Indledning
Finanstilsynet har i marts 2015 foretaget en inspektion af Sydbanks risikostyringsfunktion, compliancefunktion og interne revision.
Inspektionen var led i en tværgående undersøgelse, hvor de samme funktioner blev undersøgt i andre store banker. Baggrunden er, at risikostyringsfunktionen og compliancefunktionen har centrale opgaver med overvågning og kontrol i banken (”2nd line of defense”), mens intern revision foretager revision af alle bankens aktiviteter, herunder risikostyringsfunktionen og compliancefunktionen, og dermed er ”3rd line of defense”.
Sammenfatning og risikovurdering
Risikostyringsfunktionen ledes af bankens risikoansvarlige og har bl.a. til opgave at have et samlet overblik over bankens risici med henblik på at vurdere, om der er en betryggende styring heraf.
Compliancefunktionen ledes af den complianceansvarlige og skal bl.a. kontrollere bankens compliancerisici, som er risikoen for, at banken ikke overholder lovgivning eller bankens interne regelsæt mv.
Intern revision ledes af revisionschefen og foretager både finansiel og operationel revision, dvs. revision af både bankens årsregnskab og af risikostyring og kontrolprocesser.
Inspektionen omfattede en gennemgang af de tre funktioners organisering, opgaver, koordinering med andre funktioner, ressourcer, kompetencer og rapportering.
Finanstilsynet finder, at det er vigtigt, at de tre undersøgte funktioner har uhindret adgang til bankens bestyrelse, og Finanstilsynet vurderer, at dette er tilfældet. Den complianceansvarlige havde dog ikke fremlagt sine konklusioner ved bestyrelsesmøder.
Finanstilsynet havde ikke væsentlige bemærkninger til den risikoansvarlige på de gennemgåede områder.
Compliancefunktionen har færre ressourcer end i andre store banker, også når der tages højde for forskelle i bankernes størrelse og forretningsmodel. Der er endvidere ikke en klar ansvarsfordeling mellem den complianceansvarlige og bankens juridiske direktør. Endelig har banken valgt, at en række risici ikke betragtes som compliancerisici og derfor ikke er omfattet af compliancefunktionens opgaver.
Banken fik derfor et påbud om at foretage en analyse af det nødvendige complianceniveau og sikre, at compliancefunktionen udfører de nødvendige complianceopgaver.
Finanstilsynet fandt endvidere, at compliancefunktionens tilbagemeldinger til de vurderede forretningsområder i højere grad skal indeholde en vurdering af nødvendige ændringer og en tidsfrist herfor.
Intern revision har senest revideret compliancefunktionen i 2012. Den nuværende risikostyringsfunktion blev etableret i begyndelsen af 2014 og var endnu ikke blevet revideret. Finanstilsynet fandt, at de to funktioner er så vigtige, at frekvensen for revisionen af dem skal forøges.
Sydbank koncernen har opgjort sit solvensbehov pr. 31. marts 2015 til 10,3 procent. Den faktiske solvens pr. 31. marts 2015 var 17,6 procent. Inspektionen gav ikke anledning til ændring af Finanstilsynets vurdering af koncernens solvensbehov.