Risk och riskhantering

Koncernen exponeras för ett flertal risker som är typiska för bolag i branschen av liknande storlek, med motsvarande produktutbud och som verkar inom samma geografiska marknader. Koncernen har generellt en låg riskaptit och intar ett försiktigt förhållningssätt avseende de risker som uppstår i verksamheten samt prioriterar arbetet med att identifiera och förebygga risker.

Koncernens förmåga att hantera risker och upprätthålla en effektiv kapitalhantering är avgörande för koncernens lönsamhet. I verksamheten uppstår olika typer av risker. Följande huvudkategorier av risker har identifierats och kan aktualiseras på olika sätt för respektive bolag:

  • Kreditrisker (inklusive kreditrisker hänförliga till kreditportföljen, likviditets- och placeringsportföljer, kreditrelaterade koncentrationsrisker och motpartsrisker)
  • Marknadsrisker (inklusive ränterisker, valutarisker och andra kursrisker)
  • Likviditetsrisker
  • Operativa risker, (inklusive processrisker, personalrisker, IT- och systemrisker och externa risker)
  • Övriga verksamhetsrisker (inklusive strategiska risker, affärsrisker, konjunkturella risker och ryktesrisker)
  • Försäkringsrisker (aktualiseras endast för försäkringsverksamheten).

Kreditrisker, likviditetsrisker och operativa risker som uppstår inom ramen för bankverksamheten bedöms utgöra de mest betydande riskerna för koncernen. Inom försäkringsverksamheten är försäkringsrisken den mest betydande risken.

I syfte att balansera koncernens risktagande samt begränsa och kontrollera risker har koncernbolagen utfärdat styrdokument i en hierarki av tre nivåer. Externa regelverk tillsammans med styrdokument utgör grunden för koncernens kontrollmiljö och hantering av risker som förekommer i verksamheten. Styrdokumenten innefattar även delegering av behörigheter inom specifika riskområden.

Styrelsen i respektive koncernbolag fastställer policys som reglerar hantering av risker. För varje policy utses en ansvarig person inom organisationen som regelbundet ser över styrdokumenten, hanterar rapportering och föreslår nödvändiga justeringar av aktuell policy.

Riktlinjer som utgör nivån under policys fastställs av verkställande direktör eller ansvarig för det specifika riskområde som riktlinjen reglerar för respektive koncernbolag. Riktlinjer innehåller mer detaljerad information avseende riskhantering inom ett visst riskområde. På den operativa nivån fastställer ansvariga i verksamheten rutiner för specifika grupper av anställda. Rutiner är mer detaljerade vad gäller hanteringen av specifika arbetsuppgifter i den dagliga verksamheten.

Ramverket för riskhantering är en integrerad del i verksamheten och förenar koncernens strategiska mål med koncernens riskhantering. I ramverket för riskhantering ingår koncernens funktioner, strategier, processer, rutiner, styrdokument, riskaptiter, riskindikatorer, risklimiter, riskmandat, kontroller och rapporteringsrutiner, som är nödvändiga för att identifiera, mäta, övervaka, hantera och rapportera risker.

Riskaptiter, riskindikatorer och risklimiter följs regelbundet upp och rapporteras till styrelsen.

För enskilda risker har styrelsen i respektive koncernbolag fastställt riskaptiter utifrån kvalitativa och kvantitativa värderingar.

Riskaptiterna anger den risknivå som koncernen kan acceptera för att uppnå sina strategiska mål. Risklimiter är väldefinierade gränser som reglerar önskad riskexponering och är lämpliga att använda för att exempelvis definiera nivåer inom olika risktyper. Koncernen har standardiserat processen för riskidentifiering, riskbedömning och riskrapportering samt implementerat processen i verksamheten. Koncernbolagen arbetar aktivt med att skapa en hög riskmedvetenhet och effektiv riskhantering. Riskhanteringen utgår ifrån synen på ett trelinjeförsvar där de olika linjerna i kombination ska säkra en effektiv riskhantering i den dagliga verksamheten.

Den första försvarslinjen, ligger på den operativa nivån. Den operativa personalen har bäst möjlighet att identifiera, övervaka och kontrollera specifika risker som uppstår i den dagliga verksamheten.

Den andra försvarslinjen, består av respektive koncernbolags kontrollfunktioner, Compliance respektive Riskkontroll samt Aktuariefunktionen inom försäkringsverksamheten, som på ett oberoende och självständigt sätt kontrollerar koncernens verksamhet och rapporterar regelbundet såväl skriftligt som muntligt till respektive verkställande direktör, styrelse och vissa styrelseutskott.

Den tredje försvarslinjen, består av oberoende granskningsfunktion (internrevisionen). Internrevisionen granskar regelbundet koncernens verksamhet, häri ingår bland annat att granska aktiviteterna i första och andra försvarslinjen för att utvärdera att dessa försvarslinjer är adekvat hanterade från ett riskperspektiv. Internrevisionen rapporterar regelbundet till styrelse såväl skriftligt som muntligt.