Riskhantering

Ett väl avvägt aktivt risktagande, utifrån beslutad risknivå, är en central komponent i AP4:s framgångsrika kapitalförvaltning.

Enheten IT & risk på AP4

Riskhantering i tre steg

För att uppnå uppsatt avkastningsmål måste AP4 ta välavvägda risker i förvaltningen. God riskhantering är nödvändigt för att kunna bedriva en framgångsrik kapitalförvaltning. Risker ska kunna prognostiseras före en investering och kontrolleras i efterhand. Riskhantering kan delas in i tre steg:

  1. Riskstyrning
  2. Löpande riskhantering
  3. Uppföljning och kontroll

Steg 1. Riskstyrning – ramverk för risktolerans

Styrelsen bär det övergripande ansvaret för AP4:s verksamhet och fastställer årligen en placeringspolicy och en riskhanteringsplan för AP4:s verksamhet. Tillsammans med lag (2000:192) om allmänna pensionsfonder (AP-fonder) bildar dessa styrande dokument ett ramverk för AP4:s risktolerans.

Styrelsen har för att hantera olika aspekter av riskstyrning inrättat dels ett riskutskott, dels ett revisionsutskott med tre ledamöter vardera. Riskutskottet är rådgivande, bevakande och beredande åt styrelsen avseende AP4:s styrning, uppföljning och rapportering av verksamhetens finansiella risker. Revisionsutskottet har till uppgift att övervaka den externa finansiella rapporteringen och effektiviteten i AP4:s interna kontroll. I uppgifterna ingår även att övervaka arbetet kring uppföljning av riskhantering avseende operativa risker samt uppföljning av regelefterlevnad.

AP4:s risk- och placeringsstrategi har utformats i enlighet med det övergripande målet att skapa högsta möjliga avkastning över tid och därmed bidra till pensionssystemets finansiella styrka.

Placeringspolicyn beskriver bland annat förvaltningsinriktning genom styrelsens beslutade referensportfölj, som tar sin utgångspunkt i AP4:s ALM-process (Asset Liability Management).

I placeringspolicyn fastställs bland annat AP4:s långsiktiga avkastningsmål, riskprofil och riskmandat för förvaltningen, vilka utgör ett övergripande ramverk för verksamheten.

Riskhanteringsplanen beskriver fördelning av ansvar och befogenheter för placeringsverksamheten, de huvudsakliga riskerna i verksamheten samt hur dessa risker ska kontrolleras och följas upp. De huvudsakliga riskerna utgörs av finansiella och operativa risker.

Steg 2. Löpande riskhantering

AP4:s dagliga riskhantering och kontroll är decentraliserad till alla operativa delar i organisationen och följer principen om tre försvarslinjer. Principen om tre försvarslinjer skiljer mellan funktioner som äger risk (första försvarslinjen), funktioner för övervakning, kontroll och regelefterlevnad (andra försvarslinjen) och funktioner för oberoende granskning (tredje försvarslinjen).  

Tre försvarslinjer

I den första försvarslinjen har samtliga berörda enheter ett ansvar för varje affärs riskhantering och kontroll. I denna ingår varje förvaltande enhet inom placeringsverksamheten, men även affärsstödjande funktioner såsom Backoffice, Ekonomi och Juridik.

Den andra försvarslinjen utgörs av delar inom enheten IT & Risk (Avkastningsanalys respektive Riskkontroll), Compliance samt Ekonomi (avseende kontroll av regler kring attesträtt) . Compliancefunktionen samt Avkastningsanalys och Riskkontroll är från placeringsverksamheten, oberoende funktioner som rapporterar direkt till VD och styrelse.

Styrelsen beslutar om och i vilken omfattning den tredje försvarslinjen genomförs. Sådant uppdrag ska genomföras av extern revisionsbyrå. Under 2017 har en upphandlad extern revisionsbyrå anlitats för genomförande av ett sådant internrevisionsuppdrag.

Finansiella och operativa risker

I den löpande riskhanteringen delas riskerna in i finansiella och operativa risker.

Finansiella risker utgörs främst av marknads-, kredit- och likviditetsrisker.

VD fördelar det av styrelsen erhållna riskmandatet avseende finansiella risker på de olika förvaltningsenheterna. Respektive förvaltare ansvarar för riskhantering inom sitt mandat. Riskhanteringen inom ett mandat sker genom ett kalkylerat risktagande, som både kan ge positiva och negativa utfall.

AP4:s finansiella risker tar sin utgångspunkt i styrelsens beslut om normalportföljens sammansättning. Genom fastställda riskmandat för förvaltningen begränsas utrymmet för risktagande i den löpande förvaltningen.

Som underlag för AP4:s löpande arbete med att optimera risktagande används riskprognoser för respektive förvaltningsområde, instrument, riskfaktorer med mera. Med hjälp av stresstester och olika scenarier analyserar och planerar AP4 det strategiska risktagandet.

Operativa risker inom AP4 ska hanteras genom en fastställd och fondgemensam process och metodik. För alla väsentliga operativa risker ska nyckelkontroller finnas, vilka så långt det är möjligt, minskar sannolikheten för att riskerna materialiseras eller lindrar konsekvenserna när oönskade händelser trots allt inträffar. I det dagliga arbetet ska samtliga chefer och medarbetare vara medvetna om verksamhetens risker och dess nyckelkontroller samt agera på ett sådant sätt att verksamheten, tillgångarna och omvärldens förtroende för AP4 upprätthålls.

Steg 3. Uppföljning och kontroll

Enheten IT & risk ansvarar för och utvecklar processen för riskanalys och kontroll. IT & Risk tillhandahåller metoder för riskidentifiering, riskkvantifiering, riskanalys och rapportering inom både finansiella och operativa risker. IT & risk har som uppgift att kontrollera att lagstadgade placeringsregler, placeringspolicy, riskhanteringsplanens krav samt att VD-beslut efterlevs i verksamheten.

I IT & risks arbete ingår att noggrant mäta och analysera samt dagligen rapportera avkastning och risk, både i absoluta tal och relativt jämförelseindex samt rapportera eventuella överträdelser mot gällande regelverk.

IT & risk är uppdelad i fyra olika funktioner; Avkastningsanalys, Riskkontroll, Systemutveckling & support samt IT. Av dessa ingår funktionerna Avkastningsanalys och Riskkontroll i AP4:s riskhantering.

Avkastningsanalysfunktionen ansvarar för värderingsprinciper av samtliga instrument samt daglig analys, kontroll och rapportering av avkastning, risk (prognos och utfall) och riskjusterad avkastning. Riskkontrollfunktionen ansvarar för uppföljning och kontroll av finansiella risker, främst kredit- och likviditetsrisker. Riskkontrollfunktionen ansvarar även för att bevaka de operativa riskerna i placeringsverksamheten samt att säkerställa att regler avseende operativa risker efterlevs.

Operativa risker inom AP4 ska hanteras genom en fastställd och fondgemensam process och metodik. Denna process omfattar processkartläggning, identifiering och värdering av risker och ska genomföras för samtliga kartlagda processer minst årligen. För alla väsentliga risker ska nyckelkontroller finnas, vilka så långt det är möjligt minskar sannolikheten för att riskerna materialiseras eller lindrar konsekvenserna när oönskade händelser trots allt inträffar. Vid värdering av risker ska befintliga nyckelkontroller kvalitetssäkras för att säkerställa att de har önskad funktionalitet och är effektiva.

Inom riskhantering avseende operativa risker är det särskilt viktigt att utvärdera förändringsprocesser och dess effekter på verksamheten. Operativa risker utvärderas specifikt i samband med implementering av nya produkter, systemförändringar och organisationsförändringar.

För att minimera operativa risker ska en tydlig fördelning av ansvar och befogenheter vara dokumenterad i skriftliga instruktioner. Gällande processer och rutiner ska dessa säkerställa en god intern kontroll samt vara dokumenterade genom relevanta instruktioner. Den så kallade dualitetsprincipen tillämpas genomgående.

Compliancefunktionen granskar verksamheten utifrån regelefterlevnad av lagar, förordningar och andra föreskrifter, policyer, instruktioner och interna regler inklusive etiska riktlinjer. I ansvaret ingår att vara ett stöd för verksamheten i regelefterlevnadsfrågor samt att analysera verksamhetens regelefterlevnadsrisker.