5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Transkript

1 Vanlige problemer og utfordringer i møtet med helhetlig risikostyring 5. desember 2011 Agenda 1. Hva er god risikostyring 2. Vanlige utfordringer 3. Trender 2 1

2 Erfaring med implementering av Enterprise Risk Management (ERM) Economist Intelligence Unit (2007) intervjuet 218 toppledere i amerikanske selskap om deres erfaring med ERM (50 % av selskapene har omsetning over USD 500 millioner) 97 % mente at ERM ga konkurransefortrinn Hovedmotivasjon for å implementere ERM: Beskytte og forsterke selskapets renommé Sikre samsvar med gjeldende regler Unngå unødvendige tap 3 Hva er god risikostyring 4 2

3 God risikostyring er å iverksette en prosess Kontrollmiljø Tone fra toppen, risikostyringsfilosofi og risikoappetitt Overvåking Risikostyringen følges opp Målsetting Selskapet setter sine mål. og legger strategier Informasjon og kommunikasjon Risikorespons Det gjennomføres risikorkontrollerende tiltak Kartleggingav mulige hendelser Interne og eksterne hendelser som vesentligkan påvirke selskapets evne til å nå sine mål identifiseres Kontrollaktiviteter Det identifisereskontrollaktiviteter for å kontrollere risiko Risikovurdering Risikoen analyseres (sannsynlighet og konsekvens) og prioriteres 5 Hva gjør de beste? Prinsipp Strategisk sammenheng Etablering av målsettinger Identifisering av hendelser Karakteristika Styretog ledelse har etablert en sammenhengen mellom virksomhetens risikoprofil, overordnede målsettinger og forretningsstrategi Virksomhetens risikoappetitt er klart definert og harmoniserer med selskapets forretningsmodell Det er tydelig definert hva man ønsker å oppnå med risikostyring, ønsket risikoprofil er definert Det er fokus på å håndtere, ikke eliminere, risiko; det er tatt hensyn til at det finnes ulike typer risiko, noen risikoer skal man ta, noen ønsker man redusert Det er en systematisk prosess for identifisering av ulike typer risiko med de rette personene involvert Det er et kontinuerlig fokus på risiko i forretningsprosessene Risikovurdering Både kvantifiserbare og ikke kvantifiserbare risikoer vurderes. Et best mulig bilde av sannsynlighet og konsekvens for potensielle risikoer kartlegges Skalaen for risikovurdering er definert i forhold til organisasjonens mål Risikovurderingen er en dynamisk og interaktiv prosess Kontrollaktiviteter Det er etablert et system for å identifisere og iverksette nødvendige risikoreduserende tiltak slik at risikoene er innenfor aksepterte toleransegrenser Det er tydelig definert hvem som har ansvar for ulike risikoer Det er hovedfokus på nøkkelrisiko Toleransegrenser for risiko blir kontinuerlig revurdert Systemet er en integrert del av den interne kontrollen Informasjon og kommunikasjon Det er tydelig definert hvem som har ansvar for hva (roller, ansvar, fullmakter osv) Risiko er integrert i selskapets styringsdokumentasjon og styringssystem, det er lett å finne frem Oppfølging Ledelsen har et porteføljesyn på risiko, og bruker dette i sine beslutninger Det etablerers måleparametere og indikatorer som gir innsikt i mulige risikoer. trender og utviklingen i den enkelte risiko rapporteres jevnlig Selve systemet og de mest kritiske risikoreduserende tiltakene overvåkes 6 3

4 Vanlige utfordringer 7 Typiske problemstillinger for risikostyringsfunksjoner/-prosesser Riskofunksjonen klarer ikke å gjøre seg relevant. Ledelsen kjenner risikoene best, og de største risikoene som kommer opp er forutsigbare Risk Managers driver brannslukking og gjør selv risikoreduserende aktiviteter Lite oppmerksomhet på oppsiderisiko. Man tipper over til å bli risikoavers glemmer at det ikke er all risiko som skal elimineres 8 4

5 Forts. Typiske problemstillinger for risikostyringsfunksjoner/-prosesser For mye fokus på prosess og verktøy Kontrollorienterte tilnærminger som ikke tilpasses organisasjonen, og dermed skaper misforståelser og avstand Man forsøker å dekke for mye med en gang Man overser oppfølging av tiltak 9 Trender 10 5

6 1. Risikostyring mer integrert i den operasjonelle aktiviteten 2. Tydeligere rolleavklaringer; sentralt/lokalt ansvar 3. Effektivisering av stabsfunksjoner 4. Etablering av risikokomiteer 5. Mer fokus på renommérisiko 6. Forenkling Risikostyring mer integrert i ordinær drift Foretak opplever i en viss grad at de har drevet med papirøvelser, ikke reell risikostyring Mer samkjøring med strategi- og forretningsplanprosesser Rekkefølge, tidsplan, systematikk Risikotankegang og systematikk integreres mer i den daglige drift; del av de ordinære, operasjonelle prosessene Risiko definerer rammene for den interne kontrollen Risikoreduserende tiltak integreres som en del av den interne kontrollen 12 6

7 2. Tydeligere rolleavklaringer; sentralt/lokalt ansvar Tydeligere definisjon av roller lokalt/sentralt mht risikostyring Trend mot at sentral stab har mer fokus på å hjelpe og støtte operativ ledelse i organisasjonen til en effektiv metodikk for å kartlegge og redusere ikke ønsket risiko 13 Definere roller og finne den rette balansen ifht sentral/lokal rolle Sentral modell Desentral modell Sentralisert Mellomløsning Desentralisert Sentralstyrt prosess Detaljerte retningslinjer Sentralt stab Predefinert maler for alle avdelinger som rapporteres inn til ERM-funksjonen Prinsippbaserte retniningslinjer Metodikk og retningslinjer utviklet sentralt til (tildels frivillig) lokal bruk Rapportering nedenfra og opp Generelle prinsipper formulert Stor lokal frihetsgrad I liten grad rapportering 7

8 3. Effektivisering av stabsfunksjoner Mange observerer at de har etablert en rekke ulike funksjoner og organer som har drevet med delvis overlappende aktiviteter, men under ulik metodikk og med ulikt formål Risk managementfunksjon, Internrevisjon, Compliance, Internkontrollavdeling, ITrisiko, Helse, miljø og sikkerhet, Corporate Responsibility osv Flere foretak jobber med å integrere hele/deler av disse funksjonene bedre, og i alle fall samordne metodikk og prosesser 15 Samordning av aktiviteter innenfor andre-linje Tone fra toppen Styre CEO/Administrerende direktør Revisjonsutvalg Første-linjeforsvar Andre-linje forsvar Tredje-linje forsvar Konsernledelse Operativ ledelse Bedriftskultur Forretningsdrift - risiko og kontroll i virksomhetens dagtil-dag operasjoner Intern kontroll Aktiv risikostyring og periodisk rapportering av risikoer HMS-funksjon Risk Management Compliance funksjon IT Security Kontrollerapparat Internkontrollavdeling Utarbeidelse og implementering av retningslinjer og prosedyrer Ansvarlig for å veilede linjen om gjennomføring av retningslinjer og prosedyrer Overvåker forsvarlig implementering Internrevisjon Eksterne, uavhengige partnere Uavhengig bekreftelse og rådgivnings aktiviteter Tilsyn med at sentrale kontroller fungerer Evaluere og peke på forbedringsmuligheter vedr. risikostyring, kontroll og styringsprosesser Formell rapportering 16 8

9 4. Etablering av risikokomiteer Etablering av administrative risikokomiteer - Samle og samordne observasjoner fra ulike interne staber og ressurspersoner Etablering av Styrets risikokomité - Mer oppmerksomhet og involvering fra styre og revisjonsutvalg 17 Risikokomiteen i Statoil Vi har i mange år hatt en Corporate Risk Committee (CRC) som fungerer som et rådgivende organ for CEO og CFO. Komiteen ble opprettet for å sikre en konsernforankring og konsernforståelse for risikobildet i Statoil. Den fungerer i dag som et rådgivende organ for risikovurderinger i betydelige beslutninger, samtidig som den gir et viktig bidrag til at CFO og CEO får en god oversikt over Statoils totale risikobilde. CRC-funksjonen har vært et av flere viktige suksesskriterier for å holde oversikt og kunne styre innenfor gitte mandat. Komiteen samles hver måned for å diskutere komplekse problemstillinger og gjøre vurderinger av henvendelser fra forretningsenhetene. Dette gir CFO og CEO tilstrekkelig tid til å behandle sakene grundig. Gruppen består av ansvarlige for risikostyring i forretningsområdene samt ledere fra intern revisjon, HSE, Finans og oljetrading. Komiteen er ikke et besluttende organ da beslutningsmandat i de fleste tilfeller ligger hos CFO og CEO eller hos linjen som skal håndtere risikoen. Petter Kapstad Senior Vice President for Corporate Risk Management i Statoil 18 9

10 5. Mer fokus på rennomerisiko Mer interesse (frykt?) for temaer som - Compliancerisiko (inkl. antikorrupsjon mv) - Sustainability Corporate responsibility Helse, arbeidsmiljø, sikkerhet Miljø - Risiko relatert til tredjeparter og samarbeidende foretak Forenkling God risikostyring er rett og slett god styring ikke gjør det vanskeligere enn det er. God erfaring fra de som ikke etablerer tungvinte, byråkratiske prosesser for risiko- og internkontrollvurderinger på utsiden av den reelle virksomhetsstyringen. Bygg gode kontrollpunkter inn i linjens hovedaktiviteter, og fokuser på de vesentligste forholdene. Flytt fokus fra detaljerte kontrolltiltak og fokuser på den overordnete strukturen for styring og kontroll, i hvert fall inntil sistnevnte er vel etablert

11 Husk oppfølging.. 21 Takk for meg! Eli Moe-Helgesen Partner. Statsautorisert revisor Tlt: