Senere ændringer til forskriften
Lovgivning forskriften vedrører
Links til EU direktiver, jf. note 1
32006L0048
 
32009L0111
 
Oversigt (indholdsfortegnelse)

Kapitel 1   Anvendelsesområde

Kapitel 2   Bestyrelsens opgaver og ansvar

Kapitel 3   Direktionens opgaver og ansvar

Kapitel 4   Organisation og ansvarsfordeling

Kapitel 5   Administrativ og regnskabsmæssig praksis

Kapitel 6   Forretningsgange

Kapitel 7   Risikostyring og Compliance

Kapitel 8   Straffebestemmelser

Kapitel 9   Ikrafttrædelse og overgangsbestemmelser

Bilag 1

Bilag 2

Bilag 3

Bilag 4

Bilag 5

Bilag 6

Den fulde tekst

Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.1)

I medfør af § 65, stk. 2, § 70, stk. 5, § 71, stk. 2, § 152, stk. 4, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1125 af 23. september 2010 som ændret ved lov nr. 579 af 1. juni 2010, samt § 21 og § 39, stk. 3, i lov om realkreditlån og realkreditobligationer m.v., jf. lovbekendtgørelse nr. 1261 af 15. november 2010, fastsættes:

Kapitel 1

Anvendelsesområde

§ 1. Denne bekendtgørelse finder anvendelse på følgende virksomheder, jf. dog stk. 2:

1) Pengeinstitutter.

2) Realkreditinstitutter.

3) Danmarks Skibskredit A/S.

4) Fondsmæglerselskaber, jf. dog § 23.

5) Investeringsforvaltningsselskaber, dog ikke investeringsforvaltningsselskabers administration af investeringsforeninger, specialforeninger, hedgeforeninger, godkendte fåmandsforeninger og professionelle foreninger.

6) Filialer her i landet af kreditinstitutter, investeringsselskaber og administrationsselskaber, der er meddelt tilladelse i et land uden for den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2. Virksomheder omfattet af stk. 1, der kun har tilladelse til at udføre visse nærmere afgrænsede tjenesteydelser, skal følge bekendtgørelsens regler på de områder, virksomheden har tilladelse til.

Stk. 3. Hvis bestyrelse og direktion kan godtgøre, at bestemmelser i denne bekendtgørelse enten ikke er relevante for virksomheden som helhed eller for de berørte risikoområder, eller at virksomheden eller risikoområdet på trods af en fravigelse fortsat kan drives på forsvarlig vis, kan virksomheden fravige bestemmelser i bekendtgørelsen medmindre andet fremgår. Fravigelse kan f.eks. ske som følge af

1) ringe eller ukompliceret aktivitet på et eller flere aktivitets- eller risikoområder,

2) virksomhedens størrelse,

3) virksomhedens struktur eller

4) strukturen i en eventuel koncern, hvori virksomheden indgår.

Stk. 4. I virksomheder med omfattende eller meget komplekse aktiviteter på et eller flere risikoområder skal virksomhedens bestyrelse og direktion løbende vurdere, om det er nødvendigt at supplere bekendtgørelsens krav med yderligere tiltag.

Kapitel 2

Bestyrelsens opgaver og ansvar

§ 2. Som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden skal bestyrelsen

1) træffe beslutning om virksomhedens forretningsmodel,

2) vurdere om virksomhedens risikoprofil og politikker, jf. § 5, samt retningslinjerne til direktionen, jf. §§ 6 og 7, er forsvarlige i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under,

3) vurdere og tage stilling til virksomhedens budgetter, kapital, likviditet, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold,

4) overvåge, at direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen,

5) sikre, at direktionens rapportering til og information af bestyrelsen er fyldestgørende for bestyrelsens arbejde,

6) overvåge, at virksomheden har effektive former for virksomhedsstyring samt

7) når påkrævet og mindst én gang årligt træffe beslutning om virksomhedens individuelle solvensbehov, jf. lov om finansiel virksomhed §§ 124, stk. 4 og 125, stk. 7.

§ 3. Bestyrelsen skal løbende vurdere, om dens medlemmer tilsammen besidder den fornødne viden og erfaring om virksomhedens risici til at sikre en forsvarlig drift af virksomheden. Dette gælder særligt ved virksomhedens ibrugtagning af modeller til brug for risikoberegning, ved indførelse af nye produkter, jf. § 28, og andre tiltag, der kan medføre væsentligt øgede risici for virksomheden eller i væsentlig grad kan påvirke den måde, hvorpå risici opgøres og rapporteres i virksomheden.

§ 4. Bestyrelsen skal, når virksomhedens forhold, markedsforhold eller andre relevante forhold tilsiger dette, dog mindst en gang om året, foretage en vurdering af virksomhedens risici.

Stk. 2. Vurderingen skal foretages på grundlag af en af direktionen udarbejdet redegørelse vedrørende virksomhedens risici. Redegørelsen skal som minimum indeholde en beskrivelse af

1) de risikotyper, som virksomheden er udsat for, herunder en vurdering af forretningsmodellens indflydelse på risici og risikoniveauer,

2) til hvilke aktiviteter de pågældende risici er knyttet,

3) omfanget af de enkelte typer af risici og

4) hvorledes risikotyperne påvirker hinanden, hvis dette er relevant

Stk. 3. Hvis der foreligger nogle af de i § 1, stk. 3 og 4, nævnte forhold, der begrunder, at virksomheden fraviger eller supplerer bestemmelserne i denne bekendtgørelse, skal redegørelsen efter stk. 2 indeholde en beskrivelse af, hvori fravigelsen eller de supplerende tiltag består eller skal bestå samt en begrundelse for fravigelsen eller de supplerende tiltag. Det skal fremgå af bestyrelsens forhandlingsprotokol, at bestyrelsen har taget stilling til de i redegørelsen beskrevne fravigelser eller de supplerende tiltag.

Stk. 4. Redegørelsen efter stk. 2 skal endvidere indeholde et grundlag for bestyrelsens vurdering af, om virksomheden har passende medarbejderressourcer, såvel hvad angår kompetencer som antal, passende it-systemer og -support, herunder i forbindelse med risikostyring, samt om virksomheden har passende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden.

§ 5. På grundlag af den i henhold til § 4, stk. 1, foretagne risikovurdering skal bestyrelsen vedtage relevante politikker og beredskabsplaner m.v., herunder:

1) Kreditpolitik, herunder for virksomhedens eventuelle deltagelse i securitiseringsaktiviteter, jf. bilag 1.

2) Markedsrisikopolitik, jf. bilag 2.

3) Politik for håndtering af operationelle risici, jf. bilag 3.

4) Politik for forsikringsmæssig afdækning af risici.

5) Likviditetspolitik, herunder en beredskabsplan i tilfælde af utilstrækkelig eller manglende likviditet, jf. bilag 4.

6) It-sikkerhedspolitik, jf. bilag 5, herunder en it-beredskabsplan.

7) Beredskabsplaner for øvrige alvorlige driftsforstyrrelser.

Stk. 2. Politikkernes indhold skal fastlægges under hensyntagen til virksomhedens art, størrelse, forretningsmodel, kompleksiteten i de forretningsmæssige aktiviteter, samspillet mellem de enkelte risikoområder, virksomhedens overordnede risikovillighed, virksomhedens kapitalforhold, lovgivningen samt markedsforholdene. Politikkerne skal indeholde virksomhedens overordnede strategiske mål for det pågældende risikoområde og anvisninger om, hvordan disse mål nås i form af angivelser af metoder eller midler. Endelig skal politikkerne m.v. indeholde bestemmelser om, hvor ofte og i hvilken form bestyrelsen skal orienteres om manglende overholdelse af de i de enkelte politikker m.v. omhandlede forhold og strategiske mål.

Stk. 3. De i medfør af stk. 1, nr. 1-2 og 4-6, udarbejdede politikker m.v. skal som minimum indeholde bestemmelser om virksomhedens risikoprofil og det ønskede risikoniveau på det enkelte risikoområde, jf. § 2, stk. 1, nr. 2.

Stk. 4. Bestyrelsen skal tilpasse de vedtagne politikker ved væsentlige forandringer i de forudsætninger, der ligger til grund for disse. Bestyrelsen skal dog mindst én gang årligt vurdere og eventuelt ajourføre de vedtagne politikker.

§ 6. På grundlag af den i henhold til § 4, stk. 1, foretagne risikovurdering og de i henhold til § 5 vedtagne politikker skal bestyrelsen give direktionen skriftlige retningslinjer.

Stk. 2. Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen og hvilke dispositioner der kræver bestyrelsens stillingtagen.

Stk. 3. Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver eller i øvrigt er af usædvanlig art eller af stor betydning for virksomheden, jf. selskabslovens § 117, stk. 1. For en virksomhed omfattet af denne bekendtgørelse kan blandt andet følgende beføjelser ikke henlægges til direktionen:

1) Beslutning om outsourcing af væsentlige aktivitetsområder.

2) Bevilling af usædvanlige eller betydende engagementer, jf. dog selskabslovens § 117, stk. 1, 4. og 5. punktum, og engagementer omfattet af lov om finansiel virksomhed § 78.

3) Den årlige gennemgang af større aktiver og passiver, jf. principperne i selskabslovens § 115, nr. 1.

4) Ansættelse af direktion og revisionschef.

5) Beslutning om principper for opgørelse af risici, jf. § 7, stk. 1, nr. 4, herunder anvendelse af interne modeller, der ikke er omfattet af nr. 6.

6) Beslutning om ansøgning om godkendelse af interne modeller til opgørelse af virksomhedens solvens, herunder:

a) VaR-modeller, jf. bekendtgørelse om kapitaldækning § 40.

b) AMA-modeller, jf. bekendtgørelse om kapitaldækning § 57.

c) EPE-modeller, jf. bekendtgørelse om kapitaldækning § 49.

d) Anvendelse af IRB-metoden, jf. bekendtgørelse om kapitaldækning § 19.

7) Beslutning om virksomhedens individuelle solvensbehov, jf. §§ 124, stk. 4 og 125, stk. 7, i lov om finansiel virksomhed.

§ 7. Retningslinjerne efter § 6, stk. 1 og 2, skal

1) være i overensstemmelse med de af bestyrelsen vedtagne politikker og risikoprofilen på de enkelte risikoområder,

2) iagttage begrænsninger fastsat i lovgivningen,

3) indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne,

4) fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko hidrørende fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse,

5) tage stilling til i hvilket omfang og eventuelt til hvem direktionen kan videregive de i retningslinjerne givne beføjelser og

6) fastlægge, hvor ofte og i hvilken form bestyrelsen ønsker at modtage rapportering i henhold til stk. 6.

Stk. 2. Retningslinjernes grænser skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko, for eksempel som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens egen- eller basiskapital.

Stk. 3. Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger uden for den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelser af retningslinjernes grænser ikke gives til direktionen.

Stk. 4. Bestyrelsen skal ved udformningen af retningslinjerne til direktionen sikre, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de i retningslinjerne indeholdte beføjelser på en for virksomheden forsvarlig måde.

Stk. 5. Hvis politikker m.v. i henhold til § 5 og retningslinjerne i henhold til stk. 1 indeholdes i samme dokument, skal det tydeligt fremgå, hvilke bestemmelser der vedrører politikken på et risikoområde, og hvilke der vedrører retningslinjerne til direktionen.

Stk. 6. Det skal fremgå af retningslinjerne, at rapportering til bestyrelsen skal ske på alle de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen. Det skal således fremgå af rapporteringen, om grænser fastsat i lovgivningen er overholdt. Det skal fremgå, i hvilket omfang de af bestyrelsen fastsatte grænser for risici er udnyttet såvel aktuelt som over tid, herunder om der har været overskridelser af grænserne. Endelig skal rapporteringen, hvis dette er relevant, omfatte et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed. Bestyrelsens stillingtagen til den modtagne rapportering skal protokolleres.

Stk. 7. Rapporteringen efter stk. 6, skal også omfatte midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, idet det, jf. § 2, stk. 2, sidste punktum, i bekendtgørelse om outsourcing af væsentlige aktivitetsområder, fortsat er bestyrelsens ansvar, at midler, der forvaltes af eksterne porteføljeforvaltere, og øvrige midler tilsammen placeres inden for de af bestyrelsen udstukne retningslinjer og i overensstemmelse med lovgivningen.

Bestyrelsens tilrettelæggelse af arbejdet

§ 8. Bestyrelsen skal tilrettelægge sit arbejde i overensstemmelse med lovgivningen og således, at der sikres en forsvarlig og hensigtsmæssig ledelse af virksomheden, jf. bilag 6.

Kapitel 3

Direktionens opgaver og ansvar

§ 9. Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder selskabsloven og lov om finansiel virksomhed, de af bestyrelsen vedtagne politikker m.v., jf. § 5, de af bestyrelsen givne retningslinjer, jf. §§ 6 og 7, og eventuelle andre mundtlige eller skriftlige anvisninger fra bestyrelsen.

Stk. 2. Direktionen skal endvidere sikre, at virksomheden er indrettet i overensstemmelse med kravene i denne bekendtgørelse.

Stk. 3. Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og retningslinjer implementeres i virksomhedens daglige drift.

Stk. 4. Direktionen er forpligtet til at videregive al relevant information til bestyrelsen.

Stk. 5. Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun påtager sig risici, som ledelse og medarbejdere i fornødent omfang kan vurdere konsekvensen af.

Stk. 6. Direktionen skal godkende virksomhedens forretningsgange eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette, jf. § 17. Hvis godkendelse af virksomhedens forretningsgange foretages af flere personer eller organisatoriske enheder, er direktionen eller en af direktionen udpeget person eller organisatorisk enhed ansvarlig for, at alle relevante aktiviteter er beskrevet i forretningsgange, jf. § 18.

Stk. 7. Direktionen skal fastsætte en politik for, hvilke tiltag der skal iværksættes i forbindelse med nøglemedarbejderes fratræden.

Stk. 8. Direktionen skal godkende virksomhedens retningslinjer for udvikling og godkendelse af nye produkter, der kan medføre væsentlige risici for virksomheden, modparter eller kunder, herunder ændringer i eksisterende produkter, hvorved produktets risikoprofil ændres væsentligt, jf. § 28.

Kapitel 4

Organisation og ansvarsfordeling

Opgaver og ressourcer

§ 10. Virksomheden skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelinjer.

Stk. 2. Hver organisatorisk enhed skal være bemandet med medarbejdere med relevante kompetencer på et passende niveau. Antallet af medarbejdere skal sammen med disses kompetencer sikre, at enheden på betryggende vis kan løse de opgaver, det påhviler enheden at udføre.

Stk. 3. Hvis organisatoriske enheder på grund af virksomhedens eller ansvarsområdets størrelse ikke kan have et tilstrækkeligt antal medarbejdere til at dække opgaveløsningen i tilfælde af ordinært eller ekstraordinært fravær, kan opgaveløsningen foretages af medarbejdere i andre organisatoriske enheder. Det skal i videst muligt omfang fremgå af forretningsgangene, arbejdsbeskrivelser eller lignende for de involverede organisatoriske enheder, hvilke medarbejdere, grupper af medarbejdere eller eventuelle andre organisatoriske enheder, der løser hvilke opgaver for den pågældende enhed, og under hvilke betingelser dette skal ske.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.

§ 11. Virksomheden skal være indrettet således, at al relevant information tilgår bestyrelse og ledelse på øvrige organisatoriske niveauer indenfor tidsmæssige rammer og i en form, der sikrer, at nødvendige foranstaltninger kan sættes i værk uden unødigt ophold.

Funktionsadskillelse

§ 12. Virksomheden skal organisatorisk indrettes således, at disponerende enheder ikke refererer til en leder med ansvar for enheder, der udfører afvikling, resultat- og risikoopgørelser, kontrol eller rapportering.

§ 13. Virksomhedens organisation skal være indrettet sådan, at der er klart definerede rapporteringslinjer.

Stk. 2. Afvikling, udarbejdelse af resultat- og risikoopgørelser, kontrol eller rapportering kan udføres i samme enhed, medmindre dette i konkrete tilfælde ikke kan anses for betryggende, for eksempel som følge af arten af enhedens øvrige opgaver.

§ 14. I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med §§ 12 og 13, jf. § 1, stk. 3, skal der indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 5

Administrativ og regnskabsmæssig praksis

Administrativ praksis

§ 15. Virksomheden skal være indrettet således, at de enkelte enheder og medarbejderne har de forretningsgange, arbejdsbeskrivelser, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver, jf. §§ 17 og 18.

Stk. 2. Det skal være klart,

1) hvilke opgaver der skal udføres,

2) hvordan opgaverne skal udføres,

3) i hvilket omfang udførte opgaver skal dokumenteres,

4) i hvilken form dokumentationen skal ske,

5) hvor dokumentationen skal opbevares,

6) hvor længe dokumentationen skal opbevares,

7) til hvem dokumentationen skal videregives, hvis relevant, og

8) hvor tidligere udarbejdet dokumentation kan findes.

Stk. 3. Arbejdet i den enkelte enhed skal planlægges således, at det sikres, at frister overholdes, hvad enten disse er interne eller følger af den for virksomheden gældende regulering.

Regnskabsmæssig praksis

§ 16. Virksomheden skal have en god regnskabsmæssig praksis. Dette indebærer blandt andet,

1) at virksomheden kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og

2) at virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 6

Forretningsgange

§ 17. Virksomheden skal have forretningsgange eller arbejdsbeskrivelser m.v., der på alle væsentlige aktivitetsområder er godkendt i henhold til § 9, stk. 6. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige.

§ 18. Forretningsgange, arbejdsbeskrivelser, m.v. skal som minimum

1) være lettilgængelige og overskuelige,

2) på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen og anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes,

3) angive, hvilken organisatorisk enhed, personer eller grupper af personer der skal udføre de enkelte opgaver eller delopgaver,

4) hvis relevant angive, inden for hvilke tidsmæssige rammer opgaver skal udføres,

5) indeholde bestemmelser om, hvilke forhold der skal rapporteres om og til hvem,

6) indeholde bestemmelser om, hvorledes medarbejderne skal forholde sig i tilfælde, hvor en medarbejder måtte blive opmærksom på ikke beskrevne risici knyttet til den pågældendes arbejdsopgave eller andre aktivitetsområder,

7) indeholde bestemmelser om, hvordan medarbejdere skal forholde sig i tilfælde af driftsforstyrrelser, herunder systemnedbrud,

8) henvise til relevante manualer eller mere detaljerede arbejdsbeskrivelser,

9) angive, hvem der er ansvarlig for udarbejdelse og opdatering af forretningsgangen,

10) opdateres løbende ved ændring i interne forhold eller i relevant regulering, samt

11) være daterede.

Stk. 2. Forretningsgangene skal i relevant omfang afspejle de af bestyrelsen vedtagne politikker, jf. § 5, stk. 1.

Stk. 3. Uanset opbygningen af forretningsgangene skal det sikres, at alle relevante forhold er beskrevet, og at det fremgår, hvem der har ansvaret for at udføre de enkelte opgaver korrekt. Således kan en forretningsgang vedrøre opgaverne i en enkelt organisatorisk enhed, dække samtlige opgaver i forbindelse med et eller flere produkter eller vedrøre tværgående arbejdsopgaver, der kræver flere organisatoriske enheders medvirken.

Stk. 4. Forretningsgangene kan foreligge elektronisk. Er dette tilfældet, skal det sikres, at medarbejderne har adgang til tilstrækkelige oplysninger og forretningsgange, herunder i form af beredskabsplaner, til at udføre nødvendige opgaver i de tilfælde, hvor de elektroniske forretningsgange ikke måtte være tilgængelige.

Kapitel 7

Risikostyring og Compliance

Risikoansvarlig og risikostyringsfunktion

§ 19. Direktionen skal udpege en risikoansvarlig, der skal være ansvarlig for, at risikostyring i virksomheden sker på betryggende vis, herunder for at skabe et overblik over virksomhedens risici og det samlede risikobillede. Den risikoansvarlige skal referere direkte til direktionen. Afskediges den risikoansvarlige, skal bestyrelsen orienteres om afskedigelsen og begrundelsen for denne. Den risikoansvarlige kan i mindre virksomheder være medlem af direktionen.

Stk. 2. Hvis virksomhedens direktion vurderer, at virksomhedens størrelse, organisation eller karakteren af dens aktiviteter gør det urimeligt eller unødvendigt at udpege en medarbejder uden andre ansvarsområder end risikostyring og dermed etablere en selvstændig risikostyringsfunktion, kan en medarbejder med ansvar for intern kontrol på et eller flere risikoområder udpeges som risikoansvarlig. Direktionen skal overfor bestyrelsen informere om og begrunde fravalget af en selvstændig risikostyringsfunktion og kunne godtgøre, at risikostyringen i virksomheden kan ske på betryggende vis.

Stk. 3. I de i stk. 2 omhandlede tilfælde skal det fremgå tydeligt, for eksempel af funktionsbeskrivelser og forretningsgange, hvilke opgaver der henhører under den risikoansvarliges funktion som risikoansvarlig.

§ 20. Den risikoansvarliges ansvarsområde omfatter virksomhedens risikobehæftede aktiviteter på tværs af risikoområder og organisatoriske enheder samt risici hidrørende fra outsourcede funktioner.

Stk. 2. Den risikoansvarlige skal have tilstrækkelig viden og uafhængighed til at kunne vurdere virksomhedens risici.

Stk. 3. Den risikoansvarlige skal have mulighed for at udtale sig om risikoen i forbindelse med større og usædvanlige påtænkte dispositioner. Hvis den risikosansvarlige fraråder en disposition, skal den risikoansvarlige straks skriftligt informere direktionen herom.

Stk. 4. Hvis direktionen ønsker at gennemføre en disposition på trods af den risikoansvarliges vurdering, skal direktionen straks informere bestyrelsen om den risikoansvarliges udtalelse med henblik på at opnå bestyrelsens stillingtagen, medmindre bestyrelsens beslutning ikke kan afventes uden væsentlig ulempe for virksomheden. Bestyrelsen skal i så fald snarest muligt underrettes om den foretagne disposition og den risikoansvarliges vurdering.

Stk. 5. Den risikoansvarlige skal som minimum have mulighed for at udtale sig i forbindelse med udarbejdelsen af det i § 4, stk. 2, omhandlede grundlag for bestyrelsens beslutninger om virksomhedens risikoprofil m.v.

§ 21. Den risikoansvarlige skal kunne råde over et tilstrækkeligt antal personer med kompetencer og beføjelser, der gør det muligt for den risikoansvarlige at identificere, vurdere, følge op på og forholde sig til virksomhedens risikoprofil, principper for opgørelse af risici, anvendte modeller samt risikoeksponeringen samlet set og på de enkelte risikoområder.

Stk. 2. Hvis virksomheden vælger at have risikostyringen for enkelte risikoområder placeret i organisatoriske enheder udenfor risikostyringsfunktionen, påhviler det direktionen at påse, at virksomheden har procedurer og forretningsgange, m.v., der sikrer, at al relevant information om det pågældende risikoområde videregives til risikostyringsfunktionen, eller i de i § 19, stk. 2, omhandlede tilfælde den risikoansvarlige, til brug for dennes løbende vurdering af og opfølgning på virksomhedens samlede risici. Det skal endvidere være klart afgrænset i funktionsbeskrivelser og forretningsgange mv., hvilke opgaver der varetages af risikostyringsfunktionen, og hvilke der henhører under det enkelte aktivitets- eller risikoområdes risikostyring.

Compliance

§ 22. Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for, at virksomheden bliver pålagt sanktioner, lider tab af omdømme, eller at virksomheden eller virksomhedens kunder lider væsentlige økonomiske tab som følge af manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici). Virksomheden kan ved opfyldelsen af 1. pkt. tage hensyn til arten, omfanget og sammensætningen af virksomhedens aktiviteter.

Stk. 2. Virksomheden skal have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1, 1. pkt., og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.

Stk. 3. I virksomheder, der er værdipapirhandlere, og som ikke er omfattet af § 23, skal compliancefunktionen for den del af virksomheden, der vedrører værdipapirhandel, udføre compliance og yde rådgivning af og bistand til de personer, der har ansvaret for at yde investeringsservice og udføre investeringsaktiviteter, i overensstemmelse med § 4, stk. 1-3 i bekendtgørelse om de organisatoriske krav til og betingelserne for drift af virksomhed som værdipapirhandler.

Stk. 4. For at sikre, at compliancefunktionen kan varetage sine ansvarsområder korrekt og uafhængigt, skal virksomheden sørge for, at følgende betingelser opfyldes:

1) Compliancefunktionen skal have de nødvendige ressourcer, den nødvendige kompetence og sagkundskab samt adgang til alle relevante oplysninger.

2) En medarbejder skal være ansvarlig for compliancefunktionen og rapportering til bestyrelsen og direktionen mindst en gang årligt om de i denne bestemmelse omhandlede forhold.

3) Medarbejdere, der er involveret i compliancefunktionen, må ikke deltage i leveringen af de tjenesteydelser eller udførelsen af de aktiviteter, de kontrollerer.

4) Metoden til at fastsætte vederlag til medarbejdere i compliancefunktionen må ikke bringe deres uafhængighed i fare.

Stk. 5. Bestemmelserne i stk. 4, nr. 3 og 4, finder ikke anvendelse, hvis det kan godtgøres, at disse krav ikke står i rimeligt forhold til arten, omfanget og sammensætningen af virksomhedens aktiviteter.

Stk. 6. I mindre virksomheder eller virksomheder med ukomplicerede aktiviteter kan den samme person være risikoansvarlig, jf. § 19, stk. 1, og ansvarlig for compliancefunktionen. Det skal dog altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, de kontrollerer som led i deres complianceopgaver.

§ 23. Bestemmelserne i §§ 19-22 finder ikke anvendelse på virksomheder, der alene har tilladelse som fondsmæglerselskaber.

Videregivelse af beføjelser

§ 24. Hvis direktionen i overensstemmelse med de fra bestyrelsen modtagne retningslinjer, jf. §§ 6 og 7, videregiver beføjelser, skal dette ske skriftligt eller elektronisk.

Stk. 2. Hvis de af direktionen videregivne beføjelser giver mulighed for det, kan modtageren af beføjelser fra direktionen ligeledes skriftligt eller elektronisk videregive disse beføjelser helt eller delvist.

Stk. 3. Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende, jf. § 10, stk. 2.

Stk. 4. Afgives beføjelser ved anvendelse af elektroniske medier, skal afgiver og modtager, tidspunkt for, omfang af afgivelse samt modtagelse af beføjelser kunne dokumenteres. Proceduren herfor skal fremgå af forretningsgangene.

Stk. 5. Videregivne beføjelser skal som minimum angive

1) arten og størrelsen af den eller de videregivne beføjelser,

2) principperne for opgørelse af udnyttelse af beføjelserne,

3) hvilke produkter eller handlinger beføjelsen omfatter,

4) eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 7, stk.1, nr. 3 og 4, og

5) hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 6. Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må endvidere ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.

Stk. 7. Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller

§ 25. Virksomheden skal foretage kontrol af alle væsentlige risikobehæftede opgaver, herunder af:

1) Overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 7, stk. 1, nr. 3, i de til direktionen givne retningslinjer og grænser i lovgivningen.

2) Overholdelse af videregivne beføjelser.

3) Dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser.

4) Dispositioner, hvor virksomheden har forpligtet sig til at overholde grænser for risici aftalt med modparter, for eksempel i rammeaftaler om handel med finansielle instrumenter.

5) Andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab og fastsættelse af virksomhedens individuelle solvensbehov.

Stk. 2. Kontrol skal udføres af en anden enhed end den, der har udført opgaven, jf. § 12. § 12 finder dog ikke anvendelse på kontroller, der har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende. Sådanne kontroller kan derfor foretages af personer i samme organisatoriske enhed, med mindre dette i det konkrete tilfælde ikke er betryggende.

Stk. 3. Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er forsvarligt, foretages på stikprøvebasis.

Stk. 4. Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange, arbejdsbeskrivelser m.v. bliver overholdt.

Rapportering

§ 26. Der skal løbende ske skriftlig rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning indeholdt i de i medfør af § 6 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2. Rapporteringen skal ske i overskuelig form og give bestyrelse, direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 24, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.

Stk. 3. Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4. Rapportering til bestyrelsen skal ske med de i retningslinjerne angivne intervaller, jf. dog bilag 1, pkt. 25. Endvidere skal overskridelser som minimum rapporteres på hvert bestyrelsesmøde, ligesom rapportering skal ske, hvis de forhold, der ligger til grund for fastsættelsen af de enkelte grænser for risiko, ændres væsentligt for eksempel som følge af markedsuro, ekstraordinære tab, ændrede kapitalforhold m.v.

Stk. 5. Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne, med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 27. Der skal ske rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan for eksempel dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.

Stk. 2. Virksomhedens forretningsgange skal i videst muligt omfang indeholde anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye produkter

§ 28. De af direktionen godkendte retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt, jf. § 9, stk. 8, skal som minimum,

1) afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,

2) angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc udvalg der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

3) indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,

4) indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens, regnskabsmæssig behandling, og

5) indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteyelsen på betryggende vis.

6) indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller kunderne, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 5 vedtagne politikker eller de i medfør af §§ 6 og 7 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.

§ 29. Den risikoansvarlige skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye produkter. Den risikoansvarlige skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2. Den risikoansvarlige skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den risikoansvarlige skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Kapitel 8

Straffebestemmelser

§ 30. Overtrædelse af §§ 2-8, § 9, stk. 3 og 4, stk. 6, 1. pkt. og stk. 7 og 8, § 10, stk. 1 og 2, og stk. 3, 2. pkt., §§ 12-16, § 17, 1. pkt., § 18, stk. 1 og 2, stk. 3, 1. pkt., og stk. 4, 2. pkt., § 19, stk. 1, 1-3. pkt., stk. 2, 2. pkt., og stk. 3, § 20, stk. 2-5, § 21, § 22, stk. 1, 1. pkt., stk. 2-4, og stk. 6, 2. pkt., § 24, stk. 1 og 3-7, § 25, stk. 1, stk. 2, 1. pkt., stk. 3, 1. og 2. pkt., og stk. 4, § 26, § 27, stk. 1, 1. pkt., og stk. 2, § 28 og § 29 straffes med bøde.

Stk. 2. Der kan pålægges selskaber mv. (juridiske personer) strafansvar efter reglerne i straffelovens kapitel 5.

Kapitel 9

Ikrafttrædelse og overgangsbestemmelser

§ 31. Bekendtgørelsen træder i kraft 1. januar 2011, jf. dog stk. 3.

Stk. 2. Samtidig ophæves vejledning nr. 10114 af 22. december 2006 for pengeinstitutter i henhold til § 71, stk. 1, nr. 1-8, i lov om finansiel virksomhed, vejledning nr. 10118 af 22. december 2006 for realkreditinstitutter i henhold til § 71, stk. 1, nr. 1-8, i lov om finansiel virksomhed, vejledning nr. 10117 af 22. december 2006 for fondsmæglerselskaber i henhold til § 71, stk. 1, nr. 1-8, i lov om finansiel virksomhed og vejledning nr. 10115 af 22. december 2006 for investeringsforvaltningsselskaber i henhold til § 71, stk. 1, nr. 1-8, i lov om finansiel virksomhed.

Stk. 3. § 5, stk. 1, nr. 3, §§ 19-22 og bilag 3 træder i kraft 1. juli 2011. Finanstilsynet kan give virksomheder omfattet af bekendtgørelsen frist indtil 1. juli 2011 til at fremlægge dokumentation for, at kravene i bekendtgørelsen er opfyldt.

Finanstilsynet, den 1. december 2010

Ulrik Nødgaard
Direktør

/ Stig Nielsen
Kontorchef


Bilag 1

Kreditområdet

Bestyrelsens opgaver og ansvar

Kreditpolitikken

1) Bestyrelsen skal efter et princip om forsigtighed vedtage en kreditpolitik, jf. § 5, stk. 1, nr. 1. Kreditpolitikken skal, afhængigt af den finansielle virksomheds type og størrelse samt kompleksiteten af virksomhedens kreditrisikobehæftede aktiviteter, indeholde stillingtagen til, hvilken kreditrisikoprofil bestyrelsen ønsker, at virksomheden skal have.

2) Kreditpolitikken skal indeholde principper for størrelsen, typen og omfanget af kreditrisici, herunder principper for:

a) Kundetyper (f.eks. erhvervskunder, privatkunder, formuende kunder, helkunder m.fl.).

b) De typer af produkter, der ønskes udbudt af virksomheden, herunder om ønsker til rente- og afviklingsprofil.

c) I hvilket omfang og under hvilke forudsætninger virksomheden ønsker store engagementer, der f.eks. overstiger 5 eller 10 % af basiskapitalen.

d) Omfanget af koncentrationsrisici indenfor erhverv og privat, herunder maksimale eksponeringer indenfor forskellige brancher og andre ensartede typer af risici, hvor virksomhedens risikokoncentration er væsentlig.

e) Geografisk eksponering, herunder virksomhedens maksimale eksponering inden for udvalgte geografiske områder.

f) Virksomhedens maksimale eksponering baseret på udvalgte typer af sikkerheder.

g) Den finansielle virksomheds indtjening i forhold til den valgte risikoprofil, herunder prisfastsættelse af produkter m.v.

h) Eventuel leasingvirksomhed, herunder hvilke hovedgrupper af aktiver, virksomheden ønsker at udlease, løbetider og de maksimale restværdier.

i) Eventuel eksponering indenfor securitiseringsaktiviteter.

j) Eventuel koncernintern kreditgivning, hvis virksomheden indgår i en koncern.

3) Kreditpolitikken skal endvidere indeholde principper for håndtering og styring af kreditrisici, herunder principper for:

a) Beslutningsgrundlag og risikoanalyser inden en kreditfacilitet bevilges.

b) Kundens økonomiske forhold, herunder indtjeningsevne og kapitalforhold.

c) Størrelsen af låntagers eventuelle egenfinansiering.

d) Sikkerhedsstillelse, herunder om værdiansættelse og sikkerhedernes omsættelighed.

e) Konsolidering af engagementer med indbyrdes forbundne kunder.

f) Lånefinansierede investeringsprodukter, herunder om overdækning, stop-loss klausul, værdipapirernes omsættelighed, vilkår og risikospredning.

g) Personalelån, herunder om sikkerhedsstillelse, såfremt disse fraviger de generelle kreditpolitiske principper.

h) Klassifikation af virksomhedens kunder, herunder eventuelle modelanvendelser til dette formål.

i) Håndtering af engagementer med særlig høj risiko samt nødlidende engagementer.

j) Identifikation af engagementer med svaghedstegn, herunder fastlæggelse af strategi for det videre forløb.

k) Medarbejdernes habilitet.

l) Det interne kontrolsystem på kreditområdet.

4) Bestyrelsen skal i forbindelse med gennemgangen, jf. § 6, stk. 3, nr. 3, gennemgå virksomhedens væsentligste engagementer. Bestyrelsen skal ved gennemgangen blandt andet vurdere risikoen og den lagte strategi for det enkelte engagement, herunder tage stilling til behovet for opfølgning. Ved gennemgangen skal bestyrelsen tillige vurdere engagementets regnskabsmæssige behandling.

Bestyrelsens retningslinjer til direktionen på kreditområdet

5) Retningslinjerne til direktionen på kreditområdet i medfør af §§ 6-7 skal udover de generelle krav i §§ 6-7 udmønte kreditpolitikken i konkrete retningslinjer til direktionen og skal indeholde bestemmelser om:

a) Størrelsen af de engagementer, som direktionen kan bevilge uden bestyrelsens deltagelse.

b) Hvorledes engagementet opgøres i henhold til retningslinjernes grænser.

c) Direktionens beføjelser til at bevilge engagementer i presserende tilfælde (hastesager).

d) Beføjelser til at bevilge akkord/moratorium, 0-rente, afskrivninger, frigivelse af sikkerheder og fastsættelse af nedskrivninger på udlån og hensættelser på garantier.

e) Grænsen for engagementer, som direktionen kan bevilge, men som forelægges bestyrelsen til efterretning.

Direktionens opgaver og ansvar på kreditområdet

6) Redegørelsen, som direktionen skal udarbejde i medfør af § 4, stk. 2, skal indeholde en redegørelse for, hvorledes kreditpolitikken er udmøntet i de kreditrisici, som virksomheden har påtaget sig. I redegørelsen skal direktionen tillige foretage en begrundet vurdering af, om virksomhedens kreditrisici opgøres fyldestgørende og forsigtigt, herunder om anvendte metoder til klassifikation er i stand til at rangordne kunderne korrekt. Redegørelsen skal indeholde en gennemgang af de foretagne interne kontroller samt resultatet heraf. Dertil kommer resultatet af den årlige gennemgang af engagementer, som ikke er omfattet af bestyrelsens gennemgang i henhold til § 6, stk. 3, nr. 3.

7) Direktionen skal sikre, at der ved introduktion af nye produkter med kreditrisici og ved væsentlige ændringer i bestående produkter, der øger virksomhedens kreditrisici, jf. § 28, sker en betryggende indførelse heraf i virksomhedens organisation, herunder i virksomhedens forretningsgange, risikostyring, rapportering og interne kontroller.

8) Direktionen i virksomheder, som foranstalter revolverende securitiseringstransaktioner, der er underlagt en bestemmelse om indfrielse før tid, skal sikre, at de relevante organisatoriske enheder udarbejder likviditetsplaner med henblik på at tage højde for virkningerne af både indfrielse ved udløb og indfrielse før tid.

Organisation og ansvarsfordeling på kreditområdet

Funktionsadskillelse

9) På kreditområdet skal der, jf. §§ 12-14, være etableret funktionsadskillelse mellem på den ene side personer, grupper af personer og organisatoriske enheder med ansvar for bevilling og etablering af kreditfaciliteter og på den anden side personer, grupper af personer og organisatoriske enheder med ansvar for kontrol og rapportering.

Forretningsgange på kreditområdet

Forretningsgange for bevilling af engagementer

10) Et pengeinstitut skal have forretningsgange for bevilling af engagementer, der for pengeinstituttets eventuelle udenlandske aktiviteter skal tage højde for de lokale markedsforhold, og som ud over de generelle krav i §§ 17-18 som minimum skal indeholde principper for:

a) Beslutningsgrundlaget ved bevillinger vedrørende:

Vurdering af låntagers kreditværdighed, herunder evne og vilje til at overholde indgåede forpligtelser ved en eventuel forværring af låntagers økonomiske forhold.

Oplysninger om låntagers nuværende og fremtidige indtjenings- og kapitalforhold.

For erhvervskunder tillige oplysninger om relevante koncernsammenhænge, herunder økonomiske oplysninger om koncerner og tilknyttede selskaber.

En samlet risikovurdering af enhver form for projekter, f.eks. risikoen ved ledelse, styring, finansiering, udførelse og færdiggørelse.

For privatkunder tillige oplysninger, der indgår i beregningen af låntagers reelle formue, gældsfaktor/gearing samt rådighedsbeløb opgjort under forudsætning af traditionel fast forrentet finansiering.

For privatkunder, der køber fast ejendom, tillige oplysninger om kundens økonomi efter købet.

Beskrivelse og vurdering af stillede sikkerheder.

Oplysninger om kautionisters nuværende og fremtidige indtjenings- og kapitalforhold.

Oplysninger om hovedaktionærers/ejeres nuværende og fremtidige indtjenings- og kapitalforhold.

Oplysninger om, hvordan engagementet skal tilbagebetales og forrentes.

Analyse af låntagers muligheder for at overholde en hurtigere tilbagebetaling og en højere rente.

Andre oplysninger, der er relevante for virksomhedens vurdering af engagementets risiko og afvikling.

Virksomhedens risikoanalyse, herunder en beregning af engagementets tabsrisiko og et skøn over risikoen for, at engagementet bliver nødlidende.

Virksomhedens samlede vurdering samt stillingtagen til, om den forventede indtjening står i et forsvarligt forhold til den risiko, virksomheden påtager sig ved bevillingen.

b) Efterbevillinger, herunder at antallet af efterbevillinger skal begrænses mest muligt.

c) Dokumentation af enhver bevilling af kreditfaciliteter i form af et beslutningsgrundlag, jf. litra a.

d) I hvilke tilfælde virksomheden stiller krav om sikkerhedsstillelse, herunder de typer af sikkerhedsstillelser, som virksomheden kræver, f.eks. krav om pantsikkerhed ved finansiering af aktiver og kaution af hovedaktionær.

e) Hvordan sikkerheder skal værdiansættes, herunder at disse skal værdiansættes forsigtigt i lyset af de gældende markedsforhold.

f) Hvorledes stop-loss klausuler fastsættes ved bevilling af engagementer, der indeholder sikkerhedsstillelse i værdipapirer eller positioner i afledte finansielle instrumenter.

g) Løbende revurdering af principperne for værdiansættelse af sikkerhederne.

h) Byggelånsfinansiering, herunder krav til et kvalificeret byggetilsyn, og hvorledes betalinger af byggerater skal ske i takt med byggeriets færdiggørelse.

i) Finansiering af ejendomsudviklingsprojekter, herunder om egenfinansiering og salg eller udlejning af en vis procentdel, inden projektet igangsættes.

j) I hvilket omfang anvendelsen af rating eller kreditscoring kan reducere kravene til det øvrige beslutningsgrundlag i de tilfælde, hvor virksomheden anvender ratings eller kreditscoremodeller i forbindelse med kreditvurderingen af låntager.

k) Hvorledes engagementerne opgøres, herunder særligt:

Hvorledes engagementerne opgøres efter § 145 i lov om finansiel virksomhed og bekendtgørelse om store engagementer.

Hvorledes engagementer med markedsrisici indgår i engagementet.

Hvorledes modpartsrisiko fra afledte finansielle instrumenter indgår i engagementet.

11) Et realkreditinstitut skal have forretningsgange for bevilling af engagementer, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde bestemmelser om:

a) At der ved enhver bevilling af kreditfaciliteter skal være en dokumentation i form af et beslutningsgrundlag.

b) At den faste ejendom er værdiansat i overensstemmelse med lovregler herom.

c) Efterbevillinger, herunder at antallet af efterbevillinger skal begrænses mest muligt.

d) Anvendelse af rating og kreditscoring, hvor dette er relevant.

e) Hvorledes engagementerne opgøres, herunder særligt:

Hvorledes engagementerne opgøres efter § 145 i lov om finansiel virksomhed og bekendtgørelse om store engagementer.

Hvorledes engagementer med markedsrisici indgår i engagementet.

Hvorledes modpartsrisiko fra afledte finansielle instrumenter indgår i engagementet.

Forretningsgange for løbende overvågning af engagementer og kreditrisici i øvrigt

12) Et pengeinstitut skal have forretningsgange for den løbende overvågning af engagementer, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde principper for:

a) Behandling af overtræk og restancer på engagementer.

b) Årlig prolongation af virksomhedens større engagementer.

c) Opfølgning på enkeltengagementer, herunder gennemgang af regnskabsmateriale, årsopgørelser og budgetter m.v. fra låntagere og kautionister m.fl.

d) Løbende fyldestgørende, opdateret og forsigtig værdiansættelse af sikkerheder.

e) Overvågning af kunders positioner i værdipapirer og afledte finansielle instrumenter, herunder overholdelse af stop-loss klausuler.

f) Overvågning af byggelånsfinansiering, herunder om et kvalificeret byggetilsyn og betalinger af byggerater i takt med byggeriets færdiggørelse.

g) Overvågning af ejendomsudviklingsprojekter.

h) Den løbende værdiansættelse af belånte pantebreve, herunder reguleringer for misligholdte pantebreve, overvågning af den fastsatte belåningsprocent, som er gældende for engagementet, samt pantebrevenes spredning, prioritetsstilling, udformning, øvrige indhold, omsættelighed og om den løbende administration af de belånte pantebreve.

i) Korrekt løbende engagementsklassifikation, herunder rettidig og korrekt identifikation af virksomhedens svage engagementer.

j) Identifikation og håndtering af engagementer med forhøjede risici, der fordrer særlige krav til systematisk og rettidig opfølgning.

k) Identifikation og håndtering af svage og nødlidende engagementer samt engagementer med nedskrivninger og hensættelser, der fordrer særlige krav til systematisk og rettidig opfølgning.

l) Identifikation og håndtering af store engagementer.

m) Opfølgning på virksomhedens koncentrationer af risici, herunder koncentrationer indenfor specifikke brancher, koncentrationer indenfor specifikke typer af sikkerheder og koncentrationer indenfor store engagementer.

13) Et pengeinstitut, der har tilladelse til at udstede særligt dækkede obligationer, skal tillige have forretningsgange med bestemmelser om løbende overvågning af LTV og om beregning og stillelse af supplerende sikkerhed i overensstemmelse med lovgivningen.

14) Et realkreditinstitut skal have forretningsgange for den løbende overvågning af engagementer, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde bestemmelser om:

a) Behandling af restancer på engagementer.

b) Hvorledes der skal ske opfølgning på enkeltengagementer, herunder gennemgang af regnskabsmateriale, årsopgørelser og budgetter m.v. fra låntagere og kautionister m.fl.

c) Løbende overvågning af LTV.

d) Beregning og stillelse af supplerende sikkerhed i overensstemmelse med lovgivningen.

e) Korrekt løbende engagementsklassifikation/rating, herunder bestemmelser der rettidigt og korrekt identificerer virksomhedens svage engagementer.

f) Identifikation og håndtering af engagementer med forhøjede risici, der fordrer særlige krav til systematisk og rettidig opfølgning.

g) Identifikation og håndtering af svage og nødlidende engagementer samt engagementer med nedskrivninger og hensættelser, der fordrer særlige krav til systematisk og rettidig opfølgning.

h) Identifikation og håndtering af store engagementer.

i) Opfølgning på virksomhedens koncentrationer af risici, herunder koncentrationer indenfor specifikke brancher, koncentrationer indenfor specifikke typer af belånte ejendomme og koncentrationer indenfor store engagementer.

15) En virksomhed skal have forretningsgange, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde:

a) Beskrivelser af virksomhedens interne kontrolsystem på kreditområdet.

b) Hvilke interne kontroller der skal foretages, herunder omfanget og frekvensen af de interne kontroller.

c) Hvilken rapportering der skal foretages for enkeltengagementer og på porteføljeniveau, herunder omfanget og frekvensen af rapporteringen for alle led i virksomheden.

d) Hvorledes den årlige gennemgang af engagementer, som ikke er omfattet af bestyrelsens gennemgang, jf. § 6, stk. 3, nr. 3, skal foregå, herunder på hvilke niveauer i organisationen gennemgangen skal foregå, og hvorledes rapportering af resultatet heraf skal ske.

Forretningsgange for risikoklassifikation af kunderne

16) En virksomhed skal have forretningsgange for risikoklassifikation af virksomhedens kunder ved anvendelse af modeller eller på anden måde. Forretningsgangene for porteføljer, der ikke er omfattet af en IRB-tilladelse fra Finanstilsynet, skal ud over de generelle krav i §§ 17-18 som minimum indeholde:

a) Bestemmelser om de karakteristika, der kendetegner en kunde med høj risiko, og hvilke karakteristika der kendetegner en kunde med normal henholdsvis lav risiko, for de virksomheder, der ikke anvender modeller til klassifikation af kunderne

b) Præcise beskrivelser af såvel model som vedtagne regelsæt, herunder hvilken skala der beskriver kundernes klassifikation for de virksomheder, der anvender modeller til klassifikation af kunderne.

c) Bestemmelser, der sikrer, at virksomhedens klassifikation af kunderne ikke giver et for positivt billede af risikoen.

d) Bestemmelser, der sikrer, at virksomhedens løbende kontrol og regelmæssige tests af klassifikationen er grundig og veldokumenteret.

Særligt om forretningsgange i forbindelse med belåning af fast ejendom

17) Et pengeinstitut skal have forretningsgange for belåning af fast ejendom, herunder belåning af pantebreve, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde principper for:

a) Forsigtig værdiansættelse af pant i fast ejendom, herunder løbende revurdering af værdiansættelsen set i lyset af de gældende markedsforhold.

b) Hvorledes den forsigtige værdiansættelse af pant i fast ejendom opgøres, og hvilke aktuelle oplysninger der som minimum skal være til stede i virksomheden og indgå i vurderingen, herunder angående:

Ejendommens adresse, postnummer samt ejendomskategori, herunder en kort beskrivelse af ejendommen (evt. BBR meddelelse).

Bygningsarealer (kontor, lager, butik m.v.).

Den løbende drift på udlejningsejendomme, herunder bruttoleje, nettoleje, afkastkrav, risikoen for lejenedsættelser, risikoen for yderligere tomgang, aktuelle og forventede fremtidige driftsomkostninger.

Omkostninger til nødvendige investeringer.

Seneste købsdato og handelspris.

Aktuel og reel handelspris, såfremt ejendommen skal sælges indenfor 6 måneder.

Skønnede salgsomkostninger.

Foranstående prioriteter i form af aktuel restgæld og lånevilkår.

c) Hvilke typer af omkostninger, der skal fradrages ved realisation af sikkerheder i fast ejendom.

d) Løbende overvågning af belåningsprocenten ved belåning af pantebreve i fast ejendom, krav til pantebrevenes spredning, prioritetsstilling, udformning, øvrige indhold og omsættelighed samt bestemmelser om en betryggende løbende administration af de belånte pantebreve.

Særligt om forretningsgange om securitiseringsaktiviteter

18) En virksomhed, der har securitiseringsaktiviteter, skal have forretningsgange herfor, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde:

a) Bestemmelser om, hvorledes virksomheden vurderer og reducerer risici fra securitiseringstransaktioner, hvis disse foranstaltes eller finansieres af den finansielle virksomhed, herunder omdømmemæssige risici, der kan opstå i forbindelse med komplekse strukturer eller produkter fra securitiseringstransaktioner, hvor den finansielle virksomhed er investor.

b) Bestemmelser, der sikrer, at risikovurderingen og de ledelsesmæssige beslutninger giver et retvisende billede af transaktionens økonomiske indhold.

c) Bestemmelser, der sikrer, at virksomheder, der foranstalter revolverende securitiseringstransaktioner, der er underlagt en bestemmelse om indfrielse før tid, udarbejder likviditetsplaner med henblik på at tage højde for virkningerne af både indfrielse ved udløb og indfrielse før tid.

Risikostyring på kreditområdet

Risikoansvarlig og risikostyringsfunktion

19) Den risikoansvarlige skal udover de generelle krav i §§ 19-21 sikre, at der i virksomheden sker en forsvarlig styring af kreditrisiciene, herunder sikre, at:

a) Bevilling af engagementer foregår på betryggende vis.

b) Der løbende sker en vurdering af, om der i virksomheden er tilstrækkelige ressourcer og viden til en betryggende opfølgning på og håndtering af virksomhedens kreditrisici.

c) Der løbende sker en korrekt opgørelse af virksomhedens store engagementer.

d) Der sker en rettidig identifikation af svage og nødlidende engagementer, og at der udarbejdes handlingsplaner for disse engagementer.

e) Der sker en rettidig og korrekt klassifikation af virksomhedens engagementer, herunder en test minimum en gang om året af, om virksomheden er i stand til at rangordne kunderne korrekt.

f) Der løbende foretages en forsvarlig opfølgning på enkeltengagementer, herunder særligt (hvor relevant), at der:

Sker en rettidig behandling af overtræk og restancer.

Sker en rettidig opfølgning på virksomhedens investeringsengagementer.

Løbende sker en vurdering af engagementets tabsrisiko og sandsynligheden for at engagementet (eller porteføljer af engagementer) bliver nødlidende.

Løbende foretages en opfølgning på værdiansættelsen af de stillede sikkerheder.

Løbende foretages en overvågning af ejendomsudviklingsprojekter og byggelånsfinansiering.

Løbende foretages en overvågning af udviklingen i belånte pantebreve.

g) Der løbende foretages en vurdering af, om prisfastsættelsen af kreditrisici er forsvarlig i forhold til de påtagne kreditrisici.

h) Der løbende foretages en vurdering af og stillingtagen til virksomhedens koncentrationer af risici.

20) Den risikoansvarlige skal endvidere udover de generelle krav i §§ 19-21 sikre:

a) At der i virksomheden er iværksat de fornødne kontrolprocedurer på kreditområdet, jf. § 25 og nr. 22-24 i dette bilag.

b) At den rapportering, der udarbejdes i virksomheden, giver et retvisende og betryggende billede af virksomhedens kreditrisici og aktiviteter på kreditområdet.

c) At der i virksomheden sker en årlig gennemgang af engagementer, som ikke er omfattet af bestyrelsens gennemgang i henhold til § 6, stk. 3, nr. 3.

Videregivelse af bevillingsbeføjelser

21) Videregivne kreditbeføjelser skal udover de generelle krav i § 24 som minimum indeholde:

a) Konkrete grænser for, hvor store engagementer og hvilke produkttyper modtageren af beføjelsen må bevilge.

b) Hvorledes engagementet opgøres i henhold til beføjelsens grænser.

c) Hvilke kundekategorier, der er omfattet af bevillingsbeføjelsen.

d) Konkrete grænser for beføjelser til frigivelse af sikkerheder, bevilling af akkord/moratorium, 0-rente, afskrivninger, fastsættelse af nedskrivninger på udlån og hensættelser på garantier.

e) Regler for bevilling af engagementer med svaghedstegn, herunder udlån med nedskrivning og garantier med hensættelse.

f) Konkrete grænser for, hvilke af de bevilgede engagementer der skal vidererapporteres til den, der afgiver beføjelsen.

Kontroller på kreditområdet

22) Virksomheden skal, jf. § 25, etablere uafhængige interne kontroller af alle væsentlige aktiviteter på kreditområdet. Der skal som minimum foretages regelmæssig intern kontrol af, at:

a) Kreditpolitikken efterleves af virksomhedens medarbejdere.

b) Bevillingsbeføjelserne overholdes.

c) Bevillingsgrundlaget, jf. nr. 10-11, er til stede ved bevilling af kreditrisici.

d) Engagementerne etableres korrekt, herunder med korrekte dokumenter, iagttagelse af sikringsakter m.v.

e) Engagementerne opgøres korrekt i medfør af § 145 i lov om finansiel virksomhed.

f) Der sker den fornødne opfølgning på overtræk og restancer.

g) Der sker den fornødne identifikation og opfølgning på svage og nødlidende engagementer.

h) Risikoklassifikationen af kunderne er opdateret.

i) Der sker en korrekt regnskabsmæssig behandling af engagementerne.

j) Rapporteringen i virksomheden er korrekt.

k) Øvrige forretningsgange på kreditområdet overholdes af virksomhedens medarbejdere.

23) Virksomhedens interne kontroller på kreditområdet kan ske ved stikprøvevise gennemgange, hvis en sådan gennemgang giver tilstrækkelig sikkerhed for, at aktiviteterne på de kontrollerede områder sker på betryggende vis.

24) Virksomheden skal dokumentere de foretagne interne kontroller.

Rapportering på kreditområdet

25) Virksomhedens bestyrelse skal minimum hvert kvartal modtage rapportering, som bedst muligt belyser virksomhedens efterlevelse af kreditpolitikker, jf. § 5. Rapporteringen, der opgøres på portefølje- og delporteføljeniveau, skal som minimum indeholde oplysninger om:

a) Virksomhedens største engagementer.

b) Virksomhedens engagementer med forhøjede eller særlige risici.

c) Virksomhedens engagementer med:

Overtræk.

Ydelsesrestancer.

Objektiv indikation for værdiforringelse (OIV).

Nedskrivninger på udlån.

Hensættelser på garantier.

Tabsafskrivninger.

d) Engagementernes fordeling på

Størrelse.

Brancher.

Lånetyper.

Risikogrupper (klassifikation/rating).

Geografisk område

e) Analyser/eller stress tests samt vurdering af porteføljernes risikomæssige udvikling.

Regnskabsmæssig praksis

26) En virksomhed, der i medfør af regnskabsbestemmelser er forpligtet til at indregne beløb under regnskabsposten »Nedskrivninger på udlån og tilgodehavender m.v.« i virksomhedens års- og/eller delårsrapport, skal som minimum løbende kunne dokumentere nedenstående. Kravene gælder som udgangspunkt for udlån, der måles til amortiseret kostpris, men finder med de fornødne justeringer tilsvarende anvendelse for udlån, der måles til dagsværdi.

a) For individuelt vurderede udlån:

Oversigt over alle udlån af betydelig størrelse, som ud fra dette kriterium er individuelt vurderet med henblik på, om der er objektiv indikation for værdiforringelse.

Oversigt over eventuelle udlån, som virksomheden vurderer ikke kan indplaceres i en gruppe, og som ud fra dette kriterium er individuelt vurderet med henblik på, om der er objektiv indikation for værdiforringelse.

Oversigt over øvrige udlån, som er individuelt vurderet.

Oversigt over alle udlån, hvor virksomheden vurderer, at der er indtrådt individuel objektiv indikation for værdiforringelse. For hvert af disse udlån skal der foreligge dokumentation for, at der er indtrådt en indikation.

Oversigt over alle svage udlån, hvor virksomheden vurderer, at der ikke er indtrådt objektiv indikation for værdiforringelse. For hvert af disse udlån skal der foreligge dokumentation for, at der ikke er indtrådt en indikation.

For hvert af de udlån, hvor virksomheden vurderer, at der er indtrådt objektiv indikation for værdiforringelse, skal der foreligge beregning af nutidsværdien af de forventede fremtidige betalinger fra udlånet samt beregning af et eventuelt nedskrivningsbehov.

For hvert udlån, hvor en nedskrivning er delvist tilbageført i forhold til sidste regnskabsaflæggelse, skal der foreligge beregning af nutidsværdien af de forventede fremtidige betalingsstrømme, som viser, at der ikke længere er det samme nedskrivningsbehov.

For hvert udlån, hvor en nedskrivning er helt tilbageført i forhold til sidste regnskabsaflæggelse, skal virksomheden redegøre for, at den pågældende indikation ikke længere er til stede, eller at der i øvrigt er indtrådt en eller flere begivenheder, som har en positiv indvirkning på de forventede fremtidige betalingsstrømme.

b) For gruppevist vurderede udlån:

Dokumentation for, at bestyrelsen og direktionen har forholdt sig til de resultater, de anvendte modeller for gruppevise nedskrivninger har beregnet. Herunder dokumentation for at bestyrelsen og direktionen har korrigeret i forhold til de modelbaserede gruppevise nedskrivninger, hvis det vurderes, at modellerne ikke eller ikke fuldt ud tager højde for alle relevante forhold i overensstemmelse med regnskabsreglerne.

Dokumentation for, at gruppeinddelingen af udlån er foretaget således, at de enkelte grupper har ensartede karakteristika med hensyn til kreditrisici.

Skøn over, hvilke betalingsstrømme der forventes fra de enkelte grupper. De foretagne skøn og grundlaget herfor skal kunne dokumenteres.

Beskrivelse af de forhold, som virksomhedens modeller for gruppevis nedskrivning bygger på, herunder sammenhængene mellem ændringer i specifikke observerbare data og nedskrivningsbehov.

Oversigt over grupper, hvorpå der er foretaget nedskrivning. For hver af disse grupper skal der foreligge dokumentation for, at en porteføljemæssig indikation for værdiforringelse er indtrådt, samt en nedskrivningsberegning.

For hver gruppe af udlån, hvor en gruppevis nedskrivning er delvist tilbageført i forhold til sidste regnskabsaflæggelse, skal der foreligge beregninger af nutidsværdien af gruppens fremtidige forventede betalingsstrømme, som viser, at der ikke længere er det samme nedskrivningsbehov.

For hver gruppe af udlån, hvor en gruppevis nedskrivning er helt tilbageført i forhold til sidste regnskabsaflæggelse, skal virksomheden dokumentere enten, at den pågældende indikation ikke længere er til stede, eller at der i øvrigt er indtrådt en eller flere begivenheder, som har en positiv virkning på gruppens forventede fremtidige betalingsstrømme.

Dokumentation for, at der er foretaget »back test« af de opstillede modeller og de beregnede gruppevise nedskrivninger samt resultaterne af de gennemførte tests.

c) For garantiforpligtelser:

Oversigt over alle garantiforpligtelser med angivelse af, hvilke garantier der er indregnet som forpligtelser, og hvilke der ikke er.

For alle indregnede garantier skal det dokumenteres, at det er sandsynligt, at garantien bliver effektiv. Ved gruppevis vurdering af garantier skal virksomheden dokumentere de foretagne skøn over tab ved anvendelse af relevant erfaringsmateriale. Ved individuel vurdering skal virksomheden redegøre for grundlaget for det konkrete kvalificerede skøn.

Kravene, som fremgår af de to ovenstående underpunkter til pkt. c, gælder ikke for de garantier, som alene er indregnet på baggrund af kravet om indregning af minimumsforpligtelsen. For disse garantier skal virksomheden kunne dokumentere, at der er talmæssig sammenhæng mellem de modtagne præmier, provisioner m.v. og de indregnede forpligtelser.

For tilbageførte garantiforpligtelser skal virksomheden kunne dokumentere, at det ikke længere er sandsynligt, at garantien bliver effektiv. Dette gælder dog ikke for de forpligtelser, som oprindeligt blev indregnet på baggrund af kravet om indregning af minimumsforpligtelsen. Ved tilbageførsel (afskrivning) på disse garantier skal virksomheden kunne dokumentere, at der er talmæssig sammenhæng mellem periodens længde og størrelsen af tilbageførslen.

27) En virksomheds vurdering af, om der i en års- eller delårsrapport skal indregnes en nedskrivning/værdiregulering på et udlån til en låntager, skal bygge på de senest tilgængelige informationer om den pågældende låntagers økonomiske forhold på balancetidspunktet. Dette indebærer, at virksomheden, hvis det er praktisk muligt, skal indhente opdateret revideret materiale om låntager (f.eks. en årsrapport). Desuden skal virksomheden på anden vis sørge for at opdatere sin viden om låntageren til brug for vurderingen pr. balancedagen, herunder i form af budgetopfølgning, perioderegnskaber, kontoforhold, referater fra møder eller telefonsamtaler.


Bilag 2

Markedsrisiko

Anvendelsesområder og definitioner

1) Ved markedsrisici forstås rente-, valuta-, aktie-, og råvarerisici, herunder relaterede risici, der er forbundet med afledte finansielle instrumenter, f.eks. optionsrisici. Renterisici omfatter blandt andet renterisici på alle balance- og ikke balanceførte poster, herunder også på fastforrentede ind- og udlån og fastforrentet funding. Renterisici omfatter endvidere rentestrukturrisici.

Bestyrelsens opgaver og ansvar

Markedsrisikopolitikken

2) Bestyrelsen skal vedtage en politik for de markedsrisici, virksomheden må påtage sig.

3) Politikken på markedsrisikoområdet skal udover de i § 5, stk. 1, indeholdte generelle krav indeholde relevante overordnede anvisninger om følgende forhold:

a) hvilke risici, virksomheden henregner til markedsrisikoområdet,

b) det ønskede eller acceptable risikoniveau samlet og for de enkelte typer af markedsrisiko, eksempelvis ved angivelse af, om risikoen kan være lav, mellem eller høj,

c) under hvilke omstændigheder, for eksempel uro på de finansielle markeder, direktionen skal sikre sig bestyrelsens stillingtagen til, om den finansielle virksomhed skal fastholde de i markedsrisikopolitikken valgte risikoniveauer, samt proceduren herfor,

d) eventuelle begrænsninger med hensyn til hvilke typer af markedsrisici de enkelte forretningsområder må påtage sig og i hvilket omfang,

e) principper for den organisatoriske ansvarsfordeling på markedsrisikoområdet, herunder for risikotagning, risikostyring, kontrol og rapportering,

f) eventuelle særlige typer af risici, som den finansielle virksomhed specifikt ikke ønsker at påtage sig, eksempelvis råvarerisiko, risiko fra spændforretninger eller risiko hidrørende fra visse strukturerede produkter,

g) overordnede krav til medarbejderkompetencer på markedsrisikoområdet samt

h) procedurer for orientering til bestyrelsen om markedsrisikopolitikken, jf. § 5, stk. 2, sidste pkt.

Bestyrelsens retningslinjer til direktionen på markedsrisikoområdet

4) På markedsrisikoområdet skal retningslinjerne opfylde de i § 7 fastsatte generelle krav og i det omfang det er relevant for den finansielle virksomhed, indeholde

a) grænser for den finansielle virksomheds samlede rente-, valuta- og aktie- og råvarerisici,

b) hvorledes de enkelte risici opgøres, og hvorledes de enkelte instrumenter medregnes ved opgørelsen,

c) grænser for særlige risici, der knytter sig til komplekse eller usædvanlige produkter, herunder risici ved strukturerede produkter, eller til virksomhedens aktiviteter på markedsrisikoområdet i øvrigt som for eksempel optionsrisici, rentekurverisici, spændrisici, m.v., medmindre omfanget af disse risici er af uvæsentlig størrelse,

d) angivelse af, til hvilket formål værdipapirer, valutaer og afledte finansielle instrumenter må handles, f.eks. risikoafdækning, aktiv risikotagning eller handel for kunder,

e) hvilke valutaer eller grupper af valutaer, der må handles eller tages positioner i, og til hvilke formål der må handles henholdsvis tages positioner,

f) hvilke typer af afledte finansielle instrumenter, der må handles eller tages positioner i,

g) hvilke øvrige typer af produkter, herunder strukturerede produkter, der må handles eller tages positioner i, og

h) bestemmelser om, på hvilke markeder eller handelspladser samt i hvilke lande eller grupper af lande der må handles.

5) For realkreditinstitutter og pengeinstitutter med tilladelse til at udstede SDO’er skal politikken og retningslinjerne på markedsrisikoområdet udformes under iagttagelse af de relevante bestemmelser i bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

Direktionens opgaver og ansvar

Organisation og ansvarsfordeling på markedsrisikoområdet

6) Direktionen skal sikre sig, at der er fornøden funktionsadskillelse, jf. § 12. Funktionsadskillelse på markedsrisikoområdet indebærer, at medarbejdere, der er involveret i indgåelse af handler og risikotagning, ikke må

a) medvirke ved handlernes afvikling,

b) medvirke ved udførelsen af interne kontroller,

c) have ansvar for værdiansættelse og opgørelse af resultater og risici samt

d) have ansvar for udarbejdelse af rapportering.

Regnskabsmæssig praksis

7) Såfremt virksomheden selv beregner risici og gevinst/tab ved samt værdier af finansielle instrumenter og andre poster med markedsrisici, skal direktionen sikre, at virksomheden har betryggende metoder hertil, herunder at det kan kontrolleres, at det sker korrekt.

8) Såfremt virksomheden indhenter risikoopgørelser og opgørelser af gevinst/tab samt værdier af finansielle instrumenter og andre poster med markedsrisici fra eksterne parter, skal virksomheden sikre sig, at de pågældende udfører opgaven på en betryggende måde. Virksomheden skal desuden løbende evaluere, om de fra eksterne parter modtagne og anvendte kurser, parametre, m.v. er korrekte og dermed sikrer et retvisende billede af virksomhedens risici samt korrekt opgjorte regnskabsposter.

Forretningsgange på markedsrisikoområdet

9) Forretningsgangene på markedsrisikoområdet skal ud over de i §§ 17-18 indeholdte generelle krav indeholde bestemmelser om

a) indgåelse, kontrol, registrering, bogføring og afvikling af handler med værdipapirer, valuta, afledte finansielle instrumenter og eventuelle andre markedsrisikobehæftede aktiviteter,

b) fremgangsmåderne for den løbende opgørelse af risici, gevinst/tab og værdier,

c) udarbejdelse af ledelsesrapportering på markedsrisikoområdet, samt

d) procedurer for introduktion af forretningsmæssige aktiviteter i nye finansielle instrumenter og andre produkter med markedsrisici.

10) For realkreditinstitutter og pengeinstitutter med tilladelse til at udstede SDO’er skal forretningsgangene på markedsrisikoområdet udformes under iagttagelse af de relevante bestemmelser i bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

Konstatering af om risici ligger inden for beføjelser

11) Det skal være muligt for disponerende medarbejdere at konstatere, om de handler, de har til hensigt at indgå, ligger inden for deres beføjelser. Tilsvarende gælder ved kollektive beføjelser, hvor flere medarbejdere kan disponere inden for en fælles beføjelse.

12) Pkt. 11 gælder også, hvor medarbejdere disponerer i henhold til beføjelser modtaget fra kunder under en aftale om diskretionær porteføljepleje.

Kontroller på markedsrisikoområdet

13) Den finansielle virksomhed skal, jf. § 25, være indrettet således, at der etableres passende uafhængige kontroller på markedsrisikoområdet. Sådanne kontroller vil afhængigt af omfanget og kompleksiteten af virksomhedens markedsrisikobehæftede aktiviteter skulle omfatte kontrol af

a) om beføjelser overholdes, idet samtlige grænser og samtlige personer, der har beføjelser, skal kontrolleres, intra-dag kontrol skal som minimum foretages på stikprøvebasis,

b) om handel, registrering, bogføring og afvikling af handler sker i henhold til forretningsgangene herfor,

c) om opgørelse af og rapportering om positioner og risici, sker korrekt,

d) om investeringsgrænser i porteføljeplejeaftaler med kunder overholdes,

e) om handler indgås til korrekte kurser og priser,

f) om gevinst/tab på markedsrisikobehæftede dispositioner for egen og for kunders regning opgøres korrekt,

g) afstemning af beholdninger af værdipapirer, finansielle instrumenter og konti, og

h) om de fra eksterne parter modtagne og anvendte kurser, parametre, m.v. er korrekte og dermed sikrer et retvisende billede af virksomhedens risici.

14) For realkreditinstitutter og pengeinstitutter med tilladelse til at udstede SDO’er skal kontrollerne på markedsrisikoområdet udformes, så de sikrer en iagttagelse af de relevante bestemmelser i bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

Rapportering på markedsrisikoområdet

15) For realkreditinstitutter og pengeinstitutter med tilladelse til at udstede SDO’er skal rapporteringen på markedsrisikoområdet udformes, så den også omfatter de grænser, der fremgår af bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.


Bilag 3

Operationelle risici

Anvendelsesområder og definitioner

1) Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter samme retningslinjer som operationelle risici.

Bestyrelsens opgaver og ansvar

Politikken for operationel risiko

2) Politikken for operationelle risici skal udover de i § 5, stk. 1, indeholdte generelle krav, i det omfang det er relevant, omfatte følgende forhold

a) stillingtagen til, hvilke typer af hændelser der skal anses for henhørende under operationelle hændelser, herunder i videst muligt omfang afgrænsning i forhold til andre risikoområder som kreditrisiko, markedsrisiko, strategisk risiko og omdømmerisiko.

b) stillingtagen til, hvilke metoder der skal anvendes til at opsamle oplyninger om hændelser, der kan anses for henhørende under området for operationelle risici, i hvilket omfang sådanne hændelser skal registreres og rapporteres,

c) stillingtagen til størrelsen af de tab, der skal ske registrering af og rapportering om, og

d) stillingtagen til principperne for rapportering til bestyrelsen selv med henblik på opsamling af data samt med henblik på ledelsesrapportering i øvrigt.

3) Bestyrelsen skal tage stilling til, hvordan tab skal håndteres både for hændelser, der forventes at optræde med høj sandsynlighed, men med små tab, og hændelser, der forventes at indtræde med lav sandsynlighed, men med store tab.

4) Ved identifikationen af virksomhedens operationelle risici kan blandt andet følgende forhold indgå i vurderingen:

a) Særlige operationelle risici knyttet til virksomhedens forretningsmodel og aktiviteter,

b) integrationen, stabiliteten og egnetheden af virksomhedens it-systemer,

c) manuelle rutiner, for eksempel i forbindelse med kontrol og afvikling af handler, kontroller og ikke integrerede it-systemer,

d) afhængighed af eksterne forhold, herunder underleverandører,

e) medarbejderes kompetencer i forhold til opgavernes kompleksitet,

f) kvaliteten af forretningsgange m.v.,

g) organisation, herunder omfanget af interne kontroller og eventuel manglende mulighed for at etablere funktionsadskillelse og

h) fysisk sikkerhed.

Bestyrelsens retningslinjer til direktionen på området for operationel risiko

5) Bestyrelsen skal i sine retningslinjer til direktionen medtage de bestemmelser, som bestyrelsen finder er nødvendige for, at bestyrelsens politik for operationelle risici kan overholdes. Bestyrelsen kan herunder fastsætte

a) konkrete krav til indretningen og driften af virksomheden eller dele af denne

b) principper for hvorledes operationelle risici skal opsamles og opgøres, og hvem der skal gøre det,

c) eventuelle beløbsmæssige grænser for tab, der skal opsamles og registreres,

d) retningslinjer for om og i givet fald, i hvilket omfang hændelser, som er kendte, og som kunne have medført tab, men ikke gjorde det, skal registreres og vurderes, samt

e) retningslinjer for rapportering om operationelle risici til bestyrelsen, herunder grænser og frister for, hvornår operationelle risici og tab (herunder eventuelt hændelser, der kunne have udløst væsentlige tab) fra operationelle risici skal rapporteres til bestyrelsen.

Direktionens opgaver og ansvar

6) Direktionen skal indrette den finansielle virksomhed således, at operationelle risici begrænses mest muligt inden for rammer, der er i overensstemmelse med bestyrelsens politik og strategi på området samt sikre, at alle relevante medarbejdere har kendskab til virksomhedens politik for operationelle risici.

7) Det påhviler direktionen at sikre, at

a) hændelser opsamles og registreres i overensstemmelse med bestyrelsens politik for operationelle risici og/eller retningslinjerne,

b) der er effektive systemer og metoder til at kommunikere og opbevare oplysninger om operationelle risici,

c) it-systemerne understøtter den daglige drift i tilstrækkeligt omfang,

d) alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,

e) der er forretningsgange for løbende identifikation af områder, systemer og produkter, der kan medføre væsentlige operationelle risici, samt at

f) der er forretningsgange for opsamling, opgørelse og rapportering om tab og eventuelt opstået risiko for tab.

8) Direktionen skal på forhånd vurdere om, og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med den af bestyrelsen fastsatte politik og strategi på området. Dette gælder såvel for principielle beslutninger på forretningsmæssige områder, herunder udførelser af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den ansvarlige for operationel risiko, jf. § 19, stk. 1 og 2, eller i særlige tilfælde eksterne rådgivere.

9) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret, og i givet fald fastlægge en handlingsplan for dette.

10) Den af direktionen i henhold til § 4, stk. 2, udarbejdede redegørelse skal for operationelle risici være tilstrækkelig til, at bestyrelsen kan følge størrelsen af og udviklingen i virksomhedens operationelle risici og foretage eventuelle ændringer i politik og retningslinjer. Redegørelsen skal indeholde vurdering af sandsynligheden for, at en given type af hændelse indtræder og hvor store direkte eller indirekte tab, den i værste fald kan medføre. Risikoen for, at hændelser indtræder, kan eventuelt ligesom risikoen for tab over en vis størrelse eventuelt angives i form af kategoriseringer som ”meget høj”, ”høj”, ”medium”, ”lav” og ”meget lav”. Redegørelsen skal som minimum

a) indeholde en vurdering af de aktuelle operationelle risici baseret på en gennemgang af virksomhedens forhold og indtrufne tabsgivende hændelser

b) indeholde en redegørelse for hændelser, der har medført væsentlige tab for virksomheden eller – i det omfang det er muligt som kunne have udløst væsentlige tab

c) omhandle påtænkte ændringer i virksomhedens forretningsmodel, systemer, produkter m.v., der er relevante i relation til operationelle risici,

d) omhandle udviklingen i relevante forhold i virksomhedens omgivelser samt

e) omtale eventuelle områder, hvor direktionen har fastlagt en handlingsplan i henhold til pkt. 9.


Bilag 4

Likviditetsrisici

Bestyrelsens opgaver og ansvar på likviditetsområdet

Likviditetspolitikken

1) Med likviditetsrisici forstås risikoen for

a) at virksomhedens omkostninger til likviditetsfremskaffelse stiger uforholdsmæssigt meget,

b) at manglende finansiering forhindrer virksomheden i at opretholde sin nuværende forretningsmodel og

c) at virksomheden ultimativt ikke kan opfylde sine betalingsforpligtelser på grund af manglende finansiering.

2) Bestyrelsen skal vedtage en skriftlig likviditetspolitik, jf. § 5, stk. 1, nr. 5. Likviditetspolitikken skal afhængigt af den finansielle virksomheds størrelse og sammensætning på juridiske enheder, den overordnede risikoprofil og kompleksiteten af virksomhedens likviditetsrisikobehæftede aktiviteter angive, hvilken likviditetsrisikoprofil bestyrelsen ønsker, at virksomheden skal have.

3) Bestyrelsen skal sikre, at likviditetspolitikken er tilpas forsigtig og til enhver tid sikrer en forsvarlig likviditet, herunder en forsvarlig likviditetsreserve og en forsvarlig finansieringsstruktur.

4) Likviditetspolitikken skal som minimum indeholde principper for følgende forhold

a) hvordan virksomheden opgør sine likviditetsrisici,

b) virksomhedens finansieringsstruktur,

c) størrelsen og sammensætningen af virksomhedens likviditetsreserve,

d) grænser for virksomhedens likviditetsrisici opgjort for forskellige tidshorisonter,

e) hvilke stresstest, virksomheden skal udføre, herunder valg af metoder og scenarier,

f) under hvilke omstændigheder direktionen skal sikre sig bestyrelsens stillingtagen til, om den finansielle virksomhed skal fastholde de valgte risikoniveauer samt proceduren herfor,

g) en beredskabsplan for fremskaffelse af funding, herunder muligheder for at skaffe likviditet via salg eller belåning af aktiver og udnyttelse af lånefaciliteter,

h) principper for fordeling af likviditetsomkostninger,

i) eventuelle juridiske eller andre begrænsninger på overførsel af aktiver indenfor virksomheden, herunder om de forskellige former for aktiver anerkendes indenfor likviditetsreglerne i de lande, som virksomheden opererer i,

j) overordnede krav til medarbejderkompetencer på likviditetsområdet,

k) procedurer for opfølgning på likviditetspolitikken, jf. § 5, stk. 4, samt

l) den løbende rapportering til bestyrelsen.

5) Hvis virksomheden er systemisk relevant i et eller flere af de lande, hvor den udfører aktiviteter, skal bestyrelsen tillige sikre, at likviditetspolitikken i tilstrækkelig grad tager højde herfor.

Bestyrelsens retningslinjer til direktionen på likviditetsområdet

6) Retningslinjerne til direktionen skal udover de i §§ 6 og 7 indeholdte generelle krav udmønte likviditetspolitikken i konkrete retningslinjer, der skal indeholde bestemmelser om:

a) Opgørelse af likviditet i henhold til § 152 i lov om finansiel virksomhed. Denne bestemmelse gælder dog ikke for realkreditinstitutter.

b) Metoder til opgørelse af likviditetsrisici og tidshorisonter for opgørelserne. Opgørelserne af likviditetsrisici skal omfatte både balanceførte og ikke-balanceførte poster og som minimum indeholde:

de forventede betalingsstrømme baseret på forventet adfærd en uge frem,

de forventede betalingsstrømme baseret på forventet adfærd med månedlige observationer i mindst 12 måneder og

virksomhedens forventede fundingbehov på mindst 3 års sigt, hvis virksomheden funder sig med andet end indlån.

c) Sammensætningen af virksomhedens likviditetsreserve, herunder hvilke aktiver, der kan indgå i reserven, og en opdeling af disse i meget likvide aktiver og likvide aktiver, samt andelen af de ubehæftede aktiver, som kan anvendes som sikkerhed, hvis der opstår ikke-forventede finansieringsbehov.

d) Grænser for virksomhedens samlede likviditetsrisici.

e) Grænser for anvendelsen og koncentration vedrørende de forskellige fundingtyper.

f) Grænser for løbetid på funding.

g) Grænser for valutaer og geografisk koncentration, i det omfang det er relevant.

h) Metoder til opgørelse af stresstest af likviditetsrisici. Stresstestene skal som minimum opgøres månedligt over 12 måneder og bestå af

et virksomhedsspecifikt stressscenarie,

et markedsspecifikt stressscenarie og

et kombinationsscenarie, som omfatter både institut- og markedsspecifik stress.

i) Krav til ledelsestiltag og tidshorisonter i beredskabsplanen for fremskaffelse af funding.

j) Krav om, hvornår virksomheden skal etablere lokale beredskabsplaner, herunder som minimum, hvis virksomheden har juridiske enheder, hvor likviditeten ikke flyder frit mellem enhederne.

7) For realkreditinstitutter, der finansierer sig ved obligationsudstedelse efter lovgivningens bestemmelser herom, vil der i mange tilfælde være valgt en meget snæver betalingsmæssig sammenhæng mellem udlån og de bagvedliggende obligationer, der finansierer udlånet, jf. bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring. I sådanne tilfælde vil mange af bekendtgørelsens specifikke krav til retningslinjer, redegørelser og forretningsgange kunne opfyldes med forklarende henvisning hertil, og de primære likviditetsrisici vil stamme fra refinansiering af fundingen og eventuelle krav om supplerende sikkerhed som følge af efterfølgende lånegrænseoverskridelser.

8) For pengeinstitutter med tilladelse til at udstede særligt dækkede obligationer skal politikken, retningslinjerne, forretningsgange, kontroller og rapportering på likviditetsområdet udformes under iagttagelse af de relevante bestemmelser i bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

Direktionens opgaver og ansvar på likviditetsområdet

9) Redegørelsen, som direktionen skal udarbejde i medfør af § 4, stk. 2, skal indeholde en redegørelse for, hvorledes likviditetspolitikken er udmøntet i de likviditetsrisici, som virksomheden har påtaget sig. I redegørelsen skal direktionen tillige foretage en begrundet vurdering af, om virksomhedens likviditetsrisici opgøres fyldestgørende og forsigtigt, herunder om likviditetsreserven, finansieringsstrukturen, beredskabsplanen og de valgte stresstest er passende.

10) Direktionen skal inddrage redegørelsen i den løbende opdatering af likviditetspolitikken, interne grænser vedrørende likviditetsrisiko og beredskabsplan.

11) Direktionen skal sikre, at der ved introduktion af nye produkter med likviditetsrisici og ved væsentlige ændringer i bestående produkter, der øger instituttets likviditetsrisici, jf. §§ 28-29, sker en betryggende indførelse heraf i virksomhedens organisation, herunder i virksomhedens forretningsgange, risikostyring, rapportering og interne kontroller.

Forretningsgange på likviditetsområdet

Forretningsgange for den løbende opgørelse af likviditetsstrømme

12) En virksomhed skal have forretningsgange for den løbende identifikation, måling, styring og overvågning af virksomhedens likviditetsstrømme, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde:

a) Bestemmelser om, hvilke metoder virksomheden har valgt til opgørelse af virksomhedens likviditetsstrømme.

b) Bestemmelser om fastlæggelse af et forventet tidspunkt for mulig realisering af aktiver, som påvirker likviditeten, og hvordan aktiverne kan realiseres i overensstemmelse med virksomhedens forventninger.

c) Bestemmelser om antagelser om tidspunktet for udløb for aktiver og passiver, som kan være både kontraktuelt bestemt og adfærdsbestemt.

d) Bestemmelser om løbende revurdering af opgørelserne for virksomhedens likviditetsstrømme, herunder validering af antagelserne om likviditetsstrømme.

e) Bestemmelser som sikrer, at virksomheden, i det omfang det er relevant, tager hensyn til lovgivningsmæssige, administrative og operationelle begrænsninger, som påvirker mulighederne for at overføre likviditet og ubehæftede aktiver mellem enheder i forskellige lande.

Forretningsgange for styring af intradagslikviditet

13) En virksomhed skal have forretningsgange for intradagslikviditet, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde bestemmelser, der sikrer en aktiv styring af intradagslikviditet, så virksomheden kan opfylde betalings- og afviklingskrav rettidigt i både normale situationer og krisesituationer.

Forretningsgange for udarbejdelse af likviditetsstresstest

14) En virksomhed skal have forretningsgange for likviditetsstresstest, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde bestemmelser om:

a) At stressscenarierne tager højde for usandsynlige, men ikke helt utænkelige forhold.

b) At virksomheden ved beregning af stresstests, i det omfang det er relevant, skal inddrage

ikke-balanceførte poster og andre eventualforpligtelser, herunder securitiseringsenheder med særligt formål (SSPE) eller andre enheder med et særligt formål, hvor virksomheden fungerer som administrator eller yder væsentlig likviditetsstøtte, og

forhold, som kan have en lav sandsynlighed men en stor indflydelse på virksomheden.

c) At stresstestene skal anvende forskellige tidshorisonter og forskellige grader af stressede vilkår, der som minimum omfatter to delperioder

en initial periode på mindst den første uge med en alvorlig og akut krisesituation og

en efterfølgende periode på mindst 3 uger, hvor stresssituationen mildnes, men ikke ophører.

d) At virksomhedens stresstest som minimum består af

et virksomhedsspecifikt stressscenarie, der som minimum omfatter, at usikrede indlån fra finansielle virksomheder, dog undtaget finansielle virksomheder inden for samme koncern, i den initiale periode, jf. pkt. 14, litra c, første underpunkt, forfalder kontraktuelt og ikke forlænges, og at en vis andel af indlån fra erhvervskunder og privatkunder ophører,

et markedsspecifikt stressscenarie, der som minimum omfatter, at likviditetsreserven kun kan realiseres til en lavere værdi end den nuværende markedsværdi, og at virksomhedens muligheder for at finansiere sig via kapitalmarkederne er forringede, og

et kombinationsscenarie, som omfatter både institut- og markedsspecifik stress, men som ikke blot er summen af det institutspecifikke og det markedsspecifikke stressscenarie.

e) At scenarierne skal vise effekten på virksomhedens likviditet.

f) At virksomheden skal beregne effekten af stresstestene i en række delperioder, der som minimum omfatter tidshorisonterne 1 uge, 4 uger og månedsvist over 12 måneder.

Forretningsgange for likviditetsreserven

15) En virksomhed skal have forretningsgange for likviditetsreserven, der ud over de generelle krav i §§ 17-18 som minimum skal indeholde:

a) Bestemmelser om, hvilke typer af aktiver som kan indregnes i virksomhedens likviditetsreserve og om virksomhedens antagelser om aktivernes løbetid. Bestemmelserne om typer af aktiver skal som minimum være baseret på:

at kun likvide aktiver medregnes,

at kontanter kun kan medregnes, hvis de ikke er nødvendige for at fastholde virksomhedens forretningsaktiviteter. F.eks. kan virksomhedens kassebeholdning og pengeautomatbeholdning ikke medregnes.

b) At egne børsnoterede kapitalandele ikke kan medregnes til likviditetsreserven.

c) Bestemmelser om skelnen mellem pantsatte aktiver og ubehæftede aktiver. For de ubehæftede aktiver skal virksomheden tillige skelne mellem aktiver, som er tilgængelige til enhver tid, navnlig i nødsituationer, og aktiver, der ikke er tilgængelige til enhver tid.

d) Bestemmelser om, at virksomheden skal have en likviditetsreserve, som medfører, at virksomheden skal kunne fortsætte sin virksomhed i mindst fire uger i en potentiel krisesituation, som skal defineres ved virksomhedens stressscenarier, jf. punkt 14. Likviditetsreserven skal opdeles i mindst to delperioder svarende til delperioderne i stresstestene kendetegnet ved følgende forhold:

I den initiale periode, jf. pkt. 14, litra c, første underpunkt skal likviditetsbehovet være dækket af meget likvide aktiver. Det kan være indlån i centralbanker, meget likvide statsobligationer, realkreditobligationer eller aktier.

Efterfølgende kan likviditetsbehovet endvidere dækkes af likvide men ikke nødvendigvis meget likvide aktiver. Her kan virksomheden blandt andet medregne andre likvide værdipapirer optaget til handel på et reguleret marked og likvide unoterede værdipapirer.

Hvis virksomheden kan demonstrere, at der er tale om aktiver, som kan anvendes i en krisesituation, kan andre typer af aktiver end nævnt i pkt. 15, litra d, første og andet underpunkt, også medregnes til dækning af likviditetsbehovet efter den første delperiode.

Forretningsgange for beredskabsplanen for fremskaffelse af funding

16) En virksomhed skal have forretningsgange for beredskabsplanen for fremskaffelse af funding, der ud over de generelle krav i §§ 17-18 som minimum skal sikre, at beredskabsplanen indeholder følgende:

a) Definition af, hvilke hændelser som medfører, at planen helt eller delvist iværksættes. Virksomheden skal i sine overvejelser inddrage sine stresstest.

b) Definition af tidlige indikatorer for en potentiel krisesituation, så virksomheden tidligt kan sikre sig mod en eventuel øget likviditetsrisiko. Indikatorer kan eksempelvis være negativ medieomtale, rygter om virksomheden, kursfald på egne aktier, unormalt fald i indlån eller øgede finansieringsomkostninger.

c) Retningslinjer for, hvad der skal ske, hvis virksomhedens grænser for likviditetsrisiko overskrides, eller hvis likviditetsfremskrivningerne viser, at de vil blive overskredet.

d) En beskrivelse af de enkelte potentielle tiltag såvel på aktivsiden som på passivsiden. Det kan eksempelvis være at sælge eller belåne aktiver, at udstede nye gældsforpligtigelser eller mindske udlån.

e) En fastsættelse af virksomhedens prioritering af de enkelte tiltag, herunder hvor sandsynligt det er, at tiltagene kan gennemføres, den forventede tidshorisont for gennemførelsen af de enkelte tiltag og den forventede likviditetseffekt.

Forretningsgange for opgørelse af modtagne og stillede sikkerheder

17) En virksomhed skal have forretningsgange for opgørelse af modtagne og stillede sikkerheder, der ud over de generelle krav i § 17-18 som minimum skal indeholde:

a) Bestemmelser, der sikrer, at virksomheden identificerer og estimerer aktuelle og potentielle behov for at stille sikkerheder og modtage sikkerheder over forskellige tidshorisonter.

b) Bestemmelser, der fastlægger, hvordan virksomheden skal beregne likviditetsværdien af virksomhedens nuværende og potentielle sikkerheder. Likviditetsværdien er den værdi, som virksomheden kan forvente at opnå, hvis en sikkerhed skal sælges eller belånes i en krisesituation. Likviditetsværdien svarer normalt ikke til den regnskabsmæssige værdi.

c) Bestemmelser, der sikrer, at likviditetsværdien altid opgøres forsigtigt, og at virksomheden tager højde for, at det kan være meget vanskeligt at sælge eller belåne visse aktiver indenfor en rimelig tidshorisont. Virksomheden skal ved beregning af likviditetsværdi anvende et relevant fradrag, hvor udsving i aktivets markedsværdi er et væsentligt element.

d) Bestemmelser, der sikrer, at virksomheden tager højde for eventuelle juridiske og operationelle begrænsninger i forbindelse med belåning eller salg af sikkerheder.

Forretningsgange for fordeling af de interne likviditetsomkostninger

18) En virksomhed skal have forretningsgange for fordeling af likviditetsomkostninger. Ved likviditetsomkostninger forstås både direkte omkostninger til fremskaffelse af likviditet og indirekte omkostninger i form af eksempelvis omkostningerne ved at holde en likviditetsreserve eller omkostninger ved løbetids mis-match mellem den valgte finansiering og de aktiver finansieringen skal understøtte. Forretningsgangene skal ud over de generelle krav i §§ 17-18 som minimum indeholde:

a) Bestemmelser om principper for fordeling af likviditetsomkostninger mellem relevante enheder i virksomheden.

b) Bestemmelser, som sikrer, at alle væsentlige faktorer inddrages i virksomhedens opgørelse af likviditetsomkostninger.

c) Bestemmelser om beregning af likviditetsomkostninger. Beregning af likviditetsomkostninger skal tage højde for de direkte omkostninger ved fremskaffelse af likviditet samt indirekte omkostninger i form af omkostninger relateret til de likviditetsrisici, den pågældende likviditetsfremskaffelse påfører virksomheden. Ved beregning af likviditetsomkostninger kan virksomheden eksempelvis anvende den risikofri markedsrente plus et virksomhedsspecifikt tillæg plus omkostninger forbundet med den relevante løbetid plus omkostninger forbundet med likviditetsreserven. Indkøbsprisen, som var aktuel på anskaffelsestidspunktet for en given finansiering, kan normalt ikke anvendes.

d) Bestemmelser, som sikrer, at virksomheden inddrager de likviditetsomkostninger, som kan opstå i en krisesituation, hvor det normalt er dyrere og vanskeligere at skaffe likviditet.

e) Bestemmelser, som sikrer, at beregninger af likviditetsomkostninger tager højde for kredittilsagn, idet kredittilsagnet kan blive udnyttet og dermed belaste likviditeten.

f) Bestemmelser, som sikrer, at virksomheden beregner relevante likviditetsomkostninger vedrørende virksomhedens handelsbeholdning, som tager højde for såvel den forventede holdeperiode (løbetiden) for handelsbeholdningen og handelsbeholdningens likviditetsværdi, der ikke nødvendigvis svarer til den regnskabsmæssige værdi.

Risikostyring, kontroller og rapportering

Risikoansvarlig og og risikostyringsfunktion

19) Den risikoansvarlige skal udover de generelle krav i §§ 19-21 sikre, at der i virksomheden sker en forsvarlig styring af likviditetsrisiciene, herunder sikre:

a) At virksomhedens likviditet, herunder intradagslikviditeten, løbende overvåges og kontrolleres.

b) At beredskabsplanen afprøves regelmæssigt i videst muligt omfang. Som eksempel kan salg af datterselskaber være undtaget fra regelmæssig afprøvning.

c) At instituttets antagelser om likviditetsstrømme valideres, og at valideringen dokumenteres.

d) At de fastlagte grænser løbende revurderes.

Kontroller på likviditetsområdet

20) Virksomheden skal, jf. § 25, etablere uafhængige interne kontroller af alle væsentlige aktiviteter på likviditetsområdet. Der skal som minimum foretages regelmæssig intern kontrol af, at

a) likviditetspolitikken efterleves af virksomhedens medarbejdere,

b) bevillingsbeføjelserne overholdes og

c) rapporteringen i virksomheden er korrekt.

21) Virksomheden skal dokumentere de foretagne interne kontroller.


Bilag 5

It-sikkerhed

Anvendelsesområde og definitioner

1) Dette bilag indeholder bestemmelser om de i bekendtgørelsen omhandlede forhold, der særligt relaterer sig til it-området, herunder it-sikkerhedsstyringen.

Bestyrelsens opgaver og ansvar

2) Bestyrelsen skal vedtage en it-sikkerhedspolitik for virksomheden.

3) It-sikkerhedspolitikken skal afhængigt af den finansielle virksomheds ønskede risikoprofil på it-området, virksomhedens størrelse og kompleksiteten af virksomhedens it-anvendelse, indeholde overordnet stillingtagen til følgende forhold:

a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem

systemudvikling/-vedligeholdelse,

it-drift og

virksomhedens forretningsførelse.

b) Regelmæssig risikovurdering.

c) Beskyttelse af systemer, data, maskinel og kommunikationsveje.

d) Systemudvikling og vedligeholdelse af systemer.

e) Driftsafvikling.

f) Backup og sikkerhedskopiering.

g) Beredskabsplaner, der indeholder målsætning og planer for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje.

h) Kvalitetssikring.

i) Principper for implementering af politikken i uddybende retningslinjer, forretningsgange og instrukser.

j) Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

k) Overholdelse af relevant lovgivning.

l) Rapportering, kontrol og opfølgning.

m) Eventuelle dispensationer fra it-sikkerhedspolitikken.

4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

5) It-sikkerhedspolitikken skal i videst mulig omfang være uafhængig af den anvendte teknologi.

Direktionens opgaver og ansvar

6) Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves. Direktionen skal uddybe it-sikkerhedspolitikken i procedurer mv., der understøtter, at

a) ansvar, herunder ejerskab, for it-processer og -ressourcer er placeret,

b) funktionsadskillelsen bliver overvåget,

c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder,

d) systemer og data klassificeres og prioriteres,

e) systemer (både basis- og brugersystemer) og konfiguration (hardware) samt ændringer hertil dokumenteres,

f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne,

g) der anskaffes tilstrækkelige it-ressourcer,

h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende,

i) der foretages test og anden kvalitetssikring,

j) der foretages ændringshåndtering og problemstyring,

k) der sker adgangskontrol til systemer og data, og

l) der er tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol,

7) Herudover skal direktionen sikre, at der udarbejdes en it-beredskabsplan, der skal godkendes af bestyrelsen. I planen skal der, afhængig af virksomhedens forhold, være

a) en beskrivelse af, hvorledes der etableres en beredskabsorganisation samt

b) aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen.

8) Beredskabsplanen skal afprøves regelmæssigt, og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen.


Bilag 6

Tilrettelæggelse af arbejdet i bestyrelsen

Bestyrelsens forretningsorden

Bestemmelser indeholdende de krav, som der skal stilles til forretningsordenen i en finansiel virksomhed under hensyntagen til den nye formulering af kravene i den nye selskabslov.

1) Bestyrelsen skal ved en forretningsorden træffe nærmere bestemmelser om udførelsen af sit hverv, jf. § 65 i lov om finansiel virksomhed.

2) Ved udformningen af forretningsordenen efter pkt. 1 skal bestyrelsen tage udgangspunkt i sine lovmæssigt fastsatte forpligtelser samt den finansielle virksomheds kompleksitet og forretnings- og aktivitetsområder. Forretningsorden skal dog altid indeholde

a) Bestemmelser om bestyrelsens konstitution herunder anvendelse af suppleanter og krav til beslutningsdygtighed samt med hvilke intervaller, der skal afholdes møder.

b) Bestemmelser om skriftlige og elektroniske bestyrelsesmøder, jf. dette bilags pkt. 18.

c) Procedurer for fastlæggelse af arbejdsdelingen mellem bestyrelsen og direktionen herunder bemyndigelser, ansvar for forretningsgange og tavshedspligt.

d) Procedurer for bestyrelsens løbende stillingtagen til organisatorisk placering og bemanding af den i § 19, stk. 2, omhandlede risikostyringsfunktion.

e) Procedurer for bestyrelsens tilsyn med direktionens ledelse af den finansielle virksomhed og eventuelle datterselskaber, herunder vurdering af om direktionen varetager sine opgaver på behørig måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker og bestyrelsens retningslinjer til direktionen, jf. § 2, stk. 1, nr.4.

f) Procedurer for oprettelse og føring af bøger, fortegnelser og protokoller efter selskabslovgivningen.

g) Procedurer for bestyrelsens løbende stillingtagen til den finansielle virksomheds forretningsplan, risikoprofil, organisation og ressourcer.

h) Procedurer for hvordan bestyrelsen skaffer sig de oplysninger, der er nødvendige for udførelse af dens opgaver herunder de forpligtelser, som bestyrelsen er pålagt i henhold til lov om finansiel virksomhed, lov om værdipapirhandel m.v., lov om forebyggende foranstaltninger mod hvidvask af udbytte og terrorfinansiering og anden relevant lovgivning.

i) Bestemmelser om bestyrelsens løbende stillingtagen til direktionens rapportering til bestyrelsen, herunder stillingtagen til den finansielle virksomheds individuelle solvensbehov, budgetter, finansielle rapporter, likviditet og kapitalbehov, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold.

j) Procedurer for bestyrelsens stillingtagen til og underskrivelse af revisionsprotokollen.

k) Procedurer for, hvordan bestyrelsen sikrer tilstedeværelsen af det nødvendige grundlag for revision, herunder, hvis relevant, tage stilling til, om der er behov for intern revision.

3) Bestyrelsen skal løbende og mindst en gang årligt gennemgå forretningsordenen med henblik på at sikre, at denne afspejler den finansielle virksomheds forretnings- og aktivitetsområder.

4) Bestyrelsen skal sikre, at samtlige bestyrelsesmedlemmer har kendskab til forretningsordenen. Forretningsordenen skal derfor underskrives af samtlige bestyrelsesmedlemmer. Dette kan ske ved, at nytilkomne bestyrelsesmedlemmer ved deres underskrift skal kvittere for modtagelse af den gældende forretningsorden.

Bestyrelsesmøder og bestyrelsens forhandlinger

5) Bestyrelsen skal, jf. § 74, stk. 1, i lov om finansiel virksomhed, mødes, når der skal træffes beslutning om forhold, der ikke er omfattet af de beføjelser, bestyrelsen har givet til direktionen, jf. § 70. Bestyrelsen kan således ikke lovligt delegere sin beslutningskompetence f.eks. til et forretningsudvalg.

6) Pkt. 5 finder ikke anvendelse på behandling af standardiserede sager, som i henhold til vedtægter eller andet skal behandles af bestyrelsen. Sådanne sager kan henlægges til behandling og afgørelse i et udvalg under bestyrelsen, hvis der på forhånd af den samlede bestyrelse er fastlagt retningslinjer for sagernes behandling. Disse retningslinjer samt udvalgets behandling af de pågældende sager skal løbende evalueres af den samlede bestyrelse. Delegeringen omfatter ikke bestyrelsens ansvar for sagernes behandling og de trufne beslutninger.

7) Bestyrelsen kan beslutte, at ansatte i den finansielle virksomhed samt bestyrelsesmedlemmer og ansatte i andre selskaber i koncernen kan deltage i et bestyrelsesmøde, eventuelt alene i enkelte punkter på dagsordenen.

8) Bestyrelsen kan ligeledes i enkeltstående tilfælde beslutte, at der kan være andre personer end de i 1. punktum nævnte, eksempelvis aktionærer eller rådgivere, til stede ved et eller flere angivne punkter på dagsordenen.

9) Uanset pkt. 7 må der ikke være uvedkommende personer til stede ved et bestyrelsesmøde eller ved et punkt på bestyrelsesmødets dagsorden, hvor der behandles fortrolige oplysninger, som ikke lovligt kan videregives efter reglerne om videregivelse af fortrolige oplysninger i kapitel 9 i lov om finansiel virksomhed.

10) Den i medfør af lov om finansiel virksomhed § 74, stk. 3, førte forhandlingsprotokol skal afspejle de på møderne førte drøftelser, herunder skal væsentlige risikovurderinger og trufne beslutninger samt forudsætninger for disse fremgå. Det skal fremgå, hvilke medlemmer der har været til stede på et møde. Har andre personer end medlemmer af bestyrelsen været til stede, skal dette også fremgå.

11) Protokollen skal indrettes sådan, at risikoen for efterfølgende tilføjelser, rettelser eller udeladelser er mindst mulig. Hvis protokollen føres som et løsbladssystem, kan dette ske ved, at hver side påføres initialer af formanden eller et andet medlem af bestyrelsen. Hver side i forhandlingsprotokollen skal være fortløbende nummereret.

12) Hvis der føres en særskilt bevillingsprotokol, skal dette fremgå af forhandlingsprotokollen. Det skal tydeligt fremgå af bevillingsprotokollen, hvilke lån, der er:

a) Bevilget/afslået.

b) Bevilget i henhold til § 78 i lov om finansiel virksomhed.

c) Til efterretning.

d) Til efterbevilling (hastesager)

e) Om bevillingen er sket ved skriftlig behandling eller på et elektronisk afholdt bestyrelsesmøde.

13) Det skal udtrykkeligt anføres i bevillingsprotokollen henholdsvis forhandlingsprotokollen, når der behandles engagementer omfattet af § 78, stk. 1 og 4, i lov om finansiel virksomhed, ligesom det skal anføres, at de pågældende bestyrelsesmedlemmer og direktører ikke har været til stede under sagens behandling.

14) Bestemmelsen i pkt. 13 er ikke til hinder for, at et bestyrelsesmedlem eller en direktør, der tillige deltager i ledelsen af et moderselskab, der ejer hele kapitalen i virksomheden, eller i et 100 % ejet søster- eller datterselskab, deltager i behandlingen af spørgsmål om eller engagementer med dette selskab.

15) Bestemmelserne i lov om finansiel virksomhed § 78, stk. 1 og 4, er ikke til hinder for, at medarbejdervalgte bestyrelsesmedlemmer kan bevilges engagementer på samme vilkår som medarbejderne i den pågældende finansielle virksomhed i øvrigt.

Bestemmelsen i lov om finansiel virksomhed § 78, stk. 3, finder ikke anvendelse på fuldt sikrede engagementer eller engagementer af helt ubetydelig størrelse.

16) Bestyrelsen skal mindst én gang om året gennemgå engagementerne med de i § 78, stk. 1 og 4, i lov om finansiel nævnte personer og selskaber, f.eks. i forbindelse med den årlige aktivgennemgang. At gennemgangen har været foretaget, samt konklusionerne herpå, skal fremgå af protokollen.

Skriftligt og elektronisk afholdte bestyrelsesmøder

17) Bestyrelsen kan afholde skriftlige og elektroniske bestyrelsesmøder i overensstemmelse med selskabsloven regler herom.

18) Bestyrelsen skal nøje overveje, hvilke anliggender der egner sig til behandling på et skriftligt eller elektronisk bestyrelsesmøde. Dette vil primært være ukomplicerede og rutineprægede sager, som ikke kræver ny principiel stillingtagen fra bestyrelsen eller påfører virksomheden væsentlige risici eller presserende sager, der ikke kan udsættes uden skadevirkning for virksomheden.

19) Bestyrelsens beslutninger om hvilke anliggende der egner sig til henholdsvis skriftlig og elektronisk behandling, skal fremgå af forretningsordenen.

20) For skriftlige bestyrelsesmøder skal det fremgå af bestyrelsens forhandlingsprotokol, hvornår mødet blev afsluttet.

21) Pkt. 17-20 finder tilsvarende anvendelse på skriftlige bevillingsprocedurer.

22) I det omfang en bestyrelsesbeslutning træffes skriftligt eller elektronisk, kræves så vidt muligt en egentlig tilkendegivelse fra de enkelte bestyrelsesmedlemmer, jf. selskabslovens § 124, jf. lov om finansiel virksomhed §§ 84 (sparekasser) og 88 (andelskasser). Sådanne tilkendegivelser skal protokolleres. En undladelse af at reagere på fremsendt materiale er ikke tilstrækkelig tilkendegivelse.

Officielle noter

1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af direktiv 2006/48/EF om adgang til at optage og udøve virksomhed som kreditinstitut (omarbejdning) og direktiv 2009/111/EF af 16. september 2009 om ændring af direktiv 2006/48/EF, 2006/49/EF og 2007/64/EF for så vidt angår banker tilsluttet centralorganer, visse komponenter i egenkapitalen, store engagementer, tilsynsordninger og krisestyring.