RISK
Transcription
RISK
Riskbaserat arbetssätt för Compliance Viveka Strangert, Chief Compliance Officer Swedbank © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 50 minuter om: • Några begreppspar, t.ex.: – – – Brist och risk Osäkerhet och risk Sannolikhet och konsekvens • Från osorterat riskkaos till strukturerad risklista • Hur får man en magkänsla man kan stå för • Några utmaningar © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 2 BRIST RISK • En negativ händelse som har inträffat • Består av två komponenter: • Identifieras vid monitorering • Uppskattas vid riskbedömningen • Basen för vår rapportering där vi också anger: • Basen för vår prioritering av resurser (dvs. complianceplanen) En negativ konsekvens – Sannolikheten för att konsekvensen inträffar – Konsekvens – Rekommenderad åtgärd – © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 3 Definitionen ”risk” kan appliceras på många områden: • • • • • • • • • Risk för naturkatastrof Risk för matförgiftning Risk för flygolycka Risk för klimatförändring Risk för kärnkraftsolycka Risk för utfiskning Risk för kreditförlust Risk för ryktesförlust Risk för regelverksöverträdelse (Compliancerisk) © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 4 Vad är en ”compliancerisk”? Compliancefunktionen ska… • ”identifiera vilka risker som finns för att företaget inte fullgör sina förpliktelser enligt lagar, förordningar och andra regler som gäller för den tillståndspliktiga verksamheten” • ”övervaka och kontrollera efterlevnaden av dels lagar, förordningar och andra regler, dels relevanta interna regler” FFFS 2014:1, 8 kap. 3 § …därför blir definitionen av compliancerisk: • ”risken för att företaget inte fullgör sina förpliktelser enligt de regler som gäller för den tillståndspliktiga verksamheten” (Jämför dock definitionen i GL 44) © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 5 Compliancerisk består av två komponenter 1. Negativ händelse (att vi överträder någon regel) – Exempel: Vi följer inte lagens krav att kontrollera vår kunds identitet (LPF 2 kap. 3 §, p. 1) 2. Sannolikheten för att den negativa händelsen inträffar – © Swedbank Exempel: Tidigare stickprov visar att vi inte kontrollerar kundernas identitet i 5 % av fallen, därför kan vi anta att för varje enskild kund är risken 5 % att vi inte följer lagen Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 6 Komponent 1: Negativ konsekvens Vi känner inte våra kunder • Vi följer inte LPF och dokumenterar inte KYC – vilket kan leda till att vi har kunder som omfattas av finansiella sanktioner i vår kundbas Viktiga beslut fattas utan mandat • Vi följer inte Governance Policyn – vilket kan leda till att banken inte styrs i enlighet med styrelsens och VD:s intention Konfidentiell information sprids • Vi följer inte LVPM och Chinese walls upprätthålls inte mellan enheter inom LC&I – vilket kan leda till att insiderinformation utnyttjas olagligt © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 7 Komponent 2: Sannolikhet (exempel) Vi känner inte våra kunder • Vi dokumenterar inte KYC – tidigare granskningar visar att ca 13 % är otillräckligt dokumenterade Viktiga beslut fattas utan mandat • Governance Policyn följs inte – vi har sett fall där individer har fattat beslut utöver sitt mandat Konfidentiell information sprids • Chinese walls upprätthålls inte mellan enheter inom LC&I – vi har tidigare monitorerat detta utan att hitta några brister © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 8 Råden dokumenteras inte Vi bjuder offentliganställda på flott middag Konfidentiell information sprids Våra kunder får inte rätt information Viktiga beslut fattas utan mandat Vi känner inte våra kunder © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Interna regler uppdateras inte 9 Vi känner inte våra kunder Vi bjuder offentliganställda på flott middag Interna regler uppdateras inte Råden dokumenteras inte Det finns ett antal risker inom visst område Konfidentiell information sprids Våra kunder får inte rätt information Viktiga beslut fattas utan mandat Riskbedömningen strukturerar och sorterar Beslut om fördelning av Compliance resurser © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 10 Val av modell för riskbedömning © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Grov eller detaljerad analys? • Hur mogen är compliancefunktionen? • Hur mycket vet ni om det specifika området? • Vad ska riskbedömningen användas till? • Vilka resurser har ni? © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 12 Kvalitativ eller kvantitativ? • Kvantitativ analys kräver kvantifierbara sannolikheter och konsekvenser – ovanligt för compliancerisker att kunna sätta exakta siffror på risker! • Kvalitativ analys är ofta det enda möjliga © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 13 Deterministisk eller probabilistisk metod? • Deterministisk metod – – – – – Konsekvensbaserad Beaktar ”värsta tänkbara konsekvens” Enkel att genomföra Enkel att presentera Kan leda till felaktiga prioriteringar • Probabilistisk metod – – – – © Swedbank Tar hänsyn till sannolikhet Ger bra beskrivning av riskerna och bra beslutsunderlag Kräver stora resurser Resultatet är osäkert Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 14 Riskbedömningens tre steg Steg 3: Värdera riskerna Steg 2: Beakta kontroller Steg 1: Få grepp om tänkbara risker © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 15 Steg 1: Få grepp om tänkbara risker © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Förberedelser: informationsinsamling • • • • • • • • • Tidigare rapporterade compliancebrister Incidenter och förluster Kundklagomål Revisionsrapporter Nya regelverk Affärsplaner och aktivitetsplaner Förändringar i organisationsstrukturen Rapporter från FI och andra myndigheter Etc… © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 17 Workshop • Gärna deltagare med olika kompetens och erfarenhet – överväg att bjuda in någon från verksamheten eller från annan complianceenhet • 8 – 12 deltagare är optimalt antal • Utgå inte från att någon har förberett någon (även om det vore önskvärt) • Utse en facilitator som Tydliggör målet och påminner om det när det behövs – Håller koll på tiden – Tar noteringar – Bryter av diskussioner om de blir för långa – © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 18 Några regler under brainstormingfasen • Ju fler idéer (risker) desto bättre, sök kvantitet inte kvalitet • Inga inspel får dömas eller kritiseras under brainstormingfasen, uppmuntra alla att tänka utanför boxen • Bygg vidare på andras idéer/ risker • Inte för långa diskussioner om enskilda idéer/ risker och fastna inte i resonemang kring kontrollernas effektivitet etc. • Ha kul © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 19 Avsluta och samla ihop idéerna • Avsluta och påminn om att om någon kommer på en ny risk senare så är det inte för sent • Facilitatorn dokumenterar alla identifierade risker • Ta en paus och boka in en fortsättning för steg 2 och 3 © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 20 Steg 2: Beakta interna kontroller © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Inneboende risk vs residualrisk (exempel) Risken att någon stjäl din bil • Inneboende risk: Hur stor är risken att någon stjäl din bil när den är på gatan, utan larm, utan lås och nyckeln är i startläge? • Kontroller: Bilen står i garage, alarm finns och är påslaget, dörrarna är låsta och nyckeln ligger i din ficka • Residualrisk: Hur stor är risken att någon stjäl din bil när den står i garaget, alarmet är påslaget, dörrarna låsta och nyckeln ligger i din ficka? © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 22 En intern kontroll: • En process – ingen början eller slut • Personberoende, utförs av alla personer i en organisation, oberoende av nivå (inte något som står i interna regler) • Ger en rimlig försäkran att saker fungerar (inte en absolut försäkran) • Länkat till ett av organisationens mål (exempelvis regelefterlevnad) © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 23 Kontroller • En kontroll ska: – – – – Eliminera eller reducera risken Vara manuell eller automatisk Förebygga risken (inte upptäcka bristen i efterhand) Vara effektiv och integrerad i affären • Kontroller kan utföras av Compliancefunktionen, första linjen eller annan funktion © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 24 Kontroller • Exempel på kontroller utförda av annan: – – – – Interna regler Systemstöd med spärrar Rutiner som innehåller dualitet Utbildning • Exempel på kontroller utförda av Compliance Funktionen – – – – © Swedbank Interna regler Löpande monitoreringar, ex. av KYC kvalitet, dokumentation av investeringsrådgivning Transaktionsmonitorering Utbildning Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 25 Avgörande för en kontrolls effektivitet är • Hur robust är den, dvs. hur lätt kan den kringgås? • Hur snabbt kan den identifiera fel – finns tid att att rätta till? • Hur klarar den att hantera det oväntade, dvs. risker som inte identifierats än? © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 26 Residualrisksmatematik Inneboende risk - Kontroller = Sammanvägd residualrisk © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 27 Steg 3: Värdera och rangordna residualrisker © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Varför värdera riskerna? • Underlag för kommunikation till styrelse och ledning • Underlag för beslut om prioritering av complianceresurser • Indirekt ett underlag för beslut om bedömning av resursbehov för compliance och verksamheten • Underlag för ev. senare beslut om omprioriteringar © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 29 Konsekvens x Sannolikhet ≈ Critical/ Major/ Limited/ Minor © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 30 Magkänsla kräver tydliga kriterier • Vi måste kunna förklara basen för vår bedömning av: – – – © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Konsekvens Sannolikhet Sammanvägningen 31 Konsekvenser • Samma bedömningskriterier som när vi graderar en brist • Kriterier som vi tar hänsyn till: – – – – – – © Swedbank Systematiskt? Personliga böter för VD och styrelse? FI är tillsynsmyndighet? Vad skulle FI tycka? Konsekvens för kunder, stabilitet, samhället? Tidigare respons hos ledning (om känd risk)? Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 32 Sannolikhet är svårare • Tidigare monitoreringsresultat – – KYC kvalitet Dokumentation av investeringsrådgivning • Incidenter och whistle blowers • Kvalitativa expertbedömningar – – – © Swedbank Workshops Felträdsanalyser Uppskattning av ”tänkbara, men inte osannolika” händelser etc. Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 33 Sammanvägning och osäkerhet • Osäkerhet i bedömningen är ofrånkomlig • Ju mindre kunskap om sannolikhet – desto högre vikt ger man ofta konsekvensen • Viktigt att osäkerheten presenteras och förklaras för beslutsfattaren © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 34 Slutprodukt © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Slutprodukten är en strukturerad lista • Riskerna delas in utifrån: – – – Affärsområde/ enhet/ dotterbolag Riskområde (ex. etik, kundskydd, governance) Risknivå • Vi har valt att ha en fyrgradig skala: – – – – © Swedbank Minor Limited Major Critical Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 36 En pågående process… Riskbedömning Resultat = underlag för riskbedömning Genomförande av monitorering © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 Årsplan Aktiviteter, ex. monitorering 37 I en stor koncern behövs koordinering… Riskbedömning Riskbedömning Riskbedömning Riskbedömning Resultat = underlag för riskbedömning Resultat = underlag för Årsplanriskbedömning Resultat = Årsplan underlag för riskbedömning Årsplan Riskbedömning Resultat = underlag för riskbedömning Genomförande av monitorering Resultat = Aktiviteter, ex. underlag Genomförandeför monitorering av monitorering riskbedömning Årsplan Genomförande av monitorering Aktiviteter, ex. monitorering Årsplan Aktiviteter, ex. monitorering Riskbedömning Riskbedömning Riskbedömning Resultat = underlag för riskbedömning Genomförande av monitorering © Swedbank Författare/administratör Viveka Strangert Resultat = underlag för riskbedömning Årsplan Dokumentnamn GRC dagar Datum 2015-10-08 Aktiviteter, ex. monitorering Årsplan Aktiviteter, ex. Genomförande monitorering av monitorering Genomförande av monitorering Aktiviteter, ex. monitorering Genomförande av monitorering Resultat = underlag för riskbedömning Årsplan Aktiviteter, ex. monitorering Genomförande av monitorering Aktiviteter, ex. monitorering 38 Några av våra utmaningar • Minska problem med osäkerhet i riskbedömningen • Effektivisera koordineringen • Hitta relevanta IT-verktyg © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08 39 Tack för er uppmärksamhet! viveka.strangert@swedbank.se © Swedbank Författare/administratör Viveka Strangert Dokumentnamn GRC dagar Datum 2015-10-08