GL 44 kommer inte ensamt

Margareta Lindahl, 7 maj 2013

Sätt dig i förarsätet

• EBA GL 44 • föreskriften om styrning,

riskhantering och kontroll • föreskriften om hantering av

operativa risker • föreskriften om informationssäkerhet • i stort sett självklarheter utifrån

bankrörelselagen (6 kap. 2 §) och värdepappersmarknadslagen (8 kap. 4 §)

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Exempel där GL 44 går längre

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

GL 44 om styrelsen • Minimikrav att skriftligen

dokumentera förväntad tidsomfattning av uppdrag.

• Rekommendation att använda revisionsutskott. Ordförande ska vara oberoende och inneha specialkunskap inom redovisning och intern-kontroll.

GL 44 om risktagande

• Riskbeslut kräver även en kvalitativ analys.

• NPAP: Vidare och specifikare omfattning. Exempelvis ska prissättningsmodeller för kapitaltäckning, vinst, adekvata systemstöd och expertis beaktas specifikt.

Chief Risk Officer respektive riskchef

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

GL 44

säger att det ska finnas en CRO

vill ha en riskchef om lämpligt

FFFS om styrning, riskhantering och kontroll

CRO:n måste ha påvisad kompetens och senioritet

endast allmänna krav om personalens kompetens

kräver en process för tillsättning och avsättning av CRO:n

processen har ersatts med interna regler

Motstridigt

• Föreskriften om styrning: risktolerans beslutas av ledningen

• Föreskriften om operativa risker: risktolerans beslutas av styrelsen

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Kom ihåg

• Riskaptit/tolerans • Stresstester är nu krav i

– GL 44, – GL 32, – FFFS om styrning,

riskhantering och kontroll, samt

– FFFS om operativ risk.

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Operativa risker – det som händer när internkontrollen brister

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Operativa risker (1/2)

Fördjupning och fokusering på: • riskhantering – inför krav på

riskindikatorer, ”KRI” • incidenthantering och

rapportering • personalens ”fit & proper” • godkännandeprocessen ”NPAP”

får med intentionen från GL44 • kontinuitetshantering

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Operativa risker (2/2)

Innebär mer: • processkartläggning av väsentliga

delar av verksamheten • nyckelkontroller • processägare, intressenter och

beslutsfattare • it-system i processerna • minst 6 nya områden för

internrevisionen att granska

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Och så var det nu det här med informationssäkerhet också…

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Förtydligade krav

• kräver ett ledningssystem för informationssäkerhet

• förtydligar att styrelsen även ska säkerställa IT-verksamhetens säkerhet och effektivitet

• CISO – eller möjligen en koppling till riskkontroll-funktionen

• adderar ytterligare krav till operativa riskreglerna: – risk- och

sårbarhetsanalyser – informationsklassifi-

cering – särskilt i insättnings-

systemet

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Nya krav på riskdata

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Verksamheten ska ha möjlighet att ta fram väsentlig data i stressade situationer, med specifika mätdata så som till exempel riskförändringar.

Sammanfattningsvis

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

GAP-analys GL 44

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

Operationell risk

Riskaptit och riskkultur

Riskkontroll och riskfunktion

Ledningssystem för informationssäkerhet

Regelefterlevnad (Compliance)

Roller, ansvar och kompetens (exempelvis styrelse och CRO)

Kontinuitetsplanering

Processtöd Processägare och kontroller för alla väsentliga processer

Avtalshantering, kommunikation och rapportering

Incidenthantering

Säkring av indata

Godkännandeprocess (NPAP)

Personal (bakgrundskontroller och intressekonflikter)

Största utmaningarna

• få en fungerande NPAP på plats • hinna införa ett ledningssystem för

informationssäkerhet • rekrytera styrelseledamöter och

andra nyckelpositioner till mindre banker/kreditmarknadsbolag/ värdepappersbolag

• införa incidentrapportering som fångar alla incidenter systematiskt

© T

rans

cend

ent G

roup

Sve

rige

AB

201

3

www.transcendentgroup.com

GL 44 kommer inte ensamt Gent Jansson

17

Vad jag ska prata om

Kort beskriva hur SEB arbetar med implementationen av GL 44 och Finansinspektionens föreskrifter om intern styrning och kontroll m.m. Ge några reflektioner på vad GL 44 – såsom den föreslås implementeras i Sverige – kan komma att få för konsekvenser

18

Hur kan man ”ge sig i kast” med implementationen av GL 44? Gap analys – arbetsgrupp med representanter för Legal, Compliance, Risk, Internal Audit GL 44 eller Finansinspektionens förslag till föreskrifter? Hur har vi säkerställt att vi lever upp till kraven – t.ex. avseende olika

processer? Var är frågan omhändertagen i våra interna regler? Dokumentation

Hur säkerställer vi ”rätt” kompetens och sammansättning i styrelsen? Valberedningens arbete avseende koncernstyrelsen Helägda dotterbolag Styrelsens ansvar – koncern respektive legal enhetsnivå

Några ord om NPAC som medel att hantera operativ risk

19

Några tankar kring tre möjliga konsekvenser

Det är inte implementationen i sig som är det stora – det är den påverkan regelverket får på det dagliga riskarbetet Vad som igår var ”best practise” bland större finanskoncerner blir i morgon

tvingande minimikrav Från riskbaserat arbete till regelstyrt?

Hur ska vi tolka det nya regelverket? Föreskrifter vs. Guidelines vs. Finansinspektionens praxis Bank/ försäkring/ värdepapper/ fond Intern styrning och kontroll – den fortsatta utvecklingen? Driver branschen eller ”lagstiftaren” utvecklingen? Behov av löpande uppdateringar av regelverket

20

GL 44 kommer inte ensamt Gent Jansson

21