Intern kontroll

En effektiv och tillförlitlig intern kontroll bildar grunden för iakttagande av sunda och försiktiga affärsprinciper.

Med intern kontroll avses en organisations interna förfaringssätt och handlingssätt för att säkerställa att de mål som ställts upp i strategin uppnås, att resurserna används ekonomiskt och att den information som används som stöd för ledningen är tillförlitlig. Dessutom säkerställer den interna kontrollen att riskhanteringen, förvaringen av kundmedel och egendomsskyddet är tillräckligt. Den interna kontrollen säkerställer också att bestämmelserna och de etiska principer som fastställts efterlevs.

Centralinstitutets förvaltningsråd fastställer principerna för den interna kontrollen på grupplanet och de här principerna följs i alla OP Gruppens företag. Vid OP Företagsbanken iakttas de principer för intern kontroll som fastställts av centralinstitutets förvaltningsråd.

Principerna för intern kontroll gäller all verksamhet. Då åtgärderna planeras ska beaktas arten och omfattningen hos verksamheten samt vid behov också de särdrag som ansluter sig till den internationella verksamheten. Den interna kontrollen genomförs på alla organisationsplan. Den primära och mest omfattande interna kontrollen sker i den operativa affärsrörelsen, där den interna kontrollen är fortlöpande och en del av den dagliga verksamheten.

Den interna kontrollen kompletteras av att de anställda inom OP Gruppen via en oberoende kanal kan rapportera misstankar om överträdelser av bestämmelser och föreskrifter (whistle blowing).

Styrelsens roll i den interna kontrollen

OP Företagsbankens styrelse svarar för att en adekvat intern kontroll byggs upp och upprätthålls samt för att den fungerar. Styrelsen behandlar OP Gruppens anvisningar om intern kontroll, försäkrar sig om att OP Företagsbanken har tillräckligt preciserande anvisningar av anvisningarna på grupplanet samt övervakar hur välfungerande och tillräcklig den interna kontrollen är.

På centralinstitutsplanet sköts riskhanteringen och den finansiella rapporteringen centralt av en enhet som är oberoende av affärsrörelserna. Koncernbolagens styrelser bär ansvaret för de interna kontrolluppgifter som hör till den högsta ledningen i respektive bolag. Ett koncernbolags verkställande ledning ansvarar för uppläggningen av den interna kontrollen och riskhanteringen i enlighet med de principer och instruktioner som fastställts samt rapporterar om bolagets affärsrörelse, riskhanteringsförmåga och riskläge i enlighet med koncernens ledningssystem.

Compliance-verksamheten

Compliance-verksamhetens uppgift är att biträda den högsta och verkställande ledningen samt den övriga affärsrörelsen med att hantera risker i anslutning till regelefterlevnaden, att övervaka att reglerna efterlevs och att bidra till att utveckla den interna kontrollen. Regelefterlevnaden säkerställs också av Riskhanteringen, Compliance-organisationen, funktionen Ekonomi och centralbank samt HR.

Compliance-risken gäller så gott som all verksamhet och affärsrörelsen bär ansvaret för hanteringen av compliance-risken. Verkställande direktören ansvarar för bolagets compliance-verksamhet. Verkställande direktören stöds av OP Gruppens Compliance-organisation, och den Group Compliance Officer som ansvarar för den rapporterar till förvaltningsrådet (eller förvaltningsrådets kommittéer) och direktören för juridiska ärenden. Över compliance-verksamheten och de rekommendationer som i anslutning till verksamheten getts till affärsrörelserna rapporteras regelbundet till OP Företagsbankens styrelse. Över verksamheten sänds också rapporter till centralinstitutskoncernens direktion samt till förvaltningsrådets revisionskommitté som en del av rapporteringen på grupplanet.

OP Gruppens Compliance-organisation upprättar årligen en verksamhetsplan för compliance. För bolagets del behandlas och fastställs planen av OP Företagsbankens styrelse. Styrelsen behandlar också principerna och anvisningarna för compliance-verksamheten. OP Gruppens Compliance-organisation ansvarar på grupplanet för rådgivning och stöd för hanteringen av compliance-risken. Den styr också OP Företagsbankens compliance-verksamhet.

Compliance-verksamheten strävar efter att förebygga compliance-riskerna. I Compliance-organisationen genomförs uppdraget bl.a.

  • genom att upprätta och upprätthålla anvisningar om frågor som ansluter sig till centrala rutiner

  • genom att ge råd och utbilda de anställda om rutinerna

  • genom att stöda affärsrörelserna vid planeringen av utvecklingsåtgärder som främjar den interna kontrollen och hanteringen av compliance-risken

  • genom att hålla den högsta ledningen, verkställande ledningen och affärsrörelserna informerade om kommande ändringar i regleringen och genom att följa upp affärsrörelsernas beredning inför ändringar i regleringen

  • genom att övervaka, att OP Företagsbanken följer den gällande regleringen, de etiska rutinerna samt de interna anvisningarna som gäller rutinerna

  • genom att rapportera om de givna rekommendationerna och kontrollresultaten till affärsrörelserna samt om andra iakttagelser i anslutning till compliance-riskpositionen både till den högsta ledningen och verkställande ledningen.

Riskhantering

Grunden för riskhanteringen och kapitalutvärderingen vid OP Företagsbanken utgörs av OP Gruppens värden, strategiska mål och finansiella målsättningar. Riskhanteringen har till uppgift att identifiera de hot och möjligheter som inverkar på hur strategin fullföljs. Riskhanteringens mål är att ge stöd för att de mål som ställts i strategin ska uppnås genom att övervaka att riskerna står i rätt proportion till riskhanteringsförmågan. Riskhanteringsförmågan bildas av en högklassig riskhantering som är dimensionerad enligt verksamhetens omfattning och krav samt en tillräcklig kapitaltäckning och likviditet som baserar sig på lönsam affärsrörelse. OP Företagsbankens inställning till risktagning är måttfull och affärsrörelsen baserar sig på ett överlagt risk-avkastningstänkande. Riskhanteringen är en integrerad del av OP Företagsbankskoncernens affärsrörelse och ledning.

I OP Gruppens principer för risktagning och risktoleranssystemet som OP Andelslags förvaltningsråd fastställt anges principerna för hur gruppens risktagning ska styras, begränsas och övervakas samt för hur processen för riskhantering och kapitalutvärdering ska läggas upp.

OP Företagsbankskoncernens risktagning styrs med OP Gruppens riskpolicy. Centralinstitutets direktion fastställer riskpolicyn årligen för gruppens företag. Den innehåller de riktlinjer, åtgärder, mål och begränsningar för riskhanteringen som behövs för att styra affärsrörelsen så att de linjedragningar som fastställts i gruppens strategi och principerna för risktoleranssystemet genomförs. Skadeförsäkringsrörelsen styrs dessutom av instruktionerna för skadeförsäkring, återförsäkringsprinciper, placeringsplaner och en policy för skydd av försäkringsskuldens ränterisk.

OP Företagsbankskoncernens betydande risker i affärsrörelsen utgörs av kreditrisker, marknadsrisker, likviditetsrisker, försäkringsrisker, koncentreringsrisker, kundbeteenderisker samt strategiska risker, anseenderisker och operativa risker inkl. modellrisker och compliance-risker som gäller all affärsrörelse.

De betydande riskerna har beskrivits närmare i koncernens senaste bokslut och verksamhetsberättelse (se www.op.fi > OP Gruppen > Medier > Rapporter > Rapporter från OP Företagsbanken).

Organiseringen av riskhanteringen och kapitalutvärderingen

Bolagets styrelse fastställer i enlighet med riktlinjerna från centralinstitutets direktion bland annat affärsstrategin och godkänner affärsplanen samt övervakar hur de genomförs. Styrelsen fastställer också principerna för riskpolicyn, upplåningsplanen, kapitalplanen, den proaktiva beredskapsplanen för kapitalbasen, kontinuitetsplanen och betydande verksamhetsprinciper för riskhantering.

Dessutom övervakar och följer styrelsen upp hur riskhanteringen och kapitalutvärderingen genomförs samt att bolagets riskhantering är förenlig med lagar, myndigheternas föreskrifter och anvisningarna från centralinstitutet. Styrelsen ansvarar för att riskhanteringssystemen är tillräckliga samt övervakar hur vältäckande och fungerande de är. Styrelsens uppgift är också att övervaka att bolaget inte i verksamheten tar så stora risker att bolagets kapitaltäckning, likviditet, lönsamhet eller kontinuiteten i verksamheten äventyras väsentligt. Dessutom övervakar styrelsen beloppet och kvaliteten på kapitalen, resultatutvecklingen, riskpositionen i bolaget och koncernen samt hur riskpolicyn, limiterna och övriga anvisningar efterlevs.

Styrelsen bedömer minst en gång per år som en större helhet i OP Företagsbankskoncernen hur ändamålsenlig, vältäckande och tillförlitlig kapitalutvärderingen är.

OP Företagsbankens verkställande direktör tar hand om den övergripande styrningen av bolaget så att målen för resultat och riskhantering samt andra mål som ställts upp för bolaget uppnås genom att iaktta enhetliga strategier och riktlinjer.

OP Gruppens centralinstitut ansvarar för riskhanteringen och kapitalutvärderingen på grupplanet för OP Gruppen och för att OP Gruppens riskhanteringssystem är tillräckliga och tidsenliga. OP Gruppens riskhantering är ett ansvarsområde som är oberoende av affärsrörelsen och som ger riktlinjer för, styr och övervakar den integrerade riskhanteringen i gruppen och gruppens företag.

I första hand är affärsrörelserna och affärsområdena ansvariga för risktagningen och resultatet samt för att principerna för intern kontroll och riskhantering iakttas. Affärsrörelserna har rätt att fatta beslut om att ta risker inom de beslutsbefogenheter, åtagandegränser och limiter som fastställts.

Principerna för bolagets riskhantering och kapitalutvärdering samt riskposition beskrivs närmare i koncernens senaste bokslut och verksamhetsberättelse (se www.op.fi > OP Gruppen > Medier > Rapporter > Rapporter från OP Företagsbanken).

Internrevisionen

Internrevisionen bistår OP Företagsbanken Abp:s styrelse och bolagets ledning i att styra, kontrollera och säkerställa verksamheten genom att granska verksamheten.

OP Företagsbanken Abp:s moderföretag OP Andelslags Internrevision har svarat för internrevisionen. Internrevisionen är en av affärsrörelserna oberoende funktion som granskar hela OP Gruppens interna kontrollsystem, riskhantering samt lednings- och förvaltningsprocessernas tillräcklighet och effektivitet.

Centralinstitutets förvaltningsråd utser och entledigar revisionsdirektören samt beslutar om anställningsvillkoren och kompensationen.

Förvaltningsrådets revisionskommitté fastställer Internrevisionens verksamhetsplan och OP Företagsbankens styrelse den del av verksamhetsplanen som gäller bolaget. De granskningar som gäller OP Företagsbanken rapporteras till bolagets styrelse och ledning samt till centralinstitutets direktion och till revisionskommittén.

Internrevisionen iakttar i sitt arbete utöver Internrevisionens verksamhetsprinciper (Internal Audit Charter), som fastställts av förvaltningsrådet i juni 2018, också de internationella branschstandarderna för internrevision (International Standards for the Professional Practice of Internal Auditing), som fastställts av IIA (Institute of Internal Auditors).

Den externa kvalitetsbedömningen av verksamheten sker med cirka fem års mellanrum.