Bekendtgørelse nr. 902 frá 13. juli 2015 for Færøerne om ledelse og styring af pengeinstitutter m.fl.

13. juli 2015Nr. 902

Bekendtgørelse for Færøerne om ledelse og styring af pengeinstitutter m.fl.

• Kapitel 1 Anvendelsesområde
• Kapitel 2 Bestyrelsens opgaver og ansvar
• Kapitel 3 Direktionens opgaver og ansvar
• Kapitel 4 Organisation og ansvarsfordeling
• Kapitel 5 Administrativ og regnskabsmæssig praksis
• Kapitel 6 Risikostyring og compliance
• Kapitel 7 Straffebestemmelser
• Kapitel 8 Ikrafttrædelse m.v.

I medfør af § 65, stk. 2, § 70, stk. 7, § 71, stk. 2, § 152, stk. 5, og § 373, stk. 4, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, jf. anordningsbekendtgørelse nr. 969 af 27. august 2014, som ændret ved anordning nr. 693 af 22. maj 2015, fastsættes:

Kapitel 1

Anvendelsesområde

§ 1. Denne bekendtgørelse finder anvendelse på følgende virksomheder, jf. dog stk. 2:

1)   Pengeinstitutter.

2)   Fondsmæglerselskaber, jf. dog § 18.

3)   Investeringsforvaltningsselskaber, dog ikke investeringsforvaltningsselskabersadministration af danske UCITS.

4)   Finansielle holdingvirksomheder med de tilpasninger, som koncernforholdet nødvendiggør.

5)   Filialer her i landet af kreditinstitutter, investeringsselskaber og administrationsselskaber, der er meddelt tilladelse i et land uden for den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område og som ikke har indgået aftale med Færøerne i medfør af § 30, stk. 1 i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale.

Stk. 2. Virksomheder omfattet af stk. 1, der kun har tilladelse til at udføre visse nærmere afgrænsede tjenesteydelser, skal følge bekendtgørelsens regler på de områder, virksomheden har tilladelse til.

§ 2. Bestyrelsen henholdsvis direktionen i de af § 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder

1)   virksomhedens størrelse,

2)   virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå,

3)   de forretningsmæssige og geografiske områder, som virksomheden opererer på,

4)   de finansielle tjenesteydelser, som virksomheden tilbyder, og

5)   de finansielle produkter, som virksomheden handler med.

Stk. 2. Bestyrelsen og direktionen i de af § 1, stk. 1, nr. 1-4, omfattede virksomheder, der har datterselskaber, skal træffe foranstaltninger, der er tilstrækkelige til, at koncernen drives på betryggende vis.

Kapitel 2

Bestyrelsens opgaver og ansvar

§ 3. Bestyrelsen skal som led i varetagelsen af den overordnede og strategiske ledelse af virksomheden

1)   træffe beslutning om virksomhedens forretningsmodel, herunder målsætninger for de forhold, der er nævnt under § 2, stk. 1, nr. 1-5,

2)   på grundlag af forretningsmodellen træffe beslutning om virksomhedens politikker, jf. § 4,

3)   løbende, dog mindst én gang årligt, foretage en vurdering af virksomhedens enkelte og samlede risici, jf. § 5, herunder tage stilling til, om risiciene er acceptable,

4)   vurdere og træffe beslutning om virksomhedens budgetter, kapital, likviditet, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold,

5)   vurdere, om direktionen varetager sine opgaver på en betryggende måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker samt retningslinjerne til direktionen,

6)   træffe beslutning om frekvensen for og omfanget af direktionens rapportering til og information af bestyrelsen således, at bestyrelsen har et indgående overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er fyldestgørende for bestyrelsens arbejde,

7)   løbende og mindst én gang årligt træffe beslutning om virksomhedens individuelle solvensbehov, jf. lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, §§ 124, stk. 2, 125, stk. 4, og § 126 a, stk. 1,

8)   tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryggende, jf. bilag 6,

9)   vurdere, om virksomheden har en betryggende offentliggørelses- og kommunikationsproces, og

10) godkende den rapport, som direktionen har pligt til at udarbejde med en opgørelse og vurdering af virksomhedens likviditetsposition og likviditetsrisici, jf. § 8, stk. 9.

§ 4. Virksomhedens politikker, jf. § 3, nr. 2, skal indeholde virksomhedens overordnede strategiske mål for de pågældende risikoområder, herunder identifikation og afgrænsning af de risici, som virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvorledes de strategiske mål opnås.

Stk. 2. Politikkerne skal, hvor det er relevant, omfatte:

1)   Kreditpolitik, jf. bilag 1.

2)   Markedsrisikopolitik, jf. bilag 2.

3)   Politik for operationelle risici, jf. bilag 3.

4)   Politik for forsikringsmæssig afdækning af risici.

5)   Likviditetspolitik, herunder en beredskabsplan i tilfælde af utilstrækkelig eller manglende likviditet, jf. bilag 4.

6)   It-sikkerhedspolitik, jf. bilag 5.

7)   Øvrige risikoområder, som bestyrelsen skønner, er af betydning for virksomheden.

Stk. 3. Virksomhedens kredit-, markedsrisiko- og likviditetspolitik, jf. stk. 2, nr. 1, 2 og 5, samt i relevant omfang også de øvrige risici, skal udover virksomhedens overordnede strategiske mål for de pågældende risikoområder, jf. stk. 1, indeholde identifikation af mål for og afgrænsning af de gearingsrisici, som virksomheden ønsker at påtage sig, jf. dog § 25, stk. 4.

Stk. 4. Virksomhedens politikker skal være forsvarlige i forhold til virksomhedens indtjening og kapitalgrundlag.

§ 5. Ved opfyldelse af § 3, nr. 3, skal bestyrelsen løbende vurdere, om virksomhedens politikker, jf. § 4, samt retningslinjerne til direktionen, jf. §§ 6 og 7, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.

Stk. 2. Vurderingen efter stk. 1 skal foretages i forhold til

1)   hvilke risici, som virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,

2)   hvilke aktiviteter de pågældende risici er tilknyttet,

3)   omfanget af de enkelte risici,

4)   hvorledes risikotyperne påvirker hinanden, hvis dette er relevant, og

5)   om virksomhedens gearingsrisiko samlet set er betryggende, jf. § 4, stk. 3 og § 25, stk. 4.

Stk. 3. Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til

1)   om virksomheden har et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,

2)   om virksomheden har betryggende it-systemer,

3)   om virksomheden har betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen, og

4)   om virksomheden har betryggende processer til identifikation, styring og overvågning af overdreven gearingsrisiko, jf. § 25, stk. 3 og 4.

Stk. 4. Den risikoansvarliges rapport, jf. bilag 7, skal indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.

§ 6. På grundlag af risikovurderingen, jf. § 5, og i henhold til de i § 4 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen.

Stk. 2. Retningslinjerne efter stk. 1 skal angive, hvilke dispositioner direktionen kan foretage som led i dens stilling, og hvilke beslutninger direktionen eventuelt kan træffe med efterfølgende orientering af bestyrelsen.

Stk. 3. Bestyrelsen kan ikke henlægge beføjelser til direktionen, der hører til bestyrelsens overordnede ledelsesopgaver, jf. §§ 3-5, eller i øvrigt er af usædvanlig art eller af stor betydning for virksomheden. Blandt andet kan følgende beføjelser ikke henlægges til direktionen:

1)   Beslutning om outsourcing af væsentlige aktivitetsområder.

2)   Bevilling af usædvanlige eller betydende eksponeringer, jf. dog lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin) § 117, stk. 1, 4. og 5. pkt., og eksponeringer omfattet af lov om finansiel virksomhed § 78, som sat i kraft for Færøerne ved kongelig anordning.

3)   Den årlige gennemgang af større aktiver og passiver, jf. principperne i lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin) § 115, nr. 1.

4)   Ansættelse af direktion og revisionschef.

5)   Beslutning om principper for opgørelse af risici, jf. § 7, stk. 1, nr. 2, herunder anvendelse af interne modeller, der ikke er omfattet af nr. 6.

6)   Beslutning om ansøgning om godkendelse af interne modeller til opgørelse af virksomhedens solvens, herunder:

a)    VaR-modeller, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

b)    AMA-modeller, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

c)    EPE-modeller, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

d)   Anvendelse af IRB-metoden, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

7)   Beslutning om virksomhedens individuelle solvensbehov, jf. §§ 124, stk. 2, 125, stk. 4 og § 126 a, stk. 1, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning.

§ 7. Retningslinjerne efter § 6, stk. 1 og 2, skal

1)   indeholde kontrollerbare grænser for størrelsen af de risici, som direktionen er bemyndiget til at tage på virksomhedens vegne, og

2)   fastlægge principperne for, hvordan udnyttelse af grænserne for hver type af risiko opgøres, herunder for hvordan risiko hidrørende fra finansielle instrumenter og midler, der på virksomhedens vegne forvaltes af eksterne porteføljeforvaltere, indgår i den samlede risikoopgørelse.

Stk. 2. Retningslinjernes grænser på kreditrisiko-, markedsrisiko- og likviditetsrisikoområdet, jf. bilag 1, 2 og 4, skal utvetydigt angive størrelsen af den enkelte fastsatte grænse for risiko for eksempel som absolutte tal, eller ved at risikoen sættes i forhold til virksomhedens kapitalgrundlag.

Stk. 3. Retningslinjerne kan kun undtagelsesvis give mulighed for, at direktionen kan disponere risici i en størrelsesorden, der ligger uden for den fastlagte risikoprofil og retningslinjernes grænser og da kun, hvis forudsætningerne herfor fremgår af retningslinjerne. Kan disse forudsætninger ikke fastlægges, kan forudgående beføjelser til overskridelser af retningslinjernes grænser ikke gives til direktionen.

Stk. 4. Bestyrelsen skal ved udformningen af retningslinjerne til direktionen være betrygget i, at direktøren eller direktionens medlemmer tilsammen besidder den fornødne viden og erfaring til at anvende de i retningslinjerne indeholdte beføjelser på en for virksomheden betryggende måde.

Stk. 5. Det skal fremgå af retningslinjerne, hvorledes og hvor hyppigt rapportering til bestyrelsen skal ske. Herunder skal det fremgå, hvorledes og hvor hyppigt direktionen skal rapportere på de områder, hvor bestyrelsen har fastsat grænser for direktionen, eller hvor der er fastsat grænser i lovgivningen. Det skal således fremgå af rapporteringen, om grænser fastsat i lovgivningen er overholdt. Det skal fremgå, i hvilket omfang de af bestyrelsen fastsatte grænser for risici er udnyttet såvel aktuelt som over tid, herunder om der har været overskridelser af grænserne. Endelig skal rapporteringen omfatte et grundlag for bestyrelsens vurdering af anvendte modellers pålidelighed, hvis virksomheden anvender sådanne modeller.

Stk. 6. Rapporteringen efter stk. 5 skal også omfatte rapportering om midler og risici hidrørende fra midler, der forvaltes af eksterne porteføljeforvaltere, idet det, jf. § 2, stk. 2, sidste punktum, i bekendtgørelse for Færøerne om outsourcing af væsentlige aktivitetsområder, fortsat er bestyrelsens ansvar, at midler, der forvaltes af eksterne porteføljeforvaltere, og øvrige midler tilsammen placeres inden for de af bestyrelsen udstukne retningslinjer og i overensstemmelse med lovgivningen.

Kapitel 3

Direktionens opgaver og ansvar

§ 8. Direktionen skal forestå den daglige ledelse af virksomheden i overensstemmelse med lovgivningens bestemmelser, herunder lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin) og lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, de af bestyrelsen vedtagne politikker, jf. § 4, de af bestyrelsen givne retningslinjer, jf. §§ 6 og 7, og eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger fra bestyrelsen.

Stk. 2. Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og retningslinjer implementeres i virksomhedens daglige drift.

Stk. 3. Direktionen er forpligtet til at videregive information til bestyrelsen, som bestyrelsen har anmodet om, samt information som direktionen vurderer kan være af betydning for bestyrelsens arbejde.

Stk. 4. Direktionen er forpligtet til at videregive information til den risikoansvarlige og den complianceansvarlige, som direktionen vurderer kan være af betydning for disses arbejde.

Stk. 5. Direktionen har det daglige ledelsesmæssige ansvar for, at virksomheden kun træffer dispositioner, som direktionen og medarbejdere i fornødent omfang kan vurdere risiciene ved og konsekvenserne af.

Stk. 6. Direktionen skal godkende virksomhedens forretningsgange, jf. § 13, stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med den nødvendige faglige viden til at gøre dette.

Stk. 7. Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud, øvrige driftsforstyrrelser samt for nøglemedarbejderes fratræden.

Stk. 8. Direktionen skal godkende virksomhedens retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, der kan medføre væsentlige risici for virksomheden, modparter eller kunder, herunder ændringer i eksisterende produkter, hvorved produktets risikoprofil ændres væsentligt.

Stk. 9. Direktionen i virksomheder omfattet af § 1, stk. 1, nr. 1, skal mindst én gang årligt udarbejde en rapport med en opgørelse og vurdering af virksomhedens likviditetsposition og likviditetsrisici, jf. bilag 4.

Kapitel 4

Organisation og ansvarsfordeling

Opgaver og ressourcer

§ 9. Virksomheden skal være indrettet i organisatoriske enheder med klart definerede arbejdsopgaver, herunder skal alle medarbejdere have klare beføjelser, ansvarsområder og referencelinjer. Det skal herunder være klart for de enkelte enheder og medarbejdere, hvilke opgaver der skal udføres og hvordan opgaverne skal udføres.

Stk. 2. De organisatoriske enheder skal være bemandet ressource- og kompetencemæssigt således, at enhederne på betryggende vis kan løse de opgaver, det påhviler enhederne at udføre.

Information af bestyrelsen og øvrige ledelsesniveauer m.v.

§ 10. Virksomheden skal være indrettet således, at den information, der skal tilgå bestyrelse, direktion og ledelse på øvrige organisatoriske niveauer samt den risikoansvarlige og den complianceansvarlige, kan tilgå disse i retvisende og dækkende form for disses arbejde, herunder indenfor tidsmæssige rammer og i en form der sikrer, at eventuelle foranstaltninger kan sættes i værk uden unødigt ophold.

Funktionsadskillelse

§ 11. Virksomheden skal organisatorisk indrettes således, at medarbejdere i disponerende enheder ikke refererer til en leder med ansvar for enheder, der udfører afvikling, resultatog risikoopgørelser, kontrol eller rapportering.

Stk. 2. Virksomhedens organisation skal være indrettet sådan, at der er klart definerede rapporteringslinjer.

Stk. 3. Virksomhedens afvikling, udarbejdelse af resultatog risikoopgørelser, kontrol og rapportering kan udføres i samme enhed, hvis dette kan anses for betryggende, jf. § 2, og under hensyntagen til arten af enhedens øvrige opgaver.

Stk. 4. I virksomheder, hvor der ikke opretholdes funktionsadskillelse i overensstemmelse med stk. 1- 3, skal der, jf. § 2, indføres betryggende kompenserende foranstaltninger, der skal sikre, at der ikke påføres virksomheden unødige risici eller tab.

Kapitel 5

Administrativ og regnskabsmæssig praksis

Administrativ praksis

§ 12. Virksomheden skal være indrettet således, at de enkelte enheder og medarbejderne har de forretningsgange, manualer, beredskabsplaner, systemer og øvrige redskaber til rådighed, der er nødvendige for udførelsen af deres opgaver, jf. § 13.

§ 13. Virksomheden skal have forretningsgange på alle væsentlige aktivitetsområder. Aktiviteter, der vedrører virksomheden i dens egenskab af finansiel virksomhed, anses som udgangspunkt for væsentlige.

Stk. 2. Forretningsgangene skal som minimum

1)   være lettilgængelige og overskuelige,

2)   på fyldestgørende måde beskrive de aktiviteter, der skal udføres, herunder sikre at lovgivningen og anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes,

3)   angive hvilken organisatorisk enhed, personer eller grupper af personer, der skal udføre de enkelte opgaver eller delopgaver, og

4)   opdateres løbende ved ændring i interne forhold eller i relevant regulering.

Stk. 3. Forretningsgangene kan foreligge elektronisk. Direktionen skal dog sikre, at de er tilgængelige i tilfælde af systemnedbrud i virksomheden.

§ 14. Direktionen skal sikre, at der er fornøden dokumentation for virksomhedens aktiviteter, herunder at der er forretningsgange for

1)   i hvilket omfang beslutninger, beføjelser, udførte opgaver og forretninger samt opståede hændelser skal dokumenteres,

2)   i hvilken form dokumentationen skal ske,

3)   hvorledes der sikres tilgængelighed til dokumentationen,

4)   hvor længe dokumentationen skal opbevares, og

5)   hvis relevant, til hvem dokumentationen kan og skal videregives.

Stk. 2. Dokumentationen, jf. stk. 1, skal foreligge enten skriftligt eller elektronisk.

Regnskabsmæssig praksis

§ 15. Virksomheden skal have en god regnskabsmæssig praksis. Dette indebærer blandt andet,

1)   at virksomheden, jf. § 14, kan dokumentere, at offentliggjorte års- og delårsrapporter, herunder alle enkeltposter og noter, er udarbejdet i overensstemmelse med det regelsæt, der gælder for den pågældende rapport, og

2)   at virksomheden indhenter nødvendig information til brug for udarbejdelse af års- og delårsrapporter, herunder al relevant information til brug for fastlæggelse af regnskabsposter, der baseres på regnskabsmæssige skøn.

Kapitel 6

Risikostyring og compliance

Risikoansvarlig og risikostyringsfunktion

§ 16. Direktionen skal sikre, at virksomheden har en risikostyringsfunktion og en risikoansvarlig, jf. bilag 7. Direktionen skal sikre, at risikostyringsfunktionen i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at risikostyringsfunktionen kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden, uden at dette berører det ansvar, som bestyrelsen har, jf. § 70 i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning og Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

Stk. 2. Afskedigelse af den risikoansvarlige kræver bestyrelsens forudgående godkendelse.

Stk. 3. Bestemmelserne i stk. 1 og 2 finder ikke anvendelse på en finansiel holdingvirksomhed, jf. § 1, stk. 1, nr. 4, som ikke er en finansiel virksomhed.

Compliance

§ 17. Virksomheden skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for virksomhedens manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici).

Stk. 2. Virksomheden skal have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om metoderne og procedurerne efter stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.

Stk. 3. I virksomheder, der er værdipapirhandlere, og som ikke er omfattet af § 18, skal compliancefunktionen for den del af virksomheden, der vedrører værdipapirhandel, udføre compliance og yde rådgivning af og bistand til de personer, der har ansvaret for at yde investeringsservice og udføre investeringsaktiviteter, i overensstemmelse med § 4, stk. 1-3 i bekendtgørelse for Færøerne om de organisatoriske krav til og betingelserne for drift af virksomhed som værdipapirhandler.

Stk. 4. For at sikre at compliancefunktionen kan varetage sine ansvarsområder korrekt og uafhængigt, skal direktionen sikre, at følgende betingelser opfyldes:

1)   Compliancefunktionen skal have de nødvendige ressourcer, den nødvendige kompetence og sagkundskab samt adgang til alle relevante oplysninger.

2)   En medarbejder, der er udpeget af direktionen, skal være ansvarlig for compliancefunktionen og rapportering til bestyrelsen og direktionen. Rapportering om de i denne bestemmelse omhandlede forhold til bestyrelsen og direktionen skal ske mindst én gang årligt. Den complianceansvarlige skal i øvrigt have mulighed for at udtale sig direkte til bestyrelsen, hvis den complianceansvarlige skønner det nødvendigt.

3)   Medarbejdere, der er involveret i compliancefunktionen, må ikke deltage i leveringen af de tjenesteydelser eller udførelsen af de aktiviteter, de kontrollerer.

4)   Metoden til at fastsætte vederlag til medarbejdere i compliancefunktionen må ikke bringe deres uafhængighed i fare.

Stk. 5. Bestemmelserne i stk. 4, nr. 3 og 4, finder ikke anvendelse, hvis det kan godtgøres, at disse krav ikke står i rimeligt forhold til arten, omfanget og sammensætningen af virksomhedens aktiviteter.

Stk. 6. Hvis virksomhedens direktion vurderer, at virksomhedens størrelse eller sammensætningen af virksomhedens aktiviteter berettiger hertil, kan den samme person udpeges til at være complianceansvarlig og risikoansvarlig. Det skal dog altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de kontrollerer som led i deres complianceopgaver.

§ 18. Bestemmelserne i §§ 16 og 17 finder ikke anvendelse på virksomheder, der alene har tilladelse som fondsmæglerselskaber.

Videregivelse af beføjelser

§ 19. Videregivelse af beføjelser mellem bestyrelse, direktion og øvrige ledelsesniveauer skal kunne dokumenteres, jf. § 14, og proceduren herfor skal fremgå af forretningsgangene, jf. § 13.

Stk. 2. Videregivelse af beføjelser kan kun ske til medarbejdere, der har den fornødne viden, indsigt og erfaring til at kunne anvende de modtagne beføjelser betryggende.

Stk. 3. Videregivne beføjelser skal som minimum angive

1)   arten og størrelsen af den eller de videregivne beføjelser,

2)   principperne for opgørelse af udnyttelse af beføjelserne,

3)   hvilke produkter eller handlinger beføjelsen omfatter,

4)   eventuelle supplerende grænser for risiko samt principperne for opgørelse af sådanne beføjelser, der opfylder kravene i § 7, stk. 1, og

5)   hvordan, hvor ofte og af hvilken person eller organisatorisk enhed rapportering skal foretages til afgiver af beføjelsen og eventuelle andre.

Stk. 4. Ingen kan videregive beføjelser, der går ud over de beføjelser, den pågældende selv har modtaget. Summen af videregivne beføjelser, herunder beføjelser givet til grupper af medarbejdere, må ikke overstige de i bestyrelsens retningslinjer til direktionen indeholdte beføjelser.

Stk. 5. Hvis der er fastsat supplerende risikomål i forbindelse med videregivne beføjelser, skal den, der afgiver beføjelserne, sikre sig, at anvendelse af de supplerende risikomål finder sted på en måde, der sikrer, at der ikke sker overskridelse af øvrige tildelte beføjelser.

Kontroller

§ 20. Direktionen skal sikre, at der foretages kontrol af alle væsentlige risikobehæftede opgaver, herunder

1)   overholdelse af samtlige grænser fastsat af bestyrelsen i henhold til § 7, stk. 1, nr. 1, i de til direktionen givne retningslinjer og grænser i lovgivningen,

2)   overholdelse af videregivne beføjelser,

3)   dispositioner, hvor virksomheden handler i henhold til fuldmagt fra kunder eller modparter, og hvor virksomheden har forpligtet sig til at overholde grænser for risici, herunder placeringsgrænser,

4)   dispositioner, hvor virksomheden har forpligtet sig til at overholde grænser for risici aftalt med modparter, for eksempel i rammeaftaler om handel med finansielle instrumenter, og

5)   andre opgaver, som af anden årsag kan medføre væsentlige økonomiske eller andre væsentlige risici for virksomheden, herunder disponering af virksomhedens konti og opgaver i forbindelse med fremskaffelse eller udarbejdelse af grundlag for regnskab og fastsættelse af virksomhedens individuelle solvensbehov.

Stk. 2. Kontrol skal udføres af en anden enhed end den, der har udført opgaven, jf. § 11, stk. 1. § 11, stk. 1, finder dog ikke anvendelse på kontroller, der har karakter af afstemning, overvågning af om forretningsgange overholdes, fejlfinding eller lignende, med mindre dette i det konkrete tilfælde ikke er betryggende.

Stk. 3. Kontroller omfattet af stk. 1 og 2 skal foretages med passende intervaller, afhængigt af virksomhedens størrelse, den enkelte risikos væsentlighed og størrelse set i forhold til virksomhedens forretningsmodel, aktivitetsområde, kompleksiteten af de pågældende risici og virksomhedens kapitalforhold. Kontrollerne skal, hvor der løbende sker dispositioner hen over dagen, omfatte overholdelse af grænser intra-dag. Intra-dag kontroller kan, hvor dette er betryggende, foretages på stikprøvebasis.

Stk. 4. Virksomheden skal have passende overvågning af, at administrative opgaver udføres på en betryggende og ensartet måde, og at forretningsgange m.v. bliver overholdt.

Intern rapportering

§ 21. Direktionen skal sikre, at der løbende sker skriftlig og betryggende rapportering på alle relevante ledelsesmæssige niveauer om overholdelsen og udnyttelsen af samtlige grænser for risikotagning indeholdt i de i medfør af § 6 givne retningslinjer eller i den videregivne beføjelse. Der skal endvidere ske rapportering om overholdelse af de i lovgivningen fastsatte grænser for risiko på de områder, hvor dette er relevant for den pågældende virksomhed. Rapporteringen skal også omfatte risici, der styres på virksomhedens vegne af porteføljeforvaltere.

Stk. 2. Rapporteringen skal ske i overskuelig form og give direktion og øvrige medarbejdere, der har videregivet beføjelser, jf. § 19, oplysning såvel om den aktuelle udnyttelse af de fastsatte grænser som om udnyttelsen over tid.

Stk. 3. Anvender virksomheden interne modeller til opgørelse af risici, skal rapporteringen desuden omfatte relevante back-tests til dokumentation af modellens pålidelighed.

Stk. 4. Rapportering om videregivne beføjelser, herunder overskridelse af disse, skal ske til den, der har afgivet beføjelserne med intervaller, der afspejler afgiverens involvering i den daglige disponering, og som fremgår af beføjelserne. Overskridelsen skal sædvanligvis rapporteres senest dagen efter, at overskridelsen er konstateret.

§ 22. Direktionen skal sikre, at der sker rapportering om andre væsentlige forhold, der ikke måtte være omfattet af beføjelser fastsat i retningslinjerne eller i videregivne beføjelser, jf. stk. 2. Det kan for eksempel dreje sig om rapportering vedrørende afstemningsfejl, uregelmæssigheder, tab som følge af operationelle forhold, fejl i regnskab eller budgetter, nøglepersoners fratræden etc.

Stk. 2. Virksomhedens forretningsgange skal i videst muligt omfang indeholde anvisninger om, hvilke forhold der skal eller bør rapporteres om og til hvem rapporteringen skal foretages, herunder skal det fremgå, om rapportering i særlige tilfælde kan eller skal ske til andre end den pågældendes daglige leder eller dennes leder.

Nye tjenesteydelser og produkter

§ 23. Direktionen skal sikre, at der udarbejdes retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, herunder ændringer i eksisterende tjenesteydelser og produkter, hvorved tjenesteydelsernes og produkternes risikoprofil ændres væsentligt, jf. § 8, stk. 8. Retningslinjerne skal som minimum

1)   afgrænse, hvornår der er tale om et nyt produkt eller tjenesteydelse, i det omfang det er muligt,

2)   angive, hvilken eller hvilke organisatoriske enheder, udvalg eller ad hoc-udvalg, der skal forestå udviklingsprocessen, eventuelt opdelt pr. risikoområde,

3)   indeholde retningslinjer for, hvem der som minimum skal inddrages i udviklingsprocessen, således at det sikres, at alle relevante forhold belyses,

4)   indeholde retningslinjer for, hvilke overordnede forhold der skal analyseres og dokumenteres, herunder arten, størrelsen og opgørelsen af risici for virksomheden, påvirkning af virksomhedens omkostninger og indtjening, virksomhedens muligheder for at agere på nye markeder, påvirkning af virksomhedens solvens og regnskabsmæssig behandling,

5)   indeholde krav om, at analysen skal godtgøre, at virksomheden har tilstrækkelig ekspertise, systemer, kapital og ressourcer i øvrigt til at håndtere det nye produkt eller tjenesteydelsen på betryggende vis, og

6)   indeholde bestemmelse om retningslinjer for, at nye produkter og tjenesteydelser, der kan medføre væsentlige nye risici for virksomheden eller virksomhedens kunder, skal forelægges bestyrelsen med henblik på dennes stillingtagen til, om anvendelsen af det nye produkt giver anledning til ændring af de i henhold til § 4 vedtagne politikker eller de i medfør af §§ 6 og 7 givne retningslinjer, herunder til fastsættelse af særlige principper for opgørelse af de til produktet knyttede risici.

§ 24. Den risikoansvarlige skal deltage eller som minimum høres i forbindelse med udvikling og godkendelse af nye tjenesteydelser og produkter. Den risikoansvarlige skal løbende være informeret om forløbet af godkendelsesprocessen.

Stk. 2. Den risikoansvarlige skal høres i forbindelse med stillingtagen til, om ændring af eksisterende produkter har et omfang, der medfører, at ændringen skal være omfattet af kravene til udvikling og godkendelse af nye produkter. Den risikoansvarlige skal altid kunne kræve, at en ændring af et eksisterende produkt skal behandles som et nyt produkt.

Gearingsrisiko

§ 25. Ved gearing forstås i denne bekendtgørelse gearing som defineret, jf. artikel 4, stk. 2, nr. 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

Stk. 2. Ved overdreven gearingsrisiko forstås overdreven gearingsrisiko som defineret, jf. artikel 4, stk. 2, nr. 94 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

Stk. 3. Direktionen skal sikre, at der udarbejdes retningslinjer for identifikation, overvågning og styring af risici for overdreven gearing. Retningslinjerne skal som minimum angive

1)   procedurer for identifikation, overvågning og styring af overdreven gearingsrisiko,

2)   metoder til at måle risici for overdreven gearing, herunder risici i forbindelse med mismatch mellem aktiver og passiver, og

3)   metoder til at vurdere væsentlige ændringer i baggrund for gearing.

Stk. 4. For pengeinstitutter med en arbejdende kapital, der er mindre end 65 mia. kr., og virksomheder omfattet af § 1, stk. 1, nr. 2-5, og som har en gearingsfaktor på mere end 15 pct., som opgjort efter metoden i artikel 429 og artikel 499 stk. 1, litra b i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringselskaber, som sat i kraft for Færøerne ved lov, finder stk. 3, § 4, stk. 3, § 5, stk. 2, nr. 5, og stk. 3, nr. 4, ikke anvendelse.

Risici forbundet med securitisering

§ 26. Denne bestemmelse finder anvendelse på virksomheder omfattet af § 1, nr. 1, 4 og 5, i denne bekendtgørelse og fondsmæglerselskaber I, jf. § 5, stk. 1, nr. 32, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning.

Stk. 2. Ved securitisering forstås i denne bekendtgørelse, securitisering som defineret i artikel 4, stk. 1, nr. 61, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

Stk. 3. Deltagelse i securitiseringsaktiviteter kan ske ved, at

1)   virksomheden eksponeres mod securitiseringspositioner, herunder eksponeringer hidrørende fra investering i securitiseringspositioner eller udbud af kreditrisikoafdækning, eller

2)   virksomheden selv eller i samarbejde med andre etablerer eller arrangerer securitiseringstransaktioner, programmer for kortfristede gældsbreve eller ABCP-programmer, jf. artikel 242, nr. 9, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, som sat i kraft for Færøerne ved lov.

Stk. 4. Virksomheder, der deltager i securitiseringsaktiviteter, skal have betryggende politikker og forretningsgange på området, som skal sikre, at virksomheden vurderer og håndterer risici forbundet med securitisering, herunder omdømmemæssige risici, der kan opstå i forbindelse med deltagelse i komplekse strukturer, og at securitiseringsaktiviteternes økonomiske indhold afspejles i risikovurderingen og ledelsesbeslutningerne.

Kapitel 7

Straffebestemmelser

§ 27. Overtrædelse af §§ 3-7, § 8, stk. 2-4, og 6-9, § 9, § 11, stk. 1, 2, og stk. 4, § 12, § 13, stk. 1, 1. pkt., stk. 2 og 3, § 14, § 15, § 16, stk. 1, § 17, stk. 1-4, og stk. 6, 2. pkt., § 19, § 20, stk. 1, stk. 2, 1. pkt., stk. 3, 1. og 2. pkt. og stk. 4, § 21, § 22, stk. 1, 1. pkt. og stk. 2, § 23, § 24, § 25, stk. 3, og § 26, stk. 4, straffes med bøde.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i 5. kapitel i den for Færøerne gældende straffelov.

Kapitel 8

Ikrafttrædelse m.v.

§ 28. Bekendtgørelsen træder i kraft den 17. juli 2015.

Stk. 2. Bekendtgørelse nr. 336 af 12. april 2012 for Færøerne om ledelse og styring af pengeinstitutter m.fl. ophæves.

 

 

Finanstilsynet, den 13. juli 2015

 

THOMAS BRENØE

 

/ Mark Andrew Rønnenfelt

 

 

 

 

Bilag 1

Kreditområdet

 

Bestyrelsens opgaver og ansvar på kreditområdet

 

Kreditpolitikken

1)   Bestyrelsen skal efter et princip om forsigtighed vedtage en kreditpolitik, jf. § 4, stk. 2, nr. 1. Kreditpolitikken skal, afhængigt af den finansielle virksomheds type og størrelse, bestyrelsens, direktionens og medarbejdernes kompetencer, de anvendte it-systemer m.v. samt kompleksiteten af virksomhedens kreditrisikobehæftede aktiviteter, indeholde stillingtagen til, hvilken kreditrisikoprofil bestyrelsen ønsker, at virksomheden skal have.

2)   Kreditpolitikken skal indeholde principper for typen og omfanget af kreditrisici, herunder principper for:

a)    Ønskede kundetyper (for eksempel erhvervskunder, privatkunder, formuende kunder, helkunder m.fl.).

b)    Kundernes ønskede risikoprofil, for eksempel 1) hvad karakteriserer en person eller virksomhed m.v., man ønsker henholdsvis ikke ønsker som ny kunde, 2) hvad karakteriserer eksisterende privat- og erhvervskunder m.v., hvor man ønsker henholdsvis at forøge, opretholde, reducere eller afvikle eksponeringen.

c)    De typer af produkter, der ønskes udbudt af virksomheden, herunder ønsker til rente- og afviklingsprofil og lån i fremmed valuta.

d)   I hvilket omfang og under hvilke forudsætninger virksomheden ønsker store eksponeringer, der for eksempel overstiger 2 eller 5 pct. af virksomhedens kapitalgrundlag.

e)    Omfanget af øvrige koncentrationsrisici, herunder maksimale samlede eksponeringer inden for forskellige brancher og inden for andre ensartede typer af risici, hvor virksomhedens risikokoncentration er væsentlig.

f)    Geografisk eksponering, herunder virksomhedens maksimale eksponering inden for udvalgte geografiske områder, herunder udenlandske aktiviteter.

g)    Hvordan det sikres, at kreditbeslutninger i tilstrækkeligt omfang baseres på robustheden af kundens fremtidige indtjening og likviditet og ikke i for høj grad baseres på stillede sikkerheder, som kan falde i værdi.

h)    De typer af sikkerheder virksomheden vil lade indgå i sine kreditbeslutninger, herunder virksomhedens maksimale samlede eksponeringer hvor udvalgte typer af sikkerheder indgår i kreditbeslutningen.

i)     Den finansielle virksomheds ønskede indtjening i forhold til den valgte risikoprofil, herunder prisfastsættelse af produkter m.v.

3)   Kreditpolitikken skal endvidere indeholde principper for følgende områder:

a)    Klassifikation af kunder ud fra den skønnede kreditrisiko.

b)    Konsolidering af eksponeringer med indbyrdes forbundne kunder.

c)    Håndtering af nødlidende eksponeringer samt øvrige eksponeringer med højere risiko end ønsket, herunder fastlæggelse af handlingsplaner for det videre forløb.

d)   Medarbejderes habilitet så eventuelle interessekonflikter håndteres betryggende.

e)    Det interne kontrolsystem på kreditområdet.

f)    Hvilken rapportering bestyrelsen skal modtage på kreditområdet, jf. nr. 27-32.

4)   Hvis de faktiske forhold på de områder, der dækkes af virksomhedens kreditpolitik, afviger markant fra kreditpolitikken, skal bestyrelsen godkende en plan for nødvendige ændringer for at gennemføre den vedtagne kreditpolitik.

 

Bestyrelsens retningslinjer til direktionen på kreditområdet

5)   Retningslinjerne til direktionen på kreditområdet skal ud over opfyldelsen af de generelle krav i § 6 udmønte kreditpolitikken i konkrete retningslinjer til direktionen. Eksponeringer omfattet af § 6, stk. 3, nr. 2, kan ikke bevilges af andre end bestyrelsen. Tilsvarende gælder som udgangspunkt eksponeringer, som udgør over 2 pct. af virksomhedens kapitalgrundlag, medmindre bestyrelsen har fastsat en lavere grænse.

 

Den del af eksponeringen, som bevilges med pant i ubetinget gode sikkerheder, indgår ikke i opgørelsen af 2 pct. grænsen. Ubetinget gode sikkerheder består af indlån, garantier og kautioner stillet af stater, regioner eller kommuner, anfordringsgarantier fra pengeinstitutter, statsobligationer og real- og skibskreditobligationer samt pant i ejerboliger til helårsbrug inden for maksimalt 50 pct. af dagsværdien.

 

Forhøjelser af eksponeringer, hvor bestyrelsen inden for de sidste 18 måneder har bevilget en eksponering, og hvor forhøjelsen maksimalt udgør 25 pct. af beløbet bevilget af bestyrelsen, er undtaget fra 2 pct. grænsen.

 

Hvis en grænse på 2 pct. medfører, at bestyrelsen ikke får et betryggende indblik i eksponeringernes samlede kreditkvalitet, skal bestyrelsen fastsætte en lavere grænse.

 

Grænsen kan i større virksomheder, der har tilladelse til at anvende IRB metoden til kapitaldækningsformål, sættes højere, hvis bestyrelsen får en rapportering om udviklingen i virksomhedens kreditrisici, som overstiger minimumskravene i nr. 27-32. For øvrige virksomheder kan grænsen ligeledes sættes højere, i det omfang eksponeringer over 2 pct. af virksomhedens kapitalgrundlag er ukomplicerede, som for eksempel privatkundeeksponeringer, eller hvor en grænse på 2 pct. vil medføre, at bestyrelsen skal bevilge uforholdsmæssigt mange eksponeringer. De virksomheder, der har en grænse over 2 pct., skal være særligt opmærksomme på, at rapporteringen på områderne nævnt i nr. 27-32 sammen med de eksponeringer, som bestyrelsen skal bevilge, rapporteringen fra den risikoansvarlige til bestyrelsen samt øvrige oplysninger om kreditrisici til bestyrelsen skal sikre, at bestyrelsen har et betryggende grundlag for at træffe de beslutninger, som fremgår af nr. 32. Dette omfatter beslutninger om forretningsmodellen, kreditpolitikken og retningslinjerne til direktionen samt direktionens opgavevaretagelse på kreditområdet.

 

6)   Retningslinjerne til direktionen skal indeholde bestemmelser om:

a)    Størrelsen af de eksponeringer, som direktionen kan bevilge uden bestyrelsens deltagelse.

b)    Hvorledes eksponeringen opgøres i henhold til retningslinjernes grænser.

c)    Direktionens beføjelser til at bevilge eksponeringer i presserende tilfælde (hastesager som efterfølgende forelægges bestyrelsen til efterretning).

d)   Beføjelser til at bevilge akkord/moratorium, nedsat rente, afskrivninger, frigivelse af sikkerheder og fastsættelse af nedskrivninger på udlån og hensættelser på garantier.

e)    Grænsen for eksponeringer, som direktionen kan bevilge, men som efterfølgende forelægges bestyrelsen til orientering.

 

Årlig gennemgang af de væsentligste eksponeringer

7)   Bestyrelsen skal i forbindelse med den årlige gennemgang af større aktiver og passiver, jf. § 6, stk. 3, nr. 3, gennemgå virksomhedens væsentligste eksponeringer. Bestyrelsen skal ved gennemgangen blandt andet vurdere risikoen og den lagte strategi for den enkelte eksponering, herunder tage stilling til behovet for opfølgning. Ved gennemgangen skal bestyrelsen tillige vurdere, om foretagne nedskrivninger m.v. er tilstrækkelige.

 

Direktionens ansvar ved ændringer i kreditpolitikken

8)   Direktionen skal sikre, at der ved bestyrelsens beslutning om ændringer i kreditpolitikken, jf. nr. 1-4, sker en betryggende indførelse heraf i virksomhedens organisation, herunder i virksomhedens forretningsgange, risikostyring, interne kontroller og rapportering.

 

Funktionsadskillelse på kreditområdet

9)   På kreditområdet skal der, jf. § 11, som hovedregel være etableret funktionsadskillelse mellem på den ene side en person, grupper af personer og organisatoriske enheder med ansvar for bevilling og etablering af kreditfaciliteter og på den anden side en person, grupper af personer og organisatoriske enheder med ansvar for kontrol og rapportering. For SIFI´er skal opgørelse af og beslutning om nedskrivninger og hensættelser endvidere foretages af en person, grupper af personer eller organisatoriske enheder, der ikke har medvirket ved bevilling af kreditfaciliteten. Der er ikke krav om funktionsadskillelse på direktionsniveau.

10) Hvis der jf. § 11, stk. 4, ikke opretholdes funktionsadskillelse på kreditområdet, skal virksomhedens kompenserende foranstaltninger omfatte uafhængige kontroller udført af en person, gruppe af personer eller organisatorisk enhed uden for kreditområdet.

11) Virksomheden skal sikre, at kvaliteten af uafhængige kontroller som kompenserende foranstaltning er betryggende. Dette indebærer for eksempel, at de uafhængige kontroller skal udføres af personer med indgående erfaring på kreditområdet.

12) Uafhængige kontroller af kreditområdet kan være stikprøvebaseret, hvis virksomheden kan godtgøre, at stikprøverne er repræsentative og tilvejebringer en høj grad af sikkerhed for, at opgavevaretagelsen er betryggende givet den valgte organisering af området.

13) En virksomhed, hvor det henset til virksomhedens begrænsede størrelse ikke er muligt at etablere fyldestgørende uafhængige kontroller i virksomhedens organisation, kan etablere andre kompenserende foranstaltninger, hvis den kan godtgøre, at opgavevaretagelsen er betryggende. Dette kan for eksempel omfatte en øget involvering af virksomhedens bestyrelse.

 

Forretningsgange på kreditområdet

 

Forretningsgange for bevilling af eksponeringer

14) Et pengeinstitut skal have forretningsgange, som fastlægger principper for bevilling af eksponeringer. Forretningsgangene skal sikre, at virksomheden har en passende viden om kundernes økonomiske forhold og de stillede sikkerheder, således at den har en tilstrækkelig viden om risikoen. Forretningsgangene skal sikre, at kreditbeslutninger i tilstrækkeligt omfang baseres på robustheden af kundens fremtidige indtjening og likviditet og ikke i for høj grad baseres på stillede sikkerheder, som kan falde i værdi. Forretningsgangene skal dog samtidig sikre, at risikoen i relevant omfang nedbringes ved, at virksomheden tager sikkerheder, bl.a. i form af pant samt kautioner fra hovedaktionærer.

a)    Et betryggende beslutningsgrundlag ved bevillinger vil almindeligvis som minimum indeholde følgende elementer:

-     Vurdering af robustheden af kundens fremtidige indtjening og likviditet samt kundens evne og vilje til at overholde indgåede forpligtelser, også ved en eventuel forværring af kundens økonomiske forhold.

-     For privatkunder oplysninger om bl.a. kundens reelle formue, gældsfaktor/gearing samt rådighedsbeløb under forudsætning af traditionel fast forrentet finansiering med afvikling.

-     For privatkunder, der køber fast ejendom, oplysninger om kundens økonomi efter købet.

-     For erhvervskunder oplysninger om bl.a. kundens nuværende og skønnede fremtidige indtjenings- og likviditetsforhold samt de reelle kapitalforhold og relevante koncernsammenhænge.

-     Beskrivelse og vurdering af stillede sikkerheder.

-     Oplysninger om, hvordan eksponeringen skal tilbagebetales og forrentes.

-     Analyse af låntagers muligheder for at overholde en hurtigere tilbagebetaling og en højere rente.

-     Andre oplysninger, der er relevante for virksomhedens vurdering af eksponeringens risiko og afvikling.

-     Virksomhedens samlede vurdering samt stillingtagen til, om den forventede indtjening står i et forsvarligt forhold til den risiko, virksomheden påtager sig ved bevillingen.

b)    I de situationer, hvor det er relevant, vil et beslutningsgrundlag almindeligvis videre som minimum indeholde:

-     En samlet risikovurdering af enhver form for projekter, for eksempel risikoen ved ledelse, styring, finansiering, udførelse, færdiggørelse, udlejning og salg.

-     Oplysninger om relevante kautionisters nuværende og skønnede fremtidige indtjenings- og likviditetsforhold samt de reelle kapitalforhold.

c)    Der skal foreligge dokumentation af enhver bevilling af kreditfaciliteter i form af et beslutningsgrundlag, jf. litra a og b.

15) Forretningsgangene for bevilling af eksponeringer vil endvidere almindeligvis indeholder principper for:

a)    I hvilke tilfælde virksomheden stiller krav om sikkerhedsstillelse, herunder de typer af sikkerhedsstillelser, som virksomheden kræver, for eksempel krav om pantsikkerhed ved finansiering af aktiver og kaution af hovedaktionær.

b)    Hvordan sikkerheder skal værdiansættes, således at disse værdiansættes forsigtigt i lyset af de gældende markedsforhold.

c)    I hvilket omfang anvendelsen af rating eller kreditscoring kan reducere kravene til det øvrige beslutningsgrundlag i de tilfælde, hvor virksomheden anvender ratings eller kreditscoremodeller i forbindelse med kreditvurderingen af låntager.

d)   Hvorledes eksponeringerne opgøres, herunder konsolidering af eksponeringer med indbyrdes forbundne kunder samt eksponeringer i form af markeds- og modpartsrisici.

16) I det omfang det er relevant for virksomheden, vil forretningsgangene for bevilling af eksponeringer endvidere almindeligvis indeholde principper for:

a)    Byggelånsfinansiering, herunder krav til et kvalificeret byggetilsyn, og hvorledes betalinger af byggerater skal ske i takt med byggeriets færdiggørelse.

b)    Finansiering af ejendomsudviklingsprojekter, herunder om egenfinansiering samt salg eller udlejning af en vis procentdel, inden projektet igangsættes.

c)    Hvorledes stop-loss klausuler fastsættes ved bevilling af eksponeringer, der indeholder sikkerhedsstillelse i værdipapirer eller positioner i afledte finansielle instrumenter.

d)   Hvorledes der tages højde for kreditrisikoen ved lån i fremmed valuta.

 

Forretningsgange for løbende overvågning af eksponeringer og kreditrisici i øvrigt

17) Et pengeinstitut skal have forretningsgange, som fastlægger principper for den løbende overvågning af eksponeringer og kreditrisici i øvrigt. Forretningsgangene skal sikre, at virksomheden på kundeog porteføljeniveau har et opdateret overblik over udviklingen i virksomhedens påtagne kreditrisici. Virksomheden vil dermed have et betryggende grundlag for at træffe beslutninger, som skal reducere kreditrisikoen.

a)    En betryggende overvågning af virksomhedens kreditrisici vil almindeligvis som minimum omfatte følgende elementer:

-     Korrekt løbende klassifikation ud fra den skønnede kreditrisiko, jf. nr. 19, herunder en test én gang årligt af, om virksomheden er i stand til at risikoklassificere kunderne korrekt.

-     Identifikation og håndtering af nødlidende eksponeringer samt øvrige eksponeringer med højere risiko end ønsket, og at der fastlægges handlingsplaner for det videre forløb for disse eksponeringer.

-     Opfølgning på virksomhedens koncentrationer af risici, herunder koncentrationer inden for specifikke brancher, koncentrationer inden for specifikke typer af sikkerheder og koncentrationer i form af store eksponeringer, der for eksempel overstiger 2 eller 5 pct. af virksomhedens kapitalgrundlag.

b)    En betryggende overvågning af virksomhedens enkelte eksponeringer vil almindeligvis som minimum omfatte følgende elementer:

-     En forsvarlig overtræksadministration, der sikrer, at virksomheden hurtigst muligt får identificeret og håndteret de kunder, hvor overtrækket eller restancen skyldes en forværring af kundens økonomi.

-     Både retningslinjer for en daglig behandling af overtræk og restancer og retningslinjer for en periodevis behandling af større eller gentagne overtræk og restancer, hvor gentagne overtræk og restancer som udgangspunkt er en OIV-hændelse, jf. punkt 19 i bilag 10 til bekendtgørelse for Færøerne om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl.

-     Gennemgang af regnskabsmateriale, årsopgørelser og budgetter m.v. fra låntagere og kautionister m.fl.

-     Løbende fyldestgørende, opdateret og forsigtig værdiansættelse af sikkerheder.

c)    Overvågning af eksponeringer med højere risiko end ønsket, kræver virksomhedens særlige bevågenhed og vil almindeligvis som minimum omfatte følgende elementer:

-     En handlingsplan, der konkretiserer virksomhedens fremadrettede tiltag overfor kunden, med henblik på tabsminimering eller reduktion af virksomhedens risko på kunden. En handlingsplan tager udgangspunkt i, om virksomheden ønsker at fastholde eller afvikle eksponeringen med kunden. Typisk vil handlingsplanen indeholde en stillingtagen til realisering af sikkerheder, etablering af nye sikkerheder, udvidelse eller opsigelse af kundens eksponering, løbende opfølgning af kundens drift, mødefrekvens m.v.

-     Retningslinjer for hvornår virksomheden skal indhente opdateret og revideret materiale om kundens økonomiske forhold samt hyppigheden af denne rapportering.

-     En stillingtagen til kundens reelle kapitalforhold. Vurderingen omfatter både de aktiver, som virksomheden har pant i, og andre aktiver, hvis disse har væsentlig betydning for kundens kapitalforhold.

d)   Det skal fremgå, hvorledes den årlige gennemgang af eksponeringer, som ikke er omfattet af bestyrelsens gennemgang, jf. § 6, stk. 3, nr. 3, skal foregå, herunder hvilke eksponeringer der skal gennemgås, på hvilke niveauer i organisationen gennemgangen skal foregå, og hvorledes rapportering af resultatet heraf skal ske.

e)    I de situationer, hvor det er relevant, vil overvågningen af virksomhedens eksponeringer almindeligvis videre omfatte:

-     Overvågning af byggelånsfinansiering, herunder ved et kvalificeret byggetilsyn og ved betalinger af byggerater i takt med byggeriets færdiggørelse.

-     Overvågning af enhver form for projekter, herunder af risikoen ved ledelse, styring, finansiering, udførelse, færdiggørelse, udlejning og salg.

-     Den løbende værdiansættelse af belånte pantebreve, herunder reguleringer for misligholdte pantebreve, overvågning af den fastsatte belåningsprocent, som er gældende for eksponeringen, samt pantebrevenes spredning, prioritetsstilling, udformning, øvrige indhold, omsættelighed og om den løbende administration af de belånte pantebreve.

-     Overvågning af kunders positioner i værdipapirer, afledte finansielle instrumenter og lån i fremmed valuta, herunder overholdelse af stop-loss klausuler.

f)    Forretningsgangene skal indeholde krav til hyppigheden for udførelsen af virksomhedens overvågning.

18) Et pengeinstitut, der har tilladelse til at udstede særligt dækkede obligationer, skal tillige have forretningsgange om løbende overvågning af LTV og om beregning og stillelse af supplerende sikkerhed i overensstemmelse med lovgivningen.

 

Forretningsgange for risikoklassifikation af kunderne

19) En virksomhed skal have forretningsgange, som fastlægger principper for risikoklassifikation af virksomhedens kunder ved anvendelse af modeller eller på anden måde for porteføljer. Forretningsgangene skal sikre, at virksomheden risikoklassificerer sine kunder korrekt, hvilket medvirker til, at virksomheden har et overblik over de kreditrisici, der er forbundet med dens kunder. For porteføljer, der ikke er omfattet af en IRB-tilladelse fra Finanstilsynet, vil forretningsgange for risikoklassifikation af virksomhedens kunder almindeligvis som minimum indeholde følgende elementer:

a)    For de virksomheder, der ikke anvender modeller til klassifikation af kunderne: Angivelse af de karakteristika, der kendetegner kunder med forskellig type bonitet. Dette omfatter som minimum en klassifikation svarende til Finanstilsynets karaktersystem.

b)    For de virksomheder, der anvender modeller til klassifikation af kunderne: Præcise beskrivelser af såvel model som vedtagne regelsæt, herunder hvilken skala der beskriver kundernes klassifikation.

c)    Retningslinjer, der sikrer, at virksomhedens klassifikation af kunderne ikke giver et for positivt billede af risikoen.

d)   Retningslinjer, der sikrer, at virksomhedens løbende kontrol og regelmæssige tests af klassifikationen er grundige og veldokumenterede.

 

Særligt om forretningsgange i forbindelse med belåning af fast ejendom

20) Et pengeinstitut, som belåner fast ejendom, herunder pantebreve, skal have forretningsgange herfor. Forretningsgangene skal tage højde for de reduktioner i værdierne, som kan forekomme. Dette kan ske ved fradrag (haircuts), som afspejler mulige fremtidige fald i værdierne. Herunder skal der tages højde for erfaringerne med forskelle i prisfald på forskellige typer ejendomme, bl.a. som følge af forskelle i robustheden af den likviditet som ejendommene skaber. Forretningsgangene skal fastlægge principper for:

a)    Forsigtig værdiansættelse af pant i fast ejendom, herunder løbende revurdering af værdiansættelsen set i lyset af de gældende markedsforhold.

b)    Hvorledes den forsigtige værdiansættelse af pant i fast ejendom opgøres, og hvilke aktuelle oplysninger der som minimum skal være til stede i virksomheden og indgå i vurderingen, herunder angående:

-     Ejendommens adresse, postnummer samt ejendomskategori, herunder en kort beskrivelse af ejendommen.

-     Bygningsarealer (fordeling på kontor, lager, butik m.v.).

-     Den løbende drift på udlejningsejendomme, herunder bruttoleje, nettoleje, afkastkrav, risikoen for lejenedsættelser, risikoen for yderligere tomgang samt aktuelle og forventede fremtidige driftsomkostninger.

-     Omkostninger til nødvendige investeringer.

-     Seneste købsdato og handelspris.

-     Aktuel og reel handelspris, hvor det skal forudsættes, at ejendommen sælges inden for 6 måneder.

-     Skønnede salgsomkostninger.

-     Foranstående prioriteter i form af aktuel restgæld og lånevilkår.

c)    Pengeinstituttets vurdering af risikoen for mulige fremtidige fald i ejendommens værdi, bl.a. i lyset af robustheden af den likviditet som ejendommen skaber.

d)   Hvilke typer af omkostninger, der skal fradrages ved realisation af sikkerheder i fast ejendom.

e)    Løbende overvågning af belåningsprocenten ved belåning af pantebreve i fast ejendom, krav til pantebrevenes spredning, prioritetsstilling, udformning, øvrige indhold og omsættelighed samt bestemmelser om en betryggende løbende administration af de belånte pantebreve.

 

Risikostyring på kreditområdet

 

Risikoansvarlig og risikostyringsfunktion

21) Den risikoansvarlige skal udover de generelle krav i bilag 7 overvåge, at der i virksomheden sker en forsvarlig styring af kreditrisiciene, herunder overvåge, at:

a)    Bevilling af engagementer foregår på betryggende vis.

b)    Der løbende sker en vurdering af, om der i virksomheden er tilstrækkelige ressourcer, viden og it-systemer m.v. til en betryggende opfølgning på og håndtering af virksomhedens kreditrisici.

c)    Der sker en rettidig identifikation af nødlidende eksponeringer samt øvrige eksponeringer med en højere risiko end ønsket, og at der fastlægges handlingsplaner for det videre forløb for disse eksponeringer.

d)   Der sker en konstatering af objektiv indikation for værdiforringelse og en opgørelse af nedskrivningsbehovet, som begge er i overensstemmelse med regnskabsreglerne.

e)    Der sker en rettidig og korrekt klassifikation af virksomhedens eksponeringer, herunder en test minimum en gang årligt af, om virksomheden er i stand til at risikoklassificere kunderne korrekt.

f)    Der løbende foretages en forsvarlig opfølgning på enkelteksponeringer, herunder særligt (hvor relevant), at der:

-     Sker en rettidig behandling af overtræk og restancer.

-     Løbende foretages en opfølgning på værdiansættelsen af de stillede sikkerheder.

-     Sker en rettidig opfølgning på virksomhedens investeringseksponeringer.

-     Løbende foretages en overvågning af byggelånsfinansiering og ejendomsudviklingsprojekter.

-     Løbende foretages en overvågning af udviklingen i belånte pantebreve.

g)    Der løbende foretages en vurdering af og stillingtagen til virksomhedens koncentrationer af risici.

h)    Der løbende foretages en vurdering af, om prisfastsættelsen af kreditrisici er forsvarlig i forhold til de påtagne kreditrisici.

22) Den risikoansvarlige skal endvidere udover de generelle krav i bilag 7 overvåge:

a)    At virksomhedens interne kontrolsystem på kreditområdet er betryggende, herunder at virksomheden har forretningsgange, der beskriver virksomhedens interne kontrolsystem på kreditområdet.

b)    At der i virksomheden er iværksat de fornødne kontrolprocedurer på kreditområdet, jf. § 20 samt nr. 24-26 i dette bilag.

c)    At rapportering, der udarbejdes til bestyrelsen og på andre niveauer, giver et retvisende billede af virksomhedens kreditrisici og aktiviteter på kreditområdet.

d)   At der i virksomheden sker en årlig gennemgang af eksponeringer, som ikke er omfattet af bestyrelsens gennemgang i henhold til § 6, stk. 3, nr. 3.

e)    At der løbende foreligger dokumentation af den risikoansvarliges arbejde på kreditområdet, herunder dokumentation om:

-     Hvilke opgaver der løses af den risikoansvarlige eller risikostyringsfunktionen, og hvilke opgaver der løses af andre med rapportering til den risikoansvarlige.

-     Alle den risikoansvarliges væsentlige konklusioner og hvem de er rapporteret til.

 

Videregivelse af bevillingsbeføjelser

23) Videregivne kreditbeføjelser skal udover de generelle krav i § 19 som minimum indeholde:

a)    Konkrete grænser for, hvor store eksponeringer og hvilke produkttyper modtageren af beføjelsen må bevilge.

b)   Hvilke kundekategorier der er omfattet af bevillingsbeføjelsen.

c)    Hvorledes eksponeringen opgøres i henhold til beføjelsens grænser.

d)   Beskrivelse af beføjelser til at bevilge eksponeringer i presserende tilfælde (hastesager som efterfølgende forelægges bestyrelsen til efterretning), herunder at antallet af disse bevillinger skal begrænses mest muligt.

e)    Konkrete grænser for beføjelser til bevilling af akkord/moratorium, nedsat rente, afskrivninger, frigivelse af sikkerheder og fastsættelse af nedskrivninger på udlån og hensættelser på garantier.

f)    Regler for bevilling af eksponeringer med højere risiko end ønsket, jf. nr. 2, litra b, herunder udlån med nedskrivning og garantier med hensættelse.

g)   Konkrete grænser for, hvilke af de bevilgede eksponeringer m.v. der skal rapporteres til den, der afgiver beføjelsen.

 

Kontroller på kreditområdet

24) Virksomheden skal, jf. § 20, etablere uafhængige interne kontroller af alle væsentlige aktiviteter på kreditområdet og have forretningsgange herfor. Der skal som minimum foretages regelmæssig intern kontrol af, at:

a)    Kreditpolitikken efterleves af virksomhedens medarbejdere.

b)    Bevillingsbeføjelserne overholdes.

c)    Der er funktionsadskillelse eller betryggende kompenserende foranstaltninger.

d)   Bevillingsgrundlaget, jf. nr. 14-16, er til stede ved bevilling af kreditrisici.

e)    Eksponeringerne etableres korrekt, herunder med korrekte dokumenter, iagttagelse af sikringsakter m.v.

f)    Der sker betryggende opfølgning på overtræk og restancer.

g)    Der sker betryggende identifikation og opfølgning på nødlidende eksponeringer samt øvrige eksponeringer med en højere risiko end ønsket, herunder at der fastlægges handlingsplaner for det videre forløb af disse eksponeringer.

h)    Risikoklassifikationen af kunderne er opdateret og klassificerer kunderne korrekt.

i)     Der sker betryggende opfølgning på virksomhedens koncentrationer af risici, herunder inden for specifikke brancher, koncentrationer inden for specifikke typer af sikkerheder og koncentrationer i form af store eksponeringer, der for eksempel overstiger 2 eller 5 pct. af virksomhedens kapitalgrundlag.

j)     Der foretages de nødvendige nedskrivninger på udlån og hensættelser på garantier i overensstemmelse med regnskabsreglerne.

25) Virksomhedens interne kontroller på kreditområdet kan ske ved stikprøvevise gennemgange, hvis disse giver tilstrækkelig sikkerhed for, at aktiviteterne på de kontrollerede områder sker på betryggende vis.

26) Virksomheden skal dokumentere de foretagne interne kontroller.

 

Rapportering til bestyrelsen på kreditområdet

27) Bestyrelsen skal mindst hvert kvartal modtage rapportering på kreditområdet. Mindst to af rapporteringerne i løbet af et år skal i fuldt omfang opfylde kravene i nr. 28-32, mens de øvrige rapporteringer kan være mindre omfattende.

28) Rapporteringen til bestyrelsen skal belyse, hvordan virksomheden efterlever de enkelte elementer i kreditpolitikken, jf. nr. 2-4, samt bestyrelsens retningslinjer til direktionen på kreditområdet, jf. nr. 6.

29) Rapporteringen skal give bestyrelsen et dækkende overblik over virksomhedens samlede kreditrisici og relevante opdelinger heraf samt overblik over udviklingen i kreditrisici over tid.

30) Så vidt det er muligt, skal der i rapporteringen til bestyrelsen mindst én gang årligt være benchmarking til sammenlignelige pengeinstitutter eller realkreditinstitutter. I forbindelse hermed skal der, bl.a. baseret på Finanstilsynets offentliggjorte redegørelser, tages stilling til, i hvilket omfang disse institutter forekommer veldrevne.

31) I det omfang det er relevant for bestyrelsens forståelse af rapporteringen gælder for alle dele heraf, at rapporteringen af talmateriale skal suppleres med understøttende beskrivelser, analyser og vurderinger. Dette gælder særligt ved indikationer af væsentligt forhøjede kreditrisici.

32) Formålet med rapporteringen er at bidrage til bestyrelsens grundlag for at træffe beslutninger om virksomhedens kreditrisici, herunder ændringer i forretningsmodellen, kreditpolitikken og retningslinjerne til direktionen. Tilsvarende skal rapporteringen bidrage til bestyrelsens grundlag for at vurdere, om direktionen løser opgaverne på kreditområdet tilfredsstillende.

 

Regnskabsmæssig praksis

33) En virksomhed, der i medfør af regnskabsbestemmelser er forpligtet til at indregne beløb under regnskabsposten ”Nedskrivninger på udlån og tilgodehavender m.v.” i virksomhedens års- og/eller delårsrapport, skal have betryggende dokumentation for, hvordan nedskrivningerne er fremkommet. Kravene nedenfor skal ses som et supplement til kravene til dokumentation og sandsynliggørelse i bilag 10 til bekendtgørelse for Færøerne om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl.

a)    For individuelt vurderede udlån vil betryggende dokumentation som minimum indeholde følgende:

-     For de udlån, hvor der er indtrådt individuel objektiv indikation for værdiforringelse, og hvor hovedreglen om individuelt beregnede nedskrivninger anvendes, skal der foreligge en nedskrivningsberegning. Beregningen skal lede frem til den nedskrivning, der er indregnet i regnskabet, hvilket kan være en nedskrivning på nul.

-     For de udlån, hvor der er indtrådt individuel objektiv indikation for værdiforringelse, og hvor der anvendes statistisk beregnede nedskrivninger i overensstemmelse med § 52, stk. 6 i bekendtgørelse for Færøerne om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl., skal der foreligge beskrivelser af, hvordan de statistisk beregnede nedskrivninger, der er indregnet i regnskabet, er opgjort.

-     For alle svage udlån, hvor virksomheden vurderer, at der ikke er indtrådt objektiv indikation for værdiforringelse, skal det fremgå, hvorfor der ikke er indtrådt en indikation. Svage udlån omfatter i denne forbindelse som minimum udlån svarende til Finanstilsynets bonitetskategori 2c.

-     For hvert udlån, hvor en nedskrivning er delvist tilbageført i forhold til sidste regnskabsaflæggelse, skal der foreligge en nedskrivningsberegning, som leder frem til det reducerede nedskrivningsbehov.

-     For hvert udlån, hvor en nedskrivning er helt tilbageført i forhold til sidste regnskabsaflæggelse, skal der foreligge dokumentation for, at den pågældende indikation ikke længere er til stede, eller at der i øvrigt er indtrådt en eller flere begivenheder, som har en tilstrækkelig positiv indvirkning på de forventede fremtidige betalingsstrømme.

b)    For gruppevist vurderede udlån vil betryggende dokumentation som minimum indeholde:

-     Dokumentation for, at bestyrelsen og direktionen har forholdt sig til de resultater, der er beregnet ved de anvendte modeller for gruppevise nedskrivninger. Herunder dokumentation for at bestyrelsen og direktionen har korrigeret i forhold til de modelbaserede gruppevise nedskrivninger, hvis det vurderes, at modellerne ikke eller ikke fuldt ud tager højde for alle relevante forhold i overensstemmelse med regnskabsreglerne.

-     For hver gruppe af udlån, hvor en gruppevis nedskrivning er delvist tilbageført i forhold til sidste regnskabsaflæggelse, skal der foreligge en nedskrivningsberegning, som viser, at der ikke længere er det samme nedskrivningsbehov.

-     For hver gruppe af udlån, hvor en gruppevis nedskrivning er helt tilbageført i forhold til sidste regnskabsaflæggelse, skal virksomheden dokumentere enten, at den pågældende indikation ikke længere er til stede, eller at der i øvrigt er indtrådt en eller flere begivenheder, som har en tilstrækkelig positiv virkning på gruppens forventede fremtidige betalingsstrømme.

34) En virksomheds vurdering af, om der i en års- eller delårsrapport skal indregnes en nedskrivning på et udlån, skal bygge på de senest tilgængelige informationer om den pågældende låntagers økonomiske forhold på balancetidspunktet. Dette indebærer, at virksomheden, hvis det er praktisk muligt, skal indhente opdateret revideret materiale om låntager (for eksempel en årsrapport). Desuden skal virksomheden på anden vis sørge for at opdatere sin viden om låntageren til brug for vurderingen pr. balancedagen, herunder i form af budgetopfølgning, perioderegnskaber, kontoforhold, referater fra møder eller telefonsamtaler.

 

 

 

 

Bilag 2

Markedsrisiko

 

Anvendelsesområder og definitioner

1)   Ved markedsrisici forstås rente-, valuta-, aktie-, og råvarerisici, herunder relaterede risici, der er forbundet med afledte finansielle instrumenter, for eksempel optionsrisici. Renterisici omfatter blandt andet renterisici på alle balance- og ikke-balanceførte poster, herunder også på fastforrentede ind- og udlån og fastforrentet funding. Renterisici omfatter endvidere rentestrukturrisici.

2)   Virksomheden skal have procedurer til at identificere, vurdere og styre risikoen som følge af ændringer i rentesatser, kurser, priser og øvrige mål og værdier på markedsrisikoområdet, inklusiv virksomhedens ikke-handelsmæssige aktiviteter.

 

Bestyrelsens opgaver og ansvar

 

Markedsrisikopolitikken

3)   Politikken på markedsrisikoområdet skal udover de i § 4, stk. 1, indeholdte generelle krav som minimum indeholde relevante overordnede anvisninger om

a)    hvilke typer af risici, virksomheden henregner til markedsrisikoområdet,

b)    det ønskede eller acceptable risikoniveau samlet og for de enkelte typer af markedsrisiko, eksempelvis ved angivelse af, om risikoen kan være lav, mellem eller høj,

c)    angivelse af med hvilke formål de enkelte typer af markedsrisici må påtages, eksempelvis risikoafdækning, aktiv risikotagning eller handel for kunder, og

d)   principper for den organisatoriske ansvarsfordeling på markedsrisikoområdet, herunder for risikotagning, risikostyring, kontrol og rapportering.

4)   Politikken skal afspejle kompleksiteten af virksomhedens forretninger på markedsrisikoområdet, og skal samtidig afspejle markedsrisikoområdets betydning for virksomhedens samlede indtjening og risiko. Politikken skal særligt tage højde for de enkeltrisici, der kan have betydning for virksomhedens indtjening og solvens. Risici, der er ubetydelige i forhold til virksomhedens solvens og indtjening, kan afgrænses mere summarisk:

a)    Eksempelvis skal en stor virksomhed med omfattende og / eller komplekse forretninger på markedsrisikoområdet have en tilsvarende omfattende politik. For de typer af markedsrisici, som bestyrelsen har besluttet, at virksomheden kan tage, men som er ubetydelige for virksomheden, kan bestyrelsen nøjes med at fastsætte, at disse skal holdes på et minimum.

b)    En mindre virksomhed, der eksempelvis placerer likviditet i danske statsobligationer og lignende instrumenter og ikke har andre aktiviteter på markedsrisikoområdet, kan omvendt have en relativt simpel politik, der kun omfatter renterisikoen. Har virksomheden renterisiko udenfor handelsbeholdningen, for eksempel fastforrentede ind- og udlån, skal dette dog afspejles i politikken.

 

Bestyrelsens retningslinjer til direktionen på markedsrisikoområdet

5)   På markedsrisikoområdet skal retningslinjerne opfylde de i § 7 fastsatte generelle krav, og i det omfang det er relevant for den finansielle virksomhed, indeholde

a)    grænser for den finansielle virksomheds samlede rente-, valuta-, aktie- og råvarerisici,

b)    hvorledes de enkelte risici opgøres, og hvorledes de enkelte instrumenter medregnes ved opgørelsen,

c)    grænser for særlige risici, der knytter sig til komplekse eller usædvanlige produkter, herunder risici ved strukturerede produkter, eller til virksomhedens aktiviteter på markedsrisikoområdet i øvrigt som for eksempel optionsrisici, rentekurverisici, spændrisici m.v., medmindre omfanget af disse risici er af uvæsentlig størrelse,

d)   angivelse af, med hvilket formål værdipapirer, valutaer og afledte finansielle instrumenter må handles, for eksempel risikoafdækning, aktiv risikotagning eller handel for kunder,

e)    hvilke valutaer eller grupper af valutaer, der må handles eller tages positioner i, og til hvilke formål der må handles henholdsvis tages positioner,

f)    hvilke typer af finansielle instrumenter, der må handles eller tages positioner i, og

g)    bestemmelser om, på hvilke markeder eller handelspladser samt i hvilke lande eller grupper af lande der må handles.

6)   For pengeinstitutter med tilladelse til at udstede SDO’er skal politikken og retningslinjerne på markedsrisikoområdet udformes under iagttagelse af de relevante bestemmelser i bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

 

Risikoopgørelser og opgørelser af gevinst/tab m.v.

7)   Såfremt virksomheden selv beregner risici og gevinst eller tab samt værdier af finansielle instrumenter og andre poster med markedsrisici, skal direktionen sikre, at virksomheden har betryggende metoder hertil, herunder at det kan kontrolleres, at det sker korrekt.

8)   Såfremt virksomheden indhenter risikoopgørelser og opgørelser af gevinst eller tab samt værdier af finansielle instrumenter og andre poster med markedsrisici fra eksterne parter, skal direktionen sikre sig, at de pågældende udfører opgaven på en betryggende måde. Direktionen skal desuden sikre sig, at virksomheden løbende evaluerer, om de fra eksterne parter modtagne og anvendte kurser, parametre m.v. er korrekte og dermed sikrer et retvisende billede af virksomhedens risici samt korrekt opgjorte regnskabsposter.

 

Konstatering af om risici ligger inden for beføjelser

9)   Det skal være muligt for disponerende medarbejdere at konstatere, om de handler, de har til hensigt at indgå, ligger inden for deres beføjelser. Tilsvarende gælder ved kollektive beføjelser, hvor flere medarbejdere kan disponere inden for en fælles beføjelse.

10) Pkt. 9 gælder også, hvor medarbejdere disponerer i henhold til beføjelser modtaget fra kunder under en aftale om diskretionær porteføljepleje.

 

Kontroller på markedsrisikoområdet

11) Kontrollerne af virksomhedens markedsrisikobehæftede aktiviteter vil afhænge af omfanget og kompleksiteten på området. Kontrollerne skal omfatte kontrol af

a)    om beføjelser overholdes, idet samtlige grænser og samtlige personer, der har beføjelser, skal være omfattet af kontrollen; det skal herunder kunne konstateres, om beføjelser overholdes indenfor dagen; virksomheder med en vis aktivitet på området skal foretage intra-dag kontrol, som minimum på stikprøvebasis, idet stikprøvens størrelse og hyppighed skal afspejle aktivitetsomfanget,

b)    om opgørelse af og rapportering om positioner og risici sker korrekt,

c)    om investeringsgrænser i porteføljeplejeaftaler med kunder overholdes,

d)   om handler indgås til korrekte kurser og priser,

e)    om gevinst eller tab på markedsrisikobehæftede dispositioner for egen og for kunders regning opgøres korrekt,

f)    afstemning af beholdninger af værdipapirer, finansielle instrumenter og konti, og

g)    om de fra eksterne parter modtagne og anvendte kurser, parametre m.v. er korrekte og dermed sikrer et retvisende billede af virksomhedens risici.

12) For pengeinstitutter med tilladelse til at udstede SDO’er skal kontrollerne på markedsrisikoområdet udformes, så de sikrer en iagttagelse af de relevante bestemmelser i bekendtgørelse for Færøerne om obligationsudstedelse, balanceprincip og risikostyring.

 

Rapportering på markedsrisikoområdet

13) For pengeinstitutter med tilladelse til at udstede SDO’er skal rapporteringen på markedsrisikoområdet udformes, så den også omfatter de grænser, der fremgår af bekendtgørelse om obligationsudstedelse, balanceprincip og risikostyring.

 

 

 

 

Bilag 3

Operationelle risici

 

Anvendelsesområder og definitioner

1)   Ved operationel risiko forstås risiko for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, herunder juridiske risici. Omdømmerisiko og strategiske risici anses ikke for operationelle risici i denne bekendtgørelse, men skal i det omfang, det er relevant, behandles efter de samme principper som operationelle risici.

2)   Ved modelrisiko forstås virksomhedens potentielle tab som konsekvens af beslutninger, der hovedsagelig baseres på output fra interne modeller, på grund af fejl i udviklingen, gennemførelsen eller anvendelsen af sådanne modeller.

3)   Med hændelser forstås begivenheder, der kan medføre tab, har medført tab eller som kunne have medført tab, jf. nr. 1, for virksomheden.

 

Bestyrelsens opgaver og ansvar

 

Politikken for operationel risiko

4)   Politikken for operationel risiko skal udover de i § 4 indeholdte generelle krav omfatte

a)    en identifikation af hvilke typer af hændelser, som virksomheden kan blive ramt af og som kan medføre tab, som bestyrelsen ikke kan acceptere,

b)    principperne for opsamling af oplysninger om hændelser, der kan anses for henhørende under området for operationelle risici, samt i hvilket omfang sådanne hændelser skal registreres,

c)    efter hvilke overordnede principper virksomheden skal indrettes med henblik på at holde operationelle risici på et for bestyrelsen acceptabelt niveau,

d)   arten og størrelsen af de stedfundne hændelser og tab, der skal ske rapportering om til bestyrelsen, og

e)    principperne for rapportering om operationelle risici til bestyrelsen i øvrigt.

5)   Bestyrelsen skal i politikken, i det omfang det er relevant, forholde sig til

a)    særlige operationelle risici knyttet til virksomhedens forretningsmodel og aktiviteter,

b)    integrationen, stabiliteten og egnetheden af virksomhedens it-systemer,

c)    omfanget af manuelle rutiner, for eksempel i forbindelse med kontrol og afvikling af handler, kontroller og ikke-integrerede it-systemer,

d)   afhængighed af eksterne forhold, herunder underleverandører,

e)    organisation, herunder omfanget af interne kontroller og eventuel manglende mulighed for at etablere funktionsadskillelse,

f)    fysisk sikkerhed og

g)    modelrisiko.

6)   Bestyrelsen skal være særligt opmærksom på hændelser, der forventes at indtræde med lav sandsynlighed, men med store tab.

7)   Bestyrelsen skal tage stilling til relevante hændelser, og hvorledes disse forebygges eller imødegås. Politikken skal afspejle virksomhedens størrelse og kompleksitet. Hændelser, der ikke skønnes at kunne medføre tab af betydning, kan behandles summarisk i politikken. En stor eller kompleks virksomhed vil alt andet lige skulle have en mere omfattende politik end en lille og ikke-kompleks virksomhed.

 

Bestyrelsens retningslinjer til direktionen på området for operationel risiko

8)   Bestyrelsen skal i sine retningslinjer til direktionen, jf. §§ 6 og 7, fastsætte

a)    principper for indretningen og driften af virksomheden med henblik på at holde operationelle risici på et for virksomheden acceptabelt niveau,

b)    principper for, hvorledes operationelle risici skal opgøres,

c)    principper for, herunder eventuelle beløbsmæssige grænser for, registrering af oplysninger om hændelser, der har medført tab eller som kunne have medført tab som følge af operationelle risici, og

d)   retningslinjer for rapportering om operationelle risici og tab som følge heraf, jf. pkt. b og c til bestyrelsen.

 

Direktionens opgaver og ansvar

9)   Direktionen skal indrette den finansielle virksomhed således, at operationelle risici begrænses, særligt at de styres inden for de principper, der er fastsat af bestyrelsen samt sikre, at alle relevante medarbejdere har kendskab til virksomhedens politik for operationelle risici.

10) Det påhviler direktionen at sikre, at

a)    oplysninger om hændelser, der medførte tab, eller som kunne have medført tab, registreres i overensstemmelse med bestyrelsens politik for operationelle risici og retningslinjerne,

b)    der er effektive systemer og metoder til at kommunikere og opbevare oplysninger om operationelle risici,

c)    alle medarbejdere har tilstrækkelig viden om operationelle risici til at løse deres opgaver på området,

d)   områder, systemer og produkter, der kan medføre væsentlige operationelle risici identificeres, samt at

e)    der er forretningsgange for opsamling, opgørelse og rapportering om tab og eventuelt opstået risiko for tab.

11) Direktionen skal på forhånd vurdere om og i hvilket omfang, beslutninger kan medføre operationelle risici, der er i strid med den af bestyrelsen fastsatte politik og strategi på området. Dette gælder såvel for principielle beslutninger på forretningsmæssige områder, herunder udførelser af nye tjenesteydelser eller handel med nye finansielle instrumenter, som væsentlige beslutninger om virksomhedens drift og indretning. Dette kan kræve, at direktionen inddrager den risikoansvarlige, jf. § 16 samt bilag 7.

12) Direktionen skal løbende vurdere, om der er områder, hvor de operationelle risici skal søges minimeret og i givet fald fastlægge en handlingsplan for dette.

 

 

 

 

Bilag 4

Likviditetsrisici

 

Anvendelsesområder og definitioner

1)   Med likviditetsrisici forstås risikoen for

a)    at virksomhedens omkostninger til likviditetsfremskaffelse stiger uforholdsmæssigt meget,

b)    at manglende finansiering forhindrer virksomheden i at opretholde sin nuværende forretningsmodel og

c)    at virksomheden ultimativt ikke kan opfylde sine betalingsforpligtelser på grund af manglende finansiering.

2)   Bestemmelserne i dette bilag er underlagt det generelle proportionalitetshensyn, som angivet i § 2. Udover de i § 2 angivne forhold, skal bestyrelse og direktion ved fastlæggelse af, hvilke foranstaltninger der er tilstrækkelige for at overholde de i bilag 4 angivne bestemmelser, også tage hensyn til instituttets likviditetsmæssige kompleksitet, risikoprofil og arbejdsområde. Desuden skal der tages højde for instituttets betydning i de lande, hvor det udøver aktiviteter, herunder identifikation som systemisk institut.

 

Bestyrelsens opgaver og ansvar på likviditetsområdet

 

Likviditetspolitikken

3)   Bestyrelsen skal vedtage en skriftlig likviditetspolitik, jf. § 4, stk. 2, nr. 5. Likviditetspolitikken skal afhængigt af den finansielle virksomheds størrelse og sammensætning på juridiske enheder, den overordnede risikoprofil og kompleksiteten af virksomhedens likviditetsrisiko angive, hvilken likviditetsrisikoprofil bestyrelsen ønsker, at virksomheden skal have.

4)   Bestyrelsen skal sikre, at likviditetspolitikken er tilpas forsigtig og til enhver tid sikrer en forsvarlig likviditet, herunder en forsvarlig likviditetsreserve og en forsvarlig finansieringsstruktur.

5)   Likviditetspolitikken skal som minimum indeholde principper for følgende forhold

a)    hvordan virksomheden opgør sine likviditetsrisici,

b)    virksomhedens finansieringsstruktur,

c)    størrelsen og sammensætningen af virksomhedens likviditetsreserve,

d)   grænser for virksomhedens likviditetsrisici i relevant omfang opgjort for forskellige tidshorisonter,

e)    metoder til vurdering af potentielle likviditetsmæssige virkninger af institutspecifikke og markedsomfattende stress, for eksempel i form af hvilke likviditets stresstest virksomheden skal udføre,

f)    en beredskabsplan for fremskaffelse af funding, herunder en definition af hændelser som medfører, at planen skal iværksættes, definition af tidlige indikatorer for potentiel krisesituation, muligheder for at skaffe likviditet via salg eller belåning af aktiver og udnyttelse af lånefaciliteter, en strategi for håndtering af yderligere aktivbehæftelse som følge af stress i det omfang dette er relevant og en prioritering af de enkelte tiltag inklusiv sandsynligheden for, at de enkelte tiltag kan gennemføres indenfor den forventede tidshorisont,

g)    principper for opgørelse og fordeling af likviditetsomkostninger i relevant omfang,

h)    eventuelle juridiske eller andre begrænsninger på overførsel af aktiver indenfor virksomheden, herunder om de forskellige former for aktiver anerkendes indenfor likviditetsreglerne i de lande, som virksomheden opererer i,

i)     procedurer for opfølgning på likviditetspolitikken, jf. § 5, stk. 1,

j)     den løbende rapportering til bestyrelsen, og

k)    principper for tilgangen til behæftelse af aktiver, herunder bestemmelser om overvågning og styring af virksomhedens behæftelsesniveau og de medfølgende risici samt principper for opgørelsen heraf i relevant omfang.

6)   Hvis virksomheden vurderes at være systemisk relevant i et eller flere af de lande, hvor den udfører aktiviteter, skal bestyrelsen tillige sikre, at likviditetspolitikken i tilstrækkelig grad tager højde herfor. I lande hvor systemisk relevante virksomheder er defineret som SIFI, kan virksomheden anvende samme definition.

 

Bestyrelsens retningslinjer til direktionen på likviditetsområdet

7)   Retningslinjerne til direktionen skal udover de i §§ 6 og 7 indeholdte generelle krav udmønte likviditetspolitikken i konkrete retningslinjer, der skal indeholde bestemmelser om:

a)    Opgørelse af likviditet i henhold til gældende regulatoriske likviditetskrav.

b)    Metoder til opgørelse af likviditetsrisici og tidshorisonter for opgørelserne. Opgørelserne af likviditetsrisici skal omfatte både balanceførte og ikke-balanceførte poster.

c)    Sammensætningen af virksomhedens likviditetsreserve, herunder hvilke aktiver, der kan indgå i reserven, og en opdeling af disse i meget likvide aktiver og likvide aktiver, samt andelen af de ubehæftede aktiver, som kan anvendes som sikkerhed, hvis der opstår ikke-forventede finansieringsbehov.

d)   Grænser for virksomhedens samlede likviditetsrisici.

e)    Grænser for anvendelsen af og koncentration af de forskellige fundingtyper i relevant omfang.

f)    Grænser for løbetid på funding i relevant omfang.

g)    Grænser for valutaer og geografisk koncentration, i det omfang det er relevant.

h)    Metoder til vurdering af potentielle likviditetsmæssige virkninger af institutspecifikke og markedsomfattende stress, for eksempel i form af likviditets stresstest. Metoderne bør tage højde for virkningerne af institutspecifik stress, markedsomfattende stress og kombinerede alternative scenarier. De bør desuden tage hensyn til forskellige perioder og grader af stressvilkår og stressvilkårene bør tage højde for usandsynlige, men ikke helt utænkelige forhold. Antagelserne der ligger til grund for vurderingen skal tages op til revision mindst én gang årligt. Virksomheden skal, i det omfang det er relevant, inddrage ikke-balanceførte poster og andre eventualforpligtelser, herunder securitiseringsenheder med særligt formål (SSPE) eller andre enheder med et særligt formål, hvor virksomheden fungerer som administrator eller yder væsentlig likviditetsstøtte.

i)     Krav til ledelsestiltag og tidshorisonter i beredskabsplanen for fremskaffelse af funding, herunder at det påhviler direktionen at afprøve elementerne i beredskabsplanen mindst én gang årligt.

j)     Krav om, hvornår virksomheden skal etablere lokale beredskabsplaner, herunder som minimum, hvis virksomheden har juridiske enheder, hvor likviditeten ikke flyder frit mellem enhederne.

k)    Bestemmelser om, under hvilke omstændigheder direktionen skal sikre sig bestyrelsens stillingtagen til, om den finansielle virksomhed skal fastholde de valgte risikoniveauer samt proceduren herfor.

8)   For pengeinstitutter med tilladelse til at udstede særligt dækkede obligationer skal politikken, retningslinjerne, forretningsgange, kontroller og rapportering på likviditetsområdet udformes under iagttagelse af de relevante bestemmelser i bekendtgørelse for Færøerne om obligationsudstedelse, balanceprincip og risikostyring.

9)   Direktionen i virksomheder, som foranstalter revolverende securitiseringstransaktioner, der er underlagt en bestemmelse om indfrielse før tid, skal sikre, at de relevante organisatoriske enheder udarbejder likviditetsplaner med henblik på at tage højde for virkningerne af både indfrielse ved udløb og indfrielse før tid.

 

Direktionens opgaver og ansvar på likviditetsområdet

 

10) Direktionen skal sikre, at der ved introduktion af nye produkter med likviditetsrisici og ved væsentlige ændringer i bestående produkter, der øger instituttets likviditetsrisici, jf. § 23 og § 24, sker en betryggende indførelse heraf i virksomhedens organisation, herunder i virksomhedens forretningsgange, risikostyring, rapportering og interne kontroller.

 

Forretningsgange på likviditetsområdet

 

Forretningsgange for den løbende opgørelse af likviditetsstrømme

11) En virksomhed skal have forretningsgange for den løbende identifikation, måling, styring og overvågning af virksomhedens likviditetsstrømme, der ud over de generelle krav i § 13 kan indeholde:

a)    Bestemmelser om, hvilke metoder virksomheden har valgt til opgørelse af virksomhedens likviditetsstrømme.

b)    Bestemmelser om fastlæggelse af et forventet tidspunkt for mulig realisering af aktiver, som påvirker likviditeten, og hvordan aktiverne kan realiseres i overensstemmelse med virksomhedens forventninger.

c)    Bestemmelser om antagelser om tidspunktet for udløb for aktiver og passiver, som kan være både kontraktuelt bestemt og adfærdsbestemt.

d)   Bestemmelser om løbende revurdering af opgørelserne for virksomhedens likviditetsstrømme, herunder validering af antagelserne om likviditetsstrømme.

e)    Bestemmelser som sikrer, at virksomheden, i det omfang det er relevant, tager hensyn til lovgivningsmæssige, administrative og operationelle begrænsninger, som påvirker mulighederne for at overføre likviditet og ubehæftede aktiver mellem enheder i forskellige lande.

 

Forretningsgange for opgørelse af modtagne og stillede sikkerheder

12) En virksomhed skal, i det omfang det vurderes relevant, have forretningsgange for opgørelse af modtagne og stillede sikkerheder, der ud over de generelle krav i § 13 som minimum skal indeholde:

a)    Bestemmelser, der sikrer, at virksomheden identificerer og estimerer aktuelle og potentielle behov for at stille sikkerheder og modtage sikkerheder over forskellige tidshorisonter.

b)    Bestemmelser, der fastlægger, hvordan virksomheden skal beregne likviditetsværdien af virksomhedens nuværende og potentielle sikkerheder. Likviditetsværdien er den værdi, som virksomheden kan forvente at opnå, hvis en sikkerhed skal sælges eller belånes i en krisesituation. Likviditetsværdien svarer normalt ikke til den regnskabsmæssige værdi.

c)    Bestemmelser, der sikrer, at likviditetsværdien altid opgøres forsigtigt, og at virksomheden tager højde for, at det kan være meget vanskeligt at sælge eller belåne visse aktiver indenfor en rimelig tidshorisont. Virksomheden skal ved beregning af likviditetsværdi anvende et relevant fradrag, hvor udsving i aktivets markedsværdi er et væsentligt element.

d)   Bestemmelser, der sikrer, at virksomheden tager højde for eventuelle juridiske og operationelle begrænsninger i forbindelse med belåning eller salg af sikkerheder.

 

Risikostyring, kontroller og rapportering

 

Risikoansvarlig og risikostyringsfunktion

13) Den risikoansvarlige skal, udover de generelle krav i § 16 og bilag 7, sikre, at der i virksomheden sker en forsvarlig styring af likviditetsrisiciene, herunder sikre:

a)    At virksomhedens likviditet, herunder intradagslikviditeten, løbende overvåges og kontrolleres.

b)    At beredskabsplanen afprøves mindst én gang årligt i videst muligt omfang. Som eksempel kan salg af datterselskaber være undtaget fra regelmæssig afprøvning.

c)    At instituttets antagelser om likviditetsstrømme valideres, og at valideringen dokumenteres.

d)   At de fastlagte grænser løbende revurderes.

e)    At niveau og udvikling i omfanget af aktivbehæftelse, samt typer af aktivbehæftelse og relaterede kilder til behæftelse, som for eksempel sikret finansiering, løbende overvåges.

f)    At mængden og kreditkvaliteten af ubehæftede, men behæftbare aktiver overvåges.

g)    At mængden og typen af eventuel yderligere behæftelse af aktiver, som kan resultere fra stress scenarier, overvåges.

 

Kontroller på likviditetsområdet

14) Virksomheden skal, jf. § 20 etablere uafhængige interne kontroller af alle væsentlige aktiviteter på likviditetsområdet. Der skal som minimum foretages regelmæssig intern kontrol af, at

a)    likviditetspolitikken efterleves af virksomhedens medarbejdere,

b)    bevillingsbeføjelserne overholdes og

c)    rapporteringen i virksomheden er korrekt.

15) Virksomheden skal dokumentere de foretagne interne kontroller.

 

 

 

 

Bilag 5

It-sikkerhed

 

Anvendelsesområde og definitioner

1)   Dette bilag indeholder bestemmelser om de i bekendtgørelsen omhandlede forhold, der særligt relaterer sig til it-området, herunder it-sikkerhedsstyringen.

 

Bestyrelsens opgaver og ansvar

2)   Bestyrelsen skal beslutte en it-sikkerhedspolitik for virksomheden.

3)   It-sikkerhedspolitikken skal ud fra den ønskede risikoprofil på it-området indeholde en overordnet stillingtagen til alle væsentlige forhold vedrørende it-sikkerheden. Hvad der er væsentligt afhænger bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af virksomhedens it-anvendelse. Følgende forhold kan for eksempel være relevante at tage stilling til:

a)    Organisering af it-arbejdet, herunder funktionsadskillelse mellem

–     systemudvikling/-vedligeholdelse,

–     it-drift og

–     virksomhedens forretningsførelse.

b)    Regelmæssig risikovurdering.

c)    Beskyttelse af systemer, data, maskinel og kommunikationsveje.

d)   Systemudvikling og vedligeholdelse af systemer.

e)    Driftsafvikling.

f)    Backup og sikkerhedskopiering.

g)    Målsætning for beredskabsplaner.

h)    Kvalitetssikring.

i)     Principper for implementering af politikken i uddybende retningslinjer, forretningsgange og instrukser.

j)     Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler.

k)    Overholdelse af relevant lovgivning.

l)     Rapportering, kontrol og opfølgning.

m)   Eventuelle dispensationer fra it-sikkerhedspolitikken.

4)   Bestyrelsen skal regelmæssigt og mindst én gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

5)   It-sikkerhedspolitikken skal i videst mulig omfang være uafhængig af den anvendte teknologi.

 

Direktionens opgaver og ansvar

6)   Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves. Direktionen skal uddybe itsikkerhedspolitikken i procedurer m.v., der understøtter, at

a)    ansvar, herunder ejerskab for it-processer og ressourcer er placeret,

b)    funktionsadskillelsen bliver overvåget,

c)    der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder,

d)   systemer og data klassificeres og prioriteres,

e)    systemer (både basis- og brugersystemer) og konfiguration (hardware) samt ændringer hertil dokumenteres,

f)    der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne,

g)    der anskaffes tilstrækkelige it-ressourcer,

h)    systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende,

i)     der foretages tests og anden kvalitetssikring,

j)     der foretages ændringshåndtering og problemstyring,

k)    der sker adgangskontrol til systemer og data, og

l)     der er tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol.

7)   Herudover skal direktionen sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer, samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje i overensstemmelse med bestyrelsens målsætning jf. ovenfor pkt. 3 g). I planen skal der, afhængig af virksomhedens forhold, være

a)    en beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt

b)    aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen.

8)   Beredskabsplanen skal afprøves regelmæssigt, og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen.

 

 

 

 

Bilag 6

Tilrettelæggelse af arbejdet i bestyrelsen

 

Bestyrelsens forretningsorden

1)   Bestyrelsen skal ved en forretningsorden træffe nærmere bestemmelser om udførelsen af sit hverv, jf. § 65 i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning samt § 130 i lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin).

2)   Ved udformningen af forretningsordenen efter pkt. 1 skal bestyrelsen tage udgangspunkt i sine lovmæssigt fastsatte forpligtelser samt den finansielle virksomheds kompleksitet og forretnings- og aktivitetsområder. Forretningsorden skal som minimum indeholde:

a)    Bestemmelser om bestyrelsens konstitution herunder anvendelse af suppleanter og krav til beslutningsdygtighed samt med hvilke intervaller, der skal afholdes møder.

b)    Bestemmelser om skriftlige og elektroniske bestyrelsesmøder, jf. pkt. 19.

c)    Procedurer for fastlæggelse af arbejdsdelingen mellem bestyrelsen og direktionen, herunder bemyndigelser, ansvar for forretningsgange og tavshedspligt.

d)   Procedurer for bestyrelsens løbende stillingtagen til organisatorisk placering og bemanding af den i § 16, stk. 1 og bilag 7, omhandlede risikostyringsfunktion.

e)    Procedurer for bestyrelsens tilsyn med direktionens ledelse af den finansielle virksomhed og eventuelle datterselskaber, herunder vurdering af om direktionen varetager sine opgaver på behørig måde og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker og bestyrelsens retningslinjer til direktionen, jf. § 70, stk. 4, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning.

f)    Procedurer for oprettelse og føring af bøger, fortegnelser og protokoller efter selskabslovgivningen.

g)    Procedurer for bestyrelsens løbende stillingtagen til den finansielle virksomheds forretningsmodel, risikoprofil, organisation og ressourcer.

h)    Procedurer for hvordan bestyrelsen indhenter de oplysninger, der er nødvendige for udførelse af dens opgaver herunder de forpligtelser, som bestyrelsen er pålagt i henhold til lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, lov om værdipapirhandel m.v., som sat i kraft for Færøerne ved kongelig anordning, lov om forebyggende foranstaltninger mod hvidvask af udbytte og terrorfinansiering, som sat i kraft for Færøerne ved kongelig anordning og anden relevant lovgivning.

i)     Bestemmelser om bestyrelsens løbende stillingtagen til direktionens rapportering til bestyrelsen, herunder stillingtagen til den finansielle virksomheds individuelle solvensbehov, budgetter, finansielle rapporter, likviditet og kapitalbehov, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold.

j)     Procedurer for bestyrelsens stillingtagen til og underskrivelse af revisionsprotokollen.

k)    Procedurer for, hvordan bestyrelsen sikrer tilstedeværelsen af det nødvendige grundlag for revision, herunder, hvis relevant, tage stilling til, om der er behov for intern revision.

3)   Bestyrelsen skal løbende og mindst én gang årligt gennemgå forretningsordenen med henblik på at sikre, at denne afspejler den finansielle virksomheds forretnings- og aktivitetsområder.

4)   Bestyrelsen skal sikre og kunne dokumentere, at samtlige bestyrelsesmedlemmer har kendskab til forretningsordenen.

 

Bestyrelsesmøder og bestyrelsens forhandlinger

5)   Bestyrelsen skal, jf. § 74, stk. 1, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, mødes, når der skal træffes beslutning om forhold, der ikke er omfattet af de beføjelser, bestyrelsen har givet til direktionen, jf. § 70. Bestyrelsen kan således ikke lovligt delegere sin beslutningskompetence for eksempel til et forretningsudvalg.

6)   Pkt. 5 finder ikke anvendelse på behandling af standardiserede sager, som i henhold til vedtægter eller andet skal behandles af bestyrelsen. Sådanne sager kan henlægges til behandling og beslutning i et udvalg under bestyrelsen, hvis der på forhånd af den samlede bestyrelse er fastlagt retningslinjer for sagernes behandling. Disse retningslinjer samt udvalgets behandling af de pågældende sager skal løbende evalueres af den samlede bestyrelse. Delegeringen omfatter ikke bestyrelsens ansvar for sagernes behandling og de trufne beslutninger.

7)   Bestyrelsen kan beslutte, at ansatte i den finansielle virksomhed samt bestyrelsesmedlemmer og ansatte i andre selskaber i koncernen kan deltage i et bestyrelsesmøde, eventuelt alene ved enkelte punkter på dagsordenen.

8)   Bestyrelsen kan ligeledes i enkeltstående tilfælde beslutte, at der kan være andre personer end de i pkt. 7 nævnte, eksempelvis aktionærer eller rådgivere, til stede ved et eller flere angivne punkter på dagsordenen.

9)   Uanset pkt. 7 og 8 må der ikke være uvedkommende personer til stede ved et bestyrelsesmøde eller ved et punkt på bestyrelsesmødets dagsorden, hvor der behandles fortrolige oplysninger, som ikke lovligt kan videregives efter reglerne om videregivelse af fortrolige oplysninger i kapitel 9 i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning.

10) Den i medfør af lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, § 74, stk. 3, førte forhandlingsprotokol skal afspejle de på møderne førte drøftelser, herunder skal væsentlige risikovurderinger og trufne beslutninger samt forudsætninger for disse fremgå. Det skal fremgå, hvilke medlemmer der har været til stede på et møde. Har andre personer end medlemmer af bestyrelsen været til stede, skal dette også fremgå.

11) Protokollen skal indrettes på betryggende vis, herunder således at det er tydeligt, når protokollen for et møde er endelig, samt at hver side i forhandlingsprotokollen er fortløbende nummereret.

12) Hvis der føres en særskilt bevillingsprotokol, skal dette fremgå af forhandlingsprotokollen. Det skal tydeligt fremgå af bevillingsprotokollen henholdsvis forhandlingsprotokollen, hvilke lån, der er:

a)    Bevilget/afslået.

b)    Bevilget i henhold til § 78 i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning.

c)    Til orientering.

d)   Til efterbevilling (hastesager).

e)    Bevilget ved skriftlig behandling eller på et elektronisk afholdt bestyrelsesmøde.

13) Det skal udtrykkeligt anføres i bevillingsprotokollen henholdsvis forhandlingsprotokollen, når der behandles eksponeringer omfattet af § 78, stk. 1 og 4, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning. De pågældende bestyrelsesmedlemmer og direktører må ikke være til stede under sagens behandling, og det skal protokolleres, at de ikke er til stede.

14) Bestemmelsen i pkt. 13 er ikke til hinder for, at et bestyrelsesmedlem eller en direktør, der tillige deltager i ledelsen af et moderselskab, der ejer hele kapitalen i virksomheden, eller i et 100 pct. ejet søster- eller datterselskab, deltager i behandlingen af spørgsmål om eller eksponeringer med dette selskab.

15) Bestemmelserne i lov om finansiel virksomhed § 78, stk. 1 og 4, som sat i kraft for Færøerne ved kongelig anordning, er ikke til hinder for, at medarbejdervalgte bestyrelsesmedlemmer kan bevilges eksponeringer på samme vilkår som medarbejderne i den pågældende finansielle virksomhed i øvrigt.

16) Bestemmelsen i lov om finansiel virksomhed § 78, stk. 3, som sat i kraft for Færøerne ved kongelig anordning, finder ikke anvendelse på fuldt sikrede eksponeringer eller eksponeringer af helt ubetydelig størrelse.

17) Bestyrelsen skal mindst én gang årligt gennemgå eksponeringerne med de i § 78, stk. 1 og 4, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, nævnte personer og selskaber, for eksempel i forbindelse med den årlige aktivgennemgang. At gennemgangen har været foretaget, samt konklusionerne herpå, skal fremgå af protokollen.

 

Skriftligt og elektronisk afholdte bestyrelsesmøder

18) Bestyrelsen kan afholde skriftlige og elektroniske bestyrelsesmøder i overensstemmelse med lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin) i det omfang dette er foreneligt med udførelsen af bestyrelsens hverv.

19) Bestyrelsen skal beslutte, hvilke typer af sager, der er egnede til behandling på et skriftligt eller elektronisk bestyrelsesmøde, for eksempel ukomplicerede og rutineprægede sager, eller presserende sager, der ikke kan udsættes uden skadevirkning for virksomheden. Beslutningen skal fremgå af forretningsordenen.

20) Pkt. 18-19 finder tilsvarende anvendelse på skriftlige bevillingsprocedurer.

21) I det omfang en bestyrelsesbeslutning træffes skriftligt eller elektronisk, kræves så vidt muligt en egentlig tilkendegivelse fra de enkelte bestyrelsesmedlemmer, jf. lagtingslov om aktie- og anpartsselskaber (vinnufelagslógin) § 125, jf. lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, § 84 (sparekasser). Sådanne tilkendegivelser skal protokolleres. En undladelse af at reagere på fremsendt materiale er ikke tilstrækkelig tilkendegivelse

 

 

 

 

Bilag 7

Risikostyringsfunktionen og den risikoansvarlige

 

Direktionens opgaver og ansvar

1)   Direktionen skal, jf. § 16, stk. 1, 1. pkt. sikre, at virksomheden har en risikostyringsfunktion, og at der udpeges en risikoansvarlig.

2)   Direktionen skal sikre, at det tydeligt fremgår, for eksempel af funktionsbeskrivelser og forretningsgange, hvilke opgaver der henhører under risikostyringsfunktionen, jf. pkt. 4 -12.

3)   Direktionen skal sikre, at risikostyringsfunktionen har adgang til alle relevante oplysninger og har tilstrækkelige ressourcer, jf. § 9, stk. 2.

 

Risikostyringsfunktionens og den risikoansvarliges opgaver på risikostyringsområdet

4)   Risikostyringsfunktionen skal have et samlet overblik over virksomheden og virksomhedens risikoeksponeringer med henblik på at kunne vurdere, om der er en betryggende styring heraf.

5)   Den risikoansvarlige skal tage stilling til, om direktionens og bestyrelsens beslutningsgrundlag er tilstrækkeligt, jf. pkt. 6 - 8.

6)   Risikostyringsfunktionen skal sikre, at alle væsentlige risici i virksomheden herunder risici, der går på tværs af virksomhedens organisation, identificeres, måles, håndteres og rapporteres korrekt.

7)   Risikostyringsfunktionen skal sikre, at risikoeksponeringer i datterselskaber, jf. § 2, stk. 2, indgår i vurderingen af virksomhedens samlede risikoeksponeringer.

8)   Risikostyringsfunktionen skal sikre, at risikoeksponeringer i outsourcede funktioner indgår i vurderingen af virksomhedens samlede risikoeksponeringer.

9)   Risikostyringsfunktionen skal deltage aktivt i udviklingen af virksomhedens risikostrategi, jf. § 4, stk. 1.

10) Risikostyringsfunktionen skal på forhånd høres om væsentlige beslutninger, så risikostyringsfunktionen har mulighed for at udtale sig om risikoen forinden.

11) Risikostyringsfunktionen skal mindst én gang årligt udarbejde en rapport til bestyrelsen om virksomhedens risikostyring, jf. § 5, stk. 4. Rapporten skal indeholde den risikoansvarliges stillingtagen til de under pkt. 4 til 8, og 10 anførte forhold og skal indgå som en del af bestyrelsens samlede vurderingsgrundlag, jf. § 5, stk. 4. Den risikoansvarlige kan vælge, at rapporten indgår som en del af eller som et tillæg til vurderingen af virksomhedens solvensbehov (ICAAP). Den risikoansvarlige skal i givet fald sikre, at de i pkt. 6 og 7 nævnte forhold klart fremgår af tillægget, og at bestyrelsen er orienteret om, at rapporten indgår som et tillæg.

12) Risikostyringsfunktionen skal i relevant omfang give udtryk for betænkeligheder og advare bestyrelsen, når det er passende i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden.

13) Har virksomheden nedsat et risikoudvalg, jf. § 80 b, stk. 1, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, skal den risikoansvarliges rapport, jf. pkt. 11, sendes til risikoudvalget.

 

Risikostyringsfunktionens organisation

14) Direktionen skal udpege en overordnet leder med specifikt ansvar for risikostyringsfunktionen til risikoansvarlig. Bestyrelsen kan dog beslutte, at det er bestyrelsen, der udpeger den risikoansvarlige.

15) Den risikoansvarlige skal være tilstrækkeligt uafhængig af virksomhedens funktioner til, at den risikoansvarliges opgaver kan udføres betryggende.

16) Hvis direktionen vælger at udpege en overordnet medarbejder som risikoansvarlig, der også har ansvar for andre opgaver end risikostyring, skal direktionen sikre, at mulige interessekonflikter mellem den risikoansvarliges opgaver og den risikoansvarliges eventuelle andre opgaver håndteres betryggende.

17) Et medlem af direktionen, som bestyrelsen ikke har udpeget som den administrerende direktør, kan udpeges som risikoansvarlig, såfremt den pågældende opfylder kravene i pkt. 14 og 15.

18) Direktionen i pengeinstitutter med en arbejdende kapital mindre end 12 mia. kr., og virksomheder omfattet af § 1, nr. 3 - 5, kan udpege en direktør, som bestyrelsen har udpeget som den administrerende direktør, som risikoansvarlig.

19) Direktionen i pengeinstitutter med en arbejdende kapital mindre end 12 mia. kr., og virksomheder omfattet af § 1, nr. 3 - 5 kan ligeledes vælge, at risikostyringsfunktionen udgøres af den risikoansvarlige.

20) Direktionen kan vælge, at risikostyringsfunktionens opgaver placeres i organisatoriske enheder udenfor risikostyringsfunktionen.

21) Hvis direktionen vælger at placere risikostyringsfunktionen i organisatoriske enheder, som har andre opgaver end risikostyring, skal direktionen sikre, at placeringen af risikostyringsfunktionen er betryggende, herunder at eventuelle interessekonflikter i forhold til varetagelsen af opgaven som risikostyringsfunktion og øvrige opgaver håndteres betryggende.

22) En risikoansvarlig, der er udpeget i medfør af pkt. 14 - 19, skal sikre, at risikostyringsfunktionen udfører opgaverne, jf. pkt. 4 – 12, betryggende.

23) Har virksomheden nedsat et risikoudvalg, jf. § 80 b, stk. 1, i lov om finansiel virksomhed, som sat i kraft for Færøerne ved kongelig anordning, skal den risikoansvarlige på udvalgets anmodning bistå dette med information.