FFFS 2014:30

Föreskrifter om ändring i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut

Finansinspektionens författningssamling

Utgivare: Finansinspektionen, Sverige, www.fi.se

ISSN 1102-7460

1

Föreskrifter

om ändring i Finansinspektionens föreskrifter och allmänna

råd (FFFS 2014:1) om styrning, riskhantering och kontroll i

kreditinstitut;

beslutade den 26 juni 2014.

Finansinspektionen föreskriver1 med stöd av 5 kap. 2 § 5 och 6 förordningen

(2004:329) om bank- och finansieringsrörelse i fråga om Finansinspektionens före-

skrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i

kreditinstitut

dels att nuvarande 10 kap. 2 § ska betecknas 10 kap. 2 a §,

dels att 1 kap. 1 och 3 §§, 2 kap. 6 och 10 §§, 4 kap. 5 §, 5 kap. 5 §, 6 kap. 7 §,

9 kap. 5 § och 10 kap. 5, 7 och 9 §§ ska ha följande lydelse,

dels att det ska införas nio nya paragrafer, 2 kap. 12–14 §§, 5 kap. 12–16 §§ och

10 kap. 2 § av följande lydelse, samt närmast före 5 kap. 12 och 13 §§ nya rubriker

av följande lydelse.

1 kap.

1 § Dessa föreskrifter gäller för följande företag:

1. bankaktiebolag,

2. sparbanker,

3. medlemsbanker,

4. kreditmarknadsbolag, och

5. kreditmarknadsföreningar.

Föreskrifterna ska också tillämpas på värdepappersrörelsen i dessa företag.

Föreskrifterna ska, i enlighet med vad som gäller enligt 3 kap. 4 § lagen (2014:968)

om särskild tillsyn över kreditinstitut och värdepappersbolag, tillämpas på grupp-

eller undergruppsnivå.

3 § I dessa föreskrifter och allmänna råd ska termer och uttryck ha följande

betydelse.

1. EES: Europeiska ekonomiska samarbetsområdet.

2. Ersättningskommitté: detsamma som i Finansinspektionens föreskrifter (FFFS

2011:1) om ersättningssystem i kreditinstitut, värdepappersbolag och fondbolag

med tillstånd för diskretionär portföljförvaltning.

1

Jfr Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om

behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och

värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv

2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338, Celex 32013L0036).

FFFS 2014:30

Utkom från trycket

den 9 juli 2014

FFFS 2014:30

2

3. Funktion: en enhet eller en avdelning som består av en eller flera personer med

uppdrag att utföra en eller flera uppgifter inom verksamheten.

4. Tillsynsförordningen: Europaparlamentets och rådets förordning (EU) nr

575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappers-

företag och om ändring av förordning (EU) nr 648/2012.

5. Interna regler: policy- och styrdokument, riktlinjer, instruktioner eller andra

skriftliga dokument genom vilka ett företag styr sin verksamhet.

6. Kontrollfunktion: en funktion för riskkontroll, regelefterlevnad eller intern-

revision.

7. Limit: en fastställd gräns för riskexponering som avser t.ex. en viss kund,

kundgrupp, marknad eller produkt.

8. Ramverk för riskhantering: företagets strategier, processer, rutiner, interna

regler, limiter, kontroller och rapporteringsrutiner som utgör en ram för företagets

riskhantering.

9. Riskaptit: en nivå och inriktning på företagets risker som kan accepteras för att

uppnå företagets strategiska mål.

10. Riskexponering: ett mått på den risk som ett företag är exponerat för vid en viss

tidpunkt.

11. Riskkultur:

yrkesmässiga värderingar, attityder och beteenden som har

avgörande betydelse för hur ett företag hanterar sina risker.

12. Riskstrategi: en strategi för att ta på sig, styra och ha kontroll över de risker

som företaget är eller kan bli exponerat för.

13. Uppdragsavtal: ett avtal mellan ett företag och en uppdragstagare genom vilket

uppdragstagaren utför en process, en tjänst eller en verksamhet som företaget

annars självt skulle ha utfört.

14. Verkställande ledning: detsamma som i Finansinspektionens föreskrifter (FFFS

2011:1) om ersättningssystem i kreditinstitut, värdepappersbolag och fondbolag

med tillstånd för diskretionär portföljförvaltning.

2 kap.

6 § Ett företag ska ha it-system och rapporteringsrutiner som säkerställer att

information om dess verksamhet och riskexponering är aktuell och relevant samt

att den externa rapporteringen är tillförlitlig, aktuell, fullständig och att den

rapporteras i tid.

10 § Ett företag ska säkerställa att det har rutiner för åtskillnad av arbetsuppgifter

och förebyggande av intressekonflikter. Företaget ska även se till att ingen person

ensam handlägger en transaktion genom hela behandlingskedjan.

Företaget behöver inte uppfylla det som anges i första stycket andra meningen om

transaktionen är obetydlig.

FFFS

2014:30

3

12 § Ett företag ska avsätta tillräckligt med resurser för att utbilda styrelse-

ledamöterna.

13 § Ett företag ska när det tillsätter styrelseledamöter beakta en bred uppsättning

egenskaper och kunskaper och för detta ändamål ha en policy för att främja

mångfald i styrelsen.

14 § Ett företag ska på sin webbplats förklara hur det organiserar och styr

verksamheten. Företaget ska på webbplatsen även förklara hur styrelsen,

styrelseledamöterna och den verkställande direktören uppfyller kraven på

tillräcklig kunskap, insikt, erfarenhet och lämplighet.

Om företaget inte har en webbplats ska det kunna tillhandahålla informationen på

annat sätt till allmänheten.

4 kap.

5 §

Om ett företag ingår i en konsoliderad situation enligt artikel 18 i

tillsynsförordningen, ska det i de interna reglerna om intressekonflikter enligt 4 §

också ta hänsyn till de omständigheter som till följd av strukturen eller verksam-

heten i andra företag i gruppen, kan ge upphov till en intressekonflikt.

5 kap.

5 § Ett företag ska ha en rutin för att regelbundet rapportera de risker som finns

eller kan förväntas uppstå i verksamheten till styrelsen och riskutskottet, om ett

sådant har inrättats, den verkställande direktören, och övriga funktioner som

behöver ha informationen, så att de får tillförlitliga, aktuella och fullständiga

rapporter i rätt tid.

Styrelsen och riskutskottet, om ett sådant har inrättats, ska fastställa arten,

mängden, formatet och frekvensen på riskinformationen som de ska få ta emot.

Återhämtningsplan

12 § Ett företag ska ha en återhämtningsplan för återställande av sin finansiella

ställning efter en kraftig försämring. Företaget ska ha rutiner för att regelbundet

uppdatera återhämtningsplanen. Planen ska beslutas av styrelsen.

Återhämtningsplanen ska utformas med hänsyn till verksamhetens art, omfattning

och komplexitet, och arten på och omfattningen av företagets tjänster och verksam-

het.

Riskutskott

13 § Ett företag som är betydande i fråga om storlek, intern organisation och

verksamhetens art, omfattning och komplexitet ska se till att styrelsen har ett risk-

utskott. Riskutskottet ska bestå av ledamöter i styrelsen som inte ingår i företagets

verkställande ledning. Riskutskottets ledamöter ska ha lämpliga kunskaper och

färdigheter för att kunna förstå och övervaka företagets riskstrategi och riskaptit.

FFFS 2014:30

4

14 § Riskutskottet ska fungera som rådgivare för styrelsen när det gäller företagets

samlade nuvarande och framtida riskaptit och riskstrategi och bistå styrelsen när

den övervakar den verkställande ledningens genomförande av strategin. Styrelsen

ska behålla det övergripande riskansvaret.

15 § Riskutskottet ska se till att priset på skulder och tillgångar som erbjuds

kunderna beaktar företagets affärsmodell och riskstrategi. Om priserna inte korrekt

återspeglar riskerna i enlighet med affärsmodellen och riskstrategin ska risk-

utskottet ta fram en åtgärdsplan för styrelsen.

16 § För att bistå vid upprättandet av en sund ersättningspolicy och ersättnings-

praxis ska riskutskottet, utan att det påverkar de uppgifter och det ansvar som

företagets ersättningskommitté har, undersöka om incitamenten i ersättningssyste-

met tar hänsyn till risk, kapital, likviditet samt sannolikheten och tidpunkten för

företagets resultat.

6 kap.

7 § En kontrollfunktion enligt 1 § ska regelbundet, minst årligen, rapportera om

väsentliga brister och risker till styrelsen, riskutskottet, om ett sådant har inrättats,

och den verkställande direktören. Rapporterna ska följa upp tidigare rapporterade

brister och risker och redogöra för varje ny identifierad väsentlig brist och risk. En

konsekvensanalys och en rekommendation till åtgärder ska även ingå i rapporten.

Styrelsen, riskutskottet och den verkställande direktören ska så snart som möjligt

vidta lämpliga åtgärder med anledning av kontrollfunktionens rapport.

9 kap.

5 § Funktionen för internrevision ska

1. arbeta efter en aktuell och riskbaserad revisionsplan som styrelsen fastställt,

2.

granska och regelbundet utvärdera om företagets organisation, styrnings-

processer, it-system, modeller och rutiner är ändamålsenliga och effektiva,

3. granska och regelbundet utvärdera om företagets interna kontroll är ändamåls-

enlig och effektiv,

4. granska och regelbundet utvärdera om verksamheten drivs i enlighet med

företagets interna regler,

5. granska och regelbundet utvärdera företagets riskhantering utifrån den beslutade

riskstrategin och riskaptiten,

6. granska och utvärdera om företagets interna regler är lämpliga och förenliga med

lagar, förordningar och andra regler,

7. granska och utvärdera tillförlitligheten i företagets finansiella rapportering,

inklusive åtaganden utanför balansräkningen,

8. granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete

som utförs inom företagets övriga kontrollfunktioner,

FFFS

2014:30

5

9. lämna rekommendationer till berörda personer, baserade på de iakttagelser som

funktionen gjort, och

10. följa upp om åtgärderna enligt 9 genomförs.

10 kap.

2 § Bestämmelser om att ett institut ska anmäla till Finansinspektionen om det vill

uppdra åt någon annan att utföra någon av de tjänster som avses i 7 kap. 1 § lagen

(2004:297) om bank- och finansieringsrörelse och ge in uppdragsavtalet finns i

6 kap. 7 § samma lag.

Allmänna råd

Om företaget uppdrar arbete och funktioner av väsentlig betydelse för

verksamheten åt någon annan, utöver det som avses i 7 kap. 1 § lagen

(2004:297) om bank- och finansieringsrörelse, bör företaget anmäla detta i

förväg till Finansinspektionen och lämna in uppdragsavtalet.

5 § Ett företag ska handla med den skicklighet, omsorg och aktsamhet som krävs

när det ingår, hanterar och säger upp uppdragsavtal som avser arbete eller

funktioner som är av väsentlig betydelse för verksamheten.

Företaget ska säkerställa att

1. uppdragstagaren har den kompetens, kapacitet och de tillstånd som krävs enligt

lag för att utföra den utlagda verksamheten tillförlitligt och professionellt,

2. uppdragstagaren utför den utlagda verksamheten effektivt och företaget ska i

detta syfte fastställa metoder för att bedöma hur väl uppdragstagaren utför sina

uppgifter,

3. uppdragstagaren övervakar hur den utför den utlagda verksamheten och hanterar

riskerna i samband med detta på lämpligt sätt,

4. företaget vidtar lämpliga åtgärder om uppdragstagaren inte utför den utlagda

verksamheten på ett effektivt sätt och enligt tillämpliga lagar och andra

bestämmelser,

5. företaget dels har den kunskap som krävs för att effektivt kunna övervaka den

utlagda verksamheten och hantera de risker som kan uppstå i samband med

utläggandet, dels övervakar den utlagda verksamheten och hanterar dessa risker,

6. uppdragstagaren har en skyldighet att underrätta företaget om händelser som

väsentligt kan påverka uppdragstagarens möjlighet att effektivt utföra den utlagda

verksamheten enligt tillämpliga lagar, förordningar och andra regler,

7. företaget informerar Finansinspektionen om väsentliga förändringar i den

utlagda verksamheten,

8. kontinuiteten och kvaliteten på de tjänster som företaget erbjuder sina kunder

inte påverkas vid uppdragsavtalets uppsägning,

9. företaget, dess revisorer och Finansinspektionen har tillgång till uppgifter om

den utlagda verksamheten samt tillträde till uppdragstagarens lokaler,

FFFS 2014:30

6

10. uppdragstagaren skyddar all konfidentiell information som avser företaget eller

dess kunder, och

11. uppdragstagaren har lämpliga planer för att återställa verksamheten dels efter

oförutsedda händelser, dels för återkommande test av rutinerna för backup, om det

är nödvändigt med hänsyn till de delar av verksamheten som har lagts ut på

uppdragstagaren.

7 § Om ett företag och en uppdragstagare ingår i samma konsoliderade situation

enligt artikel 18 tillsynsförordningen, får företaget när det tillämpar 5, 6, 8 och

9 §§, beakta i vilken utsträckning det kontrollerar uppdragstagaren eller har

möjlighet att utöva inflytande över denne.

9 §2 Ett företag som inte uppfyller det som anges i 8 §, får endast uppdra investe-

ringstjänster åt en uppdragstagare i ett land utanför EES, om

1. företaget på förhand anmäler uppdragsavtalet till Finansinspektionen, och

2. Finansinspektionen inte har något att invända mot avtalet efter att ha tagit emot

anmälan.

_______________

Dessa föreskrifter träder i kraft den 2 augusti 2014.

ANNIKA ZERVENS

Markus

Ribbing

2 Ändringen innebär att de allmänna råden upphävs.