• No results found

4. Teoretisk referensram och tidigare forskning

7.1.1 De tre försvarslinjerna och risk management

Den empiriska undersökningen visar på att bankerna utformar sin riskhantering utifrån modellen med de tre försvarslinjerna som bland annat Luburic, Perovic och Sekulovic (2015) samt Davies och Zhivitskaya (2018) gjort studier på vilket också är ett krav enligt Finansinspektionen menar Respondent B. Samma respondent förklarar att modellen är en oerhörd trygghet för banken, särskilt för VD:n som är ytterst ansvarig för verksamheten, då den säkerställer att riskaptiten inte bryts och att ett förtroende skapas för banken kring att den följer de lagar och regelverk som finns. En majoritet av respondenterna förklarade att första försvarslinjen är den del som jobbar aktivt mot kund och där affärerna sker vilket stämmer överens med Luburic, Perovic och Sekulovic (2015) och Davies och Zhivitskayas (2018) resonemang om att första linjen avser riskhantering i företagets frontlinje.

Andra försvarslinjen består av funktionerna riskkontroll och regelefterlevnad (eng. compli- ance). Riskkontrollen är den funktion som identifierar och kartlägger alla risker i banken och regelefterlevnad har enligt Respondenterna A, B och C som uppgift att säkerställa att regelverken som finns efterföljs genom att läsa dessa och implementera rutiner för det i verksamheten. Respondenternas förklaring av linje två stämmer väl överens med Luburic, Perovic och Sekulovic (2015) och Davies och Zhivitskaya (2018) definition av andra för- svarslinjen som de menar ska utveckla metoder, riktlinjer och utbildning som ska hjälpa företaget att vara uppmärksamma på dem risker som finns. Respondenterna riktade stort fokus åt regelefterlevnadsfunktionen i försvarslinje två som de menar är bankledningens verktyg, medan en majoritet av respondenterna menar att internrevision som se- dan kommer i försvarslinje tre är styrelsens verktyg. Flera av respondenterna förklarade att processen med att identifiera risker går ut på att samla in material genom all typ av till- gänglig information i banken. Respondent B förklarade att de gör intervjuer och enkätun- dersökningar med personalen medan Respondent D förklarade att de samlar in strategier, beslut, incidentrapporter, kundklagomål, rapporter från regelefterlevnad, information från externrevisorn och mycket annat. Denna förklaring stämmer överens med det första steget i Alexanders (1992) studie om risk management som går ut på att identifiera alla risker i fö- retaget genom användning av olika tekniker. Andra steget i risk management enligt Alexan- der (1992) är att utvärdera riskernas troliga frekvens och dess allvar vilket är något som både Respondenterna B och E nämnde när de förklarade att efter alla risker i banken har identifierats så fastställs vilka områden som ska granskas och när detta ska ske beroende på vad som anses vara mest riskfyllt. Det stämmer också överens med Koutoupis och Tsamis (2009) modell för hur planeringen av granskning i banken kan ske där man först identifie-

48

rar riskerna, därefter bedöms hur hög risken är med hjälp av en skala och slutligen fastställs vilken typ av granskning som ska göras och hur frekvent. Respondent B förklarar att de har ett trafikljussystem som bedömer riskerna enligt färgerna röd, gul, orange och grön där syftet är att visa vilka områden som banken ligger bättre till med och vart man behöver arbeta mer med riskerna berättar respondenten därifrån. Detta system är likt Koutoupis och Tsamis (2009) beskrivning där de menar att granskningens utformning fastställs ut- ifrån risknivån som styrelsen efterfrågar vilket även respondenterna B och E förklarar när de berättar att styrelsen varje år fastställer vilka områden som ska granskas mer just då. Däremot är det bara Respondent B som berättar om detta trafikljussystem där man bedö- mer riskerna med hjälp av en skala.  Koutoupis och Tsamis (2009) slutsats om granskning- ens utformning, som fastställdes i samband med en undersökning i grekiska banker, stäm- mer därmed överens med hur en del banker strukturerar upp sin granskning, men det be- hövs mer studier för att säkerställa om det tillämpas i alla svenska banker.

Därefter kommer vi in på den tredje försvarslinjen som samtliga respondenter menar är internrevisionen. Tre av respondenterna förklarar att internrevisionens uppgift är att kon- trollera dem andra två försvarslinjerna genom att se till att man följer de regelverk och ruti- ner som finns uppsatta genom till exempel stickkontroller samt att man följer upp att den andra linjen gör sina kontroller på rätt sätt. Respondent F förklarar också att det är viktigt att inte internrevisionen och funktionerna i linje två kollar på samma saker och om det sker ska det göras utifrån olika vinklar. Luburic, Perovic och Sekulovic (2015) och Davies och Zhivitskayas (2018) förklaring av internrevisionen stämmer bra överens med detta som menar på att funktionen ska granska effektiviteten i företagets riskhantering och rapportera till ledningen i företaget samt till revisionsgruppen (vilket även Respondent F berättar). Det som dock inte framgår lika tydligt i tidigare studier är definitionen av vem ledningen i före- taget är, men av den empiriska undersökningen kan det fastställas att det är bankens styrel- se. Vi återgår till Alexanders (1992) studie om risk management och steg tre i den processen som inkluderar fysiska åtgärder för att reducera och eliminera de identifierade riskerna samt dess ekonomiska konsekvenser. Detta steg verkar vara en kombination av försvarslin- je två och försvarslinje tre. Compliance i försvarslinje två tar fram och implementerar ruti- ner i bankens arbete för att de ska leva upp till dem regelverk samt lagar som finns vilket är en fysisk åtgärd. Därefter kommer internrevisionen i försvarslinje tre och följer upp att des- sa regelverk samt rutiner efterföljs i verksamheten genom bland annat stickkontroller vilket även det är en fysisk åtgärd. Steg fyra i Alexanders (1992) studie om risk manage- ment berörs dock inte direkt av den empiriska undersökningen, det vill säga att ha en plan för hur banken ska hantera förluster i samband med sådana risker som inte helt kan elimi- neras. Respondent A förklarar dock att då internrevisionen upptäcker brister kartlägger man vart det krävs en kompetensutveckling och sedan genomför man detta vilket medför

49

en ökad kompetens och därmed lägre risk för att göra fel nästa gång vilket ökar intjäning- en i verksamheten. Något svar om hur förlusten av pengar hanteras vid brister är inget som lyfts av den insamlade empirin, men åtgärder för att förebygga liknande förluster igen tas upp och det kan kopplas till Alexanders (1992) fjärde steg i risk management. Det är ett förebyggande arbete av risker snarare än åtgärder för att planera hur förluster ska hanteras varvid det inte är identiskt med Alexanders (1992) studie, men enligt vår uppfattning är det en likhet. Risk management används i många olika branscher och just inom bankvärlden indikerar den empiriska undersökningen att de tre första stegen i modellen är de mest ak- tuella.

Luburic, Perovic och Sekulovic (2015) förklarar i sin studie att syftet med de tre försvarslin- jerna är att inga risker ska kunna passera förbi obemärkta vilket stämmer väl överens med Respondent B:s resonemang om att även om något passerar linje ett så kommer då linje två eller till och med linje tre sätta stopp för det. Luburic, Perovic och Sekulovic (2015) menar också att modellen med de tre försvarslinjerna ska visa hur de anställda ska arbeta tillsam- mans för att lyckas i sin riskhantering vilket inte helt styrks av den insamlade empirin då flera av respondenterna förklarat att linjerna många gånger kan överlappa varandra och beröra samma områden. Som en majoritet av respondenterna förklarat krävs det kommu- nikation mellan linjerna där man genom detta kan undvika att det görs ett dubbelarbete och istället kollar på områden utifrån olika vinklar. Davies och Zhivitskayas (2018) kritik om att modellen med de tre försvarslinjerna inbringar en falsk trygghet är inget som fått gehör bland respondenterna då den enda kritik som riktats från deras sida är att det kan bli dub- belarbete och vara tidskrävande, men att det medför en trygghet i verksamheten vilket mot- säger den tidigare studiens resonemang. Luburic (2017) förklarar att modellen kan effekti- viseras och enligt respondenterna är en tydligare distinktion samt mer kommunikation mellan linjerna ett steg som önskas.

Related documents