1 Inledning
SSM:s tillsynsprioriteringar återspeglar banktillsynens medellångsiktiga strategi för de kommande tre åren. De fastställs av tillsynsnämnden, ses över en gång om året och grundar sig på en samlad bedömning av de huvudsakliga riskerna och sårbarheterna i instituten som står under tillsyn. I prioriteringarna beaktas även resultaten från översyns- och utvärderingsprocessen (ÖUP)[1] liksom det arbete som har genomförts utifrån tidigare års prioriteringar. Med hjälp av prioriteringarna kan de resurser som finns att tillgå för tillsyn fördelas på ett ändamålsenligt sätt, och de kan justeras om det behövs om riskbilden skulle förändras.
Instituten som står under tillsyn har klarat de senaste årens negativa makrofinansiella och geopolitiska chocker bra. Starka fundamenta, som sunda kapitalpositioner och likviditetsbuffertar eller mindre mängder nödlidande lån, har gjort att bankerna har klarat av utmaningarna med covid-19-pandemin och efterföljande störningar i leveranskedjorna och Rysslands krig i Ukraina och därpå följande energiutbudsstörningar, liksom den senaste tidens fallissemang i amerikanska och schweiziska banker. Banksektors förmåga att stå emot en allvarlig ekonomisk nedgång bekräftas av resultatet från årets EU-omfattande stresstest.[2]
Framöver står den europeiska banksektorn inför flera utmaningar som kräver ökad vaksamhet från såväl tillsynsmyndigheternas som bankernas sida. De snabbt stigande räntorna har hittills varit bra för bankernas lönsamhet. De högre räntorna förväntas dock på medellång sikt öka både volatiliteten i vissa finansieringskällor och bankernas finansieringskostnader, precis när betydande belopp i centralbanksfinansiering ska ersättas. Dessutom kan kvaliteten på bankernas tillgångar börja försämras igen om geopolitiska risker materialiserar sig eller om inflationen tillsammans med stramare finansieringsvillkor påverkar hushållens och icke-finansiella företags skuldbetalningsförmåga. Högre riskpremier kan leda till ytterligare korrigeringar av priset på finansiella tillgångar och nya perioder med hög volatilitet på finansmarknaderna. På grund av detta är det viktigt att bankerna upprätthåller och förbättrar sina ramverk för kreditrisk och balansräkningsstyrning och, vad gäller det senare, ser till att ramverket omfattar både likviditets- och finansieringsrisker liksom ränterisker i bankboken.
Att ett antal medelstora banker i USA fallerade och en schweizisk bank blev uppköpt visade än en gång att det behövs stark intern styrning och ändamålsenliga riskkontroller i bankerna för att de ska klara en risksituation som utvecklar sig dynamiskt. Bankfallissemangen visar även hur viktigt det är att tillsynsmyndigheterna reagerar snabbt och vidtar resoluta åtgärder och, om det behövs, trappar upp tillsynsinsatserna så fort bankers rutiner förefaller otillräckliga och korrigerande åtgärder inte vidtas tillräckligt snabbt. Därför kommer ECB:s banktillsyn att i allt högre utsträckning tillämpa lämpliga mekanismer och verktyg för upptrappning av tillsynsåtgärderna för att se till att bankerna tar itu med de brister som beskrivs i tillsynsprioriteringarna i tid och på ett sätt som ger resultat. Detta gäller särskilt när det kommer till styrning, där vissa banker inte har tagit itu med större brister på lämpligt sätt trots långvariga kontakter med tillsynsmyndigheter, till exempel sådana som rör hur ledningsorganen fungerar och deras styrningsförmåga, samt förmåga till aggregering och rapportering av riskdata. Bankerna måste även se till att deras rutiner helt och hållet överensstämmer med sund hantering av klimat- och miljörelaterade risker. Det måste de ha gjort senast vid utgången av 2024, och ECB:s banktillsyn har även fastställt tidpunkter fram till dess då bankerna ska ha uppfyllt vissa krav.
Eftersom digital omställning har blivit en prioritet för många banker som vill fortsätta att vara konkurrenskraftiga är det viktigt att de vidtar lämpliga säkerhetsåtgärder för att begränsa de potentiella riskerna förknippade med nya affärsmetoder och ny teknik. Utredningar inom tillsynen har visat att vissa banker redan har kommit långt med sin digitala omställning medan andra inte har avsatt de resurser som behövs för att de ska nå sina mål. Även växande cyberhot, som ökar på grund av geopolitiska spänningar, och det allt större beroendet av tjänster från utomstående leverantörer, innebär att bankerna måste förbli motståndskraftiga och se till att de kan upprätthålla sina samhällsviktiga tjänster även om allvarliga verksamhetsstörningar skulle inträffa. Tillsammans med de tillsynsinsatser som har inletts utifrån dessa prioriteringar kommer bankerna på grund av ovanstående att under de kommande månaderna ombes att visa vilken förmåga de har att åtgärda och återhämta sig från sådana incidenter.
Trots att riskbilden har förändrats sedan förra året är de tillsynsprioriteringar och tillhörande insatser som fastställdes 2022 fortfarande aktuella överlag och gäller fortfarande de främsta sårbarheterna i banksektorn. Trots att det behövs stabilitet för att kunna planera tre år framåt är ett antal justeringar motiverade för att motverka de risker som anges ovan.
Inom ramen för SSM:s tillsynsprioriteringar för 2024–2026 kommer instituten som står under tillsyn främst att ombes att stärka sin motståndskraft mot omedelbara makrofinansiella och geopolitiska chocker (prioritering 1), liksom att skynda på korrigeringen av brister vad gäller styrning och hantering av klimat- och miljörelaterade risker (prioritering 2) och fortsätta med sin digitala omställning och bygga upp robusta ramverk för operativ motståndskraft (prioritering 3). I figur 1 visas de sju främsta sårbarheterna i banker som kan kopplas till de tre övergripande prioriteringarna.
Figur 1
Tillsynsprioriteringar för 2024–2026 för att åtgärda identifierade sårbarheter i banker
Huvudsyftet med banktillsynens strategiska planering är ta fram en sund strategi för de kommande tre åren. Prioriteringarna främjar effektivitet och enhetlighet i de gemensamma tillsynsgruppernas tillsynsplanering och främjar en effektivare resursfördelning i linje med de aktuella fastställda risktoleransnivåerna. De hjälper även de nationella tillsynsmyndigheterna att fastställa sina egna prioriteringar för tillsynen av mindre betydande institut på ett proportionerligt sätt. Transparent information om prioriteringarna klargör tillsynsförväntningarna för bankerna, stärker tillsynens effekt på banksektorns arbete med att stärka motståndskraften och bidrar till att säkerställa lika konkurrensvillkor.
I följande avsnitt ges en närmare beskrivning av resultaten från 2023 års riskidentifiering och riskbedömning. Här behandlas även tillsynsprioriteringar och underliggande arbetsprogram för 2024–2026. Som ett led i tillsynsmyndigheternas löpande samarbete med bankerna utförs även annan regelbunden verksamhet och andra engångsinsatser, som kompletterar arbetet med prioriteringarna.
2 Riskbedömning och tillsynsprioriteringar för 2024–2026
2.1 Verksamhetsmiljö för institut under tillsyn
Den europeiska banksektorn uppvisade stark motståndskraft mot externa chocker när påfrestningarna i de amerikanska och schweiziska banksektorerna i mars endast ledde till begränsade och tillfälliga spridningseffekter. De europeiska bankerna visade sig vara starka när det gäller kapital, likviditet och tillgångskvalitet och kunde även förlita sig på väldiversifierade finansieringskällor och kundbaser. Deras lönsamhet, som i många år har varit ett problemområde, har återhämtat sig starkt som en följd av de högre räntorna och har återgått till nivåer som inte setts på över tio år. Bankernas ökade motståndskraft, som även uppnåtts på grund av att de europeiska ramarna för reglering och tillsyn har stärkts, kan dock komma att sättas på prov igen i framtiden så det är inte läge att slappna av och sänka garden.
Det råder alltjämt stor osäkerhet kring tillväxtutsikterna för euroområdet med tanke på de stramare finansieringsvillkoren och ökade geopolitiska spänningar, och det finns även risk för att energi- och livsmedelspriserna går upp framöver.[3] Inflationstryck försvårar läget ytterligare, och svag tillväxt i euroområdet förväntas fortsätta att vara dämpad den närmaste tiden. Svagheterna i tillverkningsindustrin finns kvar, och nu finns det även tecken på avmattning i tjänstesektorn. Tjänstesektorn, som fram till nu varit den sektor som har drivit på tillväxten, ser nu också ut att försvagas i och med att effekten av aktivitetsökningen till följd av återöppnandet efter pandemin avtar samtidigt som strama finansieringsförhållanden och förhöjd konsumentosäkerhet är fortsatt signifikant. Arbetsmarknaden i euroområdet har hittills varit motståndskraftig, men efterfrågan på arbetskraft kan mattas av om den ekonomiska aktiviteten stagnerar under en längre tid.[4] Kreditgivningsvillkoren har skärpts betydligt sedan december 2022 och låneutvecklingen har saktat ned i takt med att den snabba penningpolitiska åtstramningen får mer och mer genomslag i realekonomin.[5]
Den totala inflationen i euroområdet förväntas fortsätta att gå nedåt på medellång sikt, medan den underliggande inflationen förväntas minska mer gradvis.[6] Om penningpolitiken måste stramas åt ytterligare eller om räntorna förblir höga under en längre tid på grund av fortsatt hög inflation kan utsikterna för tillväxt i ekonomin försämras, vilket kan ha negativ inverkan på bankernas tillgångskvalitet. Hushållens och företagens balansräkningar förefaller överlag vara sunda, men oron över låntagarnas skuldbetalningsförmåga ökar, särskilt när det gäller fastighetslån. Förutom att bankernas tillgångskvalitet kan urholkas i en konjunkturnedgång utgör engångsfaktorer som bankskatten en separat nedåtrisk för bankernas intjäning i vissa länder.
Starkare geopolitiska spänningar, högre räntor under längre tid och en eventuell konjunkturavmattning i euroområdet kan sammantaget leda till att det återigen blir oroligt på finansmarknaderna. Oron inom banksektorn i USA och Schweiz i början av mars, som gav upphov till gravt minskad riskvilja bland amerikanska banker, spred sig endast delvis och tillfälligt till den europeiska banksektorn. Spridningen till euroområdet förblev begränsad och kortvarig, volatiliteten på marknaden avtog, och aktiekurserna i euroområdet återhämtade sig strax efter chocken, särskilt i banksektorn, medan spreaden för företagsobligationer minskade igen. En plötslig förändring i de ekonomiska utsikterna skulle ändå kunna leda till nya perioder med ökad volatilitet och abrupta korrigeringar av tillgångspriserna, vilket skulle leda till att finansieringsvillkoren stramas åt ytterligare.
2.2 Tillsynsprioriteringar för 2024–2026
Tillsynsprioriteringarna fastställs efter en helhetsbedömning av de främsta riskerna och sårbarheterna i bankerna. De tre överordnade prioriteringarna för de närmaste tre åren rör både de kortsiktiga riskerna i banksektorn (prioritering 1), liksom behovet av att hantera mer strukturella utmaningar på medellång sikt (prioriteringarna 2 och 3). Var och en av prioriteringarna är inriktad mot en viss typ av sårbarheter i banksektorn, som benämns prioriterade sårbarheter, och för vilka man har satt upp särskilda strategiska mål och utarbetat arbetsprogram för att minska de underliggande riskerna. Riskernas beroende av varandra beaktas när arbetsprogrammen utarbetas. Syftet med arbetsprogrammen är att stärka både effektiviteten och ändamålsenligheten i tillsynsmyndigheternas arbete med bankerna.
Prioritering 1: Stärka motståndskraften mot omedelbara makrofinansiella och geopolitiska chocker
Det osäkra makrofinansiella läget tillsammans med ihållande geopolitiska spänningar och risken för nya perioder med finansiell stress fortsätter att forma utsikterna för den europeiska banksektorn. Instituten som står under tillsyn måste agera ansvarsfullt och utforma och följa motståndskraftiga affärsstrategier för att klara av det snabbt föränderliga makrofinansiella och geopolitiska läget. ECB:s banktillsyn har därför som främsta mål att säkerställa att bankerna under ECB:s direkta tillsyn stärker sin motståndskraft mot omedelbara makrofinansiella och geopolitiska chocker. Även om de stigande räntorna har haft en positiv effekt på lönsamheten hittills måste bankerna vara förberedda på att klara mer volatila finansieringskällor, högre finansieringskostnader, en eventuell sänkning av tillgångskvaliteten och ytterligare priskorrigeringar på finansmarknaderna på kort och medellång sikt. Således måste bankerna stärka sina ramverk för kreditriskhantering och balansräkningsstyrning.
Prioriterad sårbarhet: Brister i rutinerna för hantering av kreditrisker och motpartskreditrisker
Strategiskt mål: Bankerna bör åtgärda strukturella brister i sina rutiner för kreditriskhantering, inklusive motpartskreditrisker, och utan dröjsmål ta itu med eventuella avvikelser från lagkrav och tillsynsförväntningar. Bankerna bör snabbt kunna upptäcka och begränsa alla former av riskuppbyggnad i sådana portföljer som påverkas mer av det rådande makrofinansiella läget.
Företag och hushåll har än så länge klarat konjunkturavmattningen väl tack vare god lönsamhet, låg arbetslöshet och stora buffertar i form av sparande. Den sammanlagda stocken av nödlidande lån i instituten under tillsyn ligger fortfarande på nästan rekordlåga nivåer, och detsamma gäller andelen nödlidande lån. Trots det kan tidiga tecken på försämrad tillgångskvalitet anas. Andelen lån i steg 2 har växt när det gäller lån till hushåll, särskilt konsumtionskrediter, i takt med att lägre realinkomster och högre räntor försämrar hushållens skuldbetalningsförmåga alltmer. Även antalet företagskonkurser och andelen fallissemang har börjat öka från de låga nivåerna under pandemin.
Bostadscykeln i euroområdet har vänt. Bostadsutlåningen minskar och bostadspriserna går ned i de flesta länder i euroområdet. Marknaden för kommersiella fastigheter är på nedgång, och värderingarna och transaktionsvolymerna minskar kraftigt. Strukturella sårbarheter och lägre efterfrågan, främst på butiks- och kontorslokaler av sämre kvalitet, förstärker de stramare finansieringsvillkoren och det osäkra marknadsläget. Bankernas exponeringar förefaller vara särskilt sårbara i länder där bostäder tidigare har varit övervärderade och där det finns en betydande andel lån med rörlig ränta och amorteringsfria lån, för vilka refinansieringsrisken kan vara större.
Högre finansieringskostnader på grund av stramare finansieringsvillkor tillsammans med stor volatilitet på finansmarknaderna förstärker riskerna för högt belånade finansinstitut utanför banksektorn, särskilt de med stora derivatpositioner. Exponering mot sådana institut kan innebära förhöjd motpartskreditrisk för vissa banker, vilket understryker behovet av sunda riskhanteringsrutiner.
Tillsynsmyndigheterna har i flera år arbetat för att åtgärda strukturella brister i bankernas rutiner för kreditriskhantering.[7] I olika tillsynsinsatser har det framgått att bankerna har gjort vissa framsteg på detta område men att det även finns flera bestående brister, som begränsad förmåga hos bankerna att förutse framväxande risker (bland annat klimat- och miljörelaterade risker) och ta tillräcklig hänsyn till dem i sina kreditriskavsättningar, liksom tillkortakommanden i deras beredskap för att hantera en eventuell stor ökning av låntagare med betalningssvårigheter och refinansieringsrisker, samt tecken på övervärdering av säkerheter i portföljer med lån till kommersiella fastigheter. Iakttagelserna från dessa granskningar har legat till grund för 2023 års ÖUP-resultat, men bankerna har även underrättats om särskilda tillsynsåtgärder. Tillsynsmyndigheterna kontrollerar noggrant att de planerade korrigerande åtgärderna vidtas.
När det gäller hanteringen av motpartsrisker har den riktade granskningen som genomfördes 2022 och efterföljande inspektioner på plats visat att det finns väsentliga brister i bankernas rutiner för kundkännedom, definitioner av riskaptit, obeståndshantering och stresstester. Till viss del har instituten under tillsyn tagit itu med de konstaterade problemen. De förväntas dock behöva göra mer för att uppnå nära överensstämmelse med den sunda praxis för styrning och hantering av motpartskreditrisk som beskrivs i en rapport från oktober 2023.
Tillsynsinsatserna från förra årets arbetsprogram som handlar om att uppnå strategiska mål i hanteringen av kredit- och motpartsrisker kommer till stor del att fortsätta. Inriktningen kommer dock till viss del att behöva justeras utifrån det förändrade ekonomiska läget och de framsteg som gjorts hittills. Uppföljningen av de återstående bristerna som beskrevs i VD-breven 2020 kommer att fortsätta som en del av granskningarna av betalningsanstånd, betalningsosannolikhet och avsättningsrutiner. När det gäller det senare kommer den riktade granskningen angående IFRS 9 och efterjusteringar av modeller att göras om för att se hur långt bankerna har kommit med att korrigera de brister som uppdagats tidigare. Utöver detta kommer riktade granskningar, och i förekommande fall, inspektioner på plats och utredningar av interna modellen, att genomföras för känsligare portföljer, som fastighetslån (både bostäder och kommersiella fastigheter) och små och medelstora företag. När det gäller motpartskreditrisker kommer de gemensamma tillsynsgrupperna att noggrant undersöka bankernas exponeringar och lämpligheten i deras riskhanteringsrutiner genom att göra en riktad uppföljning av hur mycket som har gjorts för att åtgärda bristerna som konstaterades 2022.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Riktade granskningar av motståndskraften i de portföljer som påverkas mest av det rådande makrofinansiella läget och är mest exponerade mot refinansieringsrisker, bland annat uppföljning av resultaten från tidigare riktade granskningar av utlåning till bostäder och kommersiella fastigheter och nya riktade granskningar av små och medelstora företag som är sårbara låntagare.
- Uppföljning av den riktade granskningen av IFRS 9, om hur väl bankerna i sina modeller kan upptäcka framväxande risker för förväntade kreditförluster, främst med inriktning på efterjusteringar av modellerna.
- Förlängning av djupdykningarna i policyer för betalningsanstånd och betalningsosannolikhet.
- Fler inspektioner på plats, där man undersöker kollektiv stegindelning och avsättningar för små och medelstora företag, hushållsexponeringar och kommersiella fastigheter enligt IFRS 9, inklusive värderingarna av säkerheterna.
- Förlängning av utredningar av interna modeller och uppföljning av de gemensamma tillsynsgrupperna, där de bedömer ändringar i internmetoder som rör nya lagkrav och korrigering av de brister som har uppdagats i den riktade granskningen av interna modeller.
- Uppföljning av den riktade granskningen av hanteringen av motpartsrisker som genomfördes 2022.
- Riktade inspektioner på plats rörande särskilda aspekter i hanteringen av motpartsrisker.
Prioriterad sårbarhet: Brister i ramverken för balansräkningsstyrning
Strategiskt mål: Bankerna bör se till att deras styrning och strategier för balansräkningsstyrning karaktäriseras av sundhet och ansvarsfullhet, där ledningsorganen har god tillsyn och där risker som uppstår på grund av den rådande penningpolitiken och de snabbföränderliga ekonomiska förhållandena fångas på ett tillfredsställande sätt. De bör särskilt utarbeta robusta och trovärdiga finansieringsplaner för hur de ska uppnå diversifierade finansieringsstrukturer, liksom ändamålsenliga beredskapsplaner för hur de ska stå emot chocker mot den kortfristiga likviditeten. Bankerna bör även se till att de hanterar sina ränteriskpositioner på lämpligt sätt och gör antaganden om kundbeteenden utifrån försiktighetsprincipen, samt att de utifrån dessa antaganden utformar riskbegränsande strategier som står i proportion till deras riskprofiler.
Den räntemiljö som bankerna verkar i har förändrats i grunden de senaste två åren. De högre räntorna innebär i allmänhet bättre lönsamhet för instituten under tillsyn men kan även ge högre finansieringskostnader och ge upphov till problem för bankernas likviditetssituationer och mer allmänt deras styrning, strategier och ramverk för balansräkningsstyrning.
Volatiliteten på finansmarknaderna och priskorrigeringarna på räntemarknaderna som räntedynamiken har gett upphov till har ökat risken för att orealiserade förluster byggs upp i bankernas portföljer som värderas till upplupet anskaffningsvärde. Effekterna kan bli allvarliga, vilket oron kring vissa medelstora banker i USA i mars visar. Trots det har den kombination av faktorer som ledde fram till just den händelsen än så länge inte kunnat ses i bankerna som står under europeisk banktillsyn. Faktum är att siffror[8] som offentliggjordes i juli 2023 visar att det totala värdet på sådana orealiserade förluster var relativt begränsat. I februari 2023 låg det på 73 miljarder euro jämfört med 620 miljarder US-dollar för banker i USA i slutet av 2022[9]. Tillsynsmyndigheterna har granskat bankernas värdering och hantering av ränte- och kreditspreadrisker ända sedan andra halvåret 2021, när de första tecknen på inflationstryck dök upp. ECB:s banktillsyn tog hänsyn till dessa risker i sina tillsynsprioriteringar 2022 och genomförde en särskild riktad granskning, där man i förebyggande syfte utvärderade bankernas beredskap för eventuella räntehöjningar. Av resultaten som framkom då behövde bankerna se över kalibreringen i sina modeller för balansräkningsstyrning oftare för att kunna anpassa dem efter förändringar i kundernas beteende på grund av det nya ränteläget och efter svagheter i vissa risksäkringsstrategier.
När det gäller likviditet och finansiering har instituten under tillsyn på det hela taget uppvisat god motståndskraft mot de förändringar i det finansiella klimatet som skett hittills. Trots att minskade centralbanksreserver och svag penningmängdsutveckling har lett till att bankernas likviditetsbuffertar har krympt ligger deras likviditetstäckningskvoter och stabila nettofinansieringskvoter i genomsnitt väl över de lagstadgade miniminivåerna. Instituten under tillsyn har inte heller en koncentration av finansieringskällor som liknar de som fanns i vissa av de medelstora banker i USA som fallerade tidigare i år, eftersom deras finansiering främst kommer från inlåning, och då främst från privatkunder, där den största delen skyddas av insättningsgaranti. För att säkerställa att programmen med riktade långfristiga refinansieringstransaktioner fasas ut på ett smidigt sätt och för att utvärdera bankernas beredskap inför utfasningen genomfördes under 2023 en riktad granskning av bankernas strategier inför utfasningen. Med anledning av detta har vissa banker ombetts att diversifiera sina finansieringskällor ytterligare. Det pågår även en riktad granskning av hur tillförlitliga och sunda bankernas finansieringsplaner är, och resultaten från denna granskning kommer att användas som underlag i 2024 års ÖUP.
ECB:s banktillsyn kommer att fortsätta att betona hur viktigt det är att bankerna har robusta rutiner för balansräkningsstyrning. Bankernas styrning och strategier för balansräkningsstyrning kommer att granskas i riktade insatser, och huruvida de antaganden som ligger till grund för deras beteendemodeller är skäliga kommer att utvärderas. Tillsynsmyndigheterna kommer även att utvärdera bankernas motståndskraft mot chocker som drabbar den kortfristiga likviditeten samt hur tillförlitliga och sunda deras likviditetsberedskapsplaner är. Till sist kommer tillsynsmyndigheterna att fortsätta på det arbete som har inletts under tidigare år genom att ytterligare granska hur bankerna hanterar ränterisk i bankboken, liksom hur sunda och tillförlitliga deras finansieringsplaner är.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Riktade granskningar av beredskapsplaneringen samt strategierna och hanteringen vad gäller balansräkningsstyrning, liksom av huruvida finansieringsplanerna är sunda och tillförlitliga och förmågan att optimera säkerheter tillräcklig.
- Riktade inspektioner på plats med utvärdering av hur robusta och lämpliga finansierings- och återhämtningsplanerna är.
- Uppföljning av resultaten från den riktade granskningen av ränte- och kreditspreadrisker, samt utvidgning av denna granskning så att fler institut omfattas.
- En kampanj med inspektioner på plats rörande ränterisk i bankboken, särskilt med utredning av positionering och strategi för balansräkningsstyrningen, beteendemodeller för ränterisk i bankboken och risksäkringsstrategier.
Prioritering 2: Skynda på korrigeringen av brister vad gäller styrning och hantering av klimat- och miljörelaterade risker
Resultaten från 2023 års ÖUP visar att vissa banker ännu inte har gjort tillräckligt för att åtgärda brister i styrningen. Det gäller särskilt inom områden relaterade till hur bankernas ledningsorgan fungerar och deras strategiska styrning men även förmågan till aggregering och rapportering av data. Att ett antal amerikanska och schweiziska banker fallerade tidigare i år visar dessutom än en gång hur viktigt det är med stark styrning och sunda riskkontroller Detsamma gäller för de hela tiden ökande klimat- och miljörelaterade riskerna, som redan har börjat kännas av över hela världen. Bankerna kommer att ombes trappa upp sitt arbete och ta tillräcklig hänsyn till de aktuella riskernas omfattning i sina affärsstrategier och ramverk för riskhantering så att de helt och hållet uppfyller tillsynsförväntningarna på detta område senast vid utgången av 2024. För att detta mål ska uppnås står ECB:s banktillsyn redo att sätta in de verktyg som man har till sitt förfogande (såsom kapitalpåslag, verkställighetsåtgärder och sanktioner liksom granskningar av lämplighetsbedömningar då det behövs). Syftet är att få bankerna att rätta till de konstaterade bristerna, främst genom att vidta tydliga åtgärder och sätta fasta tidsgränser för när tillsynsförväntningarna ska vara uppfyllda.
Prioriterad sårbarhet: Brister i ledningsorganens funktion och styrningsförmåga
Strategiskt mål: Banker bör på ett effektivt sätt ta itu med väsentliga brister i ledningsorganets funktion, tillsyn och sammansättning genom att utarbeta och snabbt genomföra sunda åtgärdsplaner som uppfyller tillsynsförväntningarna.
Solida former för den interna styrningen och effektiv strategisk styrning är avgörande faktorer för att bankernas affärsmodeller ska vara motståndskraftiga och hållbara. De nuvarande osäkra makrofinansiella utsikterna och den pågående förändringen av ränteläget efter flera år av gynnsamma finansieringsvillkor gör att bankerna måste ha ändamålsenlig strategisk styrning och justera sina rutiner så att de rätt kan bedöma, styra och hantera riskerna förknippade med detta. Oron i banksektorn i USA och Schweiz i mars visade hur viktiga bankers styrelser och ledningar är. Det är de som har det yttersta ansvaret för att se till att formerna för intern styrning är lämpliga och riskhanteringsrutinerna ändamålsenliga. Dessutom visade oron att det kan få allvarliga konsekvenser för en bank om ovanstående saknas. Ändamålsenlig strategisk styrning behövs också för att bankerna ska kunna anpassa sina affärsmodeller efter den pågående händelseutvecklingen, som digitaliseringen och den gröna omställningen, som går allt snabbare.
Att få ordning på bristerna i ledningsorganen har varit en av banktillsynens främsta prioriteringar i flera år. Förbättringar har gjorts på vissa områden, men mer behöver göras när det gäller sammansättningen, den kollektiva lämpligheten och bankstyrelsernas tillsynsfunktion. Efter insatser inom ramen för den direkta tillsynen 2022 har bankerna förbättrat sina mångfaldspolicyer, som nu innehåller kriterier för utbildning, erfarenhet, geografisk härkomst och ålder utöver könstillhörighet. I dag har nästan alla institut under tillsyn mål om att åtgärda den ojämna könsfördelningen i sina ledningsorgan. Dock har tillräckligt ännu inte gjorts för att de målen ska uppnås.[10] Bankerna måste även förbättra sina styrelsers kollektiva lämplighet ytterligare, liksom deras förmåga att ifrågasätta. Det senare har att göra med brister i styrelsernas sammansättning (exempelvis otillräckligt antal formellt oberoende ledamöter och brist på kunskaper inom särskilda områden, som IT) och hur styrelserna fungerar (exempelvis att tillräckligt med tid inte sätts undan för debatt och tveksamheter i hur nomineringen till ledningsorganen går till). Styrelseutskottens tillsynsfunktion behöver också förbättras ytterligare, vilket framkom i den riktade granskningen av ledningsorgan 2023.[11]
ECB:s banktillsyn kommer genom riktade granskningar och inspektioner på plats att fortsätta sitt arbete med bankerna för att dessa långvariga brister ska åtgärdas. Tillsynsmyndigheterna kommer dessutom att uppdatera och offentliggöra tillsynsförväntningar på styrning och riskhantering.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Riktad granskning av effektiviteten i bankernas ledningsorgan och riktade inspektioner på plats.
- Uppdatering och offentliggörande av tillsynsförväntningar och bästa praxis för styrning och riskkultur i banker.[12]
Prioriterad sårbarhet: Brister i aggregering och rapportering av riskdata
Strategiskt mål: Banker bör på ett effektivt sätt ta itu med långvariga brister och ha adekvata och ändamålsenliga ramverk för aggregering och rapportering av riskdata så att ledningsorganen får möjlighet att styra effektivt och så att tillsynsförväntningar kan uppfyllas, även i kristider.
Att riskrelaterade data aggregeras och rapporteras rätt och inom rimlig tid är avgörande för att sunda beslut ska kunna fattas och för att den strategiska styrningen av bankerna ska bli ändamålsenlig, särskilt som läget ser ut i dag, liksom för risk- och tillsynsrapporteringen och den finansiella rapporteringen. Resultaten från de tillsynsinsatser som genomförts hittills, även 2023 års ÖUP och den pågående kampanjen med inspektioner på plats, visar alla på otillräckliga framsteg när det gäller att åtgärda brister sett till tillsynsförväntningarna och efterlevnaden av Baselkommitténs principer för effektiv riskdataaggregering och riskrapportering. De främsta bristerna rör ledningsorganens otillräckliga kontroll och tillsyn, svagheter i dataarkitekturen och fragmenterade och icke-harmoniserade IT-system, bristande aggregeringsförmåga och ineffektiva styrningsramar. Det är viktigt att ledningsorganen gör tydliga prioriteringar, eftersom det ofta behövs betydande resurser för att ta itu med brister som rör aggregering och rapportering av data.
Så som redan angavs i förra årets tillsynsprioriteringar ökar ECB:s banktillsyn sina ansträngningar för att se till så att instituten under tillsyn gör tydliga framsteg när det gäller att åtgärda de långvariga bristerna avseende aggregering och rapportering av data. En strukturerad upptrappningsmekanism, eventuellt med verkställighetsåtgärder och sanktioner, kommer att börja tillämpas i ökande utsträckning från och med 2024.[13] I vägledningen om effektiv riskdataaggregering och riskrapportering förstärks och specificeras tillsynsförväntningarna ytterligare. Ett offentligt samråd[14] om vägledningen genomfördes mellan juli och oktober 2023, och vägledningen förväntas offentliggöras 2024. Tillsynsmyndigheterna kommer även att genomföra riktade granskningar och inspektioner på plats och arbeta tillsammans med bankerna i de fall då bestående brister konstateras. Dessutom kommer ledningsrapporten om datastyrning och datakvalitet[15], som testkördes i början av 2023, att fortsätta som en årlig enkät till bankerna. Tanken är att denna rapport ska säkerställa att bankernas ledningsorgan i tillräcklig utsträckning kan hållas ansvariga i frågor som gäller intern- och tillsynsrapportering och finansiell rapportering.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Förfining av tillsynsförväntningarna som rör hur principer för dataaggregering och datarapportering följs och offentliggörande av vägledningen om effektiv riskdataaggregering och riskrapportering.
- Riktade granskningar av principerna för aggregering och rapportering av riskdata.
- Kampanjer med inspektioner på plats angående aggregering och rapportering av riskdata (förlängning från 2023).
- Framtagande av ledningsrapporten om datastyrning och datakvalitet, som är en årlig enkät som ska säkerställa att bankernas ledningsorgan i tillräcklig utsträckning kan hållas ansvariga i frågor som gäller intern- och tillsynsrapportering och finansiell rapportering.
Prioriterad sårbarhet: Väsentliga exponeringar mot fysisk risk och omställningsrisk på grund av klimatförändringarna
Strategiskt mål: För att minska och rapportera klimat- och miljörelaterade risker bör bankerna på lämpligt sätt införliva dessa risker i sina affärsstrategier och ramverk för styrning och riskhantering för att på så sätt anpassa sin praxis till gällande lagstadgade krav och tillsynsförväntningar.
De globala utsläppen av växthusgaser har fortsatt att öka[16], vilket innebär fortsatt framtida global uppvärmning och därmed även ökad risk för att fler och värre incidenter inträffar, ibland flera på en gång, vilket upprepade gånger har visats av de extrema värmeböljorna, naturbränderna och översvämningarna i Europa och andra delar av världen. De strategier som finns är inte tillräckliga för att målet för den globala uppvärmningen som fastställdes i Parisavtalet 2015 ska nås.[17] Eftersom klimatåtgärderna fördröjs förväntas de fysiska riskerna och omställningsriskerna att öka, och eventuellt även de därmed förknippade förlusterna för bankerna, vilket ökar risken för större skador, inlåsningar i infrastruktur med höga utsläpp, strandade tillgångar och kostnadseskalering.[18] Geopolitiska spänningar, liksom allt högre initialinvesteringar och de genomgripande förändringar som behövs för att begränsa klimatförändringarna och anpassa oss efter dem, lär öka omställningsriskerna ytterligare samtidigt som finansieringsvillkoren stramas åt.
För vissa banker visade 2023 års ÖUP att de hade gjort vissa förbättringar när det gällde strategierna med avseende på klimat- och miljörelaterade risker. För andra visade ÖUP att det nu var hög tid för dem att itu med dessa brister. De kvalitativa ÖUP-åtgärderna handlade främst om brister i bankernas strategiska och operativa planering och ledningsorganens kunskaper om miljö-, samhällsansvars- och styrningsfrågor (ESG). Klimat- och miljörelaterade risker påverkade nivåerna på pelare 2-kraven för fler banker jämfört med förra årets ÖUP.[19]
För att de brister som konstaterades i ECB:s klimatstresstest[20] och tematiska granskning[21] 2022 ska åtgärdas har ECB:s banktillsyn satt upp institutsspecifika tidsfrister så att bankerna helt och hållet ska ha anpassat sina rutiner efter tillsynsförväntningarna i ECB:s vägledning om klimat- och miljörelaterade risker från 2020 senast vid utgången av 2024. I mars 2023 nåddes en av de mellanliggande milstolparna i denna process. Då skulle bankerna på lämpligt sätt ha kategoriserat klimat- och miljörelaterade risker och genomfört en fullständig bedömning av hur dessa påverkar deras verksamhet. Vissa banker uppvisar fortfarande allvarliga brister på detta område, och tillsynsmyndigheterna har hanterat dem genom operativa handlingar, kvalitativa ÖUP-krav och ad hoc-beslut i tillsynsnämnden. Fram till utgången av 2023 förväntas bankerna ha införlivat klimat- och miljörelaterade risker i sin styrning, strategi och riskhantering, och fram till utgången av 2024 ska de till sist ha uppfyllt alla återstående tillsynsförväntningar från 2020, vilket även innebär fullständigt införlivande i den interna kapitalutvärderingen (IKU) och i stresstester. ECB:s banktillsyn kommer att fortsätta att använda hela sin verktygslåda för att få bankerna att leva upp till dessa förväntningar, och kommer även om det behövs att trappa upp insatserna i form av viten eller bankspecifika kapitalpåslag.[22]
Tillsynsmyndigheterna kommer även att fortsätta granska och utvärdera lämpligheten i bankernas rapporteringsrutiner. Vissa banker har gjort framsteg på detta område, vilket framgår av den tredje bedömningen av vilka framsteg de europeiska bankerna har gjort när det gäller att informera om klimat- och miljörelaterade risker. Kvaliteten på den information som offentliggörs är dock låg. Under de kommande åren kommer man även att behöva fundera över hur man hanterar klimat- och miljörelaterade risker för anseendet och rättstvister, som uppstår när omställningsmål och/eller nettonollåtaganden offentliggörs. Tillsynsmyndigheterna kommer även att utföra förberedande arbete för att ta fram ramar för hur man ska granska bankernas omställningsplanering och beredskap, så att man kan utföra de ESG-relaterade uppdrag som man tilldelas i kapitalkravsdirektivet (CRD VI). Till sist kommer klimatrelaterade risker att fortsätta att bedömas i vissa riskspecifika inspektioner på plats, medan riktade fristående besök rörande klimat- och miljörelaterade risker planeras från och med början av 2024.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Riktad uppföljning av de brister som framkom i samband med klimatstresstesterna och de tematiska granskningarna 2022 med syftet att tillsynsförväntningarna på området ska vara helt uppfyllda fram till utgången av 2024.
- Granskning av bankernas efterlevnad av tekniska genomförandestandarder för rapportering och krav på offentliggörande enligt pelare 3 avseende klimat- och miljörelaterade risker liksom av överensstämmelsen mellan sådana standarder, samt riktmärkning av bankers praxis i förhållande till tillsynsförväntningarna.
- Djupdykningar i bankernas förmåga att hantera risker för anseende och rättstvister som är förknippade med klimat- och miljörelaterade åtaganden.
- Riktade inspektioner på plats avseende klimatrelaterade aspekter, antingen fristående eller inom planerade översyner av enskilda risker (t.ex. kreditrisk, operativ risk eller affärsmodellsrelaterade risker).
Prioritering 3: Fortsätta med den digitala omställningen och bygga upp robusta ramverk för operativ motståndskraft
De flesta institut under tillsyn håller på att digitalisera sin verksamhet och sina tjänster för att klara de hela tiden ökande konkurrensutmaningarna, men för att minska potentiella risker behöver de även stärka och, vid behov, justera sina ramverk för operativ motståndskraft. Operativ motståndskraft bör göra bankernas affärsmodeller mer hållbara på medellång sikt och bland annat medföra att de kan dra fördel av innovativ teknik. Vissa banker har dock kommit på efterkälken när det gäller att uppnå målen inom detta område. Instituten under tillsyn måste dessutom hantera de sårbarheter som uppstår på grund av deras allt större operativa beroende av utomstående leverantörer samt förbättra sin hantering av IT-säkerhets- och cyberrisker. Det är särskilt viktigt med tanke på cyberhoten som ökar på grund av det rådande geopolitiska läget.
Prioriterad sårbarhet: Brister i strategierna för digital omställning
Strategiskt mål: Bankerna bör utarbeta och genomföra sunda digitala omställningsplaner på lämpligt sätt (t.ex. genom affärsstrategi och riskhantering) för att stärka sina affärsmodellers hållbarhet och minska riskerna i samband med användning av innovativ teknik.
Instituten under tillsyn har den senaste tiden redovisat rekordhög lönsamhet, främst på grund av högre räntenettomarginaler. Det finns dock fortfarande strukturella svagheter i deras affärsmodeller. Bankernas kostnads-/intäktskvoter är fortfarande ihållande höga och trögrörliga, och att genomföra kostnadsbegränsningsåtgärder kan visa sig vara svårt med tanke på det höga inflationstrycket. Instituten under tillsyn bör alltså kunna hantera de förmodade högre rörelsekostnaderna utan att äventyra de välbehövliga investeringarna i digital omställning. Digitalisering förväntas stärka bankernas konkurrenskraft och göra dem mer motståndskraftiga mot konkurrens från aktörer utanför banksektorn.
Under 2023 genomförde ECB:s banktillsyn en övergripande utvärdering och benchmarkanalys utifrån uppgifter om digital omställning och användningen av finansteknig (fintech) som samlats in från alla SSM-deltagande länder. Bankerna fick ta del av resultaten från denna analys, och genom analysen kunde man fastställa att det fanns ett antal risker som rör den digitala omställningen, som strategiska risker, utföranderisker, cyberrisker, risker förknippade med beroende av utomstående parter liksom för penningtvätt och bedrägerier. I de riktade inspektionerna på plats, som kompletterade den övergripande bedömningen, framkom att det fanns tveksamheter kring den strategiska styrningen och genomförandet och underströk vikten av kompetensutveckling för personal och ledningsorgan. Brister i budgeteringen och den finansiella planeringen uppdagades också. Dessa brister beror på att det är svårt för bankerna att se de ekonomiska effekterna av deras initiativ för digital omställning. Resultaten från dessa insatser låg till grund för tillsynsbedömningen av bankernas affärsmodeller i 2023 års ÖUP. Även framöver kommer ECB:s banktillsyn att fokusera på den digitala omställningen i riktade granskningar och särskilda inspektioner på plats. ECB:s banktillsyn kommer att offentliggöra sina tillsynsförväntningar på bankernas digitala omställning.[23] De ändrade förväntningarna kommer att förbättra metoderna som används för tillsynsbedömning.
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Riktade granskningar av vilken effekt bankernas digitala omställning har på deras affärsmodeller, affärsstrategier, styrning, riskidentifiering samt riskhantering, kompletterade av de gemensamma tillsynsgruppernas uppföljning med bankerna i de fall då väsentliga brister har upptäckts.
- Riktade inspektioner på plats avseende den digitala omställningen, där både affärsmodells- och IT-aspekterna i bankernas strategier för digital omställning undersöks.
- Offentliggörande av tillsynsförväntningar och informationsutbyte om bästa praxis i strategier för digital omställning.
Prioriterad sårbarhet: Brister i ramverken för operativ motståndskraft, dvs. risker i samband med utkontraktering av IT och IT-säkerhet/cyberrisker
Strategiskt mål: Bankerna bör ha robusta riskarrangemang för utkontraktering och ramverk för IT-säkerhet och cyberresiliens för att proaktivt hantera alla obegränsade risker som kan leda till väsentliga störningar i kritisk verksamhet eller kritiska tjänster, samtidigt som de säkerställer att relevanta regleringskrav och tillsynsförväntningar följs.
Cyberrisker och datasäkerhet ligger bakom de främsta operativa riskerna för bankerna. Antalet cyberincidenter som instituten under tillsyn anmälde till ECB:s banktillsyn steg kraftigt första halvåret 2023, vilket återspeglar banksektorns betydande exponering mot framväxande cyberhot, som bland annat beror på Rysslands krig i Ukraina och ökade geopolitiska spänningar. Destruktiva angrepp har blivit en framstående del i statliga aktörers operationer, och även finansinstitut utgör sannolika mål med tanke på deras roll inom kritisk infrastruktur.[24] Främst är det angrepp med utpressningsvirus som ökar, och it-brottslingarna blir mer och mer sofistikerade och bankerna alltmer påverkade av föränderliga utpressningsförsök.
Brister i arrangemangen kring utkontraktering av IT-funktioner är en annan viktig sårbarhet med tanke på bankernas ökande beroende av utomstående tjänsteleverantörer. När leveranskedjorna blir längre och mer komplicerade måste bankerna se till att få bättre förståelse för, och kontroll över, sina leverantörsförbindelser och (inbördes) beroenden för att proaktivt kunna ta itu med eventuella riskkoncentrationer. Bankerna måste alltså ha en sund tillgångsförvaltning och leverantörsstyrning för att kunna tillgodose kraven från kunder och öka sin effektivitet när konkurrensen hårdnar alltmer, samtidigt som de på lämpligt sätt måste hantera riskerna med utkontrakteringsupplägg och användning av molnlösningar. Resultaten från 2023 års ÖUP-bedömning bekräftar än en gång att bankernas brister vad gäller hantering av utkontraktering av IT-funktioner och IT-säkerhets- och cyberrisker är framträdande och att operativ risk fortsätter att vara den komponent som får sämst ÖUP-betyg.[25]
På grund av ovanstående har ECB:s banktillsyn börjat att en gång om året samla in utkontrakteringsregister från instituten under tillsyn. Analyserna som har gjorts hittills har uppdagat flera olika sårbarheter, som ett stort beroende av vissa icke-europeiska externa leverantörer och ett betydande antal utkontrakteringsavtal. Lämplig hantering av tredjepartsrisker, bland annat när det gäller utkontraktering till molntjänstleverantörer, står fortsatt högt på tillsynsagendan och kommer att utvärderas ytterligare inom ramen för pågående verksamhet.
Förutom den övergripande bedömningen av bankernas utkontrakteringsupplägg och analysen av riskkoncentrationerna kommer ECB:s banktillsyn att fortsätta genomföra riktade granskningar av utkontrakteringsupplägg och cyberresiliens för att få en bättre insyn i hur riskerna ser ut och hur stora de är, liksom i bankernas riskreduceringsåtgärder. De riktade granskningarna kommer även att kompletteras med inspektioner på plats, där brister i de enskilda bankerna ska bedömas och fastställas. På grund av de ökade cyberangreppen, och detta områdes vikt i det rådande geopolitiska läget, kommer ECB:s banktillsyn dessutom att genomföra ett tematiskt stresstest av cyberresiliens nästa år, där bankernas förmåga att åtgärda och återhämta sig från ett framgångsrikt cyberangrepp ska bedömas.[26]
De främsta insatserna i arbetsprogrammet för tillsynsprioriteringarna
- Datainsamling och övergripande analys av utkontrakteringsregister för att identifiera sammanlänkningar mellan institut under tillsyn och tredjepartsleverantörer samt potentiella riskkoncentrationer hos vissa leverantörer.
- Riktade granskningar av utkontrakteringsupplägg och cyberresiliens.
- Riktade inspektioner på plats av hanteringen av utkontraktering och IT-säkerhet.
- Systemövergripande stresstest av cyberresiliensen 2024, med test av bankernas förmåga att åtgärda och återhämta sig från cyberangrepp och begränsa konsekvenserna och få igång tjänsterna igen utan längre avbrott.
Europeiska centralbanken 2023
Postadress 60640 Frankfurt am Main, Tyskland
Telefon +49 69 1344 0
Webbplats www.bankingsupervision.europa.eu
Alla rättigheter förbehålls. Återgivning för undervisningsändamål och icke-kommersiella syften är tillåten, under förutsättning att källan anges.
För specifik terminologi hänvisas till SSM glossary (finns endast på engelska).
HTML ISBN 978-92-899-6263-6, ISSN 2599-8528, doi:10.2866/74 QB-BZ-24-001-SV-Q
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
Stresstest visar att euroområdets banksektor skulle kunna stå emot en allvarlig ekonomisk nedgång, pressmeddelande, ECB, 28 juli 2023.
Makroekonomiska framtidsbedömningar för euroområdet av Eurosystemets experter, december 2023.
The last mile, inledningsanförande av Isabel Schnabel vid den årliga föreläsningsserien till Homer Jones minne, 2 november 2023.
Economic Bulletin nr 7, november 2023, ECB:s enkätundersökning om bankernas utlåning, oktober 2023.
Makroekonomiska framtidsbedömningar för euroområdet av Eurosystemets experter, december 2023.
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
Unrealised losses in banks’ bond portfolios measured at amortised cost, ECB:s banktillsyn, 28 juli 2023.
Se Remarks by FDIC Chairman Martin Gruenberg at the Institute of International Bankers, 6 mars 2023.
Se Diversity at the top makes banks better, The Supervision Blog, Frank Elderson och Elizabeth McCaul, 9 maj 2023.
Se även Effective management bodies – the bedrock of well-run banks, The Supervision Blog, Frank Elderson, 20 juli 2023.
Se SSM-utlåtande om styrning och riskaptit, ECB, juni 2016.
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
I ledningsrapporten om datastyrning och datakvalitet sammanslås och kompletteras måtten på datakvalitet i tillsynssammanhang. När instituten fyller i denna rapport ombes de svara på ett antal öppna frågor, och minst en ledamot i ledningsorganet måste skriva under svaren så att ansvarighet stärks ytterligare.
Se Climate Change 2023 Synthesis Report, Mellanstatliga panelen för klimatförändringar, 2023.
Enligt vad som har framkommit vid den 28:e partskonferensen (COP28).
Se Climate Change 2023 Synthesis Report, Mellanstatliga panelen för klimatförändringar, 2023.
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
2022 climate risk stress test, ECB:s banktillsyn, juli 2022.
Ibid.
Se Frank Eldersons tal: Making finance fit for Paris: achieving “negative splits”, november 2023 och Powers, ability and willingness to act – the mainstay of effective banking supervision, december 2023.
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
Se ENISA Threat Landscape 2022, Europeiska unionens cybersäkerhetsbyrå, oktober 2022.
Se de aggregerade resultaten från ÖUP 2023, ECB, december 2023.
Se Naglis Navakas intervju med Andrea Enria, ordförande för ECB:s tillsynsnämnd, 9 mars 2023.