1 Inledning
Tillsynsprioriteringarna 2025–2027 återspeglar banktillsynens medellångsiktiga strategi för de kommande tre åren. De fastställs av ECB:s tillsynsnämnd, ses över en gång om året och grundar sig på en samlad bedömning av de huvudsakliga riskerna och sårbarheterna i enheterna under tillsyn. I prioriteringarna beaktas även resultaten från översyns- och utvärderingsprocessen (ÖUP)[1] liksom de framsteg som har nåtts jämfört med tidigare års prioriteringar. Med hjälp av prioriteringarna kan de resurser som finns att tillgå för tillsyn fördelas på ett ändamålsenligt sätt, och de kan justeras flexibelt om så behövs på grund av förändringar i riskbilden.
Det senaste året har den europeiska banksektorn visat sig vara motståndskraftig i den osäkra omvärlden och visat sin kapacitet att fortsätta stödja den ekonomiska återhämtningen. Europeiska banker rapporterar starka kapital- och likviditetspositioner. Bankernas tillgångskvalitet har i stort sett varit motståndskraftig mot den mer utmanande makrofinansiella miljön och deras lönsamhet ökade till de högsta nivåerna sedan den europeiska banktillsynen inrättades, särskilt till följd av högre räntor.
Trots att bankernas balansräkningar och riskprofiler är robusta krävs försiktighet på grund av ihållande starka geopolitiska spänningar och den relaterade osäkerheten om makroekonomiska utsikter. Även om enheter under tillsyn hittills har kunnat stå emot de senaste geopolitiska chockerna, bl.a. tack vare den reala ekonomins motståndskraft, är det viktigt att bankerna fortsatt är vaksamma och regelbundet bedömer vilka konsekvenser sådana händelser skulle medföra för deras verksamhet, operationer och riskprofiler. Att åtgärda brister i bankernas rutiner för kreditriskhantering är fortfarande en prioritet, särskilt när det gäller tidigt upptäckt av försämrad tillgångskvalitet och användning av försiktiga avsättningsnivåer. Dessutom är det viktigt att utveckla bankernas ramverk för operativ motståndskraft för att stärka deras förmåga att stå emot eventuella driftstörningar som följer av plötsliga händelser. De geopolitiska chockernas övergripande karaktär kräver en heltäckande tillsynsstrategi och ett särskilt fokus på bankers förmåga att stå emot sådana chocker inom ramen för tillsynsprioriteringarna.
Samtidigt bör bankerna öka sina ansträngningar ytterligare för att på ett ändamålsenligt sätt åtgärda de väsentliga brister som tillsynspersonalen har upptäckt under tidigare konjunkturcykler och åtgärda dem inom rimlig tid. På de områden som tidigare har varit föremål för noggrann tillsyn kommer tillsynspersonalen arbete att fokusera på hur bankerna på ett effektivt sätt och inom rimlig tid åtgärdar konstaterade brister. Detta gäller särskilt riskdataaggregering och riskrapportering (risk data aggregation and risk reporting (RDARR)) – där trots långvariga kontakter med tillsynspersonal och konstaterade förbättringar, bankerna fortfarande inte har åtgärdat allvarliga brister. Full överensstämmelse med tillsynsförväntningarna i bankernas hantering av klimat- och miljörelaterade risker kommer dessutom även fortsättningsvis att prioriteras.
Slutligen, och när tekniska framsteg blir en prioritering för banksektorns framtid, är det viktigt att bankerna stärker digitaliseringen och säkerställer en ansvarsfull hantering av risker som uppstår till följd av införandet av ny teknik. Även om enheter under tillsyn gör framsteg på detta område för att öka sin förmåga att konkurrera framgångsrikt i framtiden, måste de vara beredda på nya risker som uppstår till följd av digitaliseringen av sin verksamhet och sina tjänster. Detta kommer att hjälpa dem att öka hållbarheten i sina affärsmodeller och göra det möjligt för dem att dra nytta av innovativa tekniker.
Mot denna bakgrund fokuserar tillsynsprioriteringarna för 2025–2027 på bankers motståndskraft mot omedelbara makrofinansiella hot och allvarliga geopolitiska chocker (prioritering 1), vikten av att snabbt åtgärda kända väsentliga brister (prioritering 2) och behovet av att ta itu med utmaningar som uppstår till följd av digital omvandling och ny teknik (prioritering 3). Var och en av prioriteringarna är inriktad mot en viss typ av sårbarheter i banksektorn, som benämns prioriterade sårbarheter, och för vilka man har satt upp särskilda strategiska mål och utarbetat arbetsprogram. Riskernas beroende av varandra beaktas när arbetsprogrammen utarbetas. Syftet med arbetsprogrammen är att stärka både effektiviteten och ändamålsenligheten i tillsynspersonalens arbete med bankerna. I figur 1 visas de fem centrala sårbarheterna i banker och det särskilda fokuset på geopolitiska risker som de tre övergripande prioriteringarna ämnar åtgärda.
Figur 1
Tillsynsprioriteringar för 2025–2027 för att åtgärda identifierade sårbarheter i banker

Källa: ECB.
Anmärkningar: Figuren visar de tre tillsynsprioriteringarna 2025–2027 och motsvarande sårbarheter som bankerna förväntas åtgärda under de kommande tre åren. ECB:s banktillsyn kommer att genomföra riktade insatser för att bedöma, övervaka och följa upp identifierade sårbarheter. Delen på den högra sidan av figuren visar den övergripande riskkategorin som är kopplad till respektive sårbarhet.
Huvudsyftet med banktillsynens strategiska planering är ta fram en sund strategi för de kommande tre åren. Tillsynsprioriteringarna främjar effektivitet och enhetlighet i de gemensamma tillsynsgruppernas planering och främjar en effektiv resursfördelning i linje med de aktuella risktoleransnivåerna. De hjälper även den nationella tillsynspersonalen att fastställa sina egna prioriteringar för tillsynen av mindre betydande institut på ett proportionerligt sätt. Transparent information om prioriteringarna klargör tillsynsförväntningarna för bankerna, stärker tillsynens effekt på banksektorns arbete med att stärka motståndskraften och bidrar till att säkerställa lika konkurrensvillkor.
ECB:s banktillsyn kommer att fortsätta att övervaka och bedöma både i) utvecklingen vad gäller risker och sårbarheter i enheter under tillsyn och ii) de framsteg som bankerna gör med implementeringen av tillsynsprioriteringarna. Regelbundna översyner av de strategiska prioriteringarna gör att ECB:s banktillsyn flexibelt kan anpassa sitt fokus och sin verksamhet till förändringar i risklandskapet vid behov.
I följande avsnitt ges en närmare beskrivning av resultaten från 2024 års riskidentifiering och riskbedömning. Här behandlas även tillsynsprioriteringar och underliggande arbetsprogram för 2025–2027. Tillsynspersonalen kommer också att utföra andra regelbundna aktiviteter och uppföljningar av tidigare prioriteringar som en del av sitt löpande samarbete med banker och som komplement till arbetet med de tre prioriteringarna för 2025–2027.
2 Riskbedömning och tillsynsprioriteringar för 2025–2027
2.1 Den makroekonomiska miljön och verksamhetsmiljön för enheter under tillsyn
Även om den reala BNP-tillväxten i euroområdet gradvis har börjat återhämta sig och inflationstrycket har fortsatt att dämpas, förblir tillväxtutsikterna på kort sikt dämpade och omgärdas av stor geopolitisk och politisk osäkerhet.[2] Den gradvisa ekonomiska återhämtningen i euroområdet under första halvåret 2024 fick främst stöd av tjänstesektorn, medan industrin och byggsektorn bidrog negativt till den ekonomiska tillväxten.[3] Framöver väntas återhämtningen stärkas till följd av ökningar i konsumenternas reala disponibla inkomster (vilket kommer att stödja den privata konsumtionen), en starkare utländsk efterfrågan och lättnader i finansieringsvillkoren.[4] Samtidigt har HIKP-inflationen dämpats och väntas nå målet under bedömningsperioden. Kärninflationen väntas också fortsätta att sjunka, om än i långsammare takt beroende på mer måttliga lättnader i tjänsteprisinflationen.
Riskerna för tillväxtutsikterna förblir nedåtriktade på medellång sikt på grund av den ökade osäkerheten. Trots förväntningar om en återgång till måttlig tillväxt verkar sannolikheten för att svanshändelser ska materialiseras vara högre än för ett år sedan, eftersom de geopolitiska riskerna har stigit.[5] Ökande geopolitiska spänningar (som t.ex. härrör från kriget i Ukraina och konflikten i Mellanöstern) och växande tendenser till avglobalisering skulle kunna driva upp energipriserna och fraktkostnaderna på kort sikt och störa den globala handeln, vilket i sin tur skulle påverka tillväxtutsikterna för euroområdet och åter blåsa liv i inflationstrycket.[6] Samtidigt kan extrema väderförhållanden och övergång till en ekonomi med låga koldioxidutsläpp driva upp inflationen – särskilt livsmedelspriserna.[7]
Förutom att de påverkar utsikterna för tillväxt och inflation mer generellt förväntas även geopolitiska risker och strukturella utmaningar till följd av den klimatrelaterade omställningen och den digitala omvandlingen av det finansiella systemet ha en direkt effekt på banksektorn. Geopolitiska chocker kan förvärra styrningsrisker, operativa risker och affärsmodellsrisker, särskilt genom finansiella sanktioner eller cyberangrepp. Dessutom kan det uppstå väsentliga konsekvenser för riskprofiler, särskilt i situationer där banker har stora direkta eller indirekta balansräkningsexponeringar mot motparter som påverkas av motsvarande risker. Samtidigt har de klimat- och miljörelaterade riskernas betydelse för det finansiella systemet och ekonomin i stort ökat, vilket bidrar till att forma bankernas verksamhetsmiljöer. Med tanke på deras väsentliga exponering mot klimatrelaterade fysiska risker och omställningsrisker måste bankerna anpassa sig till de mer djupgående effekterna av klimat- och miljörelaterade kriser, vilket skulle kunna leda till en okontrollerad omställning och ytterligare öka de fysiska skadorna.[8] Den pågående tekniska omvandlingen av ekonomin kräver dessutom att bankerna vidtar proaktiva åtgärder för att påskynda sina digitaliseringsansträngningar, förbättra sin riskhanteringspraxis och bemöta den växande konkurrensen från icke-banker.
Den gynnsamma riskprissättning som har varit rådande på finansmarknaderna det senaste året kan leda till plötsliga omställningar i marknadssentimentet och omvärderingar av tillgångspriser till följd av negativa överraskningar. Den gradvisa återhämtningen i den ekonomiska aktiviteten och förväntningarna om penningpolitiska lättnader har resulterat i ökad riskaptit, lägre riskpremier och flera månader med relativt dämpad volatilitet på aktiemarknaden. Dessa förhållanden kan, tillsammans med osäkerhet om den framtida utvecklingen för tillväxt och inflation i världens större ekonomier, bana väg för plötsliga korrigeringar av tillgångspriser och ökad volatilitet på de globala finansmarknaderna om de makroekonomiska utsikterna försämras eller geopolitiska chocker blir verklighet.[9] Den abrupta och kortvariga utförsäljning som noterades på de globala finansmarknaderna i början av augusti – med negativa överraskningar i USA och en oro över stigande räntor i Japan som utlöste en abrupt risk-off-reaktion – illustrerar denna punkt.
2.2 Tillsynsprioriteringar för 2025–2027
Prioritering 1: Bankerna bör stärka sin motståndskraft mot omedelbara makrofinansiella hot och allvarliga geopolitiska chocker
Den ihållande osäkerheten kring de makroekonomiska utsikterna och de geopolitiska hotens ökande intensitet motiverar ökad tillsynskontroll av bankernas förmåga att stå emot relaterade chocker. Med tanke på de ihållande nedåtriskerna för euroområdets tillväxt och den höga osäkerheten är det ännu viktigare att ta hänsyn till andra scenarier än grundscenariot och att beakta olika utvecklingsbanor för ekonomisk tillväxt och räntor. Bankerna bör på ett ändamålsenligt sätt åtgärda brister som konstaterats i deras ramverk för kreditriskhantering, identifiera eventuella försämringar i tillgångskvalitet inom rimlig tid och upprätthålla lämpliga avsättningsnivåer. Den makroekonomiska utvecklingen kan påverka risken för bankers exponeringar mot icke-finansiella företag, t.ex. små och medelstora företag. Dessutom kan de påverka riskerna från exponeringar mot andra finansinstitut än banker, inbegripet från spridningseffekter till denna sektor. Dessa frågor kommer därför även fortsättningsvis att stå i fokus för det framtida tillsynsarbetet.
Till följd av sin övergripande karaktär kan geopolitiska risker resultera i en negativ makrofinansiell utveckling och påverka bankernas bredare verksamhetsmiljö. De kan utgöra ett direkt hot mot bankernas operativa motståndskraft, särskilt när de leder till ökade IT- och cybersäkerhetsrisker, och därmed erfordra riktade tillsynsinsatser under de kommande åren för att åtgärda bristerna i samband med dem. Med tanke på de många olika transmissionskanalerna för geopolitiska risker kommer tillsynspersonalen att genomföra olika riktade initiativ för att öka medvetenheten om och stärka bankernas motståndskraft mot dessa chocker. Det EU-omfattande stresstestet 2025, som samordnas av Europeiska bankmyndigheten (EBA), är ett sådant initiativ.
Prioriterad sårbarhet: Brister i ramverken för kreditriskhantering
Strategiskt mål: Bankerna bör identifiera försämringar i tillgångarnas kvalitet i god tid och omsätta dem i försiktiga avsättningar och kapitalnivåer. De bör intensifiera sina ansträngningar för att i god tid och på ett effektivt sätt åtgärda relevanta brister som identifierats inom ramen för tidigare års prioriteringar.
Hittills har europeiska hushåll och företag visat stark motståndskraft mot de förändrade makroekonomiska villkoren och övergången till högre räntor. Sunda balansräkningar och den gradvisa ekonomiska återhämtningen i euroområdet bidrar till att stödja företagens utsikter, medan bostadsmarknaderna förväntas förbli motståndskraftiga med stöd av låg arbetslöshet, stigande reallöner och förväntningar om ytterligare räntesänkningar. Bankernas nödlidande lån har dock börjat öka, om än i relativt långsam takt, och mer uttalade förändringar observerats för portföljer som är mer sårbara för den nuvarande makrofinansiella miljön – särskilt kommersiella fastigheter och portföljer för små och medelstora företag. Trots denna trend har bankernas täckningsgrader fortsatt att sjunka, även för mer riskfyllda segment, vilket delvis beror på deras fortsatta avyttring av ackumulerade nödlidande lån. Den långsamma ökningen av täckningsgraden för nya nödlidande lån och underpresterande (steg 2) lån väcker[10] därför farhågor om att bankernas avsättningar inte i tillräcklig utsträckning återspeglar potentiella framväxande risker eller nedåtrisker till följd av de svaga ekonomiska utsikterna och det svåra geopolitiska läget.
Tillsynsarbetet har också visat på att det finns bestående brister i bankernas IFRS 9-ramverk, vilket visar att vissa banker fortfarande inte uppfyller tillsynsförväntningarna på detta område. Under de senaste två åren har tillsynspersonalen genomfört två horisontella bedömningar med fokus på bankernas förmåga att fånga upp framväxande risker genom modeller för förväntade kreditförluster. Dessa bedömningar visar att banker har gjort framsteg när det gäller att fånga upp nya risker, särskilt när det gäller klimat- och miljörelaterade risker. Däremot har framstegen med vissa framväxande risker, som geopolitiska risker, varit otillräckliga.[11] Tillsynspersonalen har även fortsatt att genomföra inspektioner på plats där man tittar på kreditrisk, och påträffar vissa institut vad gäller t.ex. parametrar för förväntade kreditförluster, stegvisa underskott och underskott i avsättningar. ÖUP 2024 visade också på bestående brister när det gäller t.ex. avsättningar, låneutgivning, klassificering och (om)värdering av säkerheter.[12]
Framöver kommer ECB:s banktillsyn att fortsätta att övervaka bankernas förmåga att snabbt upptäcka försämringar i tillgångskvalitet och införa lämplig avsättningspraxis. I detta sammanhang kommer tillsynspersonalen att fokusera på användning av utgifter och täckning av nya risker, inbegripet geopolitiska risker. Under uppföljningsfasen kommer tillsynspersonalen att fortsätta att samverka med bankerna för att se till att resultaten från tidigare tillsynscykler åtgärdas på ett effektivt sätt och i god tid och då använda alla tillgängliga åtgärder för att uppnå detta mål.[13] Samtidigt kommer riktade inspektioner på plats att fortsätta fokusera på modeller och policyer för avsättning för krediter i bland annat portföljerna för utlåning till små och medelstora företag, privatkunder och kommersiella fastigheter. Tillsynspersonalen kommer också att bedöma bankernas tidiga identifiering och hantering av potentiella låntagares problem i sårbara portföljer, särskilt genom en riktad granskning av bankernas portföljer med små och medelstora företag.
Huvudaktiviteter som del av arbetsprogrammet för dessa tillsynsprioriteringar
- Uppföljningsfas av den riktade översynen av IFRS 9 med inriktning på bland annat användning av överskottsbetalningar och täckning av nya risker (inklusive geopolitiska risker). Tillsynspersonalen kommer att övervaka bankernas framsteg med tidigare uppdagade observationer, följa upp på korrigeringar och vid behov tillgripa eskaleringsåtgärder.
- Fortsatta kreditriskinspektioner på plats, med fokus på IFRS 9, kollektiv stegindelning och avsättning för storföretag/små och medelstora företag, portföljer med detaljhandelsfastigheter och kommersiella fastigheter, inbegripet värdering av säkerheter.
- Riktad granskning av små och medelstora företags portföljer, med fokus på tidig identifiering och hantering av potentiella låntagarproblem, modeller för små och medelstora företag och styrning av exponering mot små och medelstora företag.
Prioriterad sårbarhet: Brister i ramverken för operativ motståndskraft vad gäller risker i samband med utkontraktering av IT och IT-säkerhet/cyberrisker
Strategiskt mål: Bankerna bör uppfylla de rättsliga krav som följer av rättsakten om digital operativ motståndskraft (DORA) när det gäller hantering av IKT-risker, incidentrapportering, testning av digital operativ motståndskraft och tredjepartsleverantörer av tjänster. De bör intensifiera sina ansträngningar för att åtgärda tidigare identifierade brister i god tid och på ett effektivt sätt, särskilt när det gäller hanteringen av cybersäkerhetsrisker och risker vid utkontraktering.
Det ökande cyberhotet och beroendet av gemensamma tredjepartsleverantörer av tjänster utgör fortfarande stora utmaningar för bankerna. Antalet betydande cyberincidenter som rapporteras av enheter under tillsyn steg kraftigt 2023 och låg kvar på liknande nivåer de tre första kvartalen 2024. Den pågående digitaliseringen av bankernas tjänster och verksamhet och upptrappningen av de geopolitiska spänningarna (som har ökat risken för angrepp hos statsägda grupper)[14] har båda varit nyckelfaktorer för den kraftiga ökningen av cyberincidenter under de senaste två decennierna.[15] Bankerna rapporterar dessutom ett ökat beroende av tredjepartsleverantörer för kritiska funktioner, där nästan alla institut använder molntjänster för utkontrakterad kritisk verksamhet.[16] Hög koncentration i användningen av tredjeparts IT-leverantörer kan ytterligare förvärra spridningseffekterna och öka de potentiella systemeffekterna av cyberincidenter.[17]
De otillfredsställande ÖUP-betygen för operativa risker och resultaten av tillsynsarbetet vad gäller cyberresiliens och utkontraktering bekräftar bristerna i bankernas operativa ramverk och behovet av framsteg med att åtgärda dem. I ÖUP 2024 fortsatte operativ risk att vara det område som har det sämsta genomsnittliga betyget, med IKT-relaterade delar som främsta drivkraft.[18] När det gäller utkontraktering har tillsynspersonalen funnit att mer än 10 procent av de kontrakt som avser kritiska funktioner inte är förenliga med relevanta bestämmelser.[19] I detta sammanhang bör bankerna bedöma koncentrationsrisker avseende specifika leverantörer, geografiska områden (med tanke på de ökade geopolitiska riskerna) och funktionerna och även hantera dessa risker i enlighet därmed samt bedöma och hantera risken för potentiella kaskadeffekter inom flera sektorer med tanke på banknätverkens sammanlänkade karaktär.
Stresstestet 2024 visade att bankerna generellt sett har ramverk för respons och återhämtning på hög nivå. Stresstestet visade emellertid även att det behövs förbättringar, t.ex. ramverk för driftskontinuitet, planering av incidentberedskap, säkerhetskopiering och hantering av tredjepartsleverantörer.[20] Tillsynspersonalen kommer således att följa upp brister relaterade till bankers förmåga att återhämta sig från en framgångsrik cyberattack.[21] Mot denna bakgrund kommer tillsynspersonalen att fortsätta sitt arbete under de senaste åren och genomföra riktade granskningar och initiativ för att bedöma bankernas operativa motståndskraft och deras överensstämmelse med motsvarande tillsynsförväntningar och lagstadgade krav (särskilt kraven i DORA-förordningen, som kommer att gälla från och med januari 2025).
Huvudaktiviteter som del av arbetsprogrammet för dessa tillsynsprioriteringar
- Insamling av uppgifter om tredjeparts IKT-leverantörer för att identifiera kopplingar mellan enheter under tillsyn och tredjepartsleverantörer, potentiella koncentrationsrisker och svagheter i bankernas avtal om utkontraktering
- Riktade granskningar av ramverken för riskhantering för risker vid utkontraktering och ramverk för cyberresiliens och riskkontroll
- Uppföljning av resultaten från stresstest om cyberresiliens
- Riktade inspektioner på plats av operativ risk och ramverk för IT-resiliens
- Genomförande av DORA-förordningen i tillsynsramen
Särskilt fokus på införlivande av hantering av geopolitiska risker i tillsynsprioriteringarna
Den senaste tidens upptrappning av geopolitiska spänningar kräver att bankerna inför robusta riskhanterings- och riskkontroller och fordrar ökad tillsyn på kort och medellång sikt.
Eftersom de geopolitiska riskerna är av övergripande karaktär kommer bankernas motståndskraft, strategier och riskhantering att bedömas genom en rad olika aktiviteter. För det första fångas geopolitiska risker upp i ovannämnda prioriterade aktiviteter som rör bankernas hantering av kreditrisker och operativa risker. Tillsynspersonalen kommer även att bedöma de riskhanteringsprocesser och ramar för riskaptit som bankerna använder för att övervaka och minska geopolitiska risker. Detta kommer att ske genom särskilda riktmärkningar av riskaptit och riskkultur, med fokus på de konsekvenser som geopolitiska risker får för bankernas ramverk för riskidentifiering och riskaptit. Dessutom kommer geopolitiska risker att vara en viktig del av det EU-omfattande stresstestet 2025, som kommer att omfatta sonderande scenarioanalyser för att bedöma bankernas förmåga att under stress modellera motpartskreditrisker.
För att öka sin förståelse av hur bankerna hanterar geopolitiska risker och ytterligare klargöra tillsynsförväntningarna på detta område kommer tillsynspersonalen att se över nuvarande praxis med fokus på bland annat ramverk för riskhantering, kapital- och likviditetsplanering och interna stresstester.
Prioritering 2: Bankerna bör åtgärda varaktiga, väsentliga brister på ett effektivt sätt och i god tid
Den gradvisa övergången från riskidentifiering till riskåtgärd är ett viktigt inslag i den SSM-omfattande tillsynsstrategin. Banker med olösta väsentliga brister kommer därför att uppmanas att öka sina ansträngningar för att uppfylla tillsynsförväntningarna fullt ut och i god tid genomföra sunda åtgärdsplaner. Det omfattande tillsynsarbete som utförts under tidigare år har lett till att det har konstaterats allvarliga brister när det gäller i) bankernas affärsstrategier och hantering av klimat- och miljörelaterade risker och ii) deras RDARR-kapacitet. Mot bakgrund av framväxande risker (inbegripet geopolitiska risker) är det av yttersta vikt att bankerna har lämpliga och effektiva ramverk för RDARR så att beslut kan fattas i god tid och på ett effektivt strategiskt sätt. ECB:s banktillsyn inser att stora framsteg redan har gjorts på detta område, men åtgärdsprocessen är ännu inte avslutad och kommer att kräva uppföljningsarbete under kommande tillsynscykler.
Prioriterad sårbarhet: Brister i affärsstrategier och riskhantering vad gäller klimat- och miljörelaterade risker
Strategiskt mål: Bankerna bör fullt ut uppfylla tillsynsförväntningarna på hanteringen av klimat- och miljörelaterade risker samt kraven i det nya bankpaketet enligt CRR3/CRD6 (inbegripet de som rör tillsynsplaner) och bör åtgärda konstaterade brister inom rimlig tid.
Bankernas förmåga att på lämpligt sätt hantera klimat- och miljörelaterade risker står fortfarande högt på tillsynsagendan på grund av ökande fysiska risker och omställningsrisker, det faktum att bankerna ännu inte fullt ut uppfyller tillsynsförväntningarna i samband med detta och de nya kraven som infördes när det nya bankpaketet trädde i kraft 2025. De ökande fysiska riskerna återspeglar den fortsatta ökningen i globala temperaturer (där 2024 förväntas vara det varmaste året någonsin) och att antalet klimatrelaterade katastrofer (som skogsbränder och översvämningar) har ökat kraftigt de senaste åren. Samtidigt väcker långsamma framsteg mot att uppnå mål för nettonollutsläpp oro för omställningsrisker. En stor andel av de globala börsbolagen är inte i linje med målet att minska den globala uppvärmningen till högst 2°C.[22] När det gäller banksektorn visar en nyligen genomförd bedömning att 90 % av de tillfrågade bankerna fortfarande inte är i linje med EU:s klimatmål, vilket utsätter dem inte bara för högre kreditrisknivåer men också, bland annat, för rättsliga risker i avsaknad av ytterligare spridning av god praxis för att hantera dessa risker.[23] Samtidigt är 70 procent av de europeiska bankerna exponerade för anseenderisker på grund av risken för miljörelaterade rättstvister.[24]
Tillsynsbedömningar visar att bankerna fortfarande håller på att uppfylla tillsynsförväntningarna avseende hanteringen av klimat- och miljörelaterade risker.[25] De flesta, men inte alla, av de banker som står under ECB:s tillsyn, gjorde stora ansträngningar för att tidigarelägga sina väsentlighetsbedömningar innan tidsfristen i mars 2023 löper ut. För dem som inte gjorde det trappade ECB upp eskaleringsmetoden och utfärdade bindande tillsynsbeslut, vilket innebär att viten kan föreläggas om bankerna inte uppfyller kraven inom fastställd tidsfrist.[26] En bedömning i december 2023 – den tidsfrist som hade fastställts för att införliva klimat- och miljörelaterade risker i bankernas styrning, strategier och riskhantering – visade att det i stort sett fanns ramar för klimat- och miljörelaterade risker, men att det saknades grundläggande ramar i flera banker (där tillsynspersonalen nu vidtar uppföljningsåtgärder). Samtidigt är det fortfarande vanligt med svagheter som hindrar en adekvat hantering av klimat- och miljörelaterade risker. Dessa har kommunicerats i ytterligare brev om feedback till banker och ECB fortsätter att noga bevaka hur instituten utvecklas. Tillsynspersonalen kommer även att noga följa hur bankerna uppfyller den slutliga tidsfristen i slutet av 2024 för full överensstämmelse med tillsynsförväntningarna, även vad gäller integrering i den interna processen för bedömning av kapitalbehov och stresstester.
I tillsynsbedömningar och inspektioner på plats kommer man även fortsättningsvis att belysa lämpligheten i bankernas strategier och hantering av klimat- och miljörelaterade risker samt hur de följer kommande regeländringar. Bedömningen av upplysningar inom pelare 3 i enheter under tillsyn har visat att det finns betydande utrymme för förbättringar.[27] I takt med att bankernas rapporteringsrutiner mognar kommer tillsynspersonalen att fortsätta att regelbundet se över och bedöma lämpligheten i denna praxis. Det kommande bankpaketet enligt CRR3/CRD6 kommer att införa strängare krav på offentliggörande och kräva att bankerna utarbetar tillsynsplaner som ska ses över av tillsynspersonalen i enlighet med EBA:s kommande riktlinjer. Vidare kommer klimat- och miljörelaterade risker även fortsättningsvis att bedömas genom inspektioner på plats. Dessa kommer att genomföras både separat och som en del av vissa riskspecifika inspektioner, och tillsynspersonalen kommer att göra djupdykningar av bankers förmåga att hantera anseende- och rättstvister.
Huvudaktiviteter som del av arbetsprogrammet för dessa tillsynsprioriteringar
- Övervakning av full överensstämmelse med tillsynsförväntningar och införande av eskaleringsmetod
- Övergripande bedömning av bankers efterlevnad av pelare 3 upplysningskrav avseende miljö-, samhällsansvars- och bolagsstyrningsrelaterade risker (ESG)
- Djupdykningar i bankernas förmåga att hantera risker för anseende och rättstvister som är förknippade med klimat- och miljörelaterade åtaganden.
- Översyn av bankernas omställningsplanering i linje med uppdrag som väntas från CRD6
- Riktade inspektioner på plats avseende klimat- och miljörelaterade aspekter, antingen fristående eller inom planerade översyner av enskilda risker (t.ex. kreditrisk, operativ risk eller affärsmodellsrelaterade risker).
Prioriterad sårbarhet: Brister i aggregering och rapportering av riskdata
Strategiskt mål: Bankerna bör öka sina ansträngningar för att rätta till långvariga brister i sina RDARR-ramverk och anpassa sin praxis till tillsynsförväntningarna. Om bankerna inte uppfyller tillsynsförväntningarna kan detta leda till eskaleringsåtgärder.
Framstegen med att åtgärda långvariga brister i RDARR-ramverken är fortfarande otillräckliga. Ett betydande antal enheter under tillsyn uppfyller fortfarande inte tillsynsförväntningarna fullt ut och Baselkommitténs principer för effektiv riskdataaggregering och riskrapportering. ÖUP 2024, den riktade granskningen av RDARR-kapacitet och inspektionskampanjen på plats har visat på brister vad gäller i) ledningsorganens deltagande och expertis, ii) omfattningen av ramverken för bruttosoliditetsgrad, iii) dataarkitekturens och IT-infrastrukturens ändamålsenlighet, iv) komplexa och fragmenterade IT-system och v) hantering av datakvalitet.
I linje med förra årets tillsynsprioriteringar kommer ECB:s banktillsyn att intensifiera sitt arbete för att se till att enheterna under tillsyn uppfyller tillsynsförväntningarna i ”Vägledning om effektiv aggregering och rapportering av riskdata”(på engelska). Tillsynspersonalen kommer att ytterligare intensifiera trycket på banker som underlåter att åtgärda brister inom de fastställda tidsfristerna, med fullt utnyttjande av verktygslådan för tillsynsrelaterade upptrappning (inklusive sanktioner) när så är lämpligt.[28] Denna saneringsstrategi tar hänsyn till bankernas individuella omständigheter och kommer att anpassas till hur väsentliga de olösta bristerna är, deras placering i saneringscykeln och tidigare resultat när det gäller att hantera tillsynsproblem. Tillsynspersonalen kommer även att fortsätta sin riktade granskning av RDARR-kapacitet och utföra riktade inspektioner på plats, i nära samarbete med bankerna, när brister upptäcks.
Huvudaktiviteter som del av arbetsprogrammet för dessa tillsynsprioriteringar
- Uppföljning av den riktade granskningen av RDARR-rutiner och uppfyllande av tillsynsförväntningarna i ”Vägledning om effektiv riskdataaggregering och riskrapportering” samt korrigering av tidigare identifierade observationer, med fullt utnyttjande av tillgängliga eskaleringsverktyg vid behov
- Riktade inspektioner på plats avseende övergripande styrning och IT-infrastruktur, aggregeringskapacitet för riskdata och riskrapporteringsrutiner
- Förvaltningsrapport om dataförvaltning och datakvalitet – ett årligt frågeformulär som syftar till att säkerställa att bankernas ledningsorgan i tillräcklig utsträckning kan hållas ansvariga för intern- och tillsynsrapportering och finansiell rapportering.
Prioritering 3: Bankerna bör stärka sina digitaliseringsstrategier och ta itu med framväxande utmaningar som följer av ny teknik
Bankerna står inför många strukturella och långsiktiga trender, och digitalisering är en av dem. Den tekniska utvecklingen omformar snabbt många branscher, inklusive banksektorn, och skapar gott om nya affärsmöjligheter, men också nya utmaningar och risker för etablerade aktörer. Eftersom digital omställning har blivit en prioritet för många banker som vill fortsätta att vara konkurrenskraftiga är det viktigt att de vidtar lämpliga säkerhetsåtgärder för att begränsa de potentiella riskerna förknippade med nya affärsmetoder och ny teknik. I detta sammanhang spelar även den utmanande cyberhotbilden en viktig roll, eftersom framsteg på digitaliseringsområdet skulle kunna undergräva bankernas operativa motståndskraft. På lång sikt förväntas digitaliseringen stärka bankernas konkurrenskraft, stärka deras affärsmodeller och göra dem mer motståndskraftiga mot konkurrens utanför banksektorn.
De snabba framsteg som observerats på teknikområdet – t.ex. framväxten av generativ artificiell intelligens (AI) – och de kraftiga ökningar som observerats i fråga om användning av sådan teknik i bankerna (där AI t.ex. används i både tillsynsmiljöer och andra miljöer) kräver ett strukturerat tillvägagångssätt. Banktillsynspersonal behöver utarbeta riktade strategier för att bättre förstå bankernas respons på de strukturella trender som formar sektorns framtid, t.ex. digitala plattformar, strategiska partnerskap och användningen av AI. ECB förordar därför en lämplig hantering av de risker som är förknippade med digitaliseringen och antagandet av bästa branschpraxis.
Prioriterad sårbarhet: Brister i strategierna för digital omställning
Strategiskt mål: Bankerna bör stärka sina digitaliseringsstrategier och tillhörande genomförandeplaner för att på ett korrekt sätt mildra underliggande risker, inbegripet risker som härrör från användning av ny/avancerad teknik som molntjänster och AI.
Enheter under tillsyn har gynnats av rekordhöga lönsamhetsnivåer, främst till följd av övergången från lågräntemiljö till positiva räntor, vilket har ökat räntenettomarginalerna. Bankerna har dragit nytta av högre inkomster samtidigt som de lyckas begränsa kostnadsökningarna och därigenom öka kostnadseffektiviteten (vilket framgår av kostnads-/intäktskvotens nedgång på senare tid). Dessa förbättringar hänger dock till stor del samman med yttre faktorer kopplade till det makrofinansiella klimat som bankerna är verksamma i, samtidigt som strukturella utmaningar som rör bankernas affärsmodeller kvarstår. Mot denna bakgrund kan enheter under tillsyn lockas att utnyttja dessa oförutsedda vinster för att ytterligare främja digitaliseringen och stärka sina ramverk för operativ motståndskraft.
De senaste åren har ECB:s banktillsyn prioriterat bedömningen av risker i samband med digitaliseringen av banksektorn. Tillsynsinsatser som marknadsinformation, riktade granskningar och inspektioner på plats har gjort det möjligt att bedöma bankernas goda praxis och identifiera viktiga aspekter för en hållbar, välstyrd och riskmedveten styrning av bankernas digitalisering. I juli 2024 offentliggjorde ECB:s banktillsyn en rapport om viktiga bedömningskriterier och god praxis på digitaliseringsområdet,[29] vilket gav tillsynspersonalen den grund de behöver för att upprätta ett helhetsbaserat ramverk för bedömning av digitalisering. ECB:s banktillsyn kommer att fortsätta sitt arbete på detta område genom att genomföra riktade inspektioner på plats och granskningar med fokus på viktig teknik, användningsfall och affärsområden i syfte att ytterligare fördjupa sin förståelse och fortsätta att förfina sin tillsynsmetod. Tillsynspersonalen kommer att samverka med banker för att följa upp resultaten enligt en tydligt fastställd upptrappningsmetod.
Huvudaktiviteter som del av arbetsprogrammet för dessa tillsynsprioriteringar
- Riktad verksamhet med fokus på hur bankernas digitala verksamhet påverkar deras affärsmodeller och strategier samt de risker som användningen av innovativ teknik ger upphov till
- Riktade inspektioner på plats av digital omställning, där man tittar på både IT-relaterade aspekter och affärsmodellsrelaterade aspekter av bankernas strategier
2.3 Ytterligare tillsynsverksamhet och uppföljning av tidigare prioriteringar
Utöver de tillsynsprioriteringar som fastställts för 2025–2027 kommer ECB:s banktillsyn att fortsätta utföra annan regelbunden verksamhet och andra engångsinsatser.
Uppföljning av åtgärder för korrigering som utförs som en del av det ordinarie tillsynsarbetet
Omfattande tillsynskontroller har genomförts under tidigare år och dessa har vissa att tidigare prioriteringar nu nått ett moget stadium där fokus i tillsynen flyttas från identifiering av viktiga sårbarheter till att faktiskt åtgärdande av de upptäckta resultaten. I detta avsnitt beskrivs de framsteg som har gjorts under de senaste åren och belyser de områden som fortfarande kräver uppmärksamhet, vilka kommer att följas upp genom regelbunden tillsynsverksamhet.
Under de senaste tre åren har tillsynspersonalen fokuserat på bankers ramverk för kreditriskhantering. Särskild vikt har lagts vid motståndskraften hos portföljer som är mer känsliga för den makrofinansiella situationen och/eller exponeras för refinansieringsrisker, t.ex. portföljer med bostadsfastigheter och kommersiella fastigheter. Bankerna har därför förbättrat sin förmåga att hantera en potentiell ökning av antalet låntagare med betalningssvårigheter i fastighetsportföljer. Vissa banker har dock fortfarande mer arbete att göra för att t.ex. uppfylla EBA:s riktlinjer om utgivning och övervakning av lån, ta tillräcklig hänsyn till låntagarnas refinansieringsrisker och snabbt uppdatera säkerhetsvärderingarna. Tillsynspersonalen har dessutom fortsatt att genomföra granskningar av interna modeller, vilket lett till en stor stock av resultat och åtgärder avseende interna ratingmodeller.
Den riktade granskning av hanteringen av motpartskreditrisker som genomfördes 2022 och de olika inspektioner på plats som genomförts under de senaste åren har identifierat väsentliga sårbarheter i bankernas riskhanteringsrutiner (stresstester, process och dokumentation för obeståndshantering osv.). Efter denna riktade granskning har de berörda bankerna lagt fram riktade handlingsplaner med sista inlämningsdag i slutet av 2025 för slutgiltiga saneringsåtgärder. I oktober 2023 publicerade ECB dessutom vägledning om sund praxis för styrning och hantering av motpartskreditrisker.[30]
Betydande tillsynsarbete har även utförts under 2024 för att åtgärda brister i ramverken för förvaltning av tillgångar och skulder. Riktade granskningar har gjorts för att undersöka möjligheterna till likviditetsberedskap och optimering av säkerheter, genomförbarheten av finansieringsplaner, ALM-styrning och ALM-strategier samt ränte- och kreditspreadrisker. Dessa har gjort det möjligt att identifiera brister bland annat i i) bedömning av säkerheter och monetarisering (okända belåningsbara säkerheter, alltför optimistisk tid för likviditet osv.), ii) antaganden som används vid modellering av prognoser för inlåning (överoptimism om framtida inlåningstillväxt, användning av förenklade modelleringsantaganden osv.), iii) ALM-modellers utfallstester, validerings- och omkalibreringsprocesser, och iv) allmänna styrningsramar för ALM (datastyrning, anpassningsförmåga hos informationssystem, kalibrering av limiter i riskaptitförklaringar osv.).
Åtgärdande av brister i bankernas ledningsorgans funktion har varit en tillsynsprioritering sedan 2020. Tillsynsverksamheten (som har omfattat riktade granskningar av ledningsorganens effektivitet och mångfald, inspektioner på plats och årliga uppgiftsinsamlingar) har avslöjat viktiga brister och kartlagt de framsteg som gjorts i arbetet med att åtgärda dem. Trots vissa framsteg inom mångfaldsområdet uppvisar vissa banker fortfarande brister när det gäller kollektiv lämplighet (bland annat vad gäller IT-expertis och styrelsens oberoende), successionsplanering samt kommittéernas funktion och sammansättning. Insikter från denna analys har legat till grund för uppdateringen av ECB:s vägledning om styrning och riskkultur, som ska publiceras i början av 2025 och beskriver tillsynsförväntningar för banker.
Framöver kommer tillsynspersonalen att fokusera på att konsolidera och åtgärda befintliga brister inom ovanstående områden i syfte att säkerställa full överensstämmelse med tillsyns- och regleringsförväntningarna. Tillsynspersonalen kommer att följa upp resultaten av tillsynsverksamheten och samarbeta med relevanta banker på individuell basis för att ta itu med kvarstående frågor (särskilt långvariga problem). Om saneringsarbetet inte sker i tid eller är tillräckliga kan tillsynspersonalen vid behov använda eskaleringsstrategier och fullt ut utnyttja den verktygslåda för tillsyn som står till deras förfogande.
Europeiska centralbanken 2024
Postadress 60640 Frankfurt am Main, Tyskland
Telefon +49 69 1344 0
Webbplats www.bankingsupervision.europa.eu
Alla rättigheter förbehålls. Återgivning för undervisningsändamål och icke-kommersiella syften är tillåten, under förutsättning att källan anges.
För specifik terminologi hänvisas till SSM glossary (finns endast på engelska).
HTML ISBN 978-92-899-6925-3, ISSN 2599-8528, doi:10.2866/4421853 QB-01-24-029-SV-Q
Se de aggregerade resultaten från ÖUP 2024, ECB, december 2024.
Se ”Makroekonomiska prognoser av Eurosystemets experter”, ECB, december 2024.
Se ”Makroekonomiska prognoser av Eurosystemets experter”, ECB, december 2024.
Se ”Makroekonomiska prognoser av Eurosystemets experter”, ECB, december 2024.
Se Financial Stability Review, ECB, november 2024.
Se ECB:s penningpolitiska utlåtande av den 12 september 2024.
Se Economic Bulletin, nr 7, ECB, 2024.
Se Sustainable finance: from ‘eureka!’ to action, inledningsanförande av Frank Elderson vid Sustainable Finance Lab Symposium on Finance in Transition den 4 oktober 2024.
Se Financial Stability Review, ECB, november 2024.
Se “Same same but different: credit risk provisioning under IFRS 9”, Working Paper Series, nr 2841, ECB, 2023.
Se “IFRS 9 overlays and model improvements for novel risks”, ECB, juli 2024.
Se de aggregerade resultaten från ÖUP 2024, ECB, december 2024.
Se även avsnitt 2.3 för information om annan planerad och pågående tillsynsverksamhet avseende kreditrisk.
Se Anneli Tuominens intervju med Börsen-Zeitung den 21 november 2023.
Se Global Financial Stability Report, IMF, april 2024.
Se Rise in outsourcing call for attention, Supervision Newsletter, ECB, februari 2024.
Se Global Financial Stability Report, IMF, april 2024.
Se de aggregerade resultaten från ÖUP 2024, ECB, december 2024.
Se Rise in outsourcing call for attention, Supervision Newsletter, ECB, februari 2024.
Se “Global rifts and financial shifts: supervising banks in an era of geopolitical instability”, inledningsanförande av Claudia Buch vid ESRB:s åttonde årliga konferens “New Frontiers in Macroprudential Policy” den 26 september 2024.
Se ”ECB avslutar stresstest om cyberresiliens”, pressmeddelande, ECB, 26 juli 2024.
Se MSCI Sustainability Instituts Net-Zero Tracker.
Se Risks from misalignment of banks’ financing with the EU climate objectives, ECB, januari 2024.
Se ‘Failing to plan is planning to fail’ – why transition planning is essential for banks, Tillsynsbloggen, ECB, 23 januari 2024.
Som beskrivs närmare i ECB:s Vägledning om klimat- och miljörelaterade risker från år 2020.
Se också You have to know your risks to manage them – banks’ materiality assessments as a crucial precondition for managing climate and environmental risks, Tillsynsbloggen, ECB, 8 maj 2024, och Nature-related risk: legal implications for central banks, supervisors and financial institutions, inledningsanförande av Frank Elderson vid ECBS:s rättskonferens 2024 den 6 september 2024.
Se “ESG data quality: Pillar 3 disclosures in focus”, Supervision Newsletter, ECB, februari 2024.
Se Risk data aggregation and risk reporting: ramping up supervisory effectiveness, The Supervision Blog, ECB, 15 mars 2024.
Se Digitalisation: key assessment criteria and collection of sound practices, ECB, 2024.
Se Sound practices in counterparty credit risk governance and management, ECB, oktober 2023.