Governance, Risk & Compliance EBA Guideline 44

Transkript

1 Governance, Risk & Compliance EBA Guideline 44 Sikkerhed & Revision konferencen 2012 den 6 september Jan Hedqvist FRM, KPMG

2 Depend upon it, Sir, when a man knows he is to be hanged in a fortnight, it concentrates his mind wonderfully Samuel Johnson 19 Sept KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative 1

3 Ett GRC-Framework Finansinspektionens fokusområden intern kontroll och styrning Sanktionsbeslut Verksamhetspåverkande regelförändringar på kort och lång sikt Vad kräver GL 44 EBA Guidelines gällande Internal Governance? Organisationsstruktur Styrelsens ansvar och sammansättning Stryrningsprinciper och kommittéer Utläggning (outsourcing) av verksamhet Riskhantering Riskaptit/Risktolerans Process för att godkänna nya produkter Intern kontroll Riskkontroll/CRO Regelefterlevnad (Compliance) Internrevision Kontinuitetsplanering och beredskapsplaner 2011 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative 2

4 Organisationsstruktur Lämplig och transparent struktur? Strukturen ska stödja och visa på en effektiv och bra ledning av ett företag, på såväl enskild som gruppnivå. Strukturen ska inte hota översynen av verksamheten eller effektiviteten i företagets riskhantering. I en gruppstruktur ska moderbolaget ha en adekvat intern styrning som tillförsäkrar att regelverket för styrning är adekvat. Gruppstrukturen ska inte motverka att lokala regler efterlevs. Strukturen ska säkerställa att eventuell komplexitet inte är ett hinder. 3

5 Styrelsens ansvar och sammansättning Styrelsen har det övergripande ansvaret och ska bestämma företagets strategi: Ansvaret ska dokumenteras i en arbetsordning. Huvudansvaret innebär följande; 1.Övergripande affärsstrategi som även omfattar företagets långsiktiga intressen. 2.Övergripande riskstrategi och policy innnefattande riskaptit/tolerans samt regelverk för riskhantering. 3.Kapitalplanering som täcker företagets alla risker. 4.En robust och transparent organisationsstruktur med effektiva rapporteringsrutiner. 5.Policy för ersättningsplanering för nyckelpersoner. 6.Ersättningsregelverk som överensstämmer med riskstrategierna. 7.Styrningsprinciper och uppföranderegler. 8.Adekvat och effektivt regelverk för intern kontroll som inkluderar funktioner för riskkontroll, regelefterlevnad och internrevision. Dessa policys och strategier ska revideras regelbundet av styrelsen. 4

6 Stryrningsprinciper och kommittéer: Utläggning (outsourcing) Styrelsen ska ha en policy för tillsättning av styrelsemedlemmar. Regler för undvikande av intressekonflikter och säkerställande av oberoende. Sammansättning av styrelsen ska säkerställa att rätt kompetens för att förstå verksamheten och riskerna i densamma finns. Arbetsordningen för styrelsen ska innefatta bl.a. mötesfrekvens, arbetsprocedurer, mötesprotokollföring, ordförandens roll samt kommittéstruktur. Styrelsens ordförande och företagets verkställande direktör bör inte vara samma person. Policy för utläggning ska fastställas och innehålla riskbedömning, uppföljning och rapportering samt avslut av utläggning. En särskild riskkultur ska skapas baserad på full förståelse av de risker företaget möter i sin verksamhet samt hur dessa styrs, kopplat till riskaptiten/toleransen. Regelbunden rapportering som garanterar att alla berörda får rätt rapport i rätt tid, med rätt innehåll för att identifiera, mäta, bedöma och övervaka risk fastställd av styrelsen. 5

7 Process för att godkänna nya produkter Policy fastställd av styrelsen som reglerar nya marknader, produkter, tjänster och ändringar desamma Policyn ska reglera vilka åtgärder som ska vidtas innan beslut, bland dessa; 1.Regelefterlevnad 2.Prismodeller 3.Påverkan på riskprofilen 4.Kapitalkrav och lönsamhet 5.Tillgängliga interna resurser för att förstå och hantera riskerna Riskkontrollen ska genomföra en riskbedömning som även innefattar företagets möjlighet att hantera eventuella nya risker. Riskkontroll ska ha full överblick över alla utrullningar av nya produkter och tjänster samt kunna kräva att dessa ska genomgå en fullständig process för godkännande. 6

8 Intern kontroll Varje finansiellt företag ska utveckla och upprätthålla ett ramverk för intern kontroll: Ramverket ska omfatta beskrivning av vilka oberoende kontrollfunktioner som finns. Ramverket ska tillförsäkra att det finns en klar, transparent och dokumenterad beslutsprocess med en klar ansvarsfördelning och makt att försäkra efterlevnad av externa och interna regler. De oberoende kontrollfunktioner som ska finnas är riskkontroll, regelefterlevnad och internrevision. Kontrollfunktionerna ska rapportera till styrelsen. Oberoendet tillförsäkras genom att: 1.Inga uppgifter utförs inom det område som ska övervakas och kontrolleras. 2.Kontrollfunktionen är organisatoriskt skild från de aktiviteter den ska övervaka och kontrollera. 3.Chef för kontrollfunktionen är underställd någon som inte ansvarar för något som ska övervakas eller kontrolleras. 4.Rapportering ska ske till styrelsen från dessa kontrollfunktioner. 7

9 Riskkontroll/CRO Varje företag ha en oberoende funktion för riskkontroll: Funktionen ska tillförsäkra sig att alla risker är identifierade och hanteras av berörd del av verksamheten. Funktionen ska redovisa analyser över alla risker till styrelsen samt om dessa hanteras i samklang med företagets riskaptit/tolerans. Funktionen ska också föreslå förbättringar av ramverket för riskhantering och förslag för att motverka brott mot policies, procedurer och limiter. Funktionen ska vara rådgivande till de verksamheter som ska ta riskbesluten. Funktionen ska delta i arbetet med företagets riskstrategi och förse styrelsen med riskinformation så att de kan fastställa företagets riskaptit/tolerans. Varje företag ska utse en Cheif Risk Officer (CRO). 8

10 Compliance Varje företag ska ha en policy och en funktion för regelefterlevnad: Funktionen ska rapportera alla brott mot regelefterlevanden till styrelse och funktionen för riskkontroll. Funktionen ska övervaka att alla interna och externa regler är kända och efterlevs. Funktionen ska vara rådgivande i frågor kring regelefterlevnad och också bedöma påverkan av förändringar i lagstiftning och tillsyn på företagets verksamhet. Funktionen ska också i processen för nya och förändrade produkter verifiera att dessa inte kommer i konflikt med ändrad lagstiftning eller tillsynskrav. 9

11 Internrevision Internrevisionen (IR) ska var en oberoende funktion direkt rapporterande till styrelse/ revisionskommitté. IR ska utvärdera om den interna kontrollen är effektiv och ändamålsenlig. IR ska bedöma verksamhetens efterlevnad av samtliga policys och procedurer. IR ska verifiera tillförlitligheten i alla modeller som används för att beräkna risk och de verktyg som används för att identifiera och värdera risk. Den årliga revisionsplanen ska baseras på en riskvärdering och godkännas av styrelse/revisionskommitté. 10

12 Kontinuitetsplanering och beredskapsplaner Alla informationssystem ska vara säkra, övervakade och stödjas av kontinuitetsplanering. Företagets IT-system ska leva upp till generella och accepterade IT-standards. Företaget ska utveckla kontinuitetsplaner som tillförsäkrar att företaget kan bedriva sin verksamhet fortlöpande och som begränsar effekterna om svåra störningar inträffar. Företaget måste därför genomföra analyser av exponeringen mot svåra störningar och definiera mål och prioriteringar för kontinuitetsplaneringen. Kontinuitetsplanerna ska möjligöra att företaget kan upprätthålla de mest kritiska affärsaktiviteterna även när de utsätts för störningar. Beredskapsplaner som gör det möjligt att återgå till normal verksamhet inom rimlig tid ska finnas. Återstående risk ska sammanfalla med företagets riskaptit/tolerans. All denna planering ska vara dokumenterad, testas regelbundet och uppdateras när förändringar i verksamheten sker. 11

13 The bitter taste of poor quality remains long after the sweet taste of low price is forgotten John David Stanhope 12

14 Jan Hedqvist KPMG FRM