En riskidentifiering flera användningsområden. GRC-dagarna 2017 Torbjörn Jacobsson & Stina Lindberg

Transkript

1 En riskidentifiering flera användningsområden GRC-dagarna 2017 Torbjörn Jacobsson & Stina Lindberg

2 Presentation Torbjörn Jacobsson CRO Avida Finans, Marginalen Bank Bakgrund: Ekonomi, IT och Risk Executive MBA Den anpassningsbare överlever - Den ökade regleringens effekter på svenska banker Brinner för: Affärsutveckling och ledarskap Stina Lindberg Head of Compliance Remium Bakgrund: Kvalitetskontroll och compliance Talat på Corporate Compliance 2016 Brinner för: Att alla blir Complianceambassadörer 2

3 Mål med dagens pass Målsättning Mycket diskussion Erfarenhetsutbyte Få tankar med sig hem utifrån ovan och våra exempel Pass 1 ( ) Introduktion bank & finans området Intressenter Metodik Riskkategorier Pass 2 ( ) Värderingsmodeller Kontroller Resultat 3

4 Regleringen höjer kraven på bankerna Otillräcklig / otydlig proportionering mellan större och mindre banker avseende regelverksutformning Högre krav på regulatorisk kunskap hos alla i banken Initialt stor osäkerhet i hur uppföljning av bankerna ska gå till blir tydligare och tydligare men fortfarande svår för mindre banker att veta vad som är tillräckligt Basel (Centralbanker) EU / EBA (European Banking Authority) Sverige (Lagstiftare/ Finansinspektionen) Banker 4

5 REGLERINGEN RISKHANTERING Centralbanker COSO G20 MAKROEKONOMI Stabilitetsrådet Makrotillsyn Bank KONSUMENTSKYDD REDOVISNING 5

6 Modellen tre försvarslinjer STYRELSE VD 1:a linjen 2:a linjen 3:e linjen Affärsverksamheten Riskkontroll och Regelefterlevnad Internrevision Riskidentifiering och riskhantering Implementering och uppföljning av interna kontroller Rapportera identifierade brister Följa gällande regelverk Oberoende funktioner Utbildning för verksamheten Vägledning och stöttning Riskhantering och ramverk Kontrollerar efterlevnaden Rapportering till VD/styrelse Oberoende granskningsfunktion Utifrån-perspektiv Utmanar processer Erbjuder vägledning Granskning av 1:a & 2:a linjen

7 Intressenter till riskidentifieringen 1a linjen Verksamheten Linjechefer prioriterar jag rätt Affärsansvariga/VD säkerställa lönsamhet och affärsmål Säkerhetschef vilka svaga länkar finns Informationssäkerhetschef var kan information läcka AML teamet att vi inte kan utnyttjas för penningtvätt 2a linjen kontrollfunktionerna Regelefterlevnad fungerar processerna utan regelbrott Riskkontroll har verksamheten koll på sina risker 3e linjen - internrevision Är processerna effektiva och ändamålsenliga Alla undrar: Var behöver vi sätta in våra begränsade resurser? 7

8 Diskussion! 1. Vilka intressenter har ni i er organisation? 2. Hur många av dom jobbar riskbaserat? 3. Hur många riskidentifieringar gör ni? 8

9 Våra utgångspunkter Använder ni samma metodik för alla riskidentifieringarna? En metodik Effektivitet Utgångspunkt i operativa risker Omvärlden ställer högre och högre krav Till slut trattar allt ner i pengar och prioriteringar 9

10 Pedagogik & Metodik Vad vill vi få fram? Varför vill vi få fram det? Hur ska vi få fram det? Pedagogik Metodik Det är en pedagogisk utmaning att skapa förståelse för den metodik vi vill använda för att få fram en heltäckande riskidentifiering, som ska ge en gemensam bild av läget. 10

11 Riskkategorier Standardiserade utgångspunkter Gör det lättare att komma på sina risker Hur många kategorier behöver din organisation? Kan de vara generiska oavsett bransch? Det finns fler olika listor att hitta, t ex: ORX Assosiation, Operational Risk Reporting Standards (ORRS) Edition 2011, revised 12 July 2012, version

12 Gruppövning 1. Titta igenom listan 2. Prioritera varje kategori i är viktigast 4 är minst viktig 3. Gör en lista i gruppen 4. Lämna listan till oss innan pausen Återsamling kl 14! 12

13 Riskkategorier Prio 1: x st Prio 2: x st Prio 3: x st Prio 4: x st Vilka kategorier fick prio 1? 13

14 Hur identifiera riskerna? Skrivbordsanalys inklusive indikatoranalys (incidenter, klagomål, etc) Enkäter Intervjuer Workshop med alla intressenter 14

15 Vad gör vi med den identifierade risken? Riskkategori (en eller flera) En riskägare Var i processen Värdera risken Sannolikhet Konsekvens Vad reducerar risken?

16 Värderingsmetod av identifierade risker

17 Vilka frågor/risker är viktigast? Sannolikhet Hög Medel Låg Låg Medel Hög Konsekvens 17

18 Metod - Nej, inte en fungerande metod Allt är hög risk Ingen förstår något! 18

19 Metod strukturerad Inneboende risk Kontroller Residualrisk Gissa sannolikhet och konsekvens Gissa hur bra de är Gissa hur mycket risk det är kvar Sannolikhet Hög Medel Låg Risk #1 Låg Medel Hög Konsekvens Formel: (Gissa x Gissa) (Gissa x Gissa) = Sanning!? 19

20 Metod Tydligare begrepp Inneboende risk Kontroller Residualrisk Sannolikhet x Konsekvens Design x Funktionalitet Sannolikhet x Konsekvens Sannolikhet Hög Medel Låg Risk #1 Låg Medel Hög Konsekvens Formel: (Sannolikhet x Konsekvens) (Design x Funktionalitet) = Sanning!? 20

21 Bedömningen = nyckeln och svårigheten Låg, Mellan och Hög räcker inte för ett bra prioriteringsunderlag Sannolikhet x Konsekvens (omvandlat till pengar) = Risk Skala Sannolikhet Konsekvens 9 Flera gånger per månad Bolagets existens äventyras 8 Flera gånger per kvartal Sanktionshot och/eller mycket negativ publicitet (omfattande tapp av kunder) 7 Flera gånger per år Allvarlig kritik från myndigheter (Stort tapp av kunder) 6 En gång per år Kritik från myndigheter och/eller kraftigt tapp mot affärsmålen 5 En gång var 24:e månad Negativ publicitet (Kundpåverkan inkl tapp av kund) 4 En gång var 36:e månad Understigande av affärsmålen (Kundpåverkan utan tapp av kund) 3 En gång var 60:e månad Långvarigt avbrott (med kundpåverkan) 2 En gång vart tionde år Långvarigt avbrott (utan kundpåverkan) 1 En gång vart tjugonde år Mindre störning (utan kundpåverkan) 21

22 Kontrollutvärdering Design = Kontrollens utformning och hur väl denna är anpassad för att reducera risken Funktionalitet = Hur väl kontrollen används, och om den används på det sätt som den är utformad för Design x Funktionalitet = Kontrolleffektivitet, dvs hur väl den uppfyller sitt syfte att reducera risken 22

23 Kontrolltabell Använda en annan skala? Skala Design 1 Även om kontrollen används som tänkt erbjuder den inte det tänkta skyddet 2 Kontrollens design är relativt begränsad till att reducera risken, men täcker ändå vissa delar 3 Kontrollens design är relativt väl anpassad för att reducera risken 4 Kontrollen är utvecklad specifikt för att reducera risken Funktionalitet Kontrollen används inte, eller används bristfälligt Kontrollen används endast ibland, eller endast delvis på det sätt som den är ämnad för Kontrollen används oftast, men ibland utförs den inte eller inte på det sätt som den var tänkt att göra Kontrollen används på det sätt som den designats för Design x Funktionalitet = Kontrollens effektivitet 23

24 Diskussion 1. Vilken skala bör man använda (3-9 steg)? 2. Inneboende risk, kontroller, resudialrisk; Blir det för komplicerat? Erfarenheter? 3. Hur sätter man pengar på skalan? Vad kopplar man det mot, omsättning? 24

25 Enas om en metod En lista som ägs av riskägaren (oftast linjechefen) Ger en samlad enad syn på förutsättningarna Varje funktion kan titta på den utifrån sina behov och därmed prioritera sitt arbete riskbaserat Det går att omvandla till en riskaptit från styrelse/ledning, dvs hur mycket får gå fel Ger ett underlag för prioritering av förbättringar 25

26 Summering En metodik ger samsyn och effektivare hantering Låg, Medel, Hög räcker inte för prioritering Skapar underlag för bättre samarbete och underbyggda prioriteringar 26

27 Tack!