Forskrift om risikostyring og internkontroll

DatoFOR-2008-09-22-1080
DepartementFinansdepartementet
PublisertI 2008 hefte 11
Ikrafttredelse01.01.2009
Sist endretFOR-2009-12-18-1726 fra 21.12.2009
EndrerFOR-1997-06-20-1057
Gjelder forNorge
HjemmelLOV-1956-12-07-1-§4, LOV-1988-06-10-40-§2-9b, LOV-2002-07-05-64-§4-4, LOV-2007-06-29-74-§11 jf LOV-2015-04-10-17-§23-2
Kunngjort07.10.2008   kl. 14.30
KorttittelForskrift om risikostyring og internkontroll

Kapitteloversikt:

Hjemmel: Fastsatt av Kredittilsynet (nå Finanstilsynet) 22. september 2008 med hjemmel i lov 7. desember 1956 nr. 1 om tilsynet med finansinstitusjoner mv. (finanstilsynsloven) § 4 nr. 2, lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (finansieringsvirksomhetsloven) § 2-9b, lov 5. juli 2002 nr. 64 om registrering av finansielle instrumenter (verdipapirregisterloven) § 4-4 og lov 29. juni 2007 nr. 74 om regulerte markeder (børsloven) § 11.
Endringer: Endret ved forskrift 18 des 2009 nr. 1726.

Kapittel 1. Innledende bestemmelser

§ 1.Virkeområde

Forskriften gjelder for

1.Finansinstitusjoner
2.Regulerte markeder
3.Verdipapirforetak
4.Forvaltningsselskaper for verdipapirfond
5.Pensjonsforetak
6.Oppgjørssentraler
7.Verdipapirregistre
8.E-pengeforetak
9.Forsikringsformidlingsvirksomhet
10.Eiendomsmeglingsforetak
11.Inkassoforetak
12.Regnskapsførerselskaper.
§ 2.Forholdsmessighet

Foretakene skal tilpasse risikostyringen og internkontrollen etter arten, omfanget av og kompleksiteten i foretakets virksomhet.

Kapittel 2. Ansvar for risikostyring og internkontroll

§ 3.Styret

Styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder:

1.at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder,
2.at foretaket har en klar organisasjonsstruktur,
3.fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten. Det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant,
4.fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde,
5.påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Finanstilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av rapporter utarbeidet i henhold til § 8 og kapittel 4,
6.påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapporter utarbeidet i samsvar med § 8 og kapittel 4,
7.avgjøre om foretaket skal ha internrevisjon i samsvar med § 9,
8.evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig.
0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).
§ 4.Daglig leder

Daglig leder skal:

1.sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret,
2.løpende følge opp endringer i foretakets risikoer, og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer,
3.gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer,
4.påse at foretakets risikostyring og internkontroll er dokumentert,
5.påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte.
§ 5.Utkontraktering

Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet.

Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig.

Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.

0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

Kapittel 3. Risikostyring og internkontroll

§ 6.Risikostyring

Foretaket skal løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal en slik risikovurdering foreligge før virksomheten igangsettes.

Med utgangspunkt i definerte mål og strategier for virksomheten skal det minst én gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder. Det skal for alle virksomhetsområder foretas en systematisk vurdering av om foretakets risikostyring og internkontroll er tilstrekkelig for å håndtere foretakets identifiserte risikoer på en forsvarlig måte.

Foretak som gjennomfører risikostyring og vurdering av risiko og kapitalbehov i samsvar med lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (finansieringsvirksomhetsloven) § 2-9 til og med § 2-9d og forskrift 14. desember 2006 nr. 1506 (kapitalkravsforskriften) anses for å ha oppfylt kravene i første og annet ledd.

§ 7.Gjennomføring av internkontrollen

Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen.

Det skal minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte.

§ 8.Dokumentasjon og rapportering

Vurderingene etter § 6 annet ledd og § 7 annet ledd skal dokumenteres. Et sammendrag med konklusjoner om risikosituasjonen og om det er behov for nye tiltak skal foreligge for det enkelte virksomhetsområdet.

Daglig leder skal, minst én gang årlig, utarbeide en samlet vurdering av risikosituasjonen som skal forelegges styret til behandling.

Foretak som nevnt i § 6 tredje ledd må i tillegg supplere vurderingen etter finansieringsvirksomhetsloven og kapitalkravsforskriften med en samlet vurdering etter § 7.

Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet.

0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

Kapittel 4. Internrevisjon eller uavhengig bekreftelse

§ 9.Internrevisjon

Foretak som nevnt i § 1 første ledd nr. 2, 6 og 7 skal ha internrevisjon. Det samme gjelder foretak som nevnt i § 1 første ledd som i mer enn 12 måneder har hatt en samlet forvaltningskapital for egen og kunders regning på mer enn 10 milliarder kroner eller inngår i finanskonsern med samlet forvaltningskapital som overstiger dette.

Leder av internrevisjonen skal tilsettes og avskjediges av styret, ha rett til å møte i styremøtene, samt avgi rapport om risikostyringen og internkontrollen minimum én gang pr. år. Styret skal godkjenne internrevisjonens ressurser og planer på årlig basis.

Internrevisjonen skal gjennomføres i henhold til anerkjente standarder og løpende følge foretakets virksomhet.

§ 10.Uavhengig bekreftelse

I foretak hvor det ikke er etablert internrevisjon skal styret sørge for at foretakets valgte revisor avgir en årlig bekreftelse til styret om

-det er foretatt risikovurderinger i henhold til § 6 annet ledd
-det er foretatt vurderinger i henhold til § 7 annet ledd
-det foreligger dokumentasjon i samsvar med § 8
-foretakets rutiner sikrer at den samlede vurdering av risikosituasjonen som er forelagt styret, jf. § 8 annet ledd, bygger på de risikovurderinger som er foretatt.

Kapittel 5. Unntak

§ 11.Unntak

Finanstilsynet kan i særlige tilfeller gjøre unntak fra bestemmelsene i denne forskrift.

0Endret ved forskrift 18 des 2009 nr. 1726 (i kraft 21 des 2009).

Kapittel 6. Ikrafttredelse

§ 12.Ikrafttredelse mv.

Denne forskrift trer i kraft 1. januar 2009. Fra samme tidspunkt oppheves forskrift 20. juni 1997 nr. 1057 om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll. Kravene i forskriften skal være gjennomført innen 31. desember 2009.