Tillsynsmeddelande 11.2.2025 – 14/2025

Tematisk bedömning av kreditinstitutens resurser för den andra försvarslinjen

Under året 2024 utredde Finansinspektionen sex kreditinstituts resurser för den andra försvarslinjen. Med den andra försvarslinjen avsågs i den tematiska bedömningen 1. en riskkontrollfunktion som är oberoende av kreditinstitutets operativa funktioner samt 2. en funktion som övervakar efterlevnaden av reglering och interna verksamhetsprinciper, i fortsättningen ’compliance’, enligt 9 kap. 8 § i kreditinstitutslagen (610/2014, KIL).

Syftet med den tematiska bedömningen var att utreda de deltagande kreditinstitutens resurser för den andra försvarslinjen, dvs. deras omfattning och kompetens samt den tid som använts för uppgifterna. Utredningen genomfördes utifrån en förfrågan som sändes till kreditinstitut samt det bifogade material som kreditinstituten lämnade in. Bedömningen gällde uppgifter för den 31 mars 2024. Bakgrunden till bedömningen utgjordes av bestämmelserna i KIL 7 och 9 kap. samt Europeiska bankmyndighetens (EBA) riktlinjer för intern styrning (EBA/GL/2021/05), vilkas punkter om riskhantering och övervakning av efterlevnaden av reglering har använts i den tematiska bedömningen.

Iakttagelserna gäller såväl riskhanteringen som compliance-funktionen, utan att de har separerats.

Tillräckliga resurser

Största delen av aktörerna i målgruppen hade identifierat resursbrist inom olika riskområden, och hos några av dem som svarade har detta också lett till att alla riskhanteringsuppgifter inte har utförts i tid.

I fråga om vissa riskområden överskred den tid som i svaren uppskattades behövas för att utföra uppgifterna klart den svarandes faktiska tillgängliga resurser. 

Finansinspektionen påpekar att de interna kontrollfunktionerna måste ha tillräckliga resurser. Det måste säkerställas att det finns tillräckligt med kompetenta anställda, deras kompetens måste upprätthållas fortlöpande och vid behov måste de få utbildning.

Finansinspektionen rekommenderar att man bedömer resursernas tillräcklighet för att riskhanteringsuppgifterna ska kunna utföras på ett högklassigt sätt och i rätt tid.

Den tid som använts för olika riskhanteringsuppgifter

Hos flera som svarade kunde man iaktta att rapporteringen tar avsevärt mera tid än andra viktiga riskhanteringsuppgifter. Bakom fenomenet kan ligga otillräcklighet antingen i fråga om den allmänna mängden personresurser eller kvaliteten på de system som används.

Utifrån svaren kan dessutom den tid som använts för att säkerställa riskreducering betraktas som ringa inom vissa riskområden. Även här kan personresursernas allmänna kvantitativa otillräcklighet inom det aktuella riskområdet finnas i bakgrunden.

Bristfällig dokumentation

Hos en del av dem som svarade fanns det brister i dokumentationen om riskhanteringens uppgifter och funktioner. Detta kan leda till att de anställda i den andra försvarslinjen inte har klart för sig vad som hör till deras arbetsuppgifter, hur de borde utföras och till vem de ska rapportera eventuella avvikelser.

Finansinspektionen rekommenderar att företagen under tillsyn säkerställer att de har ändamålsenliga skriftliga beskrivningar av funktionerna och uppgifterna.

Den andra försvarslinjens oberoende

En av dem som deltog i bedömningen saknade fortfarande regelbundna möten mellan cheferna för andra försvarslinjen och styrelsen eller behörigt utskott utan den verkställande ledningen.

Finansinspektionen rekommenderar att företaget under tillsyn ordnar verksamheten så att regelbundna möten är möjliga utan den verkställande ledningens närvaro.

Säkerställande av den andra försvarslinjens kompetens

Finansinspektionen iakttog obalans i utbudet av regelbunden utbildning.

  • Bara en del av experterna inom riskområdet har fått utbildning om det egna riskområdet.
  • Vissa av dem som deltog i bedömningen gav mest utbildning åt sina anställda med längst erfarenhet, medan de som hade mindre arbetserfarenhet blev helt utan utbildning om det egna riskområdet.
  • Inom vissa riskområden hade ingen utbildning alls ordnats under 2022–2023.

Finansinspektionen betraktar det som god praxis att företagen under tillsyn reserverar resurser för utbildning av sina anställda för att säkerställa och upprätthålla den kompetens som riskområdena förutsätter. Detta kan synas som budgeterade medel eller som att arbetstid reserveras för utbildning. Se EBA:s riktlinjer (EBA/GL/2021/05) punkterna 182 och 207.

Kreditinstitutets styrelses uppgifter

Finansinspektionen förutsätter att kreditinstitutens styrelser vidtar korrigerande åtgärder för att riskhanteringens och compliance-funktionens resurser ska börja motsvara den nivå som mångsidigheten och omfattningen hos kreditinstitutets verksamhet förutsätter, så att kraven i kreditinstitutslagen uppfylls.

Finansinspektionen har tagit ställning till detta i sin tematiska bedömning 2022 av bankernas styrelsers deltagande i resurseringen av oberoende kontrollfunktioner och bedömningen av funktionernas effektivitet:

”Styrelserna utvärderar mycket sällan, om alls, de oberoende kontrollfunktionernas effektivitet (KIL 7:1 § 4 mom.). Styrelserna föreföll i regel sakna en sådan utredning om kontrollfunktionernas verksamhet som skulle möjliggöra en utvärdering.

Rekommendation: Finansinspektionen rekommenderar att styrelserna förutsätter att den verkställande ledningen regelbundet lämnar en utredning utifrån vilken styrelsen kan bedöma effektiviteten hos den övervakning som utförts av de oberoende kontrollfunktionerna.”

Alternativt kan oberoende intern granskning enligt punkt 155 i EBA/GL/2021/05 utföras av internrevisionsfunktionen.

Närmare upplysningar lämnas av

Erika Penttilä, ledande specialist, erika.penttila(at)fiva.fi eller tfn 09 183 5270.