Andre bilag
Bilag 1 (Kreditområdet)
Bilag 2 (Markedsrisiko)
Bilag 3 (Operationelle risici)
Bilag 4 (Likviditetsrisici)
Bilag 5 (It-strategi, it-risikostyringspolitik og it-sikkerhedspolitik)
Bilag 6 (Tilrettelæggelse af arbejdet i bestyrelsen)
Bilag 7 (Risikostyringsfunktionen og den risikoansvarlige)
Bilag 8 (Risikoen for overdreven gearing)
Direktionens opgaver og ansvar
1) Direktionen skal, jf. § 16, stk. 1, 1. pkt., sikre, at virksomheden har en risikostyringsfunktion, og at der udpeges en risikoansvarlig.
2) Direktionen skal sikre, at det tydeligt fremgår, for eksempel af funktionsbeskrivelser og forretningsgange, hvilke opgaver der henhører under risikostyringsfunktionen, jf. nr. 4-14.
3) Direktionen skal sikre, at risikostyringsfunktionen har adgang til alle relevante oplysninger, har adgang til regelmæssig uddannelse og har tilstrækkelige ressourcer, jf. § 9, stk. 2.
Risikostyringsfunktionens og den risikoansvarliges opgaver på risikostyringsområdet
4) Den risikoansvarlige skal have et samlet overblik over virksomheden og virksomhedens risikoeksponeringer med henblik på at kunne vurdere, om der er en betryggende styring heraf.
5) Den risikoansvarlige skal tage stilling til, om direktionens og bestyrelsens beslutningsgrundlag er tilstrækkeligt, jf. nr. 6-8.
6) Den risikoansvarlige skal sikre, at alle væsentlige risici i virksomheden herunder risici, der går på tværs af virksomhedens organisation, identificeres, måles, håndteres og rapporteres korrekt.
7) Den risikoansvarlige skal sikre, at risikoeksponeringer i datterselskaber, jf. § 2, stk. 2, indgår i vurderingen af virksomhedens samlede risikoeksponeringer.
8) Den risikoansvarlige skal sikre, at risikoeksponeringer i outsourcede processer, tjenesteydelser eller aktiviteter indgår i vurderingen af virksomhedens samlede risikoeksponeringer.
9) Den risikoansvarlige skal vurdere, om der er indført de fornødne foranstaltninger til sikring af kvaliteten af data, som anvendes i styringen af risici.
10) Den risikoansvarlige skal vurdere, om der er indført de fornødne foranstaltninger til styring af modelrisiko, jf. bilag 3, nr. 13 og 14.
11) Risikostyringsfunktionen skal deltage aktivt i udviklingen af virksomhedens politikker og strategiske mål, jf. § 4, stk. 1.
12) Den risikoansvarlige skal på forhånd høres om væsentlige beslutninger, så den risikoansvarlige har mulighed for at udtale sig om risikoen forinden, herunder om væsentlige beslutninger om ændringer i strategi og forretningsmodel, risikotagning, nye produkter, nye kundegrupper, organisatoriske ændringer, etablering af nye filialer og forretningsenheder, ændring af it-systemer, outsourcing, anvendelse af modeller m.v.
13) Risikostyringsfunktionen skal mindst én gang om året udarbejde en rapport til bestyrelsen om virksomhedens risikostyring, jf. § 5, stk. 4. Rapporten skal indeholde den risikoansvarliges stillingtagen til forholdene anført under nr. 4-10, og 12 og skal indgå som en del af bestyrelsens samlede vurderingsgrundlag, jf. § 5, stk. 4. Virksomheden kan vælge, at rapporten indgår som en del af eller som et tillæg til vurderingen af virksomhedens solvensbehov (ICAAP). Den risikoansvarlige skal i givet fald sikre, at rapporteringen opfylder alle krav til indhold og klart fremgår af tillægget, og at bestyrelsen er orienteret om, at rapporten indgår som et tillæg.
14) Den risikoansvarlige skal hurtigst muligt give udtryk for betænkeligheder og advare bestyrelsen, hvis der sker en udvikling i specifikke risici, der påvirker eller kan påvirke virksomheden, og det er relevant, at bestyrelsen tager stilling til risikoen.
15) Har virksomheden nedsat et risikoudvalg, jf. § 80 b, stk. 1, i lov om finansiel virksomhed, skal den risikoansvarliges rapport, jf. nr. 13, sendes til risikoudvalget.
Risikostyringsfunktionens organisation
16) Direktionen skal udpege en risikoansvarlig med ansvar for ledelse af risikostyringsfunktionen. Bestyrelsen kan dog beslutte, at det er bestyrelsen, der udpeger den risikoansvarlige.
17) Den risikoansvarlige skal være tilstrækkeligt uafhængig af virksomhedens funktioner til, at den risikoansvarliges opgaver kan udføres betryggende.
18) Direktionen skal sikre, at den organisatoriske placering af risikostyringsfunktionen er betryggende. Hvis direktionen eller bestyrelsen vælger at udpege en risikoansvarlig, der også har ansvar for andre opgaver end risikostyring, skal direktionen eller bestyrelsen sikre, at mulige interessekonflikter mellem opgaverne, som den risikoansvarlige varetager i sin egenskab af risikoansvarlig og andre opgaver, håndteres betryggende.
19) Et medlem af direktionen, som bestyrelsen ikke har udpeget som den administrerende direktør, kan udpeges som risikoansvarlig, hvis den pågældende opfylder kravene i nr. 16 og 17.
20) Direktionen i pengeinstitutter med en arbejdende kapital mindre end 12 mia. kr., mindre realkreditinstitutter og virksomheder omfattet af § 1, nr. 3 og 5-7, kan udpege en direktør, som bestyrelsen har udpeget som den administrerende direktør, som risikoansvarlig.
21) Direktionen i pengeinstitutter med en arbejdende kapital mindre end 12 mia. kr., mindre realkreditinstitutter og virksomheder omfattet af § 1, nr. 3 og 5-7, kan ligeledes vælge, at risikostyringsfunktionen udgøres af den risikoansvarlige.
22) Direktionen kan vælge at placere dele af risikostyringsfunktionens opgaver i organisatoriske enheder udenfor risikostyringsfunktionen.
23) Hvis virksomheden er et SIFI eller et G-SIFI, skal direktionen vurdere behovet for, at risikostyringsfunktionen under ledelse af den risikoansvarlige organiseres, så der oprettes bemandede risikostyringsenheder for hvert væsentligt risikoområde i virksomheden for derved at øge virksomhedens opmærksomhed på de enkelte områders risikoeksponeringer.
24) En risikoansvarlig, der er udpeget i medfør af nr. 16-21, skal sikre, at risikostyringsfunktionen udfører opgaverne, jf. nr. 4-14, betryggende.
25) Har virksomheden nedsat et risikoudvalg, jf. § 80 b, stk. 1, i lov om finansiel virksomhed, skal den risikoansvarlige på udvalgets anmodning bistå dette med information.
26) Den risikoansvarlige skal deltage i risikoudvalgets møder med henblik på forelæggelse og drøftelse af virksomhedens risikostyring, jf. nr. 4-11 og 14.
27) Den risikoansvarlige skal løbende, herunder i forbindelse med afgivelse af den risikoansvarliges rapport, jf. nr. 13, deltage i bestyrelsens møder med henblik på forelæggelse og drøftelse af virksomhedens risikostyring.