Riskhantering

Ett väl avvägt aktivt risktagande, utifrån beslutad risknivå, är en central komponent i AP4:s kapitalförvaltning.

Enheten IT & risk på AP4

Riskhantering i tre steg

För att uppnå uppsatt avkastningsmål måste AP4 ta välavvägda risker i förvaltningen. God riskhantering är nödvändig för att kunna bedriva en framgångsrik kapitalförvaltning. Risker ska kunna prognostiseras före en investering och kontrolleras i efterhand. Riskhantering kan delas in i tre steg:

  1. Riskstyrning
  2. Löpande riskhantering
  3. Uppföljning och kontroll

Steg 1. Riskstyrning – ramverk för risktolerans

Styrelsen bär det övergripande ansvaret för AP4:s verksamhet och fastställer årligen en placeringspolicy och en riskhanteringsplan för AP4:s verksamhet. Tillsammans med lag (2000:192) om
allmänna pensionsfonder (AP-fonder) bildar dessa styrande dokument ett ramverk för AP4:s riskutrymme. Styrelsen har för att hantera olika aspekter av riskstyrning inrättat dels ett riskutskott med tre ledamöter, dels ett revisionsutskott med tre ledamöter. Riskutskottet är rådgivande, bevakande och beredande åt styrelsen avseende AP4:s styrning, uppföljning och rapportering av verksamhetens finansiella risker. Revisionsutskottet har till uppgift att övervaka den externa finansiella rapporteringen och effektiviteten i AP4:s interna kontroll. I uppgifterna ingår även att övervaka arbetet kring uppföljning av riskhantering avseende operativa risker samt uppföljning av regelefterlevnad. AP4:s
risk- och placeringsstrategi har utformats i enlighet med det övergripande målet att skapa högsta möjliga avkastning över tid och därmed bidra till pensionssystemets finansiella styrka. Placeringspolicyn beskriver bland annat förvaltningsinriktning genom beslutade avkastningsmål och den dynamiska normalportföljen (DNP) som tar sin utgångspunkt i AP4:s ALM-process (Asset Liability
Management). Härutöver beskrivs även fondens riskmandat för den löpande förvaltningen. Riskhanteringsplanen beskriver fördelning av ansvar och befogenheter för placeringsverksamheten,
de huvudsakliga riskerna i verksamheten samt hur dessa risker ska kontrolleras och följas upp. De huvudsakliga riskerna utgörs av finansiella och operativa risker

Steg 2. Löpande riskhantering

AP4:s dagliga riskhantering och kontroll är decentraliserad till alla operativa delar i organisationen och följer principen om tre försvarslinjer. Principen om tre försvarslinjer skiljer mellan funktioner som äger risk (första försvarslinjen), funktioner för övervakning, kontroll och regelefterlevnad (andra försvarslinjen) och funktioner för oberoende granskning (tredje försvarslinjen).  

Tre försvarslinjer

Den första försvarslinjen, för riskhantering och kontroll ligger på den direkta affärsverksamheten vilket inkluderar varje förvaltande enhet inom placeringsverksamheten men även affärsstödjande funktioner såsom Ekonomi, Affärsstöd och Juridik.
Den andra försvarslinjen omfattar definierade funktioner inom IT & risk (Riskkontroll och Risk & system) och Compliance. Compliance samt definierade funktioner inom IT & risk är enheter som
är oberoende från placeringsverksamheten och som rapporterar direkt till vd och styrelse.
Den tredje försvarslinjen vilar på internrevisionen. Styrelsen beslutar årligen om i vilken omfattning och för vilka områden internrevision genomförs. Sådant uppdrag genomförs av extern revisionsbyrå.
Under 2019 har en upphandlad extern revisionsbyrå anlitats för genomförande av ett sådant internrevisionsuppdrag.

Finansiella och operativa risker

den löpande riskhanteringen delas riskerna in i finansiella och operativa risker. Finansiella risker utgörs främst av marknads-, kredit- och likviditetsrisker. Vd fördelar det av styrelsen erhållna
riskmandatet avseende finansiella risker på de olika förvaltningsenheterna. Respektive förvaltare ansvarar för riskhantering inom sitt mandat. Riskhanteringen inom ett mandat sker genom ett
kalkylerat risktagande, som både kan ge positiva och negativa utfall. AP4:s finansiella risker tar sin utgångspunkt i styrelsens beslut om övergripande tillgångsallokeringen i den dynamiska
normalportföljen (DNP) samt fondens riskmandat för den löpande förvaltningen. Genom fastställda riskmandat för förvaltningen begränsas utrymmet för risktagande i den löpande förvaltningen. Som underlag för AP4:s löpande arbete med att optimera risktagande används riskprognoser för respektive förvaltningsområde, instrument, riskfaktorer med mera. Med hjälp av stresstester och olika scenarier analyserar och planerar AP4 risktagandet. Operativa risker inom AP4 ska hanteras genom en fastställd och fondgemensam process och metodik. I det dagliga arbetet ska samtliga chefer och medarbetare vara medvetna om verksamhetens risker och dess nyckelkontroller samt agera på ett sådant sätt att verksamheten, tillgångarna och omvärldens förtroende för AP4 upprätthålls.

Steg 3. Uppföljning och kontroll

Enheten IT & risk ansvarar för uppföljning av Fondens finansiella och operativa risker. Detta innebär att kontrollera att lagstadgade placeringsregler, Mål och riktlinjer, Riskhanteringsplanens krav samt att vd-beslut efterlevs i verksamheten. I IT & risks arbete ingår att noggrant mäta och analysera samt dagligen rapportera avkastning och risk, både i absoluta tal och relativt jämförelseindex samt rapportera eventuella överträdelser mot gällande regelverk. IT & risk är uppdelad i tre olika funktioner;
Risk & system, Riskkontroll samt IT. Av dessa ingår funktionerna Risk & system och Riskkontroll i AP4:s riskhantering. Risk & system ansvarar för värderingsprinciper av samtliga instrument
samt daglig analys, kontroll och rapportering av avkastning, risk (prognos och utfall) och riskjusterad avkastning. Riskkontrollfunktionen ansvarar för limituppföljning utifrån rådande regelverk och kontroll av finansiella risker. Riskkontrollfunktionen ansvarar även för att bevaka de operativa riskerna i placeringsverksamheten samt att säkerställa att regler avseende operativa risker efterlevs. Operativa risker inom AP4 ska hanteras genom en fastställd och fondgemensam process och metodik. Denna process omfattar processkartläggning, identifiering och värdering av risker och ska genomföras för samtliga kartlagda processer minst årligen. För alla väsentliga risker ska nyckelkontroller finnas, vilka så långt det är möjligt minskar sannolikheten för att riskerna materialiseras eller lindrar konsekvenserna när oönskade händelser inträffar. Vid värdering av risker ska befintliga nyckelkontroller kvalitetssäkras för att säkerställa att de har önskad funktionalitet och är effektiva. Inom riskhantering avseende operativa risker är det särskilt viktigt att utvärdera förändringsprocesser och dess effekter på verksamheten. Operativa risker utvärderas specifikt i samband med implementering av nya produkter, systemförändringar och organisationsförändringar. För att minimera operativa risker ska en tydlig fördelning av ansvar och befogenheter vara dokumenterad i skriftliga instruktioner. Gällande processer och rutiner ska dessa säkerställa en god intern kontroll samt vara dokumenterade genom relevanta instruktioner. Den så kallade dualitetsprincipen tillämpas genomgående. Compliancefunktionen granskar verksamheten utifrån efterlevnad av lagar, förordningar och andra föreskrifter, policyer, instruktioner och interna regler inklusive etiska riktlinjer. I ansvaret ingår att vara ett stöd för verksamheten inom compliance samt att analysera verksamhetens regelefterlevnadsrisker.