Penge- og realkreditinstitutter skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for, at de ikke overholder lovgivningen, markedsstandarder og interne regelsæt (compliancerisici). Til dette formål skal de have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om disse metoder og procedurer samt de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.[1]
Formålet med inspektionen var at vurdere, om Compliances opgaver og opgavevaretagelse sikrer en tilstrækkelig identifikation, overvågning, håndtering og rapportering af compliancerisici i Nykredit-koncernen.
Inspektionen tog udgangspunkt i compliancerisici ifm. MiFID-reguleringen om investorbeskyttelse samt reguleringerne om forebyggelse af hvidvask og terrorfinansiering, gældsinddrivelse hos kunder, kreditrisici og IT-risici.
Finanstilsynets observationer bygger bl.a. på en gennemgang af Compliances interne retningslinjer, et antal af Compliances undersøgelsesrapporter og arbejdspapirer for udvalgte complianceundersøgelser samt forretningsenheders dokumentationsmateriale for udførte kontroller i udvalgte complianceundersøgelser.
Sammenfatning og risikovurdering
Inspektionen viste, at Compliance ikke i tilstrækkeligt omfang kontrollerede, om forretningsenhedernes faglige vurderinger af overholdelsen af regler var korrekte.
Compliance havde truffet et metodevalg om at efterprøve forretningsenhedernes kontroller, når der var kontroller, fremfor at foretage egne stikprøver. Efterprøvelsen omfattede en stikprøve af selve kontrollens udførelse samt meget små stikprøver af de kontrollerede sager. Compliance tog dermed kun i begrænset omfang uafhængig stilling til kvaliteten af forretningsenhedernes observationer for de gennemgåede stikprøver. Metodevalget indebar, at Compliance kun undtagelsesvis udtog egne stikprøver for at kontrollere, om forretningsenhederne overholdt lovgivning, markedsstandarder og interne regelsæt i praksis.
Compliances undersøgelser var dermed for overordnede. Der var samtidig væsentlige dele af lovgivningen, der ikke havde været undersøgt i en længere periode.
Nykredit har derfor fået påbud om at forbedre Compliances metoder i forhold til de ovennævnte forhold.
Compliance fulgte løbende op på egne anbefalinger til forretningsenhederne. Derimod fulgte Compliance ikke på samme vis løbende op på, om de afhjælpende foranstaltninger, som forretningsenhederne selv havde iværksat for at imødegå mangler i regelefterlevelsen, var effektive.
Nykredit har derfor fået påbud om, at Compliance skal tage stilling til og følge op på, om de foranstaltninger, som forretningsenhederne selv iværksætter for at imødegå væsentlige mangler i forhold til regelefterlevelse, er effektive.
Inspektionen viste også, at Compliances risikovurderinger, der er udgangspunkt for tilrettelæggelsen af complianceaktiviteterne, ikke var tilstrækkeligt velunderbyggede. De var bl.a. ikke underbygget af data og afspejlede ikke de konkrete compliancerisici, der er forbundet med Nykredits forretningsmodel, eller tog ikke tilstrækkeligt højde for risikoen for Nykredits kunder. Risikovurderingerne tog heller ikke højde for, at Compliance på nogle områder manglede at gennemgå overholdelsen af væsentlige dele af lovgivningen.
Nykredit har derfor fået påbud om, at Compliances risikovurderinger styrkes, så de sikrer en bedre og risikobaseret overvågning af compliancerisiciene.
Inspektionen gav ikke anledning til ændring af Nykredits solvensbehov.
[1] Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl., § 17, stk. 1-2. De tre påbud nævnt nedenfor er alle givet med henvisning til disse regler.