RISKACCEPTANS INOM COMPLIANCE VIVEKA STRANGERT
50 minuter om Skärpta krav på kontroll av compliancerisk Compliancerisk, aptit och limiter Innebörden av riskbaserat arbetssätt för Compliance men även lite om orealistiska förväntningar, gamla filosofer och felbyggda rondeller 2
FFFS 2014:1 skärper kraven 3
Riskaptit Ett företag ska ha en dokumenterad riskaptit som omfattar företagets alla slag av risker. FFFS 2014:1, 2 kap. 3 4
Limiter och mandat Ett företag ska sätta tydliga gränser (limiter och mandat) för den som ska fatta beslut inom ramen för företagets riskaptit. FFFS 2014:1, 5 kap. 7 5
Förväntansbild 6
Realitet 7
Frågor Vad är compliancerisk? Går compliancerisk att mäta? Går det att kvantifiera? Hur mycket compliancerisk kan en styrelse acceptera (ha aptit för)? Kan ett företag säga sig acceptera regelöverträdelser alls? Många andra frågor 8
En kort filosofisk utvikning 9
John Stuart Mill (1806 1873) Konsekvensetiker Utilitarist Handlingar är rätt eller fel beroende på dess konsekvenser Största möjliga lycka åt största möjliga antal människor 10
Immanuel Kant (1724 1804) Pliktetiker Det moraliskt riktiga är att handla i enlighet med plikterna Exempel på plikter: inte döda, inte stjäla, inte ljuga 11
Lagstiftaren en utilitarist Handlar genom att stifta lagar En konsekvensanalys är grunden Väger nyttan för samhället i stort mot bördan för den det drabbar 12
Banken en pliktetiker Handlar genom att följa reglerna Analyserar och anpassar verksamheten efter gällande externa regler Konsekvenserna av att inte följa reglerna är inte avgörande för hur man handlar 13
Compliancefunktionen ska identifiera vilka risker som finns för att företaget inte fullgör sina förpliktelser enligt lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten övervaka och kontrollera efterlevnaden av dels lagar, förordningar och andra regler, dels relevanta interna regler FFFS 2014:1, 8 kap. 3 14
Definition av compliancerisk Risken för att företaget inte fullgör sina förpliktelser enligt de regler som gäller för den tillståndspliktiga verksamheten 15
Aptit och limiter för compliancerisk 16
Riskaptit inga systemfel accepteras 17
18
Exempel på brott mot riskaptiten Produkt som inte är förenlig med lag Felbyggda IT-system Felaktig process för on-boarding Fler än hälften av de anställda gör fel 19
Aptiten bryts ned i limiter Limiterna indikerar när bankens system inte fungerar Limiterna måste kalibreras så att de inte indikerar för enskilda överträdelser, utan bara när hela systemet svajar Stegvisa limiter beroende på hierarkisk nivå 20
21
Compliance arbetar riskbaserat 22
Compliance arbetsflöde Planering Uppföljning Kontroll och mätning Rapportering Tolkning Orsaksanalys 23
Planering Follow-up Planning Control and measuring 1. Prioritera regelverken Reporting Root cause analysis Evaluation 2. Bedöm risken för regelverksbrott 3. Bestäm aktivitet 24
Planning Kontroll och mätning Kvalitativa kontroller är regel Follow-up Reporting Root cause analysis Control and measuring Evaluation Kvalitativa kontroller omvandlas till ett kvantitativt resultat Rapporteringen bör ändå vara kvalitativ 27
Tolkning Follow-up Planning Control and measuring Reporting Evaluation Root cause analysis Alla resultat är relativa i förhållande till vad? I avvaktan på att historiska data skapas kan trender eller variationer rapporteras 28
Utmaningar 29
Några utmaningar Är riskerna som mäts relevanta? Hur värderar man ett resultat utan historisk referenspunkt? Hur uppnår man tillräckligt statistiskt underlag när kontrollerna utförs manuellt? Kan compliancerisker jämföras med andra risker som mäts i konsekvens/ sannolikhets skala? Gränsdragning mot operativ risk? Hur möter man förväntan på vetenskaplig exakthet? 30
TACK! viveka.strangert@swedbank.se 31