Pilar 3 Offentliggjøring av finansiell informasjon i Fana Sparebank 2014 DM#163057 1
2
Innhold 1. Innledning... 3 2. Kapitaldekning... 3 2.1. Kapitaldekningsregelverk... 3 2.2. Beregning av kapitaldekning... 4 2.3. Beregning av uvektet kjernekapitalandel... 6 3. Konsolidering... 6 4. Styring og kontroll av risiko... 7 4.1. Roller og ansvar i risikostyringen... 7 4.2. Virksomhetsområdene risikostyringsenheter... 15 4.3. Organisering av virksomhetsområdene... 15 4.4. Hovedprosess for risikostyring og internkontroll... 16 4.5. Bankens prosess for å vurdere samlet kapitalbehov... 21 4.6. Bankens retningslinjer og rutiner for styring og kontroll av risiko... 22 4.7. Bankens kombinerte kapitalbufferkrav fordelt på bevaringsbuffer, motsyklisk kapitalbuffer og systemrisikobuffer samt kapital i banken til å dekke bufferkrav... 28 4.8. Opplysninger om arter av risiko... 29 4.9. Egenkapitalposisjoner utenfor handelsporteføljen... 35 4.10. Renterisiko utenfor handelsporteføljen... 35 5. Vedlegg... 36 1. Innledning Dette dokumentet gir en beskrivelse av risiko- og kapitalstyring i Fana Sparebank og skal dekke krav til offentliggjøring av finansiell informasjon slik dette fremkommer av kapitalkravsforskriftens del IX. Banken offentliggjør informasjon som anses egnet til å påvirke beslutningen til brukere av informasjonen i forbindelse med økonomiske forhold, senest 30 dager etter at banken er eller burde være klar over forholdet. Banken offentliggjør finansiell informasjon på Internett. Informasjonen er tilgjengelig i minst fem år fra tidspunktet for offentliggjøringen. Banken offentliggjør og oppdaterer informasjonen minimum årlig. 2. Kapitaldekning 2.1. Kapitaldekningsregelverk Kapitaldekningsregelverket bygger på en standard for kapitaldekningsberegninger hvor formålet er å styrke stabiliteten i det finansielle systemet gjennom - Mer risikosensitivt kapitalkrav - Bedre risikostyring og kontroll - Tettere tilsyn - Mer informasjon til markedet Kapitaldekningsregelverket bygger på 3 pilarer - Pilar 1 Minimumskrav til ansvarlig kapital - Pilar 2 Vurderingen av samlet kapitalbehov i forhold til bankens risikoprofil - Pilar 3 Offentliggjøring av informasjon Nærmere om pilar 1 Pilar 1 omhandler minstekravet til ansvarlig kapital for kredittrisiko, operasjonell risiko og markedsrisiko hvor minstekravet til kapitaldekning er fastsatt til 8 prosent. I tillegg kommer kravet til kapitalbevaringsbuffer og systemrisikobuffer på henholdsvis 2,5 prosent og 3 prosent. Motsyklisk kapitalbuffer er for tiden 1 prosent, men vil øke til 1,5 prosent med virkning fra 30. juni 2016. Samlet bufferkrav vil således øke fra 6,5 % til 7 % den 30. juni 2016. 3
Kapitaldekningen fastsettes som forholdet mellom bankens samlede ansvarlige kapital og risikovektede eiendeler, se figur 1. Fana Sparebank benytter standardmetoden for å fastsette beregningsgrunnlaget for kredittrisiko og markedsrisiko samt basismetoden for å fastsette beregningsgrunnlaget for operasjonell risiko. Figur 1 Ren kjernekapital + kjernekapital + tilleggskapital Beregningsgrunnlag for kredittrisiko, markedsrisiko og operasjonell risiko Nærmere om pilar 2 (ICAAP; internal capital adequacy assessment process) Pilar 2 stiller krav til bankens kapitalvurderingsprosess. Formålet er å sikre en strukturert og dokumentert prosess for vurdering av konsernets risikoprofil og tilhørende kapitalbehov på kort og lang sikt. ICAAP omfatter risikotyper som ikke er dekket av Pilar 1, og skal være fremoverskuende. Fana Sparebanks vurdering av risikoprofil og kapitalbehov er beskrevet i dokumentets avsnitt 3.4. Nærmere om pilar 3 Formålet med pilar 3 er å supplere minimumskravene i pilar 1 og den tilsynsmessige oppfølgingen i pilar 2. Pilar 3 skal bidra til økt markedsdisiplin gjennom krav til offentliggjøring av informasjon som gjør det mulig for markedet å vurdere bankens risikoprofil og kapitalisering, samt styring og kontroll. Informasjonskravene innebærer at alle institusjoner skal publisere informasjon om organisasjonsstruktur, risikostyringssystem, rapporteringskanaler samt hvordan risikostyringen er bygd opp og organisert. Videre er det gitt detaljerte krav til offentliggjøring av kapitalnivå og struktur samt risikoeksponering, der sistnevnte avhenger av hvilke beregningsmetoder som benyttes i pilar 1. 2.2. Beregning av kapitaldekning 2.2.1. Ansvarlig kapital Ansvarlig kapital i morbanken og konsernet består av ren kjernekapital, annen kjernekapital og tilleggskapital. I ren kjernekapital inngår sparebankenes fond, gavefond og annen egenkapital. Fondsobligasjoner inngår i tillegg i annen kjernekapital. Ansvarlig lån inngår i tillegg i ansvarlig kapital. 4
(MNOK) MORBANK KONSERN 31.12.14 31.12.13 31.12.14 31.12.13 Sparebankenes fond 1.310,1 1.271,9 1.310,1 1.271,9 Gavefond 5,9 3,2 5,9 3,2 Fond for urealiserte gevinster 81,5 82,1 81,5 82,1 Annen egenkapital 151,7 94,3 Urealiserte verdiendringer vp tilgj.for salg -68,9-69,5-68,9-69,5 Sum fond og lignende som inngår i kjernekapitalen 1.328,6 1.287,7 1.480,3 1.382,0 Fradrag i kjernekapital Basel III - Verdijustering for krav om forsvarlig verdifasts. -4,5-4,5 Immatrielle eiendeler/utsatt skattefordel -12,6-13,0-13,8-13,3 Utsatt skattefordel -5,7-10,6 50 % fradrag av bokførte verdier i andre finansinstitusjoner -109,8-109,8 Basel III - Finansfradrag - uvesentlige eierandeler -3,4-2,5 Basel III - Finansfradrag - vesentlige eierandeler -90,7-70,6 Sum fradrag i kjernekapital -116,9-122,8-102,0-123,1 Sum netto kjernekapital/ren kjernekapital 1.211,7 1.164,9 1.378,3 1.258,9 Annen kjernekapital fondsobligasjoner 199,2 0,0 199,2 0,0 Basel III - Finansfradrag - uvesentlige eierandeler -28,2-20,2 Sum annen kjernekapital 171,0 0,0 179,0 0,0 Sum kjernekapital 1.382,7 1.164,9 1.557,3 1.258,9 Tilleggskapital 45 % av urealisert gevinst vp tilgj.for salg 37,0 37,0 Ansvarlig lånekapital 199,5 199,5 199,5 199,5 50 % fradrag av bokførte verdier i andre finansinstitusjoner -109,8-109,8 Basel III - 36 % av urealiserte gevinster vp tilgj.for salg 24,8 24,8 Basel III - Finansfradrag - uvesentlige eierandeler -21,4-15,3 Sum netto tilleggskapital 202,8 126,6 208,9 126,6 Sum netto ansvarlig kapital 1.585,5 1.291,5 1.766,2 1.385,5 Risikovektet volum 8.391,9 7.800,9 10.376,7 9.523,9 Samlet minimumskrav til ansvarlig kapital 1.132,9 975,1 1.400,9 1.190,5 Kapitaldekning 18,89 % 16,56 % 17,02 % 14,55 % Kjernekapitaldekning 16,48 % 14,93 % 15,01 % 13,22 % Ren kjernekapital 14,44 % 14,93 % 13,28 % 13,22 % Ansvarlig lånekapital Banken emitterte et ansvarlig lån 28. juni 2013, pålydende kr 200 mill. Lånet løper til 28. juni 2023, med rett til banken å innfri lånet helt eller delvis til pari kurs 28. juni 2018, og deretter ved hver rentebetalingsperiode. Lånet går inn i ansvarlig kapital med kr 199,5 mill. pr. 31.12.2014. Fondsobligasjoner Banken emitterte en evigvarende fondsobligasjon 18. juni 2014, pålydende kr 200 mill. Banken har rett til å innfri lånet første gang 18. juni 2019, og deretter ved hver rentebetalingsperiode. Lånet går inn i både annen kjernekapital og ansvarlig kapital med kr 199,2 mill. pr. 31.12.2014. 5
2.2.2. Kapitalkrav Standardmetoden MORBANK KONSERN 31.12.14 31.12.13 31.12.14 31.12.13 Lokale og regionale myndigheter 5,1 2,0 5,1 2,0 Offentlig eide foretak 0,0 0,0 0,0 0,0 Institusjoner 64,4 61,4 34,1 32,9 Foretak 247,0 238,0 252,6 238,0 Massemarkedssegment 4,3 4,6 4,3 4,6 Engasjementer med pantesikkerhet i eiendom 236,5 217,4 404,7 371,6 Forfalte engasjementer 2,0 3,8 2,1 4,4 Obligasjoner med fortrinnsrett 9,1 8,1 8,9 7,5 Andeler i verdipapirfond 17,0 34,4 17,0 34,4 Øvrige engasjement 45,3 36,6 46,2 38,0 Samlet kapitalkrav for kreditt-motparts- og forringelsesrisiko: (Standardmetoden) 630,8 606,3 775,1 733,4 Samlet kapitalkrav for operasjonell risiko (Basismetode) 39,3 36,9 53,8 47,8 Basel III - CVA tilllegg 1,2 1,2 Fradrag (Basel II) Ansvarlig kapital i andre finansinstitusjoner/annet 17,6 17,6 Nedskrivinger på grupper av utlån og garantier 1,6 1,7 Sum minimumskrav til ansvarlig kapital *) 671,4 624,1 830,1 761,9 Bufferkrav: Bevaringsbuffer (2,5 %) 209,8 195,0 259,4 238,1 Motsyklisk buffer (0 %) 0,0 0,0 0,0 0,0 Systemrisikobuffer (3 % fra 1.7.2014) 251,8 156,0 311,3 190,5 Samlet bufferkrav i ren kjernekapital 461,6 351,0 570,7 428,6 Minimumskrav til ansvarlig kapital 1.132,9 975,1 1.400,9 1.190,5 2.3. Beregning av uvektet kjernekapitalandel 31.12.2014 Millioner Kjernekapital 1.557 Reinvesteringskostnader for derivater 22 Fremtidig eksponering for derivatkontrakter 7 Poster utenom balansen 950 Lån, fordringer og øvrige eiendeler 19.800 Regulatoriske justeringer i kjernekapitalen 0 Samlet eksponeringsmål 20.779 Uvektet kjernekapitalandel (%) 7,49 3. Konsolidering Banken er underlagt konsolideringsplikt, og gir derfor opplysningene på konsolidert grunnlag. Banken har følgende datterselskap: Kolonne1 Forretningskontor Stemme/eierandel Bokf.verdi Virksomhet Fana Sparebank Boligkreditt AS Nesttun 100 % 254,3 Utlånsvirksomhet Fana Sparebank Eiendom AS Nesttun 100 % 5,8 Eiendomsmegling Fana Sparebank Regnskap AS Midtun 100 % 1,9 Regnskapstjenester Fana Sparedata AS Nesttun 100 % 0,5 Utleie betalingsterminaler AS Kinobygg Nesttun 87 % 0,6 Annet Sum eierinteresser i datterselskaper 263,0 Datterselskapene blir fullt ut konsolidert i regnskapet og kapitaldekningen til Fana Sparebank konsern. Fana Sparebank Boligkreditt AS rapporterer kapitaldekningen på selskapsnivå. Øvrige selskap er ikke underlagt kapitaldekningsregelverket på solonivå. 6
Fana Sparebank har fokus på at de ulike selskapene i konsernet til enhver tid er tilfredsstillende kapitalisert. Adgangen til overføring av kapital eller tilbakebetaling av gjeld mellom selskapene i konsernet reguleres av den til enhver tid gjeldende lovgivning for bransjen og inngåtte avtaler mellom selskapene. Fana Sparebank har vesentlige eierandeler i Frende Holding AS og Brage Finans AS. Den bokførte verdien ved utgangen av 2014 utgjør kr 234 mill. Fradrag i ren kjernekapital i konsernet utgjør kr 71 mill. I tillegg har Fana Sparebank uvesentlige eierandeler som gir fradrag i ren kjernekapital på kr 2,5 mill., i kjernekapital på kr 20,2 mill. og i ansvarlig kapital på kr 15,3 mill. 4. Styring og kontroll av risiko 4.1. Roller og ansvar i risikostyringen Kvaliteten på det interne miljøet 1 kan påvirke risikokulturen i organisasjonen i positiv eller negativ retning. Det interne miljøet er derfor en viktig komponent i vurderingen av kvaliteten på risikostyringen. Vurderingsgrunnlaget kan søkes både i skriftlige og muntlige kilder, ikke minst på grunnlag av erfaringer og inntrykk fra det operative tilsynet med institusjonen. Forstanderskapet Forstanderskapet skal påse at banken virker etter sitt formål i samsvar med lov, vedtekter og forstanderskapets vedtak. Herunder innstiller og velger forstanderskapet medlemmer til styret og godkjenner bankens årsberetning og årsregnskap fremlagt fra styret. Forstanderskapet har 20 valgte medlemmer, herav 12 innskytervalgte (inkl. forstanderskapets leder), 3 offentlige oppnevnte medlemmer samt 5 valgte fra de ansatte. Banken har laget en samling dokumenter/informasjon som gir forstanderskapet informasjon om dets ansvar og plikter, herunder bl.a. lov og forskrifter med kommentarer, bankens vedtekter og tilsvarende veiledning for arbeidet i valgkomiteene. I veiledning for arbeidet i forstanderskapets valgkomité er det referert Sparebanklovens 14 krav til egnethet samt god og relevant kompetanse og profesjoner til kandidater til bankens kontrollkomité og styre, se nedenfor under styret. Forstanderskapet har normalt 2 møter pr. år. Adm. banksjef, styret, kontrollkomiteen samt ekstern revisor blir innkalt til forstanderskapets møter, og har talerett. Kontrollkomiteen Kontrollkomiteen i Fana Sparebank har 3 medlemmer valgt av forstanderskapet med et varamedlem. Som for valg til styret (beskrevet nedenfor) er det også gitt veiledning til forstanderskapets valg av medlemmer til kontrollkomiteen. Kontrollkomiteens arbeidsoppgaver er dokumentert i Arbeidsplan for Kontrollkomiteen og er basert på Finanstilsynets forskrifter og Midlertidig normalinstruks i sparebanker. Det følger av arbeidsplan at kontrollkomiteen skal føre tilsyn med at banken virker på en hensiktsmessig og betryggende måte i samsvar med lover (bl.a. sparebankloven) og forskrifter, vedtektene, retningslinjer fastsatt av forstanderskapet, styret samt pålegg fra Finanstilsynet. Herunder går kontrollkomiteen gjennom styrets protokoll, nummererte brev fra ekstern revisor, prøver sikkerheten (godheten) i bankens utlån samt påser at forvaltningen av bankens midler er i samsvar med 24 i sparebankloven (enkeltbestemmelser om eierskap i aksjer og andeler, egne faste eiendommer m.m.). Ifølge arbeidsplan skal komiteen også 1 forstanderskapet, kontrollkomiteen, styret, ledelsen og ansattes holdninger til risiko og risikostyring, integritet, etiske verdier, kompetanseutvikling, organisasjonsstruktur, delegering av ansvar og myndighet mv. 7
Forvisse seg om at styret og adm. banksjef benytter seg av betryggende styrings- og kontrollsystemer som løpende gir god nok oversikt med hensyn til bankens risikospredning og gir regnskapsmessig oversikt over driften til enhver tid. Forvisse seg om at styret påser at kontrollen virker som forutsatt, og at styret iverksetter nødvendige tiltak for å begrense vesentlige tapsrisikoer. Påse at styret følger opp sine beslutninger, og at valgt revisors anmerkninger blir forsvarlig behandlet. Kontrollkomiteen går gjennom styre- og forstanderskapsprotokoller. Videre gjennomgås utvalgte kredittengasjementer og kredittsaker, spesielt fra BM der Banksjef BM og saksbehandler møter og redegjør for engasjementet. Kontrollkomiteen skal påse at den interne kontrollen i banken er sikret i et tilstrekkelig omfang på en systematisk måte, herunder at banken tilfredsstiller internkontrollforskriftens krav. Ledelsens rapportering til styret av risikoanalyse/identifiserte risikoer og gjennomført internkontroll blir gjennomgått. Likeledes korrespondanse med intern- og ekstern revisjon samt Finanstilsynet. Internrevisor og ekstern revisor møter i kontrollkomiteen minst en gang årlig. Kontrollkomiteen har normalt 6-8 møter pr. år. Kontrollkomiteen har faste årlige møter med forstanderskapets formann, styrets formann og adm. banksjef. Adm. banksjef er også tilgjengelig og tilstede i kontrollkomiteens møter etter komiteens behov. Ny Finansforetakslov opprettholder ikke kravet til kontrollkomite. Som følge av bestemmelsen vil Fana Sparebank vurdere å avvikle komiteen. Styret Styret i Fana Sparebank har 6 medlemmer, hvorav 5 er eksternt valgte av forstanderskapet samt 1 er valgt av og blant de ansatte. Banken praktiserer at de ansattes valgte varamedlem og første varamedlem valgt av forstanderskapet møter fast i styret (møte og talerett, ikke beslutningsrett). Videre møter adm. banksjef samt styresekretær fast i styret. Styrets leder og nestleder er eksternt valgte. I veiledning for arbeidet i forstanderskapets valgkomité er det referert Sparebanklovens 14 krav til egnethet til kandidater til bankens styre, herunder myndighetsalder, konkurs/akkord eller administrasjon i kandidatens bo, ledende stilling eller medlem i styrende organ i annen finansinstitusjon, egenerklæring samt politiattest. Videre vektlegger veiledningen god og relevant kompetanse innenfor områder som bankens virksomhet kan identifiseres med samt at styret er representert med forskjellige profesjoner som utfyller hverandre og styrker styret og banken. Bankens vedtekter er i det vesentlige tuftet på gjeldende normalvedtekter for sparebanker. Det fremgår av vedtektene at styret leder bankens virksomhet og er ansvarlig for at de midler banken rår over forvaltes på en trygg og hensiktsmessig måte. Styret skal sørge for en tilfredsstillende organisering av bankens virksomhet og skal påse at bokføring og formuesforvaltning er gjenstand for betryggende kontroll. Styret fastsetter instruks for daglig leder med særlig vekt på oppgaver og ansvar. Videre skal styret påse at banken har god intern kontroll for oppfyllelse av de bestemmelser som gjelder virksomheten, herunder bankens verdigrunnlag og etiske retningslinjer. Styret fastsetter de nødvendige fullmakter for bankens virksomhet. Styret har fullmakt til å beslutte utlån / kreditter utover administrerende banksjef sine fullmakter. Styret har ansvaret for å påse at banken har en tilstrekkelig egenkapital som er forsvarlig ut fra risikoen ved og omfanget av bankens virksomhet, og sørge for at kapitalkrav i lover og forskrifter overholdes. Styret skal videre påse at den interne kontrollen i banken er sikret i et tilstrekkelig omfang på en systematisk måte, herunder at de tilfredsstiller internkontrollforskriftens krav, ref. kapittel 1. Styret skal godkjenne og revidere retningslinjer for risikostyring. 8
Det er utarbeidet og styret har vedtatt Retningslinjer for styrearbeid i Fana Sparebank. Retningslinjene sikrer en felles forståelse mellom styremedlemmene og bankens organisasjon av styrearbeidets form, innhold og gjennomføring, herunder krav til styredokumentasjon, møtestruktur og saksbehandlingsregler samt protokoll. Retningslinjene gjelder innenfor rammen av bankens vedtekter, Finanstilsynets forskrifter og lover og særlover som regulerer banken og finansvirksomheten. Retningslinjene krever, og styret møter 7-8 ganger årlig. Styrets årsplan vedtas årlig i desember møte og berammer 20 25 periodiske tema som styret skal behandle en eller flere ganger gjennom året. Herunder årlig revisjon av strategi og styringsdokumenter på de sentrale forretningsområdene i banken, så som 1. bankens overordnede mål og strategi, 2. ICAAP 3. kredittstrategi og -policy, 4. bevilgnings- og fullmaktsreglement, 5. markedsstrategi, 6. likviditetsstrategi, 7. kapitalforvaltningsstrategi, 8. organisasjons og kompetanseutviklingsstrategi, samt 9. IKT- strategi. Videre inkluderer styrets årsplan budsjett, års- og delårsrapporter, måneds- og kvartalsrapporter fra forretningsområdene, hvitvaskingsrapport, HMS- rapportering, intern- og ekstern revisjonsrapporter inkludert revisjonsplaner, internkontroll rapportering iht. internkontrollforskriften 6 og 7, pågående rettstvister, bevilgningsprotokoll, utvalgte kredittsaker (orientering). Internrevisjonen rapporterer direkte til styret ved styrets leder, herunder revisjonsplan og resultat av internrevisjonen. Ekstern revisjon møter også årlig i styret i henhold til styrets årsplan. Revisjonsutvalget Revisjonsutvalget er et underutvalg av styret i Fana Sparebank. Revisjonsutvalget har som formål å foreta mer grundige vurderinger på utvalgte saksområder og skal virke som et saksforberedende og rådgivende arbeidsutvalg for styret. Utvalget skal støtte styret i utøvelsen av sitt ansvar for regnskapsrapportering og finansiell informasjon, revisjon, intern kontroll og den samlede risikostyringen. Styrets og det enkelte styremedlems ansvar endres ikke som følge av revisjonsutvalgets arbeid. Revisjonsutvalget består normalt av 3 medlemmer valgt av og blant styrets medlemmer. Det velges en leder for utvalget. Minst ett av medlemmene skal ha regnskapsfaglig eller revisjonsfaglig kompetanse. Styremedlemmer som er ledende ansatte, kan ikke velges til medlemmer av revisjonsutvalget. Administrerende banksjef har rett til å delta på møter i revisjonsutvalget, som observatør. Det samme gjelder de ansattes varamedlem til styret, som møter fast i styrets møter. Styrets revisjonsutvalg møtes så ofte det finner det nødvendig, men minst én gang i kvartalet. Utvalget utarbeider en årlig møteplan i forbindelse med styret årsplan. Minst én gang pr. år skal utvalget ha møter med henholdsvis ekstern revisor og administrerende banksjef. Revisjonsutvalgets møter vil sammenfalle med de møter som styret avholder og gjennomføres i forkant av styrets behandling av forskjellige saker som revisjonsutvalget har oppe til behandling. Det føres referat fra revisjonsutvalgets møter på like linje med styrereferater. Revisjonsutvalget har myndighet til å undersøke alle forhold ved bankens drift. Alle ansatte i banken skal gi de opplysninger og den bistand som utvalget måtte be om. Utvalget kan ved behov engasjere ekstern ekspertise. I forbindelse med avleggelse av årsrapport, halvårsrapport og kvartalsrapport skal revisjonsutvalget diskutere vesentlige regnskapsmessige forhold med ledelsen og i tillegg ekstern revisor ved 9
årsrapporten. I tillegg skal utvalget gjennomgå og vurdere de regler og prosedyrer som Fana Sparebank har utarbeidet for å oppfylle sin regnskapsrapportering og annen økonomisk rapportering til Oslo Børs og finansmarkedene. Revisjonsutvalget skal i denne sammenhengen forberede styrets kvalitetssikring av Fana Sparebanks finansielle rapportering. I forhold til ekstern revisor skal utvalget se til at ekstern revisor opptrer uavhengig i forhold til ledelsen mv. I tillegg til de oppgaver som er nevnt ovenfor, skal revisjonsutvalget gjennomgå bankens rutiner for den samlede risikostyringen, herunder; a) gjennomgang av de rutiner ledelsen har for risikohåndtering, oppfølging av risiko og toleranseprøving av disse b) vurdering av rutinene for håndtering av den operasjonelle risikoen i forhold til den finansielle risikoen (risikohåndteringssystemer) ha det overordnede ansvaret for å overvåke etterlevelsen av gjeldende adferdsregler og retningslinjene for Fana Sparebanks virksomhet og rapportering vurdere andre forhold som styret/utvalget eller revisor ønsker å ta opp; minst en gang i året vurdere sitt eget arbeid og foreslå eventuelle forbedringstiltak, derunder endringer i denne instruks. Revisjonsutvalg avgir en saksgjennomgang for styret. Styret vil normalt i forlengelsen av utvalgets behandling, ta beslutninger basert på utvalgets foregående saksgjennomgang. Revisjonsutvalget skal ikke treffe beslutninger på vegne av styret, men gjennom sitt arbeid gi grunnlag for de vedtak som styret gjør. Risikoutvalget Risikoutvalget er et underutvalg av styret i Fana Sparebank. Risikoutvalget har som formål å foreta mer grundige vurderinger på utvalgte saksområder og skal virke som et saksforberedende og rådgivende arbeidsutvalg for styret. Utvalget skal støtte styret i utøvelsen av sitt ansvar for risikostyring, herunder risikostrategi, risikotoleranse, implementering og oppfølging av risikostrategien samt oppfølging av internkontroll og internrevisjon. Styrets og det enkelte styremedlems ansvar endres ikke som følge av risikoutvalgets arbeid. Risikoutvalget består normalt av minst to medlemmer valgt av og blant styrets medlemmer. Utvalget skal bestå av styremedlemmer som har tilstrekkelig kunnskap til å forstå og overvåke risikostyringen i banken for å kunne gi råd til styret. Administrerende banksjef har rett til å delta på møter i risikoutvalget som observatør. Det samme gjelder de ansattes varamedlem til styret, som møter fast i styrets møter. Styrets risikoutvalg møtes så ofte det finner det nødvendig, men minst én gang i kvartalet. Utvalget utarbeider en årlig møteplan i forbindelse med styret årsplan. Minst én gang pr. år bør utvalget ha møter med henholdsvis internrevisjon og administrerende banksjef. Risikoutvalgets møter vil sammenfalle med de møter som styret avholder og gjennomføres i forkant av styrets behandling av forskjellige saker som revisjonsutvalget har oppe til behandling. Det føres et kort referat fra risikoutvalgets møter. Risikoutvalget har myndighet til å undersøke alle forhold ved bankens drift. Alle ansatte i banken skal gi de opplysninger og den bistand som utvalget måtte be om. Utvalget kan ved behov engasjere ekstern ekspertise. Risikoutvalget skal avgrense sitt arbeid mot revisjonsutvalgets arbeidsfelt slik at det ikke skjer en vesentlig overlapping. Risikoutvalget bør arbeide med risikotoleransen, risikostrategien, risikostyring og internkontroll, risikorapporteringen samt oppfølgingen av internrevisjonens arbeid. Sentrale arbeidsområder for risikoutvalget er Forberede styrebehandlingen på risikoområdet 10
Gi råd om institusjonens eksisterende og fremtidige risikoappetitt og risikostrategi Følge opp implementeringen av risikostrategien Overvåke i hvilken grad institusjonens prising av produkter ut mot kundene reflekterer den risikoen som institusjonen bærer, og i motsatt fall gi anvisning på forbedringer Beslutte innhold, omfang, format, og frekvens på den risikorapporteringen som utvalget og styret skal motta Vurdere hvorvidt de insentiver som følger av bankens belønningsordninger i tilstrekkelig grad tar hensyn til risiko, kapital, likviditet og (sannsynlighet og tidspunkt for) inntjening. Styret i banken som sådan har ansvaret for bankens risikostyring. Risikoutvalget treffer ingen beslutninger på vegne av styret, men fremlegger sine vurderinger for styret, herunder gir råd til styret og gjennom sitt arbeid gir grunnlag for de vedtak styret gjør. Adm. banksjef Adm. banksjef har ansvaret for bankens samlede risikostyring, herunder utvikling av effektive styringssystemer, rammeverk og forsvarlig internkontroll i henhold til forskriftens krav. Alle beslutninger knyttet til risiko- og kapitalstyring fattes normalt av adm. banksjef i samråd med øvrige medlemmer i bankens ledelse, med mindre saken behandles i bankens styre. Det er adm. banksjef sitt ansvar å sørge for at styret er tilstrekkelig orientert om hovedtrekkene i bankens risikostyring og internkontroll samt risikoforhold for øvrig. Adm. banksjef deltar i styremøtene og er disponibel for og møter minimum en gang årlig i kontrollkomiteen og forstanderskapet. Adm. banksjef leder bankens ledergruppe som møtes fast hver 14. dag og oftere ved behov. Ved siden av adm. banksjef, deltar banksjef PM, banksjef BM, banksjef kapitalmarked, leder juridisk/kreditt, leder stab, leder kommunikasjon/marked samt leder forretningsutvikling og støtte. Risk manager har møterett i ledermøtene. Ledermøte behandler periodiske tema/saker som skal til styret, jfr. styrets årsplan. I tillegg diskuterer og beslutter ledermøte løpende operative saker fra adm. banksjef og forretningsområdelederne. Det blir ført protokoll fra ledermøtene. Adm. banksjef leder også balansestyringskomiteens møter, ref. nedenfor. Intern revisjon Bankens forvaltningskapital passerte 10 milliarder kroner ved årsskiftet 2006/2007. Internrevisjonsordningen ble etablert i banken i løpet av sommeren/høsten 2007. Banken har valgt å outsource internrevisjon til PwC. Instruks for internrevisjon i banken ble gitt av styret i september 2007. Internrevisjonen skal på vegne av styret se etter hvorvidt det i banken er etablert og gjennomføres en tilstrekkelig og effektiv intern kontroll. Internrevisjonen skal uavhengig og objektivt avgi uttalelser og gi råd for å bidra til forbedringer og øke verdiskapningen i banken. Dette innebærer at internrevisjonen blant annet skal vurdere om risikoidentifisering og etablering av styringsprosesser effektivt bidrar til å styrke bankens evne til måloppnåelse. Ovenstående angir ramme for internrevisjonens virksomhet. Innenfor disse rammer vil følgende spesifikke oppgaver være tillagt internrevisjonen: Vurdere og rapportere tilstrekkelighet og kvalitet på den interne kontroll i banken Vurdere overholdelse av relevante lover og forskrifter samt oppfølging av eventuelle vedtak og pålegg fra det offentlige Vurdere om bankens aktiviteter er innenfor vedtekter og andre retningslinjer gitt av forstanderskapet og styret 11
Oppgaven skal utføres i henhold til gjeldende faglige standarder for internrevisjon (gitt av IIA og NIRF) og med basis i en risiko- og vesentlighetsvurdering, samt i henhold til gjeldende forskrifter. Styret/revisjonsutvalget godkjenner internrevisjonens aktivitets- og ressursplan (revisjonsplan) og kan ellers gjøre vedtak om endring i denne plan. Resultatet av gjennomførte revisjonsaktiviteter med eventuelle forslag til forbedringer skal rapporteres til daglig leder. Internrevisjonen skal følge opp hvorvidt nødvendige tiltak blir iverksatt. Internrevisor rapporterer resultatene av revisjonsarbeidet til styret/revisjonsutvalget med kopi til daglig leder minst en gang i året. På årlig basis skal internrevisjonen gjennomføre en vurdering av internkontrollen for å avgi en bekreftelse til styret/revisjonsutvalget hvorvidt internkontrollen er i samsvar med eksterne og interne retningslinjer, lover, forskrifter og krav. Det forutsettes at internrevisor har løpende kontakt med styrets/revisjonsutvalgets leder, ekstern revisor, ledelsen i banken og andre i den grad dette er nødvendig og hensiktsmessig. Intern revisor møter minst en gang årlig i styret. Leder for internrevisjon skal uoppfordret informere om forhold av vesentlig betydning for bankens virksomhet og om større feil, tap, misligheter, svikt i den interne kontroll eller andre forhold som han bør forstå det er nødvendig å informere om. Internrevisor og andre medarbeidere som arbeider under ledelse av internrevisor har full innsynsrett i alle bankens anliggender. Internrevisor skal uoppfordret holdes orientert om og kan uttale seg om alle vesentlige forhold som kan påvirke internrevisjonens arbeid. Internrevisor skal ha tilsendt kopi av styrets/revisjonsutvalgets sakspapirer og kan på anmodning fra styret/revisjonsutvalget, eller etter eget tiltak, være tilstede på forstanderskapets møter. Ekstern revisjon Banken har valgt Ernst & Young som ekstern revisor. Ekstern revisor rapporterer resultatet av revisjonsarbeidet til forstanderskapet, styret/revisjonsutvalget og adm. banksjef gjennom årlig revisjonsberetning til banken samt brev og/eller presentasjon til ledelsen og styret. Ekstern revisor møter minst en gang årlig i styret/revisjonsutvalget for rapportering av resultatet av revisjonsarbeidet og har løpende kontakt med intern revisor, ledelsen i banken og andre i den grad det er nødvendig og hensiktsmessig. Balansestyringskomiteen Balansestyringskomiteen har ansvaret for den overordnede styringen av likviditetsrisikonivået i Fana Sparebank. Ved sammensettingen av komiteen er det tatt hensyn til at bankens toppledelse deltar, og således sikres løpende informasjon og engasjement i forhold til utøvelsen av likviditetsstyringen. I tillegg til adm. banksjef deltar leder kreditt/juridisk, banksjef kapitalmarked, banksjef BM, banksjef PM, leder stab, regnskapssjef, risk manager og daglig leder i Fana Sparebank Boligkreditt i Balansestyringskomiteen. Balansekomiteens oppgaver er beskrevet i strategidokumentet for likviditetsrisiko Overvåking og rapportering og i egen instruks til Balansestyringskomiteen. Komiteen forutsettes å være løpende oppdatert på bankens likviditetssituasjon. Komiteen møter månedlig for å vurdere likviditetssituasjonen, og hyppigere dersom situasjonen tilsier det. Banksjef kapitalmarked (regnskapssjef ved fravær) holder til enhver tid oppdatert oversikt over bankens netto likviditetsbehov, innlånsporteføljens forfall og måling av bankens likviditetssituasjon mot fastsatte rammer. Denne oversikten danner grunnlaget for Balansestyringskomiteens oppdatering. I de månedlige møtene skal komiteen gis en oversikt over den aktuelle likviditetssituasjonen og vesentlige endringer siden forrige møte. Videre vurdering av bankens likviditetssituasjon basert på markedsforhold, herunder tilgang på likviditet og prisingen av denne. Vurderingen skal gjelde for 12
markedet generelt og banken spesielt og inkluderer forventet utvikling og planlagte endringer på kort og mellomlang sikt Balansestyringskomiteen er gitt en rolle i beslutningshierarkiet knyttet til området. Styret vedtar likviditetsstrategien som revideres av styret på årlig basis. Rutiner og systemer for styring og kontroll besluttes av ledelsen etter innstilling fra Balansestyringskomiteen. Balansestyringskomiteen har ansvaret for å sikre at den årlige revisjonen av likviditetsstrategien blir forberedt og fremlagt for styret. Videre skal rutiner og systemer for styring og kontroll behandles i komiteen før de vedtas i ledelsesgruppen. Det føres protokoller fra Balansestyringskomiteens møter. Compliance funksjonen Compliance leder gir råd til ledelsen om etterlevelse av lover, regler og standarder samt holder ledelsen informert om utviklingen på området og bankens etterlevelse av eksternt og internt rammeverk. Compliance funksjonen ble etablert i 2008 og styret godkjente compliance policy og retningslinjer for compliance i oktober 2008. Leder Juridisk/kreditt er ansvarlig for compliance. Compliance leder følger med i utviklingen og fanger opp potensielle endringer i lover og regler som kan få konsekvenser for virksomheten. Videre utarbeider leder for compliance regelmessig rapporter til bankens ledelse om compliance forhold i banken. Compliance funksjonen skal støtte ledelsen med å lære opp personalet rundt compliance tema og være kontaktpunkt i banken rundt slike tema. Videre skal funksjonen støtte personalet med deres etterlevelse av lover, regler og standarder. Compliance funksjonen skal proaktivt identifisere, dokumentere og vurdere compliance risiko knyttet til bankens forretningsmessige aktiviteter, herunder ved utvikling av nye produkter og arbeidsmetoder. Compliance funksjonen skal overvåke og teste compliance ved å utføre effektiv compliance testing. Ved rapportering til ledelsen skal compliance funksjonen ta opp eventuelt endringer i risikoprofil som fremkommer av målinger og tester, og oppsummere brudd, eventuelle brudd på policy og eventuelle tap som følge av slike brudd. Leder for compliance funksjonen skal på bakgrunn av gjennomførte risikoanalyser og rapporter i løpet av året utarbeide et program/plan for aktivitetene det kommende år. Aktivitetene er implementering og evaluering av spesifikke retningslinjer og rutiner, risikoanalyse, compliance testing, opplæring av personale samt intern kompetanseutvikling. Compliancefunksjon sin gjennomføring av risikoanalyse og testprogram er fra 2009 samordnet med bankens årlige risikoanalyse iht. Internkontrollforskriften 6 med gjennomgang av risiko og adekvate kontrolltiltak og handlingsplaner og gjennomføring av kontrolltiltak og handlingsplaner iht. Internkontrollforskriften 7 og 8. Risk manager Risk manager funksjonen ble etablert i 2005 og rapporterer til adm. banksjef. Risk manager er leder for og har ansvaret for å koordinere den samlede risikostyring og internkontroll i banken, herunder etablering av helhetlig risikostyring og videreutvikling av prosesser, modeller og risikostyringssystemer (beslutningsmodeller, analyser etc.). Risk manager har ansvar for å utarbeide systemer for å identifisere, måle, rapportere og følge opp bankens viktigste iboende risikoer innenfor kreditt-, markeds-, likviditets og operasjonell risiko, samt overvåke bankens totale risikoeksponering og påse at disse risikoer rapporteres til adm. banksjef og styret. Operasjonelt er det risk manager som har ansvaret for gjennomføring og dokumentasjon av årlig risikoanalyse iht. Internkontrollforskriften 6 med gjennomgang av risiko og adekvate kontrolltiltak og handlingsplaner. Videre årlig bekreftelse av gjennomførte kontrolltiltak og handlingsplaner iht. Internkontrollforskriften 7 og 8. I dette ligger det også ansvar for å påse at bankens risikorapportering er i samsvar med lov, forskrifter og retningslinjer til enhver tid. Risk manager opererer uavhengig av linjen og er ikke involvert i innvilgelse av enkeltsaker eller andre forretningsmessige beslutninger i linjen. 13
Risk manager vedlikeholder og videreutvikler struktur og rammeverk for kredittstrategi/-policy og kredittbehandlingsrutiner. Sammen med linjen og compliance funksjonen vurderer risk manager risikoen i nye produkter før disse tilbys i markedet. Risk manager har møterett i bankens ledergruppe samt er fast medlem i balansestyringskomiteen og har kontakt med intern revisjon, ekstern revisjon, risikostyringsfunksjon i andre kredittinstitusjoner, Finanstilsynet osv. Kredittsjef Kredittsjefstillingen ble opprettet i 2014. Kredittsjef har ansvaret for å formidle og forklare bankens overordnede mål, kredittstrategi, kredittpolicy og retningslinjer for kredittvirksomheten til sine egne medarbeidere godkjenne kredittbehandlingsrutiner påse at kredittstrategi/-policy, fullmakts- og bevilgningsreglement og kredittbehandlingsrutiner blir etterlevd sørge for en effektiv organisering av kredittarbeidet i sin enhet, og en betryggende kvalitetssikring herunder å initiere og etablere hensiktsmessige internkontrollrutiner på kredittområdet ansvar for overordnet kompetanseutvikling drifte og videreutvikle system for risikoanalyser, rapportering og kredittkontroll Kredittkomiteer Fana Sparebank har 2 kredittkomiteer, Kredittkomité PM (KK PM) og Kredittkomité BM (KK BM). Kredittkomité er et rådgivende organ og høringsinstans i saker som berører bankens kredittvirksomhet. Kredittkomiteer skal være besluttende organ i følgende saker: alle saker som går ut over delegerte fullmakter saker som gjelder lån, kreditter og garantier til datterselskaper av Fana Sparebank (hvor banken eier 50 % eller mer av aksjene) innenfor ordinær fullmakt saker rundt engasjement som ikke direkte medfører utbetaling eller garantistillelse, så som; remburser, terminforretninger, valuta og renteinstrumenter (KK fatter vedtak innen gitte fullmakter) Kredittkomiteer skal også: innstille overfor adm. banksjef i saker innenfor fullmaktstabell (men utenfor KK egne fullmakter) innstille i alle saker som er av spesiell karakter policyavvik - uavhengig av beløpets grense behandle rapporter over tapsberegnede engasjement som inngår i bankens rapporteringssystem for fremleggelse i styre. Tapsrapport og tapsgjenvinningsrapport skal fremlegges for kredittkomité senest en måned etter rapporteringstidspunktet. behandle andre saker som har betydning for bankens totale eksponering og risikoprofil Det er utarbeidet arbeidsinstruks for kredittkomité BM og kredittkomité PM som er inkludert i Kreditthåndbok BM og Kreditthåndbok PM. Kredittkomité PM består av 5 medlemmer. Kredittsjef eller stedfortreder som kredittsjef utpeker er komiteens møteleder. Komiteen skal behandle saker i henhold til bankens kredittstrategi, -policy samt bevilgnings- og fullmaktsreglement. Saker som sendes komiteen skal ha en saksutredning hvor det tydelig fremgår hva saken gjelder. Beslutning fattes i møte innenfor gjeldende fullmakter. 14
Ordinær kredittkomité BM består av 4 medlemmer. Adm. banksjef er møteleder i utvidet kredittkomite. Kredittsaker som skal legges fram for kredittkomite BM skal ha en saksutredning hvor det tydelig fremgår hva saken gjelder og saken skal være klargjort for vedtak. Det er en forutsetning for å innvilge kreditt at den aktuelle sak ligger innenfor de retningslinjer og strategi som er bestemt av styret. Innstillingen skal være konkret og utvetydig. Saksbehandler presenterer sak i møte. Beslutning fattes i møte innenfor gjeldende fullmakter. For saker utover ordinær kredittkomite BM sine fullmakter gjøres det en innstilling og saken besluttes av adm. banksjef eller styret. I ordinær kredittkomite fattes vedtak (eller innstilling) med enstemmighet når minst 3 faste medlemmer er til stede. Dersom dissens sendes saken til utvidet KK-BM for beslutning. I utvidet kredittkomité BM fattes vedtak med 4 stemmer (3 fra ordinær KK-BM og adm. banksjef). 4.2. Virksomhetsområdene risikostyringsenheter Et bærende prinsipp i internkontrollforskriften er at man klart skiller mellom ansvaret og oppgavene de ulike styrings- og kontrollfunksjoner har og ansvaret og oppgavene det enkelte forretningsområde har i en bank av Fana Sparebanks størrelse. Ledere for forretningsområder og øvrige virksomhetsområder (interne enheter) har (selvstendig) ansvar for daglig risikostyring og å etablere og følge opp god internkontroll i sin enhet. Lederne skal sørge for at alle risikoer på sitt ansvarsområde blir identifisert og evaluert, samt iverksette tilstrekkelige og effektive kontrollhandlinger, som reduserer risikoen til et akseptabelt nivå. Oppfølging av definerte og etablerte kontrollhandlinger fra lederne skjer gjennom Internus, som er et komplett elektronisk dokumentasjonsverktøy for alle definerte kontrollhandlinger i bankens internkontroll. Se nærmere om Internus verktøyet sin funksjonalitet under kapittel 5 Hovedprosess for risikostyring og internkontroll. Den enkelte leder skal sørge for at det daglige arbeidet i banken gjennomføres med den nødvendige kvalitet og på en mest mulig hensiktsmessig måte og i henhold til de regler og rutiner som til enhver tid gjelder. Stabs-/ støtteavdelinger skal hjelpe og utfordre forretningsledelsen i vurdering og styring av risiko og oppfølging av forbedringstiltak. 4.3. Organisering av virksomhetsområdene Kundefokus og tydeliggjøring av ansvar og arbeidsdeling er overordnede premiss for bankens organisering. 15
4.4. Hovedprosess for risikostyring og internkontroll Bankens hovedprosess for risikostyring og internkontroll består av åtte innbyrdes relaterte deler etablering av målsettinger internt miljø identifisering av hendelser risikovurdering risikohåndtering kontrollaktiviteter informasjon, kommunikasjon og oppfølging 4.4.1. Etablering av målsettinger og målstyring For å oppnå god risikostyring og internkontroll skal det for banken etableres klare og konsistente mål på de ulike nivåene i organisasjonen. De definerte målene er utgangspunktet for vurdering av risiko. Internkontrollens omfang skal tilpasses bankens risikokapasitet og risikoappetitt. For øvrig skal banken drives innenfor de rammer og fullmakter som styret har fastsatt for de ulike områdene. Sentrale elementer for styring av risiko skal være Etablering av et godt kontrollmiljø Løpende oppmerksomhet på risiko med jevnlig utførte risikoanalyser og risikorapporteringer Etablering og gjennomføring av aktuelle kontrolltiltak God kommunikasjon og informasjon Aktiv måling og oppfølging av målrettede indikatorer Bankens risikostyring skal sees i sammenheng med den øvrige virksomhetsstyringen i banken, spesielt balansert målstyring. Virksomhetsstyringen etableres ved utarbeidelse av konkrete (budsjett)mål, handlingsplaner knyttet til disse målene og etablering av måleindikatorer (KPI èr) som viser grad av måloppnåelse og trendutvikling. KPI ene, handlingsplaner og kommentarer er gruppert etter bankens hovedmål og fokusområder i bankens strategidokument. Det er ledelsens oppgave å sikre måloppnåelsen i bankens strategidokument gjennom å definere og spisse hver enkelt avdelings operative mål og handlingsplaner knyttet til disse operative målene. Bankens iboende risikoer blir identifisert og vurdert gjennom bankens risikovurderingsprosess (Internkontrollforskriften 6). Identifiserte risikoer blir sortert etter fokusområde og risikotype definert i bankens ICAAP. Overvåkning av identifiserte risikoer og tilhørende kontrolltiltak og handlingsplaner skjer ved bruk av IT-systemene Internus og Balansert målstyring (BMS). Internus overvåker og operasjonaliserer grunnleggende internkontrolltiltak i banken knyttet til identifiserte iboende risikoer i alle virksomhetsområdene og avdelinger og er i hovedsak retrospektiv gjennom kontroller av gjennomførte transaksjoner. BMS overvåker og operasjonaliserer iboende risikoer i alle virksomhetsområdene knyttet til å nå budsjettmål (måler resultat mot budsjettmål, avvik og trend) og virksomhetsområdene knytter egne kommentarer og handlingsplaner til å nå fastlagte budsjettmål. BMS har i hovedsak prospektiv perspektiv knyttet til å nå budsjettmål i et 12 måneders perspektiv. 4.4.2. Internt miljø, organisering Se over for beskrivelse av bankens organisering av roller og ansvar i risikostyringen samt innarbeidet fullmaktsstruktur og bevilgningsreglement i organisasjon og støttesystemer. 4.4.3. Identifisering av hendelser - iboende risiko Utgangspunktet for identifiseringen av risikoer er mulige trusler og uønskede hendelser som kan redusere bankens evne til å nå bankens overordnede strategiske mål og operasjonelle budsjettmål, gjennomføre sine handlingsplaner og etterleve relevante regulatoriske krav. 16
MÅL Overordnede Budsjettmål Det foretas årlig gjennomgang av vesentlige risikoer og de interne handlingsplaner/ kontrolltiltak for å sikre en akseptabel restrisiko. Risikovurderingsprosessen er en helhetlig prosess som tar utgangspunkt i IDENTIFISERE RISIKO Uønskede hendelser Risikoeiere Risikokategorier ANALYSERE Sannsynlighet Konsekvens De mest kritiske TILTAKSPLAN Redusere risiko- nivå Unngå risiko Akseptere risiko OPPFØLGING Vurdere risikoen på nytt etter at tiltak er gj. ført Lukke eller akseptere risiko bankens overordnede strategiske mål og operasjonelle budsjettmål, identifiserer og beskriver risikoer på virksomhetsområdene, måler og prioriterer den enkelte risiko og designer kontrolltiltak som utføres for å redusere risikoen til et akseptabelt nivå. Med andre ord identifisere, analysere, handle og leve med et akseptabelt risikonivå på bankens forretningsmessige og operasjonelle risikoer. Iboende risiko defineres med hva kan gå galt spørsmål. Bankens risikoanalyse deles i strategiske risikoer og operasjonelle risikoer. Med strategisk risiko forstås de vesentligste risikoer som truer realiseringen av bankens strategiske målsettinger og som påvirker kritiske suksessfaktorer (ref. KPI's i BMS) (gjøre de riktige tingene). Med operasjonelle risikoer forstås risikoer knyttet til den daglige driften (gjøre tingene riktig). Bakteppe og rammebetingelser for risikoanalysen er Bankens strategidokument, forretningsstrategi Strategi Risikostyring og Internkontroll Del-strategier, policy, retningslinjer, fullmakter og rammer på de enkelte risikoområder. ICAAP (prosessen å relatere risiko til bruk av kapital) Internkontrollforskriften, spesielt 6-8 6. Risikostyring Foretaket skal løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal en slik risikovurdering foreligge før virksomheten igangsettes. Med utgangspunkt i definerte mål og strategier for virksomheten skal det minst én gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder. Det skal for alle virksomhetsområder foretas en systematisk vurdering av om foretakets risikostyring og internkontroll er tilstrekkelig for å håndtere foretakets identifiserte risikoer på en forsvarlig måte. Foretak som gjennomfører risikostyring og vurdering av risiko og kapitalbehov i samsvar med lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (finansieringsvirksomhetsloven) 2-9 til og med 2-9d og forskrift 14. desember 2006 nr. 1506 (kapitalkravsforskriften) anses for å ha oppfylt kravene i første og annet ledd. 7. Gjennomføring av internkontrollen Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen. 17
Det skal minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte. 8. Dokumentasjon og rapportering Vurderingene etter 6 annet ledd og 7 annet ledd skal dokumenteres. Et sammendrag med konklusjoner om risikosituasjonen og om det er behov for nye tiltak skal foreligge for det enkelte virksomhetsområdet. Daglig leder skal, minst én gang årlig, utarbeide en samlet vurdering av risikosituasjonen som skal forelegges styret til behandling. Foretak som nevnt i 6 tredje ledd må i tillegg supplere vurderingen etter finansieringsvirksomhetsloven og kapitalkravsforskriften med en samlet vurdering etter 7. Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet. Internrevisjonens rapporter Eksternrevisors rapporter brev til ledelsen Virksomhetsområdenes risikoanalyse skal fokusere på å identifisere og dokumentere banken og virksomhetsområdenes sine viktigste risikoer (kritiske for å nå virksomhetsområdene sine mål). Både forhold som kan påføre banken direkte tap, men også indirekte tap i form av tapte inntektsmuligheter og renommétap. Med utgangspunkt i risikoanalysen etableres tiltak/ kontrollhandlinger basert på en kost/nytte betraktning. Kost/nytte betraktningen foretas ved at risikoer som truer oppnåelse av de aktuelle mål vurderes og settes opp mot kostnadene ved de risikoreduserende tiltakene. Det skal etableres kontrollplaner både i forhold til strategiske risikoer og risikoer knyttet til den daglige driften. Risikovurderingsprosessen vil dermed bli et uttrykk for; Identifisere og beskrive hvilke risikoer som finnes på forretnings-/ansvarsområdet hvilken vesentlighetsgrad (viktighet) risikoene har hvilke kontrolltiltak/ handlingsplaner, som man har iverksatt for å redusere risikoen til et akseptabelt nivå. Det foreligger dokumentasjon på at risikoanalysen er gjennomført på en forsvarlig måte. 4.4.4. Risikovurdering - måling De identifiserte risikoene vurderes i forhold til sannsynlighet og konsekvens i risikomatrisen. Sannsynlighet angir om hendelsen vil inntreffe i løpet av 12 måneder. Konsekvens angir tapspotensial for banken (dvs. tapte inntektsmuligheter, kostnader og/eller tap). Risikograd - skala for sannsynlighet og konsekvens Gradering av risiko kan gjøres på flere måter. Fana Sparebank benytter en enkel modell som uttrykker bankens vilje til å ta risiko der gradering av risikoen gjøres langs 2 dimensjoner: Sannsynlighet - for at hendelsen vil inntreffe i løpet av 12 måneder: x 5 Meget høy Mer enn 75 % 4 Høy > 60 % < 75 % 3 Middels > 40 % < 60 % 2 Lav > 5 % < 40 % 1 Minimal Mindre enn 5 % 18
Lav Konsekvens Høy Konsekvens tapspotensial (dvs. tapte inntektsmuligheter og tapskostnad): 1=A Minimal En feil vil medføre ubetydelig tap, dvs < 100.000 2=B Lav En feil kan medføre tap kr > 0,1 mill < 1 mill. 3=C Middels En feil kan medføre tap kr > 1 mill < 5 mill. 4=D Høy En feil kan medføre tap kr > 5 mill < 20 mill. 5=E Meget høy En feil kan medføre tap kr > 20 mill. = Totale risikokategorier Produktet av konsekvens og sannsynlighet gir den totale risikoen og vil være visualisert slik: E1 E2 E3 E4 E5 D1 D2 D3 D4 D5 C1 C2 C3 C4 C5 B1 B2 B3 B4 B5 A1 A2 A3 A4 A5 Lav Sannsynlighet Høy Sum 1 Minimal risiko Sum 2-4 Lav risiko Sum 5-9 Moderat risiko Sum 10-15 Høy risiko Sum 16-25 Meget høy risiko Risikoer hvor produktet av Sannsynlighet og Konsekvens = 1 anses for uvesentlig. Alle andre verdier er en grad av vesentlig og skal ha knyttet tiltak til seg. 4.4.5. Risikohåndtering, ansvar Det er den enkelte leder for virksomhetsområdet som har ansvaret for etablering og gjennomføring av kontrolltiltak og handlingsplaner på sitt område. Lederen skal sørge for at alle risikoer på sitt ansvarsområde blir identifisert og evaluert, samt iverksette tilstrekkelige og effektive kontrollhandlinger, som reduserer risikoen til akseptabelt nivå. Risk manager har ansvar for å organisere prosessen og overvåke bankens rapportering knyttet til internkontroll forskriften herunder risikoanalysen. Administrerende banksjef skal sørge for å etablere et forsvarlig internkontroll system, og skal rapportere videre til styret årlig. 4.4.6. Kontrollaktiviteter, verktøy I forkant av kjente hendelser skal det være utarbeidet en risikoanalyse med forslag på eventuelle kontrolltiltak/forbedringstiltak. Risikoanalysen skal utarbeides ut fra formål og målsettinger på området. Bankens risikovurderinger med etablering av kontrolltiltak skal også omfatte utkontraktert virksomhet I forkant av kjente hendelser med antatt stor risiko, gjennomføring av sjeldne og kompliserte transaksjoner planlegging av store prosjekter etablering av nye forretningsområder 19
etablering i nye markeder lansering av nye produkter, og/eller målrettet, effektiv og hensiktsmessig drift pålitelig intern og ekstern rapportering målrettet, effektiv og hensiktsmessig drift pålitelig intern og ekstern rapportering dersom en uønsket hendelse har inntruffet Internus bankens hovedverktøy for internkontroll Internus er et elektronisk dokumentasjonsverktøy for alle definerte kontrollhandlinger i bankens internkontroll. Systemet er et rammeverk og gir struktur og oversikt på bankens definerte kontrollhandlinger. Rammeverket og strukturen er bygget opp tilsvarende som bankens organisasjonskart og fremkommer med definerte kontrolltiltak osv. på den enkeltes arbeidsstasjon/pc. Det er definert et betydelig antall kontrollhandlinger i Internus. Internus har tre hovedfunksjoner; Dokumentasjon av resultatet av den enkelte kontrollhandling utført av ansatte i banken. Påminnelsessystem (på skjerm med grønne og røde lys) for ansatte med tildelte kontrollhandlinger med hensyn til forfall. Overvåkningssystem som gir bankens ledelse til en hver tid mulighet for å se status på bankens definerte interne kontrollhandlinger. 4.4.7. Informasjon, kommunikasjon og oppfølging Risikoanalysen og et sammendrag med konklusjoner om det viktigste risikobilde skal forelegges styret minimum årlig, ref. internkontrollforskriften 6. Etter behov skal det periodisk rapporteres til styret og adm. banksjef på status i den løpende gjennomføringen av internkontroll opplegget og minimum en gang pr år. I banken rapporteres dette månedlig gjennom KPI i balansert målstyring, og styret får denne rapportert kvartalsvis. Denne rapporteringen må også sees i sammenheng med øvrig rapportering av måleindikatorer i balansert målstyring som sier noe om grad av måloppnåelse og etterlevelse av lover og regler. Alle ledere er ansvarlig for risiko innenfor sitt eget område og må derfor ha full innsikt i risikobilde til enhver tid. Risikorapportering blir oppsummert og vurdert kvartalsvis til styret. Hovedprinsipper for synliggjøring av risikoer oppover i organisasjonen Risikoer som er kritiske relatert til enhetens måloppfyllelse (konsekvens 4 og 5) Risikoer med lav sannsynlighet og stor konsekvens Risikoer hvor enhetslederen ikke har myndighet til å gjøre noe med risikoen (tiltakene finnes et annet sted) Strategiske risikoer (noe som påvirker kritiske suksessfaktorer for de overordnede målene). Beredskapsplan og stresstester Fana Sparebank skal ha etablert en klart formulert beredskapsplan for å håndtere ulike hendelser som kan oppstå i forhold til risikostyring. Stresstester er et hjelpemiddel i forhold til å skape forståelse for konsekvensen av ulike scenarioer for hendelser som kan påvirke banken generelt og det enkelte risikoområde spesielt. Utviklingen av stresstester vil skje sammen med beredskapsplanen, da disse temaene er nært knyttet til hverandre. Beredskapsplaner og stresstester skal utarbeides under hvert enkelt risikoområde og være i tråd med retningslinjene fra Finanstilsynet. 20