Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen Sikkerhed & Revision 2015
Dagsorden 1. Introduktion 2. Organisation 3. Operationel risiko processen 4. Revision af operationel risiko - rapportering 5. Revision af operationel risiko management i Group IT 6. Eventuelt 2
Introduktion Revision af risikorapportering hænger sammen med nedenstående: Operationel risiko organisation Operationel risiko proces Modenhed Afgrænser fra kapitaldækning relateret til operationel risiko 3
Operationel risiko - Organisation Bestyrelse (BoD) Direktion (EXCO) Operational Risk Committee (ORCO) etableret af EXCO som rådgivende komite Group Operational Risk (GOR) organisatorisk funderet i Group Risk Management Risk units/operational Risk Managers (ORM) for hvert forretningsområde - bl.a. én med ansvar for Group IT Local Operational Risk Managers (LORM) lokale underliggende markedsområder Frontline/head office medarbejdere. 4
5
Operationel risiko processen Operational Risk Policy/Risk Appetite godkendt af BoD Risiko appetit fastlægges på koncernniveau og fordeles ud på de enkelte enheder i koncernen. Risk Identification and Assessment (RIA) Risikoidentifikationsproces hvor alle væsentlige risici bliver identificeret/vurderet og for disse bliver følgende fastlagt: Ejer Effekt: Impact, likelihood reputational impact Vurdering af kontrol niveau Residual risk -> Key Risk? Kontrolmiljø status Tabsopsamling (ORIS) foretages af på i alle enheder og kontrolleres af i de enkelte lag af risikofunktioner LORM ORM GOR Processen indeholder beløbsgrænser for rapportering af enkelt tab op af i organisationen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO 6
Operationel risiko processen Risikorapportering på forretningsområder/group udarbejdes af Group Operational Risk/Operational Risk Managers til forelæggelse for respektive EXCO medlemmer og samlet for ORCO Udarbejdes hvert kvartal dækkende koncernen of væsentlige forretningsområder Indeholder: Indledes med summary opsummeret på baggrund af mere detaljeret rapportering på følgende sider med følgende: Risk profile Key risk status Loss development KPI trafiklys Audit remarks 7
Highly Prioritized Key Risks and Assessment 8
Key Performance Indicators 9
Risk Profile Low: No mangagement action is required Medium: Management action might be required High: Immediate management action is required 10
Revision af operationel risiko - rapportering Formål: Compliance Identification af risiko profil/basis for revisionsplanlægning Metode: Fokus på processer, der sikrer en pålidelig rapportering Begrænset revision af selve rapporteringen 11
Revision af operationel risiko - rapportering ORCO Vurdering af Politik og Risiko appetit Deltager i møderne som observer Læser materiale som input til risikovurdering og revisionsstrategi Group Operational Risk Revision of set-up og compliance med FIL/ 71 bekendtgørelsen Design og Implementering af RIA processen Design og implementering af processen til tabsopsamling Design af rapporteringsprocessen Risk units/operational Risk Managers Revision af compliance med OR politik Revision af efterlevelse af instruktioner forretningsgange fra GOR [Risk governance, framework, Risk identification, Risk analysis, Risk monitoring and reporting, loss collection, OR controlling and Risk awareness program] Forretnings-/ressourceområder Operationel revision af efterlevelse af forretningsgange/politikker på OR områder 12
IT Risk Management - Audit areas 1 2 3 Governance Organisation Procedurer Framework, alignment med central strategi/politik, fuldstændighed (RIA) Compliance og support fra relevante enheder Rapportering og godkendelse IT Risk Management organisation, stakeholders Roller og ansvar (central/decentral) Level 1-3 Nedsivning og bottom up Relevante proces- og procedure beskrivelser Risk identification and approval Risk Assessment and approval Risk mitigation/acceptance and approval Monitoring and follow up opsamling af tab (ORIS) Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 13
IT Risk Management - Audit areas 3 Procedurer Monitoring and follow up Rapportering Fuldstændig og relevant Overholder tidsplan Korrekte modtagere Overholdelse af form og framework Kvalitativt indhold 14
IT Risk Management - Audit areas 4 5 Awareness Implementering Awareness direkte hos ansvarlige og ift. støttefunktioner Quality - kompetencer Quantity - kompetencer Hvordan virker det i praksis Operating effektiveness Eksempler fra IT Operations Risk Letters Er kendte svagheder fra andre audits rapporteret som IT Risk 15
16