Den 30 juni i år trädde EBAs reviderade riktlinjer om intern styrning (GL11) i kraft. Riktlinjerna handlar om att implementera en sund riskkultur där institut ska förstå, förklara och hantera de risker som är inbyggda i den verksamhet man bedriver. GL 11 motsvarar allmänna råd, vilket betyder att principen ”följ eller förklara” gäller för de institut som omfattas av riktlinjerna.
EBA har slagit fast att effektiv intern styrning är fundamentalt för att enskilda institut och banksystemet som helhet ska fungera bra. Vidare har EBA ansett att finns ett behov av att adressera bristfälligt utformade och otillräckligt integrerade ramverk för intern styrning samt att tillse att styrelsen tar tillräckligt ansvar, framförallt kopplat till verksamhetens riskhantering.
Detta är frågor som adresserats redan i EBAs tidigare riktlinjer om intern styrning (GL 44). I GL 11 har emellertid regelverket omstrukturerats, riskfokuset förstärkts och flera avsnitt har utökats med detaljreglering. Förenklat kan man säga att GL 44 angav ”vad” som skulle göras och att GL 11 fyller på med detaljreglering om ”hur” det ska gå till. Nedan ger vi kort vår syn på några av de förändringar vi anser vara viktiga.
Sammanfattningsvis ska ett institut kunna visa att den interna styrningen hänger ihop och är implementerad fullt ut i verksamheten. Riskfokus löper som en röd tråd genom GL 11 och riktlinjenstyr mot ett holistiskt synsätt kring risk. Till syvende och sist handlar det därför om att etablera en sund riskkultur som genomsyrar hela organisation, där krav ställs på ledningen, verksamheten och den enskilda medarbetaren samt på organisationen i dess helhet.
Styrelsens roll – ”Tone at the top”
Toppen av pyramiden utgörs av ledningsfunktionens roll. Redan i tidigare reglering har det framgått att ledningsorganets uppgifter ska dokumenteras, men nu med tillägget att det ska vara en tydlig åtskillnad mellan de verkställande och icke verkställande uppgifterna. Sådan ansvarsfördelning ska fastställas i enlighet med svensk bolagsrätt.
GL 11 har ett starkt riskfokus och för styrelsens vidkommande ställs det bland annat krav på att denna ska ha omfattande förståelse för, och lägga tillräckligt med tid på riskfrågorna.Styrelsen bör i sin roll kunna koppla de frågeställningar man behandlar till institutets riskstrategi och riskaptit och vid behov kommunicera direkt med riskfunktionen för att få information och förståelse.
Vad gäller kravet på att styrelser för betydande institut ska inrätta en riskkommitté reglerar GL 11 i detalj vilka uppgifter en sådan kommitté bör behandla. För icke betydande institut som väljer att inte inrätta en riskkommitté åligger dessa uppgifter istället styrelsen i dess helhet. Komplexiteten i dessa uppgifter kräver att en kompetensinventering hos styrelseledamöterna avseende riskfrågor genomförs. För att få en helhetsbild i denna fråga ska GL 11 läsas tillsammans med ESMAs och EBAs gemensamma riktlinjer för lämplighetsbedömningar av ledamöter i ledningsorgan och ledande befattningshavare (GL 12).
Mot bakgrund av att GL 11 ställer ökade krav på kunskap om risker och riskhantering bör instituten se över styrelsens sammansättning, dess kompetens och lämplighet samt överväga frågor som:
Styrelsen ansvarar också för att säkerställa att det införs en riskkultur. ”Tone at the top” är en framgångsfaktor och är i GL 11 dessutom ett uttalat krav, det innebär att ledningen bland annat ska slå fast kärnvärden och uppföra sig i linje med dessa. Trovärdighet i ledarskapet kommer därför att vara avgörande, varför tid och resurser kan komma att behöva läggas på utbildning i den frågan.
Verksamhet och kontrollfunktioner – ramverk och mandat
Ramverket för internkontroll beskrivs i stort på samma sätt som tidigare, men internkontroll kopplas ihop med riskkultur och det anges att instituten bör utveckla och upprätthålla en kultur där en positiv inställning till riskkontroll och regelefterlevnad uppmuntras.
Internkontrollramverket, inkluderande riskramverket, ska vara heltäckande och anpassat till institutets struktur och man lägger vikt vid implementering och informationsflöde i organisationen. Detta kan således vara ett tillfälle att framförallt se över att de riskramverk som instituten har på plats idag är effektiva och ändamålsenliga.
Risk Managementfunktionen ges en ökad status och mandat, då funktionen ska vara ett centralt inslag i institutets organisation och vara aktivt delaktig i alla betydande riskhanteringsbeslut. Uttalar sig ansvarig för Risk Managementfunktionen negativt kring en beslutspunkt, bör det inrättas stärkta processer för godkännande. Ansvarig för Risk Managementfunktionen bör även kunna ifrågasätta ledningens beslut och skälen till eventuella invändningar ska dokumenteras formellt.
Detta kan betyda att man bör se över:
Ett väl implementerat ramverk, kombinerat med en styrelse som är kompetent i riskfrågor, skulle då kunna underbygga en sund riskkultur.
Den enskilda medarbetaren – värdestyrt
På individnivå handlar det om den enskilda medarbetarens skyldighet att agera och uppföra sig, inte bara lagligt och korrekt, utan även på ett sätt som överensstämmer med företagets värderingar. Det ska finnas en tydlig koppling mellan en dokumenterad Code of Conduct, där ledningen tar ställning för företagets värdegrund, och hur denna ska främja riskmedvetenhet i organisationen och säkerställa att den enskilde håller sig inom riskaptit och limiter. Denna koppling till riskramverket är mer konkret beskriven än tidigare och kravställningen genomsyrar hela organisationen. Det bör även säkerställas att ansvaret för att övervaka efterlevnad av koden allokeras till en funktion, och att det upprättas ett förfarande för hanteringen av överträdelser.
Vad gäller intressekonflikter finns ett ökat fokus på den enskilda individen. I GL 11 har relationen mellan institutet och dess personal tillägnats ett eget avsnitt. Den policy som ska upprättas ska i synnerhet omfatta riskerna för intressekonflikter på ledningsorgansnivå och även detta avsnitt ska läsas mot bakgrund av GL 12. Vår tolkning är att det åligger ett institut att i varje enskilt fall samla in den information som krävs för att kunna pröva frågan om intressekonflikter för de personer som omfattas av GL 12. Vad gäller övrig personal kan policyn istället ange att de omfattas av en skyldighet att rapportera de situationer som kan ge upphov till en intressekonflikt. Det kräver att institutet ställer upp ett ramverk för när och hur rapportering ska ske och att man anger tröskelvärden för vad som är acceptabelt exempelvis i form av aktieägande eller användande av bolagets produkter.
Sammanfattningsvis ska varje enskild medarbetare förstå sin roll och sitt ansvar vad gäller riskfrågor, vilket ställer krav på utbildningsinsatser och tydliga ramar för den enskilde att förhålla sig inom.
Organisation och struktur – transparens och syfte
Gällande den organisatoriska och operativa strukturen kan man återigen se hur regelverket strävar efter ett helhetsgrepp då en tydlig koppling görs mellan struktur och styrning och kontroll.
I efterdyningarna av Panamapapperskandalen har kopplingen mellan komplex struktur och risk tydliggjorts. Strukturer ska visa på en effektiv och ansvarsfull ledning och styrning och får inte ha negativ påverkan på förmågan att övervaka och hantera risker. Styrelsen ska förstå hur institutets struktur och risk samverkar och hur institutets riskramverk påverkas av olika slags strukturförändringar. Ju mer komplex och otydlig den organisatoriska och operativa strukturen är och ju större riskerna är, desto noggrannare bör strukturen övervakas.
Saknar strukturer ett tydligt ekonomiskt motiv eller lagligt syfte, eller om det finns farhågor att de skulle kunna användas i syften kopplade till ekonomisk brottslighet, får de inte upprättas. Det handlar emellertid inte om att förbjuda eller försvåra upprättandet av strukturer som är berättigade, utan istället om att säkerställa att de är just berättigade genom att genomföra en noggrann riskanalys av organisation och struktur.
Ett institut ska säkerställa att strukturerna är tydliga och transparanta för olika intressenter. I takt med att omvärlden, inte minst institutionella ägare, fokuserar på hållbarhet och moral, ligger det i institutens intresse att kunna visa att de har strukturer som stödjer en sådan utveckling.
Att skapa en sund riskkultur
Syftet med regelverket är att tillse att instituten har en intern styrning som är implementerad fullt ut i verksamheten och att det finns en genomgående förståelse för verksamhetens risker på alla nivåer inom instituten. Transcendent Group är av uppfattningen att de företag som implementerar regelverket som det är tänkt kommer att stärka sin riskmedvetenhet genom att väl informerade beslut fattas på rätt nivå inom företaget och av personer med tillräckliga kunskaper.
Avslutningsvis vill vi peka på några områden som ett företag bör se över. Som vanligt när ett nytt regelverk ska implementeras måste en gapanalys genomföras och beroende på ett företags mognadsgrad vad gäller intern styrning och riskarbete kräver GL 11 olika grad av implementering. Följande bör emellertid, i varierade grad, bli föremål för översyn:
Sammanfattningsvis handlar det om att skapa ordning och reda och etablera en sund riskkultur som genomsyrar hela organisation, de insatser som behöver göras bör därför utvärderas mot bakgrund av detta.
Skriven av Sofie Grape och Liselott Hinder
