grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
TRANSCRIPT
GRC-succéfaktorer Hur får man ut mer värde av GRC än enbart regelefterlevnad?
Josefin Nordlander Chef Koncernsäkerhet & Kontroll
GRC Dagarna Transcendent Group 19 maj 2016
Riskhantering är nyckeln till framgång!
Strategiska risker
Externa risker
Risker som kan
undvikas
Dessa risker kan inte transfereras eller elimineras. Riskhanteringen blir därmed beroende av tydliga risktoleranser, framtagande av möjliga scenarios som skulle kunna inträffa samt monitorering av KRIer (key risk indicators).
Dessa risker ligger utom organisationens kontroll. Riskhanteringen fokuseras därmed mot att begränsa riskexponering och potentiell skada om en risk realiseras.
Detta är finansiella och operativa risker som en organisation bör försöka eliminera, transferera eller förebygga eftersom en realiserad risk alltid kommer resultera i negativa konsekvenser. Kostnadseffektiva kontroller är A & O!
Styrelsen bestämmer ultimat risktagandet Styrelsen sätter ofta ramarna för bolagets risktagande genom att fastställa:
• Riskstrategi (riskfilosofi, riskstyrning och önskade risknivåer). • Riskaptitmått och limiter. • Regler för hur bolaget får placera tillgångar. • Ägarinstruktioner (relevant för moderbolag för styrning av dotterbolag) etc.
Vanliga misstag i finansiella sektorn: • Riskhantering ses endast som en nödvändighet för att möta regelkrav och inte som något
som ska tas i beaktning varje dag, i varje beslut. • 2a försvarslinjen fastställer ramverk och metodik för riskhantering utan att 1a linjen får vara
med och ge input. • Riskstrategin tar inte i beaktning alla nivåer av riskhantering. • Det finns inte tillräckligt med KRIer för att säkerställa att risktagande är inom ramen för
styrelsens alternativt riskägarens önskemål/krav.
Men kunders förväntningar/krav är lika viktiga! Socialt
ansvarstagande
Affärsetik
Säkerhet
Ansvarsfull arbetsgivare
Miljövänlig
Etiska investeringar
Transparens & långsiktiga
kundrelationer
Regel-efterlevnad
Digitalisering
Enkelhet
Exempel: Exampel:
Process ”Skadereglering”
Information Läkarjournaler,
kvitton, skadeanmälan
etc.
Personal / Kompetens
IT-stöd
Process / Flöde
Leverantör / 3e part
”Tillförlitlig och effektiv
skadereglering”: - 99 % ärenden
hanterade korrekt.
- 80 % av ärenden
hanterade inom 10 dagar.
”MED” Fastställ varje
process beroenden/behov
för att mål ska kunna mötas
”HUR” Fastställa vilka processer (och
information) som kommer bidra till att mål
kan mötas.
”VAD” Fastställa affärsmål
1a linjens riskhantering fokuserar på att möta affärsmål inom acceptabelt risktagande Socialt
ansvarstagande
Affärsetik
Säkerhet
Ansvarsfull arbetsgivare
Miljövänlig
Etiska investeringar
Transparens & långsiktiga
kundrelationer
Regel-efterlevnad
Digitalisering
Enkelhet
En risk kan ha flera orsaker och konsekvenser Risk för att
felaktiga/falska skadeanmälningar
godkänns och betalas ut
Orsaker: - Person skickar in falska
underlag. - Processfel (ingen dualitet vid utbetalning, bristande manuell hantering etc.).
- Medarbetare utför bedrägeri alternativt
agerar ”målvakt”
Konsekvenser: - Kundmissnöje/
klagomål (ev. lämnar kund företaget).
- Finansiella förluster. - Förlorade intäkter
Risk för att obehöriga olovligen
får åtkomst till konfidentiell information
Orsaker: - Externt hot (t.ex. hacker
attack). - Ej fungerande
behörighetsadministration - Medarbetare är
omedvetna om/förstår ej krav
Konsekvenser: - Lagbrott/regel-
överträdelser - Kundmissnöje/klagomål.
- Kundflykt - Skadat varumärke -Förlorade intäkter
Vanliga misstag i finansiella sektorn: • Orsaker och konsekvenser dokumenteras och rapporteras som risker. • Flera konsekvenser ”bakas in” i en och samma risk trots att acceptabelt risktagande kan variera
beroende på varje konsekvens. • Samtliga möjliga orsaker till att en risk kan realiseras är inte identifierade och tas därmed inte i
beaktning när kontrollmiljö fastställs/implementeras.
Riskmonitorering bör inkludera oönskade konsekvenser
Risk för att felaktiga/falska
skadeanmälningar godkänns och
betalas ut
Konsekvenser: - Kundmissnöje/
klagomål (ev. lämnar kund företaget).
- Finansiella förluster. - Förlorade intäkter
Möjliga ”red flags”: - Antal incidenter.
- Antal kundklagomål. - Finansiell
kompensation till kund. - Bedrägeriförluster.
Risk för att obehöriga
olovligen får åtkomst till konfidentiell information
Konsekvenser: - Lagbrott/regel-
överträdelser - Kundmissnöje/klagomål.
- Kundflykt - Skadat varumärke -Förlorade intäkter
Möjliga ”red flags”:
- Antal incidenter. - Antal fallerade kontroller som är
kopplade till regelkrav, falleringsfrekvens, tid
det tar att åtgärda brist - Antal kundklagomål.
- Antal kunder som lämnar (vid incident).
Kontrollmiljön måste beakta både oönskade konsekvenser samt relaterade orsaker Risk för att
felaktiga/falska skadeanmälningar
godkänns och betalas ut
Orsaker: - Kund skickar in falska
underlag. - Processfel (ingen
dualitet vid utbetalning, bristande manuell
hantering etc.). - Medarbetare utför bedrägeri alternativt
agerar ”målvakt”
Kontrollaspekter: - Försäkringsskydd. - Inbyggd dualitet vid
utbetalning. - Automatiserade flöden.
- Transaktions-övervakning.
Risk för att obehöriga olovligen
får åtkomst till konfidentiell information
Orsaker: - Externt hot (t.ex. hacker
attack). - Ej fungerande
behörighetsadministration - Medarbetare är
omedvetna om/förstår ej krav
Kontrollaspekter: - Försäkringsskydd.
- Regelbunden behörighetskontroll.
- Monitorering av behörighetsgrupper.
- Utbildning/information om informationssäkerhetskrav - Monitorering av externa intrång/försök till intrång
Hur integrera GRC i det vardagliga arbetet?
Förutsättningar för att lyckas? Vad behöver första linjen för att kunna ta fullt ansvar för regelefterlevnad och riskhantering? Fokus måste vara på: • Tydliga roller och ansvar- Vem är ansvarig för att identifiera risker? För att bedöma vilka
konsekvenser som är acceptabla? För att sätta acceptabelt risktagande? För att monitorera risktagande? För att flagga/rapportera på avvikelser? För att identifiera kritiska kontrollaspekter? För att identifiera nyckelprocesser I en process? För att tillse att kontrollerna fungerar? För att hantera brister i kontrollmiljön? Etc.
• Lagar och regler- Vem övervakar nya/ändrade regelverk? Hur kommuniceras de till berörda parter i organisationen? Vem har det strategiska ansvaret att utvärdera regulatorisk påverkan om regelverket slår mot flera bolag i en koncern? Vem ansvarar för att utföra gapanalys av regelkraven mot befintlig kontrollmiljö? Etc.
• Support/stöd- Vad behöver 1a linjen för support/stöd för att kunna ta fullt ansvar? Vad
kan kontrollfunktionerna bistå med? Behövs det en internkontrollfunktion? Ett GRC system? Vem kommer tillse att utbildningsbehov, information, mallar, system etc. finns, fungerar och möter behov?
Vad behöver man som organisation börja med:
”Governance” •Se över strategin- Omfattar den samtliga affärsområden? Tar den i beaktning IT och andra kritiska områden som är kritiska för att få till den förflyttning som man ser behöver göras? Utgår den ifrån kundens krav/önskemål? Har man en vision kring vad man vill uppnå?
•Se över affärsområden- Vad behövs för att leverera den vision som har fastställts? Vilka enheter/funktioner /roller behöver finnas för att leverera affärsmål? För att möta regelkrav? Finns det vissa funktioner som inte tjänar något givet syfte?
•Se över beslutanderätt- Utifrån affärsmål och förtydligat ansvar, fastställ vem som behöver ha vilken beslutanderätt;
•Se över behovet av en GRC funktion- Vad vill man ha ut utav GRC? Tar man tillvara på alla effekthemtagningar? Vem ska styra/driva Vilken rapportering önskas?
”Risk” •Se över riskramverket- Får man ut det man önskar av dagens riskhantering? Används all informa-tion som inrapporteras? Är processen effektiv? Har 1a linjen fått ge input på vad de önskar få ut av riskhanteringen och hur de önskar arbeta?
•Se över fullständigheten- Hur synkroniseras riskhanteringen med exempelvis kundklagomål? IT? Kontrollfunktioner? Bidrar samtliga relevanta parter till att skapa en fullständig riskbild?
•Se över metodik- Om GRC ska ge så mycket som möjligt så måste man tillse att rapportering sker likartat i hela organisationen, att risker rapporteras på samma nivå, utifrån samma perspektiv. Detta kräver tydlig metodik och utbildning!
•Se över roller och ansvar- Hur ska man hantera “delade” risker? Vem är riskägaren?
•Se över behov av GRC system
”Compliance” •Se över omvärldsanalysen- Blir alla nya/uppdaterade regelverk omhänder-tagna? Är ansvaret delat mellan funktioner? Är ansvaret tydligt vem som gör vad? Kan något falla mellan stolarna?
•Se över kommunikationsmodell- Hur kommuniceras nya krav ut? Är informationen tillgänglig för alla som behöver den? Hur kommuniceras interna regelverk ut?
•Se över roller och ansvar- Vem utför gapanalyser av regelkrav? Har alla regelverksområden en utsedd ägare? Hur styrs områden som påverkar flera bolag/enheter?
•Integrera regelkrav med kontroller- Har regelkrav kopplats till kontroller? Går det att utvärdera regelefterlevnad utifrån kontrollmiljön? Går det att utvärdera systematiska överträdelser?
•Se över uppföljningsmodell- Hur tillser bolaget att interna regler möts? Finns det tvåvägskommunikation med verksamheten?
Vanliga misstag i finansiella sektorn • Strategin omfattar inte samtliga affärsområden och tar inte i beaktning den förflyttning som man
önskar/behöver göra för att möta kundförväntningar/krav. • Funktioner/enheter/individer får själva bestämma vad deras syfte, roll & ansvar är, vilket inte
alltid motsvarar bolagets behov eller bolagets bästa? • Bolag har inte fastställt vem som ska ha rätt att besluta om risker som delas mellan exempelvis
bolag eller enheten (vem är den som ultimat beslutar om risktagande och ambitionsnivån kring kontrollmiljön?).
• Riskägarskapet allokeras till ”den som har budget och som kan betala för potentiella brister i kontrollmiljön” och inte i enlighet med ”vem kommer få ta konsekvensen”. Detta är särskilt ett problem i stora företag med mycket intern outsourcing.
• Företag “hyr in personal för att sätta upp internkontrollramverk, hantera riskrapportering etc. istället för att satsa på att integrera det i verksamheten och samtidigt bygga in förståelse och kontroll samt bygga upp rätt strukturer från början.
• Metodiken för riskhantering är för öppen för tolkning vilket leder till olika nivåer av riskrapportering.
• Det finns inga bra kommunikationsmetoder för att förmedla information till medarbetare, exempelvis nya regelkrav, utbildningar etc.
Fördelar med ett GRC system
Fördelarna: • Det möjliggör ”en sanning” av organisationens riskbild. • Det möjliggör ett gemensamt “språk”. • Det kopplar ihop funktioner som har gemensamma behov/intressen, vilket innebär effektivare
hantering och kommunikation. Till exempel: Kundklagomål och incidentrapportering. Risker, processer och kontroller. Internrevision, Compliance och Risk. IT och Verksamhet.
• Det går att länka interna regler med kontroller, vilket gör det lättare för bolag att följa upp att interna krav är implementerade och efterlevs.
• Det kan användas för rapporteringssyften, frågebatterier, självutvärderingar etc. The sky is the limit!
• Det går att bygga in “intuitiva” händelser i systemet. Om en kontrollägare exempelvis fallerar en kontroll så kan systemet automatiskt trigga en incidentrapport eller skicka ett meddelande till riskägaren att riskbedömningen behöver ses över.
Nedsidor (eller snarare nödvändiga förberedelser): • Om datan som läggs i systemet inte är bra så kommer systemet inte kunna leverera på
förväntningar- if shit goes in, shit comes out. Datakvalitet och tydligt syfte med datan som insamlas/används är extremt viktigt!
• Om man vill ändra taktik och börja arbeta med GRC utifrån ett nytt/annat perspektiv så är det viktigt att visionen sätts innan systemet konfigureras. Vad vill man uppnå? Glöm inte nya/kommande lagar och regler!
• Det säkerställer ett “språk”… förutsatt att bolaget har tillsett att ord betyder detsamma inom organisationen. Om så inte är fallet så behöver en informationsmodell tas fram och fastställas innan systemet implementeras.
• Systemet kommer innehålla mycket information som kan ha olika informationsklassificeringar (öppen, intern, konfidentiell). Det är därmed viktigt att sätta upp lämpliga behörighetsstrukturer som möter behov men även lagar och regler!
• Systemet kan förmodligen göra allt du vill, och i många fall är detta en risk i sig självt. Det är viktigt att inte använda mer funktioner än vad som behövs. Ingen kommer använda ett för komplext system. Kom ännu en gång ihåg syftet med systemet, vad vill man få ut?
• Tänk på riskaggregering, behov att länka processer och/eller affärsområden och vilken nivå på rapportering i systemet som krävs för att maximera användandet av data.
Tack för er tid! Om ni har några frågor eller vill diskutera något som jag har pratat om idag, hör gärna av er! [email protected]