Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 1103 af 30. juni 2022

I medfør af § 65, stk. 2, § 70, stk. 6, § 71, stk. 2, § 152, stk. 2, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 406 af 29. marts 2022, § 67, stk. 5, § 68, stk. 2, § 94, stk. 2, og § 270, stk. 1, i lov nr. 1155 af 8. juni 2021 om fondsmæglerselskaber og investeringsservice og –aktiviteter, § 21, stk. 5, og § 39, stk. 3, i lov om realkreditlån og realkreditobligationer m.v., jf. lovbekendtgørelse nr. 315 af 11. marts 2022, § 180 g, stk. 3, og § 255 i lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 2014 af 1. november 2021, som ændret ved lov nr. 2382 af 14. december 2021, fastsættes:

Der er ingen senere ændringer til denne bekendtgørelse.

  • Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse
Kapitel 1 Anvendelsesområde
0
§ 1

Bekendtgørelsen finder anvendelse på følgende virksomheder, jf. dog stk. 4-9:

  • 1) Pengeinstitutter.

  • 2) Realkreditinstitutter.

  • 3) Danmarks Skibskredit A/S.

  • 4) Fondsmæglerselskaber, jf. dog stk. 7.

  • 5) Investeringsforvaltningsselskaber, dog ikke investeringsforvaltningsselskabers administration af danske UCITS.

  • 6) Finansielle holdingvirksomheder med de tilpasninger, som koncernforholdet nødvendiggør.

  • 7) Filialer her i landet af kreditinstitutter, investeringsselskaber og administrationsselskaber, der er meddelt tilladelse i et land udenfor den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2 Virksomheder omfattet af stk. 1, der kun har tilladelse til at udføre visse nærmere afgrænsede tjenesteydelser, skal følge bekendtgørelsens regler på de områder, som virksomheden har tilladelse til.

Stk. 3 § 2, stk. 1, § 3, stk. 1, nr. 5-7, 10 og 12, og stk. 2, § 4, stk. 2, nr. 6 og 8, § 16, bilag 5 og bilag 7, nr. 1-9, 11, 12, 14, 16-19, 22 og 24, finder anvendelse på fælles datacentraler.

Stk. 4 § 4, stk. 2, nr. 7, § 5, stk. 3, nr. 4, og bilag 8 finder ikke anvendelse for virksomheder omfattet af stk. 1, nr. 5-7.

Stk. 5 Bilag 5, nr. 70, finder anvendelse på filialer af penge- og realkreditinstitutter, der er udpeget som operatører af væsentlige tjenester i medfør af § 307 a, stk. 1, 2. pkt., i lov om finansiel virksomhed.

Stk. 6 § 16 finder ikke anvendelse på finansielle holdingvirksomheder.

Stk. 7 §§ 16 og 17 finder ikke anvendelse på virksomheder, der alene har tilladelse som fondsmæglerselskab.

Stk. 8 § 25 finder alene anvendelse på virksomheder omfattet af stk. 1, nr. 1, 2, 4, 6 og 7, og securitiseringsenheder med særligt formål, jf. artikel 2, stk. 1, nr. 2, i Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017.

Stk. 9 § 5, stk. 3, nr. 5, finder ikke anvendelse for virksomheder omfattet af § 1, stk. 1, nr. 5 og 6.

Stk. 10 § 26, stk. 1, 2. pkt., § 26, stk. 2, og bilag 5 finder anvendelse på it-operatører af detailbetalingssystemers it-drift og it-risikostyring af detailbetalingssystemer, for så vidt angår den del af deres virksomhed som er omfattet af deres tilladelse som it-operatør.

Kapitel 2 Betryggende foranstaltninger
0
§ 2

Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1 og 3, skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger der er tilstrækkelige til, at bekendtgørelsen overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel samt

  • 1) virksomhedens størrelse,

  • 2) virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå,

  • 3) de forretningsmæssige og geografiske områder, som virksomheden opererer på,

  • 4) de finansielle tjenesteydelser, som virksomheden tilbyder, og

  • 5) de finansielle produkter, som virksomheden handler med.

Stk. 2 Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1, nr. 1-6, og som har datterselskaber, skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen drives på betryggende vis.

Stk. 3 Bestyrelsen henholdsvis direktionen i de virksomheder, der er omfattet af § 1, stk. 1, nr. 1 og 2, og som i medfør af §§ 308 eller 310 i lov om finansiel virksomhed er udpeget som systemisk vigtige finansielle institutter (SIFI) eller globalt systemisk vigtige finansielle institutter (G-SIFI), skal ved vurderingen efter stk. 1 inddrage hensynet til opretholdelsen af en stabil finansiel sektor ved vurdering af risikostyringsområdet og hensynet til opretholdelsen af en stabil finansiel infrastruktur ved vurdering af it-sikkerhedsområdet.

Kapitel 3 Bestyrelsens opgaver og ansvar
0
§ 3

Bestyrelsen skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

  • 1) træffe beslutning om virksomhedens forretningsmodel, herunder målsætninger for de forhold, der er nævnt under § 2, stk. 1, nr. 1-5,

  • 2) på grundlag af forretningsmodellen træffe beslutning om virksomhedens politikker, jf. § 4,

  • 3) løbende, dog mindst én gang om året, foretage en vurdering af virksomhedens enkelte og samlede risici, jf. § 5, herunder tage stilling til, om risiciene er acceptable,

  • 4) vurdere og træffe beslutning om virksomhedens budgetter, kapital, likviditet, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold,

  • 5) vurdere om direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen,

  • 6) vurdere om virksomheden har en klar organisatorisk struktur med en veldefineret ansvarsfordeling under hensyntagen til virksomhedens forretningsmodel og risikoprofil,

  • 7) træffe beslutning om frekvensen for og omfanget af direktionens rapportering og information til bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

  • 8) løbende og mindst én gang om året træffe beslutning om virksomhedens individuelle solvensbehov, jf. § 124, stk. 2, og § 126 a, stk. 1, i lov om finansiel virksomhed og § 120, stk. 2, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter,

  • 9) tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryggende, jf. bilag 6,

  • 10) vurdere, om virksomheden har en betryggende offentliggørelses- og kommunikationsproces,

  • 11) godkende den rapport, som direktionen har pligt til at udarbejde med en opgørelse og vurdering af virksomhedens likviditetsposition og likviditetsrisici, jf. § 8, stk. 9, og

  • 12) vurdere og godkende virksomhedens it-strategi, jf. bilag 5.

Stk. 2 Bestyrelsen skal sikre, at den har det fornødne informationsgrundlag til at træffe beslutninger som nævnt i stk. 1.

0
§ 4

Virksomhedens politikker, jf. § 3, stk. 1, nr. 2, skal indeholde virksomhedens overordnede strategiske mål for de pågældende risikoområder, herunder identifikation og afgrænsning af de risici, som virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvordan de strategiske mål opnås.

Stk. 2 Politikkerne skal, hvor det er relevant, omfatte følgende:

  • 1) Kreditpolitik, jf. bilag 1.

  • 2) Markedsrisikopolitik, jf. bilag 2.

  • 3) Politik for operationelle risici, jf. bilag 3.

  • 4) Politik for forsikringsmæssig afdækning af risici.

  • 5) Likviditetspolitik, herunder en beredskabsplan i tilfælde af utilstrækkelig eller manglende likviditet, jf. bilag 4.

  • 6) It-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, jf. bilag 5.

  • 7) Politik for risikoen for overdreven gearing, jf. bilag 8.

  • 8) Øvrige risikoområder, som bestyrelsen vurderer, er af betydning for virksomheden.

Stk. 3 Virksomhedens politikker, jf. stk. 2, nr. 1-3, samt i relevant omfang nr. 4-8, skal udover virksomhedens overordnede strategiske mål for de pågældende risikoområder indeholde retningslinjer for de risici, der udspringer af miljømæssige, sociale og ledelsesmæssige forhold, som virksomheden ønsker at påtage sig.

Stk. 4 Virksomhedens politikker skal være forsvarlige i forhold til virksomhedens indtjening og kapitalgrundlag.

0
§ 5

Ved opfyldelse af § 3, stk. 1, nr. 3, skal bestyrelsen løbende vurdere, om virksomhedens politikker, jf. § 4, samt retningslinjerne til direktionen, jf. §§ 6 og 7, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.

Stk. 2 Vurderingen efter stk. 1 skal foretages i forhold til

  • 1) hvilke risici virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,

  • 2) hvilke aktiviteter de pågældende risici er tilknyttet,

  • 3) omfanget af de enkelte risici, og

  • 4) hvordan risikotyperne påvirker hinanden, hvis dette er relevant.

Stk. 3 Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til

  • 1) om virksomheden har et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,

  • 2) om virksomheden har betryggende it-systemer,

  • 3) om virksomheden har betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen,

  • 4) om virksomheden har betryggende processer til identifikation, styring og overvågning af overdreven gearingsrisiko, jf. bilag 8, og

  • 5) om virksomheden har et betryggende antal medarbejdere, kompetencer, politikker, retningslinjer og processer for styring af nødlidende eksponeringer (non-performing exposures) og eksponeringer med kreditlempelser (forborne exposures), jf. artikel 47a og artikel 47b, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/630 af 17. april 2019 for så vidt angår krav til minimumsdækning af tab for misligholdte eksponeringer, herunder om virksomheden har et passende beredskab til at håndtere en eventuel væsentlig forringelse af kvaliteten i kreditporteføljen.

Stk. 4 Den risikoansvarliges rapport, jf. bilag 7, skal indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.

0
§ 6

På grundlag af risikovurderingen, jf. § 5, og i henhold til de politikker, der er vedtaget i medfør af § 4, skal bestyrelsen udstede skriftlige retningslinjer til direktionen.

Stk. 2 Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, og hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen.

Stk. 3 Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver, jf. §§ 3-5, eller i øvrigt er af usædvanlig art eller af stor betydning for virksomheden, herunder følgende beføjelser:

0
§ 7

Retningslinjerne efter § 6 skal

  • 1) indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne, og

  • 2) fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse.

Stk. 2 Retningslinjernes grænser på kreditrisiko-, markedsrisiko- og likviditetsrisikoområdet, jf. bilag 1, 2 og 4, skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko for eksempel som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens kapitalgrundlag.

Stk. 3 Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger udenfor den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelser af retningslinjernes grænser ikke gives til direktionen.

Stk. 4 Bestyrelsen skal ved udformningen af retningslinjerne til direktionen være betrygget i, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de beføjelser, som retningslinjerne indeholder, på en for virksomheden betryggende måde.

Stk. 5 Det skal fremgå af retningslinjerne, hvordan og hvor hyppigt rapportering til bestyrelsen skal ske. Herunder skal det fremgå, hvordan og hvor hyppigt direktionen skal rapportere på de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen.

Kapitel 4 Direktionens opgaver og ansvar
0
§ 8

Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder selskabsloven og lov om finansiel virksomhed eller lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, og de politikker og retningslinjer, som er vedtaget og givet af bestyrelsen, jf. §§ 4, 6 og 7, samt eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger fra bestyrelsen.

Stk. 2 Direktionen skal sikre, at de politikker og retningslinjer, som er vedtaget af bestyrelsen, implementeres i virksomhedens daglige drift.

Stk. 3 Direktionen er forpligtet til at videregive information til bestyrelsen, som bestyrelsen har anmodet om samt information, som direktionen vurderer, kan være af betydning for bestyrelsens arbejde.

Stk. 4 Direktionen er forpligtet til at videregive information til den risikoansvarlige og den complianceansvarlige, som direktionen vurderer kan være af betydning for den risikoansvarlige og den complianceansvarliges arbejde.

Stk. 5 Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun træffer dispositioner, som direktionen og medarbejdere i fornødent omfang kan vurdere risiciene ved og konsekvenserne af.

Stk. 6 Direktionen skal sikre, at der er forretningsgange for dokumentation af væsentlige beslutninger i organisationen, herunder oplysninger om, hvem der har truffet en given beslutning, hvornår den er truffet, og under hvilken beføjelse og på hvilket grundlag den er truffet.

Stk. 7 Direktionen skal godkende virksomhedens forretningsgange, jf. § 13, stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette.

Stk. 8 Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud, øvrige driftsforstyrrelser samt for nøglemedarbejderes fratrædelse.

Stk. 9 Direktionen skal godkende virksomhedens retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, der kan medføre væsentlige risici for virksomheden, modparter eller kunder, herunder ændringer i eksisterende produkter, hvorved produktets risikoprofil ændres væsentligt.

Stk. 10 Direktionen i virksomheder omfattet af § 1, stk. 1, nr. 1-3, skal mindst én gang om året udarbejde en rapport med en opgørelse og vurdering af virksomhedens likviditetsposition og likviditetsrisici.

Stk. 11 Direktionen skal mindst én gang om året vurdere kvaliteten af data, som er væsentlige for virksomhedens styring, samt iværksætte nødvendige tiltag, hvis direktionen finder kvaliteten utilstrækkelig.

Stk. 12 Direktionen skal løbende overvåge, udfordre og føre tilsyn med, at ledende medarbejderes arbejde i organisationen udføres i overensstemmelse med de retningslinjer, som er givet, herunder at der sker betryggende rapportering, jf. §§ 20 og 21.

Stk. 13 Direktionen skal foretage en tilstrækkelig undersøgelse af forholdene, hvis den får mistanke om medarbejderes samarbejde med kunder, leverandører eller andre eksterne parter om deltagelse i kriminalitet eller får mistanke om medarbejderes kendskab til kunders, leverandørers eller andre eksterne parters kriminalitet. Direktionen skal i denne situation vurdere tildelingen af opgaver til pågældende medarbejdere.

Kapitel 5 Organisation og ansvarsfordeling
Opgaver og ressourcer
0
§ 9

Virksomheden skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelinjer. Det skal herunder være klart for de enkelte enheder og medarbejdere, hvilke opgaver der skal udføres, og hvordan opgaverne skal udføres.

Stk. 2 De organisatoriske enheder skal være bemandet ressource- og kompetencemæssigt således, at enhederne på betryggende vis kan løse de opgaver, det påhviler enhederne at udføre.

Stk. 3 Virksomheden skal have foranstaltninger, som sikrer, at eventuelt manglende overholdelse af politikker og forretningsgange indgår i ledelsens vurdering af de organisatoriske enheders og medarbejdernes løsning af deres respektive opgaver.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.
0
§ 10

Virksomheden skal være indrettet, så den information, der skal tilgå bestyrelse, direktion og ledelse på øvrige organisatoriske niveauer samt den risikoansvarlige og den complianceansvarlige, kan tilgå disse i retvisende og dækkende form for disses arbejde, herunder indenfor tidsmæssige rammer og i en form, der sikrer, at eventuelle foranstaltninger kan sættes i værk uden unødigt ophold.

Interessekonflikter og funktionsadskillelse
0
§ 11

Virksomheden skal sikre, at

  • 1) der foreligger procedurer med henblik på forebyggelse, identifikation og håndtering af interessekonflikter,

  • 2) virksomheden er indrettet, så der er betryggende funktionsadskillelse, herunder at disponerende medarbejdere, medarbejdere, der udfører afvikling, og medarbejdere, der udfører resultat- og risikoopgørelser samt kontrol og rapportering, refererer til hver sin leder, og

  • 3) virksomheden er indrettet, så der er klart definerede rapporteringslinjer.

Stk. 2 Virksomhedens afvikling, udarbejdelse af resultat- og risikoopgørelser, kontrol og rapportering kan udføres i samme enhed, hvis dette kan anses for betryggende, jf. § 2, og under hensyntagen til arten af enhedens øvrige opgaver.

Stk. 3 I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med stk. 1, nr. 2, skal der, jf. § 2, indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 6 Administrativ og regnskabsmæssig praksis
Administrativ praksis
0
§ 12

Virksomheden skal være indrettet, så de enkelte enheder og medarbejderne har de forretningsgange, manualer, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver.

0
§ 13

Virksomheden skal have forretningsgange på alle væsentlige aktivitetsområder. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige.

Stk. 2 Forretningsgangene skal som minimum

  • 1) være lettilgængelige og overskuelige,

  • 2) på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen og anden relevant regulering samt de politikker og retningslinjer, som virksomhedens ledelse har vedtaget, efterleves og overholdes,

  • 3) angive, hvilken organisatorisk enhed, personer eller grupper af personer der skal udføre de enkelte opgaver eller delopgaver, og

  • 4) opdateres løbende ved ændring i interne forhold eller i relevant regulering.

Stk. 3 Forretningsgangene kan foreligge elektronisk. Direktionen skal dog sikre, at de er tilgængelige i tilfælde af systemnedbrud i virksomheden.

0
§ 14

Direktionen skal sikre, at der er fornøden dokumentation for virksomhedens aktiviteter, herunder at der er forretningsgange for,

  • 1) i hvilket omfang beslutninger, beføjelser, udførte opgaver og forretninger samt opståede hændelser skal dokumenteres,

  • 2) i hvilken form dokumentationen skal ske,

  • 3) hvordan der sikres tilgængelighed til dokumentationen,

  • 4) hvor længe dokumentationen skal opbevares, og

  • 5) hvis relevant, til hvem dokumentationen kan og skal videregives.

Stk. 2 Dokumentationen, jf. stk. 1, skal foreligge enten skriftligt eller elektronisk.

Regnskabsmæssig praksis
0
§ 15

Virksomheden skal have en god regnskabsmæssig praksis. Det indebærer blandt andet, at

  • 1) virksomheden, jf. § 14, kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og

  • 2) virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 7 Risikostyring og compliance
Risikoansvarlig og risikostyringsfunktion
0
§ 16

Direktionen skal sikre, at virksomheden har en risikostyringsfunktion og en risikoansvarlig, jf. bilag 7. Direktionen skal sikre, at risikostyringsfunktionen i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at risikostyringsfunktionen kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden, uden at dette berører det ansvar, som bestyrelsen har.

Stk. 2 Afskedigelse af den risikoansvarlige kræver bestyrelsens forudgående godkendelse.

Stk. 3 Direktionen skal følge op på den risikoansvarliges konklusioner og anbefalinger samt i relevant omfang gennemføre korrigerende foranstaltninger. Virksomheden skal have retningslinjer for opfølgning på den risikoansvarliges konklusioner.

Stk. 4 Advarsler og betænkeligheder afgivet af risikostyringsfunktionen skal dokumenteres, og virksomheden skal have procedurer til at sikre dette.

Compliance
0
§ 17

Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den lovgivning, der gælder for virksomheden, markedsstandarder og interne regelsæt (compliancerisici).

Stk. 2 Virksomheden skal have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.

Stk. 3 I virksomheder, der er værdipapirhandlere, skal compliancefunktionen for den del af virksomheden, der vedrører handel med finansielle instrumenter, udføre compliance og yde rådgivning af og bistand til de personer, der har ansvaret for at yde investeringsservice og udføre investeringsaktiviteter i overensstemmelse med artikel 22, stk. 1-3, i Kommissionens delegerede forordning (EU) nr. 2017/565 af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv.

Stk. 4 For at sikre at compliancefunktionen kan varetage sine ansvarsområder korrekt og uafhængigt, skal direktionen sikre, at følgende betingelser opfyldes:

  • 1) Compliancefunktionen skal have de nødvendige ressourcer, den nødvendige kompetence og sagkundskab samt adgang til regelmæssig uddannelse og alle relevante oplysninger.

  • 2) En medarbejder, der er udpeget af direktionen, skal være ansvarlig for compliancefunktionen og for rapportering til bestyrelsen og direktionen. Rapporteringen skal ske mindst én gang om året. Den complianceansvarlige skal i øvrigt have mulighed for at udtale sig direkte til bestyrelsen, hvis den complianceansvarlige skønner det nødvendigt.

  • 3) Medarbejdere, der er involveret i compliancefunktionen, må ikke deltage i leveringen af de tjenesteydelser eller udførelsen af de aktiviteter, de kontrollerer.

  • 4) Metoden til at fastsætte vederlag til medarbejdere i compliancefunktionen må ikke bringe deres uafhængighed i fare.

Stk. 5 Stk. 4, nr. 3 og 4, finder ikke anvendelse, hvis det kan godtgøres, at disse krav ikke står i rimeligt forhold til arten, omfanget og sammensætningen af virksomhedens aktiviteter.

Stk. 6 Vurderer direktionen, at virksomhedens størrelse eller sammensætningen af virksomhedens aktiviteter berettiger hertil, kan den samme person udpeges til at være complianceansvarlig og risikoansvarlig. Det skal dog altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de kontrollerer som led i deres complianceopgaver.

Stk. 7 Direktionen skal følge op på den complianceansvarliges konklusioner og anbefalinger samt i relevant omfang gennemføre korrigerende foranstaltninger. Virksomheden skal have retningslinjer for opfølgning på den complianceansvarliges konklusioner.

Stk. 8 Advarsler og betænkeligheder afgivet af compliancefunktionen skal dokumenteres, og virksomheden skal have procedurer til at sikre dette.

Videregivelse af beføjelser
0
§ 18

Videregivelse af beføjelser fra bestyrelse, direktion og øvrige ledelsesniveauer skal dokumenteres, jf. § 14, og proceduren herfor skal fremgå af forretningsgangene, jf. § 13.

Stk. 2 Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til betryggende at kunne anvende beføjelserne.

Stk. 3 Videregivne beføjelser skal som minimum angive

  • 1) arten og størrelsen af den eller de videregivne beføjelser,

  • 2) principperne for opgørelse af udnyttelse af beføjelserne,

  • 3) hvilke produkter eller handlinger beføjelsen omfatter,

  • 4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 7, stk. 1, og

  • 5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4 Ingen kan videregive beføjelser, der går udover de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de beføjelser, som fremgår af bestyrelsens retningslinjer til direktionen.

Stk. 5 Er der fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller
0
§ 19

Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder af

  • 1) overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 7, stk. 1, nr. 1, i de retningslinjer, som bestyrelsen har givet til direktionen, og grænser i lovgivningen,

  • 2) overholdelse af videregivne beføjelser,

  • 3) dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter, og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser,

  • 4) dispositioner, hvor virksomheden har forpligtet sig til at overholde grænser for risici aftalt med modparter, for eksempel i rammeaftaler om handel med finansielle instrumenter,

  • 5) indsamling og behandling af data, som virksomheden anvender som grundlag for at vurdere risici og træffe forretningsmæssige beslutninger, og

  • 6) andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab og fastsættelse af virksomhedens individuelle solvensbehov.

Stk. 2 Kontrol skal udføres af en anden enhed end den, der har udført opgaven, jf. § 11, stk. 1, medmindre kontrollen har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, og kontrollen i det konkrete tilfælde er betryggende.

Stk. 3 Kontroller omfattet af stk. 1 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4 Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering
0
§ 20

Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af væsentlige grænser for risikotagning, der fremgår af bestyrelsens vedtagne retningslinjer efter § 6 eller i den videregivne beføjelse. Direktionen skal også sikre, at der sker rapportering om overholdelse af de grænser, der er fastsat i lovgivningen for risiko, på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2 Rapporteringen skal ske i overskuelig form og give bestyrelse, direktion og øvrige ledelsesniveauer, der har videregivet beføjelser, jf. § 18, oplysning om den aktuelle udnyttelse af de væsentlige grænser og om udnyttelsen over tid. Uanset 1. pkt. og stk. 1 skal der ske rapportering om overskridelse af samtlige grænser.

Stk. 3 Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4 Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

0
§ 21

Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke er omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan for eksempel dreje sig om rapportering vedrørende afstemningsfejl, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden, mulige lovovertrædelser, mangelfulde kontroller, uhensigtsmæssig adfærd eller andre uregelmæssigheder.

Stk. 2 Direktionen skal sikre, at virksomhedens forretningsgange i videst muligt omfang indeholder anvisninger om, hvilke forhold der skal eller bør rapporteres om, og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter
0
§ 22

Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt, jf. § 8, stk. 9. Retningslinjerne skal som minimum

  • 1) afgrænse, hvornår der er tale om et nyt produkt eller en ny tjenesteydelse, i det omfang det er muligt,

  • 2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

  • 3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, så det sikres, at alle relevante forhold belyses,

  • 4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens, regnskabsmæssig behandling og påvirkning af virksomhedens kunders risici og omkostninger,

  • 5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og

  • 6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af politikker eller retningslinjer, der er vedtaget i medfør af §§ 4, 6 og 7, herunder til fastsættelse af særlige principper for opgørelse af de risici, der knytter sig til produktet.

0
§ 23

Den risikoansvarlige og den complianceansvarlige skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye tjenesteydelser og produkter. Den risikoansvarlige og den complianceansvarlige skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2 Den risikoansvarlige og den complianceansvarlige skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den risikoansvarlige og den complianceansvarlige skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Gearingsrisiko
0
§ 24

Ved gearing forstås i denne bekendtgørelse gearing som defineret i artikel 4, stk. 1, nr. 93, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Stk. 2 Ved overdreven gearingsrisiko forstås overdreven gearingsrisiko som defineret i artikel 4, stk. 1, nr. 94, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Risici forbundet med securitisering
0
§ 25

Deltagelse i securitiseringsaktiviteter som defineret i artikel 4, stk. 1, nr. 61, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber kan ske ved, at

  • 1) virksomheden eksponeres mod securitiseringspositioner, herunder eksponeringer fra investering i securitiseringspositioner eller udbud af kreditrisikoafdækning, eller

  • 2) virksomheden selv eller i samarbejde med andre etablerer eller arrangerer securitiseringstransaktioner, programmer for kortfristede gældsbreve eller ABCP-programmer, jf. artikel 242, nr. 9, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber.

Stk. 2 Virksomheder, der deltager i securitiseringsaktiviteter, skal have betryggende politikker og forretningsgange på området, som skal sikre, at virksomheden vurderer og håndterer risici forbundet med securitisering, herunder omdømmemæssige risici, der kan opstå i forbindelse med deltagelse i komplekse strukturer, og at securitiseringsaktiviteternes økonomiske indhold afspejles i risikovurderingen og ledelsesbeslutningerne.

Kapitel 8 Straf
0
§ 26

Overtrædelse af §§ 3-7, § 8, stk. 2-4 og 6-13, § 9, § 11, stk. 1 og 3, § 12, § 13, stk. 1, 1. pkt., stk. 2 og stk. 3, 2. pkt., §§ 14 og 15, § 16, stk. 1, 3 og 4, § 17, stk. 1-4, stk. 6, 2. pkt., og stk. 7 og 8, § 18, § 19, stk. 1 og 2, stk. 3, 1. og 2. pkt., og stk. 4, § 20, § 21, stk. 1, 1. pkt., og stk. 2, §§ 22 og 23, § 25, stk. 2, og bilag 1-8 straffes med bøde. Med bøde straffes desuden den, der ikke efterkommer et påbud om at foretage eller undlade at foretage bestemte handlinger med henblik på at overholde bekendtgørelsens bestemmelser eller bilag.

Stk. 2 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 9 Ikrafttræden og overgangsbestemmelser
0
§ 27

Bekendtgørelsen træder i kraft den 2. juli 2022.

Stk. 2 Bekendtgørelse nr. 788 af 1. juni 2022 om ledelse og styring af pengeinstitutter m.fl. ophæves.