Tillsynsmeddelande 25.2.2026 - 12/2026

Tematisk bedömning av compliance- och internrevisionsfunktionerna i fondbolag och hos förvaltare av alternativa investeringsfonder

Finansinspektionen genomförde 2025 en tematisk bedömning, där det be­dömdes hur fondbolag och förvaltare av alternativa investeringsfonder ordnat compliance- och internrevisionsfunktionerna. Compliancefunktionen (regel­efterlevnadsfunktionen) och internrevisionen är en viktig del av en tillförlitlig bolagsstyrning och intern kontroll i företag under tillsyn.

Målet med den tematiska bedömningen var att utreda på vilket sätt fondbolag och förvaltare av alternativa investeringsfonder (nedan även bolag) följer regle­ringsskyldigheterna som gäller compliance- och internrevisionsfunktionerna. I den tematiska bedömningen bedömdes bland annat bolagens riktlinjer, funk­tionernas effektivitet och oberoende, personalresurser, befogenheter och rapportering. I den tematiska bedömningen fäste man även uppmärksamhet vid på vilket sätt förutsättningarna i regleringen uppfylldes i det fall då funktionerna lagts ut inom koncernen eller på en extern tjänsteleverantör.

Den tematiska bedömningen var en del av Europeiska värdepappers- och marknadsmyndigheten (Esma) och de europeiska nationella tillsyns­myn­digheternas gemensamma tillsynsåtgärd (Common Supervisory Action, CSA).

I den tematiska bedömningen deltog sju bolag från Finland, vilka represen­terade ca 70 % av de tillgångar som förvaltas av placeringsfonder och alter­nativa investeringsfonder (AUM). I valet av bolag beaktades även icke-professionella investerares andel av de tillgångar som bolagen förvaltade samt bolagens gränsöverskridande verksamhet.

I den tematiska bedömningen observerades brister i båda funktionerna och att bristerna varierade mellan bolagen. Observationerna som gällde brister grun­dade sig på bolagens svar och de dokument som stödde dem. Båda funktio­nerna hade allmänt och i omfattande grad lagts ut inom koncernen och utanför bolagen. I svaren från koncernbolagen framhävdes användningen av koncernens gemensamma resurser för funktionerna, varvid det är viktigt att uttryckligen fondverksamheten tilldelas rätta och tillräckliga resurser. Finansinspektionen skickar de målbolag som deltog i den tematiska bedömningen bolags­specifika tillsynsbrev med korrigeringsskyldigheter.

Finansinspektionen förutsätter att alla fondbolag och förvaltare av alternativa investeringsfonder beaktar observationerna i detta tillsynsmeddelande och Finansinspektionens synpunkter i bolagens egen verksamhet.

Observationer och synpunkter som gäller compliancefunktionen

De viktigaste observationerna om compliancefunktionen:

  • Alla bolag hade upprättat riktlinjer för compliancefunktionen, men i en del av bolagen innehöll riktlinjerna inte tillräckliga förfaranden för bedömning av complianceriskerna eller för det övervakningsprogram som ska upprättas utifrån riskbedömningen. I vissa bolag framgick det riskbaserade förhåll­ningssättet i bolagens complianceövervakning endast på en mycket allmän nivå.
  • Compliancefunktionen hade anvisats de ansvarsområden som förutsätts i regleringen, men i många bolag var svaren, särskilt då det gäller övervak­ningen av den gränsöverskridande verksamheten, på en så allmän nivå och knappa att det utifrån den tematiska bedömningen inte kunde säkerställas huruvida compliance-funktionen utfört sådana övervakningsuppgifter.
  • Alla bolag som deltog i den tematiska bedömningen hade lagt ut compliance­funktionens uppgifter antingen helt eller delvis. Majoriteten av bolagen hade i sina riktlinjer inte fastställt huruvida de avser att återta complianceuppgifterna eller att överföra dem till en ny tjänsteleverantör, då utläggningen upphör. Utifrån den tematiska bedömningen kunde det i en del av bolagen inte heller säkerställas att ansvaret kvarstår i bolaget trots utläggning.
  • Delvis utläggning av compliancefunktionens uppgifter förekom i omfattande grad. Med beaktande av den utlagda compliancefunktionens uppgifter och de personalresurser som man avtalat om för att sköta dessa uppgifter, kunde det genom den tematiska bedömningen inte påvisas att compliancefunktionens resurser var tillräckliga. En del av de bolag som delvis lagt ut compliancefunktionens uppgifter hade inte heller tillräckligt tydligt fastställt vilken andel som blir kvar på bolaget.
  • En del av compliancefunktionens personal hade även andra roller i bolaget eller dess koncern som inverkar på oberoendet.
  • Det fanns brister i dokumenteringen av bedömningen av compliancefunk­tionens effektivitet. Utifrån dokumentationen kunde man inte konstatera bedömningsgrunderna eller hur relevanta de var i alla bolag.

Compliancefunktionens verksamhetsprinciper

Bolaget ska ha lämpliga riktlinjer och förfaranden för att upptäcka risker för att bolaget inte klarar av att uppfylla sina skyldigheter enligt regleringen om placeringsfonder och alternativa investeringsfonder. Compliancefunktionen biträder bolagets styrelse med att hantera risker som uppstår av att bestäm­melser och bolagets egna verksamhetsanvisningar inte efterlevs.

Compliancefunktionen skyldigheter, kompetenser och befogenheter ska fastställas i compliancefunktionens riktlinjer eller andra interna anvisningar som beaktar verksamhetens omfattning och art i bolaget. Riktlinjerna ska innehålla information om compliancefunktionens övervakningsprogram och rappor­teringsskyldigheter samt om det riskbaserade förhållningssättet i övervak­ningen.

Finansinspektionen förutsätter att bolagen försäkrar sig om att deras riktlinjer för ordnandet av compliancefunktionen motsvarar regleringen och att compliancefunktionens riskbaserade förhållningssätt i övervakningen är tydligt fastställt i dem. I riktlinjerna som gäller compliancefunktionen ska förfarandena för bedömningen av complianceriskerna fastställas, och på basis av denna riskbedömning ska det uppställas mål för compliancefunktionen och beslutas om åtgärder enligt övervakningsprogrammet.

Compliancefunktionens ansvarsområden

Compliancefunktionen ska övervaka och regelbundet bedöma om åtgärder, riktlinjer och förfaranden samt de åtgärder som vidtas för att avhjälpa brister i efterlevnaden av bolagets skyldigheter är tillräckliga och effektiva. Compliance­funktionen ska också råda och assistera bolagets personal vad gäller efter­levnaden av skyldigheterna enligt regleringen om placeringsfonder och alternativa investeringsfonder.

I den tematiska bedömningen bedömdes compliancefunktionens ansvars­områden genom att reda ut på vilket sätt compliancefunktionen deltar i reagerandet på förseelser, vilka metoder som används i bolagets compliance­övervakning samt på vilket sätt compliancefunktionen övervakar kundklagomål och väsentliga risker i bolagets olika funktioner. Därtill bedömdes hur väl de rådgivnings- och assistansuppgifter som föreskrivs för compliancefunktionen genomförs bland annat genom att reda ut compliancefunktionens uppföljning av regelefterlevnaden, ordnandet av utbildning om regleringen, samarbetet mellan compliancefunktionen och den operativa affärsverksamheten och riskhanteringen, vägledningen av personalen som arbetar med produktgod­kännande samt kanalerna för anmälan om förseelser.

Bolagen kan ordna sin compliancefunktion på lämpligt sätt med tanke på arten och omfattningen av den egna affärsverksamheten. Bolaget ska emellertid försäkra sig om att compliancefunktionens övervakning de facto täcker alla de funktioner som bolaget bedriver. Compliancefunktionen ska även omfatta gränsöverskridande funktioner i de fall då fonder marknadsförs gränsöver­skri­dande eller då bolaget förvaltar fonder som är baserade i en annan EES-stat eller annars tillhandahåller tjänster i en annan EES-stat. Om bolagets gränsöver­skridande verksamhet ökar, ska även riskerna i anslutning till detta regelbundet bedömas på nytt. Detta är viktigt för att försäkra att compliancefunktionens övervakningsåtgärder fortfarande är tillräckliga och att rådgivningen har rätt tyngdpunkter och omfattning.

Utläggning av compliancefunktioner

Compliancefunktionens uppgifter kan läggas ut antingen helt eller delvis. I de fall där compliancefunktionens uppgifter läggs ut delvis, ska det tillräckligt detaljerat fastställas vilka uppgifter som vardera parten ska sköta. Av riktlinjerna ska det i sådana fall tydligt framgå på vilket sätt compliancefunktionens upp­gifter har delats. Alla de uppgifter som enligt regleringen ankommer på compliancefunktionen ska beaktas när uppgifterna fördelas.

Utläggning av uppgifter upphäver emellertid inte det ansvar som fondbolaget och förvaltaren av alternativa investeringsfonder har för de utlagda uppgifterna. Trots utläggning ska bolaget alltid ha möjlighet att övervaka de utlagda upp­gifterna och att hantera riskerna i anslutning till utläggningen. Bolaget ska även sträva efter att trygga att en tillräcklig kompetens bevaras så att den utlagda funktionen inom skälig tid kan återtas att skötas av bolaget självt eller överföras till en annan tjänsteleverantör.

Finansinspektionen framhäver att även de fondbolag och förvaltare av alter­nativa investeringsfonder som hör till en koncern eller grupp alltid har självständigt ansvar för att följa regleringen om placeringsfonder och alternativa investeringsfonder och för ordnandet av compliancefunktionen. Finansinspektionen uppmanar bolagen att försäkra sig om att de har beredskap att ordna compliancefunktionen på ett tillförlitligt sätt även i situationer där utläggningen av den upphör. Finansinspektionen anser att det är god praxis att återförandet av complianceuppgifterna eller en överföring av uppgifterna på en ny tjänsteleverantör tas upp i riktlinjerna.

Förutsättningarna för en lämplig och oberoende skötsel av compliance­funktionens uppgifter

Bolaget ska ha en permanent, effektiv och självständig compliancefunktion. Bolagen ska säkerställa att även compliancefunktioner som lagts ut inom koncernen har den kompetens om EU-regelverk och nationell lagstiftning som ska tillämpas på placeringsfondsverksamhet och förvaltare av alternativa investeringsfonder. Compliancefunktionens personal bör få regelbunden ut­bildning för upprätthållandet av sin kompetens. Finansinspektionen anser att det är god praxis att bolaget förutsätter att compliancefunktionen deltar i utbildning för att säkerställa en tillräcklig kompetens.

Bolagen ska säkerställa att compliancefunktionen har tillräckliga resurser särskilt då complianceuppgifter läggs ut i mycket omfattande skala. Enligt Finansinspektionen är skötseln av complianceuppgifter i regel en uppgift på heltid. Bolagets styrelser ska kritiskt bedöma resursfördelningens tillräcklighet i det fall då bolagets complianceresurser är mindre än ett årsverke och särskilt då uppgiften är fördelad mellan flera personer. Då t.ex. koncernens gemensamma complianceresurser används, ska bolaget säkerställa att complianceresurserna i tillräcklig grad allokeras uttryckligen till fondverksamheten.

Compliancefunktionens oberoende ska säkerställa speciellt för de personer som även har andra uppgifter i bolaget eller dess koncern. Om den person som sköter complianceuppgifterna deltar i andra uppgifter i bolaget på grundval av den proportionalitetsprincip som regleringen möjliggör, ska bolaget påvisa att compliancefunktionens oberoende inte äventyras med beaktande av affärs­verksamhetens art, omfattning och komplexitet och att bolagets compliance­funktion alltjämt är effektiv trots detta.

Compliancefunktionens rapportering till styrelsen 

Compliancefunktionen ska rapportera om sin verksamhet och sina obser­va­tioner minst varje år till fondbolagets styrelse eller till styrelsen hos förvaltaren av alternativa investeringsfonder. Finansinspektionen anser det vara god praxis att ha en tätare rapporteringsfrekvens och rekommenderar rapportering minst varje kvartal.

Enligt svaren i den tematiska bedömningen fanns det olika praxis för be­döm­ning av compliancefunktionens effektivitet och det fanns brister i dokumen­teringen av bedömningen. Finansinspektionen förutsätter att bolagets styrelse bedömer compliancefunktionens effektivitet minst varje år och att den gjorda bedömningen dokumenteras med tillräckligt tydliga motiveringar.

Finansinspektionen anser att det är god praxis att det i compliancefunktionens rapporteringar och översikter samt i samband med bedömningen av funktionens effektivitet påpekas vad som är compliancefunktionens syfte och uppgift.

Planering av compliancefunktionens övervakning

Alla bolag ska ha ett övervakningsprogram som grundar sig på en riskbaserad bedömning, där det fastställs vilka objekt som är föremål för övervakningen det kommande året jämte tidtabeller. Övervakningsprogrammet ska innehålla en bedömning av utbildningsbehovet. Enligt Finansinspektionen får en eventuell ändring i övervakningsprogrammet mitt under en period inte inverka på compliancefunktionens självständighet och oberoende.

Enligt Finansinspektionen ska bolagets styrelse godkänna övervaknings­programmet innan det träder i kraft.

Observationer och synpunkter som gäller den interna revisionen

De viktigaste observationerna om internrevisionen:

  • En del av bolagen beskrev inte överhuvudtaget vilka rutiner som används vid meningsskiljaktigheter mellan den operativa affärsverksamheten och intern­revisionen.
  • Med beaktande av det låga antalet interna revisioner som rapporterats till högsta ledningen samt de årsverken som bolagen meddelade, verkar det som om vissa bolag har avsatt otillräckliga resurser för internrevisionen.
  • Ett bolag hade ingen internrevision som är oberoende av verksamheten.
  • I materialet från ett bolag framgick det inte när de brister som intern­revisionen observerat eller när rekommendationer och fortsatta åtgärder upprättats och rapporterats till högsta ledningen. Brister, rekommenda­tio­ner och fortsatta åtgärder rapporterades på en mycket allmän nivå, och det gick inte att säkerställa sig om de avhjälpande åtgärdernas tidtabell.
  • Mängden interna revisioner som hänfördes till placeringsverksamheten och den alternativa investeringsverksamheten var inte tillräcklig.
  • I vissa bolag hade det inte gjorts någon bedömning av om internrevisionen är tillräcklig och effektiv eller så hade den inte dokumenterats på behörigt sätt.
  • I två bolag rapporterade internrevisionen inte direkt till högsta ledningen, utan via koncernnivån. I det ena bolaget hade internrevisionen rapporterat till moderbolagets styrelse endast en gång under de två föregående åren.
  • En del av bolagen beskrev inte de rutiner, enligt vilka internrevisionen kan rapportera till styrelsen även oftare än enligt den normala cykeln, om obser­vationerna är så allvarliga att det finns fog för det.

Förutsättningarna för en lämplig och oberoende skötsel av internrevisionens uppgifter

I den tematiska bedömningen bedömdes på vilket sätt de förutsättningar som möjliggör en lämplig och oberoende internrevisionsfunktion i företaget under tillsyn uppnås. De delområden som bedömdes var huruvida internrevisionen har en tillräcklig ställning i organisationen, personalresurser och tillräcklig sakkunskap, åtkomst till tillräcklig information samt ersättningar och obero­ende.

I den tematiska bedömningen bedömdes internrevisionens resurser på grund­val av de årsverken som bolagen meddelade. Resursernas tillräcklighet bedöm­des även i förhållande till de revisioner som rapporterats till ledningen. Med stöd av bedömningen konstaterar Finansinspektionen att internrevisionens resurser verkar vara otillräckliga i vissa bolag. Enligt Finansinspektionen ska bolagen, när de bedömer internrevisionens resurser, fästa uppmärksamhet vid till exempel affärsverksamhetens art i bolaget samt vid antalet genomförda revisioner, deras kvalitet och omfattning. Enligt Finansinspektionen kan det faktum att resurserna är fördelade på flera personer inverka på internrevisio­nens effektivitet, om det inte tillräckligt tydligt avtalats om arbets- och ansvars­fördelningen.

Enligt svaren på den tematiska bedömningen verkade bolagens internrevision ha tillräcklig åtkomst till information som är nödvändig ur revisionsfunktionens synvinkel. Finansinspektionen gör emellertid bolagen uppmärksamma på att internrevisionen även kan ha ett mer omfattande behov att komma åt infor­mation, till exempel i samband med planeringen av funktionen.

Då det gäller en tillräcklig ställning påpekar Finansinspektionen att bolaget ska ha rutiner för situationer där det förekommer meningsskiljaktigheter mellan internrevisionen och den operativa affärsverksamheten.

Internrevisionens rapportering till styrelsen

Enligt regleringen ska internrevisionen rapportera till styrelsen minst en gång om året. Finansinspektionen rekommenderar att internrevisionen rapporterar till styrelsen även oftare än så. Betydelsen av en tät rapporteringsfrekvens framhävs framför allt i större bolag, där internrevisionens verksamhet till sin natur är mer fortlöpande och inte enbart består av enstaka revisionsåtgärder. Enligt Finansinspektionen ska styrelsen bedöma internrevisionens tillräcklighet och effektivitet regelbundet minst varje år. Bedömningen ska motiveras och dokumenteras på lämpligt sätt.

Av svaren på den tematiska bedömningen framgick att internrevisionen i en del av bolagen inte hade någon direkt rapporteringsförbindelse till styrelsen. Regleringen förutsätter att bolagens internrevisioner rapporterar direkt till bolagets ledning.

Enligt regleringen ska fondbolag och förvaltare av alternativa investerings­fonder ha en tillräcklig internrevision i förhållande till sin verksamhet. Enligt svaren i den tematiska bedömningen har en del av bolagen inte gjort interna revisioner av fondverksamheten under de två föregående åren. Enligt Finans­inspektionen kan internrevisionen inte anses vara tillräcklig, såvida bolagens internrevision inte gör regelbundna revisioner även av bolagens kärnverksam­het, dvs. av de områden som anknyter till placeringsfonder och alternativa investeringsfonder.

Planering av internrevisionen

Internrevisionsfunktionen ska ha en revisionsplan för att undersöka och bedö­ma om de interna kontrollmekanismerna och övriga system och åtgärder är lämpliga och effektiva.

Enligt Finansinspektionen ska det i planeringen särskilt fästas uppmärksamhet vid att definiera revisionsuppgifternas tidtabeller, vilket stöder uppföljningen av planerna och bedömningen av genomförandet. Internrevisionen ska ge rekom­mendationer på grundval av de observationer som görs vid revisionerna och säkerställa att rekommendationerna följs.

Reglering som gäller compliance och internrevision

  • Lagen om placeringsfonder (213/2019) 4 kap. 1 §, 6 kap. 1 och 2 §
  • Finansinspektionens föreskrifter och anvisningar 3/2011 Organisatoriska krav och uppföranderegler för placeringsfondsverksamhet (kapitel 7 organisation av intern kontroll)
  • Lagen om förvaltare av alternativa investeringsfonder (162/2014) 7 kap. 1 och 2 § samt 10 kap. (delegering)
  • Kommissionens delegerade förordning (EU) 231/2013 artiklarna 60–62 och 75–82 (delegering)

Närmare upplysningar lämnas av

  • Esa Pitkänen, senior specialist, esa.pitkanen(at)fiva.fi
  • Samuli Urpalainen, övervakare, samuli.urpalainen(at)fiva.fi
  • Marko Hovi, byråchef, marko.hovi(at)fiva.fi