​Hvem er ansvarlig for etterlevelse av GDPR, PSD2 og AML?

For mange av oss som jobber i finansbransjen er GDPR[1], AML/CFT[2] og PSD2[3] eksempler på buzz ord som vi har hørt mye om i 2017 og som vi vil høre mer om i 2018. Dette er regelverk som vil tre i kraft i 2018 og som de aller fleste finansforetak allerede har implementert eller er i ferd med å etablere egne prosjekter for å implementere.

Nye regelverk medfører nye muligheter og nye risikoer for virksomhetene. Risiko for manglende etterlevelse av lovene (compliancerisiko) blir ofte lagt mest vekt på når lovverkene endres. Med PSD2 og GDPR så kan det se ut til at det er andre risikoer (og muligheter) som blir lagt vel så mye vekt på i forberedelsesarbeidet til virksomhetene. Eksempelvis mener mange at PSD2 er en «game changer» for bankene hvor andre type aktører vil seile opp som sterke konkurrenter på et marked som hittil har vært forbeholdt bankene.

I tillegg til compliancerisiko medfører altså de nye regelverkene andre viktige risikoer og muligheter som f.eks markedsrisiko (nye aktører), forretningsmessige og strategiske risikoer (nye produkter, samarbeidspartnere), samt en rekke operasjonelle risikoer (eksempelvis knyttet til beskyttelse og tilgjengeliggjøring av informasjon) som igjen kan skape omdømmerisiko. I tillegg dukker det opp risikoer knyttet til bankenes gjennomføring av forberedelsene (kostnader, forsinkelser, manglende ressurser, kompetanse, osv.).

Virksomhetene må identifisere, analysere, definere og adressere både risikoer og muligheter knyttet til de nye regelverkene. Risikoer og muligheter må ses i sammenheng og det er viktig at begge deler blir hensyntatt på et tidlig tidspunkt i forberedelsesarbeidet.

Ved nye regelverk er det ofte diskusjoner om hvem som skal ha ansvar for forberedelsesarbeidet. Det er ikke uvanlig at risikoeier, juridisk eller compliancefunksjonen får mye ansvar når nye regelverk skal implementeres. Ofte, og kanskje særlig aktuelt nå, treffer de nye regelverkene flere deler av eller hele virksomheten. GDPR er et veldig godt eksempel på dette. Flere risikoeiere blir direkte påvirket av de nye reglene og det er ikke gitt hvem som skal ta hovedansvaret for å gjøre de nødvendige forberedelsene.

«Three lines of defence» modellen ble opprettet i etterkant av den globale finanskrisen for å gi en sammenhengende og samordnet tilnærming til håndtering og styring av virksomhetsrisiko på både strategiske, taktiske og operasjonelle nivåer. Både COSO[4] rammeverket, tilsynsmyndigheter og IIA[5] viser ofte til denne modellen som god praksis.

Figur: IIA.org.uk

[1]The General Data Protection Regulation

[2]Anti Money Laundering/ Counter Financing of Terrorism

[3]Revised Payment Services Directive

[4]The Committee of Sponsoring Organizations

[5] The Institute of Internal Auditors

Prinsippet bak modellen er tydelig fordeling av ansvar og roller, sett i et helhetlig perspektiv, der styret og ledelsen har nøkkelroller i virksomhetsstyringen. Nettopp fordi det er viktig med et helhetlig perspektiv for disse nye regelverkene, herunder å se alle risikoer og muligheter i sammenheng, er denne modellen hensiktsmessig å se til når roller og ansvar skal defineres.

Hovedprinsippene i modellen er at førstelinjen er utøvende og operasjonelle funksjoner som skal generere inntektene. De skal selv vurdere risikoer og om de har tilstrekkelige kontroller på plass. Førstelinjen er risikoeier og ansvarlig for etterlevelse av de lover og retningslinjer som til enhver tid gjelder, herunder må de påse at nødvendige forberedelser/endringer gjøres ved nye eller endrede regelverk.

Andrelinjen er en monitorerende støttefunksjon til førstelinjen som gjennom rådgivning, uavhengige kontroller og egne risikovurderinger skal bidra til å identifisere og rapportere uønsket risiko og derigjennom bidra til en bedre måloppnåelse. Første- og andrelinjens vurderinger blir viktige innspill til ledelsen når viktige beslutninger skal diskuteres og fattes.

Tredjelinjen er styrets forlengede arm inn i virksomheten og er til for å gi styret trygghet for at virksomheten har tilstrekkelig kontroll. Tredjelinjen vil herunder også vurdere andrelinjens arbeid. Tredjelinjens vurderinger blir viktige innspill til styret når viktige beslutninger skal diskuteres og fattes.

PSDII, GDPR og AML er gode eksempler på regelverk som skaper risikoer og muligheter utover compliancerisiko. De ulike regelverkene genererer viktige diskusjoner på ulike nivåer i virksomheten og bør ses i sammenheng da det finnes en rekke synergier. Regelverkene gir også rammer for virksomheten og føringer for strategiske valg. Dette bør tas med inn i viktige vurderinger knyttet til eksempelvis forretningsmodeller, digitale investeringer og kompetanseløft for å nevne noe.

Vi opplever en finansnæring i rask og rivende utvikling og det er viktige, strategiske beslutninger som skal fattes i bankene fremover. Styret og ledelsen - som til syvende og sist sitter med ansvaret – bør etterstrebe et beslutningsgrunnlag av best mulig kvalitet og relevans, samt et hensiktsmessig og vellykket prosjektarbeid. En tydelig rolle- og ansvarsfordeling vil bidra til å sikre nettopp dette.

Styret og ledelsen sitter med hovedansvaret for etterlevelse av nye lover og regler, men i praksis er det et lagarbeid der hver enkelt ansatt er ansvarlig for å utføre sin del av etterlevelsen og sin del av risikostyringen. «Three lines of defence» modellen kan være nyttig å bruke for å tydeliggjøre hvordan rollefordelingen skal være.

Forfatter: Maria Haug Edvardsen