Penge- og realkreditinstitutter skal have metoder og procedurer, der er egnede til at opdage og mindske risikoen for, at de ikke overholder lovgivningen, markedsstandarder og interne regelsæt (compliancerisici). Til dette formål skal de have en compliancefunktion, der fungerer uafhængigt, og som skal kontrollere og vurdere, om disse metoder og procedurer samt de foranstaltninger, der træffes for at afhjælpe eventuelle mangler,er effektive.
Formålet med inspektionen var at vurdere, om compliancefunktionen fungerer hensigtsmæssigt og effektivt, og lever op til ledelsesbekendtgørelsen og ESMA’s retningslinjer for visse aspekter af kravene til compliancefunktionen ifølge MiFID-II.
Inspektionen tog udgangspunkt i compliancerisici ifm. MiFID-reguleringen om investorbeskyttelse, kreditområdet og risikostyringsfunktionen.
Finanstilsynets observationer bygger bl.a. på en gennemgang af Compliances interne retningslinjer, et større antal af Compliances undersøgelsesrapporter, Compliances risikovurderinger og ledelsesrapportering.
Sammenfatning og risikovurdering
Inspektionen viste, at Compliance for dele af kreditområdet var udfordret pga. begrænsede kreditkompetencer. Det gjaldt bl.a. undersøgelser af compliancerisici ifm. belåning. For andre dele havde Compliance kompetencerne til at vurdere efterlevelse af kreditregler. Det omfatter undersøgelser af reglerne om kreditværdighed, bankens sikkerheder og håndtering af kursfølsomme oplysninger, hvor Compliance dog alene havde undersøgt begrænsede dele af reglerne og bankens aktiviteter.
Compliance havde alene i begrænset omfang undersøgt compliancerisici ifm. risikostyringsfunktionens opgaver, herunder ledelsesbekendtgørelsens krav til risikostyringsfunktionen, som ligesom Compliance er en del af bankens 2. forsvarslinje.
Banken skal sende en plan for, hvordan den vil styrke overvågningen af compliancerisici på de finansielle risikoområder.
På MiFID-området afgav Compliance relevante anbefalinger, men forretningsenhedernes tilbagemeldinger var i nogle tilfælde vage og ikke tilstrækkelige til at løse de konstaterede mangler. Banken har gennemført forskellige tiltag, som styrker Compliances gennemslagskraft i organisationen, og det arbejde skal fortsætte.
Inspektionen viste også, at Compliances risikovurderinger, der er udgangspunktet for tilrettelæggelsen af complianceaktiviteterne, ikke var tilstrækkeligt velunderbyggede. De var bl.a. ikke underbygget af tal og analyser og afspejlede ikke de konkrete compliancerisici, der er forbundet med Jyske Banks forretningsmodel, og tog ikke tilstrækkeligt højde for risikoen for Jyske Banks kunder. Risikovurderingerne tog heller ikke højde for lovområder, som Compliance endnu ikke havde gennemgået.
Jyske Bank har derfor fået påbud om, at Compliances risikovurderinger styrkes, så de sikrer en bedre og risikobaseret overvågning af compliancerisiciene[1].
Compliance har 14 medarbejdere, og en stor del af ressourcerne bruges til overvågning via complianceundersøgelser. Compliance har på baggrund af flere complianceundersøgelser det seneste år vurderet, at bankens compliancerisiko er forøget. De afdækkede forhold tyder på, at Compliance ikke har tilstrækkelige ressourcer, og banken skal derfor redegøre for, hvordan den sikrer tilstrækkelige ressourcer til bankens complianceopgaver.
Inspektionen gav ikke anledning til ændring af Jyske Banks solvensbehov.
[1] Påbuddet er givet med henvisning til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. (ledelsesbekendtgørelsen), § 17, stk. 1-2.