OUTSOURCING GRC konferensen den 8-9 oktober 2015

Relevanta dokument
Nyfiken på Compliance. Lina Williamsson Vice ordförande Compliance Forum

Finansinspektionens författningssamling

INTERN STYRNING OCH KONTROLL. CHRISTINA STRANDMAN ULLRICH Medgrundare och ordförande i Compliance Forum

Finansinspektionens författningssamling

Nyfiken på Compliance. Lina Williamsson Compliance Director Klarna AB Grundare och vice ordförande Compliance Forum

Finansinspektionens författningssamling

Punkt 15: Riktlinje för outsourcing. Riktlinje för outsourcing. Tjänsteutlåtande Diarienummer:

Policy för intern styrning och kontroll

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Policy och instruktioner för regelefterlevnad

Instruktion för funktionen för regelefterlevnad

Punkt 19 Riktlinje för regelefterlevnad

Punkt 11: Riktlinje för riskhantering och intern kontroll

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Nya regler om styrning och riskhantering

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Intern styrning och kontroll i Investerums verksamhet

Policy för riskhantering

Riktlinjer för riskhantering

POLICY FÖR HANTERING AV ETISKA FRÅGOR

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Standard 4.1. Uppläggning av intern kontroll och riskhantering. Föreskrifter och allmänna råd

Riktlinjer för riskhantering

Governance, Risk & Compliance EBA Guideline 44

Intern kontroll och Riskhantering

Risk- och kapitalhantering

INTERN STYRNING OCH KONTROLL. Aros Kapital AB,

Finansinspektionens författningssamling

RISKANALYS AV SVENSKA LÄRARFONDERS ERSÄTTNINGSSYSTEM OCH ERSÄTTNINGSINSTRUKTION

Policy för internkontroll för Stockholms läns landsting och bolag

Ersättningspolicy. Datum:

Vadstena Sparbank 10.6 Ersättningspolicy Fastställd av styrelsen Ersätter tidigare fastställd

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Nordiska Kreditmarknadsaktiebolaget (publ)

Bilaga 1: Riskanalys för ersättningspolicy

Riktlinjer för intern styrning och kontroll

RIKTLINJER FÖR RISKHANTERING. Dessa riktlinjer har antagits av styrelsen den

Riskpolicy. Denna policy har fastställts av styrelsen för Case Asset Management vid styrelsemöte (8)

BESLUT 2018:10. Bakgrund. Dnr

Riktlinjer för intern styrning och kontroll

Anmälan om. schablonmetoden, operativ risk

Finansinspektionens författningssamling

Instruktion för ersättning

Revisionskommitténs mandat

REGLER FÖR INTERN KONTROLL

Bankens styrelse har fastställt denna policy vid sammanträde den 14 september 2011.

Övergripande riskhantering i Göteborgs Stad

FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG

Anvisning om riskhantering och internrevision i värdepapperscentraler

Finansinspektionens författningssamling

NYHETSBREV. Bolagsstyrning och riskhantering. nya och ändrade bestämmelser med anledning av det nya kapitaltäckningsregelverket

Policy för ersättning

Aktieinvest Fonder AB Sida 1 av 5 Godkänd Dokumentnamn Datum

Frågor att ställa om IK

Policy för Essunga kommuns internkontroll

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Finansinspektionens författningssamling

Lämplighetsprövning i Solvens 2

Ersättningspolicy. Riskanalys avseende rörliga ersättningar

10.6 Ersättningspolicy

Punkt 17 Compliancerapport kvartal 3

Finansinspektionens författningssamling

5.9. ERSÄTTNINGSPOLICY. Innehåll. Externa regelverk. Finansinspektionen

Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Midsona AB:s tillämpning av Svensk kod för bolagsstyrning (april 2015)

Riktlinje för intern styrning och kontroll

3.4 Förslag till nya allmänna råd om att söka tillstånd att driva bank- och finansieringsrörelse eller ge ut elektroniska pengar

Värdering av onoterade innehav i fonder en vägledning

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Finansinspektionens författningssamling

Ersättningspolicy. Investerum AB Investerum Pension KB

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Omprövad den

Plan för intern kontroll 2017

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Arbetsordning. för. Styrelsen. ICTA AB (publ)

Ersättningspolicy Fastställd av styrelsen den 11 november 2016

Ersättningspolicy. Innehåll. Fastställd Styrelsen Ivetofta Sparbank i Bromölla Ersätter tidigare Ersättningspolicy fastställd

Länsförsäkringar Skåne

Reglemente för intern kontroll

VIRSERUMS SPARBANK Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Risk- och sårbarhetsanalys 2018

Portfolio Försäkra. Ersättningspolicy. Ramverksversion 001

Policy kring hantering av intressekonflikter och incitament

Instruktion för ersättning

Ersättningspolicy. avseende Pacific Fonder AB

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Vid tillämpning av denna policy skall nedanstående begrepp ha följande betydelse:

RISKANALYS AV SKANDIA FONDERS ERSÄTTNINGSSYSTEM OCH ERSÄTTNINGSINSTRUKTION

Läs mer om bolagets styrelseledamöter och medarbetare (under om oss på hemsidan).

Stadsledningskontorets system för intern kontroll

5.9. ERSÄTTNINGSPOLICY. Innehåll. Externa regelverk

En riskidentifiering flera användningsområden. GRC-dagarna 2017 Torbjörn Jacobsson & Stina Lindberg

Denna policy har beslutats i enlighet med Finansinspektionens föreskrifter (FFFS 2011:1, 2014:1 samt 2014:22).

Riktlinjer för internkontroll

Transkript:

OUTSOURCING GRC konferensen den 8-9 oktober 2015 Christina Strandman Ullrich Compliance Forum

AGENDA COSO Intern styrning och kontroll Styrelsens och VDs ansvar; Målet; All verksamhet Outsourcing Definitioner Vad säger lagarna? Finansinspektionen? Interna regler Sammanfattning av kraven Riskansvar för outsourcad verksamhet Kontrollfunktionernas roll Slutsatser 2

COSOsramverk Tillkom under 1990-talet Syftar till att öka effektiviteten, minska oönskade händelser, skapa bättre konkurrenskraft Uppnå målen med verksamheten ( rätt på en gång ) Hantera risker för att målen inte uppnås Riskbaserat förhållningssätt Åtgärder och kontroller för att hantera identifierade risker På ledningens uppdrag och med ledningens intresse och engagemang (tone at the top) 3

Intern styrning och kontroll - en process genom vilken företagets styrelse, verkställande direktör m.fl. skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden: -en ändamålsenlig och effektiv organisation och förvaltning av verksamheten - en tillförlitlig finansiell rapportering - efterlevnad av tillämpliga lagar och andra regler 4

Styrelsens och VD:s ansvar Styra verksamheten så att den präglas av en god intern kontroll. Ansvaret omfattar förvaltningen av bolagets medel samt att verksamheten är effektivt organiserad bokföringen och finansiella rapporteringen är tillförlitlig verksamheten bedrivs mot fastställda mål verksamheten följs upp mot målen risk för intressekonflikter identifieras och hanteras riskerna i verksamheten (affärsrisker, finansiella risker, operationella risker, Compliancerisker) identifieras och hanteras Christina Strandman Ullrich 5

Målet Genom en god intern kontroll säkerställs - en tillförlitlig finansiell rapportering -en god förmåga att identifiera, mäta, övervaka och kontrollera verksamhetsriskerna -en god förmåga att efterleva regelkrav (rätt på en gång) 6

All verksamhet Kravet att uppnå och upprätthålla en god intern styrning och kontroll gäller - befintlig verksamhet inom företaget - verksamhet som outsourcas - nya/förändrade produkter, förändringar i organisationen (NPAP) Företaget ska alltså ha samma goda förmåga att identifiera, mäta, övervaka och kontrollera verksamhetsriskerna samt hantera dem oavsett om verksamheten bedrivs av egen personal eller är outsourcad externt. Företaget måste säkerställa att uppdragstagare följer de krav, regler, rutiner, processer som företaget (uppdragsgivaren) bestämt 7

Outsourcing -Definitioner Outsourcing-ett arrangemang där en juridisk person (Uppdragsgivaren) avtalar med en annan juridisk person (Uppdragstagaren) om utförande av någon reglerad eller oreglerad aktivitet som normalt utförs av Uppdragsgivaren; Kärnverksamhet(Core Business) -de grundläggande reglerade aktiviteterna såsom att ta emot inlåning, bevilja kredit, ingå försäkringsavtal. Kärnverksamhet omfattar även den intellektuella delen av produkter och tjänster som skapar det unika värdet i Uppdragsgivarens verksamhet. Vad som bedöms vara Kärnverksamhet kan variera över tiden; 8

Definitioner forts. Uppdragsgivaren(Outsourcing Institution)-en juridisk person (t.ex. ett företag med auktorisation från en tillsynsmyndighet att bedriva tillståndspliktig verksamhet) som outsourcar en aktivitet till en Uppdragstagare; Uppdragstagare(Service Provider)-den juridiska person (ett företag inom Uppdragstagarens koncern eller en extern tredje part) som åtar sig den outsourcade aktiviteten på Uppdragsgivarens vägnar; Uppdragsavtal(Outsourcing Agreement)-det legalt bindande skriftliga kontraktet mellan Uppdragsgivaren och Uppdragstagaren angående den aktuella Outsourcingen. 9

Varför Outsourcing? Möjligheter/fördelar Hot/nackdelar Den finansiella industrin är global och extremt konkurrensutsatt Finansiell kris Globaliseringen eliminerar landsgränser och ökar expansionsmöjligheter ( fuels market expansion ) Krav på kostnadsbesparingar Problemaktiviteter Teknologi, trading markets, infrastrukturer för kommunikation 10

Vad säger lagarna och FI? Regler för kreditinstitut m.fl. finansiella företag under tillsyn har samma grundbudskap: -Uppdragsgivaren (styrelsen och VD) ansvararalltid för den verksamhet som lagts ut, att den uppfyller alla krav och förväntningar. Ansvaret för kvalitet, förtroende och ryktesrisk kan aldrig outsourcas. -Uppdragsgivaren måste därför ha möjlighet att 1) påverka hur den outsourcade aktiviteten bedrivs och 2) avsluta Uppdragsavtalet om riskerna inte hanteras tillfredsställande - Informera FI (lämna in avtalet) Styrelsen fastställerinterna reglerom vilka tillståndspliktiga verksamheter, eller verksamheter som har ett naturligt samband med finansiell verksamhet eller dess stödfunktioner, som kan läggas ut och hur detta ska göras. Interna reglerna ska behandla: 11

Interna regler Företagets egen beställarkompetens Hur risker med utläggningen (Outsourcingen) ska hanteras Uppdragsgivaren ska försäkra sig om att Uppdragstagaren skyddar konfidentiell information både när det gäller företaget och dess kunder Uppdragsgivaren ska styra och följa upp hur uppdraget utförssamt revidera den utlagda verksamheten Vilka krav som ska ställas på Uppdragstagarens kompetens, intern kontroll och kvalitet, samt möjligheter att långsiktigt fullgöra uppdraget Uppdragsgivaren och Uppdragstagaren ska upprätta och vidmakthålla beredskapsplaner för oförutsedda händelser, inklusive en kris-och katastrofplanering som löpande ska testas 12

Interna regler Det ska säkerställas att FI kan fortsätta bedriva en effektiv tillsyn över företaget, liksom att företagets skyldigheter mot FI eller företagets kunder inte åsidosätts Det ska upprättas beredskapsplaner och strategier för hur uppdraget kan avslutas och verksamheten återtas till företaget, utan betydande störningar av viktig verksamhet Det ska upprättas ett skriftligt avtal, som reglerar servicenivå, parternas rättigheter och skyldigheter samt möjliggör för Uppdragstagaren att följa de krav, regler, rutiner, processer som Uppdragsgivaren bestämt 13

Sammanfattning av kraven 1. Ansvaretför outsourcade verksamheter kan inte outsourcas -ligger kvar hos Uppdragsgivaren (ytterst styrelsen och VD) 2. Styrelsen ska besluta om principernaför Outsourcing (vad, vilken verksamhet kan resp kan inte outsourcas; hur beslutas om outsourcing i företaget?) 3. Aldrig (i princip) outsourca Kärnverksamhet 4. Undvika oönskade långsiktiga ekonomiska effekter 5. Möter Uppdragstagaren samma regulatoriska krav och höga etiska standards? Står man för samma värderingar? 6. Identifiera och dokumentera intressekonflikter 14

Sammanfattning av kraven 7. Uppdragsavtalet ändamål (målbild), roller, ansvar, specificering av outsourcade aktiviteter, villkor om riskhantering, möjligheter att påverka hur den outsourcade verksamheten bedrivs; särskilda servicenivåer, prisnivåer, konsekvenser för andra legala enheter hos Uppdragsgivaren m.m. 8. Hur hanteras kundinformation(sekretess)? 9. Är underavtal (subcontracting) tillåtet? Med Uppdragsgivarens tillstånd? 10. Krav på contingency planning(beredskapsplan) gäller fortfarande - Uppdragstagaren måste implementera rutiner 15

Sammanfattning av kraven 11. Kontrollfrågor: -Finns tillräcklig expertis kvar hos Uppdragsgivaren för att kontrollera outsourcade verksamhet? -Är en obegränsad tillgänglighet för tillsynsmyndigheter och revisorer säkerställd? -Är skyldighet för Uppdragstagaren att anmäla förhållanden som äventyrar förmågan att leverera enligt Uppdragsavtalet säkerställd? 12. Säkerställa möjligheten att avsluta Uppdragsavtalet samt upprätta en egen skriftlig plan för återupptagande av verksamheten 13. Säkerställa att Compliance, andra kontrollfunktioner och inköpsavdelningen(procurement) i ett tidigt skede får delta vid framtagande av Uppdragsavtal (checklista) 14. Full dokumentationav alla beslut (inklusive Uppdragsavtalet), innehållande en klar motivering (målbilden) för att oursourca den aktuella aktiviteten 16

Uppdragsgivarens uppgift och utmaning Uppdragsgivaren ansvarar fullt ut för hur ett ombud fullgör sitt uppdrag (anställda hos ombud = anställda hos företaget) Målet: Rätt på en gång Medel: -Tydligt avtal, klart språk, pedagogiskt (texten ska förstås av ombudet) -Tydliga lättbegripliga instruktioner / regler om bl.a. förhindrande av penningtvätt -Effektiva kontroller (manuella, automatiserade, upptäckande, preventiva) - Effektiva behörighetsregler - Effektiv uppföljning + åtgärder (sanktioner m.m.) 17

I praktiken Definitioner Vilka verksamheter får outsourcas? Målbild varför outsourca viss verksamhet? Vemföljerupp? Subcontracting? Riskanalys före beslut Dokumentera 18

Ansvar för risker och riskhantering i outsourcad verksamhet First line of defence-den som ansvarar affärsmässigt för den outsourcade verksamheten ansvarar för att hantera riskerna i den outsourcade verksamheten följa upp att Uppdragstagaren följer Outsourcingavtalet ge instruktioner om hur verksamheten ska bedrivas följa upp att Outsourcingen möter den uppsatta målbilden Second line of defence [ekonomifunktionen], riskkontroll och Compliance ansvarar för identifiering etc. av risker som ligger i den outsourcade verksamheten (inom vars och ens ansvarsområde) Third line of defence internrevision ansvarar för granskning av all verksamhet inkl. den outsourcade 19

Hur kan kontrollfunktionerna bidra? Kontrollfunktionernas möjligheter att bidra till genomtänkt outsourcinglösningar är beroende av Roll & ställning (position) i företaget Ansvarsområde Arbetsuppgifter Företagskulturen 20

Arbetsuppgifter för kontrollfunktioner (Compliance) 1. Identifieringav Compliance Risk -vilka verksamheter som innehåller Compliance risk är outsourcade? - hur hanteras Complianceriskerna hos Uppdragstagaren? -Compliance Risk Assessmentoch åtgärdsplanen (Compliance Plan) omfattar även outsourcade risker 2. Externa regelverket interna regler - finns det ett bra internt regelverk om Outsourcing? -finns erforderligt regelverk för hantering och uppföljning av risker i den outsourcade verksamheten hos Uppdragstagaren? 3. Utbildning och kommunikation -utbildning för alla anställda hos Uppdragsgivaren bör omfatta kraven för Outsourcing - utbildning av anställda hos Uppdragstagaren? 21

Arbetsuppgifter forts. 4. Rådgivning -se till att delta i förberedelser (projekt) för Outsourcing (upprätta checklista) 5. Uppföljning av regelefterlevnaden - Complianceriskerna i outsourcad verksamhet - gå igenom Outsourcingavtal m.m. 6. Utreda incidenter 7. Rapportering -löpande rapportering till VD/styrelsen omfattar även Complianceriskernai outsourcad verksamhet och hur de hanteras 8. Kontakt med tillsynsmyndigheter -inlämning av avtal till FI, delta i diskussioner med FI; rapportering av allvarliga händelser 22

Slutsatser Den bästa förutsättningen för en lyckad Outsourcing är ett grundligt förarbete (avtalet, varför Outsourcing?, målbild, checklista m.m.) Varna för outsourcing av problemaktiviteter Räkna med ökade kostnader i samband med Outsourcing (före, under och efter) *** Compliance kan bidra med interna regler om Outsourcing samt bra rutiner inför och under förhållandet med Uppdragstagaren 23

COMPLIANCE FORUM a non-profit association for Compliance Officers in financialand other regulatedbusinesseson the Swedish market. Establishedin 2009. Our objectives are to -createa meeting pointfor ourmembers -promote, developand identifythe role of Compliance in Sweden - develop and broaden Compliance skills ww.complianceforum.se Christina Strandman Ullrich Chairman of the Board of Compliance Forum +46 76 1106 114 csu@complianceforum.se 24

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss