Riskbaserat arbetssätt för Compliance Viveka Strangert, Chief Compliance Officer Swedbank

Transkript

1 Riskbaserat arbetssätt för Compliance, Chief Compliance Officer Swedbank

2 50 minuter om: Några begreppspar, t.ex.: Brist och risk Osäkerhet och risk Sannolikhet och konsekvens Från osorterat riskkaos till strukturerad risklista Hur får man en magkänsla man kan stå för Några utmaningar 2

3 BRIST RISK En negativ händelse som har inträffat Består av två komponenter: En negativ konsekvens Sannolikheten för att konsekvensen inträffar Identifieras vid monitorering Uppskattas vid riskbedömningen Basen för vår rapportering där vi också anger: Konsekvens Rekommenderad åtgärd Basen för vår prioritering av resurser (dvs. complianceplanen) 3

4 Definitionen risk kan appliceras på många områden: Risk för naturkatastrof Risk för matförgiftning Risk för flygolycka Risk för klimatförändring Risk för kärnkraftsolycka Risk för utfiskning Risk för kreditförlust Risk för ryktesförlust Risk för regelverksöverträdelse (Compliancerisk) 4

5 Vad är en compliancerisk? Compliancefunktionen ska identifiera vilka risker som finns för att företaget inte fullgör sina förpliktelser enligt lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten övervaka och kontrollera efterlevnaden av dels lagar, förordningar och andra regler, dels relevanta interna regler FFFS 2014:1, 8 kap. 3 därför blir definitionen av compliancerisk: risken för att företaget inte fullgör sina förpliktelser enligt de regler som gäller för den tillståndspliktiga verksamheten (Jämför dock definitionen i GL 44) 5

6 Compliancerisk består av två komponenter 1. Negativ händelse (att vi överträder någon regel) Exempel: Vi följer inte lagens krav att kontrollera vår kunds identitet (LPF 2 kap. 3, p. 1) 2. Sannolikheten för att den negativa händelsen inträffar Exempel: Tidigare stickprov visar att vi inte kontrollerar kundernas identitet i 5 % av fallen, därför kan vi anta att för varje enskild kund är risken 5 % att vi inte följer lagen 6

7 Komponent 1: Negativ konsekvens Vi känner inte våra kunder Vi följer inte LPF och dokumenterar inte KYC vilket kan leda till att vi har kunder som omfattas av finansiella sanktioner i vår kundbas Vi följer inte Governance Policyn vilket kan leda till att banken inte styrs i enlighet med styrelsens och VD:s intention Konfidentiell information sprids Viktiga beslut fattas utan mandat Vi följer inte LVPM och Chinese walls upprätthålls inte mellan enheter inom LC&I vilket kan leda till att insiderinformation utnyttjas olagligt 7

8 Komponent 2: Sannolikhet (exempel) Vi känner inte våra kunder Vi dokumenterar inte KYC tidigare granskningar visar att ca 13 % är otillräckligt dokumenterade Governance Policyn följs inte vi har sett fall där individer har fattat beslut utöver sitt mandat Konfidentiell information sprids Viktiga beslut fattas utan mandat Chinese walls upprätthålls inte mellan enheter inom LC&I vi har tidigare monitorerat detta utan att hitta några brister 8

9 Vi bjuder offentliganställda på flott middag Råden dokumenteras inte Konfidentiell information sprids Viktiga beslut fattas utan mandat Våra kunder får inte rätt information Vi känner inte våra kunder Interna regler uppdateras inte 9

10 Vi bjuder offentliganställda på flott middag Vi känner inte våra kunder Det finns ett antal risker inom visst område Råden dokumenteras inte Konfidentiell information sprids Interna regler uppdateras inte Viktiga beslut fattas utan mandat Riskbedömningen strukturerar och sorterar Våra kunder får inte rätt information Beslut om fördelning av Compliance resurser 10

11 Val av modell för riskbedömning

12 Grov eller detaljerad analys? Hur mogen är compliancefunktionen? Hur mycket vet ni om det specifika området? Vad ska riskbedömningen användas till? Vilka resurser har ni? 12

13 Kvalitativ eller kvantitativ? Kvantitativ analys kräver kvantifierbara sannolikheter och konsekvenser ovanligt för compliancerisker att kunna sätta exakta siffror på risker! Kvalitativ analys är ofta det enda möjliga 13

14 Deterministisk eller probabilistisk metod? Deterministisk metod Konsekvensbaserad Beaktar värsta tänkbara konsekvens Enkel att genomföra Enkel att presentera Kan leda till felaktiga prioriteringar Probabilistisk metod Tar hänsyn till sannolikhet Ger bra beskrivning av riskerna och bra beslutsunderlag Kräver stora resurser Resultatet är osäkert 14

15 Riskbedömningens tre steg Steg 3: Värdera riskerna Steg 2: Beakta kontroller Steg 1: Få grepp om tänkbara risker 15

16 Steg 1: Få grepp om tänkbara risker

17 Förberedelser: informationsinsamling Tidigare rapporterade compliancebrister Incidenter och förluster Kundklagomål Revisionsrapporter Nya regelverk Affärsplaner och aktivitetsplaner Förändringar i organisationsstrukturen Rapporter från FI och andra myndigheter Etc 17

18 Workshop Gärna deltagare med olika kompetens och erfarenhet överväg att bjuda in någon från verksamheten eller från annan complianceenhet 8 12 deltagare är optimalt antal Utgå inte från att någon har förberett någon (även om det vore önskvärt) Utse en facilitator som Tydliggör målet och påminner om det när det behövs Håller koll på tiden Tar noteringar Bryter av diskussioner om de blir för långa 18

19 Några regler under brainstormingfasen Ju fler idéer (risker) desto bättre, sök kvantitet inte kvalitet Inga inspel får dömas eller kritiseras under brainstormingfasen, uppmuntra alla att tänka utanför boxen Bygg vidare på andras idéer/ risker Inte för långa diskussioner om enskilda idéer/ risker och fastna inte i resonemang kring kontrollernas effektivitet etc. Ha kul 19

20 Avsluta och samla ihop idéerna Avsluta och påminn om att om någon kommer på en ny risk senare så är det inte för sent Facilitatorn dokumenterar alla identifierade risker Ta en paus och boka in en fortsättning för steg 2 och 3 20

21 Steg 2: Beakta interna kontroller

22 Inneboende risk vs residualrisk (exempel) Risken att någon stjäl din bil Inneboende risk: Hur stor är risken att någon stjäl din bil när den är på gatan, utan larm, utan lås och nyckeln är i startläge? Kontroller: Bilen står i garage, alarm finns och är påslaget, dörrarna är låsta och nyckeln ligger i din ficka Residualrisk: Hur stor är risken att någon stjäl din bil när den står i garaget, alarmet är påslaget, dörrarna låsta och nyckeln ligger i din ficka? 22

23 En intern kontroll: En process ingen början eller slut Personberoende, utförs av alla personer i en organisation, oberoende av nivå (inte något som står i interna regler) Ger en rimlig försäkran att saker fungerar (inte en absolut försäkran) Länkat till ett av organisationens mål (exempelvis regelefterlevnad) 23

24 Kontroller En kontroll ska: Eliminera eller reducera risken Vara manuell eller automatisk Förebygga risken (inte upptäcka bristen i efterhand) Vara effektiv och integrerad i affären Kontroller kan utföras av Compliancefunktionen, första linjen eller annan funktion 24

25 Kontroller Exempel på kontroller utförda av annan: Interna regler Systemstöd med spärrar Rutiner som innehåller dualitet Utbildning Exempel på kontroller utförda av Compliance Funktionen Interna regler Löpande monitoreringar, ex. av KYC kvalitet, dokumentation av investeringsrådgivning Transaktionsmonitorering Utbildning 25

26 Avgörande för en kontrolls effektivitet är Hur robust är den, dvs. hur lätt kan den kringgås? Hur snabbt kan den identifiera fel finns tid att att rätta till? Hur klarar den att hantera det oväntade, dvs. risker som inte identifierats än? 26

27 Residualrisksmatematik Inneboende risk - Kontroller = Sammanvägd residualrisk 27

28 Steg 3: Värdera och rangordna residualrisker

29 Varför värdera riskerna? Underlag för kommunikation till styrelse och ledning Underlag för beslut om prioritering av complianceresurser Indirekt ett underlag för beslut om bedömning av resursbehov för compliance och verksamheten Underlag för ev. senare beslut om omprioriteringar 29

30 Konsekvens x Sannolikhet Critical/ Major/ Limited/ Minor 30

31 Magkänsla kräver tydliga kriterier Vi måste kunna förklara basen för vår bedömning av: Konsekvens Sannolikhet Sammanvägningen 31

32 Konsekvenser Samma bedömningskriterier som när vi graderar en brist Kriterier som vi tar hänsyn till: Systematiskt? Personliga böter för VD och styrelse? FI är tillsynsmyndighet? Vad skulle FI tycka? Konsekvens för kunder, stabilitet, samhället? Tidigare respons hos ledning (om känd risk)? 32

33 Sannolikhet är svårare Tidigare monitoreringsresultat KYC kvalitet Dokumentation av investeringsrådgivning Incidenter och whistle blowers Kvalitativa expertbedömningar Workshops Felträdsanalyser Uppskattning av tänkbara, men inte osannolika händelser etc. 33

34 Sammanvägning och osäkerhet Osäkerhet i bedömningen är ofrånkomlig Ju mindre kunskap om sannolikhet desto högre vikt ger man ofta konsekvensen Viktigt att osäkerheten presenteras och förklaras för beslutsfattaren 34

35 Slutprodukt

36 Slutprodukten är en strukturerad lista Riskerna delas in utifrån: Affärsområde/ enhet/ dotterbolag Riskområde (ex. etik, kundskydd, governance) Risknivå Vi har valt att ha en fyrgradig skala: Minor Limited Major Critical 36

37 En pågående process Riskbedömning Resultat = underlag för riskbedömning Årsplan Genomförande av monitorering Aktiviteter, ex. monitorering 37

38 I en stor koncern behövs koordinering Riskbedömning Riskbedömning Riskbedömning Riskbedömning Resultat = underlag för riskbedömning Resultat = underlag för riskbedömning Årsplan Resultat = underlag för Årsplanriskbedömning Årsplan Riskbedömning Genomförande av monitorering Resultat = underlag Aktiviteter, ex. Genomförande för monitorering av monitorering riskbedömning Aktiviteter, ex. monitorering Genomförande av monitorering Aktiviteter, ex. monitorering Resultat = underlag för riskbedömning Årsplan Årsplan Riskbedömning Riskbedömning Riskbedömning Genomförande av monitorering Aktiviteter, ex. monitorering Resultat = underlag för riskbedömning Resultat = underlag för riskbedömning Årsplan Årsplan Resultat = underlag för riskbedömning Årsplan Genomförande av monitorering Genomförande av monitorering Genomförande av monitorering Aktiviteter, ex. monitorering Aktiviteter, ex. monitorering Aktiviteter, ex. monitorering Genomförande av monitorering Aktiviteter, ex. monitorering 38

39 Några av våra utmaningar Minska problem med osäkerhet i riskbedömningen Effektivisera koordineringen Hitta relevanta IT-verktyg 39

40 Tack för er uppmärksamhet!