Riskhantering
Bolaget ska identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med. Vidare ska Bolaget anta aktuella och lämpliga riktlinjer och rutiner för riskhantering i syfte att identifiera de risker som finns i dess verksamhet, metoder och system, samt vid behov fastställa den risknivå som kan accepteras. Bolaget har därför antagit riktlinjer för riskhantering och riskkontroll som identifierar och hanterar de risker Bolaget är exponerat mot. Riktlinjerna utvärderas och uppdateras minst årligen samt vid behov.
Bolagets funktion för riskkontroll (”Riskkontrollfunktionen”) stödjer Bolaget i arbetet med riskhanteringen. Det åligger även Riskkontrollfunktionen att löpande kontrollera att Bolagets arbete med att identifiera och minimera risker är tillfredsställande och ändamålsenlig. VD informerar och konsulterar löpande Riskkontrollfunktionen i allt väsentligt som rör verksamheten och som kan ha betydelse för funktionens fullgörande av sin roll.
Riskhanteringssystem
Bolagets riskhanteringssystem utgör ett verktyg för att kontinuerligt utvärdera och bedöma de risker som Bolaget ägnar sig åt i verksamheten. Riskhanteringssystemet är en del av Bolagets kontrollmiljö och är en integrerad del av Bolagets beslutsprocesser samt bidrar till att målen för Bolagets verksamhet kan uppnås med en lägre risk.
Riskhanteringssystemet innehåller de strategier, processer och rapporteringsrutiner som är nödvändiga för att fortlöpande kunna identifiera, mäta, hantera, kontrollera och rapportera de risker som verksamheten är förknippad med. Bolaget har infört och inför löpande de metoder och rutiner som krävs för att hantera de risker som hänför sig till Bolagets verksamhet.
Bolagets riskhanteringssystem är utformat för att tillmötesgå interna behov samt externa regelverk. De huvudsakliga beståndsdelarna i Bolagets riskhanteringssystem är
- Oberoende Riskkontrollfunktion
- Interna regler för hantering av risk
- Organisation och ansvar
- Principer och mål för att styra och hantera risker inklusive riskaptit och risktolerans
- Process för intern kapital och likviditetsutvärdering (IKLU)
- Rapporteringsrutiner
- Riskhanteringsprocessen
- Riskmätningsmetoder
Riskaptit
Bolagets affärsverksamhet har en stark kultur som betonar en låg riskprofil med begränsat risktagande som kan motiveras i affärsbeslut och kalkylerad lönsamhet. Riskhanteringen karakteriseras av förebyggande åtgärder som syftar till att förhindra eller begränsa risker och skadeverkningar.
Tre försvarslinjer
Bolagets riskhantering följer roll- och ansvarsfördelningen enligt de tre försvarslinjerna:
Första försvarslinjen avser alla riskhanteringsaktiviteter som utförs av ledning och personal i linjearbete. Den dagliga hanteringen av operativa risker ska ske ute i verksamheten, då verksamheten som tar risken även äger risken. Alla anställda har ett eget ansvar att bidra till en god riskkultur genom att efterleva Bolagets Riskpolicy och övriga delar av det interna regelverket avseende Bolagets system för riskhantering.
Andra försvarslinjen avser Risk- och Compliancefunktionen, som ska stödja och kontrollera första försvarslinjens arbete med riskhantering och regelefterlevnad. Riskkontrollfunktionen genomför kontroller av att det finns en riskmedvetenhet och acceptans för att hantera risker på daglig basis. Funktionen agerar även stödjande och arbeta för att verksamheten har de verktyg, system och rutiner som krävs för att upprätthålla den löpande hanteringen av risker.
Tredje försvarslinjen avser funktionen för internrevision som genomför oberoende och regelbunden översyn av förvaltning, processer och system av interna kontroller, dvs. ett granskningsarbete av första och andra försvarslinjen.
Styrelsens principer och mål för att styra och hantera risker
Bolaget ska hantera och utvärdera sin exponering mot samtliga risker som verksamheten är utsatt för i enlighet med följande principer:
- En sund risk-kultur tillsammans med en hög riskmedvetenhet ska eftersträvas inom hela Bolaget.
- Varje medarbetare ska ha en god förståelse för den egna verksamheten och de risker som är förknippade med denna.
- Bolagets affärsidé, vision samt värderingar ska vara utgångspunkter i riskhanteringen.
- Det ska finnas tydliga och dokumenterade interna rutiner och kontrollsystem, vilka inkluderar ansvar och befogenheter.
- Nya eller förändrade tjänster, produkter eller andra verksamhetsförändringar ska prövas enligt en av VD dokumenterad process (NPAP, New Product Approval Process).
- Mätmetoder och systemstöd ska vara anpassade till verksamhetens behov, storlek och komplexitet.
- Incidentrapportering ska ske regelbundet enligt dokumenterad process.
- Tillräckligt med resurser och kompetens ska finnas för att uppnå önskad kvalitet i både affärsaktiviteter som i kontrollaktiviteter.
- Både dokumenterade och kommunicerade beredskaps- och kontinuitetsplaner ska finnas till hands.
- Riskkontrollfunktionen ska vara oberoende och inneha ansvaret över att löpande identifiera och följa upp de risker som Bolaget är eller kan komma få exponering mot.
- Det ska finnas en återhämtningsplan som ska fastställas av styrelsen årligen.
Riskkontrollfunktionens organisation
Riskkontrollfunktionen är en oberoende funktion från affärsverksamheten. Den är ett stöd för styrelse, VD och ledning i dess arbete med att säkerställa en god och ändamålsenlig riskhantering och riskkontroll.
Riskkontrollfunktionen arbetar självständigt, riskbaserat och ska vara organisatoriskt placerad under VD och rapportera direkt till styrelse. VD utser en ansvarig för Riskkontrollfunktionen.
För att funktionen ska kunna fullgott genomföra sitt uppdrag och uppehålla sitt ansvar ska funktionen tilldelas tillräckliga resurser, information och kompetens. Riskkontrollfunktionen ska även ha rätt att få utföra de kontroller och uppföljningar som är nödvändiga för att säkerställa att Bolaget har en god och ändamålsenlig riskhantering.
Rapportering
Rapporteringsstrukturen är uppbyggd på så sätt att det säkerställs att styrelse och ledning får en samlad rapportering av alla Bolagets väsentliga risker. Det finns även rutiner för att hantera och agera utifrån den information som ges i rapporterna.
I samband med Bolagets kvartalsvisa styrelsemöten rapporterar Riskkontrollfunktionen skriftligen till Bolagets styrelse och VD.
VD informerar styrelsen om alla väsentliga förändringar av eller undantag från beslutade instruktioner som styr utformningen och användningen av riskmätningsmetoder.
Risktagare och ägare av risk i verksamheten rapporterar omedelbart och informerar Riskkontrollfunktionen vid väsentliga förändringar eller avvikelser som kan leda till en förändrad riskbild eller förhöjd kostnad.