Penge- og realkreditinstitutter skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for, at de ikke overholder lovgivningen, markedsstandarder og interne regelsæt (compliancerisici). Til dette formål skal de have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om disse metode og procedurer samt de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive.
Formålet med inspektionen var at vurdere, om compliancefunktionen fungerer hensigtsmæssigt og effektivt og lever op til ledelsesbekendtgørelsen og ESMA’s retningslinjer for visse aspekter af kravene til compliancefunktionen ifølge MiFID-II.
Inspektionen tog udgangspunkt i compliancerisici ifm. MiFID-reguleringen om investorbeskyttelse og kreditrisikoområdet.
Finanstilsynets observationer bygger bl.a. på en gennemgang af Group Compliances interne retningslinjer, udvalgte risikovurderinger, undersøgelsesrapporter og ledelsesrapportering. Finanstilsynet gennemgik også materiale fra risikostyringsfunktionen ved vurdering af bankens overvågning af compliancerisici på kreditrisikoområdet.
Sammenfatning og risikovurdering
Compliancefunktionen skal foretage en risikovurdering og udføre en grundig overvågning af MiFID-reguleringen. Det fremgår af ESMA’s retningslinjer[1].
Group Compliance tilrettelægger dens complianceaktiviteter baseret på risikovurderinger. Inspektionen viste, at de ikke sikrer tilstrækkelig fokus på overvågning og vurdering af forretningsenhedernes overholdelse af MiFID-reglerne specifikt.
Risikovurderingen af MiFID’s investorbeskyttelsesregler var fra 2020. Group Compliance havde derfor ikke et aktuelt indblik i forretningsenhedernes overholdelse af reglerne. Risikovurderingen suppleres af andre processer, men de kan ikke opveje de risici, der følger af den manglende opdatering af risikovurderingen.
Banken har derfor fået påbud om at sikre en rettidig og dækkende risikovurdering af MiFID-reglerne. Det samme gælder for andre væsentlige regler, som Group Compliance har ansvaret for at overvåge.[2]
Overvågningen af compliancerisici indenfor det finansielle risikoområde håndteres af risikostyringsfunktionen.
Risikostyringsfunktionen udarbejder ikke risikovurderinger og har ikke planer for, hvordan den vil overvåge compliancerisici i forhold til de kreditrisikorelaterede regler. Den har desuden ikke tilstrækkelige retningslinjer, der beskriver dens opgaver, roller og ansvar med hensyn til compliancerisici.
Risikostyringsfunktionen kontrollerer og vurderer ikke tilstrækkeligt, om metoder og procedurer og de foranstaltninger, der er truffet for at afhjælpe eventuelle mangler, er effektive.
Group Compliance har det overordnede ansvar for overvågningen af koncernens compliancerisici. Group Compliance udfører derfor regelmæssige vurderinger af risikoområder dækket af risikostyringsfunktionen, herunder kreditrisikoområdet, for at sikre, at rammerne for håndtering af compliancerisici i risikostyringsfunktionen er tilstrækkelige. Group Compliance har ikke opdaget manglerne i overvågningen af compliancerisici inden for kreditrisikoområdet.
Banken har derfor fået et påbud om at sikre tilstrækkelig overvågning af compliancerisici indenfor de finansielle risikoområder samt de ikke-finansielle risikoområder, hvor risikostyringsfunktionen har ansvaret for overvågningen[3].
Inspektionen gav ikke anledning til ændring af bankens solvensbehov.
[1] ESMA’s retningslinjer for visse aspekter af kravene til compliancefunktionen ifølge MiFID (ESMA35-36-152).
[2] Jf. bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. (ledelsesbekendtgørelsen), § 17, stk. 1.
[3] Jf. bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. (ledelsesbekendtgørelsen), § 17, stk. 1.