Sammenligning av ledelsesstandarder for risiko

Transkript

1 Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene Juni 2018

2 Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell risikostyring - «Internrevisjonen skal evaluere og bidra til å forbedre de styrings- og kontrolltiltak som er etablert for risikostyring og måloppnåelse i virksomheten. Internrevisjonen har hele virksomheten som sitt arbeidsfelt, og har et spesielt fokus på virksomhetens prosesser for governance (virksomhetsstyring), risikostyring og kontroll.» (IIA Norge) Leder av styret i Nettverk Risikostyring i IIA Norge - 2

3 Det store bildet Risikostyring handler om: Å ta bedre beslutninger Å være føre var Å beskytte verdier Risikostyring er samtidig både offensiv og defensiv. 3

4 Risikostyring Risikostyring bør sikre mer positive utfall over tid - ellers bedre å anvende seg av spåkona.. 4

5 Hva mener vi med helhetlig risikostyring? Den kulturen, de egenskapene og den praksisen som organisasjoner integrerer med strategi og som de benytter når strategien settes ut i praksis. Dette for å styre risikoen når verdier skapes, bevares og realiseres. COSO ERM Integrering med strategi og måloppnåelse

6 COSO rammeverk og ISO standard COSO fra økonomimiljøet Hva og hvem? Helhetlig risikostyring ISO fra ingeniørmiljøet Hva og hvordan? 6

7 Mer om COSO STRATEGI SATT INN I SAMMENHENGEN 7

8 Mer om COSO Helhetlig risikostyring: De fem «båndene» representerer fem komponenter, som er relevante/viktige hele veien fra formål m.m. er besluttet - ved strategiske valg og fastsettelse av forretningsmessige mål, i gjennomføringsfasen og helt frem til forbedret verdiskaping er oppnådd. 8

9 COSO komponenter 9

10 COSO - prinsipper De fem komponentene i det oppdaterte rammeverket støttes av et sett prinsipper. De er håndterbare i omfang, og de beskriver forskjellige fremgangsmåter som kan brukes på ulike organisasjoner uansett størrelse, type eller sektor. Overholdelse av prinsippene kan gi ledelsen og styret rimelig grunn til å forvente at organisasjonen forstår risikoer knyttet til strategien og virksomhetens mål, og søker å styre disse. 10

11 Risikostyring definisjon ISO COSO ERM 2017 Risikostyring Koordinerte aktiviteter for å rettlede og kontroller en organisasjon med hensyn til risiko. Risiko Virkingen av usikkerhet knyttet til mål COSO om risiko «Øke omfanget av muligheter: Ved å vurdere alle mulige utfall både de positive og de negative sider ved risiko kan nye muligheter og spesielle utfordringer knyttet til kjente muligheter identifiseres.» 11

12 ISO

13 Sammenligning av prinsipper vs. COSO komponenter Veiledning om det som kjennetegner en effektiv og hensiktsmessig risikostyring og hvordan å kommunisere dens verdi og forklare dens intensjon og formål ISO COSO ERM 2017 a) Integrert b) Strukturert og helhetlig c) Skreddersydd d) Inklusivt e) Dynamisk f) Best mulig informasjon g) Menneskelige og kulturelle faktorer h) Kontinuerlig forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 13

14 Sammenligning av rammeverk vs. COSO komponenter Hensikten med risikostyringsrammeverk er å bistå organisasjonen i sitt arbeid med å integrere risikostyring med virksomhetsstyringen, herunder beslutningstaging ISO COSO ERM Ledelse og forpliktelse 2. Integrasjon 3. Design 4. Implementering 5. Evaluering 6. Forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 14

15 Sammenligning av prosess vs. COSO gjennomføring mm. Risikostyringsprosessen omfatter den systematiske bruken av policyer, prosedyrer og praksis i aktivitetene som kommunikasjon og rådgivning, etablering av kontekst og vurdering, behandling, overvåking, gjennomgåelse, dokumentasjon og rapportering av risiko ISO COSO ERM Risikoidentifikasjon 2. Risikoanalyse 3. Risikovurdering 4. Risikohåndtering 5. Overvåking og gjennomgåelse 6. Registrering og rapportering Rammeverket b) Strukturert og helhetlig a) Identifiserer risiko b) Vurderer alvorligheten av risiko c) Prioriterer risiko d) Iverksetter risikohåndtering e) Utvikler porteføljesyn Andre komponenter: 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 15

16 Konklusjon på sammenligning av COSO ERM og ISO Hvordan du enn snur og vender på det snakker vi vel om de samme prinsipper og rammeverk COSO legger vekt på styrets ansvar og helhet i forhold til hele organisasjonens virke hva og hvem? ISO er mer forklarende i forhold til prosess i en enhet (evtlt. også hele virksomhet) hva og hvordan? 16

17 Risikostyringsfunksjonen Det som ikke står noe særlig om er hvordan en helhetlig risikostyringsfunksjon skal organiseres Veileder for risikostyringsfunksjonen fyller dette gapet 17

18 Målet med veileder for risikostyringsfunksjonen Veilederen skal beskrive gjeldende god praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyringsfunksjonen Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 18

19 Viktige elementer Elementer Rollen Risikostyringsfunksjonen Rådgivning Overvåking Rapportering Helhetlig syn Risikobasert tilnærming Ansatt av Rapporterer til Uavhengighet Integritet Omfang Organisering Ressurser Tilgang til informasjon Karrierestigen Lønn og incentiver Proaktiv? Risiko i beslutninger Ja, bl.a. risikoappetitt Toppledelsen Adm. Dir. og styret Uavhengig av forretningslinjer Ja Helheten av forretningsaktiviteter 1 leder av funksjonen Tilstrekkelig antall og kompetanse Uten restriksjon Må lages Som samsvarer med plasseringen - bl.a. uavhengig av økonomiske resultater 19

20 En overordnet risikovurdering 20

21 Arbeid med å bygge opp helhetlig risikostyring 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10.Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11.Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12.Årlig / periodisk rapportering til styret 21

22 Kontakt, kurs og fagmateriell Nettverk risikostyring ønsker engasjement, innspill, artikkelforfattere, bidragsytere mm. Vår mailadresse: Vi planlegger kurs og konferanser GRC seminar - Først avholdt Et samarbeid mellom Nettverk Compliance og Nettverk Risikostyring 11. oktober Spennende program kommer! Nye COSO ERM executive summary utgitt på norsk Oppdatert Veileder for risikostyringsfunksjonen høsten 2018 Se artikler i SIRK Se vår webside og ERM modenhetsmodellen publikasjon/modenhetsmodell-risikostyring/ 22

23 Takk for meg! Spørsmål - kommentarer? 23