Risici skal være en del af hele bankens DNA  

Natascha på konferencen Risici i den finansielle sektor om risiko

På konferencen Risici i den finansielle sektor den 8. og 9. november holder Natascha Bernstorff, der er SVP, head of regulatory traction and oversight i Danske Bank et oplæg, hvor hun kommer ind på kritisk og vigtig outsourcing end2end i Danske Bank.

Læs et spændende interview med Natascha her.

Hvor lang tid har du arbejdet med risici, og hvordan har din vej hertil været?

Jeg er oprindeligt uddannet advokat i 2012 og har derfra stort set altid arbejdet med risici i en eller anden form. I 2014 blev jeg ansat i Danske Bank, hvorefter jeg for alvor begyndte at fokusere mere specifikt på identificering, monitorering og rapportering af risici. Først som leder i Procurement, hvor fokus var på identificering af risici som en naturlig del af sourcing-processen og tredjeparts arrangementer, og senere som ansvarlig for Danske Banks 1st Line of defence (1LoD) rammeværk for outsourcing. Desuden har jeg tidligere haft fornøjelsen af at lede en 2 LoD-afdeling som en del af compliancefunktionen i Nordea med specifikt fokus på risici relateret til tredjeparter og outsourcing. 

Hvordan arbejder du og din virksomhed løbende med risici og risikofunktionen?

Karakteren af de ydelser Danske Bank (og andre finansielle institutioner) leverer til både kunder, aktionærer og samfundet som helhed medfører, at håndtering af risici skal være en del af hele bankens DNA. Alle medarbejdere er ”risk managers” og samarbejdet med bankens risikofunktion er en væsentlig del af vores daglige arbejde. Specifikt i forhold til outsourcing og tredjepartsarrangementer påser kontrolfunktionen eksempelvis, at vi i 1 LoD har et effektivt rammeværkmed underliggende processer, kontroller osv., som giver mulighed for at sikre, at vi til enhver tid er i kontrol af vores outsourcing- og tredjepartsarrangementer, og at de både hver for sig og samlet holdes inden for Bankens risiko appetit.

Hvilke muligheder og udfordringer er der inde for feltet?

Lad os starte med udfordringerne – Det er eksempelvis sjældent at ens kollegaer bliver himmelhenrykte, når en central 1LoD funktion rækker ud for at fortælle om mængden af vurderinger der skal gennemføres, inden der indgås samarbejde med en tredjepart.

De fleste ved, hvad de skal og hvorfor – men til tider er opfattelsen af risikoprocesser på tværs af regulerede og ikke-regulerede virksomheder fortsat, at ”det er noget, som bare skal gøres, for at leve op til interne politikker”, eller at ”det er besværligt og ingen værdi skaber”, eller måske ”ligefrem hæmmer forretningens fleksibilitet og agilitet unødigt”.

Den grundlæggende idé om risk management er ikke altid sunket ind i fundamentet af alle organisationer. Vi identificerer ikke risici for at sikre, at vi overhovedet ikke løber nogen risici. Vi identificerer risici, så vi kan skabe transparens omkring, hvilke risici der er værd at løbe. For at sætte os i stand til at opnå vores målsætninger. Det skal dog ikke være nogen hemmelighed, at den øgede mængde af regulering, som især den finansielle sektor står overfor, giver stof til eftertanke, særligt i forhold til hvordan man bedst sikre regulatorisk implementering af krav uden at kvæle banken i administrativt bøvl og tunge processer. Her er en risiko baseret tilgang, graden af tilgængelig data samt digitalisering essentiel for din succes.

Hvis vi kigger på mulighederne – for dem er der bestemt masser af – så ser jeg en helt oplagt mulighed i at hjælpe forretningen med at optimere både eksisterende og nye partnerskaber med tredjeparter og herved bruge ”compliance as an enabler”. Jeg ved, at det lyder meget kliche, men der er rent faktisk noget om snakken. Ser man for eksempel på værdien af løbende monitorering af et partnerskab, er det en gylden mulighed for sideløbende med monitorering af risici at følge op på SLA’er, KPI’er m.m. – med andre ord, sikre at man får hvad man betaler for.

Bliver kontrakten lagt i skuffen efter underskrift forpasses muligheden for optimering. Set fra et bredere perspektiv, er risikostyring et kraftfuldt værktøj, hvis man altså formår at anvende det som grundlag for de beslutninger, virksomheden står overfor. Det handler om rejsen fra ”risk management som et bump på vejen” til ”risk management, en accelerator for forretningsvækst”. Vejen er lang og sej, men lykkes det, vil der åbne sig en motorvej, der tillader virksomheden at overhale konkurrenterne.  

Hvordan ser fremtiden ud inden for risici i den finansielle sektor?

Med Ruslands krig mod Ukraine, den udfordrede forsyningssituationen fra Asien efter Covid-19 og den stigende økonomiske usikkerhed derfra in mente, har risikostyring, herunder Business Continuity Management og exit-strategier aldrig været mere relevant, og masser af virksomheder har måttet lære det på den hårde måde.

Af flere årsager er der over de senere år kommet en øget fokus på risikostyring – og den er kommet for at blive. Om lidt kigger mange ind i implementering af DORA, som også forholder sig meget specifikt til risikostyring, og særligt relevant for mit domæne er håndtering af ICT-leverandører. Ud over den øgede fokus selve organisationen er tvunget til at have på risikostyringen og dens fordele og ulemper, har tilsyneladende også bestyrelserne i de forskellige virksomheder fået øjnene mere op for risikostyring – og her mener jeg ikke alene de ”gode gamle” dele af risiko-taksonomien såsom credit-risk, market-risk og capital/likviditi risk, men også ESG-risk og cyber-risk melder sig under fanerne, hvilket stiller nogle nye krav til kompetencesammensætningen i bestyrelserne. Det bliver helt afgørende for virksomhederne at finde den rette risiko-baserede tilgang, som giver dem mulighed for at fokusere på de risici, som rent faktisk kan påvirke virksomhedens risiko-profil. Det vil være på grænsen til det umulige at fokusere på alt, ligesom det ikke vil skabe værdi for hverken virksomheden, medarbejderne, potentielle aktionærer og/eller samfundet.  

Hvad taler du om på konferencen, og hvad håber du, deltagerne får ud af det? 

Jeg vil tale om kritisk/vigtig outsourcing i Danske Bank med et særligt fokus på den praktiske håndtering af identificering, monitorering og rapportering af risici til henholdsvis outsourcing officeren, direktionen og bestyrelsen. Jeg håber, at det kan give deltagerne et indblik i nogle af de udfordringer, vi stod overfor i forbindelse med implementering af et end2end-rammeværk, som skulle implementere outsourcing reglerne. Desuden vil jeg komme ind på hvordan vi har etableret den nye lovfastsatte rolle ”outsourcing officeren”.

Vil du gerne høre mere risikostyring fra Natascha Bernstorff?

På konferencen Risici i den finansielle sektor den 8. og 9. november kan du blive klogere på Danske Bank håndtering af 1LoD identificering, monitorering og rapportering af risici til outsourcing til officeren, direktionen og bestyrelsen. Læs mere om konferencen og tilmeld dig her.