Reflektioner kring Finansinspektionens nya föreskrifter FFFS 2014:1
Den 17 februari beslutade FI de nya föreskrifterna och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1). Föreskrifterna ersätter från 1 april 2014 de hittills gällande allmänna råden i FFFS 2005:1 om styrning och kontroll av finansiella företag. Ett undantag är de krav som handlar om att med hjälp av IT-system automatiskt sammanställa data för företagets väsentliga och mätbara risker (2 kap., 7 §). Dessa regler träder i kraft den 1 januari 2015.
FI:s nya föreskrifter följer i stort sett EBA:s GL44-reglerna ”Guidelines on Internal Governance” från 2011 som bankerna redan ska följa sedan 2012. I den bemärkelsen är FI:s nya regelverk inget nytt i sig utöver den principiella skärpningen att man i själva verket har gått från allmänna råd till bindande föreskrifter. Detta innebär inte bara högre krav för instituten utan också för FI själv vad gäller resurser och kompetens till reglernas uppföljning hos instituten.
Utifrån mitt perspektiv andas de nya reglerna andan av COSO:s kända ramverk för Internal Control (IC) från 1992 och Enterprise Risk Management (ERM) från 2004. Begrepp som ”allmänna organisatoriska krav” eller ”riskkultur” till exempel påminner väldigt mycket om de kraven som ramverken ställer vad gäller en lämplig kontrollmiljö i en organisation. ERM:s anda återspeglas av kravet att det ska upprättas ett övergripande ramverk för riskhantering vilket samordnar strategier, funktioner och processer så att ett suboptimalt silotänkande med avseende på risk ska elimineras.
Med tanke på att COSO:s ramverk redan finns ett antal år kan antas att i de flesta bankerna mycket redan borde vara på plats, mer eller mindre formellt i alla fall. Dock finns det vissa krav i de nya reglerna som kan vara svåra att följa, både för mindre och större banker.
Jag vill kommentera några av dem som i mina samtal med mina kontakter i branschen har lyfts:
1. Ett företag ska ha en dokumenterad riskaptit som omfattar företagets alla slag av risker. (2 kap., 3 §)
Vad gäller tillvägagångssätt och definition av riskaptiten refererar FI till FSB:s vägledning ”Risk Appetite Framework” från 2013, se också min tidigare blogg. Vägledningen tillåter både kvantitativa och kvalitativa definitioner som kompletterar varandra även om kvantitativa termer är att föredra eftersom den övergripande riskaptiten ska brytas ned till bland annat risklimiter för olika slag av risker. Huvudmålet är dock att genom en bra kombination av kvalitativa och kvantitativa definitioner främja en företagsgemensam uppfattning av vilka risker är acceptabla och vilka inte. Vissa riskers riskaptit definieras redan idag i kvantitativa termer till exempel med hjälp av VaR eller kreditlimiter. Andra mer mjuka risker som personalrisker eller ryktesrisker är svårare att definiera en riskaptit för. Jag anser att kravet inte borde tolkas på det viset att det ska finnas en enda definition av bankens övergripande riskaptit utan att är ett samspel av olika "riskaptiter" som definieras per typ av risk. Skillnaden är att dessa från 1 april ska vara väl dokumenterade och kommunicerade så att den eftersträvade samsynen verkligen kan uppnås.
2. Ett företag ska ha förmåga att så snart som möjligt samla in och automatiskt sammanställa data för företagets väsentliga och mätbara risker. (2kap., 7 §)
I samband med detta krav refererar FI till Baselkommitténs ”Principles for effective risk data aggregation and risk reporting” från 2013. Där krävs en hög automatiseringsgrad i bankens rutiner att samla in och sammanställa risk data eftersom det ska mötas behov av ordinarie och ad hoc riskrapporter. Problemet här är inte att det inte finns IT-lösningar på marknaden. Problemet ligger mer i att de som hittills arbetar mer eller mindre manuellt med detta fram till 1 januari 2015 bara har nio månader på sig att söka, välja ut och implementera en lämplig lösning.
3. Ett företag ska ha ett ramverk för riskhantering… (5 kap., 1 §)
Nu är det slut med silotänkande i risksammanhang! Detta är budskapet med kravet. Riskhanteringen ska ha en tydlig koppling till strategin, kontrollfunktionernas arbete ska samordnas, och en samsyn på risk ska genomsyra hela organisationen. Jag vet att även stora banker först för några år sedan har skapat kommunikationsvägar som tillåter dialog och bättre samordning av compliance-, risk- och internrevisionsfunktioner. Det är ett viktigt steg. Chansen ligger i att ta tillvara på de riskprocesserna som redan finns. Utmaningen ligger i att skapa ett ramverk som förmår att på ett enkelt och koncist sätt lägga ihop dessa pusselbitar så att organisationen ska få ut synergieffekterna.
Sammanfattningsvis är FI:s nya föreskrifter inget nytt för många banker. Men med steget från allmänna råd till föreskrift har reglerna skärpts och det kommer att ställas högre krav på ett strukturerat arbetssätt med tillhörande formell dokumentation vilket kan ställa till det för banker med mindre resurser.
Jag delar gärna med mig mina omfattande erfarenheter inom dessa områden. Tveka därför inte att kontakta mig när ni förutsättningslöst och utifrån ert nuläge vill bolla kring dessa frågor.