RISK

Transcription

RISK
Riskbaserat arbetssätt för Compliance
Viveka Strangert, Chief Compliance Officer Swedbank
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
50 minuter om:
• Några begreppspar, t.ex.:
–
–
–
Brist och risk
Osäkerhet och risk
Sannolikhet och konsekvens
• Från osorterat riskkaos till strukturerad risklista
• Hur får man en magkänsla man kan stå för
• Några utmaningar
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
2
BRIST
RISK
• En negativ händelse som har
inträffat
• Består av två komponenter:
• Identifieras vid monitorering
• Uppskattas vid riskbedömningen
• Basen för vår rapportering där vi
också anger:
• Basen för vår prioritering av
resurser (dvs. complianceplanen)
En negativ konsekvens
– Sannolikheten för att konsekvensen
inträffar
–
Konsekvens
– Rekommenderad åtgärd
–
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
3
Definitionen ”risk” kan appliceras på många områden:
•
•
•
•
•
•
•
•
•
Risk för naturkatastrof
Risk för matförgiftning
Risk för flygolycka
Risk för klimatförändring
Risk för kärnkraftsolycka
Risk för utfiskning
Risk för kreditförlust
Risk för ryktesförlust
Risk för regelverksöverträdelse (Compliancerisk)
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
4
Vad är en ”compliancerisk”?
Compliancefunktionen ska…
• ”identifiera vilka risker som finns för att företaget inte fullgör sina förpliktelser
enligt lagar, förordningar och andra regler som gäller för den
tillståndspliktiga verksamheten”
• ”övervaka och kontrollera efterlevnaden av dels lagar, förordningar och
andra regler, dels relevanta interna regler”
FFFS 2014:1, 8 kap. 3 §
…därför blir definitionen av compliancerisk:
• ”risken för att företaget inte fullgör sina förpliktelser enligt de regler som
gäller för den tillståndspliktiga verksamheten”
(Jämför dock definitionen i GL 44)
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
5
Compliancerisk består av två komponenter
1. Negativ händelse (att vi överträder någon regel)
–
Exempel: Vi följer inte lagens krav att kontrollera vår kunds identitet
(LPF 2 kap. 3 §, p. 1)
2. Sannolikheten för att den negativa händelsen inträffar
–
© Swedbank
Exempel: Tidigare stickprov visar att vi inte kontrollerar kundernas
identitet i 5 % av fallen, därför kan vi anta att för varje enskild kund är
risken 5 % att vi inte följer lagen
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
6
Komponent 1: Negativ konsekvens
Vi känner inte
våra kunder
• Vi följer inte LPF och dokumenterar inte KYC – vilket kan leda
till att vi har kunder som omfattas av finansiella sanktioner i vår
kundbas
Viktiga beslut
fattas utan
mandat
• Vi följer inte Governance Policyn – vilket kan leda till att
banken inte styrs i enlighet med styrelsens och VD:s intention
Konfidentiell
information
sprids
• Vi följer inte LVPM och Chinese walls upprätthålls inte mellan
enheter inom LC&I – vilket kan leda till att insiderinformation
utnyttjas olagligt
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
7
Komponent 2: Sannolikhet (exempel)
Vi känner inte
våra kunder
• Vi dokumenterar inte KYC – tidigare granskningar visar att ca
13 % är otillräckligt dokumenterade
Viktiga beslut
fattas utan
mandat
• Governance Policyn följs inte – vi har sett fall där individer har
fattat beslut utöver sitt mandat
Konfidentiell
information
sprids
• Chinese walls upprätthålls inte mellan enheter inom LC&I – vi
har tidigare monitorerat detta utan att hitta några brister
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
8
Råden
dokumenteras
inte
Vi bjuder
offentliganställda
på flott
middag
Konfidentiell
information
sprids
Våra kunder
får inte rätt
information
Viktiga beslut
fattas utan
mandat
Vi känner inte
våra kunder
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Interna regler
uppdateras
inte
9
Vi känner inte
våra kunder
Vi bjuder
offentliganställda
på flott
middag
Interna regler
uppdateras
inte
Råden
dokumenteras
inte
Det finns ett antal
risker inom visst
område
Konfidentiell
information
sprids
Våra kunder
får inte rätt
information
Viktiga beslut
fattas utan
mandat
Riskbedömningen
strukturerar och
sorterar
Beslut om
fördelning av
Compliance
resurser
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
10
Val av modell för riskbedömning
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Grov eller detaljerad analys?
• Hur mogen är compliancefunktionen?
• Hur mycket vet ni om det specifika området?
• Vad ska riskbedömningen användas till?
• Vilka resurser har ni?
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
12
Kvalitativ eller kvantitativ?
• Kvantitativ analys kräver kvantifierbara sannolikheter och
konsekvenser – ovanligt för compliancerisker att kunna sätta
exakta siffror på risker!
• Kvalitativ analys är ofta det enda möjliga
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
13
Deterministisk eller probabilistisk metod?
• Deterministisk metod
–
–
–
–
–
Konsekvensbaserad
Beaktar ”värsta tänkbara konsekvens”
Enkel att genomföra
Enkel att presentera
Kan leda till felaktiga prioriteringar
• Probabilistisk metod
–
–
–
–
© Swedbank
Tar hänsyn till sannolikhet
Ger bra beskrivning av riskerna och bra beslutsunderlag
Kräver stora resurser
Resultatet är osäkert
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
14
Riskbedömningens tre steg
Steg 3:
Värdera
riskerna
Steg 2:
Beakta
kontroller
Steg 1:
Få grepp om
tänkbara risker
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
15
Steg 1: Få grepp om tänkbara risker
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Förberedelser: informationsinsamling
•
•
•
•
•
•
•
•
•
Tidigare rapporterade compliancebrister
Incidenter och förluster
Kundklagomål
Revisionsrapporter
Nya regelverk
Affärsplaner och aktivitetsplaner
Förändringar i organisationsstrukturen
Rapporter från FI och andra myndigheter
Etc…
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
17
Workshop
• Gärna deltagare med olika kompetens och erfarenhet – överväg att
bjuda in någon från verksamheten eller från annan complianceenhet
• 8 – 12 deltagare är optimalt antal
• Utgå inte från att någon har förberett någon (även om det vore
önskvärt)
• Utse en facilitator som
Tydliggör målet och påminner om det när det behövs
– Håller koll på tiden
– Tar noteringar
– Bryter av diskussioner om de blir för långa
–
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
18
Några regler under brainstormingfasen
• Ju fler idéer (risker) desto bättre, sök kvantitet inte kvalitet
• Inga inspel får dömas eller kritiseras under brainstormingfasen,
uppmuntra alla att tänka utanför boxen
• Bygg vidare på andras idéer/ risker
• Inte för långa diskussioner om enskilda idéer/ risker och fastna
inte i resonemang kring kontrollernas effektivitet etc.
• Ha kul
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
19
Avsluta och samla ihop idéerna
• Avsluta och påminn om att om någon kommer på en ny risk
senare så är det inte för sent
• Facilitatorn dokumenterar alla identifierade risker
• Ta en paus och boka in en fortsättning för steg 2 och 3
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
20
Steg 2: Beakta interna kontroller
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Inneboende risk vs residualrisk (exempel)
Risken att någon stjäl din bil
• Inneboende risk:
Hur stor är risken att någon stjäl din bil när den är på gatan, utan larm, utan
lås och nyckeln är i startläge?
• Kontroller:
Bilen står i garage, alarm finns och är påslaget, dörrarna är låsta och
nyckeln ligger i din ficka
• Residualrisk:
Hur stor är risken att någon stjäl din bil när den står i garaget, alarmet är
påslaget, dörrarna låsta och nyckeln ligger i din ficka?
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
22
En intern kontroll:
• En process – ingen början eller slut
• Personberoende, utförs av alla personer i en organisation,
oberoende av nivå (inte något som står i interna regler)
• Ger en rimlig försäkran att saker fungerar (inte en absolut
försäkran)
• Länkat till ett av organisationens mål (exempelvis
regelefterlevnad)
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
23
Kontroller
• En kontroll ska:
–
–
–
–
Eliminera eller reducera risken
Vara manuell eller automatisk
Förebygga risken (inte upptäcka bristen i efterhand)
Vara effektiv och integrerad i affären
• Kontroller kan utföras av Compliancefunktionen, första linjen
eller annan funktion
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
24
Kontroller
• Exempel på kontroller utförda av annan:
–
–
–
–
Interna regler
Systemstöd med spärrar
Rutiner som innehåller dualitet
Utbildning
• Exempel på kontroller utförda av Compliance Funktionen
–
–
–
–
© Swedbank
Interna regler
Löpande monitoreringar, ex. av KYC kvalitet, dokumentation av
investeringsrådgivning
Transaktionsmonitorering
Utbildning
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
25
Avgörande för en kontrolls effektivitet är
• Hur robust är den, dvs. hur lätt kan den kringgås?
• Hur snabbt kan den identifiera fel – finns tid att att rätta till?
• Hur klarar den att hantera det oväntade, dvs. risker som inte
identifierats än?
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
26
Residualrisksmatematik
Inneboende risk
- Kontroller
= Sammanvägd residualrisk
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
27
Steg 3: Värdera och rangordna residualrisker
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Varför värdera riskerna?
• Underlag för kommunikation till styrelse och ledning
• Underlag för beslut om prioritering av complianceresurser
• Indirekt ett underlag för beslut om bedömning av resursbehov
för compliance och verksamheten
• Underlag för ev. senare beslut om omprioriteringar
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
29
Konsekvens x
Sannolikhet ≈
Critical/ Major/
Limited/ Minor
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
30
Magkänsla kräver tydliga kriterier
• Vi måste kunna förklara
basen för vår bedömning av:
–
–
–
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Konsekvens
Sannolikhet
Sammanvägningen
31
Konsekvenser
• Samma bedömningskriterier som när vi graderar en brist
• Kriterier som vi tar hänsyn till:
–
–
–
–
–
–
© Swedbank
Systematiskt?
Personliga böter för VD och styrelse?
FI är tillsynsmyndighet?
Vad skulle FI tycka?
Konsekvens för kunder, stabilitet, samhället?
Tidigare respons hos ledning (om känd risk)?
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
32
Sannolikhet är svårare
• Tidigare monitoreringsresultat
–
–
KYC kvalitet
Dokumentation av investeringsrådgivning
• Incidenter och whistle blowers
• Kvalitativa expertbedömningar
–
–
–
© Swedbank
Workshops
Felträdsanalyser
Uppskattning av ”tänkbara, men inte osannolika” händelser etc.
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
33
Sammanvägning och osäkerhet
• Osäkerhet i bedömningen är ofrånkomlig
• Ju mindre kunskap om sannolikhet – desto högre vikt ger man
ofta konsekvensen
• Viktigt att osäkerheten presenteras och förklaras för
beslutsfattaren
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
34
Slutprodukt
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Slutprodukten är en strukturerad lista
• Riskerna delas in utifrån:
–
–
–
Affärsområde/ enhet/ dotterbolag
Riskområde (ex. etik, kundskydd, governance)
Risknivå
• Vi har valt att ha en fyrgradig skala:
–
–
–
–
© Swedbank
Minor
Limited
Major
Critical
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
36
En pågående process…
Riskbedömning
Resultat =
underlag för
riskbedömning
Genomförande
av monitorering
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
Årsplan
Aktiviteter, ex.
monitorering
37
I en stor koncern behövs koordinering…
Riskbedömning
Riskbedömning
Riskbedömning
Riskbedömning
Resultat =
underlag för
riskbedömning
Resultat =
underlag för
Årsplanriskbedömning
Resultat =
Årsplan
underlag för
riskbedömning
Årsplan
Riskbedömning
Resultat =
underlag för
riskbedömning
Genomförande
av monitorering
Resultat =
Aktiviteter, ex.
underlag
Genomförandeför
monitorering
av monitorering
riskbedömning
Årsplan
Genomförande
av monitorering
Aktiviteter, ex.
monitorering
Årsplan
Aktiviteter, ex.
monitorering
Riskbedömning
Riskbedömning
Riskbedömning
Resultat =
underlag för
riskbedömning
Genomförande
av monitorering
© Swedbank
Författare/administratör
Viveka Strangert
Resultat =
underlag för
riskbedömning
Årsplan
Dokumentnamn
GRC dagar
Datum
2015-10-08
Aktiviteter, ex.
monitorering
Årsplan
Aktiviteter, ex.
Genomförande
monitorering
av monitorering
Genomförande
av monitorering
Aktiviteter, ex.
monitorering
Genomförande
av monitorering
Resultat =
underlag för
riskbedömning
Årsplan
Aktiviteter, ex.
monitorering
Genomförande
av monitorering
Aktiviteter, ex.
monitorering
38
Några av våra utmaningar
• Minska problem med osäkerhet i riskbedömningen
• Effektivisera koordineringen
• Hitta relevanta IT-verktyg
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08
39
Tack för er uppmärksamhet!
viveka.strangert@swedbank.se
© Swedbank
Författare/administratör
Viveka Strangert
Dokumentnamn
GRC dagar
Datum
2015-10-08