Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Transkript

1 Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank Høstkonferansen 2010 Bergen, 21. september Sonja Lill Flø Myklebust

2 Definisjon av risikostyring Disposisjon Sentrale forhold ved risikostyring og internkontroll Komponenter i risikostyring Gjennomføring og dokumentasjon av risikovurdering Oppsummering

3 Definisjon av risikostyring Helhetlig risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse. Kilde: (Helhetlig risikostyring et integrert rammeverk (COSO 2, 2004/2005, utgitt på norsk av Norges Interne Revisorers Forening))

4 Sentrale forhold ved risikostyring og internkontroll (alle krav gjelder også banker underlagt kapitalkravforskriften) Risikostyringen og internkontrollen må tilpasses FORHOLDSMESSIG til banken (art, omfang og kompleksitet) Risikostyring skal ta utgangspunkt i definerte MÅL og STRATEGIER Risikostyringen må være en INTEGRERT del av virksomhetsstyringen Ledere skal LØPENDE vurdere gjennomføringen av internkontrollen og DOKUMENTERE sin vurdering av risikosituasjonen for sitt virksomhetsområde Minst en gang årlig utarbeide en OPPSUMMERENDE VURDERING av risikosituasjonen og legge frem for styret

5 Komponenter i risikostyringen Formål risikostyring, å medvirke til en betryggende risikovurderingsprosess og bevisstgjøring om risiko i foretaket (IK-forskriften 6) Kontrollmiljø - herunder holdninger til risiko, risikoappetitt, integritet og etiske verdier. Styret fastsetter prinsipper for risikostyring og internkontroll Fastsettelse av risikokapasitet og risikoappetitt - det er helt nødvendig for styret og ledelsen å ha et bevisst forhold til risiko. Hvor mye risiko kan vi ta? Hvor mye risiko ønsker vi å ta? Bankens risikoprofil og risikorammer må fastsettes Avklaring av bankens mål mål og strategier må fastsettes av styret før ledelsen kan identifisere potensielle hendelser som kan påvirke oppnåelsen av disse målene Identifikasjon av hendelser som påvirker bankens måloppnåelse (risikoidentifikasjon)

6 Komponenter i risikostyringen (forts.) Risikovurdering - risikoer analyseres mhp. sannsynlighet og konsekvens. Både iboende og gjenværende risiko må vurderes. På hvilke områder ønsker vi å øke risiko? På hvilke områder ønsker vi å redusere risiko? Etablering av kontrolltiltak der det er identifisert behov for forbedringer bør det angis tiltak med tidsfrister og ansvarlige for gjennomføring i en total handlingsplan. Handlingsplanen må operasjonaliseres for eksempel ved inkludering/oppdatering av balance scorecard for de ansvarlige lederne Informasjon og kommunikasjon prosessen for risikovurdering og håndtering må være en integrert del av virksomhetsstyringen informasjon og kommunikasjon på tvers er sentralt Overvåkning - det må etableres et systematisk opplegg for overvåkning og rapportering

7 Gjennomføring og dokumentasjon av risikovurdering Ansvar for risikostyring og internkontroll Styret har det overordnede ansvaret for bankens risikostyring og internkontroll. Styret skal fastsette mål og strategier for banken, samt fastsette prinsippene for bankens risikostyring og internkontroll (IK-forskriften 3) 1. linje forsvar Avdelingslederne for alle vesentlige virksomhetsområder har primæransvaret for løpende god risikohåndtering, internkontroll og styring 2. linje forsvar Evt. risk manager bistår banksjef og avdelingslederne i deres arbeid Kontrollrutiner implementert for å følge opp og overvåke at internkontroll og risikovurderingsprosess er iht interne retningslinjer, lover & regler 3. linje forsvar Bankens valgte revisor avgir en uavhengig bekreftelse på at det foreligger en risikovurdering og dokumentasjon (banker som ikke har internrevisjon)

8 Gjennomføring og dokumentasjon av risikovurdering (forts.) Risk manager Risk manager kan bistå banksjef og avdelingslederne med risikostyring og internkontroll for eksempel ved: Fasilitering av workshops ved selve risikovurderingen og analyse av risiki (sannsynlighet- og konsekvensvurdering) Påse risikoforståelse i organisasjonen Dokumentasjon av risikovurdering Oppfølging av forbedringstiltak Påse at de driver innenfor rammer og retningslinjer Risk manager skal ikke Utføre risikovurderingen for lederne og banksjef. Dokumentere risikovurderingen uten i samråd med lederne Implementere tiltak. Det er ledernes ansvar i linjen

9 Gjennomføring og dokumentasjon av risikovurdering (forts.) Risikostyring som en integrert del av virksomhetsstyring top down..anvendt i fastsettelse av strategi og på tvers av virksomheten, Mål Strategier Kritiske suksessfaktorer Måleparametere Risikoer Tiltak - kontroller 9

10 Gjennomføring og dokumentasjon av risikovurdering (forts.) Løpende risikovurdering integrert med virksomhetsstyringen En god risikostyring kjennetegnes av at den er helt integrert med øvrig virksomhetsstyring. For eksempel vil det være viktig at risikoanalyser gjøres samtidig med andre planleggingsprosesser. På et overordnet nivå vil det være naturlig at risikoanalyser utføres som en del av strategi- og budsjettprosesser På neste nivå vil det være naturlig at de gjennomføres i forbindelse med utarbeidelse av handlingsplaner og balance scorecard For det siste nivået, som er mer operativt, vil det være naturlig at det gjennomføres risikoanalyser i forbindelse med etablering eller endring av ulike prosesser, innføring av nye produkter/tjenester og lignende

11 Gjennomføring og dokumentasjon av risikovurdering (forts.) Forholdsmessighet: Bankene skal tilpasse risikostyringen og internkontrollen etter arten, omfanget av og kompleksiteten i foretakets virksomhet (F 2) Risikostyringsprosessen som en del av virksomhetsprosessen Fastsette mål, strategier og risikoprofil Årlig rapportering til styret Overvåkning & testing av kontrollmiljø. Løpende risikovurdering i linjene og avviksrapportering Prosess Gjennomføring av tiltak iht handlingsplan. Viktige måltall legges inn i balance scorecard. Årlig risikovurdering og handlingsplan med tiltak, inkl. ICAAP

12 Gjennomføring og dokumentasjon av risikovurdering (forts.) Identifikasjon og analyse av risiko med utgangspunkt i bankens mål Prosess del 1: Identifisere kritiske suksessfaktorer (KSF) Hva er kritisk for banken for å lykkes? For eksempel: mål = øke rentenetto. En KSF her vil kunne være billigere funding Prosess del 2: Risikoidentifikasjon Alle forhold som kan hindre banken i å nå sine mål og realisere sin strategi. Merk at endring kan skape risiko enten det er eksterne endringer (marked, teknologi, politiske rammebetingelser osv.) eller interne endringer (nye produkter, nye virksomhetsområder, restrukturering osv.). Jfr. eks. over. En risiko = fundingmarkedet for mindre banker er i dag begrenset, med høye priser og utgjør en risiko for at målet om å øke rentenetto ikke kan nås. En risiko/hendelse vurderes i forhold til sannsynligheten for at hendelsen kan inntreffe og den forventede konsekvens hvis den inntreffer.

13 Sannsynlighet Vurdering av risiko Nesten sikkert Sannsynlig Brutto risiko Moderat Effekten av tiltak Lite sannsynlig Sjelden Netto risiko Ubetydelig Lav Moderat Alvorlig Svært alvorlig Konsekvens Kritisk Høy Moderat Lav

14 Gjennomføring og dokumentasjon av risikovurdering (forts.) Prosess del 3: Identifisering av kontrolltiltak på bakgrunn av risiko Hvis man ved risikoidentifikasjonsprosessen har funnet at risikoen er for høy og truer en måloppnåelse vesentlig, så må det identifiseres forbedringstiltak. For eksempel v/ mål = øke rentenetto, risiko = dyr funding, tiltak = kommunisere bedre med markedet for å oppnå bedre rating. Alternativt tiltak: sikre måloppnåelse (øke rentenetto) ved bedre prising av lånekunder ift. risiko. Det er viktig å angi frist for gjennomføring av tiltak og hvem som er ansvarlig for gjennomføringen. I tillegg bør det innføres rutiner for rapportering når tiltakene er gjennomført og evt. ved utsettelse av tiltak. Alle utsettelser må begrunnes, evt. med en ny risikovurdering. Risk manager kan gjerne følge opp om tiltak implementeres, men ansvaret for implementering av tiltak tilhører leder for området/avdelingen og han står også ansvarlig for rapportering til styret.

15 Gjennomføring og dokumentasjon av risikovurdering (forts.) En helhetlig risikovurdering med utgangspunkt i mål og strategier skal gjennomføres minst 1 gang p.a. (IK-forskriften 6) Det skal minst en gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte (IK-forskriften 7) Unntak: foretak underlagt kapitalkravforskriften er unntatt 6. Men de er ikke unntatt kravet i IK-forskriften 7. Banker må dermed i tillegg til ICAAPdokumentasjon dokumentere at ledere løpende har vurdert gjennomføringen av internkontrollen og lage en årlig oppsummering og vurdering av risikosituasjonen. I rapportering til styret bør det fremkomme om ledelsen mener at bankens risikostyring og internkontroll er tilstrekkelig for å håndtere bankens identifiserte risikoer på en forsvarlig måte. I sammendraget skal det inkluderes en vurdering av behovet for nye tiltak.

16 Gjennomføring og dokumentasjon av risikovurdering (forts.) Eksempel på en risikomatrise Nye kontrolltiltak med Mål KSF/delmål Risiko Konsekvens Dagens kontrolltiltak Sannsynlighet Konsekvens Totalrisiko ansvarlig og frist Risiko etter nye tiltak (for at mål ikke (strategisk) nås ) (for virksomheten) S K R S K R 1. Øke inntjening 1.1 Redusere driftskostnader med 5% Dårlig interne rutiner for kostnadskontroll Kostnader økes og mål om økt inntjening nås ikke. Banken blir mindre konkurransedyktig. Kan få redusert EK Ny rapporteringsrutine Budsjett og rammer. Arbeidsdeling. Månedlige rapporteringskrav. Avstemmingsrutiner og andre kontroller. 2 4 til banksjef og styret fra økonomi. Ansvarlig Økonomisjef. Tidsfrist

17 Risikostyringen skal Oppsummering ta utgangspunkt i bedriftens mål og strategier være integrert med den daglige virksomhet og rapportering, måleverktøy - styringsparametere (balance scorecard) påse at alle i organisasjonen har et bevisst forhold til risikobildet som igjen er linket til målstyring påse at risikovurdering er en løpende aktivitet ikke et skippertak en gang i året påse at risikovurderingen og viktige retningslinjer, rutiner og kontrolltiltak dokumenteres skriftlig

18 Oppsummering (forts.) Risikostyringen gjennomføres med bevisst forhold til hva som er akseptabel risiko (risikoappetitt) bevisst forhold til hva utfordringene (risikoene) består av for å kunne iverksette målrettede tiltak bevisst forhold til hva som er kost/nytte ved ulike tiltak må knyttes til overordnede mål alle vesentlige endringer i banken må risikovurderes før de implementeres (for eksempel: nye produkter, nye strategier, ny organisering, nye satsningsområder osv.)

19 Takk for meg! Sonja Lill Flø Myklebust Bankenes sikringsfond Mobil: Direkte: