Velkommen til SAS COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

VELKOMMEN TIL SEMINAR HOS SAS 14.00-14.15 Velkomst og introduktion til operationel risiko 14.15-15.00 Operationel risiko og lovgivning i en compliance-kontekst 15.00-15.40 Operationel risiko i Danske Bank 15.45-16.00 Pause 16.00-16.45 Gennemgang af faktiske cases i SAS OpRisk Management 16.45-17.00 Opsamling og afrunding af dagen 17.00 - Networking og lidt let til ganen OPERATIONEL RISIKO COPYRIGHT 2009, 2008, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

SAS Institute globalt 400 KONTORER Verdens største privatejede softwareleverandør SAS leverer software og serviceydelser til etablering af værdiskabende indsigt og beslutningsstøtte 113 lande 45.000 kunder SAS-kunder og deres datterselskaber udgør 91 af top 100 virksomhederne på 2008 FORTUNE Global 500 -listen 22% af omsætningen går direkte til forskning og udvikling 11.142 medarbejdere Omsætning 2008 USD 2,26 mia. globalt Global vækst alle år Privatejet siden 1976 COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

SAS Institute lokalt 2 kontorer København Skanderborg 300 medarbejdere Omsætning i 2007 481 mio. kr. Mere end 700 kunder i Danmark, der dagligt anvender SAS til forretningsanalyse og ledelsesinformation COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Fra rapportering til indsigt Høj Prediktion Hvad kommer der til at ske? Indsigt per kilde Kompleksitet Analyse Hvorfor skete det? Monitorering Hvad sker der nu? Rapportering Hvad er der sket? Lav Forretningsværdi Høj COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Mission Vi vil være den første virksomhed, folk ringer til, når de har brug for at løse forretningsudfordringer. SAS har alt, der skal til for at opnå dette: Uforlignelige analytiske kompetencer, betydelig brancheekspertise, et godt ry for at levere dokumenterede resultater og evnen til at forny sig. Jim Goodnight, CEO, SAS COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

VELKOMMEN TIL SEMINAR HOS SAS 14.00-14.15 Velkomst og introduktion til operationel risiko 14.15-15.00 Operationel risiko og lovgivning i en compliance-kontekst 15.00-15.40 Operationel risiko i Danske Bank 15.45-16.00 Pause 16.00-16.45 Gennemgang af faktiske cases i SAS OpRisk Management 16.45-17.00 Opsamling og afrunding af dagen 17.00 - Networking og lidt let til ganen OPERATIONEL RISIKO COPYRIGHT 2009, 2008, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Hvorfor arbejde med operationel risiko? Understøtte og udfordre ledelsesmæssige beslutninger Skabe synlighed om utilstrækkelige processer Monitorere og rapportere Understøtte en kulturel proces Operational risk COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Værdi Reducere tab fra operational risk Reducere operational risk capital Proaktiv risk management indlejret i virksomhedskulturen Det bliver lettere at afholde møder med Finanstilsynet COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

SAS Institutes rolle Fokus på risikostyring, enterprise risk management Seminarer Solvency II Markedsrisiko Operationel risiko Stresstests (maj 2009) Hjælpe med at løse opgaven og sikre værdi gennem Softwareløsninger Viden Projektledelse/-ressourcer COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

14.00-14.15 Velkomst og introduktion til operationel risiko 14.15-15.00 Operationel risiko og lovgivning i en compliance-kontekst 15.00-15.45 Operationel risiko i Danske Bank 15.45-16.00 Pause 16.00-16.45 Gennemgang af faktiske cases i SAS OpRisk Management 16.45-17.00 Opsamling og afrunding af dagen 17.00 - Networking og lidt let til ganen OPERATIONEL RISIKO COPYRIGHT 2009, 2008, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Operationel risiko Operationel risiko, lovgivning og kontroller i en compliance-kontekst v/jess Kjær Mogensen

Agenda Operationel risiko Interne procedurer Menneskelige fejl Systemmæssige fejl Spørgsmål

Operationel risiko

Proces for arbejde med operationel risiko Identifikation Vurdering Håndtering Monitorering Rapportering Operationelle risici April 2009 Slide PricewaterhouseCoop 4

Der er masser af risici Investeringsrisiko Markedsrisiko Kreditrisiko Operationel risiko Risikokoncentration Koncernrisici Likviditetsrisici Kontrolrisici Virksomhedens størrelse Afviklingsrisici Strategiske risici Omdømmerisici Andre forhold Operationelle risici April 2009 Slide PricewaterhouseCoop 5

Operationelle risici kan måles og vejes på mange måder Trafiklys og stresstest Forsimplet intern model Standard model Intern model Kvalitativ model Men det er ikke emnet i dette indlæg Operationelle risici April 2009 Slide PricewaterhouseCoop 6

Definition - lovgivning Ved operationel risiko forstås risikoen for tab som følge af uhensigtsmæssige eller mangelfulde interne procedurer, menneskelige fejl og systemmæssige fejl eller som følge af eksterne begivenheder, inklusive retlige risici. Ikke kun at betydning for finansielle virksomheder. Alle børsnoterede virksomheder skal i årsrapporten beskrive hovedelementerne i virksomhedens interne kontrol- og risikostyringssystemer i forbindelse med regnskabsaflæggelsesprocessen. For US-virksomheder har SOX-reglerne i flere år medført stort fokus herpå. Operationelle risici April 2009 Slide PricewaterhouseCoop 7

Metoder til håndtering af operationel risiko Risikohåndteringen skal være nøje afstemt med ledelsens risikovillighed og tage hensyn til omkostningerne ved implementeringen af strategien. Undgå Begræns sandsynlighed Begræns konsekvens Overfør Accepter Strategi for håndtering af operationel risiko Ledelse Gør noget helt andet Begræns sandsynlighed Ved træning, overvågning, kontroller, information etc. Begræns konsekvenser Ved redundans og nødplaner Overfør Til partner eller ved forsikring Accepter Og håb på det bedste. Operationelle risici April 2009 Slide PricewaterhouseCoop 8

Interne procedurer

Interne procedurer og kontroller one size does not fit all!!! Niveauet for etablering af et internt kontrolsystem bør reflektere virksomhedens kompleksitet. Det interne kontrolsystem omfatter normalt: Overordnet kontrolmiljø Risikovurdering Kontrolaktiviteter Information og kommunikation Overvågning. Operationelle risici April 2009 Slide PricewaterhouseCoop 10

COSO Internal Control Framework COSO I Operationelle risici April 2009 Slide PricewaterhouseCoop 11

Toppen af COSO-kuben de forretningsmæssige mål Kategorier : 1. Drift: Effektiv brug af ressourcer, altså grundlæggende forretningsmæssige mål for performance og indtjening samt sikring af ressourcer. Mål fastsættes af virksomheden. 2. Finansiel rapportering: Udarbejdelse af pålidelige finansielle opgørelser til offentliggørelse, hvor mål primært er baseret på standarder, der er pålagt af eksterne parter. 3. Compliance: Efterlevelse af lovgivning og regulering, hvor mål primært baseres på standarder, der er pålagt af eksterne parter. Operationelle risici April 2009 Slide PricewaterhouseCoop 12

Kontrolmiljø a) Ledelsens filosofi og ledelsesstil b) Ledelsens påtagelse af ansvar for tilsyn c) Organisationens effektivitet d) Pålideligheden af ledelsens planer og budgetter e) Pålideligheden af ledelsens estimater. Operationelle risici April 2009 Slide PricewaterhouseCoop 13

Risikovurdering Virksomhedens risikovurderingsproces omfatter, hvorledes ledelsen: a. Identificerer forretningsmæssige risici b. Estimerer væsentligheden af forretningsmæssige risici c. Vurderer sandsynligheden for, at de forretningsmæssige risici indtræffer d. Træffer beslutning om, hvorledes de forretningsmæssige risici skal håndteres. Operationelle risici April 2009 Slide PricewaterhouseCoop 14

Kontrolaktiviteter Politikker og procedurer, som hjælper med at sikre, at ledelsens direktiver føres ud i livet Aktiviteter, som skal imødegå risici i organisationen. Operationelle risici PricewaterhouseCoopers April 2009 Slide 15

Information og kommunikation Informations- og kommunikationssystemer understøtter: identifikation, opsamling og udveksling af information på en måde og inden for en tidshorisont, som indebærer, at mennesker kan gennemføre det arbejde, de er ansvarlige for. Operationelle risici PricewaterhouseCoopers April 2009 Slide 16

Overvågning Overvågning af kontroller er en proces, som vurderer kvaliteten af de interne kontroller over tid. Dette opnås via: løbende overvågende aktiviteter separate evalueringer eller en kombination af de to ovenstående. Operationelle risici PricewaterhouseCoopers April 2009 Slide 17

Internal Controls Maturity Framework UNRELIABLE Unpredictable environment where control activities are not designed or in place INFORMAL Control activities are designed and in place but are not adequately documented STANDARDISED Control activities are designed, in place and are adequately documented MONITORED Standardised controls with periodic testing for effective design and operation with reporting to Management OPTIMISED Integrated internal controls with real time monitoring by Management and continuous improvement Level 1 Unreliable Unpredictable environment where control activities are not designed or in place Level 2 Informal Disclosure Activities and Controls are designed and in place but are not adequately documented Controls are mostly dependent on people No formal training or communication of control activities Level 3 Standardised Control activities are designed and in place Control activities have been documented and communicated to employees Deviations from control activities will most likely not be detected Level 4 Monitored Standardised controls with periodic testing for effective design and operation with reporting to Management Automation and tools may be used in a limited way to support control activities Level 5 Optimised An integrated internal control framework with real time monitoring by Management with continuous improvement (Enterprise-wide risk management) Automation and tools are used to support control activities and allow the organisation to make rapid changes to the control activities if needed April 2009 Operationelle risici PricewaterhouseCoopers Slide 18

Menneskelige fejl

Grundlæggede forudsætninger Kompetente motiverede medarbejdere og ledere, som har forståelse for og indsigt i de opgaver, de skal varetage. Tillid er godt, men er er også behov for: Funktionsadskillelse Besvigelsesforebyggelse. Da mennesker begår fejl: Utilsigtet Tilsigtet. Operationelle risici PricewaterhouseCoopers April 2009 Slide 20

Funktionsadskillelse, forudsætning for kontroller Væsentlige funktioner, der bør adskilles: Disponerende (besluttende) Beholdningsforvaltende Registrerende Kontrollerende/godkendende. Funktionsadskillelse kan opdeles i to hovedgrupper: Organisatorisk funktionsadskillelse Systemmæssig funktionsadskillelse. Operationelle risici PricewaterhouseCoopers April 2009 Slide 21

Organisatorisk funktionsadskillelse I forbindelse med gennemgang af udvalgte processer skal den organisatoriske funktionsadskillelse vurderes. Eksempler, hvor organisatorisk funktionsadskillelse er relevant: Front office Middle office Back office. Operationelle risici PricewaterhouseCoopers April 2009 Slide 22

Systemmæssig funktionsadskillelse Etablering af en tilstrækkelig funktionsadskillelse er ofte en grundlæggende del af den interne kontrol i virksomheden. Hvis den organisatoriske systemadskillelse ikke er understøttet af adgangsrettigheder i brugersystemet, medfører det risiko for, at brugere kan omgå den forudsatte interne kontrol. Operationelle risici PricewaterhouseCoopers April 2009 Slide 23

Systemmæssig funktionsadskillelse Operational view Employee Application user No day-to-day Job Technical view Composite profile administration necessary Task Simple profile Privilege Authorisation - Create - Create - Display - Display - Change - Change Operationelle risici PricewaterhouseCoopers April 2009 Slide 24

Hvad er en besvigelse Definition: En bevidst handling, udført af en eller flere personer, hvor vildledning for at opnå en uberettiget eller ulovlig fordel er involveret. Opdeles i to hovedgrupper: Regnskabsmanipulation Misbrug af aktiver. Operationelle risici PricewaterhouseCoopers April 2009 Slide 25

Besvigelses trekanten Incitament/Pres Mulighed Operationelle risici PricewaterhouseCoopers Rationale April 2009 Slide 26

Karakteristika ved en svindler - Over 30 år 83,3 % af besvigelserne begås af denne aldersgruppe - Mand 53 % af besvigelserne begås af mænd - Tilsyneladende stabil familiesituation - Høj uddannelse - Betroet position - Indgående kendskab til systemer og kontroller. Operationelle risici PricewaterhouseCoopers April 2009 Slide 27

Forebyggelse på kort sigt Det vil aldrig være muligt fuldstændigt at eliminere muligheden for besvigelser På kort sigt kan der gennemføres: Dataanalyser Besvigelsesrevisioner Hotline Baggrundsopfølgning Effektive interne kontroller Oplysning om og træning i forebyggelse af besvigelser. Operationelle risici PricewaterhouseCoopers April 2009 Slide 28

Forebyggelse på langt sigt På længere sigt kan der gennemføres: Politik om konsekvens ved besvigelser Udbredt til alle medarbejdere Identifikation af sårbarheder i forhold til besvigelse og prioritering af risici Løbende overvågning af risiko for besvigelser Periodiske revisioner mod besvigelser, gennemført at specialtrænet personale Stærke medarbejderpolitikker - Grundige baggrundsundersøgelser Interne rapporteringsrutiner, som muliggør, at medarbejdere vil rapportere mistanker - Whistleblower-hotline - Politik om opfordring til samt beskyttelse af whistleblowers Robust plan for håndtering af besvigelser. Operationelle risici PricewaterhouseCoopers April 2009 Slide 29

Hvordan opdages besvigelse? - 47 % af revisionen - 32 % ved et tilfælde - 27 % på baggrund af tip - 26 % af risk management-systemer/interne kontroller - 10 % på grund af ændringer i ledelsen - 25 % på andre måder. Operationelle risici PricewaterhouseCoopers April 2009 Slide 30

Systemer

Registreringer og rapportering A Forretningsprocesser B C E D Financial reporting Applikationer Controlling Infrastruktur Operational systems Hardware Communic. network Operationelle risici PricewaterhouseCoopers April 2009 Slide 32

Operationelle risici - knyttet til informationsbehandling Overordnede risici, der vedrører system, drift og data. På transaktionsniveau gælder det f.eks. for risici, at: Ikke registreret Registreret dobbelt Registreret i forkert periode Forkert pris Forkert kvantitet Forkert beregning Operationelle risici PricewaterhouseCoopers Forkert mængde Forkert konto Ikke forekommet/ikke dokumenteret Interfaces er ufuldstændige/unøjagtige. April 2009 Slide 33

Sikkerheden i systemer vurderes ved at se på Organisering af it-arbejdet, herunder funktionsadskillelse Risikovurdering Beskyttelse af systemer, data, maskinel og kommunikationsveje Systemudvikling og vedligeholdelse af systemer Driftsafvikling Backup og sikkerhedskopiering Genetablering af normal drift efter nedbrud Kvalitetssikring Implementering af politikken i uddybende dokumentation Forholdsregler i tilfælde af brud på regler Overholdelse af relevant lovgivning Rapportering, kontrol og opfølgning Eventuelle dispensationer fra it-sikkerhedspolitikken Outsourcing og kontrol hermed. Operationelle risici PricewaterhouseCoopers April 2009 Slide 34

Spørgsmål? Kontakt oplysninger Jess Kjær Mogensen Telefon: 3945 9172 eller 2141 5996 Mail: jkm@pwc.dk

Operational Risk in Danske Bank - introduction Frederik Reumert April 2, 2009

Agenda 1. Definition Operational Risk 2. The OR challenge in Danske Bank 3. The response 4. The road ahead 5. Questions 19

1. Definition Operational Risk The risk of losses owing to deficient or erroneous internal procedures and processes human or system errors external events, including legal events Source: Risk Management 2008, Danske Bank 20

2. The OR challenge in Danske Bank Restoring the balance - Meeting the customers needs and controlling the risks Some facts: Several high profiled operational losses in 2008 Downturn is expected to further increase operational risk exposure (pressure on customers put pressure on the bank s operational strength) The Group s reputation has proven much more vulnerable to operational events than expected 21

3. The response Establishing an AMA-based framework for operational risk 22

Danske Bank s framework Targeted at audience Action oriented Organisation and governance Clearly outlined framework with delegation of authority, accountability and empowerment Clear management of interfaces with other control functions Comprehensive and up-to-date operational risk policies Reporting Providing sound overview of operational risk exposure, management actions taken and their success Measurement and control Risk identification and assessment Identification of all key operational risks using top-down approach Concentrate resources on the key risks for clear identification, understanding and assessment Monitoring of key/highlighted risks Efficient but effective risk monitoring through Key Risk Indicators (KRI) Clear thresholds of KRI that if breached trigger action Mitigation strategies and implementation Mitigation options thoroughly evaluated to determine cost vs. benefit and feasibility Clear action plans to mitigation where implementation progress and success can be controlled Loss capture and event follow-up Capturing ALL internal losses above threshold Clearly defined single event followup process Capture external losses and high frequency low severity losses Capital calculation Consistent modelling methodology across organisation Capital model strikes appropriate balance between complexity and transparency 23

Framework characteristics focus on largest risks Comparability across risk types secures focus on the largest operational risks and challenges silo thinking Danske Banking Concept and the related standardisation efforts mean that large inherent operational risks must be covered OR management must not develop into a large administrative framework use of existing knowledge Assume that Platforms areas and Business units have a good knowledge about their own operational risks The process of Operational risk management will ensure that knowledge become structured to ensure transparency, the right priority all over and last but not least AMA-compliance The transverse overview about OR which will happen by Operational Risk Committee (ORCO) and Risk management will ensure as a supplement that the risk owners will be challenge on their local risk management initiative co-operation and integration of existing processes The complete management concept for OR will as far as possible absorb the existing processes and draw on the same resources the result will be a standardised process, which can be incorporated in DBC. ORCO will not take over the ownership for the individual risks but will work as a clearing central which ensures the right priorities and management across the Group ORCO is guarantor for the necessary co-operation and to ensure a pragmatic and cost effective implementation 24

Measuring operational risks Direct impact immediate loss of money Indirect impact loss of future earnings 25

Reputational effects a few notes When bad news hits you A part of the indirect impact IT Factory a textbook example 26

ORM- monitoring and mitigating the risks A successful, value adding ORM balances its focus on 1. monitoring and mitigation 2. but also taking business considerations into account Requires both a good governance structure and a strong Operational Risk team that is capable of analyzing and understanding the risks 27

Operational Risk Governance structure Anchoring operational risk management in the local units Board of directors Internal audit Executive board/ All Risk Committee ORCO ORCO secretariat (Operational Risk) BU s Ressource areas Subsidiaries 28

Securing attention towards OR Establishing a cockpit for operational risk management Ensuring overview, transparency and prioritization 29

Operational Risk and Compliance Complementing each other Compliance assists the executive management in administering its compliance responsibility and keeps the Group on track regarding existing laws and regulations Operational Risk supports this by finding the soft spots in the existing procedures and processes 30

4. The road ahead Anchoring operational risk management in the local units Establishing a cockpit for operational risk management Developing an AMAapproach 31

5. Questions 32

Agenda Operational Risk and Governance, Risk & Compliance (GRC) A Case Story (Banking) A Case Story (Insurance) SAS OpRisk Management A Customer Reference ABN Amro COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

What is Operational Risk and what is GRC? Risk of losses resulting from inadequate or failed internal processes, people and systems, or from external event The proactive identification, assessment, control & monitoring of operational risk 360-degree view of actionable risk - governance Integration of risk management with compliance COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

Operational risk tools Why do businesses care about it? Operational risks are barriers to meeting business objectives. Use tools to remove this These actions removes it as a barrier to meeting business objectives Risks Outcome of successful use: a business discussion about risk Set of actions to reduce, avoid, accept or transfer the risk COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

The GRC Holy Grail Putting it all together Enterprise Risk Management Economic Capital A regulatory mandate and a concrete way to influence behaviors Aggregation and Analysis Key Operational Risk Report It all comes together here Exploration and Monitoring Root Cause Analysis Scenarios Key Risk Indicators Getting more in depth and disciplined Required Tools RCSA Direct process work in concert with business areas Loss Data Losses are one piece of OpRisk readily quantified Basic Tools Risk Scoring OpRisk Catalog How can we aggregate risks? How can we be comprehensive? Foundations Common Risk Language Governance How do we talk about the risk? How does the information flow? Who makes the decisions? COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

A Case Story (Banking) ifinance: Situation and roles Hasse Poulsson Client responsible in ifinance Denmark (Incident Creator) Søren Johansen Local risk manager in ifinance Denmark (Incident Investigator) Keld Zornig Head of ifinance Denmark (Incident Approver Management) Esben Ejsing Central risk manager in ifinance Group (Incident Approver Risk) Jacob Hallager Local compliance manager in ifinance Denmark (Cause Approver) COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

A Case Story (Insurance) Superior Life: Situation and roles Louise Damgaard Nielsen Central risk manager in Superior Life (KRI Analyst) Christian Ebbsen Team lead Claims Fraud Investigation (Indicator Owner) Allan Cervin Claims director in Superior Life (Indicator Value Approver) COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

SAS OpRisk Management SAS OpRisk Monitor Risk Control Self Assessment Loss Data Collection Scenarios Control Testing KRI management Issues and Action Plans Risk Data Integration SAS Risk Intelligence Portal Integrated OpRisk/Compliance Repository SAS OpRisk VaR Economic and Regulatory Capital Basic Indicator, LDA & AMA methods Mixing-in of Scenarios, KRIs, RCSA Flexible Modeling What-if Analysis SAS OpRisk Global Data Risk Dashboard & Reporting 360-degree view of risk (losses, KRI, RCSA results, issues, action plans) Senior management view of OpRisk 19,000+ publicly reported losses Support qualitative assessments Support quantitative models COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

A Customer Reference ABN Amro Business Pain Multiple operational risk and compliance systems preventing an integreted view of operational risks Objective Integrate multiple operational risk and compliance systems into a single enterprise operational risk system Reduce operational risk losses by 20% annually & reduce total cost of ownership Why was SAS selected? Strategic development partnership to develop the next generation of operational risk software Global & local presence, financial stabillity, rigorous R&D process COPYRIGHT 2009, SAS INSTITUTE INC. ALL RIGHTS RESERVED.

14.00-14.15 Velkomst og introduktion til operationel risiko 14.15-15.00 Operationel risiko og lovgivning i en compliance-kontekst 15.00 15.45 Operationel risiko i Danske Bank 15.45 16.00 Pause 16.00 16.45 Gennemgang af faktiske cases i SAS OpRisk Management 16.45-17.00 Opsamling og afrunding af dagen 17.00 - Networking og lidt let til ganen OPERATIONEL RISIKO COPYRIGHT 2009, 2008, SAS INSTITUTE INC. ALL RIGHTS RESERVED.