Indledning
Finanstilsynet har i juni 2015 i samarbejde med otte udenlandske tilsynsmyndigheder, der fører tilsyn med Danske Banks udenlandske datterselskaber og filialer, foretaget en inspektion af Danske Banks risikostyringsfunktion, compliancefunktion og interne revision.
Inspektionen var led i en tværgående undersøgelse, hvor de samme funktioner blev undersøgt i andre store danske banker. Baggrunden er, at risikostyringsfunktionen og compliancefunktionen har centrale opgaver med overvågning og kontrol i banken (”2nd line of defense”), mens intern revision foretager revision af alle bankens aktiviteter, herunder risikostyringsfunktionen og compliancefunktionen, og dermed er ”3rd line of defense”.
Sammenfatning og risikovurdering
Risikostyringsfunktionen ledes af bankens risikoansvarlige, der er medlem af direktionen, og har bl.a. til opgave at have et samlet overblik over bankens risici med henblik på at vurdere, om der er en betryggende styring heraf.
Compliancefunktionen ledes af den complianceansvarlige og skal bl.a. kontrollere bankens compliancerisici, som er risikoen for, at banken ikke overholder lovgivning eller bankens interne regelsæt mv.
Intern revision ledes af revisionschefen og foretager operationel revision, dvs. revision af bl.a. bankens risikostyring og kontrolprocesser. Derimod foretages den finansielle revision af bankens årsregnskab af den eksterne revision. Indtil januar 2015 foretog intern revision både finansiel og operationel revision.
Inspektionen omfattede en gennemgang af de tre funktioners organisering, opgaver, koordinering med andre funktioner, ressourcer, kompetencer og rapportering.
Finanstilsynet finder, at det er vigtigt, at de tre funktioner har uhindret adgang til bankens bestyrelse, og Finanstilsynet vurderer, at dette er tilfældet.
Banken har for nyligt foretaget store ledelses- og organisationsmæssige ændringer i de tre undersøgte funktioner. Finanstilsynet har gjort bankens bestyrelse og direktion opmærksom på, at mange ændringer i væsentlige kontrolfunktioner og processer kan medføre en øget risiko for fejl i implementeringsfasen og i nogen tid efter.
Én af de organisationsændringer, der er blevet gennemført, har betydet, at en del af kreditbevillingsprocessen nu er organiseret i tre kreditenheder i risikostyringsfunktionen. Det vil sige, at risikostyringsfunktionen dermed både indeholder enheder, som påtager sig risici, og enheder, der skal overvåge og kontrollere disse risici. Finanstilsynet finder, at det er vigtigt, at bankens bestyrelse og direktion er opmærksom på risiciene ved denne organisering.
Finanstilsynet har ikke taget endeligt stilling til den nye organisering af risikostyringsfunktionen. Finanstilsynet har anmodet banken om at foretage en analyse af risikostyringsfunktionens organisation i lyset af kravene om uafhængighed i risikostyringsfunktionen og hos den risikoansvarlige samt kravene om håndtering af interessekonflikter.
Finanstilsynet finder, at koordinationen mellem den centrale risikostyringsfunktion og de lokale risikostyringsfunktioner i udenlandske datterbanker og filialer ikke har været tilstrækkelig. Bankens nye risikoansvarlige er ved at forbedre dette område, og Finanstilsynet skal holdes orienteret om processen.
Banken har fokus på compliancefunktionen og har blandt andet gennemført en række forbedringer. Finanstilsynet finder dog, at der fortsat er plads til forbedringer i relation til overvågning og rapportering af risici.
Banken har valgt, at en række risici ikke betragtes som compliancerisici og derfor ikke er omfattet af compliancefunktionens opgaver. Banken er i gang med at kortlægge og analysere funktionens opgavevaretagelse. Finanstilsynet har anmodet banken om, at den også analyserer og fastsætter det nødvendige complianceniveau på de forskellige områder i banken og forelægger dette for Finanstilsynet.
Finanstilsynet havde ikke væsentlige bemærkninger til den interne revision på de gennemgåede områder. Finanstilsynet bemærker dog, at processen omkring implementering af intern revisions anbefalinger og opfølgning herpå ikke har været tilfredsstillende. Processen er nu blevet strammet op.
Danske Bank koncernen har opgjort sit solvensbehov pr. 31. marts 2015 til 10,6 procent. Den faktiske solvens pr. 31. marts 2015 var 18,4 procent. Inspektionen gav ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.