Eika Gruppens rammeverk for risikostyring og kontroll definerer konsernets risikovilje og prinsipper for styring av risiko og kapital i konsernet. Risikostyring og kontroll omfatter alle typer risiko Eika Gruppen kan være eksponert for. Håndtering og kontroll av risiko avhenger av vesentlighet. Risikohåndteringen omfatter kontroll, unngåelse, aksept, deling eller overføring av risikoen til en tredjepart. Kontrollmiljøet omfatter organisering og arbeidsdeling, overvåking, rapportering, samt systembaserte og manuelle kontroller. Videre omfatter kontrollmiljøet verdier, holdninger, organisasjonskultur, opplæring og kompetanse, etiske retningslinjer, rutiner og prosedyrer.
Eika Gruppen har vedtatt prinsipper for eierstyring og selskapsledelse basert på Norsk Anbefaling for Eierstyring og Selskapsledelse (NUES). Konsernet har etablert uavhengige risikostyrings- og compliance-funksjoner som løpende overvåker og rapporterer om risiko-håndteringen etterleves, fungerer som forutsatt og holdes innenfor vedtatte rammer. Funksjonene er organisert etter prinsippet om tre forsvarslinjer. Konsernets virksomhet er underlagt et omfattende lovverk som regulerer virksomhetens organer og sammensetning av disse.
Personvern og IT-sikkerhet
Eika Gruppen har løpende fokus på overholdelse og praktisk håndtering av lovverket for behandling av personopplysninger, både i rollen som behandlingsansvarlig og som databehandler. Godt personvern skal være en naturlig og integrert del av Eika Gruppen.Policy for behandling av personopplysninger ivaretar behandling av personopplysninger for registrerte; medarbeidere og kunder mv. Den legger til rette for at behandling av personopplysninger skjer på en lovlig, sikker og pålitelig måte. Videre klargjør policyen rollefordelingen mellom Eika Gruppen AS, datterselskapene og alliansebankene vedrørende ansvar for behandling av personopplysninger. Eika Gruppen har ansvaret og er behandlingsansvarlig for egne medarbeidere. Videre utvikler Eika Gruppen systemer og behandler personopplysninger i rollen som databehandler for datterselskapene og bankene i alliansen. For Eika Gruppen er det rollen som databehandler som innebærer høyest risiko som følge av omfanget og typen av personopplysninger. For å sikre riktig behandling av personopplysninger og at personvernprinsippene ivaretas i løsninger for selskapene og bankene, benyttes rutiner og sjekkliste for å kvalitetssikre at leveransene er iht. lovkrav og pålitelig behandling. Eika Gruppen revideres årlig av internrevisor som utarbeider en bekreftelse til selskapene og bankene for arbeidet som gjøres som databehandler.
Selskapene i Eika Gruppen er selvstendig ansvarlig for behandling av personopplysninger for egne medarbeidere og sine kunder. Selskapene har også egne personvernressurser som skal sikre lovmessig behandling av personopplysninger, og disse bistår også med bla. opplæring og veiledning. Uriktig håndtering av personopplysninger utgjør en risiko for medarbeidere og kundene (de registrerte) dersom de ikke får sine rettigheter ivaretatt, i tillegg til compliance-, forretnings- og omdømmerisiko for Eika Gruppen og bankene i alliansen.
Det er utarbeidet obligatoriske, rollebaserte personvernkurs for alle medarbeidere, ledere og øverste leder. Kursene ble gjennomført i hele alliansen høsten 2020, med oppfølging i 2021. Alle nye medarbeidere gjennomfører også personvernkurs. I 2022 er det holdt opplæring for personvernombudene i bankene. Personverndagen ble i 2023 markert med informasjon til alle medarbeidere om gode rutiner for personvern.
I 2022 ble det registrert totalt 24 brudd på personopplysningssikkerheten i Eika Gruppen konsern, mot 36 i 2021. De fleste brudd skyldes feilsendelser eller tilgangsstyring, slik at personopplysninger er gjort tilgjengelig for feil personer. I 2022 ble to av sakene meldt til Datatilsynet, mot 13 saker i 2021. Eika Gruppen konsern har ikke mottatt pålegg eller sanksjoner fra Datatilsynet på personvernområdet i 2021 eller i 2022.
Eika Gruppen har eget styringssystem for informasjonssikkerhet, basert på anerkjente standarder. I 2022 har vi oppdatert epost-sikkerhet og økt beskyttelse ved surfing på webressurser. Medarbeidere i Eika Gruppen har i 2021 hatt både frivillig og obligatorisk online-trening på IT-sikkerhet. I tillegg har det blitt utarbeidet læring for kundene til bankene som en del av bankenes samfunnsansvar.
Antihvitvask og antikorrupsjon
Konsernets selskaper har stort fokus på hvitvaskingsrisikoen samt oppfyllelse av kravene i loven. Hvitvaskingsteamet i Eika Gruppen AS bistår konsernets selskaper og alliansebankene med malverk og systemstøtte for å ivareta lovpålagte krav. Det har i 2021 og 2022 ikke vært noen hendelser på området som har resulter i bøter eller ikke-monetære sanksjoner for konsernet.Korrupsjon og påvirkningshandel er straffbart etter norsk lov, og Eika Gruppen har nulltoleranse for korrupsjon. I konsernets etiske retningslinjer spesifiseres det hvilke situasjoner medarbeidere skal være særskilt oppmerksomme på, og hva som ikke er tillatt. Risiko for korrupsjon i konsernet anses størst i verdikjeden. For å motvirke korrupsjon er konsernets etiske retningslinjer del av konsernets onboardingprogram for nyansatte, og det er videre begrenset hvilke ansatte som får inngå avtaler på konsernets vegne gjennom krav i konsernets fullmaktsmatrise og policy for anskaffelser og utkontrakteringer.
Konsernet har ikke hatt noen hendelser i 2021 eller 2022 knyttet til korrupsjon som har resultert i bøter eller ikke-monetære sanksjoner.
Styring og oppfølging i hverdagen
Eika Gruppens visjon er å styrke lokalbanken. Strategisk retning gir klare føringer på prioritering av leveranser til lokalbankene hvor alliansefokuset er rettet mot digitalisering, serviceorientering og lokal nærhet. Eika Gruppens strategiske retning følger prinsippene for balansert målstyring og er utgangspunktet for å implementere målekort, prosjekter og handlingsplaner. I tillegg utarbeider konsernet budsjetter og prognoser, målekriterier av finansiell og ikke-finansiell art, fullmakter, policy og rutiner som rapporteres og følges opp som en del av styringen i konsernet. Handlingsplaner og status på risiko og tiltak overvåkes nøye og inngår i løpende leder- og medarbeideroppfølging og rapportering gjennom året.Selskapene styrer etter vedtatte risikopolicyer, og det er utviklet rutiner og instrukser som skal sikre at all risiko håndteres på en tilfredsstillende måte. Risikostyring og kontroll i Eika Gruppen tar utgangspunkt i konsernets verdier - pålitelig, modig og engasjert - sammen med vedtatt strategi. Strategien er videre brutt ned i operasjonelle handlingsplaner. Gitt føringene og rammene i strategi og handlingsplaner, bygges risikostyringen og kontrollen rundt og inn i de forretningsprosessene som er etablert for å levere på strategien. Styringen og kontrollen blir dermed tilpasset forretningsprosessene og konkrete behov. Dette utfordrer og fokuser risikostyring og kontroll på verdibidrag, forretningsnytte og de vesentlige forhold som virkelig betyr noe for måloppnåelse.
Konsernets styring og kontroll med operasjonell risiko omfatter overvåkning, rapportering og varsling av uønskede hendelser både internt og til tilsynsmyndigheter. Rapporteringen er del av ordinær lederoppfølging og inngår i konsernets kvartalsvise risk- og compliancerapportering til styret. Uønskede hendelser er relatert til forhold som brudd på regler for personvern og antihvitvask, god forretningsskikk, IT-hendelser, sykefravær, status på interne revisjoner og kundeklager.
Organisering av kundebehandling
Eika Gruppen konsern organiserer sin kundebehandling i tråd med reglene i finansforetaksloven og krav fra Finanstilsynet. For å håndtere henvendelser bl.a. knyttet til konsernselskapers produkter og tjenester, har konsernet etablert Eika Kundesenter.Eika Kredittbank, Eika Forsikring og Eika Kapitalforvaltning som har direktekunder innen privat- og bedriftsmarkedet, har videre opprettet interne klageorganer som følger retningslinjene til Finanstilsynet. Kundene vil dessuten til enhver tid kunne bringe en sak inn for den utenrettslige klagenemnden, Finansklagenemnda. Tilbakemeldinger fra kundene, herunder behandling av kundeklager, og dialog med Finansklagenemndas sekretariat om klagebehandling gir god innsikt i selskapenes forbedringspotensial på området. Årlig gjennomfører Compliance en analyse av klagene for å vurdere de bakenforliggende årsakene til klagene, samt vurderinger knyttet til tiltak for å rette eventuelt gjentakende årsaker. Analysen fremlegges årlig til de respektive selskapers styre.
Det er registrert totalt 560 kundeklager i konsernet i 2022, en oppgang fra 499 i 2021. Kundeklagene er fordelt med 483 i Eika Forsikring og 77 i Eika Kredittbank. Eika Kapitalforvaltning har ingen kundeklager i 2022. Eika Forsikring har hatt 85 saker i Finansklagenemnda, hvor selskapet har fått medhold i 5 saker, delvis medhold i 5 saker, mens kunden har fått medhold i 50 saker. Videre er 12 saker fremdeles under behandling, 6 saker er avvist av Finansklagenemnda og 7 saker er trukket av selskapet. Eika Kredittbank har hatt 5 saker i Finansklagenemnda, hvor banken har fått medhold i 2 saker, 1 sak er avvist, mens 2 saker fremdeles er under behandling.
Varsling og henvendelser til selskapet
Det er etablert retningslinjer for varsling av kritikkverdige interne forhold i virksomheten. Varsling kan gjøres både gjennom intern varslingskanal og eventuelt eksternt via varsel til tilsynsmyndigheter eller andre offentlige myndigheter. Retningslinjene for varsling fremgår av selskapets interne kommunikasjonsplattform og ansatthåndbok, og omhandler hvordan varsling skal skje og hvordan eventuelle hendelser skal håndteres – både overfor varsler og videre behandling. Avhengig av alvorlighetsgrad, vil også styret kunne bli involvert i varslingsprosessen.Selskapets generelle kontaktinformasjon ligger tilgjengelig på hjemmesiden, slik at enhver kan rette henvendelser til selskapet. For øvrig har Eika Gruppen en egen side om åpenhetsloven hvor alle kan stille spørsmål om selskapets aktsomhetsvurderinger og håndtering av faktiske og potensielle negative konsekvenser av virksomhetens aktiviteter for omverden. Det er etablert interne rutiner for besvarelse av slike henvendelser. Se mer informasjon om dette på https://eika.no/eika-alliansen/eikagruppen/apenhet.
Styrets rolle
Styret har vedtatt en styreinstruks som gir regler for styrets arbeid og saksbehandling. Styrets årsplan dekker oppgaver som er fastsatt i lover, forskrifter, myndighetskrav, vedtekter o.l. Styret har ansvar for fastsettelse av konsernets overordnede målsettinger og strategier, herunder risikostrategier og risikoprofil og øvrige sentrale prinsipper og retningslinjer, i tillegg til forvaltning av konsernet, samt å sørge for forsvarlig organisering av virksomheten. Styret har fastsatt en egen instruks for konsernsjefen. Styremøter avholdes månedlig eller etter behov.Styret har etablert et risiko- og revisjonsutvalg som skal føre en uavhengig kontroll med konsernets finansielle rapportering og kontrollsystemer. Utvalget skal ikke treffe beslutninger på vegne av styret, men fremlegge vurderinger og anbefalinger til styret. Risiko- og revisjonsutvalget behandler konsernets års- og delårsregnskaper samt rapporter fra risikostyringsfunksjonen, compliancefunksjonen, samt intern- og eksternrevisjonen.
Styret har etablert et godtgjørelsesutvalg som skal vurdere foretakets godtgjørelsesordning og forberede alle saker om godtgjørelses-ordningen som skal behandles av styret. Godtgjørelsesutvalget skal videre innstille til styret i saker om godtgjørelse til konsernsjef og om pensjonsvilkår for konsernledergruppen.
Styret har en årlig egenevaluering av arbeidsmetoder, arbeidsfordeling, fokusområder, profesjonelle ferdigheter (kompetanse), sammensetning og innsikt. Rapport fra evalueringen forelegges valgkomiteen slik at valgkomiteen kan benytte denne for å vurdere behov for endringer i styresammensetningen.
På bakgrunn av evalueringen fastsettes en plan for å øke og/eller vedlikeholde styrets innsikt på ulike nærings- og selskapsspesifikke fagområder, for eksempel innen hvitvasking, bærekraft, personvern, kapitalkrav, risk, utkontraktering, sikkerhet eller oppdatert lovgivning.
Konsernsjefens rolle
Konsernsjefen forestår den daglige ledelsen av Eika Gruppen og har det overordnede ansvaret for konsernets samlede virksomhet. Konsernsjefen er ansvarlig for å gjennomføre strategier og retningslinjer vedtatt av styret. Konsernsjefen sørger for at risikostyring og kontroll blir gjennomført, dokumentert, overvåket og fulgt opp på en forsvarlig måte, og sørger for at risikostyrings- og compliancefunksjonen er sikret nødvendige ressurser, kompetanse og uavhengighet. Konsernsjefen sørger for at konsernets risikoer styres i henhold til styrets vedtatte rammer. Konsernsjefen skal videre løpende følge opp styring og kontroll i alle deler av konsernets virksomhet.Risikostyringsfunksjonen
Risikostyringsfunksjonen sørger for at ledelsen og styret til enhver tid er tilstrekkelig informert om konsernets risikoprofil gjennom kvartalsvis risikorapportering og årlig risiko- og kapitalbehovsvurdering.Risikostyringsfunksjonen har ansvar for å videreutvikle og implementere et helhetlig rammeverk for risikostyring, og sikre at dette er i samsvar med eksterne og interne krav. Dette innebærer at det må foreligge policyer og strategier som gir styring gjennom mål og rammer for ønsket risiko, og at policyer og strategier er operasjonalisert på en effektiv måte i løpende aktiviteter. Sentralt i styring og kontroll er å sikre klare ansvar og roller samt en oppfølgning av at risikorammer og operasjonelle retningslinjer etterleves. Risikostyringsfunksjonen rapporterer kvartalsvis til konsernsjefen og styret.
Compliancefunksjonen
Compliancefunksjonen skal avdekke og forebygge risiko relatert til etterlevelse av regelverk. Compliancerisiko er en del av selskapets operasjonelle risiko, og defineres som en risiko for at selskapet pådrar seg offentlige sanksjoner, økonomisk tap eller tap av omdømme som følge av at lover, regler og standarder ikke etterleves. Det er etablert compliancefunksjoner i Eika Gruppen AS og i Eika Gruppens konsesjonsbelagte datterselskaper. Det enkelte selskap innretter sin compliancefunksjon etter selskapsspesifikke, regulatoriske krav. Dette inkluderer etablering av egne planer og testing iht. årlige risikobaserte kontrollplaner. Alle virksomhetsområdene i konsernet har felles malverk for å sikre et helhetlig rammeverk knyttet til compliancearbeidet.Datterselskapenes compliancefunksjoner rapporterer regelmessig til sin respektive ledelse, til sine styrer og til konsernets administrative ledelse. Rapporteringen skjer kvartalsvis. Compliance Manager Konsern rapporterer kvartalsvis til konsernets administrative ledelse og til styret. I rapporten inngår bl.a. rapportering fra compliance-kontroller, beskrivelse av eventuelle uønskede hendelser, status innen veiledning, rådgivning og opplæring av ansatte, oversikt over gjennomførte internrevisjonsprosjekter, relevant korrespondanse med tilsynsorganer, andre compliance-saker av relevans for styret samt rapporterte forhold i datterselskapene. På bakgrunn av rapporteringen vil styret kunne beslutte nødvendige tiltak for å redusere selskapets compliancerisiko og/eller håndtere hendelser.
Det har i 2021 og 2022 ikke vært noen hendelser av non-compliance som har resulter i bøter eller ikke-monetære sanksjoner for konsernet.
Aktuarfunksjonen
Aktuarfunksjonen skal sikre korrekt bruk av metoder og framgangsmåter i beregning av forsikringstekniske avsetninger under Solvens II, vurdere tilstrekkeligheten av nivået, samt usikkerheten. Aktuarfunksjonen skal også vurdere selskapets risikoovertakelse (underwriting) og gjenforsikringsavtaler på et overordnet nivå.Funksjonen skal samordne de forsikringstekniske avsetningene og sikre validering av at førstelinje aktuararbeid blir utført i henhold til Solvens II regelverket. Aktuarfunksjonen rapporterer, til daglig leder i selskapet og til styret.
Aktuarfunksjonen skal være uavhengig av foretakets ledelse og andre virksomhetsområder. Dette innebærer at aktuarfunksjonen har en direkte rapporteringslinje til administrerende direktør og til styret. Aktuarfunksjonen er uavhengig av operasjonell virksomhet og kan ikke kontrollere oppgaver den selv utøver.