Byråkrater i Brussel skaper jobber på bygda

En tsunami av nye lover, regler og forskrifter har feid inn over finansbransjen siden 2008. Det gir ikke bare en mer robust bransje, det gir også nye jobber.

Tekst og foto: Sjur Anda

GOL: Regnet øser ned, det er høst i Gol. Sommerturistene er på vei hjem, og det er fremdeles lenge til snø og kulde igjen skal fylle bygden med vinterturister. Vi finner bankbygget, et moderne bygg i glass og skifer, midt i hovedgaten. Siden finanskrisen har det også regnet paragrafer, lover og forskrifter over den norske finansbransjen. Dette påvirker også i høyeste grad en liten bank som SpareBank 1 Hallingdal Valdres.

IKKE FRED Å FÅ: Bransjen har fått mange nye regler å forholde seg til. Men det er langt fra slutt. – Det er fremdeles mange uregulerte områder. I tillegg utvikler teknologien seg kraftig, og da må reguleringene følge med, sier Stian Rygg.

– De siste ti årene har det kommet en tsunami av reguleringer vi må forholde oss til. Ting reguleres mye strengere, og det er sterkt fokus på risikokulturen hos oss. Måten man ser på risiko og compliance er som natt og dag sammenlignet med for ti år siden. Bransjen har gjort et kvantesprang, sier complianceansvarlige Stian Rygg.

Han leder en avdeling med ansvar for compliance og risikostyring, der de har gått fra null til tre ansatte siden 2012.

– Vi er avhengige av å være såpass mange for å sørge for at vi følger lovverket og rapporterer det vi skal til styret. Før hadde vi en controller som var ansvarlig for kontroll av antihvitvaskingsarbeidet og personopplysningloven, men vi så at behovet for mer og sterkere kontroll økte, sier Rygg. Han jobber også mye med Sparebank 1 sentralt samt med de andre Samsparbankene om hvordan man skal håndtere compliance og risikostyring.

INTEGRERT DEL AV VIRKSOMHETEN

Når du kommer inn på SpareBank 1 Hallingdal Valdres´ filial i Hemsedal møtes du av en iPad der du skriver inn ditt navn og hvem du skal treffe. Vedkommende får da melding om at du har kommet. Dette er et ganske enkelt system, som er raskt å sette opp og har begrenset funksjonalitet. Men fra et complianceståsted er det mange ting som må være på plass.

– Her er det en kunde som skriver inn navnet sitt, det er også opplysninger om ansatte i banken. For å kunne implementere dette må vi vite ganske mye. Det er en skytjeneste: Hvor blir dataene lagret? De lagres i USA. Hvem har tilgang til dataene, hvordan er rutinene for sletting av data, hvem har innsyn i dataene og hvem er ansvarlig for tjenesten? Som du ser er det en rekke spørsmål vi må ha dokumentasjon på før vi kan sette i gang med denne tjenesten, sier Rygg, og fortsetter: – Vi har omkring 600 ulike systemer, der alle må gjennomgå en vurdering sett fra risiko- og complianace-ståsted. Når da verken regelverk eller systemer er statiske, så sier det seg selv at det er mye arbeid å holde styr på alt.

Finanstilsynet er veldig opptatt av operasjonell risiko

For å lykkes med dette, gjelder det at compliance og risikostyring er med ved alle endringer og ved innføring av nye produkter.

– Ved å tenke risiko tidlig, får vi dette med fra starten av. Det blir en naturlig del i tenkingen til dem som driver med utvikling.

FØRSTE LINJE

For å gjøre en god compliancejobb, er Rygg avhengig av et godt samarbeid med dem i linjen.

– Vi må ha tett kontakt nedover, særlig når det gjelder operasjonell risiko og hvitvasking. Å ha en god sikkerhetskultur der det rapporteres hendelser, er veldig viktig. Ved å analysere hendelsene kan vi se hvordan vi kan sette inn forebyggende tiltak i våre systemer og rutiner.

 – Hva er det verste som kan skje?

– At en rådgiver trykker på et vedlegg han ikke burde, slik at vi slipper inn en trojaner eller lignende i våre systemer.

SAMARBEID MED RÅDGIVERNE: Nøkkelen til å lykkes med compliance er å ha tett kontakt med dem som jobber i første linje. – Det handler om å fange opp potensielle problemområder. I tillegg skal vi skape rutiner som følger regelverket, men som likevel ikke hindrer rådgiverne i å gjøre jobben sin, sier Stian Rygg.

– Hva er en typisk feil?

– At en glemmer en av ti underskrifter på lånedokumenter. Nå er dette blitt mye bedre, for dokumentene signeres elektronisk med BankID, sier Rygg, som er opptatt av å skape åpenhet i sitt arbeid.

– Det er menneskelig å feile, og vi oppmuntrer til åpenhet rundt feilene. Uten en god dialog med linjen kan du ikke utøve god risikostyring, og uten god risikostyring er det vanskelig å være compliant. Han har tatt ned antall enkeltkontroller og fokuserer heller mer på helhetlige prosessgjennomganger.

– Hvis vi kan bygge inn kontrollmekanismer i prosessene og systemene, blir overvåkningen mye enklere.

– Hva har skjedd med rådgivernes hverdag etter hvert som regelomfanget har økt?

– Der vi før tenkte at alle skulle gjøre alt, og at vi hadde rådgivere med full bredde, går vi nå i retning av mer spesialisering. Det er en erkjennelse av at hverdagen er blitt mer kompleks. Vi er inne i en tid med mye endring, og endring krever energi. Nye digitale løsninger gir mindre avvik, men nye systemer skal læres og tas i bruk. Det er krevende for de ansatte. En risiko er at de ansatte blir endringstrette. Dette er noe jeg må jobbe med, sier Rygg, som tror at de største endringene har kommet i andre linje.

– Der er rapporteringsmengden mangedoblet siden 2008.

– Hvordan ser de ansatte på dere som jobber med compliance, blir dere sett på som farlige vaktbikkjer som de helst må unngå?

Rygg ler litt av spørsmålet.

– Vi sitter sammen i kantinen i alle fall. Men jeg har vært her lenge i mange ulike funksjoner, så jeg kjenner de ansatte. Jeg opplever at rådgiverne er interessert i å finne ut hva de kan gjøre og ikke gjøre. De er på mange måter kundens mann, og det har ført til mange gode diskusjoner. Det hjelper organisasjonen å finne gode og effektive rutiner som fungerer for rådgiverne, og som samtidig gjør at vi opererer i henhold til regelverket. Enkelte synes ting tar for lang tid, men slik vil det alltid være. Det er noe vi alle må leve med.

– Nå har vi fått en rekke store regelpakker de siste årene. Begynner vi å se slutten, får vi snart hvile?

– Nei, det tror jeg ikke. Snarere ser vi bare begynnelsen av reguleringsregimet. Det er fremdeles en rekke uregulerte områder. Ta kunstig intelligens som eksempel. Det vil påvirke bransjen kraftig etter hvert og må selvfølgelig reguleres. Endringstakten er stor, og ny teknologi og nye produkter kombinert med nye samarbeidsformer, gir lovmakerne nok å gjøre fremover.

– Medfører reguleringene og kontrollregime store kostnader for banken?

– Det er klart at det koster. Hvor mye er umulig å si. Men samtidig er nye regler med på å tvinge oss til å gjøre ting mer effektivt. Ny teknologi gjør at vi får gjort stadig mer på kortere tid. Samtidig skal regelverket gjøre bransjen mer robust, slik at vi unngår nye finanskriser, som vil koste mye mer enn hva kontrolltiltakene gjør.

OPERASJONELL RISIKO

En bank som SpareBank 1 Hallingdal Valdres er underlagt omkring 200 lover og forskrifter. Det som går på økonomi og regnskap, kontrolleres av ekstern revisor. Compliance vurderer de 200 lovene og forskriftene og gjør en risikovurdering av dem.

– Vi har vårt hovedfokus på fem hovedlover som vi er nødt til å ha full kontroll på. Det er hvitvasking, personopplysningsloven, verdipapirhandelloven, finansavtaleloven og finansforetakloven.

Rapporteringsmengden er mangedoblet siden 2008

Neste spørsmål for compliancesjefen blir hvordan de skal sikre seg at de er etterrettelige og følger gjeldende regelverk.

– Det meste handler om å sette ting i system. Gode systemer gjør det enklere å følge regelverket og å avdekke avvik. Mye handler om å følge med på hva som skjer på regelsiden og å finne ut hvordan vi skal forholde oss til det som kommer. En viktig del av overvåkningen handler om risikostyring. Du kan si at compliance er det overordnede, med oversikt over lover og regler, mens risikostyring er første steg i en operasjonalisering av complianceregleverket.

Han deler risikoen inn i fire: Kredittrisiko, operasjonell risiko, likviditetsrisiko og markedsrisiko.

– Finanstilsynet er veldig opptatt av operasjonell risiko. For å sikre oss her, gjelder det å ha med dem som eier risikoen i organisasjonen og dem som jobber med kundene til daglig. Hvis jeg gjør en god jobb på risikostyring og compliance, vet de som jobber i første linje hva de kan gjøre og hvilke rammer de har å forholde seg til. Samtidig må vi ha rutiner for kontroll, slik at vi fanger opp hvis noen beveger seg i feil retning, sier Rygg, som har god erfaring med kontrollsamtaler med den enkelte medarbeider.

– Jeg opplever et sug i organisasjonen om kunnskap, og får ofte spørsmål om hva man kan gjøre og ikke gjøre. Vi kan ikke bli for rigide i vår måte å angripe dette på. Det handler om å finne smidige løsninger som er innenfor regelverket. En god risikostyring gjør at linjen kan jobbe effektivt med tydelige rammer, avslutter Stian Rygg.