Hva mener vi med moderne risikostyring?

Transkript

1 Hva mener vi med moderne risikostyring? Polyteknisk forening Styrenettverk 20. februar 2018

2 Introduksjon Målsetning med kveldens møte Foredragsholdere Nettverk risikostyring og IIA Norge 2

3 Møtelederne Medlemmer av styret i Nettverk Risikostyring i IIA Norge Samt deltagere i arbeidsutvalget som arbeidet frem Veileder for Risikostyringsfunksjonen i gjennom 2016 Martin Stevens Gjensidige Ayse B. Nordal Undervisningsbygg Petter Kapstad Statoil Ole Martin Kjørstad Norges Bank 3

4 IIA Norge Nettverk Risikostyring Nettverk Risikostyring er en møteplass for folk som jobber med risikostyring, uavhengig av bransje og sektor. Foruten å gi unike nettverksmuligheter, samler og utvikler nettverket veiledninger og maler til hjelp i arbeidet med risikostyring. Vi arrangerer medlemsmøter, seminarer og utvikler relevante kurstilbud. 4

5 Veiledere utgitt av IIA Norge Tilgjengelig i trykt format og på

6 Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyring Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 6

7 Agenda Hva er risiko? Hva er ERM? Hvordan styrer vi risikoer? Betydningen av strategisk risiko Verktøykassen rammeverk og standarder Risikostyringsprosessen 7

8 HVA ER RISIKO? Ayse B. Nordal UNDERVISNINGSBYGG OSLO KF Fremskritt gjennom deling av kunnskap

9 HVA ER RISIKO? farer R= Sannsynlighet X Konsekvens uønskede hendelser muligheter Usikkerhet knyttet til mål sannsynlighet volatilitet

10 DEFINISJONER I ULIKE STANDARDER OG RAMMEVERK ISO, 31000:2009 Effect of uncertainity on objectives. An effect is a deviation from the expectedpositive and/or negative. COSO, Enterprise Risk Management, Aligning Risk with Strategy and Performance June 2017 The possibility that events will occur and affect the achievement of strategy and business objectives.. FERMA, The combination of the probability of an event and its consequences. In all types of undertaking, there is the potential for events and consequences that constitute opportunities for benefit (upside) or threats to success (downside). Fremskritt gjennom deling av kunnskap

11 HAR VI ET ENSARTET RISIKOBEGREP? DFØ Det at forhold eller hendelser kan inntreffe og påvirke oppnåelse av målsettinger negativt. DFØ Kilde: Risikostyring i staten- Håndtering av risiko i mål og resultatstyringen 2007 DIFI Risiko handler om potensielle avvik fra det forventede eller potensielle avvik fra våre mål. Selv om definisjonene innebærer at risiko kan være både negativ og positiv, er det mest vanlig å kun fokusere på det negative og på uønskede hendelser. Det har vi også valgt å gjøre i dette veiledningsmateriellet. Kilde: Intern kontroll og informasjonssikkerhet KS Usikkerhet handler ikke bare om risiko, men også om muligheter! Tenk gjerne på risiko som negativ usikkerhet (noe kan gå galt) og muligheter som positiv usikkerhet (noe kan bli bedre enn forventet). Kilde: Prosjekt& porteføljeverktøyet Olje og energidepartementet Risikoelementene kan defineres enten som trussel eller som mulighet for prosjektet. Kilde: Mulighetsstudier av fullskala CO2-håndtering Kap: og 8.3

12 Hva er ERM? Enterprise Risk Management

13 Hva er helhetlig risikostyring? Strategi og mål - Visjon og verdigrunnlag - Strategi og målsetninger - Organisasjonsstruktur - Policyer og styringsprinsipper Kommunikasjon ERM - Summen av aktiviteter etablert for å evaluere og sikre samsvar mellom vedtatte strategier, forretningsprosesser og kontrollaktiviteter sett i sammenheng med det til enhver tid gjeldende risikobilde Forretningsprosesser og kontrollaktiviteter - Operasjonelle forretningsprosesser - Overvåkende aktiviteter - Kontroll- og tilsynsaktiviteter - Rapporteringsaktiviteter 13

14 Risk (standard deviation) Why Enterprise Risk Management, some examples? Know what to manage BU A BU B BU A BU B + 10 musd Portfolio perspective Avoiding suboptimization - 10 musd BU A decides to hedge their currency position - 10 musd Utilizing correlations + 10 musd - 10 musd BU A BU B Net risk = 0 Net risk = -10 Expenses: NOK (10 musd * 6,00 * 30 points) Individual Risk versus portfolio risk 0,7-1 bn NOK Brent 0,6 + 1 bn NOK Gas oil 0,5 0,4 0,3 Gas oil Correlation (Brent and gas oil): 0,94 0,2 0,1 Brent Net risk =? - Total Individual risks Doing nothing Double hedge 14 -

15 HVORDAN STYRER VI RISIKOER? Ayse B. Nordal UNDERVISNINGSBYGG OSLO KF Fremskritt gjennom deling av kunnskap

16 HELHETLIG RISIKOSTYRING OG BESLUTNINGSTAKING Mål Håndtere virkningene av usikkerhet Treffe valg Registrering & rapportering Kommunikasjon &konsultasjon Evaluere konsekvenser Bestemmelse av kontekst Identifisere alternativer Risikovurdering Risikohåndtering BBeskrive målsetningen Overvåkning & evaluering Beslutningstaking Helhetlig risikostyring ISO-31000

17 Risikostyring og beslutningstaking Det er usikkerhet assosiert med alle beslutninger. God risikostyring handler om å legge til rette for at beslutninger fattes på best mulig grunnlag. Bedre beslutningsgrunnlag kan også styrke evnen til å håndtere et utfall som i utgangspunktet ikke var ønsket. 17

18 Risikostyring og beslutningstaking Beslutningstaker Utfallsegenskaper Utfall Intern beslutningstaker F.eks: Å drikke en kopp kaffe Intern beslutningstaker F.eks: Estimering av antall fremtidige studenter i kommune X Intern beslutningstaker F.eks: Introdusere et helt nytt produkt i et marked Ekstern beslutningstaker oppfattet gjennom «what if» scenarioer («known unknowns») F.eks: Opptøyer Ekstern beslutningstaker ukjent hendelse kommer overraskende («unknown unknowns») F.eks: 9/11 Deterministisk Stokastisk påvirket av tilfeldigheter Stokastisk Kaskade-, snøballeffekter, «fat tailed distribution» Sannsynligheten kan ikke beregnes med teknikkene vi besitter i dag. Blir ikke oppdaget gjennom «what if» scenarioer Kjent og sikker kaffekoppen er tom Sannsynlighetsfordeling av utfallet er kjent / kan estimeres Sannsynlighetsfordelinge n er ukjent «Grey Swan» «Black Swan» Denne figuren er en oversettelse av opprinnelig versjon som finnes I Y. Ayse B. Nordal, Risk Management Practices, Decision Making and Corporate Governance, Book of Proceedings", International May Conference on Strategic Management, University of Belgrade, May

19 Et eksempel Overodnede mål Delmål: fokuseffektiv drift Delmål: fokusarbeidsmiljø Delmål: fokus-lcc HVA KAN GÅ GALT? (nedside) ER DET POTENSIALER SOM KAN UTNYTTES? (oppside) Kvantifisering Prioritering og tiltak

20 Betydningen av strategisk risiko

21 Hvilke risikoer skal man fokusere på? Strategisk Ekstern Operasjonell Compliance 21

22 Undersøkelse av verditap i børsnoterte selskap Utført av Hermann Christensen, NSB student ved Executive Master of Management ved Handelshøyskolen BI Funn Booz & Co 2012 i HBR 2015 ii Denne undersøkelsen Andel av verditaphendelser forårsaket av strategisk risiko 81% 86% 63% 22

23 Tapsårsaker og risikofokus Risikofokus er risikobildet bedriftene fokuserte på i tapsåret Kilde: Artikkel SIRK Hermann Christensen 23

24 Tap per risikodekningsgrad Kilde: Artikkel SIRK Hermann Christensen 24

25 Verktøykassen Rammeverk og standarder

26 Rammeverk og standarder To standarder / rammeverk for risikostyring har oppnådd internasjonal aksept og er oversatt til norsk. 1. COSO:2004 Enterprise Risk Management Integrated Framework (oppdatert COSO ERM Aligning Risk with Strategy and Performance ) 2. ISO 31000:2009 Risk Management Principles and Guidelines (oppdateres i 2018) 3. Videre er det etablert en ny felles struktur (2015) for alle ISO ledelsesstandarder, som bygger på en risikobasert tilnærming med utgangspunkt i mål og kontekst 26

27 COSO ERM Kilde: coso.org 27

28 COSO ERM Rammeverket bygger på fem hovedkomponenter og 20 prinsipper Helhetlig risikostyring i kontekst av virksomhetens forretningsmodell som helhet; fremfor en isolert risikostyringsprosess Kilde: coso.org 28

29 Kilde: iso.org 29

30 ISO 3100 oppdatering 2018 Oppdatert Inneholder: Mer strategisk veiledning enn ISO 31000:2009 Legger større vekt på både involvering av toppledelsen og integrering av risikostyring i organisasjonen Anbefaler at risikostyring er en del av organisasjonens struktur, prosesser, mål, strategi og aktiviteter. 30

31 ISO styrings- og ledelsesrammeverk Oppdatering og standardisering av rammeverkene i 2015 Ledelsesstandardene bygget opp etter felles metodikk Enklere å implementere flere ledelsesstandarder Risikobasert tilnærming 31

32 ISO styrings- og ledelsesrammeverk ISO Kvalitetsledelse ISO Miljøledelse Felles plattform ISO Informasjonssikkerhet ISO Arbeidsmiljøledelse osv 32

33 ISO styrings- og ledelsesrammeverk Omfang Referanser Terminologi definisjoner Kontekst Lederskap Standardspesifikk Standardspesifikk Standardspesifikk Forstå organisasjonen og dens kontekst Forstå interessenters krav, behov og forventninger Bestemme styringssystemets omfang Spesifikke prosesser for det enkelte rammeverk Lederskap og forpliktelse Policy Roller, ansvar, myndighet og fullmakter Planlegging Support Operations Evaluering Forbedring Tiltak for å adressere risiko (trusler og muligheter) Målsetninger og planer for å nå definerte mål Planlegging av endringer Ressurser Kompetanse Bevissthet Kommunikasjon Oppfølging og vedlikehold av dokumentasjon Planlegging, styring og kontroll Spesifikke prosesser for det enkelte rammeverk Overvåke, måle, analysere og evaluere Interne revisjoner (ikke internrevisjon) Ledelsesgjennomgang Avviksoppfølging og korrigerende tiltak Kontinuerlig forbedring 33

34 Hvordan velge rammeverk? 34

35 Risikostyringsprosessen

36 Prosess som skal sikre bevisst risikotaking Risikovurdering Akseptere risiko? Ja Overvåke og rapportere Nei Unngå Redusere Akseptere 36

37 Prosess som skal sikre bevisst risikotaking Målet med risikostyringsprosessen er å sikre riktig risikoeksponering gjennom posisjonering og strategiske valg, effektive forretningsprosesser og robuste kontroller Interne usikkerhetsfaktorer Eksterne usikkerhetsfaktorer Strategi og mål Risikoidentifikasjon Risikoanalyse Tiltak, kontroller Tiltak og prosesser Implementering og oppfølging Kontrolleffektivitet Prosessdesign 37

38 Utforming av rammeverk i praksis En fellesnevner for eksisterende standarder og rammeverk er at det omfatter metoder og prosesser som brukes av organisasjonen til å styre risiko og utnytte muligheter. Mål og strategier Typiske elementer i et rammeverk: - Identifikasjon av interne og eksterne forhold som påvirker virksomhetens målsetninger - Fastsettelse av risikoappetitt og risikostyringspolitikk - Utforming av risikostyringsfunksjonen og funksjonens ansvarsområder - Etablering av interne og eksterne kommunikasjonsmekanismer - Tildeling av ressurser til funksjonen Implementering og oppfølging Tiltak Risikoanalyse Risikoidentifisering 38

39 OK! Hva er det viktig at vi som styremedlemmer husker på? Hva er vår rolle? (Utover å ha det ultimate ansvaret) 39

40 ERM er svært sjeldent én prosess Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse 40

41 Forretningsenhet, Avdeling, Prossess Divisjon Virksomhet ERM er svært sjeldent én prosess Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Mål og strategier Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Tiltak Risikoanalyse 41

42 Forretningsenhet, Avdeling, Prossess Divisjon Konsern Husk: Opp- OG nedstrøms mekanismer Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Mål og strategier Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Tiltak Risikoanalyse 42

43 Definere risikoappetitt og gi føringer Risikoappetitt Strategi og målsetninger Virksomhetens målsetninger, herunder interne og eksterne krav Økonomi Omdømme Personskade og -sikkerhet Miljø Utfall som påvirker usikkerhet for fremtidig inntjening eller kan medføre direkte kostnader Utfall som kan påvirke virksomhetens omdømme, og/eller som innebærer brudd på interne og eksterne krav Utfall som kan medføre potensielle personskader og/eller som kan ha sikkerhetsmessige konsekvenser Utfall som kan påvirke det ytre miljøet eller ha konsekvens for ivaretagelse av eventuelle miljøkrav 43

44 og forstå håndteringen av usikkerhet Risikoappetitt Strategi og målsetninger Virksomhetens målsetninger, herunder interne og eksterne krav Økonomi Omdømme Personskade og -sikkerhet Miljø Ulike årsaker / usikkerhetskilder: Eksterne faktorer, markedsendringer, interne feil, svakhet i prosesser, systemsvikt mv. 44

45 12 trinn for etablering av ERM Styret Risikoappetitt Kommunikasjon: - Regelmessig - Proaktiv - Allokering av eierskap 2. linje Ledelsen Arbeidsform må sikre tett samarbeid med strategi- og linjefunksjoner Risikoidentifikasjon og måling Operativ organisasjon Alle risikoklasser 45

46 12 trinn for implementering 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder- eller delegere ansvaret for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10. Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11. Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12. Årlig / periodisk rapportering til styret 46