Koncernen exponeras för ett flertal risker som är typiska för bolag i branscher av liknande storlek som verkar inom samma geografiska marknader. Koncernen intar ett försiktigt förhållningssätt avseende risker och prioriterar identifieringen och förebyggandet av dem. Riskhantering är en integrerad del av koncernens dagliga verksamhet och säkerställer att riskerna inte överskrider de risktoleranser som fastställts av styrelsen.
Koncernens förmåga att hantera risker och effektivt upprätthålla kapital är avgörande för dess lönsamhet. Koncernen stöter på olika risker i sin affärsverksamhet, varav de mes betydande är kreditrisk, likviditetsrisk och finansiella samt operationella risker. Dessutom, andra risker så som affärs-/strategi-, marknads-, hållbarhets- och ryktesrisk, kan visa sig på olika sätt i koncernen.
Ramverket för riskhantering är en integrerad del i verksamheten och förenar koncernens strategiska mål med riskhantering. I ramverket ingår koncernens funktioner, strategier, processer, styrdokument, riskaptiter, riskindikatorer, risklimiter, riskmandat, kontroller och rapporteringsrutiner, som är nödvändiga för att identifiera, mäta, övervaka, hantera och rapportera risker.
I syfte att balansera koncernens risktagande samt begränsa och kontrollera risker så har koncernens riskhantering dokumenterats genom styrdokument. Externa regelverk tillsammans med styrdokument utgör grunden för koncernens kontrollmiljö och hantering av risker som förekommer i verksamheten. Styrdokumenten innefattar även delegering av behörigheter inom specifika riskområden. Styrelsen fastställer policys som reglerar hantering av risker.
Riktlinjer som utgör nivån under policys fastställs av verkställande direktör eller ansvarig för det specifika riskområde som riktlinjen reglerar. Riktlinjer innehåller mer detaljerad information avseende riskhantering inom ett visst riskområde.
Riskaptiter, riskindikatorer och risklimiter följs regelbundet upp och rapporteras till styrelsen. Styrelsen har fastställt riskaptiter utifrån kvalitativa och kvantitativa värderingar. Riskaptiterna anger den risknivå som styrelsen är villig att acceptera för att uppnå koncernens strategiska mål.
Koncernen har standardiserat processen för riskidentifiering, riskbedömning och riskrapportering samt implementerat processerna i verksamheten. Koncernen arbetar aktivt med att skapa en hög riskmedvetenhet och effektiv riskhantering. Riskhanteringen utgår från modellen med tre linjer där de olika linjerna i kombination ska säkra en effektiv riskhantering i den dagliga verksamheten.
Första linjen utgörs av den operativa verksamheten som är ansvariga för att identifiera, övervaka, kontrollera och arbeta med risker som uppstår i den dagliga verksamheten.
Andra linjen består av kontrollfunktionerna inom Compliance respektive Risk, som på ett oberoende och självständigt sätt kontrollerar koncernens verksamhet och rapporterar regelbundet såväl skriftligt som muntligt till verkställande direktör, styrelse och vissa styrelseutskott.
Tredje linjen består av Internrevisionen som är en oberoende granskningsfunktion. Internrevisionen granskar regelbundet koncernens verksamhet, i vilket det bland annat ingår att granska aktiviteterna i första och andra linjen för att utvärdera att dessa linjer är adekvat hanterade från ett riskperspektiv. Internrevisionen rapporterar regelbundet till styrelse såväl skriftligt som muntligt.