Effektiv risikostyring og intern kontroll Bankenes sikringsfonds Høstkonferanse 2009 v/banksjef Torleif Lilløy
Introduksjon av Totens Sparebank Virksomhet Visjon, forretningsidé og målsetning Selvstendig, regional sparebank med hovedkontor på Lena 10 bankkontorer og filialer fordelt på 3 fylker: Oppland, Hedmark og Akershus. Virksomheten preget av forretningsideen om å være en lokalbank God lokalkunnskap Lokal beslutningsmyndighet Uformell og direkte kommunikasjon med kundene Leverandør av et bredt spekter av produkter og tjenester til personkunder og små og mellomstore bedrifter Bankens visjon er Totens Sparebank skal bidra til vekst og utvikling i regionen, og være en aktiv medspiller i å utvikle regionen til et attraktivt bo- og arbeidssted". Totens Sparebank skal: være en aktiv medspiller for å utvikle regionen til et attraktivt sted å bo og arbeide i ha langsiktige kundeforhold og være et naturlig bankvalg for privatkunden gjennom alle faser i livet være en aktiv samarbeidspartner for sine næringslivskunder være en attraktiv arbeidsgiver som skaper gode holdninger hos sine ansatte være en engasjert pådriver til utviklingen av Terra-Gruppen AS
Effektiv risikostyring og intern kontroll Retningslinjer for å styre, overvåke og kontrollere risiko, herunder gjennomføring av intern kontroll. Hvordan samordne overlappende prosesser som strategi, risikostyring og intern kontroll med ICAAP? Periodisk gjennomgang (identifikasjon og analyse) av vesentlige risikoer for alle virksomhetsområder med utgangspunkt i definerte mål og strategier.
Retningslinjer for å styre, overvåke og kontrollere risiko, herunder gjennomføring av intern kontroll
Risiko Alle forhold og hendelser som kan påvirke bankens mulighet for måloppnåelse Risikostyring Prosessen for å identifisere, håndtere og følge opp risikoene slik at samlet risiko er i samsvar med bankens risikovilje, og samtidig gir rimelig sikkerhet for måloppnåelse innen følgende områder: Strategiske mål Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler
Risikovilje/risikoapetitt Bankvirksomhet => Tjene penger på å ta kalkulert risiko For høy risiko kan innebære høyere inntekter i en periode, men også økt sannsynlighet for negative hendelser For lav risiko over tid kan innebære for lav inntjening og vekst Risikoappetitt er den risiko banken er villig til å akseptere i sin streben etter å realisere sitt formål/visjon
Identifisere risiko - Risikounivers Risikobilde for Totens Sparebank
Helhetlig risikostyring Basert på rammeverk utarbeidet av COSO (COSO ERM) En kontinuerlig prosess i hele organisasjonen Utføres av ansatte på alle nivåer Anvendes i fastsettelse av strategier Identifisere potensielle hendelser som, hvis de inntreffer, vil påvirke virksomheten Håndtere risiko i forhold til risikoappetitt Fokusere på måloppnåelse
Komponenter i helhetlig risikostyring Internt miljø Etablering av målsettinger Identifisering av hendelser Risikovurdering Risikohåndtering Kontrollaktiviteter Informasjon, kommunikasjon Oppfølgning
Overordnede retningslinjer / dokumentasjon Finansieringsvirksomhetsloven Kapitalkravsforskriften Internkontrollforskriften Utlånsforskriften Osv. Strategiplan Risikopolicy Kredittpolicy Finansstrategi Prinsipper for internkontrollen Etiske retningslinjer Vurdering av risikoprofil og kapitalbehov ICAAP Budsjett
Arbeidsprosesser Organisasjon/arbeidsfordeling Handlingsplaner Org.håndbok/Rutiner Systemer
Hvordan samordne overlappende prosesser som strategi, risikostyring og intern kontroll med ICAAP?
I n t e r n k o n t r o l l ICAAP-prosessen, Roller og Ansvar Strategi (f.eks 3 års rullerende strategiplan med årlig gjennomgang) Risikopolicy (årlig gjennomgang) Kredittpolicy og Kreditthåndbok (årlig gjennomgang) Finansstrategi (årlig gjennomgang) Internkontrollevaluering (årlig) Budsjett (årlig, 3-års) Stresstester Månedlig/kvartalsvis rapportering Avdelingsregnskap Kredittområdet Funding/likviditet Vurdering av risikoprofil og kapitalbehov - ICAAP (årlig) Kompetanse/Autorisasjon Rutiner Organisasjon/Arbeidsfordeling - Kunderådgiver - Kundeservice - Kredittstøtte - Sparing/plassering - Depot - Funding/likviditet
Prosess, roller og ansvar Styret Godkjenne risikopolicy, risikostrategier og kapitalplan Adm. banksjef Risk Management Intern revisjon Kommunisere risikopolicy Impl. Risikostrategier Sikre etterlevelse og uavhengig bekreftelse Linje/stab Identifisere Analysere Måle Styre og kontrollere Følge opp Reagere og forbedre Rapportere 1. linje forsvar Compliance Metoder og verktøy Oppfølging av risikostatus Aggregert rapportering til toppledelse/styret 2. linje forsvar Instrukser, rammer og fullmakter Formell rapportering Bekreftelse til styret og toppledelse om risikostyring Uavhengig bekreftelse på kvalitet i risikostyrings-prosessen Bekreftelse på at de kontrollprosesser som ledelsen bygger på for å avdekke, hindre eller korrigere risiko fungerer som forutsatt 3. linje forsvar
Prosess, Roller, Ansvar Styret har den avgjørende rollen i fastsettelsen av strategi, formulering av målsettinger på overordnet nivå og overordnet ressursallokering Styret er ansvarlig for ekstern rapportering av regnskapsog risikoinformasjon Styret har med andre ord ansvar for helhetlig risikostyring
Prosess, Roller, Ansvar Adm. Banksjef har det overordnede ansvaret for å "sørge for" helhetlig risikostyring. En av de viktigste sidene ved å utøve dette ansvaret er å sikre at banken har et godt internt miljø. Det interne miljøet omfatter kulturen i banken, stikkord er; høy etisk standard og respekt for bankens verdier.
Prosess, Roller, Ansvar Risk Manager skal støtte og legge til rette for risikostyringen og internkontrollen gjennom: Å overvåke at overordnede rammer er etablert og fulgt i banken Følge opp rapportering og rapportere til ledelsen Utarbeide rammeverk, policyer og maler Gjennomføre overordende vurderinger av risikoprofilen og hva som forårsaker endringer Foreta egne kontroller knyttet til risikoområder som ikke allerede er ivaretatt av bankens produktområder
Prosess, Roller, Ansvar Arbeidsfeltet til compliance består i å overvåke at interne og eksterne lover og regler blir overholdt Internrevisjonen bidrar med å evaluere effektiviteten og å anbefale forbedringer i helhetlig risikostyring Ekstern revisor reviderer årsregnskapet Bankens styre skal minst en gang i året godkjenne bankens risikopolicy.
Nivå Styret og toppledelsen Retningslinjer Taktiske risikostyrings aktiviteter TOP-DOWN RISIKOSTYRING Utarbeidelse av forretningsplan Definere mål for nødvendig økonomisk kapital Fastsette risikotoleranse Spesifisere forventet avkastning Allokere risikoappetitt til forretningsområder Definere risikogrenser for forretningsenheter Spesifisere rammeverk for risikovurderinger Implementere et konsistent incentiv system RISIKO OG KAPITALSTYRING PÅ FORRETNINGSOMRÅDER/-ENHETER Kreditt risiko Markeds risiko Risikoidentifisering Risikomåling Individuell risikoovervåking Rapportering Likviditets risiko Oper. risiko Andre risikoer BOTTOM-UP RISIKOSTYRING Analytiske risikostyringsaktiviteter Balansestyring. Risikoaggregering Risiko allokering Overvåking av all risiko i forhold til kapital Måling av resultater Rapporter Intern kontroll gjennomgang
Periodisk gjennomgang (identifikasjon og analyse) av vesentlige risikoer for alle virksomhetsområder med utgangspunkt i definerte mål og strategier
Rapportering Månedlig Kvartalsvis Avdelingsregnskap m/sammenligning mot budsjett Kredittrapporter Funding Likviditet Konjunkturer
Rapportering Omfattende rapportering innen kredittområdet Sammenligning mot fastsatte måltall Mislighold utover 30 og 90 dager Misligholdsportefølje (>90dg) fordelt på bransjer Misligholdsportefølje (>90dg) fordelt på geografi Tapsutsatte engasjement (individuelt nedskrevne, uten mislighold >90dg) fordelt på bransjer Tapsutsatte engasjement (individuelt nedskrevne, uten mislighold >90dg) fordelt på geografi Utvikling i Mislighold vs. Bevilget Overtrekk Utvikling i Bevilget overtrekk fordelt på filialer Bevilgningsrapport, totalt og sum per måned 20 største bevilgninger i 2009 5 største bevilgninger gitt til nye kunder i 2009 Risikoutvikling, Totalmarked (akkumulert risikokl.) Risikoutvikling, Personmarked (akkumulert risikokl.) Risikoutvikling, Bedriftsmarked (akkumulert risikokl.) Økonomiutvikling, Totalmarked (risikokl. Økonomi) Økonomiutvikling, Personmarked (risikokl. Økonomi) Økonomiutvikling, Bedriftsmarked (risikokl. Økonomi) Sikkerhetsmessig dekning, totalt (risikokl. Sikkerhet) Sikkerhetsmessig dekning, PM (risikokl. Sikkerhet) Sikkerhetsmessig dekning, BM (risikokl. Sikkerhet) Oppfølgingshyppighet Risikoklassifisering Gjennomsnittlig utlånsrente fordelt på risikoklasser Utvikling i gjennomsnittlig utlånsrente fordelt på risikoklasser Porteføljesammensetning fordelt på sektorer Porteføljesammensetning fordelt på bransjer Porteføljesammensetning fordelt på geografiske markeder
Rapportering Omfattende rapportering innen fundig / likviditet Sammenligning mot fastsatte måltall Siste transaksjoner av betydning innen finansiering Oversikt over likviditetsporteføljen Likviditetsindikatorer Dagens markedsbetingelser Forfallsoversikt innlån
Risikohåndtering Risikohåndtering må iverksettes når risikovurderingen viser at risikonivået er, eller har potensiale for å bli, høyere enn akseptabelt. Tiltak deles gjerne inn i to kategorier; preventive tiltak (som skal redusere sannsynligheten for at en hendelse inntreffer) og reaktive tiltak (som skal redusere konsekvensen når hendelsen inntreffer). Når en vurderer sikkerhetstiltak er det nødvendig å ta hensyn til: Kriterier for kvalitet, funksjon og konsistens Om tiltakene er fullstendige og dekkende Om tiltakene er mulige å gjennomføre, både praktisk og kostnadsmessig Verifisere at tiltakene gir ønsket effekt Valg av sikkerhetstiltak er ikke en del av risikovurderingen, men anbefalinger om tiltak bør være en del av vurderingen
Praktisk risikostyring For å lykkes med risikostyring er det en rekke faktorer som må være tilstede: Ledelsen må se risikostyring som et viktig og nødvendig verktøy Representanter for ulike deler av virksomheten må være involvert i arbeidet Legg vekt på at det skal være/gjøres så enkelt som mulig Prosessen må ha tilstrekkelige ressurser og nødvendig kompetanse. Om kompetansen finnes internt i organisasjonen eller om det bør leies inn ekstern kompetanse avhenger av den enkelte virksomhet, men ofte vil det være fornuftig først selv å gjøre en enkel risikovurdering internt Resultatene må følges opp Risikovurdering må være en naturlig del av beslutningsprosesser
?
Takk for oppmerksomheten!