GRC-system

Ett sparbolag – som tänker längre

• Pionjäranda och samhällsengagemang i 160 år

• En av Sveriges största bank- och försäkringskoncerner

• Ägs och styrs av våra kunder

• Drygt 50 rådgivningskontor

• 2 miljoner kunder

• 2 500 anställda

• Verksamhet i Sverige och Danmark

• Koncernchef Frans Lindelöw

Skandia förvaltar 578 miljarder kronor

– var femtonde sparkrona i Sverige

Skandias erbjudande

Traditionell förvaltning

• Tryggt – sparande med garanti

• Enkelt – vi placerar pengarna

åt dig

• Låga kostnader

Fondsparande

• Både brett utbud och hjälp

att välja

• I försäkring, investerings-

sparkonto eller

värdepappersdepå

Banktjänster

• Fullsortiment för privatpersoner

• Öppna, individuella

bolånerabatter

• Prisbelönt internetbank

Hälsa och trygghet

• Trygghet vid olycka, sjukdom

och dödsfall

• Förebyggande insatser med

kombinerad hälso- och

sjukförsäkring

Visste du att?

42 miljarder kronor till spararna 2015Aldrig någonsin, i vår 160-åriga historia, har våra sparare fått

dela på så många miljarder kronor under ett år.

5,3%Totalavkastning för 2015

0kri bonusar till chefer i Skandia.

Våra investeringar i fonder för

onoterade bolag som t.ex. Spotify,

Twitter, Apoteket Hjärtat och XXL har

överavkastat de globala

aktiemarknaderna med ca 4 % per år

under de senaste tio åren.

4%Avkastning per år

All vinst som Skandia

genererar kommer

kunden till del i form

av återbäring. 5,3

procent i genomsnitt

de senaste 15 åren.

Kundägt och kundstyrt– påverka genom att nominera och rösta på Skandias fullmäktige.

Eller tycka till i mobilappen, Facebook-sidan eller bloggen.

Först med öppna, individuella bolånerabatter

Först med att redovisa kundernas verkliga

genomsnittsränta

Stabila nyckeltal:

Kollektiv konsolideringsgrad: 107 %

Solvens: 163 %

Återbäringsränta: 3 % 1,4 miljonerägare får nominera och rösta

fram Skandias fullmäktige.

Som enda svenska företag är vi med på Fortune’s Change the World list 2016

Utmärkelsen är ett bevis för vårt innovativa och förebyggande arbete

mot ohälsa som vi genomför tillsammans med våra kunder.

Vårt hälsoerbjudande är bara ett exempel på när vi förenar lönsamhet

och samhällsnytta. Andra exempel på när avkastning och

samhällsvinst går hand i hand är vår investering i vindkraft och hur vi

finansierat en klinik för avancerad cancervård.

Fortune’s Change the World List lyfter fram de 50 nyskapande företag

som visat att det går att både tjäna gott och göra gott.

Ett av dem är från Sverige.

Frågeställningar

• Varför ett GRC system?

• Vad ska man tänka på vid upphandlingen?

• Vilka moduler har Skandia implementerat?

• Vad ska man tänka på vid implementationen?

• Hur är Skandia organiserade för förvaltning av systemet?

• Hur uppfattas systemet av verksamheten?

• Nästa steg och utmaningar?

Varför ett GRC system?

Ökad kvalitet i riskrapportering• Ökad förståelse för GRC hos verksamheten

• Förenklad riskrapportering

• Utgångspunkt i samma data vid uppföljningen

• Bättre spårbarhet

Möjliggör för effektiviseringar• Minskat personberoende

• Minskad manuell hantering

• Ökad operationell effektivitet

Koppling mellan styrning/krav – risk – kontroll &

uppföljning

• Lägre operativa förluster

Regelefterlevnad

• Avsikt att konsolidera information för att uppfylla

krav i regelverk

Projektet

Mål & syfte

• Införa ett koncerngemensamt systemstöd för

risk, kontroll, åtgärd, incident, internrevision

och regelverk

• Stödja en effektiv och samordnad

riskhantering och intern kontroll inom

Skandiakoncernen

Bakgrund

• 4 olika systemstöd för Risk, Intern kontroll,

Compliance, Internrevision och IT:

Befintliga systemstöd täckte inte samtliga

behov och områden

Befintliga systemstöd var inte

sammankopplade

Endast 2 av 4 systemstöd var

framtidssäkrade

Nya regelkrav förutsätter automatiserad

behandling av sådant som då till del

hanterades manuellt

Processen steg för steg

Omfattning av systemet

Kravställning (RFP)

En RFP skickades ut till ca 10 leverantörer

Test och förhandling med 2 leverantörer

(PoC)

Analys och beslut av leverantör

Upphandling - Utvärdering

Ris

k

Incid

en

t

Ko

ntr

oll

Inte

rnre

vis

ion

Co

mp

lian

ce

Fin

an

sie

ll

stä

lln

ing

Tekn

isk

ark

itektu

r

Serv

ice/S

up

po

rt

System 1

EMC/RSA

System 3

System 4

System 5 N/A

Systemval – RSA Archer från EMC

Skäl för beslutet

• Godkänd (fullt ut) i utvärdering

• Bäst förutsättning att realisera effektivisering i

verksamheten

• Inköpet ligger inom budget

• Globalt standardsystem med bred kundkrets

• Skandia blir en viktig kund i Norden

Företaget EMC

• Globalt väletablerat IT-företag med stabil utsikt

och över 60 000 anställda

• Goda referenser

Övervägande inför beslut

• Mycket begränsade möjligheter att påverka

leverantörens allmänna villkor och

leverantörsansvar

Att tänka på i upphandlingsprocessen

• Utgå från behoven av funktionalitet snarare än exakt vilken

funktionalitet systemet skall ha

• Samverka mellan avdelningarna vid kravställning på

gemensamma funktonaliteter, som tex behörighetsstruktur,

kopplingar till org.struktur, process eller IT-system.

• Lokal expertis runt systemet för support vid anpassningar

och felsökning

• Bred och aktiv kundkrets

• Kontakta referenskunder!

Risk inkl BIA

Värdering, kategorisering, ägarskap

, mm

Kontroll

Självutvärderingar, kontrolltestning, FIK godkännande flöden

Brister/Åtgärdsplaner (Risk,Kontroll,Audit)

Förfallodatum, ägare, godkännande flöden

FIK/Audit

Policy/Regelverk

Register

Audit Compliance/IR

Dokumentation granskning

Loss Event

Kategorisering, uppskattning påverkan

Integrerat Risk Informations System (IRIS)Skandias GRC system – modulerna och integrationer

Org

struktur

Bolag

struktur

Processer

(Qualiware)

IT-register

(CMDB)

Implementationen

Konfigurering ca 6mån

• Detaljering av krav utifrån

användningsfall

• Funktionella och icke-funktionella krav

• Anpassningar utifrån kravställning

• Roller i systemet

• Behörighetsstruktur

• TESTA!

Utrullning

• Stegvis: Incident, Risk, Kontroll,

Internrevision, Regelverk

• Definitionslistor och lathundar

• Riskmanager utbildningar

• Upprättande av förvaltningsorganisation,

ägs av funktionen Internkontroll.

• Support

• Ändringsråd

• Strategiskt råd

• Gemensam brevlåda IRIS@skandia.se

Att tänka på vid implementationen

• Utmana existerande arbetssätt

• Involvera verksamheten

• Informera regelbundet om status i projektet, omfattningen

av projektet och var lyhörd för förändrade behov

• Testa, Testa, Testa samtliga funktionaliteter

• Tänk igenom behörigheterna

• Sätt upp regler för förvaltningen

• Ha inte bråttom!

Riskägarens vy (Dashboard) - fingerad

Riskregister - fingerat

Kontrollägarens vy (Dashboard) - fingerad

Förbättringar för riskägare

• Ett system för incidenter, risker, kontroller,

regelverk (verksamhetsstyrning) samt

eventuella granskningsanmärkningar

• En samlad riskbild där risker kan kopplas till:

Verksamhetsprocesser

Organisationsstruktur

Legalt bolag

Kontroller

Regelverk (intern policy m.m.)

• Möjlighet att skapa personliga rapporter och

”Dashboards” med den skärning som

respektive riskägare önskar

Utmaningar framåt

• Överskådlighet i systemet

• Förenkling av funktionalitet och

workflows

• Nytta för ledning och styrelse

• Integrerat system i löpande

arbetet

TACK!