VP SECURITIES A/S Praktiske erfaringer - revisors krav >< outsourcing kontrakter 1 Agenda Introduktion til VP Fagligt indlæg 2 1
En betroet partner I et marked i hastig forandring ønsker vi på alle måder at være en betroet partner, der bidrager til vores kunders forretning VP SECURITIES Niels Olsen, CEO 3 En unik virksomhed En finansiel servicevirksomhed Etableret i 1980 Central Securities Depository (CSD) i Danmark og Luxembourg Afvikler værdipapirer for mere end 5.000 mia. EUR årligt 3,3 mio. investordepoter Danmarks største leverandør af investorservice Beskæftiger 180 medarbejdere Ejet af stærke aktører på det finansielle marked 8% 8% 32% Banker og børsmæglere 24% Realkreditinstitutter Danmarks Nationalbank Aktieudstedere 28% Institutionelle investorer 4 2
Et sikkert forretningsgrundlag Sikker og stabil drift er altafgørende Effektive løsninger til konkurrencedygtige priser Vi forbinder markeder til gavn for kunderne Nye løsninger baseret på stordrift og udnyttelse af en effektiv infrastruktur Baseret på moderne teknologi og internationale standarder Investor Services Issuing Agent Udstedelse Clearing & afvikling Depotføring Custody Services 5 Vi sikrer effektiv kapitalformidling Udstedelse sikkerhed for eksistens, kapital og afkast Clearing effektiv omsætning med netting og lavt likviditetsbehov Afvikling sikker overdragelse af penge mod papirer (DVP) Opbevaring sikker investorbeskyttelse og effektivitet for slutinvestor Rente, udbytte m.m. effektiv fordeling til investorer Investorkommunikation målrettet dialog mellem investor og selskab Udstedelse Clearing Afvikling Opbevaring Rente, udbytte m.m. Investorkommunikation 6 3
Altid et skridt foran Først i verden med fuld dematerialisering af værdipapirer Først i verden med registrering på slut-investor niveau Først i verden med fuld virtuel generalforsamling Først i Europa med etablering af CSD i euro-zonen (Luxembourg) Først i Europa på T2S med egen valuta 7 Solide resultater Stabil drift og solide finansielle resultater over en årrække Driftsresultat 90 mio. DKK. i 2013-18 pct. stigning Tilfredsstillende forrentning af egenkapitalen - gns. 31 pct. i perioden 2009-2013 VP LUX VP SECURITIES VP INVESTOR SERVICES 50 pct. Nordic Trustee resultaterne giver mulighed for investering og udvikling af nye services, til gavn for vores kunder Mio. DKK 450 400 350 300 250 200 150 100 50 0 Nøgletal 2009 2010 2011 2012 2013 Nettoomsætning Årets resultat Egenkapital 8 4
Stabil udvikling Handelsafvikling Depoter Mio. stk. 17,5 15,0 12,5 10,0 7,5 5,0 2,5 0,0 2009 2010 2011 2012 2013 Mio. stk. 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 2009 2010 2011 2012 2013 Investeringsbeviser Aktier Obligationer Antal konti Udstedte værdipapirer Værdipapirer i depot Stk. 4.000 3.500 3.000 2.500 2.000 1.500 1.000 500 0 2009 2010 2011 2012 2013 Mia. kr. 8.000 7.000 6.000 5.000 4.000 3.000 2.000 1.000 0 2009 2010 2011 2012 2013 Investeringsbeviser Aktier Obligationer Investeringsbeviser Aktier Obligationer 9 Sikkerhed i centrum Underlagt finansiel lovgivning og finansielt tilsyn Overvåget af Danmarks Nationalbank Egen systemrevision IT-sikkerhed blandt de bedste i verden* Høj oppetid: Over 99,9 pct. Beredskab: Alle systemer oppe på under én time Kapitalberedskab på 1 mia. kr. * Kilde: Information Security Forum (ISF) Benchmark 10 5
Ny europæisk platform - T2S Europæisk platform udbudt af ECB Skal gøre afviklingen billigere og mere sikker Binder de europæiske CSD er sammen Afvikling af værdipapirer i centralbankpenge (EUR, DKK) VP deltager med EUR fra 2016 og med DKK fra 2018 Det største udviklingsprojekt siden VP s etablering 23 markeder deltager fra 2016 11 En moderne CSD Effektive, sikre og fuldt automatiserede løsninger Alle finansielle instrumenter på én platform (aktier, obligationer, fonde) Høj afviklingssikkerhed (99%) Optimal likviditetsudnyttelse Investorbeskyttelse via registrering af slutinvestor Viden, support, sparring fra erfarne Client Managers Afvikling i centralbank penge (DKK/EUR) og i valuta Netting i clearingprocessen for både papirer og penge. Afvikling i 5 daglige batches samt RTGS Likviditets optimering via automatisk sikkerhedsretssystem Distribution til vigtige investor-hubs (Euroclear, Clearstream, SIS, MonteTitoli) Registrering både på slutinvestor og samledepot Effektiv og fuldautomatisk distribution af CA fra udsteder til slutinvestorer i ISO 15022/20022 Distribution af ejeroplysninger til udstedere 12 6
Fagligt indlæg Praktiske erfaringer med indarbejdelse af revisors krav i outsourcingkontrakter Outsourcet hvorfor og hvad Konsekvenser Udfordringer Risici Kontroller Beskyttelse af aktiver Opgaver/ansvar Revisors krav NB! Før underskrift Krav til SLA 13 Outsourcet - hvorfor og hvad Hvorfor gjorde vi Personaleknaphed omkostningsniveau MIPS-behov software-licenser print-håndtering ønske om kortere tid for retablering (beredskabsplan) Hvad Mainframe maskinen med tilbehør Hardware Systemsoftware Central udprintning Housing af netværksservere WAN => VP KryptoNet (sikker telekommunikation) 14 7
Konsekvenser Kontroller Specifikation af kontroller sker internt Design og implementering sker hos leverandøren Kontrakten (og SLA er) er afgørende Er alt dækket Hvis ikke Opgraderinger og udskiftninger afhængighed / krav Håndtering af problemer (og katastrofer) hos leverandøren Udstyr Forsyninger Systemer 15 Udfordringer Geografisk placering af leverandør-opgaver Personaleressourcer ikke flytbar Håndtering af ejendomsret (IPR) Økonomisk soliditet/-krise hos leverandør og kunder Adskillelse af drift og sikkerhed hos leverandør Forretningspåvirkning - leverandøromdømme Ejerskifte i leverandørforretning Leverandørens underleverandører Afhængighed af leverandører Omverdenens påvirkning på leverandører 16 8
Risici Overtrædelse af politikker og bestemmelser Manglende overholdelse af lovgivning I lommen hos leverandøren (afhængighed) Manglende overholdelse af IT-strategien Uklart ejerskab (data/informationer) For dårlig kvalitet Leverandørens overlevelsesevne Svært at ændre strategi Manglende opnåelse af forventede fordele 17 Kontroller I forbindelse med aftaleindgåelse standardkontrakt (tilpasses til virksomhedens forhold) juridisk rådgivning check af omdømme (/referencer) risikovurdering godkendelse escrow agreement Løbende overvågning opfølgning sikkerhedsreview 18 9
Beskyttelse af aktiver (data/programmer) Produktionsdata Kun adgang for de nødvendige VP-medarbejdere Leverandørens medarbejdere Forhindret adgang via autorisationssystemet Fuldstændig logning af bruger med stærke privilegier Løbende kontrol med adgange/adgangsforsøg/set-kommandoer m.v. Kontrol foretages af Sikkerhedsadministrationen Leder af Sikkerhedsadministrationen foretager stikprøver Programmer Beskyttet i programbiblioteker Styret og kontrolleret process med idriftsættelse Kontrollerne revideres af Systems Audit Revisors krav Overholdelse af VP s sikkerhedspolitik Ret til at gennemføre revision Sikre Finanstilsynet adgang Videreoutsourcing VP s godkendelse Årlig [specifik] revisorerklæring (Vejl. 14; RS 3411; ISAE 3402) Ændringer VP s godkendelse Loyal medvirken ved udtræden Udlevering af aktiver Tavshedspligt 20 10
NB! Før underskrift Specifikation af funktioner/serviceindhold som skal outsources Outsourcingstidspunktet er fastsat Aftalen indeholder omkostninger og betingelser Krav vedr. Kvalitet/standard Performance Support Tilgængelighed Backup, recovery Incident rapportering/eskalering og beredskab er medtaget Sikkerhedsrelaterede krav inkl. Risk Management er medtaget Krav om personalemæssige hensyn er medtaget Konsekvenser for afvigelser eller leverancesvigt er aftalt Involver specialister/jurister selvom du er beslutningsdygtig Annullering aftale udtræden / support i den forbindelse 21 Krav til SLA Aftalen skal forpligte leverandøren til at: overholde gældende lovgivning, aftalte standarder og kvalitetsniveau overholde virksomhedens krav om data- og systemadgange etablere driftskontinuitetsplaner (backup, recovery og beredskabsplaner) indføre aftalte sikkerhedskontroller følge op på og eskalere relevante sikkerhedshændelser følge op på driftsstatus og ændringsstyring sikre revision af leverandørens aktiviteter og processer betale bod, såfremt aftalen ikke overholdes 22 11
Security compliance - overblik Ekstern revision VP Systems Audit Revision Sikkerhedspolitik Sikkerhedsbestemmelser Forretningsgange Kontroller (ydelser, adfærd) (manuelt, automatisk) (personer, systemer) VP Bestyrelse Kontroller udføres af Sik.adm. Driftsservice Kundeservice Rapporteringspligt Kontrakt inkl. Sikk. Pol. VP Sikk. Pol. Lev. SLA Driftshåndbog Outsourcing service Interne forretningsgange Specifik revisionserklæring Underleverandør Revisionsret VP s Systems Audit Ekstern revision VP SECURITIES A/S Tak for opmærksomheden! Bent Poulsen 5. september 2014 vp.dk vp@vp.dk 4358 8888 24 12