Hantera föreskriften för operativa risker
SAS® Enterprise Governance Risk & Compliance
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
Föreskrifterna och SAS® Enterprise Governance Risk & Compliance
De nya föreskrifterna från Finansinspektionen avseende hantering av operativ risk och föreskrifterna om styrning, riskhantering och kontroll är betydligt mer detaljerade i kraven kring hanteringen än tidigare gällande lagstiftning. För de allra flesta institut som omfattas av lagstiftningen betyder reglerna att befintliga processer kan behöva förbättras och i många fall även att nya processer behöver sättas på plats.
Genom att applicera en gemensam plattform för alla de kvalitativa processerna som regelverket kräver, säkerställs arbetsflöden, ansvar tydliggörs, genomförande, beslut och ändringar dokumenteras. På så sätt erhålls kvalitet, tydlighet och överblick i arbetet. Manuellt arbete med att samla ihop och sammanställa information minimeras och fokus kan istället läggas på att analysera resultaten och på att förbättra de ramverk och processer som finns på plats.
SAS Enterprise Governance Risk & Compliance (SAS EGRC) är en integrerad lösning för att standardisera och hantera icke-finansiell risk som operativ och strategisk risk. Även information från finansiella riskhanteringssystem (t ex kredit risk, likviditets risk mm.) kan konsolideras för att skapa en företagsövergripande bild av organisationens exponering för risk och regelverksefterlevnad. I samma lösning hanteras övriga stödjande processer som åtgärdshantering, kontroller och monitorering för alla riskområden. Lösningen är flexibel och kan anpassas efter ramverk som t ex; COSO, ISO 31000, ISO 27000 och företagsspecifika behov. SAS EGRC är utvecklad för att ge stöd för risk, compliance och internrevision, genom att möjliggöra standardisering och integrering av mycket information och processer i en gemensam plattform.
Bild: Översikt över SAS OpRisk Solutions som utöver SAS EGRC funktionella moduler, integrerade datahantering och rapporteringslager även innehåller tilläggsmodulerna: SAS OpRisk VaR för riskmodellering och SAS OpRisk Global Data, databas med externt publikt incidentdata.
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
Funktionella moduler:
SAS EGRCs många funktionella moduler är utvecklade för att flexibelt kunna anpassas efter processer och behov. Dessutom finns möjlighet att utveckla ytterligare funktionella moduler (custom objects), eventuellt med utgångspunkt från någon av de existerande modulerna.
Kortare beskrivningar av de funktionella moduler som i standard medföljer lösningen:
Riskhantering (Risk & Control Assessment)
Anpassningsbart stöd för riskhanteringsprocessen; riskidentifiering, självutvärdering av risk och kontroll, risk och åtgärdsbeslut länkat till åtgärdshantering
Risk och Kontrollbibliotek, med kraftfull funktion för sortering, filter och sökning
Hanterar all riskinformation som t ex orsaker, riskägare, begränsande controller, riskkategorier, risklimiter, utvärderingsmått/skalor mm.
Stödjer mappning av risk till flera dimensioner/hierarkier, t ex organisation (funktionell resp. legal organisation), processer, intern resp. Basel risk kategori och många fler. Förenklar överblick och rapportering i flera dimensioner
Händelserapportering (Incident Management)
Stödjer händelserapportering; inrapportering, utredning av händelser/incidenter och förlustvärdering
Arbetsflödet kan sättas upp flexibelt baserat t ex på händelsetyper och gränsvärden för
eskalering/validering. Flera parallella processer för olika typer av händelser kan hanteras, t ex för säkerhetsincidenter, kundklagomål, IT incidenter mm.
Hanterar all händelseinformation och kategorisering t ex förlust resp ”near-miss”, händelsetyper (intern/Basel), finansiell och icke-finansiell förlust, eventuellt återhämtande/försäkring, allokering
Stödjer konfidentiell händelserapportering samt kan sättas upp för ”whistleblower”
Incidentdata från andra system kan läsas in till SAS EGRC
Åtgärdshantering (Mitigation Management)
För GRC övergripande åtgärdshantering, dvs åtgärder kan länkas till alla moduler t ex åtgärder för att hantera, risk, händelser, alarmerande riskindikatorer eller annat
Flexibelt innehåll och arbetsflöde för åtgärder, vilka kan anpassas för olika områden
Hanterar all information för åtgärdshantering som t ex ägare, tidplan, kostnad, färdigställande
Kan initieras manuellt eller automatiskt
Flera åtgärdsplaner kan länkas samman, eventuellt med ett problemområde (issue) som sammanhållande faktor
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
Riskindikatorer (KRI – Key Risk Indicators)
Ramverk för att specificera indikatorer på central och lokal nivå, indikatorer kan länkas till ett eller flera objekt, t ex den risk som indikatorn är assossierad med
Indikatorer kan vara prediktiva/reaktiva, flexibelt sättas tillåtna värdesintervall och gränsvärden
KRI observationer kan läggas in manuellt eller via automatiska datainläsningar. KRI observationer kan baseras på enstaka värden eller vara beräknade
Överträdelse av KRI gränsvärden kan användas för att initera notifieringar eller eskaleringar
Scenarier (Scenarios)
Förenklat stöd för självutvärdering – för utvärdering av risk kopplat med scenario
Stödjer “rare event” och “bucketed” värdering
Kontrolltest (Control Testing)
Hantering av testprocess, inklusive skapande och schemaläggande av kontrolltest, genomförande av test och dokumentation av testresultat med möjlighet för certifiering av kontroller
Test kan sättas upp för annat än kontroller, t ex av beredskapsplaner, kontinuitetsplaner mm.
Test kan sättas upp att ske med automatik
Summeringsrapporter över genomförande och resultat av test kan sättas upp
Regelverkshantering (Policy Management)
Hanterar livscykelprocess för dokument som t ex Styrdokument, Policys, Avtal mm.
Flexibel dokument livscykel inkluderande t ex Skapa, Revidera, Godkänna, Kommunicera, Acceptera....
Hanterar all information kring dokument som t ex version, ägare, revisionsintervall mm.
Möjliggör länkning av t ex policy med övriga objekt som t ex lagar och regler, de risker den avses hantera
Uppdragshantering (Audit Management)
För att hantera till exempel uppdrag för internrevision och compliance
Uppdrag kan omfatta självutvärderingar, controlltest mm och uppgifter kan delegeras
Dokumenterar resultat av uppdrag och möjliggör initiering av åtgärder kopplade till resultaten
Ytterligare funktion (Custom objects)
Det är möjligt att lägga till ytterligare funktionella moduler, dessa kan antingen utgå från någon existerande modul, vara en kombination av moduler för ett visst ändamål eller vara helt ny utvecklad funktionalitet. Lösningen är flexibel i att sätta upp arbetsflöden med anpassade gränssnitt och kan därför appliceras på i stort sett vilket kvalitativt flöde som helst. Några exempel:
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
Kombination av ovanstående moduler för specifik grupp/ändamål t ex risk, incident och åtgärdshantering för Info säkerhet
Utredning/Ärendehantering för olika ändamål
Business Continuity Management funktionalitet
Risklimit hantering
Investingsbeslutsprocess
Dashboards & Rapportering
Möjliggör riskrapportering för alla integrerade GRC processer, både kundspecifika och ett antal fördefinierade standardrapporter
Innehåller ”out of the box” rapporteringsmart och färdiga informationsmappar för olika ändamål
SAS BI plattform med komplett rapportering, analys, dashboard och portalfunktion ingår, vilket ger möjlighet att ta fram i stort sett vilken rapport som helst
Olika gränssnitt för olika typer av användare, från enkla ”wizard” drivna rapporteringsgränssnitt till avancerade analysgränssnitt för expertanvändaren
Microsoft integration,för att generera rapporter i MS Word, Excel och PowerPoint
Information och rapporttillgång kan sättas beroende av användare, roll och tillhörighet
Unik 360° länkrapport som visar relationerna mellan länkade objekt, t ex för en specifik risk
Se grafiskt vilka controller, orsaker, test och assessments som är länkade till risken:
Bild: Out-of-the-box 360° länkrapport
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
SAS Standardfunktionalitet som ingår i SAS EGRC
EGRC Databas och referensdatahantering
Användarvänligt gränssnitt för att skapa och underhålla hierarkiska dimensioner (t ex organisation, process, risktyp, kontrolltyp) för hantering och rapportering
Tillåter upp till 23 hierarkiska dimensioner, med upp till 10 nivåer och obegränsat antal noder
Mapping mellan dimensioner, t ex arbeta med interna risktyper och rapportera med Basel risktyper
Workflow – stöd för processer, larm, notifieringar och eskalering
Workflow stöd kan appliceras på alla processer
Arbetsflöden kan sättas olika för olika typer av processer, för olika enheter eller bero på allvarlighet eller annan parameter
Larm och notifieringar kan skapas automatiskt och levereras i en ”task list” och via e-mail. Det är möjligt att även sätta upp SMS notificatieringar
Regelbaserad automatisk eskalering
Monitorering
Möjlighet att sätta upp löpande och automatisk monitorering av GRC information; t ex kontrollfunktionalitet, risk och performance indikatorer
Monitorering kan automatiskt generera larm för ökande risk, överskridna risklimiter fallerande kontroller mm.
Data Integration
Lösningen innehåller komplett funktionalitet för data integration och data från i stort sett alla källor kan integreras, t ex ekonomisystem, andra risk och incidentsystem, konsortiedata och för automatiskt födande av risk och performance indikatorer
Funktionalitet för att extrahera, transformera och ladda data
Hantering av datakvalitet
Ger verksamhetspersoner möjlighet att integrera med Excel datakällor på ett säkert sätt
Tilläggsmoduler:
SAS Global Data – Extern databas för publika op risk händelser SAS OpRisk VaR – Riskmotor för Intern modell av OpRisk
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN
SAS INSTITUTE, STORA FRÖSUNDA, BOX 609, 169 26 SOLNA TEL: +46 8 52 21 70 00, WWW.SAS.COM/SWEDEN