Hantera föreskriften för operativa risker

Transkript

1 Hantera föreskriften för operativa risker SAS Enterprise Governance Risk & Compliance

2

3 Föreskrifterna och SAS Enterprise Governance Risk & Compliance De nya föreskrifterna från Finansinspektionen avseende hantering av operativ risk och föreskrifterna om styrning, riskhantering och kontroll är betydligt mer detaljerade i kraven kring hanteringen än tidigare gällande lagstiftning. För de allra flesta institut som omfattas av lagstiftningen betyder reglerna att befintliga processer kan behöva förbättras och i många fall även att nya processer behöver sättas på plats. Genom att applicera en gemensam plattform för alla de kvalitativa processerna som regelverket kräver, säkerställs arbetsflöden, ansvar tydliggörs, genomförande, beslut och ändringar dokumenteras. På så sätt erhålls kvalitet, tydlighet och överblick i arbetet. Manuellt arbete med att samla ihop och sammanställa information minimeras och fokus kan istället läggas på att analysera resultaten och på att förbättra de ramverk och processer som finns på plats. SAS Enterprise Governance Risk & Compliance (SAS EGRC) är en integrerad lösning för att standardisera och hantera icke-finansiell risk som operativ och strategisk risk. Även information från finansiella riskhanteringssystem (t ex kredit risk, likviditets risk mm.) kan konsolideras för att skapa en företagsövergripande bild av organisationens exponering för risk och regelverksefterlevnad. I samma lösning hanteras övriga stödjande processer som åtgärdshantering, kontroller och monitorering för alla riskområden. Lösningen är flexibel och kan anpassas efter ramverk som t ex; COSO, ISO 31000, ISO och företagsspecifika behov. SAS EGRC är utvecklad för att ge stöd för risk, compliance och internrevision, genom att möjliggöra standardisering och integrering av mycket information och processer i en gemensam plattform. Bild: Översikt över SAS OpRisk Solutions som utöver SAS EGRC funktionella moduler, integrerade datahantering och rapporteringslager även innehåller tilläggsmodulerna: SAS OpRisk VaR för riskmodellering och SAS OpRisk Global Data, databas med externt publikt incidentdata.

4 Funktionella moduler: SAS EGRCs många funktionella moduler är utvecklade för att flexibelt kunna anpassas efter processer och behov. Dessutom finns möjlighet att utveckla ytterligare funktionella moduler (custom objects), eventuellt med utgångspunkt från någon av de existerande modulerna. Kortare beskrivningar av de funktionella moduler som i standard medföljer lösningen: Riskhantering (Risk & Control Assessment) Anpassningsbart stöd för riskhanteringsprocessen; riskidentifiering, självutvärdering av risk och kontroll, risk och åtgärdsbeslut länkat till åtgärdshantering Risk och Kontrollbibliotek, med kraftfull funktion för sortering, filter och sökning Hanterar all riskinformation som t ex orsaker, riskägare, begränsande controller, riskkategorier, risklimiter, utvärderingsmått/skalor mm. Stödjer mappning av risk till flera dimensioner/hierarkier, t ex organisation (funktionell resp. legal organisation), processer, intern resp. Basel risk kategori och många fler. Förenklar överblick och rapportering i flera dimensioner Händelserapportering (Incident Management) Stödjer händelserapportering; inrapportering, utredning av händelser/incidenter och förlustvärdering Arbetsflödet kan sättas upp flexibelt baserat t ex på händelsetyper och gränsvärden för eskalering/validering. Flera parallella processer för olika typer av händelser kan hanteras, t ex för säkerhetsincidenter, kundklagomål, IT incidenter mm. Hanterar all händelseinformation och kategorisering t ex förlust resp near-miss, händelsetyper (intern/basel), finansiell och icke-finansiell förlust, eventuellt återhämtande/försäkring, allokering Stödjer konfidentiell händelserapportering samt kan sättas upp för whistleblower Incidentdata från andra system kan läsas in till SAS EGRC Åtgärdshantering (Mitigation Management) För GRC övergripande åtgärdshantering, dvs åtgärder kan länkas till alla moduler t ex åtgärder för att hantera, risk, händelser, alarmerande riskindikatorer eller annat Flexibelt innehåll och arbetsflöde för åtgärder, vilka kan anpassas för olika områden Hanterar all information för åtgärdshantering som t ex ägare, tidplan, kostnad, färdigställande Kan initieras manuellt eller automatiskt Flera åtgärdsplaner kan länkas samman, eventuellt med ett problemområde (issue) som sammanhållande faktor

5 Riskindikatorer (KRI Key Risk Indicators) Ramverk för att specificera indikatorer på central och lokal nivå, indikatorer kan länkas till ett eller flera objekt, t ex den risk som indikatorn är assossierad med Indikatorer kan vara prediktiva/reaktiva, flexibelt sättas tillåtna värdesintervall och gränsvärden KRI observationer kan läggas in manuellt eller via automatiska datainläsningar. KRI observationer kan baseras på enstaka värden eller vara beräknade Överträdelse av KRI gränsvärden kan användas för att initera notifieringar eller eskaleringar Scenarier (Scenarios) Förenklat stöd för självutvärdering för utvärdering av risk kopplat med scenario Stödjer rare event och bucketed värdering Kontrolltest (Control Testing) Hantering av testprocess, inklusive skapande och schemaläggande av kontrolltest, genomförande av test och dokumentation av testresultat med möjlighet för certifiering av kontroller Test kan sättas upp för annat än kontroller, t ex av beredskapsplaner, kontinuitetsplaner mm. Test kan sättas upp att ske med automatik Summeringsrapporter över genomförande och resultat av test kan sättas upp Regelverkshantering (Policy Management) Hanterar livscykelprocess för dokument som t ex Styrdokument, Policys, Avtal mm. Flexibel dokument livscykel inkluderande t ex Skapa, Revidera, Godkänna, Kommunicera, Acceptera... Hanterar all information kring dokument som t ex version, ägare, revisionsintervall mm. Möjliggör länkning av t ex policy med övriga objekt som t ex lagar och regler, de risker den avses hantera Uppdragshantering (Audit Management) För att hantera till exempel uppdrag för internrevision och compliance Uppdrag kan omfatta självutvärderingar, controlltest mm och uppgifter kan delegeras Dokumenterar resultat av uppdrag och möjliggör initiering av åtgärder kopplade till resultaten Ytterligare funktion (Custom objects) Det är möjligt att lägga till ytterligare funktionella moduler, dessa kan antingen utgå från någon existerande modul, vara en kombination av moduler för ett visst ändamål eller vara helt ny utvecklad funktionalitet. Lösningen är flexibel i att sätta upp arbetsflöden med anpassade gränssnitt och kan därför appliceras på i stort sett vilket kvalitativt flöde som helst. Några exempel:

6 Kombination av ovanstående moduler för specifik grupp/ändamål t ex risk, incident och åtgärdshantering för Info säkerhet Utredning/Ärendehantering för olika ändamål Business Continuity Management funktionalitet Risklimit hantering Investingsbeslutsprocess Dashboards & Rapportering Möjliggör riskrapportering för alla integrerade GRC processer, både kundspecifika och ett antal fördefinierade standardrapporter Innehåller out of the box rapporteringsmart och färdiga informationsmappar för olika ändamål SAS BI plattform med komplett rapportering, analys, dashboard och portalfunktion ingår, vilket ger möjlighet att ta fram i stort sett vilken rapport som helst Olika gränssnitt för olika typer av användare, från enkla wizard drivna rapporteringsgränssnitt till avancerade analysgränssnitt för expertanvändaren Microsoft integration,för att generera rapporter i MS Word, Excel och PowerPoint Information och rapporttillgång kan sättas beroende av användare, roll och tillhörighet Unik 360 länkrapport som visar relationerna mellan länkade objekt, t ex för en specifik risk Se grafiskt vilka controller, orsaker, test och assessments som är länkade till risken: Bild: Out-of-the-box 360 länkrapport

7 SAS Standardfunktionalitet som ingår i SAS EGRC EGRC Databas och referensdatahantering Användarvänligt gränssnitt för att skapa och underhålla hierarkiska dimensioner (t ex organisation, process, risktyp, kontrolltyp) för hantering och rapportering Tillåter upp till 23 hierarkiska dimensioner, med upp till 10 nivåer och obegränsat antal noder Mapping mellan dimensioner, t ex arbeta med interna risktyper och rapportera med Basel risktyper Workflow stöd för processer, larm, notifieringar och eskalering Workflow stöd kan appliceras på alla processer Arbetsflöden kan sättas olika för olika typer av processer, för olika enheter eller bero på allvarlighet eller annan parameter Larm och notifieringar kan skapas automatiskt och levereras i en task list och via . Det är möjligt att även sätta upp SMS notificatieringar Regelbaserad automatisk eskalering Monitorering Möjlighet att sätta upp löpande och automatisk monitorering av GRC information; t ex kontrollfunktionalitet, risk och performance indikatorer Monitorering kan automatiskt generera larm för ökande risk, överskridna risklimiter fallerande kontroller mm. Data Integration Lösningen innehåller komplett funktionalitet för data integration och data från i stort sett alla källor kan integreras, t ex ekonomisystem, andra risk och incidentsystem, konsortiedata och för automatiskt födande av risk och performance indikatorer Funktionalitet för att extrahera, transformera och ladda data Hantering av datakvalitet Ger verksamhetspersoner möjlighet att integrera med Excel datakällor på ett säkert sätt Tilläggsmoduler: SAS Global Data Extern databas för publika op risk händelser SAS OpRisk VaR Riskmotor för Intern modell av OpRisk

8