Sammenligning av ledelsesstandarder for risiko av Martin Stevens Kvalitet & Risikodagene 2018 14. Juni 2018
Litt om meg Internrevisor i Gjensidige Hvorfor opptatt av risikostyring? - Bakgrunn fra finansiell risikostyring - «Internrevisjonen skal evaluere og bidra til å forbedre de styrings- og kontrolltiltak som er etablert for risikostyring og måloppnåelse i virksomheten. Internrevisjonen har hele virksomheten som sitt arbeidsfelt, og har et spesielt fokus på virksomhetens prosesser for governance (virksomhetsstyring), risikostyring og kontroll.» (IIA Norge) Leder av styret i Nettverk Risikostyring i IIA Norge - https://iia.no/risikostyring/ 2
Det store bildet Risikostyring handler om: Å ta bedre beslutninger Å være føre var Å beskytte verdier Risikostyring er samtidig både offensiv og defensiv. 3
Risikostyring Risikostyring bør sikre mer positive utfall over tid - ellers bedre å anvende seg av spåkona.. 4
Hva mener vi med helhetlig risikostyring? Den kulturen, de egenskapene og den praksisen som organisasjoner integrerer med strategi og som de benytter når strategien settes ut i praksis. Dette for å styre risikoen når verdier skapes, bevares og realiseres. COSO ERM Integrering med strategi og måloppnåelse 2017 https://iia.no/produkt/helhetlig-risikostyring-sammendrag/ 5
COSO rammeverk og ISO standard COSO fra økonomimiljøet Hva og hvem? Helhetlig risikostyring ISO fra ingeniørmiljøet Hva og hvordan? 6
Mer om COSO STRATEGI SATT INN I SAMMENHENGEN 7
Mer om COSO Helhetlig risikostyring: De fem «båndene» representerer fem komponenter, som er relevante/viktige hele veien fra formål m.m. er besluttet - ved strategiske valg og fastsettelse av forretningsmessige mål, i gjennomføringsfasen og helt frem til forbedret verdiskaping er oppnådd. 8
COSO komponenter 9
COSO - prinsipper De fem komponentene i det oppdaterte rammeverket støttes av et sett prinsipper. De er håndterbare i omfang, og de beskriver forskjellige fremgangsmåter som kan brukes på ulike organisasjoner uansett størrelse, type eller sektor. Overholdelse av prinsippene kan gi ledelsen og styret rimelig grunn til å forvente at organisasjonen forstår risikoer knyttet til strategien og virksomhetens mål, og søker å styre disse. 10
Risikostyring definisjon ISO 31000 2018-02 COSO ERM 2017 Risikostyring Koordinerte aktiviteter for å rettlede og kontroller en organisasjon med hensyn til risiko. Risiko Virkingen av usikkerhet knyttet til mål COSO om risiko «Øke omfanget av muligheter: Ved å vurdere alle mulige utfall både de positive og de negative sider ved risiko kan nye muligheter og spesielle utfordringer knyttet til kjente muligheter identifiseres.» 11
ISO 31000 2018-02 12
Sammenligning av prinsipper vs. COSO komponenter Veiledning om det som kjennetegner en effektiv og hensiktsmessig risikostyring og hvordan å kommunisere dens verdi og forklare dens intensjon og formål ISO 31000 2018-02 COSO ERM 2017 a) Integrert b) Strukturert og helhetlig c) Skreddersydd d) Inklusivt e) Dynamisk f) Best mulig informasjon g) Menneskelige og kulturelle faktorer h) Kontinuerlig forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 13
Sammenligning av rammeverk vs. COSO komponenter Hensikten med risikostyringsrammeverk er å bistå organisasjonen i sitt arbeid med å integrere risikostyring med virksomhetsstyringen, herunder beslutningstaging ISO 31000 2018-02 COSO ERM 2017 1. Ledelse og forpliktelse 2. Integrasjon 3. Design 4. Implementering 5. Evaluering 6. Forbedring 1. Virksomhetsstyring og kultur 2. Fastsettelse av strategi og mål 3. Gjennomføring 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 14
Sammenligning av prosess vs. COSO gjennomføring mm. Risikostyringsprosessen omfatter den systematiske bruken av policyer, prosedyrer og praksis i aktivitetene som kommunikasjon og rådgivning, etablering av kontekst og vurdering, behandling, overvåking, gjennomgåelse, dokumentasjon og rapportering av risiko ISO 31000 2018-02 COSO ERM 2017 1. Risikoidentifikasjon 2. Risikoanalyse 3. Risikovurdering 4. Risikohåndtering 5. Overvåking og gjennomgåelse 6. Registrering og rapportering Rammeverket b) Strukturert og helhetlig a) Identifiserer risiko b) Vurderer alvorligheten av risiko c) Prioriterer risiko d) Iverksetter risikohåndtering e) Utvikler porteføljesyn Andre komponenter: 4. Gjennomgang og revurdering 5. Informasjon, kommunikasjon og rapportering 15
Konklusjon på sammenligning av COSO ERM og ISO 31000 Hvordan du enn snur og vender på det snakker vi vel om de samme prinsipper og rammeverk COSO legger vekt på styrets ansvar og helhet i forhold til hele organisasjonens virke hva og hvem? ISO 31000 er mer forklarende i forhold til prosess i en enhet (evtlt. også hele virksomhet) hva og hvordan? 16
Risikostyringsfunksjonen Det som ikke står noe særlig om er hvordan en helhetlig risikostyringsfunksjon skal organiseres Veileder for risikostyringsfunksjonen fyller dette gapet https://iia.no/risikostyring/publikasjoner/no/alle/ 17
Målet med veileder for risikostyringsfunksjonen Veilederen skal beskrive gjeldende god praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyringsfunksjonen Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 18
Viktige elementer Elementer Rollen Risikostyringsfunksjonen Rådgivning Overvåking Rapportering Helhetlig syn Risikobasert tilnærming Ansatt av Rapporterer til Uavhengighet Integritet Omfang Organisering Ressurser Tilgang til informasjon Karrierestigen Lønn og incentiver Proaktiv? Risiko i beslutninger Ja, bl.a. risikoappetitt Toppledelsen Adm. Dir. og styret Uavhengig av forretningslinjer Ja Helheten av forretningsaktiviteter 1 leder av funksjonen Tilstrekkelig antall og kompetanse Uten restriksjon Må lages Som samsvarer med plasseringen - bl.a. uavhengig av økonomiske resultater 19
En overordnet risikovurdering 20
Arbeid med å bygge opp helhetlig risikostyring 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10.Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11.Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12.Årlig / periodisk rapportering til styret 21
Kontakt, kurs og fagmateriell Nettverk risikostyring ønsker engasjement, innspill, artikkelforfattere, bidragsytere mm. Vår mailadresse: risikostyring@iia.no Vi planlegger kurs og konferanser GRC seminar - Først avholdt 2017 - Et samarbeid mellom Nettverk Compliance og Nettverk Risikostyring 11. oktober 2018 - Spennende program kommer! Nye COSO ERM executive summary utgitt på norsk Oppdatert Veileder for risikostyringsfunksjonen høsten 2018 Se artikler i SIRK Se vår webside https://iia.no/risikostyring/ og ERM modenhetsmodellen https://iia.no/risikostyring/ publikasjon/modenhetsmodell-risikostyring/ 22
Takk for meg! Spørsmål - kommentarer? 23