Vikten av Intern Kontroll Risk Management för IT

Transkript

1 Vikten av Intern Kontroll Risk Management för IT Elisabeth Antonsson 18 November 2010

2 Sweden Branches 282 Customers 3,845,000 Total lending EUR 64bn Market rank 2-3 Norway Branches 122 Customers 839,000 Total lending EUR 40bn Market rank 2 Denmark Branches 384 Customers 1,601,000 Total lending EUR 66bn Market rank 2 Finland Branches 351 Customers 3,134,000 Total lending EUR 52bn Market rank 1 Lithuania Branches 19 Customers 98,000 Total lending EUR 2.3bn Market rank 4 Latvia Branches 21 Customers 71,000 Total lending EUR 2.9bn Market rank 4 Estonia Branches 20 Customers 77,000 Total lending EUR 2.1bn Market rank 3 Poland Branches 115 Customers 1,282,000* Total lending EUR 3.9bn Market rank 13 Russia Branches 52 Customers 44,000 Total lending EUR 3.6bn Market rank 30 European Private Banking Customers 11,000 Total AUM EUR 8bn Market rank 1 Nordic in Luxembourg Incl. Polish Life customers 2

3 The Nordea history NBH Latvia PostgirotBank International Moscow Bank Bank Komunalny Lithuania LG Petro Kredyt tbank Estonia Sampo Polska Tryg Orgres Bank Vesta BWP 3

4 När det inte fungerar som tänkt.. 4

5 När det inte fungerar som tänkt. 5

6 När det inte fungerar som tänkt. 6

7 Vad är intern kontroll? Att din verksamhet bedrivs så att dina mål uppnås Att finansiell och verksamhetsrelaterad information är tillförlitlig och fullständig Att drift och förvaltning av informationssystem är effektiv Att din verksamhet bedrivs i enlighet med tillämpliga lagar, externa regler, och avtal samt interna policies, instruktioner och andra interna regler Att organisationens tillgångar skyddas från förluster Känna till och vara medveten om risker 7 Svensk Bolagskod SOX sektion 404 FI FFFS 2005:1 EuroSox direktiv 8 (2006/43/EG) ABL

8 Din roll Det är du som verksamhetsansvarig, oavsett nivå, som är ansvarig för att ha intern kontroll Du ska tillsammans med din chef och/eller andra stödfunktioner i organisationen se över vilka kontroller som bör finnas på plats Styr och sätt mål Organisationens mål och strategi IT-mål och IT-strategi Aktiviteter Följ upp 8

9 Vad är konsekvensen för den som inte tar sitt ansvar för intern kontroll? Regelbrott hanteras av compliance-kommitten eller motsvarande i organisationen Byte av tjänst, prick, varning, avsked/uppsägning Ineffektivt och kostsamt om alla ska göra på sitt sätt Dvs följ regler och SOP så undviks misstag Förlorat förtroende på marknaden Du ökar dina risker! 9

10 Operativ risk Risken för förluster till följd av att interna processer och rutiner är felaktiga eller inte ändamålsenliga, mänskliga fel, felaktiga system eller externa händelse inklusive legala risker Finansinspektionen FFFS 2005:1 10

11 Hur får man intern kontroll? Känn till dina risker Riskanalyser Självutvärderingar Gör uppföljning av viktiga steg i processer Känn till externa regler som gäller för ditt område Följer din verksamhet dem? Behöver ni skapa interna regler? Tydliggör roller och ansvar Dualitetsprincipen Säkerställ genom kontroller för informationssäkerhet och fysisk säkerhet kontinuitet i verksamheten och skydda verksamhetens tillgångar Se till att informations- och rapporteringssystem säkerställer aktuell och relevant information 11

12 Vilka verktyg har du? Löpande månadsuppföljning av budget Löpande uppföljning av satta mål Löpande uppföljning av aktiviteter Löpande uppföljning av kontroller inom t ex IT Plattformsgranskningar Virusskydd aktivt Servrar, laptop mm patchade Standardisera BC-planer Applikationskontroller förebyggande, korrigerande, detekterande Revisionsrapporter Incidenter 12

13 Riskhantering - verktyg och processer Risk Self Assessment Financial, reputational, process, regulatory, legal, probability, risk development Group Risk Map Internal Control Checklist Group ICC scoring Quality Risk Assessment 4 3,5 3 2,5 2 1,5 1 0,5 0 Nordea Avg.score Access control AML & ATF Business continuity Client handling Conflict of interests Corporate governance Data protection Gifts & benefits Insider rules Internal processes Prudent banking Incident reporting Group Level Report Product Approval Group Level 4 3,5 3 2,5 2 1,5 Nordea Avg.score 1 0,5 0 Access control AML & ATF Business continuity Client handling Conflict of interests Corporate governance Data protection Gifts & benefits Insider rules Internal processes Prudent banking 13 Semi Annual Operational Risk Group Level report report

14 Några tips på vägen Gör en riskanalys för att ta reda på var din känsligaste verksamhet finns Se över kontrollerna och fundera på påverkan samt sannolikhet för att någon kontroll brister Tänk utifrån om kontrollen inte finns skulle man kunna.. Kontroller av olika typ Preventiv, upptäckande, åtgärdande, hindrande Mät det som är relevant för din organisation Utgå från ett ramverk om du behöver hjälp 14

15 Elisabeth Antonsson Senior Risk and Compliance Officer Nordea 15