Koncernen exponeras för ett flertal risker som är typiska för bolag i branschen av liknande storlek, med motsvarande produktutbud och som verkar inom samma geografiska marknader. Koncernen har generellt en låg riskaptit och intar ett försiktigt förhållningssätt avseende de risker som uppstår i verksamheten samt prioriterar arbetet med att identifiera och förebygga risker.

Koncernens förmåga att hantera risker och upprätthålla en effektiv kapitalhantering är avgörande för koncernens lönsamhet. I verksamheten uppstår olika typer av risker och koncernen har identifierat följande huvudkategorier av risker:

Kreditrisker, likviditetsrisker och operativa risker som uppstår inom ramen för bankverksamheten bedöms utgöra de mest betydande riskerna för koncernen.

Ramverket för riskhantering är en integrerad del i verksamheten och förenar koncernens strategiska mål med koncernens riskhantering. I ramverket för riskhantering ingår koncernens funktioner, strategier, processer, rutiner, styrdokument, riskaptiter, riskindikatorer, risklimiter, riskmandat, kontroller och rapporteringsrutiner, som är nödvändiga för att identifiera, mäta, övervaka, hantera och rapportera risker.

I syfte att balansera koncernens risktagande samt begränsa och kontrollera risker har styrdokument utfärdats i en hierarki av tre nivåer.

Externa regelverk tillsammans med styrdokument utgör grunden för koncernens kontrollmiljö och hantering av risker som förekommer i verksamheten. Styrdokumenten innefattar även delegering av behörigheter inom specifika riskområden.

Styrelsen fastställer policys som reglerar hantering av risker. För varje policy utses en ansvarig person inom organisationen som regelbundet ser över styrdokumenten, hanterar rapportering och föreslår nödvändiga justeringar av aktuell policy.

Riktlinjer som utgör nivån under policys fastställs av CEO eller ansvarig för det specifika riskområde som riktlinjen reglerar. Riktlinjer innehåller mer detaljerad information avseende riskhantering inom ett visst riskområde. På den operativa nivån fastställer ansvariga i verksamheten rutiner för specifika grupper av anställda. Rutiner är mer detaljerade vad gäller hanteringen av specifika arbetsuppgifter i den dagliga verksamheten.

Riskaptiter, riskindikatorer och risklimiter följs regelbundet upp och rapporteras till styrelsen. För enskilda risker har styrelsen i respektive koncernbolag fastställt riskaptiter utifrån kvalitativa och kvantitativa värderingar.

Riskaptiterna anger den risknivå som koncernen kan acceptera för att uppnå sina strategiska mål. Risklimiter är väldefinierade gränser som reglerar önskad riskexponering och är lämpliga att använda för att exempelvis definiera nivåer inom olika risktyper.

Koncernen har standardiserat processen för riskidentifiering, riskbedömning och riskrapportering samt implementerat processen i verksamheten. Koncernen arbetar aktivt med att skapa en hög riskmedvetenhet och effektiv riskhantering. Riskhanteringen utgår ifrån synen på ett trelinjeförsvar där de olika linjerna i kombination ska säkra en effektiv riskhantering i den dagliga verksamheten.

Den första linjen utgörs av den operativa verksamheten. Den operativa personalen har bäst möjlighet att identifiera, övervaka och kontrollera specifika risker som uppstår i den dagliga verksamheten.

Den andra linjen består av kontrollfunktionerna Compliance, Information Security respektive Risk Control, som på ett oberoende och självständigt sätt kontrollerar koncernens verksamhet och rapporterar regelbundet såväl skriftligt som muntligt till CEO, styrelse och vissa styrelseutskott.

Den tredje linjen består av en oberoende granskningsfunktion (internrevisionen). Internrevisionen granskar regelbundet koncernens verksamhet, häri ingår bland annat att granska aktiviteterna i första och andra linjen för att utvärdera att dessa linjer är adekvat hanterade från ett riskperspektiv. Internrevisionen rapporterar regelbundet till styrelse såväl skriftligt som muntligt.