Medlemsmøte Econa Styrenettverket 10. april 2013

Transkript

1 Medlemsmøte Econa Styrenettverket 10. april 2013 Agenda 1. Bakteppe 2. Noen trender & triks 3. Noen dilemmaer 2 1

2 Bakteppe 3 Hvorfor er det viktig med god risikostyring? Økende renommérisiko Mindre stabil og lojal arbeidsstokk Konjunkturendringer Endringstakten øker Strammere regulatoriske rammebetingelser Globalisering Hvordan skape konkurransefortrinn; alt finnes fra før? 4 2

3 Ett eksempel på endring i trusselbildet for norske foretak 1 av 3 En av tre av de største norske virksomhetene har vært utsatt for økonomisk kriminalitet de siste 12 månedene Nær halvparten av disse har vært utsatt for hvitvasking Regnskapsjuks er avdekket i hver fjerde virksomhet Vesentlig økning i datakriminalitet 5 Varsellampene bør lyse dersom du kjenner deg igjen i en eller flere av følgende: Kontrollmiljø Styret og daglig leder har ikke satt risikostyring eller intern kontroll på agendaen Tonen på toppen er inkonsistent. Lite innslag av konsekvenskultur Ansatte har liten forståelse for eller lyst til å forholde seg til prosedyrer og retningslinjer Selskapet har ingen etablerte varslingskanaler Intern kontroll Lite bevisst forhold til hva som er akseptabel risiko. Uønsket risiko materialiserer seg ofte Selskapet erfarer feil i den finansielle rapporteringen Få eller ingen skriftlige prosedyrer foreligger. De ajourføres sjelden Selskapet har mangelfull arbeidsdeling Andre indikasjoner Selskapet består av flere oppkjøpte, ikke integrerte enheter Enheter som rapporterer inn til konsernspiss lever sitt eget liv Selskapet har vesentlige og/eller omfattende insentivordninger Man vet ikke helt hvor man tjener og taper Selskapet har ingen rutiner som sikrer overvåkning av at retningslinjer blir fulgt Mye av regnskapsrapporteringen skjer manuelt. Omfattende bruk av regneark Rask vekst, stor geografisk spredning, mange ulike virksomhetsområder 6 3

4 Oversikt - krav til risikostyring og internkontroll Hovedkilder for å forstå kravene: 1. Aksjelovgivningen kap. 6 om styre, revisjonsutvalg og daglig leder 2. Norsk Anbefaling for Eierstyring og Selskapsledelse (NUES) kap Regnskapsloven / Verdipapirhandelloven 4. (Internkontrollforskriften - Finanstilsynet) 5. COSO rammeverkene (1992, 2004, 2006, 2008, 2012) 6. Bransjespesifikk regulering (f.eks. Basel II, Solvens II, Mifid etc) 7. Indirekte krav: revisjonsstandarder (RS og IIA) 8. (Sarbanes-Oxley act, PCAOB Standards, SEC Guidance) Sammenhengen mellom hovedkildene: NUES kap. 10 presiserer, men utvider ikke, aksjelovgivningen kap. 6 IK-forskriften utvider aksjelovgivningen og angir god praksis. IK-forskriften presiserer i tillegg viktige begrep. NB: Forskriften gjelder kun foretak underlagt tilsyn. COSO viser underliggende definisjoner / rammeverk / god praksis 7 s syn: Ikke la deg forvirre av begrepsfloraen - det handler uansett om god styring og kontroll!! Virksomhetsstyring Governance Risikostyring Internkontroll = God styring og kontroll God styring og kontroll = tydelig definerte roller og ansvar, samt prosesser for hvordan selskapet er ledet og kontrollert 8 4

5 God risikostyring gir merverdier Større sikkerhet for eierne og styret Økte inntekter - færre inntektslekkasjer Bedre kvalitet i ekstern rapportering Lavere kapitalkostnader Redusere sårbarhet i organisasjonen Et kvalitetstegn overfor ansatte og andre relasjoner Finansiell kontroll Bedre kvalitet i beslutningsunderlag Økt ansvarliggjøring i organisasjonen fra topp til bunn Compliance Forhindre misligheter Bevisst forhold til den risiko selskapet velger å ta Effektive prosesser og korrekt utført arbeid første gang Noen trender & tips 10 5

6 Hva ønsker et styre typisk å vite om foretakets risiko? 1. Vesentligste risikoeksponeringer ift strategier og mål 2. Tiltak rettet mot vesentlige risikoeksponeringer: a) Hvilke tiltak er iverksatt? b) Er tiltakene tilstrekkelige? c) Fungerer de? hvordan vet vi dette? 3. Er det er behov for ytterligere tiltak, og hvor mye haster det eventuelt? 11 Noen tips 12 6

7 Risikostyringen må være helhetlig Sikre strategisk måloppnåelse Sikre operasjonell effektivitet i drift Sikre etterlevelse av lover og regler Sikre robuste beslutningsdata og korrekt finansiell rapportering 13 Risikostyring er noe som skjer kontinuerlig Kontrollmiljø Tone fra toppen, risikostyringsfilosofi og risikoappetitt Overvåking Risikostyringen følges opp Målsetting Selskapet setter sine mål. og legger strategier Informasjon og kommunikasjon Risikorespons Det gjennomføres risikorkontrollerende tiltak Kartlegging av mulige hendelser Interne og eksterne hendelser som vesentlig kan påvirke selskapets evne til å nå sine mål identifiseres Kontrollaktiviteter Det identifiseres kontrollaktiviteter for å kontrollere risiko Risikovurdering Risikoen analyseres (sannsynlighet og konsekvens) og prioriteres 14 7

8 Å definere risikoappetitt er en sentral del av helhetlig risikostyring Etablere/oppdatere rammeverk Risikotoleranse Risikokartlegging Risikoanalyse Etablere tiltak Rapportering. oppfølging Skap et felles ordforråd for risiko snakker vi om det samme? Definer hvor villige vi er til å ta risiko; avstem risikoappetitt med strategi Husk både finansielle og ikke-finansielle konsekvenser når du drøfter risikovillighet Dette kan være komplekst. Anerkjenn det, og ikke overforenkle problemstillingene Risikoappetitt bør gjøres målbart ellers blir det for lite konkret Allokere risikoappetitt? 15 Vær bevisst hvilket modenhetsnivå du vil bygge Nivå 5 Overvåket Periodisk oppfølging av etterlevelse, inkludert oppsummerenderapportering til styrende organer. Manglende etterlevelse følges opp. Nivå 4 Standardisert Systematisktoppstyrt prosess for utforming, formalisering og dokumentasjonav kontrolltiltak. Nivå 3 Formalisert/Dokumentert Kontrolltiltak utformes på ulike organisasjonsnivåog noe formalisert og dokumentert, men vanskelig å få oversikt over totaliteten. Nivå 2 Uformelt/Ad-hoc Ad-hoc utforming av kontrolltiltak. Liten formalisering og dokumentasjon. Effektivitet / Trygghet Antatt akseptabelt nivå på foretaksstyring og internkontroll Nivå fleste norske virksomheter antas å være på Nivå 1 Upålitelig Uforutsigbartmiljø utenbevisst utformingav kontrolltiltak. Risiko / Usikkerhet 16 8

9 Det kan være fornuftig å drøfte risiko ut fra ulike innfallsvinkler Strategi/Mål (Høy K / Høy S) Hovedaktiviteter / Prosesser (Lav-Medium K / Høy S) Finansiell (Høy K / Høy S) Risiko Bransjerisiko fra evt liste Katastroferisiko (Høy K / Lav S) Risiko består av sannsynlighet og konsekvens Probability Probability Low (1) Medium (2) High (3) Very high (4) (<10% within 1 year) (10-30% within 1 year) (30-80% within 1 year) (>80% within1 year) Impact Low (1) 1.Minor loss of brand preference (or) 2.Revenue losses less than 20 MNOK (or) 3.Increased costs of more than 10 MNOK Impact Medium (2) 1.Minor loss of brand preference (or) 2.Revenue losses between 20 and 50 MNOK (or) 3.Increased costs between 10 and 40 MNOK High (3) 1.Significant loss of brand preference (or) 2.Revenue losses between 50 and 80 MNOK (or) 3.Increased costs between 40 and 70 MNOK Very high (4) 1.Significant loss of brand preference (or) 2.Revenue losses of more than 80 MNOK (or) 3.Increased costs of more than 70 MNOK

10 Det finnes ulike strategier for risikohåndtering Sannsynlighet Høy Prosessforbedring og forbedring av internkontroll Tiltak! Medium Overvåkes Forsikring og beredskapsplanlegging Lav Medium Høy Konsekvens 19 Rapportere (til bla styret) om risiko på en god måte Utilstrekkelig kontrollert. Tiltak bør iverksettes umiddelbart Sannsynlighet Utilstrekkelig kontrollert Tiltak bør iverksettes Tilstrekkelig kontrollert Forklaring: Kilde: Jonas Gaudernack Plassering i matrisen viser risiko dersom kontrolltiltakmangler eller svikter (iboende risiko) Farge viser om tilstrekkelige risikotiltaker på plass (residual risiko) Konsekvens 10

11 Hva skjer for tiden? Fokus på de "myke" risikoene Mer fokus på forbygging av misligheter og korrupsjon Forbedring av risikorapportering Fokus på risikoinformasjon ved beslutninger Mer systematisk overvåkning av at kontrollmekanismer faktisk gjennomføres Mer oppmerksomhet på automatisering av kontroller Mer fokus på endring, ikke bare "events" Mer fokus på bærekraft og samfunnsansvar 21 Noen dilemmaer 22 11

12 Hvordan skal styringssystemene implementeres? Vi har en Code of Conduct på nettsidene våre! Tar vi reelt sett risiko innover oss? Vi trenger ikke formell risikostyring. Alt handler om å ha de rette medarbeiderne det har vi

13 Hvor strukturert skal man være? Vi trenger ikke noen tungvint og dokumentert risikostyring. Dette har ledelsen og styret i blodet. 25 Hvor viktig er renommé? Det betyr ingenting om vi kommer på forsiden av DN for en sur sak. Vi selger like mye uansett

14 Hvem har ansvar for risikostyring? Ikke jeg - vi har en risikoavdeling! Hvor opplyst er risikoen? Vi kjøper oss opp i Baltikum gjennom joint ventures og tilknyttede selskap. Da har vi ikke kontroll, og heller ikke ansvar

15 Hvor ærlige er man i den eksterne dialogen? (Hvor mye skrives egentlig av kommunikasjonsavdelingen?) Medarbeidere er vår viktigste eiendel. (Selg dem!) 29 Takk for meg Partner eli.moe.helgesen@no.pwc.com Tlt: