LOW comp 3-2024 004 - Flipbook - Page 17
TONE BERGFELT
AI Act, DORA, NIS2 och EUs
andra bankpaket
– att navigera bland alla
regelverksförändringar
F
inansiella institut
står inför stora
regelverksförändringar
den kommande tiden;
AI Act, DORA, NIS2, EU:s
andra bankpaket m.fl. Hur ska
bolag hantera och förbereda
sig i en tid med många
regelverksförändringar?
I en tid med frekventa och omfattande
regelverksförändringar måste bolagen
ha en strukturerad och proaktiv strategi
för att kunna navigera i ett snabbt föränderligt regulatoriskt landskap. Mot
bakgrund av att Finansinspektionen
även bedriver aktiv tillsyn över finansiella institut är det av stor vikt att tillståndspliktiga bolag uppmärksammar
och implementerar förändringar eller
nytillkomna regler i tid.
För att lyckas med detta är det centralt
att bolaget har en effektiv process för
regelverksbevakning och implementering av nya regler. Detta innebär att ha
en dokumenterad och tydligt definierad
process med ansvarsfördelning, där det
finns ägarskap och regelbunden rapportering i första försvarslinjen.
En utmaning är många gånger ansvarsfördelningen. För finansiella institut är
det en stor mängd nyheter och regelverksförändringar att ha koll på, vilket
ofta är både tids- och resurskrävande.
För att hantera den stora mängden nyheter och regelverksförändringar är det
nödvändigt att vara uppdaterad och förberedd. Många företag har implementerat särskilda avdelningar eller utsett
ansvariga inom verksamheten (första
försvarslinjen) för att övervaka, analysera och implementera nya regelverk.
Dessa personer eller funktioner har i
uppdrag att identifiera relevanta regelverksförändringar i ett tidigt skede och
förbereda organisationen på regelverkets
inverkan på den befintliga verksamheten. Likaså ansvarar de ofta för att sä-
kerställa att nya regler implementeras på
ett ändamålsenligt sätt inom organisationen. På så vis blir ansvarsfördelningen
tydlig, där verksamheten äger risken och
således ansvarar för implementeringen,
och compliancefunktionen bevakar och
kontrollerar (riskbaserat) samt lämnar
råd och stöd.
gelverksbevakning som kan vara till stor
hjälp i detta arbete. Vidare bör processen omfatta den fortsatta hanteringen
av identifierade regeluppdateringar eller
förändringar (bl.a. analys av ändringarnas inverkan på bolaget, rapportering
och tilldelande av ägarskap) inklusive
implementering och uppföljning.
En avgörande faktor är att compliancefunktionen och första försvarslinjen,
där den dagliga verksamheten sker och
risker först uppstår, etablerar ett nära
samarbete. Affärsnära kontrollfunktioner som kan bidra med råd och stöd
proaktivt snarare än reaktivt, utan att
kompromissa sitt oberoende, är centrala för att säkerställa lyckade regelverksimplementeringar samt regelefterlevnad. Samarbetet mellan första och
andra försvarslinjen kan även leda till
kostnadsbesparingar för bolagen, då en
tydlig samsyn på de nya regelverkens
tillämplighet, inverkan på bolaget eller
praktiska implementering kan undanröja eventuella diskrepanser med avseende
på hur de nya reglerna bör tolkas. Det
är vidare viktigt att första linjen har tillräckligt med resurser och kompetens för
att hantera den stora mängden regelverk
på ett effektivt sätt. Vissa nya regelverk
ställer även krav på helt nya eller fördjupade kompetenser inom vissa områden, såsom informationssäkerhet eller
hållbarhet, vilket kan öka behovet för
kompetenshöjande insatser eller resurstillskott i bolagen.
En framgångsfaktor i arbetet med implementering av nya regelverk är en tydlig ”tone from the top”. När ledningen
och styrelsen tydligt kommunicerar att
riskhantering och regelefterlevnad är
prioriterade områden, skapar det en positiv företagskultur där dessa frågor blir
en naturlig del av den dagliga verksamheten. Det hjälper även verksamheten
att prioritera mellan olika arbetsuppgifter och förstå i vilken utsträckning
resurser bör tillsättas eller fördelas, samt
om det finns behov för att stärka kompetensen internt.
Hur själva processen för regelverksbevakning och implementering av nya
regler ser ut kan såklart variera beroende på dels vilken typ av verksamhet
som bedrivs, dels verksamhetens art
och komplexitet. Oaktat verksamhetens
utformning bör processen åtminstone
omfatta en effektiv regelverksbevakning
för att identifiera nya eller förändrade
regelverk i ett tidigt skede och ansvarsfördelningen avseende detta. Idag finns
det även automatiserade system för re-
Sammanfattningsvis måste bolag vara
väl förberedda och flexibla i sitt arbete
avseende nya och förändrade regelverk.
Genom att ha effektiva dokumenterade processer, rätt verktyg, kompetenta
medarbetare och en stark intern kultur
kan de hantera nya och förändrade regelverk på ett sätt som skyddar organisationen och främjar dess långsiktiga
framgång.
Att ha en välfungerande process för regelverksbevakning och implementering
av nya regelverk är en central del av god
intern styrning och kontroll vilket bidrar till effektivitet och minskad risk för
ofrivilligt risktagande.
Compliance Nytt
17
