Hva mener vi med moderne risikostyring?

Like dokumenter
Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN»

Sammenligning av ledelsesstandarder for risiko

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL UNDERVISNINGSBYGG OSLO KF

Få en bedre risikoforståelse på 20 minutter

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Revisjon av ISO 14001

Styret i en virksomhet har et lovfestet

Policy for Antihvitvask

Retningslinje for risikostyring for informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Endringer i ISO-standarder

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Neste generasjon ISO standarder ISO 9001

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

Hva er risikostyring?

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Styret i Sykehusinnkjøp HF 08.februar 2017

Risikostyring Intern veiledning

Hva kjennetegner god Risikostyring?

Standarder for Asset management ISO 55000/55001/55002

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

FinAut som en del av Compliance

EDB Business Partner. Sikkerhetskontroller / -revisjoner

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Styringssystem basert på ISO 27001

Ny styringsmodell for informasjonssikkerhet og personvern

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Rammeverk for risikostyring i Helse Midt-Norge

Gjelder fra: Godkjent av: Camilla Bjørn

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Styring og intern kontroll.

Barrierestyring. Hermann Steen Wiencke PREPARED.

Standarder for risikostyring av informasjonssikkerhet

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

CSM i NSB. En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB.

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Internkontroll i Gjerdrum kommune

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Revisjon av styring og kontroll

Effektiv risikostyring og intern kontroll

Gjelder fra: Godkjent av: Fylkesrådet

Veileder risikostyringsfunksjonen

Nye ISO 14001:2015. Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Risikoanalyse mål og mening

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

Norsox. Dokumentets to deler

Et skolebygg å være stolt av!

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Hvordan vurdere/revidere overordnet styring og kontroll

Innhold. Introduksjon Hva er ERM? Basel II Forventede konsekvenser

Styring av risiko og samfunnsansvar i Asker kommune

Hvordan ledere bør tenke når det gjelder risiko, risikoanalyse og risikostyring. Terje Aven Universitetet i Stavanger

Cyberspace og implikasjoner for sikkerhet

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Koordinatorskolen. Risiko og risikoforståelse

Helhetlig risikotilnærming safety og security i en sammenheng

Styrets lederfunksjon Frode Solberg

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Betydningen av godt styrearbeid. Styrets lederfunksjon Frode Solberg

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Risikostyring og intern kontroll i statlige virksomheter

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

Endringer i revidert ISO 50001

Mål-, resultat- og risikostyring (MRR) i Forsvaret - Erfaringer i fra implementering. Oberstløytnant Marius L Johannessen Teamleder MRR-metodeteam

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

VEILEDER FOR RISIKOSTYRINGSFUNKSJONEN. Formatert: Midtstilt

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Integrering av IT i virksomhetens helhetlige risikostyring

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Hvordan oppdatere fra gammel til ny standard i bedriften?

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

Erfaringer med innføring av styringssystemer

Internkontroll for arkiv den nye arkivplanen?

Transkript:

Hva mener vi med moderne risikostyring? Polyteknisk forening Styrenettverk 20. februar 2018

Introduksjon Målsetning med kveldens møte Foredragsholdere Nettverk risikostyring og IIA Norge 2

Møtelederne Medlemmer av styret i Nettverk Risikostyring i IIA Norge Samt deltagere i arbeidsutvalget som arbeidet frem Veileder for Risikostyringsfunksjonen i gjennom 2016 Martin Stevens Gjensidige Ayse B. Nordal Undervisningsbygg Petter Kapstad Statoil Ole Martin Kjørstad Norges Bank 3

IIA Norge Nettverk Risikostyring http://iia.no/risikostyring/ Nettverk Risikostyring er en møteplass for folk som jobber med risikostyring, uavhengig av bransje og sektor. Foruten å gi unike nettverksmuligheter, samler og utvikler nettverket veiledninger og maler til hjelp i arbeidet med risikostyring. Vi arrangerer medlemsmøter, seminarer og utvikler relevante kurstilbud. 4

Veiledere utgitt av IIA Norge Tilgjengelig i trykt format og på www.iia.no

Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyring Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 6

Agenda Hva er risiko? Hva er ERM? Hvordan styrer vi risikoer? Betydningen av strategisk risiko Verktøykassen rammeverk og standarder Risikostyringsprosessen 7

HVA ER RISIKO? 20.02.2018 Ayse B. Nordal UNDERVISNINGSBYGG OSLO KF Fremskritt gjennom deling av kunnskap

HVA ER RISIKO? farer R= Sannsynlighet X Konsekvens uønskede hendelser muligheter Usikkerhet knyttet til mål sannsynlighet volatilitet

DEFINISJONER I ULIKE STANDARDER OG RAMMEVERK ISO, 31000:2009 Effect of uncertainity on objectives. An effect is a deviation from the expectedpositive and/or negative. COSO, Enterprise Risk Management, Aligning Risk with Strategy and Performance June 2017 The possibility that events will occur and affect the achievement of strategy and business objectives.. FERMA, The combination of the probability of an event and its consequences. In all types of undertaking, there is the potential for events and consequences that constitute opportunities for benefit (upside) or threats to success (downside). Fremskritt gjennom deling av kunnskap

HAR VI ET ENSARTET RISIKOBEGREP? DFØ Det at forhold eller hendelser kan inntreffe og påvirke oppnåelse av målsettinger negativt. DFØ Kilde: Risikostyring i staten- Håndtering av risiko i mål og resultatstyringen 2007 DIFI Risiko handler om potensielle avvik fra det forventede eller potensielle avvik fra våre mål. Selv om definisjonene innebærer at risiko kan være både negativ og positiv, er det mest vanlig å kun fokusere på det negative og på uønskede hendelser. Det har vi også valgt å gjøre i dette veiledningsmateriellet. Kilde: Intern kontroll og informasjonssikkerhet KS Usikkerhet handler ikke bare om risiko, men også om muligheter! Tenk gjerne på risiko som negativ usikkerhet (noe kan gå galt) og muligheter som positiv usikkerhet (noe kan bli bedre enn forventet). Kilde: Prosjekt& porteføljeverktøyet Olje og energidepartementet Risikoelementene kan defineres enten som trussel eller som mulighet for prosjektet. Kilde: Mulighetsstudier av fullskala CO2-håndtering Kap: 7.3.5 og 8.3

Hva er ERM? Enterprise Risk Management

Hva er helhetlig risikostyring? Strategi og mål - Visjon og verdigrunnlag - Strategi og målsetninger - Organisasjonsstruktur - Policyer og styringsprinsipper Kommunikasjon ERM - Summen av aktiviteter etablert for å evaluere og sikre samsvar mellom vedtatte strategier, forretningsprosesser og kontrollaktiviteter sett i sammenheng med det til enhver tid gjeldende risikobilde Forretningsprosesser og kontrollaktiviteter - Operasjonelle forretningsprosesser - Overvåkende aktiviteter - Kontroll- og tilsynsaktiviteter - Rapporteringsaktiviteter 13

Risk (standard deviation) Why Enterprise Risk Management, some examples? Know what to manage BU A BU B BU A BU B + 10 musd Portfolio perspective Avoiding suboptimization - 10 musd BU A decides to hedge their currency position - 10 musd Utilizing correlations + 10 musd - 10 musd BU A BU B Net risk = 0 Net risk = -10 Expenses: 180.000 NOK (10 musd * 6,00 * 30 points) Individual Risk versus portfolio risk 0,7-1 bn NOK Brent 0,6 + 1 bn NOK Gas oil 0,5 0,4 0,3 Gas oil Correlation (Brent and gas oil): 0,94 0,2 0,1 Brent Net risk =? - Total Individual risks Doing nothing Double hedge 14 -

HVORDAN STYRER VI RISIKOER? 20.02.2018 Ayse B. Nordal UNDERVISNINGSBYGG OSLO KF Fremskritt gjennom deling av kunnskap

HELHETLIG RISIKOSTYRING OG BESLUTNINGSTAKING Mål Håndtere virkningene av usikkerhet Treffe valg Registrering & rapportering Kommunikasjon &konsultasjon Evaluere konsekvenser Bestemmelse av kontekst Identifisere alternativer Risikovurdering Risikohåndtering BBeskrive målsetningen Overvåkning & evaluering Beslutningstaking Helhetlig risikostyring ISO-31000

Risikostyring og beslutningstaking Det er usikkerhet assosiert med alle beslutninger. God risikostyring handler om å legge til rette for at beslutninger fattes på best mulig grunnlag. Bedre beslutningsgrunnlag kan også styrke evnen til å håndtere et utfall som i utgangspunktet ikke var ønsket. 17

Risikostyring og beslutningstaking Beslutningstaker Utfallsegenskaper Utfall Intern beslutningstaker F.eks: Å drikke en kopp kaffe Intern beslutningstaker F.eks: Estimering av antall fremtidige studenter i kommune X Intern beslutningstaker F.eks: Introdusere et helt nytt produkt i et marked Ekstern beslutningstaker oppfattet gjennom «what if» scenarioer («known unknowns») F.eks: Opptøyer Ekstern beslutningstaker ukjent hendelse kommer overraskende («unknown unknowns») F.eks: 9/11 Deterministisk Stokastisk påvirket av tilfeldigheter Stokastisk Kaskade-, snøballeffekter, «fat tailed distribution» Sannsynligheten kan ikke beregnes med teknikkene vi besitter i dag. Blir ikke oppdaget gjennom «what if» scenarioer Kjent og sikker kaffekoppen er tom Sannsynlighetsfordeling av utfallet er kjent / kan estimeres Sannsynlighetsfordelinge n er ukjent «Grey Swan» «Black Swan» Denne figuren er en oversettelse av opprinnelig versjon som finnes I Y. Ayse B. Nordal, Risk Management Practices, Decision Making and Corporate Governance, Book of Proceedings", International May Conference on Strategic Management, University of Belgrade, May 2015 18

Et eksempel Overodnede mål Delmål: fokuseffektiv drift Delmål: fokusarbeidsmiljø Delmål: fokus-lcc HVA KAN GÅ GALT? (nedside) ER DET POTENSIALER SOM KAN UTNYTTES? (oppside) Kvantifisering Prioritering og tiltak

Betydningen av strategisk risiko

Hvilke risikoer skal man fokusere på? Strategisk Ekstern Operasjonell Compliance 21

Undersøkelse av verditap i børsnoterte selskap Utført av Hermann Christensen, NSB student ved Executive Master of Management ved Handelshøyskolen BI 2008-2018 Funn Booz & Co 2012 i HBR 2015 ii Denne undersøkelsen Andel av verditaphendelser forårsaket av strategisk risiko 81% 86% 63% 22

Tapsårsaker og risikofokus Risikofokus er risikobildet bedriftene fokuserte på i tapsåret Kilde: Artikkel SIRK 2-2017 Hermann Christensen 23

Tap per risikodekningsgrad Kilde: Artikkel SIRK 2-2017 Hermann Christensen 24

Verktøykassen Rammeverk og standarder

Rammeverk og standarder To standarder / rammeverk for risikostyring har oppnådd internasjonal aksept og er oversatt til norsk. 1. COSO:2004 Enterprise Risk Management Integrated Framework (oppdatert COSO ERM Aligning Risk with Strategy and Performance - 2017) 2. ISO 31000:2009 Risk Management Principles and Guidelines (oppdateres i 2018) 3. Videre er det etablert en ny felles struktur (2015) for alle ISO ledelsesstandarder, som bygger på en risikobasert tilnærming med utgangspunkt i mål og kontekst 26

COSO ERM Kilde: coso.org 27

COSO ERM Rammeverket bygger på fem hovedkomponenter og 20 prinsipper Helhetlig risikostyring i kontekst av virksomhetens forretningsmodell som helhet; fremfor en isolert risikostyringsprosess Kilde: coso.org 28

Kilde: iso.org 29

ISO 3100 oppdatering 2018 Oppdatert 14.02.18 Inneholder: Mer strategisk veiledning enn ISO 31000:2009 Legger større vekt på både involvering av toppledelsen og integrering av risikostyring i organisasjonen Anbefaler at risikostyring er en del av organisasjonens struktur, prosesser, mål, strategi og aktiviteter. 30

ISO styrings- og ledelsesrammeverk Oppdatering og standardisering av rammeverkene i 2015 Ledelsesstandardene bygget opp etter felles metodikk Enklere å implementere flere ledelsesstandarder Risikobasert tilnærming 31

ISO styrings- og ledelsesrammeverk ISO 9001 - Kvalitetsledelse ISO 14001 - Miljøledelse Felles plattform ISO 27001 Informasjonssikkerhet ISO 45001 Arbeidsmiljøledelse osv 32

ISO styrings- og ledelsesrammeverk Omfang Referanser Terminologi definisjoner Kontekst Lederskap Standardspesifikk Standardspesifikk Standardspesifikk Forstå organisasjonen og dens kontekst Forstå interessenters krav, behov og forventninger Bestemme styringssystemets omfang Spesifikke prosesser for det enkelte rammeverk Lederskap og forpliktelse Policy Roller, ansvar, myndighet og fullmakter Planlegging Support Operations Evaluering Forbedring Tiltak for å adressere risiko (trusler og muligheter) Målsetninger og planer for å nå definerte mål Planlegging av endringer Ressurser Kompetanse Bevissthet Kommunikasjon Oppfølging og vedlikehold av dokumentasjon Planlegging, styring og kontroll Spesifikke prosesser for det enkelte rammeverk Overvåke, måle, analysere og evaluere Interne revisjoner (ikke internrevisjon) Ledelsesgjennomgang Avviksoppfølging og korrigerende tiltak Kontinuerlig forbedring 33

Hvordan velge rammeverk? 34

Risikostyringsprosessen

Prosess som skal sikre bevisst risikotaking Risikovurdering Akseptere risiko? Ja Overvåke og rapportere Nei Unngå Redusere Akseptere 36

Prosess som skal sikre bevisst risikotaking Målet med risikostyringsprosessen er å sikre riktig risikoeksponering gjennom posisjonering og strategiske valg, effektive forretningsprosesser og robuste kontroller Interne usikkerhetsfaktorer Eksterne usikkerhetsfaktorer Strategi og mål Risikoidentifikasjon Risikoanalyse Tiltak, kontroller Tiltak og prosesser Implementering og oppfølging Kontrolleffektivitet Prosessdesign 37

Utforming av rammeverk i praksis En fellesnevner for eksisterende standarder og rammeverk er at det omfatter metoder og prosesser som brukes av organisasjonen til å styre risiko og utnytte muligheter. Mål og strategier Typiske elementer i et rammeverk: - Identifikasjon av interne og eksterne forhold som påvirker virksomhetens målsetninger - Fastsettelse av risikoappetitt og risikostyringspolitikk - Utforming av risikostyringsfunksjonen og funksjonens ansvarsområder - Etablering av interne og eksterne kommunikasjonsmekanismer - Tildeling av ressurser til funksjonen Implementering og oppfølging Tiltak Risikoanalyse Risikoidentifisering 38

OK! Hva er det viktig at vi som styremedlemmer husker på? Hva er vår rolle? (Utover å ha det ultimate ansvaret) 39

ERM er svært sjeldent én prosess Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse 40

Forretningsenhet, Avdeling, Prossess Divisjon Virksomhet ERM er svært sjeldent én prosess Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Mål og strategier Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Tiltak Risikoanalyse 41

Forretningsenhet, Avdeling, Prossess Divisjon Konsern Husk: Opp- OG nedstrøms mekanismer Mål og strategier Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Mål og strategier Mål og strategier Mål og strategier Implementering og oppfølging Implementering og oppfølging Risikoidentifisering Risikoidentifisering Implementering og oppfølging Risikoidentifisering Tiltak Risikoanalyse Tiltak Risikoanalyse Tiltak Risikoanalyse 42

Definere risikoappetitt og gi føringer Risikoappetitt Strategi og målsetninger Virksomhetens målsetninger, herunder interne og eksterne krav Økonomi Omdømme Personskade og -sikkerhet Miljø Utfall som påvirker usikkerhet for fremtidig inntjening eller kan medføre direkte kostnader Utfall som kan påvirke virksomhetens omdømme, og/eller som innebærer brudd på interne og eksterne krav Utfall som kan medføre potensielle personskader og/eller som kan ha sikkerhetsmessige konsekvenser Utfall som kan påvirke det ytre miljøet eller ha konsekvens for ivaretagelse av eventuelle miljøkrav 43

og forstå håndteringen av usikkerhet Risikoappetitt Strategi og målsetninger Virksomhetens målsetninger, herunder interne og eksterne krav Økonomi Omdømme Personskade og -sikkerhet Miljø Ulike årsaker / usikkerhetskilder: Eksterne faktorer, markedsendringer, interne feil, svakhet i prosesser, systemsvikt mv. 44

12 trinn for etablering av ERM Styret Risikoappetitt Kommunikasjon: - Regelmessig - Proaktiv - Allokering av eierskap 2. linje Ledelsen Arbeidsform må sikre tett samarbeid med strategi- og linjefunksjoner Risikoidentifikasjon og måling Operativ organisasjon Alle risikoklasser 45

12 trinn for implementering 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder- eller delegere ansvaret for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10. Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11. Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12. Årlig / periodisk rapportering til styret 46

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding