 7 kap. 1 § lagen
(2004:297) om bank- och finansieringsrörelse och ge in uppdragsavtalet finns i
Allmänna råd
Om företaget uppdrar arbete och funktioner av väsentlig betydelse för
verksamheten åt någon annan, utöver det som avses i 7 kap. 1 § lagen
(2004:297) om bank- och finansieringsrörelse, bör företaget anmäla detta i
förväg till Finansinspektionen och lämna in uppdragsavtalet.
5 § Ett företag ska handla med den skicklighet, omsorg och aktsamhet som krävs
när det ingår, hanterar och säger upp uppdragsavtal som avser arbete eller
funktioner som är av väsentlig betydelse för verksamheten.
Företaget ska säkerställa att
1. uppdragstagaren har den kompetens, kapacitet och de tillstånd som krävs enligt
lag för att utföra den utlagda verksamheten tillförlitligt och professionellt,
2. uppdragstagaren utför den utlagda verksamheten effektivt och företaget ska i
detta syfte fastställa metoder för att bedöma hur väl uppdragstagaren utför sina
uppgifter,
3. uppdragstagaren övervakar hur den utför den utlagda verksamheten och hanterar
riskerna i samband med detta på lämpligt sätt,
4. företaget vidtar lämpliga åtgärder om uppdragstagaren inte utför den utlagda
verksamheten på ett effektivt sätt och enligt tillämpliga lagar och andra
bestämmelser,
5. företaget dels har den kunskap som krävs för att effektivt kunna övervaka den
utlagda verksamheten och hantera de risker som kan uppstå i samband med
utläggandet, dels övervakar den utlagda verksamheten och hanterar dessa risker,
6. uppdragstagaren har en skyldighet att underrätta företaget om händelser som
väsentligt kan påverka uppdragstagarens möjlighet att effektivt utföra den utlagda
verksamheten enligt tillämpliga lagar, förordningar och andra regler,
7. företaget informerar Finansinspektionen om väsentliga förändringar i den
utlagda verksamheten,
8. kontinuiteten och kvaliteten på de tjänster som företaget erbjuder sina kunder
inte påverkas vid uppdragsavtalets uppsägning,
9. företaget, dess revisorer och Finansinspektionen har tillgång till uppgifter om
den utlagda verksamheten samt tillträde till uppdragstagarens lokaler,
FFFS 2014:30
6
10. uppdragstagaren skyddar all konfidentiell information som avser företaget eller
dess kunder, och
11. uppdragstagaren har lämpliga planer för att återställa verksamheten dels efter
oförutsedda händelser, dels för återkommande test av rutinerna för backup, om det
är nödvändigt med hänsyn till de delar av verksamheten som har lagts ut på
uppdragstagaren.
7 § Om ett företag och en uppdragstagare ingår i samma konsoliderade situation
enligt artikel 18 tillsynsförordningen, får företaget när det tillämpar 5, 6, 8 och
9 §§, beakta i vilken utsträckning det kontrollerar uppdragstagaren eller har
möjlighet att utöva inflytande över denne.
9 §2 Ett företag som inte uppfyller det som anges i 8 §, får endast uppdra investe-
ringstjänster åt en uppdragstagare i ett land utanför EES, om
1. företaget på förhand anmäler uppdragsavtalet till Finansinspektionen, och
2. Finansinspektionen inte har något att invända mot avtalet efter att ha tagit emot
anmälan.
_______________
Dessa föreskrifter träder i kraft den 2 augusti 2014.
ANNIKA ZERVENS
Markus
Ribbing
2 Ändringen innebär att de allmänna råden upphävs.