Finance of tomorrow - A free lunch? Helge Benum - 26. november 2014
DENNE PRESENTASJONEN ER LAGD AV ET SYSTEM I Gjensidige implementerer vi EasyRisk som «internkontrollsystem» 2
Agenda 1. Om Gjensidiges virksomhet 2. Om Internkontrollprosjektet 3. Avveininger og tilpasninger 4. Muligheter/ fremtidig bruk 3
Om Gjensidige
Leading Nordic general insurance player Gjensidige Forsikring ASA Norway Nordic Baltics General Insurance Earned premiums: NOK 14.8bn Combined ratio: 84.5% Employees: 1,987 General Insurance Earned premiums: NOK 3.3bn Combined ratio: 89.7% Employees: 799 General Insurance Earned premiums: NOK 511m Combined ratio: 93.0% Employees: 400 Pension and Savings AUM: NOK 25.9bn Employees: 61 Retail Bank Gross lending: NOK 24.2bn Employees: 130 200 years history 75% of insurance premiums from Norway Balanced retail portfolio, 80% direct distribution and integrated value chain 2013 figures. GI in Norway includes the Swedish commercial GI portfolio. Nordic includes all GI business in Denmark and the private GI business in Sweden. 5
Norsk markedsleder posisjonert for vekst i Norden og Baltikum Norge Sverige 1,3% 26,3% 10,4% 14,2% 25,4% 23,7% Gjensidige If Tryg Sparebank1 Andre 18,7% 15,7% 16,2% 18,2% 29,9% Gjensidige If Lansförsäkringar Folksam Trygg Hansa Andre Danmark Baltikum 29,0% 6,2% 6,0% 12,4% 9,9% 17,5% 19,0% Gjensidige Topdanmark Tryg Alm.Brand Codan If Andre 23,6 % 23,4 % 8,0 % 13,7 % 12,6 % 12,4 % 6,3 % Gjensidige If Ergo BTA Seesam Codan Andre Kilder: FNO, 1. kvartal 2014. Svensk Försäkring, 1. kvartal 2014, Forsikring & Pension, 2. kvartal 2013. Baltikum: Tilsynsmyndigheter i Estland, Latvia og Litauen, Estlands Statistikkbyrå, konkurrent rapporter og egne beregninger 1. kvartal 2014. 6
Ambisiøse mål Combined ratio 90-93% Egenkapitalavkastning > 15% (fra og med 2015) Posisjoneringsstrategi Det mest kundeorienterte skadeforsikringsselskapet i Norden Attraktiv utbyttepolitikk > 70% (fra og med 2014) 7
Hva driver vi egentlig med i Gjensidige? Oppgjør Salg Ulike produkter Ulike kunder Ulike kanaler «Analysedrevet» markedsføring Ulike oppgjørsprosesser Takst og innkjøp Utredning/ avdekking av svik IKT Prising, lønnsomhetsoppfølging, produktforvaltning Tariffutvikling Underwriting Prisjusteringer Produktregnskap Vedlikehold av vilkår og kommunikasjonsmateriell Marked Aktuarberegninger Datafangst og analyse HR og kompetanseutvikling M&A Regnskap Innkjøp Kapitalforvaltning Kapitalmodellering og kapitalstyring Budsjettering og resultatoppfølging Markedskommunikasjon Reassuranse Ekstern og intern informasjon 8
Hva driver vi egentlig med i Gjensidige? og alt det andre og dette driver vi med i tre baltiske og tre nordiske land i tillegg driver vi med bank og pensjonssparing og vi utvider fortsatt Gjensidige er en kompleks virksomhet i stadig utvikling og med ambisiøse mål 9
Om IK-prosjektet
IK-prosjektet i Gjensidige Behov for enhetlig tilnærming på tvers av selskapet Eksisterende og nye lovbestemmelser ga behov for mer systematiske prosesser og bedre dokumentasjon Hovedargumentene er likevel: - Lære av feil og forbedre driften - Unngå overraskelser/ sove bedre om natten 11
IK-prosjektet i Gjensidige Prosjektet har mandat fra Konsernsjef, styringsgruppe bestående av CRO og CCO og rapporterer jevnlig til GRC (.) Foruten kartlegging og vurdering av operasjonell risiko, omfatter prosjektet: - Etablering av ny struktur for styrende dokumenter - Etablering av nytt styrende dokument knyttet til operasjonell risiko - Opprettelse av tapshendelsesdatabase og utrulling av metodikk for å registrere hendelser - Kobling av styrende dokumenter og lovbestemmelser opp mot prosesser - Implementering av EasyRisk som systemstøtte Oppstart andre kvartal 2013. Involverer 6 personer fra Risikostyring og Compliance, med god støtte fra PwC 12
Risikokartlegging 4 personer i arbeidsstrømmen - Utstrakt samarbeid med forretningen - Vi «fasiliterer», utfordrer og veileder i metodikken - Forretningen sørger for det administrative og fyller ut detaljene Kartlegging skjer i de «mest vesentlige» prosessene - Ses i sammenheng med krav til ledere i instruks for styring av operasjonell risiko. - Ledere skal kjenne sine vesentlige prosesser og risikobildet, og kunne dokumentere at kontroller fungerer og at risikonivået er akseptabel. Kartlegging av én prosess innebærer typisk: - Formøte(r) for å avgrense og beskrive prosessen - 3 workshops av 3-4 timer for å identifisere hendelser, vurdere risiko og beskrive kontroller. - Kobling mot lovverk og styrende dokumenter (Compliance) 13
Avveininger og tilpasninger
Avveininger og tilpasninger Pilot høsten 2013 for å prøve ut løsninger og høste erfaringer Metodikkhåndbok og maler for å sikre ensartet implementering - I forrige måned feiret vi risiko nr. 1000. Konfigureringen av EasyRisk skjedde (og skjer) parallelt All fremtidig forvaltning skal skje gjennom EasyRisk. Inngang også via prosesskart (Visio/ PDF) 15
Avveininger og tilpasninger Man starter med en (nesten) tom tavle Personalliste og organisasjonsliste - Fra hvor? Hvor ofte oppdatere? Hvilken informasjon? Hvem skal omfattes? Hvilke knytninger trenger vi? Tilganger - Hvem skal få gjøre hva? Hvor kan ansvar plasseres? Leder vs koordinator? Hvilke «elementer» trenger vi og hvordan skal de kobles? - Risiko og kontroller! Hendelser! Tiltak? Prosess? Hvem skal være fremtidige brukere? - Man må tenkte både effektiv gjennomføring og smidig forvaltning - Må veie det metodisk «korrekte» mot det forretningens praktisk tilnærming 16
Prosessbeskrivelsen Organisation Process name Responsible Process step Description Link IT Systems Roles Dependencies Routines Governing documents Laws and regulations Deviation from described process Avklaringer: - Hva er en prosess? - Hvem «eier» prosessene (prosess eller organisasjon)? - Hvem «eier» prosesshierarkiet? - Hvilke er konsernets mest kritiske prosesser? - Lister eller fritekst? 17
Prosessbeskrivelsen Malen i EasyRisk 18
Prosessbeskrivelsen Lastet inn 19
Risikovurdering Process name Repsonsible Consequence category High Risk ID Risk name Risk description Process step Business unit Cause Conseque nce Inherent risk Conse quenc e Probab ility Scor e Control name Current risk Conse quenc e Probab ility Scor e Action Target risk Conse quenc e Probab ility Scor e Assess Focus Crossrisk Target risk comment ment area date Avklaringer: - Hva er en risiko? - Faste årsakskategorier? - Hvilken type konsekvenser kan en hendelse ha? - Skalaer for å vurdere sannsynlighet og konsekvens? Konsistens på tvers? - Kan vi kreve tiltak og hva er akseptabelt risikonivå? - Hvem er ansvarlige for risiko? - Hvordan skal risiko kobles i EasyRisk? Mot prosess? Organisasjon? 20
Risikovurderingen Malen i EasyRisk 21
Risikovurderingen Lastet inn 22
Kontrollbeskrivelse Organisation Process name Motor og Reise C4. Skadebehandling Motor Norge Key control description Name ID Owner Performer Monitorer Target / Objective of control Link How is the control performed? Frequency Key input Activities performed Key ouput How is the control monitored? Frequency Key input Mointoring activities Key ouput Self-assessment Assessment date Process step Risks mitigated by control Focus area Avklaringer: - Hva er en kontroll? - Hva kan vi kreve i forhold til gjennomføring av kontroller? - Hvem eier kontroller hva med kontroller som går på tvers av avdelinger? - Hvordan skal kontroller kobles i EasyRisk? Mot prosess? Mot risiko? 23
Kontrollbeskrivelse Malen i EasyRisk 24
Kontrollbeskrivelse Lastet inn 25
Muligheter/ fremtidig bruk
Muligheter/ fremtidig bruk Førstelinje - Enkelt å trekke ut informasjon om risiko, kontroller, hendelser, prosesser og styrende dokumentasjon. - Informasjon kan sammenstilles på hvilket som helst nivå, på tvers og for fokusområder. - Kan ta stilling til risikonivået og dokumentere styring innenfor eget område - Får et språk til å kommunisere om utfordringer på tvers av divisjoner - Kan finne rasjonelle løsninger og dele beste praksis internt og på tvers - Dokumentere systematisk og helhetlig internkontroll til styret og tilsynsmyndigheter - Et rammeverk som man kan bygge videre på: Styrende dokumenter og rutiner Kritiske systemer Spesielle typer risiko korrupsjon, personvern, hvitvasking 27
Muligheter/ fremtidig bruk Andrelinje - Store mengder (strukturerte) data gir mulighet for å se mønstre, for eksempel knyttet til bakenforliggende årsaker, svakheter i IKT eller kompetansebehov - Grunnlag for å utfordre førstelinje på enkeltrisikoer og samlet risikonivå - Grunnlag for å initiere tverrgående samarbeid og samordning av kontroll - Enkelt tilgjengelig informasjon for å vurdere og rapportere samlet risikonivå til Konsernsjef og styret 28
Muligheter/ fremtidig bruk Tredjelinje bestemmer selv - Full tilgang til all informasjon i systemet - Revisjonsplan/ overordnet planprosess Alle vesentlige risikoer innenfor alle vesentlige prosesser det nærmer seg et revisjonsunivers Informasjonen kan enkelt importeres til TeamMate (TeamRisk) og utgjøre grunnlag for årsplan. - Planlegging og gjennomføring av revisjoner Utgangspunkt for revisjonsprogram innenfor «ukjente» områder Testing av kontroller er nærliggende - Feedback Internrevisjonens vurdering blir et korreks til ledelsens også i EasyRisk Tiltak kan registreres i EasyRisk 29
Takk for meg!