Hantera föreskriften för operativa risker

(1)

Hantera föreskriften för operativa risker

SAS® Enterprise Governance Risk & Compliance

SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN

(2)

(3)

Föreskrifterna och SAS® Enterprise Governance Risk & Compliance

De nya föreskrifterna från Finansinspektionen avseende hantering av operativ risk och föreskrifterna om styrning, riskhantering och kontroll är betydligt mer detaljerade i kraven kring hanteringen än tidigare gällande lagstiftning. För de allra flesta institut som omfattas av lagstiftningen betyder reglerna att befintliga processer kan behöva förbättras och i många fall även att nya processer behöver sättas på plats.

Genom att applicera en gemensam plattform för alla de kvalitativa processerna som regelverket kräver, säkerställs arbetsflöden, ansvar tydliggörs, genomförande, beslut och ändringar dokumenteras. På så sätt erhålls kvalitet, tydlighet och överblick i arbetet. Manuellt arbete med att samla ihop och sammanställa information minimeras och fokus kan istället läggas på att analysera resultaten och på att förbättra de ramverk och processer som finns på plats.

SAS Enterprise Governance Risk & Compliance (SAS EGRC) är en integrerad lösning för att standardisera och hantera icke-finansiell risk som operativ och strategisk risk. Även information från finansiella riskhanteringssystem (t ex kredit risk, likviditets risk mm.) kan konsolideras för att skapa en företagsövergripande bild av organisationens exponering för risk och regelverksefterlevnad. I samma lösning hanteras övriga stödjande processer som åtgärdshantering, kontroller och monitorering för alla riskområden. Lösningen är flexibel och kan anpassas efter ramverk som t ex; COSO, ISO 31000, ISO 27000 och företagsspecifika behov. SAS EGRC är utvecklad för att ge stöd för risk, compliance och internrevision, genom att möjliggöra standardisering och integrering av mycket information och processer i en gemensam plattform.

Bild: Översikt över SAS OpRisk Solutions som utöver SAS EGRC funktionella moduler, integrerade datahantering och rapporteringslager även innehåller tilläggsmodulerna: SAS OpRisk VaR för riskmodellering och SAS OpRisk Global Data, databas med externt publikt incidentdata.

(4)

Funktionella moduler:

SAS EGRCs många funktionella moduler är utvecklade för att flexibelt kunna anpassas efter processer och behov. Dessutom finns möjlighet att utveckla ytterligare funktionella moduler (custom objects), eventuellt med utgångspunkt från någon av de existerande modulerna.

Kortare beskrivningar av de funktionella moduler som i standard medföljer lösningen:

Riskhantering (Risk & Control Assessment)

 Anpassningsbart stöd för riskhanteringsprocessen; riskidentifiering, självutvärdering av risk och kontroll, risk och åtgärdsbeslut länkat till åtgärdshantering

 Risk och Kontrollbibliotek, med kraftfull funktion för sortering, filter och sökning

 Hanterar all riskinformation som t ex orsaker, riskägare, begränsande controller, riskkategorier, risklimiter, utvärderingsmått/skalor mm.

 Stödjer mappning av risk till flera dimensioner/hierarkier, t ex organisation (funktionell resp. legal organisation), processer, intern resp. Basel risk kategori och många fler. Förenklar överblick och rapportering i flera dimensioner

Händelserapportering (Incident Management)

 Stödjer händelserapportering; inrapportering, utredning av händelser/incidenter och förlustvärdering

 Arbetsflödet kan sättas upp flexibelt baserat t ex på händelsetyper och gränsvärden för

eskalering/validering. Flera parallella processer för olika typer av händelser kan hanteras, t ex för säkerhetsincidenter, kundklagomål, IT incidenter mm.

 Hanterar all händelseinformation och kategorisering t ex förlust resp ”near-miss”, händelsetyper (intern/Basel), finansiell och icke-finansiell förlust, eventuellt återhämtande/försäkring, allokering

 Stödjer konfidentiell händelserapportering samt kan sättas upp för ”whistleblower”

 Incidentdata från andra system kan läsas in till SAS EGRC

Åtgärdshantering (Mitigation Management)

 För GRC övergripande åtgärdshantering, dvs åtgärder kan länkas till alla moduler t ex åtgärder för att hantera, risk, händelser, alarmerande riskindikatorer eller annat

 Flexibelt innehåll och arbetsflöde för åtgärder, vilka kan anpassas för olika områden

 Hanterar all information för åtgärdshantering som t ex ägare, tidplan, kostnad, färdigställande

 Kan initieras manuellt eller automatiskt

 Flera åtgärdsplaner kan länkas samman, eventuellt med ett problemområde (issue) som sammanhållande faktor

(5)

Riskindikatorer (KRI – Key Risk Indicators)

 Ramverk för att specificera indikatorer på central och lokal nivå, indikatorer kan länkas till ett eller flera objekt, t ex den risk som indikatorn är assossierad med

 Indikatorer kan vara prediktiva/reaktiva, flexibelt sättas tillåtna värdesintervall och gränsvärden

 KRI observationer kan läggas in manuellt eller via automatiska datainläsningar. KRI observationer kan baseras på enstaka värden eller vara beräknade

 Överträdelse av KRI gränsvärden kan användas för att initera notifieringar eller eskaleringar

Scenarier (Scenarios)

 Förenklat stöd för självutvärdering – för utvärdering av risk kopplat med scenario

 Stödjer “rare event” och “bucketed” värdering

Kontrolltest (Control Testing)

 Hantering av testprocess, inklusive skapande och schemaläggande av kontrolltest, genomförande av test och dokumentation av testresultat med möjlighet för certifiering av kontroller

 Test kan sättas upp för annat än kontroller, t ex av beredskapsplaner, kontinuitetsplaner mm.

 Test kan sättas upp att ske med automatik

 Summeringsrapporter över genomförande och resultat av test kan sättas upp

Regelverkshantering (Policy Management)

 Hanterar livscykelprocess för dokument som t ex Styrdokument, Policys, Avtal mm.

 Flexibel dokument livscykel inkluderande t ex Skapa, Revidera, Godkänna, Kommunicera, Acceptera....

 Hanterar all information kring dokument som t ex version, ägare, revisionsintervall mm.

 Möjliggör länkning av t ex policy med övriga objekt som t ex lagar och regler, de risker den avses hantera

Uppdragshantering (Audit Management)

 För att hantera till exempel uppdrag för internrevision och compliance

 Uppdrag kan omfatta självutvärderingar, controlltest mm och uppgifter kan delegeras

 Dokumenterar resultat av uppdrag och möjliggör initiering av åtgärder kopplade till resultaten

Ytterligare funktion (Custom objects)

Det är möjligt att lägga till ytterligare funktionella moduler, dessa kan antingen utgå från någon existerande modul, vara en kombination av moduler för ett visst ändamål eller vara helt ny utvecklad funktionalitet. Lösningen är flexibel i att sätta upp arbetsflöden med anpassade gränssnitt och kan därför appliceras på i stort sett vilket kvalitativt flöde som helst. Några exempel:

(6)

 Kombination av ovanstående moduler för specifik grupp/ändamål t ex risk, incident och åtgärdshantering för Info säkerhet

 Utredning/Ärendehantering för olika ändamål

 Business Continuity Management funktionalitet

 Risklimit hantering

 Investingsbeslutsprocess

Dashboards & Rapportering

 Möjliggör riskrapportering för alla integrerade GRC processer, både kundspecifika och ett antal fördefinierade standardrapporter

 Innehåller ”out of the box” rapporteringsmart och färdiga informationsmappar för olika ändamål

 SAS BI plattform med komplett rapportering, analys, dashboard och portalfunktion ingår, vilket ger möjlighet att ta fram i stort sett vilken rapport som helst

 Olika gränssnitt för olika typer av användare, från enkla ”wizard” drivna rapporteringsgränssnitt till avancerade analysgränssnitt för expertanvändaren

 Microsoft integration,för att generera rapporter i MS Word, Excel och PowerPoint

 Information och rapporttillgång kan sättas beroende av användare, roll och tillhörighet

 Unik 360° länkrapport som visar relationerna mellan länkade objekt, t ex för en specifik risk

 Se grafiskt vilka controller, orsaker, test och assessments som är länkade till risken:

Bild: Out-of-the-box 360° länkrapport

(7)

SAS Standardfunktionalitet som ingår i SAS EGRC

EGRC Databas och referensdatahantering

 Användarvänligt gränssnitt för att skapa och underhålla hierarkiska dimensioner (t ex organisation, process, risktyp, kontrolltyp) för hantering och rapportering

 Tillåter upp till 23 hierarkiska dimensioner, med upp till 10 nivåer och obegränsat antal noder

 Mapping mellan dimensioner, t ex arbeta med interna risktyper och rapportera med Basel risktyper

Workflow – stöd för processer, larm, notifieringar och eskalering

 Workflow stöd kan appliceras på alla processer

 Arbetsflöden kan sättas olika för olika typer av processer, för olika enheter eller bero på allvarlighet eller annan parameter

 Larm och notifieringar kan skapas automatiskt och levereras i en ”task list” och via e-mail. Det är möjligt att även sätta upp SMS notificatieringar

 Regelbaserad automatisk eskalering

Monitorering

 Möjlighet att sätta upp löpande och automatisk monitorering av GRC information; t ex kontrollfunktionalitet, risk och performance indikatorer

 Monitorering kan automatiskt generera larm för ökande risk, överskridna risklimiter fallerande kontroller mm.

Data Integration

 Lösningen innehåller komplett funktionalitet för data integration och data från i stort sett alla källor kan integreras, t ex ekonomisystem, andra risk och incidentsystem, konsortiedata och för automatiskt födande av risk och performance indikatorer

 Funktionalitet för att extrahera, transformera och ladda data

 Hantering av datakvalitet

 Ger verksamhetspersoner möjlighet att integrera med Excel datakällor på ett säkert sätt

Tilläggsmoduler:

SAS Global Data – Extern databas för publika op risk händelser SAS OpRisk VaR – Riskmotor för Intern modell av OpRisk

(8)