Redegørelse om inspektion i Jyske Bank (compliance og risikostyring)

Finanstilsynet gennemførte i juni 2021 en inspektion af Jyske Bank-koncernens compliancefunktion og risikostyringsfunktion.

Formålet med inspektionen var at vurdere, om de to funktioner levede op til ledelsesbekendtgørelsen, om banken fulgte Finanstilsynets papir om god praksis for compliance og risikostyring i kreditinstitutter, og om funktionerne fungerede hensigtsmæssigt og effektivt.

Sammenfatning og risikovurdering

Banken har indrettet sig med en risikostyringsfunktion og en compliancefunktion, som tilsammen udgør bankens anden forsvarslinje. 

Håndtering og rapportering af IT-risici var ikke tilstrækkeligt integreret i risikostyringsfunktionen. Finanstilsynet har påbudt banken at sikre, at risikostyringsfunktionen i tilstrækkelig grad har kompetencer på IT-området, har forretnings- og arbejdsgange for sin kontrol af IT-området, og at risikostyringsfunktionens vurdering og rapportering af det samlede risikoniveau til bestyrelsen og direktionen om IT-området er fyldestgørende, tydelig og uafhængig af første forsvarslinje.

Finanstilsynet har også påbudt banken at sikre, at den complianceansvarlige og den risikoansvarlige har tilstrækkelig gennemslagskraft og indflydelse, og at der er tilstrækkelig klarhed over arbejdsdeling og dokumentation af processer af betydning for den complianceansvarlige og den risikoansvarlige. Påbuddet afspejler, at 

  • Bankens proces for produktgodkendelser ikke sikrede tilstrækkelig inddragelse af den complianceansvarlige og den risikoansvarlige. 
  • I modsætning til sammenlignelige institutter havde compliancefunktionen reduceret omfanget af complianceundersøgelser efter en nednormering.
  • Den risikoansvarliges arbejde med krediteftersyn var reduceret.
  • Der var ikke en dokumenteret arbejdsdeling mellem compliancefunktionen og risikostyringsfunktionen eller mellem koncernens risikoansvarlige og den risikoansvarlige i Jyske Realkredit.

Herudover konstaterede Finanstilsynet følgende:

  • Den complianceansvarlige blev generelt ikke inddraget i væsentlige beslutninger.
  • Den complianceansvarlige havde kun dialog med bestyrelsens medlemmer på bestyrelsesmøderne.
  • Risikostyringsfunktionen havde væsentlig mindre systematik i sin udarbejdelse af og opfølgning på anbefalinger til organisationen, end bankens compliancefunktion og interne revision havde.
  • Risikostyringsfunktionen anvendte ikke årshjul og flerårsplaner.