Sammenligning av ledelsesstandarder for risiko

Like dokumenter
Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN»

Revisjon av styring og kontroll

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Hva mener vi med moderne risikostyring?

Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Veileder risikostyringsfunksjonen

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Styret i en virksomhet har et lovfestet

CASE. Polyteknisk forening Styrenettverk. 10. april 2018

Risikostyring Intern veiledning

Veiledning- policy for internkontroll

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Internkontroll i Gjerdrum kommune

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Internrevisjon og intern kontroll i statlige virksomheter

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Nye ISO 14001:2015. Utvalgte temaer SPESIELLE FAGLIGE ENDRINGER

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Revisjon av ISO 14001

Egenevaluering av internkontrollen

Aggregering av risiko - behov og utfordringer i risikostyringen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Ny styringsmodell for informasjonssikkerhet og personvern

Virksomhetsstyring i Bane NOR SF

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Policy for Antihvitvask

Samarbeidsforum internkontroll

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Hva er risikostyring?

Internrevisjon et samarbeid på tvers

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Retningslinje for risikostyring for informasjonssikkerhet

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Erfaringer fra implementering av risikostyring. Lanseringsseminar, Risikostyring i staten, 7. mars 2006

Instruks for konsernrevisjonen Helse Sør-Øst

Effektiv risikostyring og intern kontroll

Angående overlapp mellom styrets rolle og adm. dir. sin rolle

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

Hva kjennetegner god Risikostyring?

Standarder for risikostyring av informasjonssikkerhet

Et skolebygg å være stolt av!

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

Styret i Sykehusinnkjøp HF 08.februar 2017

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst

Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015.

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Rammeverk for risikostyring i Helse Midt-Norge

Et revisjonsblikk på internkontroll

Botnane Bedriftsutvikling AS

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

Programbeskrivelse. Versjon Program for administrativ forbedring og digitalisering

Revisjon Sørlandet sykehus HF

Integrering av IT i virksomhetens helhetlige risikostyring

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Gjelder fra: Godkjent av: Camilla Bjørn

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Endringer i ISO-standarder

Norsox. Dokumentets to deler

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Strategi prioriteringer

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Gjelder fra: Godkjent av: Fylkesrådet

Hvordan ha orden på internkontrollen?

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Risikovurdering for folk og ledere Normkonferansen 2018

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Evaluering av nasjonale kompetansetjenester 2015

Sak: Kvalitetssikringssystem ved Universitetet i Nordland

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring

Styringssystem basert på ISO 27001

Styringssystemet SMART

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Innhold. Del I Introduksjon til virksomhetsstyring og internkontroll

Ekstern evaluering av internrevisjonen i Helse Nord RHF

MEDLEMSMØTE I NETTVERK STATLIG SEKTOR GEVINSTREALISERING OG INTERNREVISORS ROLLE. DFØ 21. april 2017

Ofte stilte spørsmål.

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Få oversikt. Ta kontroll.

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Transkript:

Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018

Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell risikostyring - «Internrevisjonen skal evaluere og bidra til å forbedre de styrings- og kontrolltiltak som er etablert for risikostyring og måloppnåelse i virksomheten. Internrevisjonen har hele virksomheten som sitt arbeidsfelt, og har et spesielt fokus på virksomhetens prosesser for governance (virksomhetsstyring), risikostyring og kontroll.» (IIA Norge) Leder av styret i Nettverk Risikostyring i IIA Norge - https://iia.no/risikostyring/ 2

Det store bildet Risikostyring handler om: Å ta bedre beslutninger Å være føre var Å beskytte verdier Risikostyring er samtidig både offensiv og defensiv. 3

Risikostyring Risikostyring bør sikre mer positive utfall over tid - ellers bedre å anvende seg av spåkona.. 4

Hva mener vi med helhetlig risikostyring? Den kulturen, de egenskapene og den praksisen som organisasjoner integrerer med strategi og som de benytter når strategien settes ut i praksis. Dette for å styre risikoen når verdier skapes, bevares og realiseres. COSO ERM Integrering med strategi og måloppnåelse 2017 https://iia.no/produkt/helhetlig-risikostyring-sammendrag/ 5

COSO rammeverk og ISO standard COSO fra økonomimiljøet Hva og hvem? Helhetlig risikostyring ISO fra ingeniørmiljøet Hva og hvordan? 6

Mer om COSO STRATEGI SATT INN I SAMMENHENGEN 7

Mer om COSO Helhetlig risikostyring: De fem «båndene» representerer fem komponenter, som er relevante/viktige hele veien fra formål m.m. er besluttet - ved strategiske valg og fastsettelse av forretningsmessige mål, i gjennomføringsfasen og helt frem til forbedret verdiskaping er oppnådd. 8

COSO komponenter 9

COSO - prinsipper De fem komponentene i det oppdaterte rammeverket støttes av et sett prinsipper. De er håndterbare i omfang, og de beskriver forskjellige fremgangsmåter som kan brukes på ulike organisasjoner uansett størrelse, type eller sektor. Overholdelse av prinsippene kan gi ledelsen og styret rimelig grunn til å forvente at organisasjonen forstår risikoer knyttet til strategien og virksomhetens mål, og søker å styre disse. 10

Risikostyring definisjon ISO 31000 2018-02 COSO ERM 2017 Risikostyring Koordinerte aktiviteter for å rettlede og kontroller en organisasjon med hensyn til risiko. Risiko Virkingen av usikkerhet knyttet til mål COSO om risiko «Øke omfanget av muligheter: Ved å vurdere alle mulige utfall både de positive og de negative sider ved risiko kan nye muligheter og spesielle utfordringer knyttet til kjente muligheter identifiseres.» 11

ISO 31000 2018-02 12

Sammenligning av prinsipper vs. COSO komponenter Veiledning om det som kjennetegner en effektiv og hensiktsmessig risikostyring og hvordan å kommunisere dens verdi og forklare dens intensjon og formål ISO 31000 2018-02 COSO ERM 2017 a) Integrert b) Strukturert og helhetlig c) Skreddersydd d) Inklusivt e) Dynamisk f) Best mulig informasjon g) Menneskelige og kulturelle faktorer h) Kontinuerlig forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 13

Sammenligning av rammeverk vs. COSO komponenter Hensikten med risikostyringsrammeverk er å bistå organisasjonen i sitt arbeid med å integrere risikostyring med virksomhetsstyringen, herunder beslutningstaging ISO 31000 2018-02 COSO ERM 2017 1. Ledelse og forpliktelse 2. Integrasjon 3. Design 4. Implementering 5. Evaluering 6. Forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 14

Sammenligning av prosess vs. COSO gjennomføring mm. Risikostyringsprosessen omfatter den systematiske bruken av policyer, prosedyrer og praksis i aktivitetene som kommunikasjon og rådgivning, etablering av kontekst og vurdering, behandling, overvåking, gjennomgåelse, dokumentasjon og rapportering av risiko ISO 31000 2018-02 COSO ERM 2017 1. Risikoidentifikasjon 2. Risikoanalyse 3. Risikovurdering 4. Risikohåndtering 5. Overvåking og gjennomgåelse 6. Registrering og rapportering Rammeverket b) Strukturert og helhetlig a) Identifiserer risiko b) Vurderer alvorligheten av risiko c) Prioriterer risiko d) Iverksetter risikohåndtering e) Utvikler porteføljesyn Andre komponenter: 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 15

Konklusjon på sammenligning av COSO ERM og ISO 31000 Hvordan du enn snur og vender på det snakker vi vel om de samme prinsipper og rammeverk COSO legger vekt på styrets ansvar og helhet i forhold til hele organisasjonens virke hva og hvem? ISO 31000 er mer forklarende i forhold til prosess i en enhet (evtlt. også hele virksomhet) hva og hvordan? 16

Risikostyringsfunksjonen Det som ikke står noe særlig om er hvordan en helhetlig risikostyringsfunksjon skal organiseres Veileder for risikostyringsfunksjonen fyller dette gapet https://iia.no/risikostyring/publikasjoner/no/alle/ 17

Målet med veileder for risikostyringsfunksjonen Veilederen skal beskrive gjeldende god praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyringsfunksjonen Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 18

Viktige elementer Elementer Rollen Risikostyringsfunksjonen Rådgivning Overvåking Rapportering Helhetlig syn Risikobasert tilnærming Ansatt av Rapporterer til Uavhengighet Integritet Omfang Organisering Ressurser Tilgang til informasjon Karrierestigen Lønn og incentiver Proaktiv? Risiko i beslutninger Ja, bl.a. risikoappetitt Toppledelsen Adm. Dir. og styret Uavhengig av forretningslinjer Ja Helheten av forretningsaktiviteter 1 leder av funksjonen Tilstrekkelig antall og kompetanse Uten restriksjon Må lages Som samsvarer med plasseringen - bl.a. uavhengig av økonomiske resultater 19

En overordnet risikovurdering 20

Arbeid med å bygge opp helhetlig risikostyring 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10.Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11.Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12.Årlig / periodisk rapportering til styret 21

Kontakt, kurs og fagmateriell Nettverk risikostyring ønsker engasjement, innspill, artikkelforfattere, bidragsytere mm. Vår mailadresse: risikostyring@iia.no Vi planlegger kurs og konferanser GRC seminar - Først avholdt 2017 - Et samarbeid mellom Nettverk Compliance og Nettverk Risikostyring 11. oktober 2018 - Spennende program kommer! Nye COSO ERM executive summary utgitt på norsk Oppdatert Veileder for risikostyringsfunksjonen høsten 2018 Se artikler i SIRK Se vår webside https://iia.no/risikostyring/ og ERM modenhetsmodellen https://iia.no/risikostyring/ publikasjon/modenhetsmodell-risikostyring/ 22

Takk for meg! Spørsmål - kommentarer? 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding