Risk och riskhantering

Koncernen arbetar aktivt med att förebygga och identifiera faktorer som kan ha negativ inverkan på verksamheten. Kunskap avseende riskhantering är prioriterade kompetens- och fokusområden inom koncernen.

Koncernens förmåga att hantera risker och bedriva en effektiv kapitalhantering är avgörande för lönsamheten. I koncernens verksamhet uppstår olika typer av risker. Riskerna kan aktualiseras på olika sätt för respektive koncernbolag.

  • kreditrisker (inklusive kreditrisker hänförliga till kreditportföljen, kreditrelaterade koncentrationsrisker och motpartsrisker)
  • marknadsrisker (inklusive ränte-, valuta- och kursrisker)
  • likviditetsrisker
  • operativa risker, (inklusive processrisker, personalrisker, IT- och systemrisker och externa risker)
  • övriga verksamhetsrisker (inklusive strategiska risker, affärsrisker, konjunkturella risker och ryktesrisker), och försäkringsrisker (aktualiseras endast för Solid).

Koncernen bedömer att kreditrisker, likviditetsrisker och operativa risker är de mest betydande risker som uppstår inom ramen för dess bankverksamhet. Inom försäkringsverksamheten är försäkringsrisken den mest betydande risken. I syfte att balansera koncernens risktagande samt begränsa och kontrollera risker har koncernbolagen utfärdat styrdokument i en hierarki som består av tre nivåer. Styrelsen i respektive koncernbolag fastställer policies avseende hantering av ett flertal risker som förekommer i verksamheten, vilket även innefattar delegering av behörigheter inom specifika riskområden. För varje policy utses en ansvarig person inom organisationen som övervakar efterlevnad, hanterar rapportering och föreslår nödvändiga justeringar av aktuella policies. Nivån under policies är riktlinjer vilket VD eller den ansvarige inom verksamheten för det specifika riskområdet ansvarar för att fastställa.

Riktlinjer innehåller generellt tillämplig information som kan bistå anställda med hantering av, och lösningar på, uppkomna frågor. På den operativa nivån fastställer ansvariga i verksamheten rutiner för specifika grupper av anställda. Rutiner är mer detaljerade vad gäller hanteringen av ärenden i den dagliga verksamheten.

Koncernens ramverk för riskhantering är en integrerad del i verksamheten och förenar koncernens strategiska mål med riskhanteringen. I ramverket för riskhantering ingår koncernens funktioner, strategier, processer, rutiner, interna regler, limiter, riskaptiter, riskmandat, kontroller och rapporteringsrutiner, som är nödvändiga för att identifiera, mäta, övervaka, hantera och rapportera risker.
Riskaptiter, riskindikatorer och limiter fastställs av styrelsen och följs regelbundet upp och rapporteras till styrelsen. Riskaptiter kan definieras genom kvalitativa och kvantitativa värderingar samt ange den risknivå som koncernen kan acceptera för att uppnå sina strategier. Limiter är väldefinierade gränser som reglerar önskad riskexponering som definieras i koncernens fastställda styrdokument. Limiter är lämpliga att använda för att exempelvis definiera nivåer inom olika risktyper.

Koncernen har standardiserat processen för hur risker ska identifieras, bedömas och rapporteras. Detta har implementerats i verksamheten som ett led i att skapa riskmedvetenhet och effektiv riskhantering.

Koncernen använder sig av ett trelinjeförsvar för att hantera risker i verksamheten.

Den första försvarslinjen utgörs av operativ personal som har förståelse för verksamheten och de risker som kan uppstå i den operativa verksamheten. Medarbetarna närmast verksamheten är även närmast riskerna och väl lämpade för att identifiera risker och proaktivt arbeta med riskmedvetenhet. Den operativa verksamheten äger och hanterar risker i den dagliga verksamheten.

Den andra försvarslinjen utgörs av respektive koncernbolags kontrollfunktioner, Compliance och Riskkontroll, samt Aktuariefunktionen inom försäkringsverksamheten, som på ett oberoende och självständigt sätt kontrollerar koncernens verksamhet och rapporterar regelbundet till respektive, VD, styrelse och vissa styrelseutskott såväl skriftligt som muntligt.

Den tredje försvarslinjen består av oberoende granskningsfunktion (internrevisionen). Internrevisionen granskar regelbundet koncernens verksamhet, häri ingår bland annat att granska aktiviteterna i första och andra försvarslinjen för att utvärdera att de första försvarslinjerna hanteras adekvat utifrån ett riskperspektiv. Internrevisionen rapporterar regelbundet till styrelse såväl skriftligt som muntligt.