Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
1. GRC-succéfaktorer
Hur får man ut mer värde av GRC än enbart regelefterlevnad?
Josefin Nordlander
Chef Koncernsäkerhet & Kontroll
GRC Dagarna Transcendent Group
19 maj 2016
2. Riskhantering är nyckeln till framgång!
Strategiska
risker
Externa risker
Risker som
kan
undvikas
Dessa risker kan inte
transfereras eller
elimineras.
Riskhanteringen blir
därmed beroende av
tydliga risktoleranser,
framtagande av möjliga
scenarios som skulle
kunna inträffa samt
monitorering av KRIer
(key risk indicators).
Dessa risker ligger utom organisationens kontroll.
Riskhanteringen fokuseras därmed mot att
begränsa riskexponering och potentiell skada om en
risk realiseras.
Detta är finansiella och
operativa risker som en
organisation bör försöka
eliminera, transferera
eller förebygga
eftersom en realiserad
risk alltid kommer
resultera i negativa
konsekvenser.
Kostnadseffektiva
kontroller är A & O!
3. Styrelsen bestämmer ultimat risktagandet
Styrelsen sätter ofta ramarna för bolagets risktagande genom att fastställa:
• Riskstrategi (riskfilosofi, riskstyrning och önskade risknivåer).
• Riskaptitmått och limiter.
• Regler för hur bolaget får placera tillgångar.
• Ägarinstruktioner (relevant för moderbolag för styrning av dotterbolag) etc.
Vanliga misstag i finansiella sektorn:
• Riskhantering ses endast som en nödvändighet för att möta regelkrav och inte som något
som ska tas i beaktning varje dag, i varje beslut.
• 2a försvarslinjen fastställer ramverk och metodik för riskhantering utan att 1a linjen får vara
med och ge input.
• Riskstrategin tar inte i beaktning alla nivåer av riskhantering.
• Det finns inte tillräckligt med KRIer för att säkerställa att risktagande är inom ramen för
styrelsens alternativt riskägarens önskemål/krav.
4. Men kunders förväntningar/krav är lika viktiga!
Socialt
ansvarstagande
Affärsetik
Säkerhet
Ansvarsfull
arbetsgivare
Miljövänlig
Etiska
investeringar
Transparens &
långsiktiga
kundrelationer
Regel-
efterlevnad
Digitalisering
Enkelhet
5. Exempel: Exampel:
Process
”Skadereglering”
Information
Läkarjournaler,
kvitton,
skadeanmälan
etc.
Personal /
Kompetens
IT-stöd
Process / Flöde
Leverantör /
3e part
”Tillförlitlig och
effektiv
skadereglering”:
- 99 % ärenden
hanterade
korrekt.
- 80 % av
ärenden
hanterade inom
10 dagar.
”MED”
Fastställ varje
process
beroenden/behov
för att mål ska
kunna mötas
”HUR”
Fastställa vilka
processer (och
information) som
kommer bidra till att mål
kan mötas.
”VAD”
Fastställa affärsmål
1a linjens riskhantering fokuserar på att möta
affärsmål inom acceptabelt risktagande
Socialt
ansvarstagande
Affärsetik
Säkerhet
Ansvarsfull
arbetsgivare
Miljövänlig
Etiska
investeringar
Transparens &
långsiktiga
kundrelationer
Regel-
efterlevnad
Digitalisering
Enkelhet
6. En risk kan ha flera orsaker och konsekvenser
Risk för att
felaktiga/falska
skadeanmälningar
godkänns och
betalas ut
Orsaker:
- Person skickar in falska
underlag.
- Processfel (ingen dualitet
vid utbetalning, bristande
manuell hantering etc.).
- Medarbetare utför
bedrägeri alternativt
agerar ”målvakt”
Konsekvenser:
- Kundmissnöje/
klagomål (ev. lämnar kund
företaget).
- Finansiella förluster.
- Förlorade intäkter
Risk för att
obehöriga olovligen
får åtkomst till
konfidentiell
information
Orsaker:
- Externt hot (t.ex. hacker
attack).
- Ej fungerande
behörighetsadministration
- Medarbetare är
omedvetna om/förstår ej
krav
Konsekvenser:
- Lagbrott/regel-
överträdelser
- Kundmissnöje/klagomål.
- Kundflykt
- Skadat varumärke
-Förlorade intäkter
Vanliga misstag i finansiella sektorn:
• Orsaker och konsekvenser dokumenteras och rapporteras som risker.
• Flera konsekvenser ”bakas in” i en och samma risk trots att acceptabelt risktagande kan variera
beroende på varje konsekvens.
• Samtliga möjliga orsaker till att en risk kan realiseras är inte identifierade och tas därmed inte i
beaktning när kontrollmiljö fastställs/implementeras.
7. Riskmonitorering bör inkludera oönskade
konsekvenser
Risk för att
felaktiga/falska
skadeanmälningar
godkänns och
betalas ut
Konsekvenser:
- Kundmissnöje/
klagomål (ev. lämnar
kund företaget).
- Finansiella förluster.
- Förlorade intäkter
Möjliga ”red flags”:
- Antal incidenter.
- Antal kundklagomål.
- Finansiell
kompensation till kund.
- Bedrägeriförluster.
Risk för att
obehöriga
olovligen får
åtkomst till
konfidentiell
information
Konsekvenser:
- Lagbrott/regel-
överträdelser
- Kundmissnöje/klagomål.
- Kundflykt
- Skadat varumärke
-Förlorade intäkter
Möjliga ”red
flags”:
- Antal incidenter.
- Antal fallerade
kontroller som är
kopplade till regelkrav,
falleringsfrekvens, tid
det tar att åtgärda brist
- Antal kundklagomål.
- Antal kunder som
lämnar (vid incident).
8. Kontrollmiljön måste beakta både oönskade
konsekvenser samt relaterade orsaker
Risk för att
felaktiga/falska
skadeanmälningar
godkänns och
betalas ut
Orsaker:
- Kund skickar in falska
underlag.
- Processfel (ingen
dualitet vid utbetalning,
bristande manuell
hantering etc.).
- Medarbetare utför
bedrägeri alternativt
agerar ”målvakt”
Kontrollaspekter:
- Försäkringsskydd.
- Inbyggd dualitet vid
utbetalning.
- Automatiserade flöden.
- Transaktions-
övervakning.
Risk för att
obehöriga olovligen
får åtkomst till
konfidentiell
information
Orsaker:
- Externt hot (t.ex. hacker
attack).
- Ej fungerande
behörighetsadministration
- Medarbetare är
omedvetna om/förstår ej
krav
Kontrollaspekter:
- Försäkringsskydd.
- Regelbunden
behörighetskontroll.
- Monitorering av
behörighetsgrupper.
- Utbildning/information om
informationssäkerhetskrav
- Monitorering av externa
intrång/försök till intrång
10. Förutsättningar för att lyckas?
Vad behöver första linjen för att kunna ta fullt ansvar för regelefterlevnad och riskhantering?
Fokus måste vara på:
• Tydliga roller och ansvar- Vem är ansvarig för att identifiera risker? För att bedöma vilka
konsekvenser som är acceptabla? För att sätta acceptabelt risktagande? För att
monitorera risktagande? För att flagga/rapportera på avvikelser? För att identifiera kritiska
kontrollaspekter? För att identifiera nyckelprocesser I en process? För att tillse att
kontrollerna fungerar? För att hantera brister i kontrollmiljön? Etc.
• Lagar och regler- Vem övervakar nya/ändrade regelverk? Hur kommuniceras de till
berörda parter i organisationen? Vem har det strategiska ansvaret att utvärdera
regulatorisk påverkan om regelverket slår mot flera bolag i en koncern? Vem ansvarar för
att utföra gapanalys av regelkraven mot befintlig kontrollmiljö? Etc.
• Support/stöd- Vad behöver 1a linjen för support/stöd för att kunna ta fullt ansvar? Vad
kan kontrollfunktionerna bistå med? Behövs det en internkontrollfunktion? Ett GRC
system? Vem kommer tillse att utbildningsbehov, information, mallar, system etc. finns,
fungerar och möter behov?
11. Vad behöver man som organisation börja med:
”Governance”
•Se över strategin- Omfattar den
samtliga affärsområden? Tar den i
beaktning IT och andra kritiska
områden som är kritiska för att få till
den förflyttning som man ser behöver
göras? Utgår den ifrån kundens
krav/önskemål? Har man en vision
kring vad man vill uppnå?
•Se över affärsområden- Vad behövs
för att leverera den vision som har
fastställts? Vilka enheter/funktioner
/roller behöver finnas för att leverera
affärsmål? För att möta regelkrav?
Finns det vissa funktioner som inte
tjänar något givet syfte?
•Se över beslutanderätt- Utifrån
affärsmål och förtydligat ansvar,
fastställ vem som behöver ha vilken
beslutanderätt;
•Se över behovet av en GRC funktion-
Vad vill man ha ut utav GRC? Tar man
tillvara på alla effekthemtagningar?
Vem ska styra/driva Vilken rapportering
önskas?
”Risk”
•Se över riskramverket- Får man ut det
man önskar av dagens riskhantering?
Används all informa-tion som
inrapporteras? Är processen effektiv?
Har 1a linjen fått ge input på vad de
önskar få ut av riskhanteringen och hur
de önskar arbeta?
•Se över fullständigheten- Hur
synkroniseras riskhanteringen med
exempelvis kundklagomål? IT?
Kontrollfunktioner? Bidrar samtliga
relevanta parter till att skapa en
fullständig riskbild?
•Se över metodik- Om GRC ska ge så
mycket som möjligt så måste man tillse
att rapportering sker likartat i hela
organisationen, att risker rapporteras
på samma nivå, utifrån samma
perspektiv. Detta kräver tydlig metodik
och utbildning!
•Se över roller och ansvar- Hur ska
man hantera “delade” risker? Vem är
riskägaren?
•Se över behov av GRC system
”Compliance”
•Se över omvärldsanalysen- Blir alla
nya/uppdaterade regelverk omhänder-
tagna? Är ansvaret delat mellan
funktioner? Är ansvaret tydligt vem som
gör vad? Kan något falla mellan
stolarna?
•Se över kommunikationsmodell- Hur
kommuniceras nya krav ut? Är
informationen tillgänglig för alla som
behöver den? Hur kommuniceras
interna regelverk ut?
•Se över roller och ansvar- Vem utför
gapanalyser av regelkrav? Har alla
regelverksområden en utsedd ägare?
Hur styrs områden som påverkar flera
bolag/enheter?
•Integrera regelkrav med kontroller-
Har regelkrav kopplats till kontroller?
Går det att utvärdera regelefterlevnad
utifrån kontrollmiljön? Går det att
utvärdera systematiska överträdelser?
•Se över uppföljningsmodell- Hur
tillser bolaget att interna regler möts?
Finns det tvåvägskommunikation med
verksamheten?
12. Vanliga misstag i finansiella sektorn
• Strategin omfattar inte samtliga affärsområden och tar inte i beaktning den förflyttning som man
önskar/behöver göra för att möta kundförväntningar/krav.
• Funktioner/enheter/individer får själva bestämma vad deras syfte, roll & ansvar är, vilket inte
alltid motsvarar bolagets behov eller bolagets bästa?
• Bolag har inte fastställt vem som ska ha rätt att besluta om risker som delas mellan exempelvis
bolag eller enheten (vem är den som ultimat beslutar om risktagande och ambitionsnivån kring
kontrollmiljön?).
• Riskägarskapet allokeras till ”den som har budget och som kan betala för potentiella brister i
kontrollmiljön” och inte i enlighet med ”vem kommer få ta konsekvensen”. Detta är särskilt ett
problem i stora företag med mycket intern outsourcing.
• Företag “hyr in personal för att sätta upp internkontrollramverk, hantera riskrapportering etc.
istället för att satsa på att integrera det i verksamheten och samtidigt bygga in förståelse och
kontroll samt bygga upp rätt strukturer från början.
• Metodiken för riskhantering är för öppen för tolkning vilket leder till olika nivåer av
riskrapportering.
• Det finns inga bra kommunikationsmetoder för att förmedla information till medarbetare,
exempelvis nya regelkrav, utbildningar etc.
14. Fördelarna:
• Det möjliggör ”en sanning” av organisationens riskbild.
• Det möjliggör ett gemensamt “språk”.
• Det kopplar ihop funktioner som har gemensamma behov/intressen, vilket innebär effektivare
hantering och kommunikation. Till exempel:
Kundklagomål och incidentrapportering.
Risker, processer och kontroller.
Internrevision, Compliance och Risk.
IT och Verksamhet.
• Det går att länka interna regler med kontroller, vilket gör det lättare för bolag att följa upp att
interna krav är implementerade och efterlevs.
• Det kan användas för rapporteringssyften, frågebatterier, självutvärderingar etc. The sky is the
limit!
• Det går att bygga in “intuitiva” händelser i systemet. Om en kontrollägare exempelvis fallerar en
kontroll så kan systemet automatiskt trigga en incidentrapport eller skicka ett meddelande till
riskägaren att riskbedömningen behöver ses över.
15. Nedsidor (eller snarare nödvändiga förberedelser):
• Om datan som läggs i systemet inte är bra så kommer systemet inte kunna leverera på
förväntningar- if shit goes in, shit comes out. Datakvalitet och tydligt syfte med datan som
insamlas/används är extremt viktigt!
• Om man vill ändra taktik och börja arbeta med GRC utifrån ett nytt/annat perspektiv så är det
viktigt att visionen sätts innan systemet konfigureras. Vad vill man uppnå? Glöm inte
nya/kommande lagar och regler!
• Det säkerställer ett “språk”… förutsatt att bolaget har tillsett att ord betyder detsamma inom
organisationen. Om så inte är fallet så behöver en informationsmodell tas fram och fastställas
innan systemet implementeras.
• Systemet kommer innehålla mycket information som kan ha olika informationsklassificeringar
(öppen, intern, konfidentiell). Det är därmed viktigt att sätta upp lämpliga behörighetsstrukturer
som möter behov men även lagar och regler!
• Systemet kan förmodligen göra allt du vill, och i många fall är detta en risk i sig självt. Det är
viktigt att inte använda mer funktioner än vad som behövs. Ingen kommer använda ett för
komplext system. Kom ännu en gång ihåg syftet med systemet, vad vill man få ut?
• Tänk på riskaggregering, behov att länka processer och/eller affärsområden och vilken nivå på
rapportering i systemet som krävs för att maximera användandet av data.
16. Tack för er tid!
Om ni har några frågor eller vill diskutera något som jag har pratat om
idag, hör gärna av er!
Josefin.nordlander@skandia.se