Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Størrelse: px

Starte visningen fra side:

Download "Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015"

Flemming Thomas Pedersen
9 år siden
Visninger:

1 Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen Sikkerhed & Revision 2015

2 Dagsorden 1. Introduktion 2. Organisation 3. Operationel risiko processen 4. Revision af operationel risiko - rapportering 5. Revision af operationel risiko management i Group IT 6. Eventuelt 2

3 Introduktion Revision af risikorapportering hænger sammen med nedenstående: Operationel risiko organisation Operationel risiko proces Modenhed Afgrænser fra kapitaldækning relateret til operationel risiko 3

4 Operationel risiko - Organisation Bestyrelse (BoD) Direktion (EXCO) Operational Risk Committee (ORCO) etableret af EXCO som rådgivende komite Group Operational Risk (GOR) organisatorisk funderet i Group Risk Management Risk units/operational Risk Managers (ORM) for hvert forretningsområde - bl.a. én med ansvar for Group IT Local Operational Risk Managers (LORM) lokale underliggende markedsområder Frontline/head office medarbejdere. 4

5 5

6 Operationel risiko processen Operational Risk Policy/Risk Appetite godkendt af BoD Risiko appetit fastlægges på koncernniveau og fordeles ud på de enkelte enheder i koncernen. Risk Identification and Assessment (RIA) Risikoidentifikationsproces hvor alle væsentlige risici bliver identificeret/vurderet og for disse bliver følgende fastlagt: Ejer Effekt: Impact, likelihood reputational impact Vurdering af kontrol niveau Residual risk -> Key Risk? Kontrolmiljø status Tabsopsamling (ORIS) foretages af på i alle enheder og kontrolleres af i de enkelte lag af risikofunktioner LORM ORM GOR Processen indeholder beløbsgrænser for rapportering af enkelt tab op af i organisationen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO 6

7 Operationel risiko processen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO Udarbejdes hvert kvartal dækkende koncernen of væsentlige forretningsområder Indeholder: Indledes med summary opsummeret på baggrund af mere detaljeret rapportering på følgende sider med følgende: Risk profile Key risk status Loss development KPI trafiklys Audit remarks 7

8 Highly Prioritized Key Risks and Assessment 8

9 Key Performance Indicators 9

10 Risk Profile Low: No mangagement action is required Medium: Management action might be required High: Immediate management action is required 10

11 Revision af operationel risiko - rapportering Formål: Compliance Identification af risiko profil/basis for revisionsplanlægning Metode: Fokus på processer, der sikrer en pålidelig rapportering Begrænset revision af selve rapporteringen 11

12 Revision af operationel risiko - rapportering ORCO Vurdering af Politik og Risiko appetit Deltager i møderne som observer Læser materiale som input til risikovurdering og revisionsstrategi Group Operational Risk Revision of set-up og compliance med FIL/ 71 bekendtgørelsen Design og Implementering af RIA processen Design og implementering af processen til tabsopsamling Design af rapporteringsprocessen Risk units/operational Risk Managers Revision af compliance med OR politik Revision af efterlevelse af instruktioner forretningsgange fra GOR [Risk governance, framework, Risk identification, Risk analysis, Risk monitoring and reporting, loss collection, OR controlling and Risk awareness program] Forretnings-/ressourceområder Operationel revision af efterlevelse af forretningsgange/politikker på OR områder 12

13 IT Risk Management - Audit areas Governance Organisation Procedurer Framework, alignment med central strategi/politik, fuldstændighed (RIA) Compliance og support fra relevante enheder Rapportering og godkendelse IT Risk Management organisation, stakeholders Roller og ansvar (central/decentral) Level 1-3 Nedsivning og bottom up Relevante proces- og procedure beskrivelser Risk identification and approval Risk Assessment and approval Risk mitigation/acceptance and approval Monitoring and follow up opsamling af tab (ORIS) Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 13

og relevant Overholder tidsplan Korrekte modtagere

14 IT Risk Management - Audit areas 3 Procedurer Monitoring and follow up Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 14

15 IT Risk Management - Audit areas 4 5 Awareness Implementering Awareness direkte hos ansvarlige og ift. støttefunktioner Quality - kompetencer Quantity - kompetencer Hvordan virker det i praksis Operating effektiveness Eksempler fra IT Operations Risk Letters Er kendte svagheder fra andre audits rapporteret som IT Risk 15

16 16

Relaterede dokumenter

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM V3 Westergaard CSM Westergaard CSM 2 Gode konsulenter hænger ikke på træerne! [Indsæt billede af Jakob/Lars/Gitte/Ulla