frukostseminarium om gl 44 2013-05-07
DESCRIPTION
Drygt ett och ett halvt år efter att EBA släppt GL 44 om intern styrning och kontroll, avser Finansinspektionen (FI) under 2013 att införa bindande föreskrifter som ersätter det gamla FFFS 2005:1. Men det blir inte enbart en ny föreskrift, det blir tre. Under första kvartalet 2014 planerar FI att införa en föreskrift om hantering av operativa risker samt en om informationssäkerhet. Föreskrifterna har tydliga gemensamma områden så som till exempel riskrapportering, kontroll av outsourcing och kvalitet i data- och informationsunderlag. Branschens alla risk-, compliance- och IT-avdelningar brottas nu med att anpassa sig till dessa nya och betydligt mer detaljerade kraven på intern styrning och kontroll genom hela verksamheten. Ämne: Regelverksanalys av GL 44, operativa risker och informationssäkerhet – hur överlappar och till och med motsäger de varandra? Talare: Margareta Lindahl, Transcendent Group Margareta är konsult och branschansvarig för finanssektorn på Transcendent Group och har över tio års erfarenhet av den finansiella sektorn från flera olika positioner. Senast kommer hon från Finansinspektionen, där hon bland annat verkade som expert inom operativa risker. Hennes expertområde spänner från de operativa riskerna generellt, med intern styrning och kontroll i synnerhet och IT-risker i allmänhet, till hela kapitaltäckningsregelverket och Solvens 2. Ämne: Hur har SEB hanterat implementationen av EBA:s GL 44 och de svenska föreskrifterna om styrning, riskhantering och kontroll, om hantering av operativa risker samt om informationssäkerhet? Talare: Gent Jansson, Head of Group Compliance, SEB Gent är jurist och sedan 2008 ansvarig compliancechef på SEB Group. Dessförinnan var Gent chefsjurist på Finansinspektionen under många år och har således stor erfarenhet både av att ta fram nya regelverk och av att implementera dem.TRANSCRIPT
GL 44 kommer inte ensamt
Margareta Lindahl, 7 maj 2013
Sätt dig i förarsätet
• EBA GL 44 • föreskriften om styrning,
riskhantering och kontroll • föreskriften om hantering av
operativa risker • föreskriften om informationssäkerhet • i stort sett självklarheter utifrån
bankrörelselagen (6 kap. 2 §) och värdepappersmarknadslagen (8 kap. 4 §)
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Exempel där GL 44 går längre
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
GL 44 om styrelsen • Minimikrav att skriftligen
dokumentera förväntad tidsomfattning av uppdrag.
• Rekommendation att använda revisionsutskott. Ordförande ska vara oberoende och inneha specialkunskap inom redovisning och intern-kontroll.
GL 44 om risktagande
• Riskbeslut kräver även en kvalitativ analys.
• NPAP: Vidare och specifikare omfattning. Exempelvis ska prissättningsmodeller för kapitaltäckning, vinst, adekvata systemstöd och expertis beaktas specifikt.
Chief Risk Officer respektive riskchef
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
GL 44
säger att det ska finnas en CRO
vill ha en riskchef om lämpligt
FFFS om styrning, riskhantering och kontroll
CRO:n måste ha påvisad kompetens och senioritet
endast allmänna krav om personalens kompetens
kräver en process för tillsättning och avsättning av CRO:n
processen har ersatts med interna regler
Motstridigt
• Föreskriften om styrning: risktolerans beslutas av ledningen
• Föreskriften om operativa risker: risktolerans beslutas av styrelsen
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Kom ihåg
• Riskaptit/tolerans • Stresstester är nu krav i
– GL 44, – GL 32, – FFFS om styrning,
riskhantering och kontroll, samt
– FFFS om operativ risk.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Operativa risker – det som händer när internkontrollen brister
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Operativa risker (1/2)
Fördjupning och fokusering på: • riskhantering – inför krav på
riskindikatorer, ”KRI” • incidenthantering och
rapportering • personalens ”fit & proper” • godkännandeprocessen ”NPAP”
får med intentionen från GL44 • kontinuitetshantering
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Operativa risker (2/2)
Innebär mer: • processkartläggning av väsentliga
delar av verksamheten • nyckelkontroller • processägare, intressenter och
beslutsfattare • it-system i processerna • minst 6 nya områden för
internrevisionen att granska
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Och så var det nu det här med informationssäkerhet också…
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Förtydligade krav
• kräver ett ledningssystem för informationssäkerhet
• förtydligar att styrelsen även ska säkerställa IT-verksamhetens säkerhet och effektivitet
• CISO – eller möjligen en koppling till riskkontroll-funktionen
• adderar ytterligare krav till operativa riskreglerna: – risk- och
sårbarhetsanalyser – informationsklassifi-
cering – särskilt i insättnings-
systemet
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Nya krav på riskdata
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Verksamheten ska ha möjlighet att ta fram väsentlig data i stressade situationer, med specifika mätdata så som till exempel riskförändringar.
Sammanfattningsvis
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
GAP-analys GL 44
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Operationell risk
Riskaptit och riskkultur
Riskkontroll och riskfunktion
Ledningssystem för informationssäkerhet
Regelefterlevnad (Compliance)
Roller, ansvar och kompetens (exempelvis styrelse och CRO)
Kontinuitetsplanering
Processtöd Processägare och kontroller för alla väsentliga processer
Avtalshantering, kommunikation och rapportering
Incidenthantering
Säkring av indata
Godkännandeprocess (NPAP)
Personal (bakgrundskontroller och intressekonflikter)
Största utmaningarna
• få en fungerande NPAP på plats • hinna införa ett ledningssystem för
informationssäkerhet • rekrytera styrelseledamöter och
andra nyckelpositioner till mindre banker/kreditmarknadsbolag/ värdepappersbolag
• införa incidentrapportering som fångar alla incidenter systematiskt
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
www.transcendentgroup.com
GL 44 kommer inte ensamt Gent Jansson
17
Vad jag ska prata om
Kort beskriva hur SEB arbetar med implementationen av GL 44 och Finansinspektionens föreskrifter om intern styrning och kontroll m.m. Ge några reflektioner på vad GL 44 – såsom den föreslås implementeras i Sverige – kan komma att få för konsekvenser
18
Hur kan man ”ge sig i kast” med implementationen av GL 44? Gap analys – arbetsgrupp med representanter för Legal, Compliance, Risk, Internal Audit GL 44 eller Finansinspektionens förslag till föreskrifter? Hur har vi säkerställt att vi lever upp till kraven – t.ex. avseende olika
processer? Var är frågan omhändertagen i våra interna regler? Dokumentation
Hur säkerställer vi ”rätt” kompetens och sammansättning i styrelsen? Valberedningens arbete avseende koncernstyrelsen Helägda dotterbolag Styrelsens ansvar – koncern respektive legal enhetsnivå
Några ord om NPAC som medel att hantera operativ risk
19
Några tankar kring tre möjliga konsekvenser
Det är inte implementationen i sig som är det stora – det är den påverkan regelverket får på det dagliga riskarbetet Vad som igår var ”best practise” bland större finanskoncerner blir i morgon
tvingande minimikrav Från riskbaserat arbete till regelstyrt?
Hur ska vi tolka det nya regelverket? Föreskrifter vs. Guidelines vs. Finansinspektionens praxis Bank/ försäkring/ värdepapper/ fond Intern styrning och kontroll – den fortsatta utvecklingen? Driver branschen eller ”lagstiftaren” utvecklingen? Behov av löpande uppdateringar av regelverket
20
GL 44 kommer inte ensamt Gent Jansson
21