Veileder risikostyringsfunksjonen

Like dokumenter
Sammenligning av ledelsesstandarder for risiko

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Risikostyringsfunksjonen

Etiske retningslinjer

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Policy for Antihvitvask

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Policy for Eierstyring og Selskapsledelse

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Risikostyring Intern veiledning

Compliance funksjonen utøvelse og praktisk angrepsvinkel

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Veiledning om risikostyring. (Oppdatert 18. september 2012, redaksjonelle oppdateringer 21. august 2019)

Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner

INFORMASJONSSKRIV 01/2012 ENGASJEMENTSBREV

Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere: ICAAP samlet kapitalbehov

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser.

Utkast til høringsnotat om revisorlovens anvendelse på andre tjenester enn revisjon Finanstilsynet 4. november 2011

Om internrevisjon. Pensjonskassekonferansen. 14. mai 2019

Uttalelse beregning av Basel I-gulvet for IRB-banker som har eierandeler i forsikringsforetak

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

Standarder for risikostyring av informasjonssikkerhet

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

1. Innledning. 2. Gjeldende rett

Finanstilsynet orienterer. Pensjonskassekonferansen 18. april 2018 Seksjonssjef Hege Bunkholt Elstrand

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring

Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

Søknad om konsesjon. Advokat Søren L. Lous. når løsningen teller

Policy for Eierstyring og Selskapsledelse

Rammeverk for risikostyring i Helse Midt-Norge

VÅR REFERANSE DERES REFERANSE DATO 16/

HELSE NORD RHF ENDRING

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom:

Om virksomhetsstyring

Høringssvar NOU 2018:17 Klimarisiko og norsk økonomi

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

Veiledning- policy for internkontroll

VEILEDER FOR RISIKOSTYRINGSFUNKSJONEN. Formatert: Midtstilt

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN»

Plan for selskapskontroll for Stokke kommune

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Kontrollutvalgets påseansvar overfor regnskapsrevisor - høringssvar

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Kommentarer på Systembeskrivelse Systematisk innføring av nye metoder i spesialisthelsetjenesten

Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16

Høring - forslag til forskrift om meldeplikt ved utkontraktering

Godtgjørelsesordning - Oslo Asset Management AS

Integrering av IT i virksomhetens helhetlige risikostyring

NHOs forsikringskonferanse, november Solvens II Implementering og konsekvenser v/svein Stokke, Chief Risk Officer

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET

Tema: Internkontroll. Styrets risiko- og kontrolloppfølging: de nye EU-kravene?

Kommunestyrets overordnede tilsynsansvar

Høring utkast til veileder om «Samarbeid mellom helse- og omsorgstjenesten og utdanningssektoren om barn og unge med habiliteringsbehov.

Høringssvar forslag til endringer i barnehageloven med forskrifter

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Høringssvar forskrift om styringssystem i helse- og omsorgstjenesten

HØRINGSUTTALELSE - NYE REVISJONSSTANDARDER: RS 700, 705, 706, 710 OG 720

DFØs kompetansetilbud vedrørende internrevisjon Nettverksmøte NIRF statlig sektor/dfø 26. januar 2016

Norsox. Dokumentets to deler

2. Kredittilsynets arbeid med ny tilsynsmetodikk og krav til innrapportering'

oppmerksomhet rettet mot denne pedagogiske virksomheten. Hva er brukernes behov og hvordan kan helsepersonell legge til rette for

VIRKSOMHETS- OG ØKONOMIINSTRUKS FOR STATENS LÅNEKASSE FOR UTDANNING. Gjelder fra

Virksomhetsstyring i Sykehuset Telemark Status v/revisjon Effektmål Forbedringsområde Tiltak (Resultatmål)

Noe går galt mitt eller ditt ansvar?

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Rundskriv 4/2015 Organisering av verdipapirforetak. Brita Daae Hrenovica Seniorrådgiver Seksjon for verdipapirforetak og infrastruktur

Eierstyring og selskapsledelse

Det vises til Finansdepartementets brev av 28. januar 2011 hvor det bes om høringsuttalelser til arbeidsgruppens rapport av 26. januar 2011.

Evaluering av nasjonal- og flerregional behandlingstjenester 2015

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

PILAR 3 - Basel II. KLP Kapitalforvaltning AS 2010

Instruks for internrevisjonen i Helse Nord RHF endring

Gevinstrealisering i program Felles Infrastruktur og Arkitektur (FIA)

PILAR 3 - rapport. KLP Kapitalforvaltning AS 2016

Deres ref Vår ref Dato

STYREUTVALG: Revisjonsutvalget Risikoutvalget Godtgjørelsesutvalget

Informasjon om saker som skal behandles på Generalforsamling

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Hva er risikostyring?

Kontrollutvalget i Bardu kommune

Tematilsyn om stresstesting av likviditets- og finansieringsrisiko DATO:

Styrende dokumenter for internkontroll og risikostyring i Sykehusinnkjøp

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Ny postregulering - høringsuttalelse

Høring - Utkast til tilpasning av regnskapsregler til IFRS for unoterte institusjoner Finansdepartementet. 15/2452 MaBo 18/

EuroSOX og Ny forskrift for risikostyring og internkontroll

Transkript:

Norges Interne Revisorers Forening Postboks 1417 Vika Dato: 26.10.2016 0115 Oslo Vår ref.: 16-1268 Deres ref.: Veileder risikostyringsfunksjonen Vi viser til epost av 20.9.2016 og takker for muligheten til å gi innspill på utkastet til veileder for risikostyringsfunksjonen. 1. Finans Norges hovedsynspunkter Finans Norge oppfatter NIRF sitt arbeid med å lage en veileder for risikostyringsfunksjonen som et positivt og nyttig initiativ. Risikostyringsfunksjonens utforming bør være avhengig av foretakets bransje, art, omfang og kompleksitet. Etter vår oppfatning er dette da også et tydelig utgangspunkt for det foreliggende utkast til veileder. Veilederen bør være kortfattet og prinsippbasert. Det vil etter Finans Norge sin oppfatning være hensiktsmessig å forsøke å gjøre strukturen og innholdet i veilederen noe tydeligere. NIRF sin veileder for compliancefunksjonen kan for eksempel være et nyttig utgangspunkt for valg av struktur. Finans Norge anbefaler at ansvarsområder og arbeidsoppgaver for risikostyringsfunksjonen beskrives noe mer konkret enn hva som er tilfellet i det foreliggende utkastet. I de påfølgende avsnitt har vi gjort mer detaljert rede for det konkrete innholdet i og bakgrunnen for våre hovedsynspunkter.

2. Finans Norges primærsyn Risikostyringsfunksjonen har de senere årene vokst frem som en stadig mer sentral og viktig funksjon i mange bransjer. Særlig i finansbransjen har dette blitt tydeliggjort etter finanskrisen, og i regulatorisk rammeverk for de ulike sektorene av finansbransjen (blant annet Basel 3 / CRD IV for bankene og Solvens II for forsikring) har det blitt stilt konkrete krav og forventninger til risikostyringen generelt og til risikostyringsfunksjonen konkret. Det skal samtidig erkjennes at funksjonen for mange bransjer og foretak er nokså «fersk» og at det derfor kan være stor nytte for mange med en veileder som kan beskrive og angi god praksis på området. For at en veileder skal lykkes i så måte, så må den være konkret i sine beskrivelser. Samtidig er det viktig å erkjenne at både krav og forventninger til funksjonen, herunder både organisering, omfang og arbeidsoppgaver, både kan og bør variere mellom ulike bransjer og mellom ulike foretak og forretningsmodeller i en og samme bransje. Risikostyringsfunksjonens utforming bør være avhengig av foretakets bransje, art, omfang og kompleksitet. Å balansere hensynet til konkret beskrivelse av god praksis mot nødvendige tilpasninger til det enkelte foretaks situasjon i en kortfattet veileder er ikke enkelt. Det innebærer at veilederen bør være prinsippbasert. Det skal for øvrig påpekes at det i enkelte bransjer, som følge av lov-/forskriftskrav eller myndighetsforventninger, kan foreligge konkrete krav eller forventninger som går lenger eller er mer omfattende enn det som fremgår av veilederen. Finansbransjen er et typisk eksempel på dette. 3. Merknader til forslaget til veileder 3.1 Merknader til enkeltavsnitt Finans Norge har følgende konkrete kommentarer og innspill til de nevnte avsnitter i utkastet til veileder: Innledning, Formålet med veilederen, 2. avsnitt, siste setning: Her bør også kompleksitet angis som ett av begrepene foretakene må tilpasse utformingen av risikostyringsfunksjonen til. Helhetlig risikostyring (ERM): Omtalen av helhetlig risikostyring bør knyttes enda tydeligere opp mot det forretningsmessige. Foretak må ta risiko for å nå sine mål. Spørsmålet er hvilke risikoer og hvor stor risiko de kan og vil ta. I beskrivelsene savnes knytningen opp mot risikotoleransen/-appetitten og det forretningsstrategiske perspektivet. Side 2 av 7

Forholdet mellom risikostyring og internkontroll, tredje siste avsnitt: Veilederen bør unngå å bruke fremmedord som «holistisk». Finans Norge foreslår at begrepet erstattes med for eksempel «helhetlig». Risikostyringsfunksjonen, første avsnitt: Beskrivelsen kan leses som at risikorammene er en gitt og ikke påvirkelig faktor for risikostyringsfunksjonen. Funksjonen bør imidlertid aktivt kunne mene noe om hva som er forsvarlige risikorammer, men det er selvsagt ikke risikostyringsfunksjonen som skal beslutte rammene. Kritisk vurdering og råd angående rammeforslag bør imidlertid inngå som en sentral oppgave for funksjonen. Risikostyringsfunksjonen, andre avsnitt: I dette avsnittet angis styrets ansvar på området. Det er imidlertid også et eget kapittel i veilederen om dette («Styrets ansvar»). Dokumentet bør struktureres slik at temaene bare behandles en gang. Risikostyringsfunksjonen, tredje avsnitt: I dette avsnittet angis adm direktørs ansvar på området. Forholdet til funksjoner er hovedtemaet for det påfølgende kapitlet («De tre forsvarslinjene og avgrensning mot andre funksjoner»). Det er også et eget kapittel om «Forankring i ledelsen» som omtaler ledelsens ansvar. Dokumentet bør struktureres slik at temaene bare behandles en gang. Risikostyringsfunksjonen, fire siste avsnitt: I disse fire avsnittene beskrives forholdet til andre avdelinger / funksjoner, noe som også er hovedtemaet for det påfølgende kapitlet («De tre forsvarslinjene og avgrensning mot andre funksjoner»). Dokumentet bør struktureres slik at temaene bare behandles en gang. De tre forsvarslinjene og avgrensninger mot andre funksjoner, tredje avsnitt: Den proaktive delen av rollen til risikostyringsfunksjonen bør fremgå tydeligere av beskrivelsene. Styrets ansvar: Det kan med fordel fremkomme at styret har også ansvar for å vedta risikoappetitten/-toleransen og risikorammene. Styrets ansvar, tredje avsnitt: Her omtales arbeids-/ansvarsfordelingen mellom risikostyring og compliance. Det er vår vurdering at dette kanskje mer hensiktsmessig bør omtales i avsnittet om «De tre forsvarslinjene og avgrensning mot andre funksjoner». Dokumentet bør struktureres slik at temaene bare behandles en gang. Forankring i ledelsen, første avsnitt: Her bør det også fremgå at ledelsen har ansvar ikke bare for å etablere risikostyringssystemet, men også for å gjennomføre risikostyringen. Risikoappetitt: Beskrivelsen bør utvides noe slik at det fremkommer at risikoappetitten både angir de typer risiko og det risikonivå (pr type og totalt) som aksepteres. Side 3 av 7

«Risk gaps»: Hele dette avsnittet kan inngå i en beskrivelse av risikostyringsfunksjonens ansvarsområder / arbeidsoppgaver. Organisatorisk plassering: Selv om valg av organisatorisk plassering avhenger av en rekke faktorer, herunder både foretakets art, omfang og kompleksitet og eventuelle relevante lovkrav, så bør dette avsnittet likevel konkretiseres noe mer. For det første bør det si noe om lovkrav der det er relevant og det bør beskrive anbefalt god praksis for å sikre uavhengighet, samt beskrive og drøfte fordeler og ulemper med ulike løsninger. Outsourcing: Utkontraktering kan være en fordelaktig løsning i enkelte tilfeller, herunder at det kan tilføre funksjonen en bedre kompetanse enn alternative løsninger. Lovkrav og tilsynsforventinger gjør dog at dette ikke er tillatt i alle bransjer. Bl.a. har Finanstilsynet signalisert at de anser risikostyring som en kjerneoppgave som det for banker ikke vil være tillatt å utkontraktere. Veilederen kan med fordel nevne denne problemstillingen. I tillegg kan det gjerne betegnes som «utkontraktering» i stedet for som «outsourcing». Belønningspolitikk og incentivmodell: Veilederen bør angi at belønning ikke bør avhenge av resultatene til de enheter som skal overvåkes og kontrolleres av risikostyringsfunksjonen. Grunnelementer i risikostyring: Dette kapitlet beskriver bare tre elementer, og det fremstår som noe kortfattet og begrenset. Grunnelementer i risikostyring omfatter typisk for eksempel: Risikoidentifikasjon Risikovurdering Fastsettelse av appetitt og toleranse/rammer for risikoeksponeringen Risikomåling Risikohåndtering Risikokontroll Risikorapportering I tillegg er selvsagt ansvarsforhold og valgt organisering, med videre innenfor risikostyringen en naturlig del av grunnelementene. Risikomodenhet: Dette avsnittet bør tydeligere angi hva som kjennetegner tilstrekkelig modenhet, og kan som sådan med fordel slås sammen med foregående avsnitt om grunnelementer i risikostyring. For eksempel vil graden av modenhet kunne beskrives i form av tydelighet i ansvarsforhold, graden av uavhengighet for risikostyringsfunksjonen gjennom organisasjonsmodell, hvor avansert metodikk som anvendes for identifikasjon, vurdering og måling av risiko, med videre. Side 4 av 7

Utforming av rammeverk i praksis: En anbefaling om kun årlig rapportering fremstår som en noe lav frekvens i forhold til god praksis og en aktiv risikostyringsfunksjon. 3.2 Konkrete forbedringsforslag Etter Finans Norge sin oppfatning bør det inntas et kapittel i veilederen som gjør oppmerksom på at det i enkelte bransjer, som følge av lov-/forskriftskrav eller myndighetsforventninger, kan foreligge konkrete krav eller forventninger som går lenger eller er mer omfattende enn det som fremgår av veilederen. Finans Norge anbefaler at det forsøkes etablert en tydeligere struktur for veilederen. Den struktur som er anvendt i NIRF sin veileder for risikostyringsfunksjonen kan være et eksempel. Et annet alternativ er en struktur med følgende hovedkapitler: Innledning formålet med veilederen Bakgrunnsstoff (Risikostyring/Helhetlig risikostyring Risikostyring/Internkontroll - Risikoappetitt De tre forsvarslinjer Styret og ledelsen) Risikostyringsfunksjonen (Formål Ansvar og arbeidsoppgaver Organisatorisk plassering Utkontraktering Rapporteringskrav Autoritet, kompetanse og ressurser Status og rettigheter Uavhengighet og integritet Belønning og insentiver) Vedlegg (Tips og praktiske råd Kvalitetssikrede referanser til standarder, lenker til informasjonskilder og bransjestandarder, med videre) Finans Norge vil videre anbefale at det inntas en tydeligere og mer konkret beskrivelse av hva som bør være risikostyringsfunksjonens ansvarsområder og arbeidsoppgaver. Dette kan for eksempel utformes slik: Risikostyringsfunksjonens ansvarsområder: Risikostyringsfunksjonen skal tilpasset foretakets bransje, art, omfang og kompleksitet - yte bistand til administrasjons-, ledelses- eller kontrollorganer, samt andre funksjoner med å sikre gjennomføringen av risikostyringssystemet på en effektiv måte, gjennom å: overvåke risikostyringssystemet og påse at alle vesentlige eksisterende og potensielle risikoer er identifisert, vurdert og håndtert, aktivt bistå og gi råd til foretakets styre og ledelse i utforming og vedlikehold av foretakets risikoappetitt og risikorammer, utvikle og implementere foretakets helhetlige rammeverk for risikostyring, som omfatter foretakets risikokultur, risikovilje og risikorammer, Side 5 av 7

identifisere, vurdere, måle og rapportere eksisterende og nye risikoer enkeltvis og aggregert absolutt og i forhold til foretakets risikoappetitt og risikorammer, overvåke den generelle risikoprofilen til foretaket som helhet, herunder å ha et syn på foretakets totale risikoeksponering, etablere et system for tidlig varsel eller trigger-system for brudd på foretakets risikoappetitt eller risikorammer, overvåke generelle interne og eksterne utviklingstrekk og gjennomføre trendanalyser for å identifisere potensielle nye risikoer, detaljert rapportere foretakets risikoeksponeringer, sikre at styret og ledelsen mottar fullstendig, hensiktsmessig og forståelig informasjon om foretakets risikoeksponering, rådgivning til administrasjons-, ledelses- eller kontrollorganet om risikostyringsspørsmål, herunder i forbindelse med strategiske spørsmål som forretningsstrategi, fusjoner og erverv samt større prosjekter, investeringer og andre viktige endringer (for eksempel nye produkter, nye systemer, etc), tidlig involvere seg for å påse at risikovurderinger er hensyntatt i alle vesentlige beslutninger, samt, når det er nødvendig, påvirke og utfordrende beslutninger som gir opphav til vesentlig risiko, avgi ekspertvurderinger, og rapportere til toppledelsen og styret eller risikokomité på alle disse elementene, inkludert, men ikke begrenset til å foreslå hensiktsmessige risikoreduserende tiltak. Side 6 av 7

4. Avsluttende merknader Finans Norge håper de innspill og kommentarer som er gitt ovenfor er nyttige i det videre arbeid med å ferdigstille veilederen. Finans Norge stiller seg til rådighet for utdypende kommentarer eller spørsmål til våre innspill, samt ytterligere kommentarer dersom det er behov for eller ønske om det. Med vennlig hilsen Finans Norge Erik Johansen direktør Are Jansrud analysesjef Side 7 av 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding