Modul for vurdering av. Operasjonell risiko

Størrelse: px
Begynne med side:

Download "Modul for vurdering av. Operasjonell risiko"

Transkript

1 Risikobasert tilsyn Modul for vurdering av Operasjonell risiko (oppdatert juni 2007)

2 1. Innledning Definisjon av operasjonell risiko Bakgrunn og formål Innhold Kapitalkravsreglene for operasjonell risiko Beregningsmetoder for minstekravet (Pilar 1) Lovkrav for styring og kontroll av operasjonell risiko (Pilar 2) Generelle krav Særlige krav for sjablongmetoden Tilsynsmessig oppfølging av lovkrav Kredittilsynets moduler i risikobasert tilsyn Modul for Overordnet styring og kontroll (Internal Governance) De øvrige modulene Modulens oppbygging, verktøy og prosess Inndeling i tapshendelseskategorier Verktøy og prosess Tilsynsmessige tiltak (sanksjoner) Vurdering av risikostyringsprosessen Styrets og daglig leders roller Konseptuell tilnærming Internt miljø Etablering av målsettinger Identifisering av hendelser Risikovurdering Risikohåndtering Kontrollaktiviteter Informasjon og kommunikasjon Oppfølging Forholdet til modulen for overordnet styring og kontroll (Internal Governance) Forholdet mellom helhetlig risikostyring og intern kontroll Vurdering av tapshendelseskategoriene Styring og kontroll Eksponering Videreutvikling av modulen Vedlegg 1 Definisjoner, forkortelser Vedlegg 2 - Tapshendelseskategoriene Oversikt Vedlegg 3 - Kontrollspørsmål til kapittel 5 Vedlegg 4 - Kontrollspørsmål til kapittel 6 Dokumentansvarlig: Morten Thorbjørnsen Utgitt : Oppdatert : Side 1

3 1. Innledning 1.1 Definisjon av operasjonell risiko Kredittilsynet definerer operasjonell risiko 1 som risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Definisjonen omfatter juridisk risiko, men ikke strategisk risiko og omdømmerisiko som må vurderes særskilt. 1.2 Bakgrunn og formål Med bakgrunn i de nye kapitalkravsreglene har Kredittilsynet utviklet en modul, som vil være tilsynets verktøy for å kartlegge og vurdere institusjonens operasjonelle risikoer (OpRiskmodulen). Modulen er spesielt rettet mot banker og finansieringsforetak. I den grad den brukes for mindre institusjoner, må det tas hensyn til at disse vanligvis bruker enklere metoder, verktøy og prosesser i risikostyringen. Modulen er publisert på Kredittilsynets nettsted med henblikk på at den kan tjene som en veiledning for institusjonene. 1.3 Innhold Kapittel 2 gir en oversikt over metodene for beregning av minstekravet til kapital og de generelle og særlige lovkravene (sjablongmetoden) til styring og kontroll av operasjonell risiko og hvordan disse blir fulgt opp tilsynsmessig. Kapittel 3 viser en illustrasjon av modulene som Kredittilsynet bruker i risikovurderingen, og omtaler deres anvendelsesområder og hvordan de bidrar til en samlet vurdering av operasjonell risiko i tilsynets SREP-prosess. Kapittel 4 gir en oversikt over de syv tapshendelseskategoriene som er grunnlaget for vurdering av operasjonell risiko i modulen. Det redegjøres for verktøy som brukes i kartleggingen (egenvurderingsskjemaer), prosessen og hvilke legale sanksjonsmuligheter som er tilgjengelig. Kapittel 5 viser Kredittilsynets tilnærming for vurdering av risikostyringen, der prosessen er delt inn i komponenter i tråd med COSO s rammeverk for Helhetlig risikostyring. Forholdet mellom helhetlig risikostyring og rammeverket for intern kontroll, overlappinger mellom OpRisk-modulen og Modul for overordnet styring, og innbyrdes mellom hendelseskategoriene i OpRisk-modulen blir berørt. Kontrollspørsmål finnes i vedlegg 3. Kapittel 6 går nærmere inn på vurdering og gradering av styring og kontroll og eksponeringen av tapshendelseskategoriene. Kontrollspørsmål finnes i vedlegg 4. Kapittel 7 omtaler videreutvikling og oppdatering av modulen. 1 Baselkomiteens definisjon. Enkelte institusjoner kan for egen del finne det hensiktsmessig å ha en videre definisjon av operasjonell risiko. Kredittilsynet legger for så vidt ingen føringer på dette, men for de institusjoner som bruker avansert metode (AMA) for beregning av minstekravet, vil det være nødvendig at datagrunnlag og modeller er tilpasset Baselkomiteens definisjon. Side 2

4 2. Kapitalkravsreglene for operasjonell risiko Finansdepartementet fastsatte 14. desember 2006 Forskrift om kapitalkrav for forretningsbanker, sparebanker, finansieringsforetak, holdingselskaper i finanskonsern, verdipapirforetak og forvaltningsselskaper for verdipapirfond (kapitalkravsforskriften). Forskriften inneholder regler om beregning av minstekrav til kapitaldekning og generelle og særlige krav til styring og kontroll av operasjonell risiko. Nedenfor gis en oversikt over hovedbestemmelsene. 2.1 Beregningsmetoder for minstekravet (Pilar 1) Institusjonene kan velge mellom følgende tre metoder for beregning av minstekravet, jf. forskriftens 41 og flg.: - basismetoden - sjablongmetoden - avansert metode (AMA) Metodene er tilpasset institusjonenes størrelse, virksomhetens karakter og kompleksitet. Basismetoden passer for mindre institusjoner med en oversiktlig virksomhet og enkel organisasjon, mens sjablongmetoden passer for de større og mer komplekse institusjonene. I basismetoden er beregningsgrunnlaget for minstekravet 15 % av gjennomsnittlig inntekt de tre siste år multiplisert med 12,5, jf Kapitalkravsforskriften inneholder nærmere bestemmelser om hvilke poster som inngår i inntektsbegrepet. I sjablongmetoden skal inntektene henføres til åtte definerte forretningsområder, der det er definert hvilke tjenestekategorier som inngår i områdene. Ved beregningen av minstekravet multipliseres inntektene med fastsatte prosentsatser som varierer mellom forretningsområdene (fra 12 % til 18 %), jf. beregningsgrunnlag og tabell i Institusjonen skal ha interne retningslinjer for fordeling av inntekter på forretningsområdene. I avansert metode (AMA) gis institusjonene adgang til selv å beregne sitt kapitalkrav ved bruk av modeller som må godkjennes av Kredittilsynet. AMA er foreløpig ikke aktuell for norske institusjoner, og blir derfor ikke behandlet nærmere i denne utgaven av modulen. 2.2 Lovkrav for styring og kontroll av operasjonell risiko (Pilar 2) Generelle krav Forskriftens 47-1 krever at styret skal godkjenne og oppdatere retningslinjer for å påta institusjonen risikoer og for å identifisere, styre, overvåke og kontrollere risikoer som institusjonen er eller kan bli utsatt for, herunder risikoer knyttet til makroøkonomiske forhold. Kravet til å godkjenne risikoprofil og risikostyringssystem gjelder for alle institusjoner uansett hvilken beregningsmetode som brukes, men dimensjoneringen av risikostyringssystemet må ses i sammenheng med institusjonens størrelse og virksomhetens omfang og kompleksitet ( forholdmessighetsprinsippet ). Styret skal videre fastsette retningslinjer for skille mellom institusjonens forskjellige funksjoner og for å forebygge interessekonflikter. Det skal her vurderes om det er innført skiller mellom utførende og kontrollerende ledd i arbeidsprosesser ( segregation of duties ), og tiltak for å unngå uheldige utslag i tilfeller der institusjonen har ulike forretningsmessige roller, for eksempel der den både er tilrettelegger og investor i prosjekter. Retningslinjene skal også omfatte beredskapsplaner for å sikre videreføring av driften og begrensning av tap ved alvorlige driftsforstyrrelser. Side 3

5 2.2.2 Særlige krav for sjablongmetoden Forskriftens 43-1 stiller særlige krav til at institusjoner som bruker sjablongmetoden skal: - ha et veldokumentert vurderings- og styringssystem for operasjonell risiko med tydelig ansvarsfordeling - identifisere og registrere relevante opplysninger og betydelige tap vedrørende operasjonell risiko - foreta en regelmessig gjennomgang av systemet som bekreftes av en uavhengig funksjon i institusjonen - ha et vurderingssystem for operasjonell risiko som er en integrert del av risikostyringsprosessen - ha en intern rapporteringsstruktur som sikrer at styret og andre relevante funksjoner i institusjonen får nødvendig informasjon om operasjonell risiko De særlige kravene kommer altså i tillegg til de generelle kravene for risikostyring i I 43-1 stilles det blant annet krav til at institusjonen skal ha et veldokumentert vurderingssystem. Begrepet er ikke definert i tilknytning til forskriften, men det fremgår at systemet skal være en integrert del av risikostyringsprosessen. Det er derfor lagt til grunn at vurderingssystemet omfatter de prosesser, metoder, verktøy og teknikker som de større og mer komplekse institusjonene bruker for å identifisere og konkret vurdere den operasjonelle risikoen, jf. komponentene i kapittel og Det stilles videre krav til registrering av relevante opplysninger og betydelige tap vedrørende operasjonell risiko. Det stilles ikke nærmere krav til kriterier mv. for registreringen av opplysninger og tap slik som for AMA-metoden. De større institusjonene har innført interne regler og rutiner for registrering av hendelser og tap i en såkalt tapshendelsesdatabase. I denne modulen er derfor den nåværende praksis i institusjonene lagt til grunn for oppfølgingen av registreringskravet. Det kreves ikke forhåndsgodkjenning for bruk av sjablongmetoden, men institusjonene pålegges å underrette Kredittilsynet om at metoden benyttes. Institusjonene kan heller ikke endre beregningsmetode uten tillatelse fra Kredittilsynet. Kravene som er nevnt foran skal følges opp i det løpende tilsynet. 2.3 Tilsynsmessig oppfølging av lovkrav For å bidra til å sikre kvaliteten på institusjonenes rapportering av kapitaldekningen, er det under kapittel 5 i modulen tatt inn generelle kontrollspørsmål knyttet til institusjonens rutiner og prosesser mv. for beregning og rapportering av minstekravet til kapital (Pilar 1). Disse spørsmålene omfatter både for kreditt-, markeds- og operasjonell risiko. Det er dessuten tatt inn en egen gruppe med spørsmål som dekker rutiner og prosesser som er spesifikke for operasjonell risiko. De generelle lovkravene til styring og kontroll (Pilar 2) i forskriftens 47 og særkravene for sjablongmetoden i 43-1, pkt. 1-3, er dekket av kontrollspørsmålene knyttet til blant annet komponentene i risikostyringsprosessen under kapittel 5. Spørsmål knyttet til sjablongmetodens krav til registrering av opplysninger om operasjonell risiko er tatt inn som en egen gruppe under samme kapittel. Side 4

6 3. Kredittilsynets moduler i risikobasert tilsyn Kredittilsynet har utviklet moduler som verktøy for vurdering av de ulike risikokategoriene (kreditt-, markeds-, forsikrings-, likviditets- og operasjonell risiko). Modulenes funksjon i risikovurderingen av institusjonene blir kommentert nedenfor. Modulene er primært tilpasset institusjoner som omfattes av de nye kapitalkravene. Figuren nedenfor viser hvordan en modulbasert vurdering av de ulike risikoområder kan bygges opp for et finanskonsern, der vurderingen av de risikoområder som det beregnes kapitalkrav for (kreditt-, markeds- og operasjonell risiko) vil inngå sammen med likviditetsrisiko og forsikringsrisiko samt øvrige risikofaktorer (f.eks omdømmerisiko, strategisk risiko) som inngår i Pilar 2-vurderingen. Risikobasert tilsyn som metode er utviklet av Kredittilsynet også for andre institusjoner under tilsyn enn de som omfattes av de kapitalkravene. Begrepet omfatter også de tilsynsmetoder som er utviklet innenfor området IT-risiko, basert på Cobit-modellen. Risikobasert tilsyn - Kredittilsynets moduler Modul for overordnet styring og kontroll (Internal Governance) Modul for Kreditt - risiko Modul for Markeds - risiko Modul for Likviditets - risiko Modul for Forsikrings - risiko Modul for Operasjonell risiko Kontroll Kontroll Kontroll Kontroll Kontroll Ver. 1 Eksponering Eksponering Eksponering Eksponering Eksponering 18 Kredittilsynets risikovurdering (RAS) Institusjonenes ICAAP-prosess Kredittilsynets SREP-prosess Side 5

7 3.1 Modul for Overordnet styring og kontroll (Internal Governance) Modulen inneholder retningslinjer som skal ivareta oppfølgingen av de overordnete og generelle kravene til risikostyring i finansieringsvirksomhetslovens Retningslinjene gir føringer for utformingen og organiseringen av risikostyringen, og er basert på beste praksis hos tilsynsmyndighetene innenfor EU. Det kan være hensiktsmessig at denne modulen, som er overbyggende for alle risikokategoriene, blir anvendt før de enkelte kategoriene vurderes. Det er foretatt en gjennomgang av grensesnittet mot de øvrige modulene for i størst mulig grad å unngå overlapping, ved at de generelle aspekter ved styring og kontroll søkes samlet i modulen for overordnet styring og kontroll. Grensesnittene til OpRisk-modulen er kommentert nærmere i kapittel 5.4. Modulen er lagt ut på Kredittilsynets nettsted: De øvrige modulene De øvrige modulene har en felles hovedstruktur, som består av en eksponerings- og en kontrolldel. Eksponeringsdelen brukes for å vurdere risikonivået, mens kontrolldelen brukes ved vurdering av kvaliteten på styring og kontroll innenfor definerte forretningsenheter. OpRisk-modulen skiller seg fra de øvrige ved at den ikke er rettet mot et spesielt forretningsområde, men omfatter ulike kategorier av hendelser som kan påvirke flere enheter, jf. kapittel Modulens oppbygging, verktøy og prosess 4.1 Inndeling i tapshendelseskategorier Modulen tar utgangspunkt kapitaldekningsforskriftens del VIII 44-2 (gjelder for AMA), som deler operasjonell risiko inn i følgende syv tapshendelseskategorier: - Internt bedrageri - Eksternt bedrageri - Ansettelsesvilkår og sikkerhet på arbeidsplassen - Kunder, produkter og forretningspraksis - Skade på fysiske eiendeler - Avbrudd i drift eller systemer - Oppgjør, levering og annen transaksjonsbehandling Kategoriene er brutt ned på undergrupper, eksempelvis Avbrudd i drift eller systemer, som inneholder IT-risiko, og Eksternt bedrageri som blant annet inneholder hvitvasking. En fullstendig oversikt over tapshendelseskategoriene og undergruppene med tilhørende kontrollspørsmål er tatt inn i vedlegg 4. 2 Fvl 2-9 implementerer EU-direktivets artikkel 22 og Annex V. CEBS har utdypet og presisert artikkelen i Guidelines on Internal Governance. Kredittilsynets modul inneholder en oversettelse av prinsippene til norsk og er forsøkt tilpassert norske forhold. Side 6

8 4.2 Verktøy og prosess Det er utarbeidet hjelpeskjemaer som er det praktiske verktøyet for kartleggingen. Skjemaene inneholder spørsmål som er utformet slik at egenvurderingsmetoden kan brukes. Det er lagt til grunn at spørreskjemaene kan brukes til å vurdere både eksponering og styring og kontroll. Institusjonens egenevaluering vil sammen med øvrig relevant informasjon danne grunnlaget for analysen. En viktig undergruppe i kategorien Avbrudd i drift eller systemer er IT-risiko. I OpRiskmodulen er det lagt opp til en noe forenklet vurdering av IT-risiko. Hvis det er ønskelig å foreta en grundigere gjennomgang, må dette utføres av seksjon for IT-tilsyn, som anvender egne moduler basert på Cobit-modellen. Det antas at det vil bli vanlig å vurdere alle hendelseskategoriene samtidig, men det kan også være ønskelig å se på enkelte kategorier separat, for eksempel hvitvasking og IT (temainspeksjoner). I forbindelse med oversendelse av egenvurderingsskjemaer til institusjonen, bør det vurderes om det er behov for å innhente skriftlig dokumentasjon knyttet til enkelte spørsmål eller temaer. Kredittilsynet vil ofte være i besittelse av relevant informasjon, for eksempel inspeksjonsrapporter, rapporter fra internkontrollen og intern- og eksternrevisor, samt styrets egenvurdering av retningslinjene for den overordnete styring og kontroll mv. For å unngå overlappende behandling bør det generelt vurderes om enkelte spørsmål eller temaer allerede er tilstrekkelig belyst. Dette kan spesielt gjelde styrets egenvurdering av de overordnete retningslinjene for styring og kontroll, der det kan tenkes at enkelte spørsmål allerede er tilstrekkelig belyst. Analysen eller rapporten blir på vanlig måte sendt til daglig leder og/eller styret (etter gjeldende praksis), som kommenterer faktabeskrivelser og vurderinger. Basert på rapporten og kommentarer fra institusjonen blir det sendt en endelig rapport med eventuelle anbefalinger eller pålegg om retting mv. 4.3 Tilsynsmessige tiltak (sanksjoner) Fvl. 2-9 d gir sanksjonsalternativer som kan anvendes i forhold til alvorlighetsgraden av de forhold som avdekkes. Ved pålegg om retting følges reglene i forvaltningsloven. Hvis det er aktuelt å vurdere krav til tilleggskapital eller andre mer gjennomgripende tiltak, anbefales primært at kravet vurderes i sammenheng med ICAAP-prosessen. Hvis dette av tidsmessige grunner ikke er hensiktsmessig, følges interne behandlingsprosedyrer. 5. Vurdering av risikostyringsprosessen 5.1 Styrets og daglig leders roller Styret Styret har det endelige ansvaret for å sikre styring av operasjonell risiko. Dette innebærer at styret skal godkjenne institusjonens operasjonelle risikoprofil ( påta institusjonen risiko ) og Side 7

9 overordnete retningslinjer for risikostyringen. Styret skal påse at målsettinger og retningslinjer blir innført i organisasjonen i samsvar med sine beslutninger. Daglig leder Daglig leder skal sørge for å operasjonalisere styrets målsettinger og retningslinjer, og sammen med den øvrige ledelsen 3 etablere, vedlikeholde og drive rammeverket for styring av operasjonell risiko. Rammeverket består av metoder, prosesser, konkrete retningslinjer og rutiner som er innført for å utføre aktivitetene i risikostyringen. Daglig leder skal sørge for at det utarbeides rapporter som gir styret grunnlag for å vurdere om den operasjonelle risikoen ligger innenfor godkjent risikoprofil. Den generelle ansvars- og arbeidsdelingen mellom styret og daglig leder er også behandlet i prinsipp 4 i Modul for overordnet styring og kontroll. 5.2 Konseptuell tilnærming Det følger av kapitalkravsforskriftens 47-1 at alle institusjoner trenger en eller annen form for prosess for å kunne dokumentere sin risikostyring 4. Omfanget og utformingen av risikostyringen vil variere i forhold til institusjonenes størrelse og kompleksitet. I denne modulen er det valgt å bygge på COSOs rammeverk for helhetlig risikostyring 5. Dette rammeverket er foretrukket fordi det har bred internasjonal aksept, og ofte brukes som mønster for risikostyringen i institusjoner. COSO-modellen er også lagt til grunn i ulike standarder og retningslinjer utarbeidet av Baselkomiteen og CEBS. Virksomhetens målsetninger deles inn i fire kategorier; strategiske (mål på overordnet nivå), driftsrelaterte (målrettet og kostnadseffektiv bruk av ressurser), rapporteringsrelaterte (pålitelig rapportering) og etterlevelsesrelaterte (etterlevelse av lover og regler). Selve rammeverket består av åtte innbyrdes relaterte komponenter; etablering av målsettinger, internt miljø, identifisering av hendelser, risikovurdering, risikohåndtering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølging. Det er en direkte sammenheng mellom målsettingskategoriene og komponentene i risikostyringsprosessen, som gjør det mulig å vurdere effektiviteten i risikostyringen. Komponentene vurderes hver for seg og samlet basert på institusjonens egenvurdering og øvrig informasjon som Kredittilsynet er i besittelse av. Svakheter eller mangler ved en eller flere av komponentene kan etterlate usikkerhet om institusjonens risikosituasjon. Slike forhold bør kommenteres i analysen. I vedlegg 3 finnes en oversikt over kontrollspørsmål som institusjonene skal besvare i sin egenvurdering. Spørsmålene bygger både på offentlig regelverk (internkontrollforskriften og kravene til styring og kontroll av operasjonell risiko i kapitalkravforskriften), beste praksis, hovedsakelig på Baselkomiteens Sound Practices for the Management and Supervision of Operational Risk, COSO-rapportene og CEBS Guidelines on Internal Governance. Så langt det har vært hensiktsmessig er det henvist til kilder. Spørsmålene er ikke nødvendigvis uttømmende. 3 Den øvrige ledelsen er ikke et entydig begrep, og institusjonens egen definisjon legges til grunn. 4 Jf. også Kredittilsynets informasjon til institusjonene om Dokumentasjon om risikoprofil og nødvendig kapitalbehov (ICAAP). 5 Helhetlig risikostyring et integrert rammeverk (COSO 2004/2005). Side 8

10 Det presiseres at det finnes flere tilnærmingsmåter for innføring av et (helhetlig) risikostyringssystem. De grunnleggende komponentene bør imidlertid være på plass, og innført på en måte som er hensiktsmessig for den enkelte institusjon. Nedenfor blir komponentene i risikostyringen kommentert. Kommentarene er gitt i en summarisk form, og er ikke nødvendigvis fullstendige Internt miljø Kvaliteten på det interne miljøet (styrets og ledelsens holdninger til risiko og risikostyring, integritet, etiske verdier, kompetanseutvikling, organisasjonsstruktur, delegering av ansvar og myndighet mv.) kan påvirke risikokulturen i organisasjonen i positiv eller negativ retning. Det interne miljøet er derfor en viktig komponent i vurderingen av kvaliteten på risikostyringen. Vurderingsgrunnlaget kan søkes både i skriftlige og muntlige kilder, ikke minst på grunnlag av erfaringer og inntrykk fra det operative tilsynet med institusjonen Etablering av målsettinger Etablering av målsettinger er en forutsetning for å kunne identifisere og vurdere risikoer i forhold til måloppnåelse og iverksettelse av tiltak for å håndtere risikoer. Overordnete målsettinger (kvantitative/kvalitative) etableres av styret og operasjonaliseres i form av konkrete målsettinger innenfor målsettingskategoriene drift, rapportering og etterlevelse. Styret skal godkjenne institusjonens operasjonelle risikoprofil, herunder ta stilling til hvilke operasjonelle risikoer den eventuelt ikke ønsker å påta seg. Risikoprofilen kan fastsettes for institusjonen som helhet, eventuelt også for ulike forretningsområder, grupper av operasjonelle risikoer (porteføljevurdering) og vesentlige enkeltrisikoer (nøkkelrisikoer). Det kan også fastsettes risikotoleranser, det vil si hvilke avvik som aksepteres fra målsatte risikonivåer. Styrets skal godkjenne retningslinjer for risikostyringen. Retningslinjene bør dekke alle relevante aspekter i risikostyringen, eksempelvis roller og ansvar i prosessen, organiseringen av risikostyringen, innhold/frekvens på rapporteringen, utkontraktering av virksomhet og beredskaps- og kontinuitetsplaner Identifisering av hendelser Identifisering av hendelser er en forutsetning for risikovurderingen. Hendelsene kan ha utspring i selve organisasjonen (interne hendelser) eller i omgivelsene (eksterne hendelser). Hendelser identifiseres både i den løpende forretningsvirksomheten og mer systematisk og samlet i den årlige internkontrollrapporteringen og strategiprosessen. Både interne og eksterne risikoer skal vurderes, herunder potensielle hendelser som har utspring i omgivelsene, for eksempel endringer i makroøkonomiske, politiske, sosiale og teknologiske forhold. Tapshendelsesdatabasen gir informasjon både om hendelser som har skjedd og nestenhendelser som kan gi indikasjon om sårbarhet og utvikling. Noen institusjoner vil kanskje supplere informasjonen fra tapshendelsesdatabasen med relevante hendelser hentet fra eksterne databaser. Der finnes ulike verktøy og teknikker for å identifisere hendelser, for eksempel prosessanalyser, work-shop, sjekklister, spørreskjemaer mv. De større institusjonene vil kanskje benytte risikoindikatorer (kvantitative/kvalitative) for å måle utviklingen innenfor et område, for eksempel kundelojalitet. Risikoindikatorene fungerer som varsellamper, som utløses når målsatte terskelverdier overskrides. Side 9

11 5.2.4 Risikovurdering De fleste institusjonene antas å ville legge til grunn en kvalitativ tilnærming i sin måling av risikoen. De større institusjonene vil sannsynligvis bruke en kombinasjon av kvalitative og kvantitative metoder og teknikker. Den kvalitative metoden er basert på kunnskap og skjønn hos den som foretar vurderingen, mens den kvantitative krever målesystemer basert på tallstørrelser. Det foretas en vurdering av hvilken sannsynlighet det er for at hendelsen inntreffer, og hvilke konsekvenser den medfører. Både iboende og gjenværende risiko (etter innføring av risikoreduserende tiltak) vurderes. Den antatte konsekvens av hendelsene vurderes mot institusjonens resultat og/eller økonomiske kapital som er allokert for å møte operasjonelle tap Risikohåndtering Når alle relevante iboende risikoer er vurdert, må det besluttes hvordan risikoene skal håndteres. Det foreligger alternative former for risikohåndtering avhengig av hvor sannsynlig det er at risikoen inntreffer og i hvilket omfang. Det kan velges mellom enten å unngå (gå ut av aktivitetene - avvikle produktområder, avstå fra ekspansjon i nytt geografisk marked), redusere (tiltak redusere sannsynlighet/konsekvens eller begge deler) dele (overføre deler av risikoen til andre, syndikere, kjøp av forsikringsprodukter, utkontraktere) eller akseptere risiko (ingen tiltak settes i verk). Det bør foretas en kostnad/nyttevurdering ved alle løsninger. Det må vurderes om den gjenværende risikoen ligger innenfor virksomhetens risikotoleranser. Denne vurderingen vil i praksis ofte bli foretatt i sammenheng med kontrollaktivitetene (se nedenfor) Kontrollaktiviteter Kontrollaktivitetene består av retningslinjer og rutiner som bidrar til å sikre at de valgte former for risikohåndtering blir gjennomført. Kontrollaktivitetene har karakter av preventive, oppdagende, manuelle og maskinelle, og foregår på alle nivåer i organisasjonen Informasjon og kommunikasjon Informasjon og kommunikasjon er nødvendig på alle nivåer i organisasjonen for å identifisere og håndtere risiko. Institusjonen bør ha en klart definert informasjonsstruktur som sikrer at relevant informasjon om risiko kanaliseres til berørte personer og instanser i organisasjonen. Internt i organisasjonen vil informasjon om hendelser, rutiner, kontroller og tiltak være viktig for læring og kvalitetsforbedring. Rapportene til styret bør inneholde informasjon om operasjonell risiko i et omfang og en form som er tilstrekkelig til at styret kan vurdere om godkjent risikoprofil, målsettinger og retningslinjer er implementert og blir fulgt opp. Relevant informasjon er eksempelvis avvik fra vedtatt toleransegrenser for nøkkelrisikoer og informasjon fra tapshendelsesdatabasen Oppfølging Styret vil ha behov for å få bekreftet at risikostyringsprosessene fungerer på en effektiv måte og at nøkkelrisikoer blir holdt på et akseptabelt nivå. Slike bekreftelser kan avgis både av ledelsen og en frittstående instans. En omfattende og viktig del av oppfølgingen skjer i den løpende forretningsdriften, der svakheter og mangler ved prosesser og rutiner mv. blir avdekket og rettet. En mer samlet oppfølging av risikostyringen kan foretas ved at lederne evaluerer prosessene og effektiviteten i risikostyringen innenfor sine ansvarsområder. Den uavhengige bekreftelsen av risikostyringen foretas vanligvis Side 10

12 av internrevisjonen, som evaluerer risikostyringsprosessene, kvaliteten på risikovurderinger og styring og rapportering av nøkkelrisikoer. Intern kontroll er en viktig del av helhetlig risikostyring. Oppfølgingen av internkontrollen, skjer minst en gang årlig, jf. Kredittilsynets internkontrollforskrift. Risikovurderinger, avviksrapportering og den uavhengig bekreftelsen, bidrar med viktig informasjon til vurderingen av den helhetlige risikostyringen. 5.3 Forholdet til modulen for overordnet styring og kontroll (Internal Governance) Modulen for overordnet styring og kontroll gir føringer for organiseringen av risikostyringen. Det er flere klare grensesnitt mellom denne modulen og OpRisk-modulen. Mens de overordnete retningslinjene behandler styring og kontroll på et mer prinsipielt nivå, vil de i OpRisk-modulen ha en mer operasjonell karakter. Det kan imidlertid forekomme temaer i OpRisk-modulen som muligens er tilstrekkelig belyst i de overordnete retningslinjene 6. For å unngå overlappende behandling, bør det derfor vurderes gjenbruk av tidligere evalueringer. Der det forekommer overlappinger, er det i OpRisk-modulen referert til relevante prinsipper i den overordnete modulen. Det vil i noen grad også forekomme overlapping mellom kontrollspørsmålene innenfor hendelseskategorier. I slike tilfeller er det brukt krysshenvisninger. 5.4 Forholdet mellom helhetlig risikostyring og intern kontroll Helhetlig risikostyring inkluderer intern kontroll som en vesentlig del av risikostyringen. Generelt kan det sies at den helhetlige risikostyringen utvider og utdyper intern kontroll, blant annet ved at den innfører etablering av strategiske mål (risikoappetitt, akseptable risikotoleranser) som en ny målsettingskategori for styring av risiko, og at en del av de øvrige komponentene går lenger enn rammeverket for intern kontroll. Som et eksempel kan nevnes rapporteringskategorien, som i helhetlig risikostyring omfatter alle økonomiske og ikkeøkonomiske rapporter som blir laget i institusjonen til intern og ekstern bruk. Noen av kontrollspørsmålene er knyttet direkte til komponentene i Kredittilsynets internkontrollforskrift 7. Dokumentasjon i form av analyser og rapporter mv. fra internkontrollen kan også brukes i vurdering av risikostyringen. 6. Vurdering av tapshendelseskategoriene 8 I vedlegg 2 er det tatt inn en samlet oversikt over tapshendelseskategoriene, og i vedlegg 4 er kategoriene brutt ned på undergrupper av hendelser med tilhørende kontrollspørsmål. Det er lagt til grunn at flere spørsmål kan være aktuelle både for vurderingen av kvaliteten på styring og kontroll og eksponeringen. Kontrollspørsmålene er så langt mulig forsøkt gruppert etter samme struktur som komponentene i risikostyringsprosessen. 6 Modulen for overordnet styring og kontroll vil bli evaluert og justert på grunnlag av erfaringer fra bruk av modulen. I tillegg er det aktuelt å tilpasse modulen til en utvidelse av CEBS Guidelines in Internal Governance, som modulen bygger på. 7 Forskriften er under revisjon (mai 2007). 8 Begrepet tapshendelse er brukt i den norske forskriftsteksten som en oversettelse av direktivets begrep loss event (svensk oversettelse förlusttyper ; dansk oversettelse: tabsgivende begivenheder ) Side 11

13 Innenfor kategoriene er det gitt eksempler på type hendelser/handlinger og indikatorer/ statistikk som antas å kunne si noe om endrede verdier og risikonivå over tid. Eksemplene/ indikatorene er ikke komplett og vil bli supplert etter hvert. Hendelseskategoriene er svært uensartet, og det er ikke lagt opp til en vurdering og gradering av styring og kontroll eller eksponering for kategoriene samlet. Hvis det er ønskelig med en slik vurdering, må den bli rent skjønnsmessig. 6.1 Styring og kontroll Styring og kontroll vurderes for hver enkelt tapshendelseskategori. Vurdering og gradering foretas skjønnsmessig basert på en vurdering av konsekvensene av mangler, svikt eller svakheter. Den fremtidige kontrollprofilen skal også vurderes og kommenteres, for eksempel om styringsog kontrollsystemene er tilstrekkelig ved endringer i driftsforhold, rask ekspansjon, nye produkter eller aktiviteter, ny teknologi og omstruktureringer mv. Graderingen skjer etter følgende skala: God: Effektive og hensiktsmessige styrings- og kontrollsystemer er etablert og gjennomføres med få svakheter og liten konsekvens. Tilfredsstillende: I etableringen og/eller gjennomføringen av styrings- og kontrollsystemene er det begrensede svakheter, som ikke medfører store konsekvenser. Mindre tilfredsstillende: Begrensede svakheter i etablering og/eller gjennomføring av styrings- og kontrollsystemer. Konsekvensene av svakhetene kan være store. Ikke tilfredsstillende: Svakheter i etablering og/eller gjennomføringen av styrings- og kontrollsystemene som kan medføre store konsekvenser. 6.2 Eksponering Det er hensiktsmessig at vurderingen av eksponering baseres på institusjonens egne prosesser, metoder og systemer så fremt vi anser disse som dekkende, jf. kapittel 5. Det vil blant annet si at institusjonen bør dokumentere at den har identifisert hendelser relatert til interne og eksterne forhold, og at det er foretatt en vurdering både av iboende og gjenværende risiko basert på sannsynlighet og konsekvenser Innenfor rammen av denne modulen foretas en gradering av risikonivået for hver enkelt kategori, der eksponeringen kan vurderes i relasjon til institusjonens inntekter/resultat og/eller allokert egenkapital etter følgende skala: Høy risiko Betydelig risiko Moderat risiko Lav risiko 7. Videreutvikling av modulen Utviklingen av modulen har vært preget av at operasjonell risiko satt i system er et nytt fagfelt som inneholder flere ufordringer, ikke minst når det gjelder å kvantifisere operasjonell risiko. Modulen vil bli revidert når det er høstet erfaringer fra praktisk bruk, og sett i sammenheng med Side 12

14 den pågående revisjon av intern kontrollforskriften og CEBS Guidelines on Internal Governance (ref. GL03 ch 2.1 jf. Modul for overordnet styring og kontroll) Side 13

15 Vedlegg 1 - Definisjoner, forkortelser Operasjonell risiko Operasjonell risiko defineres som risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Definisjonen omfatter også juridisk risiko. Internal Governance Internal Governance omfatter styrets ansvar for å fastsette prinsipper og retningslinjer for den overordnete styring og kontroll av institusjonens virksomhet, herunder blant annet godkjennelse av organiseringen, fastsettelse av risikoprofil og retningslinjer for risikostyringen/internkontrollen. Kredittilsynet bruker begrepet Overordnet styring og kontroll. Helhetlig risikostyring Helhetlig risikostyring defineres som en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse (COSO 2004/2005 Helhetlig risikostyring et integrert rammeverk. Bind 1 Sammendrag rammeverk. Jf også Bind 2 Teknikker og verktøy. Rammeverket for internkontroll (COSO 1996) er en integrert del av helhetlig risikostyring. Intern kontroll Intern kontroll er en kontinuerlig prosess, iverksatt, gjennomført og overvåket av foretakets styre, ledelse og øvrige ansatte. Internkontrollen utformes for å gi rimelig sikkerhet for måloppnåelse innen følgende områder: målrettet, effektiv og hensiktsmessig drift, pålitelig intern og ekstern rapportering, overholdelse av lover og regler, samt interne retningslinjer (COSO 1996). SREP Supervisory Review and Evaluation Process Inneholder tilsynsmyndighetens prinsipper for tilsyn med institusjonene. RAS Risk Assessment Systems Inneholder tilsynsmyndighetens egne metoder og systemer for vurdering av institusjonens risikonivå og risikostyring. ICAAP Internal Capital Adequacy Assessment Process

16 Institusjonenes egne systemer og metoder for å identifisere, måle, kontrollere og styre sine risikoer og sitt behov for kapital sett i forhold til institusjonens totale risikoeksponering. CEBS Committee of European Banking Supervisors Et tilsynsorgan innenfor EU som består av representanter fra tilsynsmyndigheter og sentralbanker i medlemslandene. CEBS er rådgiver for EUkommisjonen i bankpolitiske spørsmål, og bidrar til konsistent implementering av EU-direktiver, konvergent tilsynspraksis og samarbeid mellom tilsynsmyndighetene i medlemslandene.

17 Dokumentasjon (Eksempler på dokumentasjon fra institusjonen som ønskes oversendt i forbindelse med inspeksjon (eller egenvurdering) av operasjonell risiko) I tillegg til de utfylte skjemaene for egenvurdering, ber vi banken oversende følgende dokumentasjon i fire 4 eksemplarer : (om mulig ønskes dokumentasjonen også oversendt elektronisk gjerne som.pdf-filer. Elektronisk dokumentasjon kan etter bankens valg oversendes som CD-rom eller etter avtrale som vedlegg til mail): Styring og kontroll 1. Styreinstruks 2. Etiske retningslinjer for bankens medarbeidere. 3. Oversikt over evt. avlønningssystemer som er resultat-/innsatsavhengige (incentivprogrammer). 4. Styrets prinsipper for internkontrollen. Operasjonell risiko 5. Styrets vedtatte strategi for operasjonell risiko. 6. Relevant rammeverk (strategi, retningslinjer mv) for styring og kontroll av operasjonell risiko - ref Oversikt over de viktigste rapporter knyttet til operasjonell risiko, utarbeidet for styret og/eller adm. direktør, med angivelse av innhold og rapporteringsfrekvens. 8. Internrevisjonens planer og samlerapporter, eventuelle rapporter innenfor operasjonell risiko for 2 siste år 9. Kort beskrivelse av bankens system for registrering av tap og hendelser (risikokategorier, -indikatorer, prinsipper for registrering av nesten-ulykker etc.) 10. Oversikt over registrerte hendelser i inneværende og foregående år knyttet til operasjonell risiko, med en kort oppsummering av problemstillinger hendelsen gjaldt. 11. Eventuelle tiltak for å avdekke, forebygge, redusere/eliminere og granske hendelser og tap som følge av operasjonelle svikt eller mangler. Tiltakene kan beskrives sammenfattende. 12. Beredskaps- og kontinuitetsplaner på overordnet nivå - ref 6.5 & Bankens retningslinjer for gjennomføring av tiltak mot hvitvasking av utbytte fra straffbare handlinger mv., jf. hvitvaskingsloven av 20. juni 2003 nr. 41, hvitvaskings-forskriften av 10. desember 2003 nr samt Kredittilsynets rundskriv 9/ Bankens retningslinjer for oppfølging av regelverket vedrørende egenhandel med finansielle instrumenter, jf. verdipapirhandelloven kapittel 2a og Kredittilsynets rundskriv nr 27/99 og 21/03. Operasjonell risiko IT

18 15. Foretakets IT-strategi 16. Oversikt over applikasjonsportefølje 17. Foretakets risiko og sårbarhetsanalyse for IT-virksomheten 18. Foretakets gjeldende prosedyrer for endringshåndtering 19. Foretakets gjeldende prosedyrer for problemhåndtering 20. Foretakets katastrofeplaner og dokumentasjon fra sist test 21. Oversikt over viktige utkontrakteringsavtaler

19 Vedlegg 2 - Tapshendelseskategoriene Oversikt Forkortelse IF (& UA) Engelsk (BCBS) Internal Fraud (& Unauthorized Activities) Norsk oversettelse Internt bedrageri EF External Fraud Eksternt bedrageri EPWS Employment Practices Workplace safety & Ansettelsesvil kår og sikkerhet på arbeidsplassen Definisjon (iflg norsk forskrift) Tap som følge av handlinger med sikte på uberettiget å tilegne seg midler eller omgå lovgivning eller virksomhetens mål unntatt hendelser knyttet til forskjellsbehandling. Tap som følge av handlinger som har til hensikt å bedra, uberettiget tilegne seg midler eller omgå lovgivningen, begått av en tredjepart. Tap som følge av hendelser som er i strid med lovgivning, forskrifter og avtaler om arbeidsmiljø, utbetaling av erstatninger som følge av personskade eller andre forhold. Eksempler korrupsjon underslag insider trading rogue trading svindel, bedrageri dokumentfalsk ran og annen voldskriminalitet trusler mot ansatte hvitvasking terror computer hacking yrkesskader brudd HMS-regler ekspansjon omorganisering nedbemanning diskriminering Indikatorer o oversikter saker meldt politi/forsikringsselskap o stat. over feilslutninger meldinger til Kredittilsynet o overs. faktiske tiltak ved (gjentatte) fullmaktsbrudd feriestatistikk (mangl.ferieavvikling) forsikringskrav meldt under egne forsikringsdekninger (underslag, Bankers Blanket Bond el tilsv.) meldinger til Økokrim stat. over forsøk på å forsere brannmurer sykefravær turnover overtid forholdstall forretningsvolum/årsverk køer (tapte tlf.anrop) statistikk over behandlingstid /ubehandlede saker personalstatistikk (kjønnsfordeling, etniske grupper)

20 CPBP Clients, Products and Business Practices DPA Damage to Physical Assets Kunder, produkter og forretningspraksis Skade på fysiske eiendeler Tap som følge av utilsiktede handlinger eller unnlatelser som medfører manglende oppfyllelse av en forpliktelse overfor bestemte kunder (herunder tillits- og egnethetskrav), eller som følge av produktets art eller utforming. Tap som følge av skade på, eller tap av, fysiske eiendeler i naturkatastrofer eller andre begivenheter. fullmaktsbrudd mangl. prosesser for godkjennelse av nye produkter salg av uautoriserte produkter generelt endringshåndtering misbruk av konfidensielle kundedata 9.11 trusler, terrorvarsel flomutsatt område taps- & hendelsesdatabaser stat. over registrerte flm. brudd forsikringskrav meldt under egne forsikringsdekninger meldte forsikringsskader (meteorologiske data?!) BDSF Business Disruption & System Failures Avbrudd i drift og/eller systemer Tap som følge av driftsavbrudd eller systemfeil. IT: HW & SW svikt brudd i telekommunikasjon strømbrudd mangl. testing av back-up løsninger registrert nedetid på systemer stat. over forsøk på å forsere brannmurer etc - jf IKT-modul regularitet i off. strømforsyning EDPM Execution, Delivery Process Management & Oppgjør, levering og annen transaksjonsbehandling Tap som følge av utilstrekkelig eller sviktende transaksjonsbehandling eller systemer for transaksjonsbehandling med handelsmotparter og leverandører. manuelle (feil-)registreringer, f.eks. ved overføring til annet system dårlig arbeid : dårlige rutiner, dårlig dokumentasjon, dårlig opplæring, dårlig disiplin feil eller mangelfull juridisk dokumentasjon sviktende avtaler / oppfølging av outsourcingavtaler og andre leverandører feillogger klagesaker frekvens/merking v/oppdatering av retningslinjer/dokumenter

Retningslinjer for stresstesting og retningslinjer for konsentrasjonsrisiko

Retningslinjer for stresstesting og retningslinjer for konsentrasjonsrisiko Rundskriv Retningslinjer for stresstesting og retningslinjer for konsentrasjonsrisiko RUNDSKRIV: 18/2010 DATO: 01.11.2010 MOTTAKERE: Sparebanker Forretningsbanker Holdingselskaper Finansieringsforetak

Detaljer

PILAR 3 - Basel II. KLP Kapitalforvaltning AS 2010

PILAR 3 - Basel II. KLP Kapitalforvaltning AS 2010 PILAR 3 - Basel II KLP Kapitalforvaltning AS 2010 Innhold 1 Innledning... 2 2 Ansvarlig kapital og kapitalkrav Pilar 1... 3 2.1 Ansvarlig kapital... 3 2.2 Kapitalkrav... 3 3 Styring og kontroll av risiko

Detaljer

Risikostyring Intern veiledning

Risikostyring Intern veiledning Risikostyring Intern veiledning Versjon 1.0 Dette dokumentet er basert på «Risikostyring i staten, håndtering av risiko i mål og resultatstyringen», desember 2008 og «Risikostyring og intern kontroll i

Detaljer

Risikostyringsfunksjonen

Risikostyringsfunksjonen Risikostyringsfunksjonen Bankenes sikringsfonds høstkonferanse 9. september 2014 Einar Westby, BDO AS Agenda Regelverk Organisering i banker av ulik størrelse Ressursbehov Innhold og oppgaver hvordan bidra

Detaljer

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant. BERGEN OG OMLAND HAVNEVESEN Dato: 9. april 2010 BGHAS /10 Bergen og Omland havnestyre Helhetlig kvalitetssystem i BOH KBOL HAV-8610-201003247-3 Bakgrunn I de senere årene har risikostyring og intern kontroll

Detaljer

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger Agenda 1.Internkontroll 2.Roller / organisering 3.Risikoanalysen 4.Kultur 5.Utkontraktering og kjøp av tjenester

Detaljer

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring

Detaljer

Styring og intern kontroll.

Styring og intern kontroll. Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg

Detaljer

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

www.pwc.no Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010 www.pwc.no Oppfølging av Internkontroll Innhold - oppfølging av internkontroll 1. Internkontroll hva er det? 2. Fremgangsmåte for oppfølging av internkontroll Teori Utvalgte regulatoriske krav Roller 3.

Detaljer

Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov

Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov Finanstilsynets rundskriv 9/2015 Vedlegg 1D Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov Skjemaet fylles ut av: 1) verdipapirforetak, forvaltningsselskaper med

Detaljer

EuroSOX og Ny forskrift for risikostyring og internkontroll

EuroSOX og Ny forskrift for risikostyring og internkontroll EuroSOX og Ny forskrift for risikostyring og internkontroll Hva betyr dette for din bedrift? Advokatfullmektig Kristin Haram 6. februar 2009 Agenda: foretaksstyring, risikostyring og internkontroll Euro-SOX

Detaljer

Statoil Kapitalforvaltning ASA Kapitalkravsforskriften (Basel II) pilar 3 31.12.2011

Statoil Kapitalforvaltning ASA Kapitalkravsforskriften (Basel II) pilar 3 31.12.2011 Statoil Kapitalforvaltning ASA Kapitalkravsforskriften (Basel II) pilar 3 31.12.2011 Innledning: Statoil Kapitalforvaltning ASA har siden år 2000 hatt konsesjon fra Finanstilsynet til å drive verdipapirforetak.

Detaljer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

NKRF Årsmøte 2009 Revisors vurdering av internkontroll NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak?

Detaljer

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren Frede Aas Rognlien Head of Legal and Compliance SEB Enskilda AS 1 MiFID

Detaljer

Intern kontroll i finansiell rapportering

Intern kontroll i finansiell rapportering Intern kontroll i finansiell rapportering EBL Spesialistseminar i økonomi 22. oktober 2008 Margrete Guthus, Deloitte Temaer Regelsett som omhandler intern kontroll Styrets ansvar for intern kontroll med

Detaljer

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Instruks Internrevisjonen for Pasientreiser ANS Fastsatt av styret for Pasientreiser ANS, 12.12.2012 Innhold 1. Internrevisjonens formål... 3 2. Organisering, ansvar og myndighet... 3 3. Oppgaver... 3

Detaljer

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr. 31.12.2011

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr. 31.12.2011 PILAR 3 Gjensidige Pensjon og Sparing Holding AS Og Gjensidige Investeringsrådgivning AS Oppdatert pr. 31.12.2011 1. Innledning Gjensidige Pensjon og Sparing Holding AS er et heleid datterselskap av Gjensidige

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

NRP Finans AS. Styring og kontroll av risiko

NRP Finans AS. Styring og kontroll av risiko NRP Finans AS ICAAP offentliggjøring etter Pilar III, Forhold til forskrift om årsregnskap for verdipapirforetak og opplysningsplikt ift. forskrift om kapitalkrav for verdipapirforetak mfl. Styring og

Detaljer

Jæren Sparebank. Basel II PILAR III

Jæren Sparebank. Basel II PILAR III Jæren Sparebank Basel II PILAR III 30.06.2015 Innholdsfortegnelse 1 BASEL II KAPITALDEKNINGSREGLER... 3 1.1 Kapitaldekningsregler... 3 2 ANSVARLIG KAPITAL OG KAPITALKRAV... 5 2.1 Ansvarlig kapital... 5

Detaljer

NRP Finans AS. Styring og kontroll av risiko

NRP Finans AS. Styring og kontroll av risiko NRP Finans AS Styring og kontroll av risiko - Forhold til forskrift om årsregnskap for verdipapirforetak og opplysningsplikt ift. forskrift om kapitalkrav for verdipapirforetak mfl. (Pilar III) Styring

Detaljer

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks (utkast) for Internrevisjonen Helse Sør-Øst Instruks (utkast) for Internrevisjonen Helse Sør-Øst Fastsatt av Kontrollkomiteen Helse Sør-Øst RHF xx.xx.2007 Innhold 1 Innledning... 3 2 Formål og omfang... 3 3 Organisering, ansvar og myndighet...3

Detaljer

Krav til retningslinjer og rutiner for posisjoner i handelsporteføljen for kapitaldekningsformål

Krav til retningslinjer og rutiner for posisjoner i handelsporteføljen for kapitaldekningsformål Rundskriv Krav til retningslinjer og rutiner for posisjoner i handelsporteføljen RUNDSKRIV: 17/2012 DATO: 25.10.2012 RUNDSKRIVET GJELDER FOR: Banker Finansieringsforetak FINANSTILSYNET Postboks 1187 Sentrum

Detaljer

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007 Aktuelt fra Kredittilsynet v/anne Merethe Bellamy 18. september 2007 Regnskap Regnskapsregler konsernregnskap Selskap Full IFRS Nasjonal IFRS NGAAP Børsnoterte, inkl finans PLIKT (RSKL 3-9) -----------

Detaljer

Effektiv risikostyring og intern kontroll

Effektiv risikostyring og intern kontroll Effektiv risikostyring og intern kontroll Bankenes sikringsfonds Høstkonferanse 2009 v/banksjef Torleif Lilløy Introduksjon av Totens Sparebank Virksomhet Visjon, forretningsidé og målsetning Selvstendig,

Detaljer

Markedskraft har fokus på opprettholdelse av høy etisk standard, og sitt gode omdømme både i markedet og hos myndigheter.

Markedskraft har fokus på opprettholdelse av høy etisk standard, og sitt gode omdømme både i markedet og hos myndigheter. Finansiell informasjon etter kapitalkravforskriften Hensikten med kravene til offentliggjøring av finansiell informasjon er å bidra til at ulike markedsaktører bedre kan vurdere Markedskrafts risiko, styring

Detaljer

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011

www.pwc.no Utfordringer innen IKTområdet PwC 20. september 2011 www.pwc.no Utfordringer innen IKTområdet 20. september 2011 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2 Risiko i betalingsformidling

Detaljer

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring UTK Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring Konsernrevisjonen Helse Sør-Øst 05.02.2015 INNHOLDSFORTEGNELSE SAMMENDRAG... 3 1. INNLEDNING... 4 1.1 FORMÅL MED REVISJONEN...

Detaljer

Risikostyring og internkontroll

Risikostyring og internkontroll Risikostyring og internkontroll Bankenes sikringsfond Høstkonferanse 2009 Arne H Sæther Statsutorisert revisor KPMG AS DnB Nor DnB Nor brøt loven, bløffet og overdrev..brudd på verdipapirhandelloven og

Detaljer

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET FINANSFORETAKSLOVEN HVILKE KRAV STILLES TIL COMPLIANCEFUNKSJONEN? CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET CATHRINE NOVSETT BORGEN, ADVOKAT KONSERNJURIDISK GJENSIDIGE Ny bestemmelse 13-5 annet ledd

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Policy for Eierstyring og Selskapsledelse

Policy for Eierstyring og Selskapsledelse Policy for Eierstyring og Selskapsledelse Innholdsfortegnelse 1.1 Formål... 2 1.2 Verdiskapning... 2 1.3 Roller og ansvar... 3 1.3.1 Styrende organer... 3 1.3.2 Kontrollorganer... 4 1.3.3 Valgorganer...

Detaljer

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS Revisjonsplan Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3 2.1.2 Rådgivningsoppgaver...

Detaljer

Pilar 3 2014. Gjensidige Investeringsrådgivning AS

Pilar 3 2014. Gjensidige Investeringsrådgivning AS 2014 Gjensidige Investeringsrådgivning AS Innhold 1. Bakgrunn for rapporteringen 3 2. Risikoprofilen og kapitalbehovet i Gjensidige Investeringsrådgivning 4 3. Forretningsmodell 6 4. Roller og ansvar for

Detaljer

Forberedt på Solvens II

Forberedt på Solvens II SAS Forum, 17. september 2013 Forberedt på Solvens II v/svein Stokke, Risikodirektør i KLP 1 KLP Kommunal landspensjonskasse Ledende tilbyder av Offentlig tjenestepensjon Norges største livsforsikringsselskap

Detaljer

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) UTFORDRINGER INTERNKONTROLL- FORSKRIFTEN (Helse og sosial) Stavanger april 2012 Olav Molven Virksomheten mangler en felles fremgangsmåte for å vurdere risiko og tilhørende (intern)kontroll. Virksomheten

Detaljer

Modul for markedsrisiko

Modul for markedsrisiko Risikobasert tilsyn Modul for markedsrisiko Evaluering av styring og kontroll DATO: 31.08.2011 SEKSJON/AVDELING: SEKSJON FOR BANKTILSYN 2 Finanstilsynet Innhold Innledning 4 1 STRATEGI OG OVERORDNEDE RETNINGSLINJER

Detaljer

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Fylkesmannen i Buskerud 22. august 2011. Risikostyring i statlige virksomheter. Direktør Marianne Andreassen Fylkesmannen i Buskerud 22. august 2011 Risikostyring i statlige virksomheter Direktør Marianne Andreassen 11.10.2011 Senter for statlig økonomistyring Side 1 Senter for statlig økonomistyring (SSØ) -

Detaljer

PILAR 3 BASEL II 2011 Gothia Finans AS

PILAR 3 BASEL II 2011 Gothia Finans AS PILAR 3 BASEL II 2011 Gothia Finans AS Side 2 av 10 INNHOLD 1. Basel II - Kapitaldekningsregler... 3 1.1 Pilar 1 minimumskrav til ansvarlig kapital... 3 1.2 Pilar 2 vurdering av samlet kapitalbehov og

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Finansiell informasjon og informasjon om styring og kontroll

Finansiell informasjon og informasjon om styring og kontroll Pilar 3 1 Finansiell informasjon og informasjon om styring og kontroll Finansiell virksomhet innebærer et behov for styring av risiko. Pilar 3 i kapitalkravsforskriften, Basel II, stiller krav til at («PAM»

Detaljer

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring Jostein Amdal Chief Risk Officer Innhold Gjensidige Organisasjon og styringsstruktur ERM i praksis Risikostyring

Detaljer

Hva er risikostyring?

Hva er risikostyring? Hva er risikostyring? EBL workshop - DNV innlegg Tore Magler Wiggen, Senior Consultant / Lawyer, Cleaner Energy, DNV Energy. 22.10.2008 Agenda Risiko definisjon og begreper Risikovurdering risikoanalyse

Detaljer

Lovvedtak 77. (2012 2013) (Første gangs behandling av lovvedtak) Innst. 295 L (2012 2013), jf. Prop. 96 L (2012 2013)

Lovvedtak 77. (2012 2013) (Første gangs behandling av lovvedtak) Innst. 295 L (2012 2013), jf. Prop. 96 L (2012 2013) Lovvedtak 77 (2012 2013) (Første gangs behandling av lovvedtak) Innst. 295 L (2012 2013), jf. Prop. 96 L (2012 2013) I Stortingets møte 4. juni 2013 ble det gjort slikt vedtak til lov om endringer i finansieringsvirksomhetsloven

Detaljer

Norsox. Dokumentets to deler

Norsox. Dokumentets to deler Norsox Et dokument om God IT Styring og Kontroll Dokumentets to deler Del 1: En metodikk for innføring av God IT Styring og Kontroll. Forankret i Styrets ansvar og gjennomarbeidet på alle nivå i virksomheten.

Detaljer

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

5. desember 2011 05.12.2011. Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda www.pwc.no Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1 Erfaring med implementering av

Detaljer

Ulykkesrisiko Risikoanalyse og økonomiske konsekvenser. Dr. Espen Fyhn Nilsen Statoil, Sikkerhetsteknologi, 13.4.2011

Ulykkesrisiko Risikoanalyse og økonomiske konsekvenser. Dr. Espen Fyhn Nilsen Statoil, Sikkerhetsteknologi, 13.4.2011 Ulykkesrisiko Risikoanalyse og økonomiske konsekvenser Dr. Espen Fyhn Nilsen Statoil, Sikkerhetsteknologi, 13.4.2011 1- Oversikt Hva er risiko Risikoanalyser Økonomiske konsekvenser, omdømme 2- Kapitalkravforskriftens

Detaljer

Kapitalkrav. Innledning. Ansvarlig kapital. Pilar 3 1. Foretakets samlede kapitalbehov vurderes ut fra pilarene i Basel II regelverket.

Kapitalkrav. Innledning. Ansvarlig kapital. Pilar 3 1. Foretakets samlede kapitalbehov vurderes ut fra pilarene i Basel II regelverket. Pilar 3 1 Innledning Finansiell virksomhet innebærer et behov for styring av risiko. Pilar 3 i kapitalkravsforskriften, Basel II, stiller krav til at Pareto Nordic Investments AS («PNI» eller «Foretaket»)

Detaljer

Solvensregulering og stresstester

Solvensregulering og stresstester Solvensregulering og stresstester Pensjonskassekonferansen 23. april 2013 Hanne Myre, Oslo Pensjonsforsikring AS Et overblikk. Hovedpunkter Bakgrunn Det europeiske solvensregelverket Dagens regulering

Detaljer

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS Utkast Revisjonsplan 2015 Internrevisjon Innhold 1 Innledning... 3 2 Rammer for internrevisjonens virksomhet... 3 2.1 Formål og oppgaver... 3 2.1.1 Bekreftelse av intern kontroll og risikostyring... 3

Detaljer

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn

DATO: 15. juni 2015. NUMMER: 14/8978 m.fl. markedstilsyn Fellesrapport Tilsyn med regnskapsførerselskaper som utfører regnskapstjenester for foretak av allmenn interesse Tematilsyn 2014 DATO: 15. juni 2015 NUMMER: 14/8978 m.fl. Seksjon/avdeling: Revisjon og

Detaljer

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en gjennomgang av utforming og implementering av organisasjonsstruktur

Detaljer

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet

Gjelder fra: 19.08.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.7.0 Metode beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 19.08.2014 Godkjent av: Fylkesrådet Dok.type: Styringsdokumenter Sidenr: 1 av 7

Detaljer

Revisjon av styring og kontroll

Revisjon av styring og kontroll Revisjon av styring og kontroll Møte nettverk virksomhetsstyring 12. desember 2014 Direktoratet for økonomistyring Side 1 Agenda 09:00 09:15 10:00 10:15 11:00 11.30 Velkommen og innledning v/ DFØ Revisjon

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012 Asset Management Compliance og Operasjonell Risiko Presentasjon i VFF den 28. november 2012 Asle Bistrup Eide A global manager with companies in Oslo, Stockholm, Bergen, Luxembourg, Chennai and Hong Kong

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Mislighetsrevisjon Sykehuset Innlandet HF

Mislighetsrevisjon Sykehuset Innlandet HF www.pwc.no Mislighetsrevisjon Sykehuset Innlandet HF 3. juni 2014 Innholdsfortegnelse 1. Mandat og oppdrag... 3 Forbehold... 3 2. Evaluering av rammeverk for å redusere mislighetsrisiko... 4 Formålet...

Detaljer

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

VEILEDER OM KRAVET TIL SKOLEEIERS FORSVARLIGE SYSTEM VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM" I HENHOLD TIL OPPLÆRINGSLOVEN 13-10 ANDRE LEDD OG PRIVATSKOLELOVEN 5-2 TREDJE LEDD Innhold 1. Forord...2 2. Innledning...3 3. Elementer i et forsvarlig

Detaljer

PILAR 3 BASEL II 2014 arvato Finance AS

PILAR 3 BASEL II 2014 arvato Finance AS PILAR 3 BASEL II 2014 arvato Finance AS Innhold 1. Basel II - Kapitaldekningsregler... 2 1.1 Pilar 1 minimumskrav til ansvarlig kapital... 2 1.2 Pilar 2 vurdering av samlet kapitalbehov og tilsynsmessig

Detaljer

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom:

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom: Sist revidert 20.10.2014 Konsernpolicy for risikostyring og internkontroll 1. Formål Denne konsernpolicyen setter krav til risikostyring og internkontroll i Gjensidige. Den definerer grunnleggende prinsipper,

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Kravet til skoleeiers «forsvarlige system»

Kravet til skoleeiers «forsvarlige system» Veileder om Kravet til skoleeiers «forsvarlige system» i henhold til opplæringsloven 13-10 Innhold Forord 4 Innledning 5 Elementer i et forsvarlig system 6 Systemkrav som virkemiddel for kvalitetsutvikling

Detaljer

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt? Hvorfor nye direktiver i EU? Formål: Øke tilliten til finansiell rapportering Styrke tilsynet med revisor Sikre at bedriftene

Detaljer

Revisjon av styring og kontroll av likviditetsrisiko

Revisjon av styring og kontroll av likviditetsrisiko Revisjon av styring og kontroll av likviditetsrisiko Steinar Breen 19.mai 2008 Agenda 1. Bakgrunn 2. Omfang og begrensninger 3. Likviditetsstrategi 4. Organisering og arbeidsdeling 5. Måling 6. Rapportering

Detaljer

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr. 31.12.2012

PILAR 3. Gjensidige Pensjon og Sparing Holding AS. Gjensidige Investeringsrådgivning AS. Oppdatert pr. 31.12.2012 PILAR 3 Gjensidige Pensjon og Sparing Holding AS Og Gjensidige Investeringsrådgivning AS Oppdatert pr. 31.12.2012 Innholdsfortegnelse 1. Innledning... 3 2. Kapitaldekningsregelverket... 3 3. Ansvarlig

Detaljer

Informasjon i samsvar med kravene i kapitalkravsforskriftens del IX (Pilar 3) Jernbanepersonalets Sparebank

Informasjon i samsvar med kravene i kapitalkravsforskriftens del IX (Pilar 3) Jernbanepersonalets Sparebank Informasjon i samsvar med kravene i kapitalkravsforskriftens del IX (Pilar 3) Jernbanepersonalets Sparebank 1 1 Innledning og formål med dokumentet 2 Organisasjonsstruktur og strategisk utvikling 2 3 Konsolidering

Detaljer

Hva kjennetegner god Risikostyring?

Hva kjennetegner god Risikostyring? Hva kjennetegner god Risikostyring? BDO lokalt og internasjonalt 67 67 kontorer over hele landet 60 000 60 000 ansatte globalt 1 200 1 200 kontorer 150 Tilstede i 150 land 1250 Over 1250 ansatte 1,3 Over

Detaljer

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF MalemaL Liv: UTK Rapport 4/2015 Revisjon av Sykehusapotekene HF Konsernrevisjonen Helse Sør-Øst 27.03.2015 Rapport nr. 4/2015 Revisjonsperiode Desember 2014 til mars 2015 Virksomhet Sykehusapotekene HF

Detaljer

Noe går galt mitt eller ditt ansvar?

Noe går galt mitt eller ditt ansvar? Noe går galt mitt eller ditt ansvar? Rolle- og ansvarsfordeling mellom eiere, styre og daglig leder i fondsforvaltningsselskaper Verdipapirfondenes Forening 24. august 2015 Cecilie Kvalheim og Arne Didrik

Detaljer

VÅR REFERANSE DERES REFERANSE DATO 16/2216 02.03.2016

VÅR REFERANSE DERES REFERANSE DATO 16/2216 02.03.2016 Styret i Help Forsikring AS Postboks 1870 Vika 0124 OSLO VÅR REFERANSE DERES REFERANSE DATO 16/2216 02.03.2016 Varsel om tilsyn Som avtalt med Johan Dolven vil Finanstilsynet gjennomføre stedlig tilsyn

Detaljer

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg. Dok.id.: 1.3.1.7.0 Metode for beskrivelse av arbeidsprosess og risiko- og Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 02.02.2016 Godkjent av: Camilla Bjørn Dok.type: Styringsdokumenter Sidenr:

Detaljer

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016

Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Instruks for administrerende direktør HELSE SØR-ØST RHF 2014-2016 Vedtatt i styremøte 13. mars 2014 1. Formål med instruksen Denne instruksen omhandler administrerende direktørs oppgaver, plikter og rettigheter.

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

MØTE MED FINANSTILSYNET 24. APRIL 2012. Innspill til dagsorden fra Referansegruppen for gjennomføring av CRD IV - FNO

MØTE MED FINANSTILSYNET 24. APRIL 2012. Innspill til dagsorden fra Referansegruppen for gjennomføring av CRD IV - FNO MØTE MED FINANSTILSYNET 24. APRIL 2012 Innspill til dagsorden fra Referansegruppen for gjennomføring av CRD IV - FNO 24.04.2012 Referansegruppe CRD IV Forslag til dagsorden 1) Gjennomføring i norsk rett

Detaljer

IKT-revisjon som del av internrevisjonen

IKT-revisjon som del av internrevisjonen IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi

Detaljer

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP NIRFs nettverk for statlig sektor, 22. august 2013 KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP Agenda Risikostyring og internkontroll

Detaljer

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Tilsynssaker vedrørende kontrollfunksjonen Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen Kontrollfunksjonen er et viktig prioriteringsområde ved stedlige

Detaljer

Konsesjonskrav og søkeprosess under MiFID

Konsesjonskrav og søkeprosess under MiFID Konsesjonskrav og søkeprosess under MiFID v/bernt Olav Steinland Felix Konferansesenter, Aker Brygge 20. juni 2007 Søknad om tillatelse som verdipapirforetak Innholdsmessige krav Hvilke investeringstjenester

Detaljer

Pilar 1: Minimumskrav til ansvarlig kapital Pilar 2: Vurderingen av samlet kapitalbehov og individuell tilsynsmessig oppfølging

Pilar 1: Minimumskrav til ansvarlig kapital Pilar 2: Vurderingen av samlet kapitalbehov og individuell tilsynsmessig oppfølging FINANSIELL INFORMASJON OG INFORMASJON OM STYRING OG KONTROLL (Oppdatert per 29. januar 2015) Finansiell virksomhet innebærer et behov for styring av risiko. Verdipapirhandelloven oppstiller blant annet

Detaljer

Integrering av IT i virksomhetens helhetlige risikostyring

Integrering av IT i virksomhetens helhetlige risikostyring Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs

Detaljer

Finansdepartementet har gitt Folketrygdfondet mandat til å forvalte Statens pensjonsfond Norge og Statens obligasjonsfond.

Finansdepartementet har gitt Folketrygdfondet mandat til å forvalte Statens pensjonsfond Norge og Statens obligasjonsfond. PRINSIPPER FOR RISIKOSTYRING 1 BAKGRUNN OG FORMÅL Finansdepartementet har gitt Folketrygdfondet mandat til å forvalte Statens pensjonsfond Norge og Statens obligasjonsfond. Statens pensjonsfond Norge og

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring)

Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Veiledning om tilsynets praksis vedrørende virksomhetenes målstyring (veiledning om målstyring) Utgivelsesdato: 07.06.2010 1 Bakgrunn...2 2 Hensikt...2 3 Omfang...2 4 Sentrale krav...2 5 Generelt om målstyring...4

Detaljer

Oppgave 1. i) Kvalitetsmål for regnskapet:

Oppgave 1. i) Kvalitetsmål for regnskapet: Oppgave 1 Intern kontroll er en prosess, icenesatt og gjennomført av styret, ledelse og ansatte for å håndtere og identifisere risikoer som truer oppnåelsen av målsettingene innen: mål og kostnadseffektiv

Detaljer

Kontrollfunksjonen (compliancefunksjonen) i verdipapirforetak

Kontrollfunksjonen (compliancefunksjonen) i verdipapirforetak Rundskriv Kontrollfunksjonen (compliancefunksjonen) i verdipapirforetak RUNDSKRIV: 5/2015 DATO: 13.05.2015 RUNDSKRIVET GJELDER FOR: Verdipapirforetak FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo Innhold

Detaljer

Styret Helse Sør-Øst RHF 18.12.07

Styret Helse Sør-Øst RHF 18.12.07 Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helse Sør-Øst RHF 18.12.07 SAK NR 074-2007 REVISJONSRAPPORT: OPPSUMMERING INNKJØPSREVISJONER Forslag til vedtak: 1. Styret tar revisjonsrapport Oppsummering

Detaljer

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011 RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011 Disposisjon Hvorfor gjennomføre risikoanalyser? Sentrale begreper i risikoanalyser Gjennomgang av hovedtyper risikoanalyser

Detaljer

PILAR 3 OFFENTLIGGJØRING AV FINANSIELL INFORMASJON. Jan Bendiksby

PILAR 3 OFFENTLIGGJØRING AV FINANSIELL INFORMASJON. Jan Bendiksby PILAR 3 OFFENTLIGGJØRING AV FINANSIELL INFORMASJON Jan Bendiksby Innhold OFFENTLIGGJØRING AV FINANSIELL INFORMASJON (PILAR 3)... 2 1. INNLEDING OG FORMÅL MED DOKUMENTET... 2 2. KAPITALKRAV... 2 2.1 Ansvarlig

Detaljer

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Årsrapport 2014 Internrevisjon Pasientreiser ANS Årsrapport 2014 Internrevisjon Innhold Internrevisjon... 1 1. Innledning... 3 2. Revisjonsoppdrag... 4 2.1 Miljøsertifisering etter standarden ISO 14001 om nødvendige dokumenter og prosesser er implementert

Detaljer

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016

DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID. (HMS - plan) for Norsk Biokraft AS 2015-2016 DOKUMENT FOR STYRING AV SYSTEMATISK HELSE-, MILJØ OG SIKKERHETSARBEID (HMS - plan) for Norsk Biokraft AS 2015-2016 januar 2015 Rev.nr.1.0 Erstatter plan av oktober 2012 Utarbeidet av Norsk Biokraft AS

Detaljer

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960 Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn:

Detaljer

TEMATILSYN VEDRØRENDE BANKENES KAPITALDEKNINGSRAPPORTERING

TEMATILSYN VEDRØRENDE BANKENES KAPITALDEKNINGSRAPPORTERING TEMATILSYN VEDRØRENDE BANKENES KAPITALDEKNINGSRAPPORTERING Finanstilsynet gjennomførte i perioden fra 16. september til 25. november 2010 et tematilsyn om kapitaldekningsrapportering i et utvalg banker.

Detaljer

Etiske retningslinjer pr. 12.10.2011. www.kommunalbanken.no

Etiske retningslinjer pr. 12.10.2011. www.kommunalbanken.no Etiske retningslinjer pr. 12.10.2011 www.kommunalbanken.no Innhold Etiske retningslinjer Revidert 24.6.05 Revidert 17.10.05 Revidert 12.10.11 Etikk 3 Interessekonflikter og habilitet 3 Gaver og andre fordeler

Detaljer

Pilar I: Minimumskrav til ansvarlig kapital

Pilar I: Minimumskrav til ansvarlig kapital Pilar I: Minimumskrav til ansvarlig kapital Pilar II: Vurderingen av samlet kapitalbehov og individuell tilsynsmessig oppfølging Pilar III: Institusjonenes offentliggjøring av informasjon Kombinert bufferk

Detaljer

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter (Vedtatt av DnRs styre 4. desember 2007 med virkning for attestasjon av ligningspapirer for perioder som begynner 1. januar

Detaljer

Offentliggjøring av pilar 2-krav

Offentliggjøring av pilar 2-krav Finansdepartementet Postboks 8008 Dep 0030 Oslo VÅR REFERANSE DERES REFERANSE DATO 11/10112 14/4218 mw 26.06.2015 Offentliggjøring av pilar 2-krav 1. Bakgrunn Det vises til Finansdepartementets brev av

Detaljer

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet

Gjelder fra: 24.09.2014. Godkjent av: Fylkesrådet Dok.id.: 1.3.1.1.0 Formål og definisjoner Utgave: 1.00 Skrevet av: Camilla Bjørn Gjelder fra: 24.09.2014 Godkjent av: Fylkesrådet Dok.type: Generelt Sidenr: 1 av 6 Formålet med styrings- og kvalitetssystemet:

Detaljer

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen

Detaljer

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet

Hvordan NAV arbeider med internkontroll i et prosessperspektiv. Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Hvordan NAV arbeider med internkontroll i et prosessperspektiv Kristine Bosio Horn Seniorrådgiver Arbeids- og velferdsdirektoratet Internkontrollhistorie i NAV Stort trykk på produksjon etter opprettelsen

Detaljer