Tematisk bedömning: Riskrapporteringen till styrelsen i de kreditinstitut som är under Finansinspektionens direkta tillsyn behöver utvecklas

Finansinspektionen genomförde i maj–oktober 2023 en tematisk bedömning med vilken man utredde vilka åtgärder kreditinstituten vidtagit utifrån rekommendationerna i den tematiska bedömningen om riskrapporteringen till kreditinstitutens styrelser som genomfördes år 2019.

Allmänna iakttagelser

I den tematiska bedömningen observerades att riskrapporteringen utvecklats i alla tillsynsobjekt efter utredningen 2019. Utvecklingen har varit antingen småskalig eller lite mer omfattande, och i tre tillsynsobjekt har utvecklingen varit till och med betydande. Det förekom emellertid stor variation mellan olika riskområden och tillsynsobjekt.

En klar förbättring har skett bl.a. i utökandet av olika riskrelaterade delfaktorer inom olika riskområden, vilket ger styrelseledamöterna bättre förmåga att bilda sig en uppfattning om riskens innehåll och om delfaktorernas betydelse för riskställningen. I rapporterna har det även lagts till en skriftlig analys.

Riskområdena och deras utvecklingsriktningar bedöms även mer föregripande än tidigare med hjälp av scenario- och stressanalyser. Särskilt inkluderandet av IT-risker, inklusive cyberrisker, samt uppföljningen av IT-projekt och andra betydande utvecklingsprojekt i rapporteringen av de operativa riskerna svarar mot styrelsernas önskemål i den tematiska bedömningen från 2019.

Riskpositioner och utvecklingen av dem beskrivs även i större utsträckning med hjälp av olika visuella metoder. Exempelvis trafikljusmodeller, pilmarkeringar som beskriver utvecklingen och olika bedömningsskalor som anger väsentlighet används i större grad än tidigare.

Finansinspektionen observerade emellertid att styrelsematerialet som helhet kan utgöra flera hundra sidor och att det är fast vid styrelseledamotens egen aktivitet i hur stor grad man sätter sig in i det riskbaserade materialet inom ett enskilt riskområde. För en del av tillsynsobjekten består rapporteringen fortfarande mest av tabeller och grafer utan en skriftlig beskrivning. För en del av tillsynsobjekten bestod rapporteringen fortfarande mest av tabeller och grafer utan en skriftlig beskrivning. På grund av det är en sammanfattning av de enskilda riskområdena, där man klart utskrivet redogör för riskställningen (positionen) och förväntningarna vad gäller de viktigaste riskerna, en förutsättning för ett effektivt styrelsearbete.

De viktigaste iakttagelserna och rekommendationerna vad gäller kreditrisker

I den tematiska bedömningen observerades att kreditrisker i huvudsak rapporteras till styrelsen varje månad och i några banker varje kvartal. Finansinspektionen rekommenderar att åtminstone den kompakta riskrapporten behandlas på styrelsens initiativ varje månad, eller om styrelsen samlas mer sällan än varje månad, på varje styrelsemöte.

Riskrapporten och särskilt sammanfattningen av den ska ge styrelsen både en kvantitativ bild som tar fasta på limitbegränsningarna och innehålla en skriftlig sammanfattning av riskläget. Rapporten ska redogöra för de viktigaste faktorerna som inverkar på riskläget vid tidpunkten i fråga och för planerade åtgärder för att antingen stabilisera eller förbättra läget.

Finansinspektionen rekommenderar att en representant för den andra försvarslinjen (riskhanteringsdirektören eller motsvarande) ansvarar för att presentera riskrapporteringen för styrelsen.

Kreditrisker

Kreditinstitutens viktigaste riskområde är kreditriskerna, och de bildar största delen av bankernas kapitaltäckningskrav. På grund av det är det av största vikt att styrelseledamöterna får aktuell och mångsidig information både om den tidigare utvecklingen av kreditriskpositionen och det gällande kreditriskläget. Därtill bör styrelsen föregripande ha en uppfattning om hur bankernas kreditrisker utvecklas i framtiden i olika scenarier.

Finansinspektionen rekommenderar att riskrapporteringen av kreditrisker innehåller sådana uppgifter som är relevanta för riskhanteringspolicyn, till exempel:

• utfall för de riskindikatorer som speglar riskaptiten
• utveckling av hela kreditportföljens sammansättning per exponeringsgrupp
• sektoriella och geografiska koncentrationsrisker (även inom Finland)
• stora exponeringar
• utveckling av oreglerade fordringar för de viktigaste kreditportföljerna
• utveckling av fordringar som förfallit till betalning i de viktigaste kreditportföljerna
• utveckling av fordringar med betalningsanstånd i de viktigaste kreditportföljerna
• utfall för de kreditportföljspecifika kvalitets-, avkastnings- och tillväxtmålen enligt kreditriskstrategin
• resultat av en jämförelse mellan kreditriskprofilen och målen enligt kreditinstitutets kreditriskstrategi samt kreditriskaptiten
• uppgifter om eventuella avvikelser från kreditgivningsprinciperna
• resultat av stresstestet för kreditrisk
• uppgifter om och rekommendationer till eventuella korrigeringsåtgärder beträffande riskaptiten eller överskridningar av risklimiter från riskkontrollfunktionen
• utveckling av IFRS 9 nedskrivningsstegen för de viktigaste kreditportföljerna
• utveckling av förväntade kreditförluster per IFRS 9 nedskrivningssteg för de viktigaste kreditportföljerna
• användning av expertjusteringar vid beräkning av nedskrivningar enligt IFRS 9 (belopp + motivering)
• IRBA-banker
  • kreditklassernas riskprofiler
  • migreringar mellan kreditklasser
  • estimering av de relevanta parametrarna per klass samt jämförelse av den faktiska andelen fallissemang, LGD- och CCF-värden med förväntat utfall och stresstestresultat i den utsträckning som egna LGD- och CCF-skattningar används.

De viktigaste iakttagelserna om riskrapporternas utveckling och deras överensstämmelse med ICAAP- och ILAAP-dokumenten

Styrelsen beslutar om kreditinstitutets riskaptit samt ansvarar för likviditeten och allokeringen av kapitalet, med vilka man täcker medvetet tagna och eventuella realiserade risker. Det är viktigt att styrelsen kan följa konsekvenserna av dessa beslut. Enligt Finansinspektionen är det viktigt att styrelsen får aktuella rapporter som beskriver riskställningen för olika risker och riskernas utvecklingsriktningar även mellan nya beslut. Rapporterna ska så omfattande som möjligt innehålla de risker och riskrelaterade delfaktorer på grundval av vilka man beslutar om riskaptit, allokering av kapital och likviditet.

Av utredningen framgick det att en del av tillsynsobjektens riskrapporter till sitt innehåll inte alls eller endast delvis motsvarar de fastställda riskområdena i ICAAP-/ILAAP-dokumenten. Finansinspektionen rekommenderar att styrelsen och den andra försvarslinjen granskar överensstämmelsen mellan riskrapporterna och ICAAP-/ILAAP-dokumenten. Det finns vissa avvikelser mellan rapporterna och dokumenten hos alla tillsynsobjekt. För en del av riskerna, såsom för de operativa riskerna och compliance-riskerna är skillnaderna jämfört med det som presenteras i ICAAP-doku­mentet mer godtagbara än till exempel då den regelbundna riskrapporteringen är mer omfattande, såsom då den innehåller olika sammandrag av olika händelser. 

Finansinspektionen återkommer till iakttagelserna per riskområde hos enskilda tillsynsobjekt i sin tillsyn.

Den tematiska bedömningens bakgrund

Bedömningarna grundar sig på Finansinspektionens tematiska bedömning i maj–oktober 2023. Genom bedömningen utreddes vilka åtgärder som vidtagits i kreditinstituten utifrån rekommendationerna i den tematiska bedömningen om riskrapporteringen till kreditinstitutens styrelser från 2019. Rekommendationerna publicerades i tillsynsmeddelandet 57/2019 den 5 november 2019. Som bilaga till tillsynsmeddelandet finns även rapporten Temabedömning av riskrapporteringen till kreditinstitutens styrelser. I den nu genomförda tematiska bedömningen följde man upp rekommendationerna 1. A–d och 2.

Som särskilt riskområde i den tematiska bedömningen valdes kreditrisker. I bedömningen granskades förändringarnas utfall och bedömdes i synnerhet rapporternas kvalitet. Andra riskområden som togs med i bedömningen var likviditetsrisker, affärsverksamhetsrisker, ränterisker, operativa risker och compliancerisker. I enkäten utreddes även styrelsearbetet och riskrapporternas innehåll, och man jämförde de interna solvens- och likviditetsutvärderingsdokumenten (de så kallade ICAAP- och ILAAP-dokumenten) med riskrapporterna. 

Den tematiska bedömningen genomfördes med en enkät om riskrapportering bland personer i den andra försvarslinjen i fjorton kreditinstitut under Finansinspektionens direkta tillsyn. Utöver svarsblanketten ombads deltagarna även lämna in de senaste riskrapporterna per riskområde samt ICAAP- och ILAAP-dokumenten.

Närmare upplysningar lämnas av

Erika Penttilä, ledande specialist, tfn 09 183 5270 eller erika.penttila(at)fiva.fi.