Gå direkt till navigering

AP-fondslagen anger att styrelsen ansvarar för fondens förvaltning, organisation och verksamhet i övrigt.

I styrelsens ansvar ingår att se till att fonden har god intern kontroll. AP3 har ett etablerat ramverk för fondstyrning som definierar fondens styrsystem, riskhantering och kontrollstruktur. Styrelsen fastställer övergripande policyer och riktlinjer och VD fastställer instruktioner för den interna kontrollen. Samtliga styrdokument revideras löpande.

Ansvar och roller

Styrelsen har det yttersta ansvaret för fondens riskhantering och interna kontroll. Riskpolicy är det styrdokument i vilket fondens syn på risk, roller och ansvar, riktlinjer, ramar och rapportering fastställs av styrelsen. Fondens kontrollfunktioner utgörs av Riskkontroll & Avkastningsanalys (tidigare kallat Middle office), med fokus på finansiella risker, samt Compliance som främst arbetar med regelefterlevnad och operativa risker.

Riskkontroll & Avkastningsanalys ansvarar för att definiera, identifiera, följa upp och kontrollera risker inom förvaltningsverksamheten. Kontrollfunktionen ska också identifiera och rapportera eventuella överträdelser av de fastställda limiterna. Limiter fastställs på flera nivåer för att säkerställa att fondens verksamhet bedrivs inom lagen samt inom styrelsens och VDns beslutade ramar.

Riskstyrning

  • Styrelsen – Ytterst ansvarig för fondens styrning och kontroll. Säkerställer att fondens riskhanteringssystem är effektivt och lämpligt. Beslutar om fondens risknivå och riskaptit.
  • Risk- och revisionsutskott – Bereder och bevakar ärenden åt styrelsen och verkar i första hand inom områdena finansiell rapportering, redovisning, intern kontroll, riskhantering, regelefterlevnad samt revision. Risk- och revisionsutskottet rapporterar löpande till styrelsen.
  • VD (Verkställande Direktör) – Ansvarar för den löpande förvaltningen och att styrelsens riktlinjer följs. VD ansvarar för att organisera en god styrning av kapitalförvaltning, riskhantering, riskkontroll och rapportering.
  • CIO (Chief Investment Officer) – Hanterar risken i den övergripande portföljsammansättningen samt delegerar den löpande förvaltningen av portföljen inom de ramar som styrelse och VD beslutat. Respektive chef och förvaltare ansvarar för att hantera risken inom sitt mandat för att nå mål inom givna limiter.
  • CRO (Chief Risk Officer) – Ansvarar för uppföljning och rapportering avseende riskramverket till styrelsen. CRO bevakar att beslut fattas inom ramen för styrelsens fastställda riskramverk samt kontrollerar att etablerade limiter följs.
  • Compliance – Ansvarar för att säkerställa att verksamheten bedrivs i enlighet med tillämplig lagstiftning, interna regler samt branschpraxis. Compliance ansvarar också för att identifiera, hantera och följa upp risker som
    kan uppstå i den dagliga verksamheten samt rapportera till VD, styrelse och risk- och revisionsutskott.
  • RMC (Risk Management Committee) – Frågor som rör risker i verksamheten hanteras av en särskild riskhanteringskommitté, RMC, som består av VD, CRO, CIO och Compliance Officer. VD kan utse ytterligare ledamöter bland fondens anställda. RMC ska bereda frågor till styrelsen rörande fondens övergripande riskhantering och riskkontroll. CRO är ordförande i RMC.

Tre försvarslinjer

Fondens dagliga riskhantering och kontroll är decentraliserad och följer principen om tre försvarslinjer som skiljer mellan funktioner som äger risk och ansvarar för att följa tillämpliga regler (första linjen), funktioner för övervakning och kontroll (andra linjen) och funktioner för oberoende granskning (tredje linjen).

Den första linjen utgörs av den direkta affärsverksamheten, vilket inkluderar varje förvaltande enhet inom kapitalförvaltningen men också affärsstödjande affärsfunktioner. Ansvaret för riskhantering och regelefterlevnad finns därmed där risken har sitt ursprung. Kontroller sker löpande genom hela transaktionsflödet. Varje medarbetare och avdelningschef hanterar risken inom det egna ansvarsområdet.

Den andra försvarslinjen omfattar fondens Riskkontroll- och Compliancefunktioner. Genom riskkontrollprocessen säkerställs att organisationen i sin helhet och i berörda delar håller sig inom fastställda limiter, följer de restriktioner och instruktioner den är ålagd samt att identifierade risker hanteras på ett tillfredställande sätt. Compliancefunktionen kontrollerar regelefterlevnaden, identifierar, hanterar och följer upp verksamhetsrisker.

Riskkontroll- och Compliancefunktionerna är oberoende funktioner och organisatoriskt fristående från de funktioner som tar aktiva affärsbeslut. CRO är övergripande ansvarig för Riskkontrollfunktionen och rapporterar till VD och vid behov direkt till styrelsen. Compliance rapporterar till VD och vid behov direkt till styrelsen.

Den tredje försvarslinjen avser internrevisionen, vilken i AP3s fall har lagts ut på extern revisionsbyrå. Internrevisorerna utses av styrelsen via risk- och revisionsutskottet och är oberoende från affärsverksamheten. De rapporterar även till styrelsen via risk- och revisionsutskottet. Varje år genomförs internrevisionsgranskningar på risk och revisionsutskottets uppdrag. Granskningsområden för verksamheten föreslås av internrevisorerna själva, av risk- och revisionsutskottet eller av kontrollfunktionerna. Risk- och revisionsutskottet fattar sedan beslut om vilket område som ska granskas.

Fondens risker kategoriseras inom följande områden:

Verksamhetsrisker – Fondövergripande risker relaterade till fondens uppdrag, målsättning och styrning.

Icke-finansiella risker – Risker relaterade till processer, system, personal, lagar och regelefterlevnad.

Finansiella risker – Risker relaterade till investeringsverksamheten.

Finansiella risker 

Finansiella risker uppstår i fondens huvudverksamhet, det vill säga hanteringen av fondens investeringar i olika tillgångsslag. Dessa risker tas medvetet för att kunna skapa avkastning. De finansiella riskerna består av marknads-, kredit- och likviditetsrisker.

Marknadsrisk är risken för negativa värdeförändringar till följd av prisförändringar på finansiella marknader, exempelvis förändringar i aktiekurser, räntor och valutakurser. Risken kan presenteras antingen i absoluta eller relativa termer, vara framåtblickande (ex ante) eller spegla det som redan hänt (ex post). Bland de vanligaste riskmåtten finns volatilitet, value-at-risk (VaR), tracking error, känslighetsmått och stresstester. Marknadsrisken är den dominerande risken i AP3s portfölj och följs upp dagligen både för hela fonden och för enskilda mandat. Fonden genererar sin avkastning genom förvaltningens hantering av dessa risker, inom fastställda limiter.

Kreditrisk är den generella risken för förluster som uppstår genom att en motpart i en finansiell transaktion inte fullgör sina åtaganden, oavsett orsak. Kreditrisken kan underdelas in i emittentrisk, motpartsrisk och avvecklingssrisk.

Emittentrisk är risken att en emittent av ett värdepapper inte kan fullfölja sitt åtagande att på slutförfallodagen återbetala det nominella beloppet. AP3 begränsar emittentrisken genom att använda sig av limiter för den totala kreditrisken i portföljen. Mandatens exponering mot enskilda emittenter begränsas utifrån bland annat ratingkategori. Regelbundna uppföljningar av AP3s utestående risk mot enskilda emittenter och grupper av emittenter görs i fondens Risk Management Committee.

Motpartsrisk är risken att motparten inte kan fullfölja sitt åtagande i ett bilateralt finansiellt kontrakt såsom derivattransaktion, valutaaffär, deposition eller återköpstransaktion. AP3 agerar aktivt för att begränsa fondens motpartsrisker genom att arbeta med utvalda motparter med god rating. AP3 kräver också att motparten ingår ISDA-avtal med AP3 som reglerar bland annat hur fordringar och skulder ska hanteras om den ena parten inte längre kan fullgöra sina åtaganden. Därtill kräver AP3 att CSA-avtal tecknas, vilket innebär att den part som har en utestående skuld måste ställa säkerheter för denna skuld i form av likvida medel eller värdepapper.

Avvecklingssrisk uppkommer vid avräkning av finansiella kontrakt om inte parternas inte kan uppfyllas simultant. För att minska leveransriskerna avseende valutatransaktioner avvecklar AP3 dessa när så är möjligt genom CLS, ett system för simultan avveckling av transaktioner via en oberoende tredje part.

Likviditetsrisk är risken för att AP3 inte ska kunna genomföra önskade eller nödvändiga förändringar i portföljens sammansättning utan att belastas med orimligt höga transaktionskostnader, så kallad omsättningsrisk. Noterade aktier och statsobligationer med hög kreditrating är generellt AP3s mest likvida tillgångar medan företagsobligationer, onoterade aktier och fastigheter har lägre likviditet. AP3 hanterar likviditetsrisken genom en avvägd sammansättning av tillgångsslag med hög respektive låg likviditet. Vad gäller refinansieringsrisk följer fonden löpande upp framtida betalningsåtaganden mot tillgänglig likviditet för att minimera risken för orimligt höga finansieringskostnader. AP3 behöver även vid varje tidpunkt ha betalningsberedskap för att kunna fullgöra sitt buffertåtagande.

Icke-finansiella risker 

De icke-finansiella riskerna omfattar tre huvudområden, operativa risker, regelefterlevnadsrisk och anseenderisk. Regelefterlevnadsrisk avser risken för bristande efterlevnad av såväl externa som interna regelverk som äger tillämpning på verksamheten. Anseenderisk avser risker som är förenade med dålig publicitet eller förtroendeskadliga händelser.

Operativa risker avser risk för förluster på grund av otillräckliga eller felaktiga processer, system, personal samt externa  händelser såsom bedrägeri. Förlusten kan bestå i en ekonomisk förlust eller utebliven förtjänst, merarbete, anseendeförlust och/eller skadat förtroende för verksamheten.

AP3 har definierat sex kategorier av operativa risker; processrisk, personalrisk, systemrisk, informationssäkerhetsrisk, modellrisk och legal risk. Operativa risker begränsas genom bland annat upprättande av relevanta styrdokument, utbildning av personal, en god kontinuitetsplanering samt investeringar i verksamhetsutveckling där det bedöms nödvändigt.

Fonden har en årlig process för att identifiera och utvärdera samtliga icke-finansiella risker. Resultatet från den årliga självutvärderingen presenteras för risk- och revisionsutskottet och styrelsen. Inträffade incidenter ska rapporteras och uppföljning sker inom verksamheten samt i verkställande ledning och styrelse.

AP3 har definierat sex kategorier operativa risker:

  • Processrisk
  • Personalrisk
  • Systemrisk
  • Informationssäkerhetsrisk
  • Modellrisk
  • Legal risk