Koncernen exponeras för ett flertal risker som är typiska för bolag i branschen av liknande storlek, med motsvarande produktutbud och som verkar inom samma geografiska marknader. Koncernen har generellt en låg riskaptit och intar ett försiktigt förhållningssätt avseende de risker som uppstår i verksamheten samt prioriterar arbetet med att identifiera och förebygga risker.

Koncernens förmåga att hantera risker och upprätthålla en effektiv kapitalhantering är avgörande för koncernens lönsamhet. I verksamheten uppstår olika typer av risker och koncernen har bedömt följande riskkategorier som väsentliga för sin verksamhet.

  • Affärsrisker / Strategiska risker
  • Operativa risker
  • Likviditets- och finansieringsrisker
  • Marknadsrisker
  • Kreditrisker
  • Hållbarhetsrisker
  • Ryktesrisker

Kreditrisker, likviditets- och finansieringsrisker samt operativa risker som uppstår inom ramen för koncernens verksamhet bedöms utgöra de mest betydande riskerna för koncernen.

Ramverket för riskhantering är en integrerad del i verksamheten och förenar koncernens strategiska mål med riskhantering. I ramverket för riskhantering ingår koncernens funktioner, strategier, processer, styrdokument, riskaptiter, riskindikatorer, risklimiter, riskmandat, kontroller och rapporteringsrutiner, som är nödvändiga för att identifiera, mäta, övervaka, hantera och rapportera risker.

I syfte att balansera koncernens risktagande samt begränsa och kontrollera risker så har koncernens riskhantering dokumenterats genom styrdokument. Externa regelverk tillsammans med styrdokument utgör grunden för koncernens kontrollmiljö och hantering av risker som förekommer i verksamheten. Styrdokumenten innefattar även delegering av behörigheter inom specifika riskområden. Styrelsen fastställer policys som reglerar hantering av risker.

Riktlinjer som utgör nivån under policys fastställs av verkställande direktör eller ansvarig för det specifika riskområde som riktlinjen reglerar. Riktlinjer innehåller mer detaljerad information avseende riskhantering inom ett visst riskområde.

Riskaptiter, riskindikatorer och risklimiter följs regelbundet upp och rapporteras till styrelsen. Styrelsen har fastställt riskaptiter utifrån kvalitativa och kvantitativa värderingar. Riskaptiterna anger den risknivå som styrelsen är villig att acceptera för att uppnå koncernens strategiska mål. Risklimiter är väldefinierade gränser som reglerar önskad riskexponering och är lämpliga att använda för att exempelvis definiera nivåer inom olika riskkategorier.

Koncernen har standardiserat processen för riskidentifiering, riskbedömning och riskrapportering samt implementerat processen i verksamheten. Koncernen arbetar aktivt med att skapa en hög riskmedvetenhet och effektiv riskhantering. Riskhanteringen utgår från modellen med tre linjer där de olika linjerna i kombination ska säkra en effektiv riskhantering i den dagliga verksamheten.

Första linjen utgörs av den operativa verksamheten som är ansvariga för att identifiera, övervaka, kontrollera och arbeta med risker som uppstår i den dagliga verksamheten.

Andra linjen består av funktionerna för Risk Control, Compliance respektive Information Security, som på ett oberoende och självständigt sätt kontrollerar koncernens verksamhet och rapporterar regelbundet såväl skriftligt som muntligt till verkställande direktör, styrelse och vissa styrelseutskott.

Tredje linjen består av Internrevisionen som är en oberoende granskningsfunktion. Internrevisionen granskar regelbundet koncernens verksamhet, i vilket det bland annat ingår att granska aktiviteterna i första och andra linjen för att utvärdera att dessa linjer är adekvat hanterade från ett riskperspektiv. Internrevisionen rapporterar regelbundet till styrelse såväl skriftligt som muntligt.