Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

Like dokumenter
Sammenligning av ledelsesstandarder for risiko

Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

Risikostyringsfunksjonen

LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN»

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

1. FORMÅL 2. PROFESJONELT GRUNNLAG

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Veiledning- policy for internkontroll

Veileder risikostyringsfunksjonen

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

FinAut som en del av Compliance

Virksomhetsstyring i Bane NOR SF

Internkontroll i Gjerdrum kommune

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

IKT-revisjon som del av internrevisjonen

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Byrådets valg av løsning i arbeidet med å sikre betryggende kontroll

Policy for Antihvitvask

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom:

VEILEDER FOR RISIKOSTYRINGSFUNKSJONEN. Formatert: Midtstilt

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Prinsipper for virksomhetsstyring i Oslo kommune

Revisjon Sørlandet sykehus HF

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Group Compliance DNB 24. september 2019

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Pensjonskasser: Etablering av internrevisjon Jonas Gaudernack Juni 2019

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Samarbeidsforum internkontroll

HELSE NORD RHF ENDRING

Hva kjennetegner god Risikostyring?

Styring og intern kontroll.

Styret i en virksomhet har et lovfestet

Hva er risikostyring?

Internrevisjon og intern kontroll i statlige virksomheter

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Instruks for konsernrevisjonen Helse Sør-Øst

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Egenevaluering av internkontrollen

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Integrering av IT i virksomhetens helhetlige risikostyring

Revitalisering av risikostyringen

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

VEILEDER FOR COMPLIANCE- FUNKSJONEN

Compliance funksjonen utøvelse og praktisk angrepsvinkel

Rammeverk for risikostyring i Helse Midt-Norge

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Bedre og billigere virksomhetsstyring. Direktør Marianne Andreassen

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

Revisjon av styring og kontroll

Policy for Eierstyring og Selskapsledelse

Litt om meg selv. Helhetlig risikostyring en utfordring. Willy Røed. PhD i risikoanalyse. Konsulent risikoanalyse Forskning og utvikling Brannsikring

Hvordan tenker Ptil? Våre erfaringer? Hvilken innsikt gir forskning og Ptils definisjon?

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Retningslinje for risikostyring for informasjonssikkerhet

Veiledning om risikostyring. (Oppdatert 18. september 2012, redaksjonelle oppdateringer 21. august 2019)

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Mål- og resultatstyring og risikostyring i staten (det offentlige)

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Om internrevisjon. Pensjonskassekonferansen. 14. mai 2019

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Risikostyring og intern kontroll i statlige virksomheter

Ny styringsmodell for informasjonssikkerhet og personvern

PILAR 3 - Basel II. KLP Kapitalforvaltning AS 2010

Internrevisjon et samarbeid på tvers

ARBEIDSLIVSKRIMINALITET. Hva inneholder den overordnede risikoanalysen for byggherrer og bedrifter i bygg & anleggsbransjen?

Instruks for internrevisjon NMBU

Nye Kristiansand kommune Stillingsbeskrivelser nivå 2 og 3. Virksomhetsstyring, økonomi og eierskap

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Ekstern evaluering av internrevisjonen i Helse Nord RHF

Risikostyring Intern veiledning

H O V E D P R I O R I T E R I N G E R. hovedprioriteringer petroleumstilsynet 2015

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

Overordnet IT beredskapsplan

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

NHOs forsikringskonferanse, november Solvens II Implementering og konsekvenser v/svein Stokke, Chief Risk Officer

Transkript:

Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

Styrets spørsmål til administrasjon Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer OM ANSVAR FOR RISIKOSTYRING Å inneha et verv i et styre eller innen et kontrollorgan i en virksomhet er et betydelig ansvar, og kan også medføre et betydelig personlig ansvar. Formålet med denne veilederen, er gjennom et sett med spørsmål, å gi en bedre forståelse av hva som er de viktigste risikoene som påvirker selskapet og hvordan de håndteres. 1 Det er sjeldent tilstrekkelig bare å se på et resultat og en balanse for å forstå hva som virkelig påvirker en virksomhets bunnlinje. Å forstå en virksomhets risikoprofil og hvordan virksomheten styrer denne, er en vinkling som kan være til stor hjelp for å få enda bedre forståelse av virksomheten. I denne sammenheng oppfattes risiko som et fremtidig potensial for gevinst eller tap (jf. definisjonen brukt i ISO-standarden 2 ). Alle virksomheter lever av å ta én eller flere former for risiko. Det er derfor viktig å forstå sammenhengen mellom risiko og verdi/resultat. To tilsynelatende like resultater kan ha sitt utgangspunkt i svært forskjellig risikoprofil. For å bedømme hvor godt et resultat er, er det derfor avgjørende at man forstår hvilken risiko virksomheten har tatt for å oppnå dette. Risikobegrepet i denne sammenheng omfatter kortsiktige risikoer, gjerne med ett års tidshorisont. Kanskje enda viktigere omfattes strategiske risikoer, nemlig risikoer selskapet tar eller vil møte, som en konsekvens av sin strategi eller større endringer i geopolitiske forhold, markeder eller regulatoriske forhold. I moderne risikostyring er det vanlig å referere til «helhetlig» risikostyring som en metode for å forstå og styre virksomhetens risiko helhetlig og ikke bare fragmentert. Denne formen for risiko styring benevnes ofte som ERM (Enterprise Risk Management). Det er mange fordeler med ERM sammenlignet med å styre enkeltrisikoer hver for seg, uten å se hvordan disse samlet sett påvirker virksomheten. 1 For ytterligere informasjon om Risikostyringens formål og praktisk utførelse, se Veileder for risikostyringsfunksjonen utgitt av IIA Norge i 2017. 2 ISO 31000:2009 - Risk Management Principles and Guidelines (foreligger også i norsk utgave). 2 IIA Norge

OM DE TRE FORSVARSLINJENE I EN GOVERNANCEMODELL Det er viktig å definere roller og ansvar for de ulike funksjonene på en tydelig måte. Dette bidrar til effektiv ressursutnyttelse, tilfredsstillende kontroll av alle aktiviteter, hindrer duplisering av oppgaver og funksjoner (inkludert aktiviteter knyttet til risikostyring og internkontroll). Videre er dette med på å tydeliggjøre grensesnittene innad i virksomhetenes helhetlige risikostyring og intern kontroll. Risikostyringsfunksjonen, Compliance og øvrige andrelinjeforsvarsfunksjoner har ansvarsområder og/ eller arbeidsoppgaver som grenser til hverandre. Selv om disse funksjonene er uavhengige av hverandre, er det viktig at det er god kommunikasjon mellom funksjonene for å effektivisere ressursbruken. Det kan også vurderes å samle funksjonene organisatorisk, for å styrke faglig samarbeid og gjennomføringsevne. Modellen med «de tre forsvarslinjene» (se illustrasjon under) beskriver styrings- og kontrollstrukturen i en virksomhet, herunder roller og ansvar knyttet til risikostyring og internkontroll på et overordnet nivå. Selv i virksomheter der et formelt rammeverk eller system for risikostyring ikke eksisterer, kan modellen bidra til å forbedre forståelsen av virksomhetens helhetlige risikostyring og internkontroll. Modellen skiller mellom tre grupper (eller linjer) som inngår i effektiv risikostyring og internkontroll: Funksjoner som eier og administrerer risiko (førstelinjen) Funksjoner som fører tilsyn med risiko (andrelinjen) Funksjoner som gir uavhengig bekreftelse (tredjelinjen) I markedet er det flere virksomheter som bygger bro mellom disse tre viktige komponentene innen virksomhetsstyring: Governance, Risikostyring og Compliance (samlet: GRC) for å sørge for at disse funksjonsområdene arbeider samstemt og mest mulig effektivt. I tråd med dette har vi i dette dokumentet først delt våre spørsmål om virksomhetsstyring opp i tråd med disse tre komponentene: Governance, Risikostyring og Compliance og deretter har vi et sett med spesifikke spørsmål i forhold til risikostyring rettet inn mot henholdsvis forretningsrisiko og operasjonell risiko. EIERE Styre / Revisjonsutvalg Ledelsen 1. Forsvarslinje 2. Forsvarslinje 3. Forsvarslinje Operasjonell ledelse, internkontroll i linjen Opera>ve kontroll>ltak som linjen selv ulører Kontrollak>viteter og funksjoner i stab - Controller - Kvalitet og sikkerhet - Risikostyring - Compliance - HMS, Miljø - Osv. Forskjellige typer av løpende risikostyrings-, overvåkings- og kontroll>ltak som uløres av stab og kontrollfunksjoner Internrevisjon Internrevisjonens objek>ve bekrenelser på prosessene for governance, risikostyring og kontroll, herunder hvordan første og andrelinjeforsvaret fungerer Ekstern revisjon Ekstern regnskapsrevisjon for uavhengig bekrenelse av regnskapsrapportering IIA Norge 3

Styrets spørsmål til administrasjon GOVERNANCE Hvordan er selskapets risikostyringsfunksjon organisert? Er det overlatt til den enkelte linjeenhet og kun det, eller finner man også en ERM-funksjon som ivaretar helheten i virksomheten. Bakgrunn: For å forstå om selskapet styrer sin virksomhet basert på et helhetlig bilde av de risikoer selskapet er eksponert for eller kun deler av dette. Hvordan rapporterer de risikoansvarlige i virksomheten? Kun til administrasjonen eller til styret, risiko-/ revisjonsutvalget, eller begge deler? Bakgrunn: Dersom styret skal kunne stole på robustheten i risikostyringen er det en forutsetning at det er høy grad av faglig integritet hos de som har ansvar for funksjonen samt at det er rom for direkte kommunikasjon til styret hvis risikostyringsfunksjonen ikke skulle dele administrasjonens syn i en kritisk situasjon/sak etc. Er virksomhetens risikostyring og internkontrollprosesser tilpasset virksomhetens mål og policyer? Bakgrunn: Det er viktig at både policyer og prosesser er avstemt mot strategi og tilhørende risikoer. Er tilstrekkeligheten av ressurser innenfor risikostyring regelmessig vurdert opp mot behov og sammen ligning med tilsvarende virksomheter? Bakgrunn: Det er viktig for styret å forstå om virksomhetens har vurdert om ressursene er i tråd med omfang og ambisjoner som er nødvendige i risikostrategien. RISIKOSTYRING Hvordan er kompetansen og den faglige integriteten til de risikoansvarlige vurdert? Finnes det systematisk opplæring/utviklingsmuligheter innenfor risikostyring for ledere og risikostyringsmedarbeidere? Bakgrunn: Det er viktig for styret å forstå om virksomheten utvikler tilstrekkelig kompetanse på dette fagområdet. Hvilke tiltak har toppledelsen iverksatt for å bygge opp under en sunn risikokultur? Er risikoeierskap klart delegert? Bakgrunn: Det er viktig at det ikke oppmuntres til ansvarsfraskrivelse eller en usunn risikoadferd, for eksempel gjennom bonus og belønningssystemer som gir sub-optimale insentiver. Deler Risikostyring og internrevisjon informasjon regelmessig? Bakgrunn: Det er viktig at virksomhetenes internrevisjons- og risikostyringsfunksjon har en god og åpen dialog. Internrevisjon er gjennom internasjonale standarder (utgitt av IIA) pliktet til å forholde seg til virksomhetens risikobilde gjennom krav til å: 4 IIA Norge

utarbeide en risikobasert internrevisjonsplan vurdere virksomhetens strategier, mål og risikoer arbeide for å forbedre prosessene for governance, risikostyring og kontroll sørge for at rapportering til toppledelse og styret også omfatter vesentlige risikoer. Er det vurdert hvordan risikostyringssystemet skal integreres med øvrige deler av internkontroll systemet og hvordan Risikostyringsfunksjonen skal samordne sitt arbeid med andre kontroll funksjon er, for eksempel Compliance, kvalitetsrevisjon og internrevisjon? Bakgrunn: Det er viktig for styret å forstå om relaterte fagmiljøer samarbeider for å unngå duplisering av arbeidsinnsats, blanding av roller, utvikling av dupliserende terminologi m.m. Hvordan kommuniseres risikobildet til styret, både i form (kvantitativt/kvalitativt), innhold og hyppighet? Bakgrunn: Dette er viktig for å forstå hvor tett på styret har mulighet til å være. Er risikoinformasjonen tilstrekkelig til at styret kan agere før det uheldige skjer, eller må styret konstatere i ettertid at noe har skjedd? Hvordan er vesentlige nye risikoer som oppstår, samt vesentlige kontrollsvakheter, kommunisert og rapportert til ledelsen og styret? Bakgrunn: Det er viktig at endringer i risikobildet som skjer på bakgrunn av eksterne faktorer og svakheter som blir avdekket, kommuniseres til ledelsen og styret. Det er vanlig å ha et system for å registrere vesentlige tapshendelser og at hendelsene formidles videre til ledelsen og styret. COMPLIANCE Er virksomhetens Compliancefunksjon en del av en stabsenhet som rapporterer høyt nok opp i organisasjonen? Hvis ikke, hvor rapporterer Compliance? Bakgrunn: Det er viktig for styret å skjønne hvor ansvaret for virksomhetens compliance ligger og om dette drives uavhengig av virksomhetens risikostyring for øvrig. Er compliancefunksjonen, uansett organisering, ansvarlig for å følge opp både interne og eksterne krav og retningslinjer? Hvilke krav og retningslinjer (interne og eksterne) ligger under Compliance sitt ansvarsområde? Bakgrunn: Det er viktig for styret å forstå omfanget av compliance, hvem som faktisk har ansvaret hvis det er delt, hva compliance har som fokus og hvordan dette kommuniseres. STYRING AV FORRETNINGSRISIKO Har virksomheten en overordnet risikostrategi og hvem er ansvarlig for denne strategien? Bakgrunn: Det er viktig for styret å forstå om virksomheten ser på risikostyring som en strategisk og integrert del av forretningsutviklingen. IIA Norge 5

Styrets spørsmål til administrasjon Har virksomheten etablert en uttalt risikoappetitt som er helhetlig og kvantifiserbar? Bakgrunn: Det er viktig for styret å forstå både hvorvidt dette er gjort i det hele tatt og hvis det gjort, hvor mye av virksomhetens bunnlinje og risikokapital er bundet opp som følge av risikobildet. Hva er virksomhetens viktigste verdidrivere? Bakgrunn: Det er viktig for styret å forstå hvor de store verdiene genereres for å gjøre det enklere å danne seg en oppfatning av hvilke risikoer som kan påvirke verdiene, både positivt og negativt. Har virksomheten kvantifisert de risikoene som påvirker virksomhetens viktigste verdidrivere og er det en fornuftig sammenheng mellom allokert risikokapital og forventet verdiskaping? Bakgrunn: En kvantitativ forståelse sikrer et enhetlig språk som de fleste forstår. En million USD er det samme for alle, mens gult på et risikokart er mer åpen for tolkning. Et kvantitativt begrep sikrer også at man lettere ser sammenhengen mellom verdiskapning og hva man risikerer å tape for å oppnå verdiskapningen. Hva er virksomhetens strategi i forhold til de viktigste verdidriverne innenfor en kortere og mer strategisk horisont? Bakgrunn: Nyere forskning viser at mange virksomheter kun har fokus på de nærmeste månedene, mens det som virkelig gir effekt, er hva som skjer med de strategiske risikoene. Strategiske risikoer har ofte stor effekt, men får likevel liten oppmerksomhetfordi de er vanskeligere å si noe om og det kreves et visst samarbeid mellom strategienhet og risikostyring (noe som etterhvert blir mer og mer vanlig). Er det utarbeidet styrings- og sikringsstrategier og vurderes disse i forhold til å sikre seg mot svingninger i regnskapsrapportering eller i forhold den totale økonomiske stillingen? Tar f.eks. virksomhetens risikostyring hensyn til skatteeffekter? Bakgrunn: regnskapsregler for sikring kan til dels være lite fleksibel og behøver ikke å samsvare med sikring av virksomhetens overordnet økonomisk eksponering f.eks. fra etøkonomisk synspunkt bør styring av risiko foregå etter skatt fordi det gir lite mening å beskytte mere av resultatet enn det selskapet sitter igjen med etter skatt. Tar kommunikasjonen fra administrasjonen sikte på å være proaktiv eller reaktiv i risikokommunikasjonen? Bakgrunn: For å kunne forstå og påvirke den strategiske utviklingen er det viktig å få fremtidsrettet informasjon. På denne måten kan et styre i større grad være en bidragsyter og ta eierskap til viktige beslutninger i forkant. Har beslutningsdokumenter, både til ledelse og styret, tilstrekkelig fokus på at risikodimensjonen i beslutningen er tilstrekkelig belyst? I store saker bør både utfallsrom og sannsynlighet være en del av beslutningsdokumentet fra et risikoperspektiv. 6 IIA Norge

Bakgrunn: Å få frem et mest mulig objektivt risikobilde er avgjørende for at et beslutningsunderlag skal være relevant. Har virksomheten store posisjoner/eksponeringer som kan gi betydelige forskjeller mellom økonomisk resultat og regnskapsresultat? Bakgrunn: Som en følge av regnskapsreglene kan det oppstå vesentlige forskjeller mellom et økonomisk resultat og et regnskapsresultat, for eksempel ved valutasikring av fremtidige valutainntekter eller -kostnader. STYRING AV OPERASJONELL RISIKO Har virksomheten drøftet hvilke operasjonelle risikoer som har størst innflytelse på bunnlinjen? Bakgrunn: det er viktig å avklare og avstemme at man faktisk har en formening om hva som utgjør risikobildet og hva de ulike risikoene representerer, samt ha en omforent oppfatning av hva dette betyr for virksomheten. Har selskapet etablert kontinuitetsplaner / «Business Continuity Plan» (BCM) på basis av en risikovurdering? Bakgrunn: Det er viktig at man evaluerer verdikjeden og ser til at det finnes planer/reservedeler m.m. for så raskt som mulig å bringe verdikjeden i funksjon igjen etter en hendelse. Dette sparer virksom heten for unødig lang nedetid og vil virke positivt iforhold til forsikring og dekning i markedet. Finnes det katastrofescenarioer? Bakgrunn: Alle virksomheter bør ha tenkt gjennom hva som ville kunne defineres som en katastrofe for egen virksomhet, og hva det kan bety for bunnlinjen/verdi. Fra en slik analyse vil man kunne avsløre om man har aktiviteter som er små, men som likevel har potensiale i seg til å velte hele virksomheten selv om sannsynligheten er uhyre liten. Spørsmål som reiser seg blir da - vil man ha slike aktiviteter / lønner det virkelig seg? Det er også viktig å få kartlagt slike scenarioer fordi normalt er sannsynligheten for slike hendelser så liten at de sannsynligvis aldri når opp til dokumentasjon i de overordnede risikokartene. Hvordan er forsikring integrert/hensyntatt i risikostyringen? Bakgrunn: Der man har et eget captive forsikringsselskap, er forsikringen avstemt mot hva som er virksomhetens overordnet behov, eller er arbeidsfeltet noe forsikrings spesialistene selv definerer? I en virksomhet bør ansvarlig for forsikringer og risk manager arbeide tett sammen. IIA Norge 7

Denne veiledningen er utarbeidet av Nettverk Risikostyring som er en del av IIA Norge. 1. utgave utgitt januar 2017. Ønsker du mer informasjon, kontakt risikostyring@iia.no eller se vår hjemmeside www.iia.no/ risikostyring IIA Norge Postboks 1417 Vika, 0115 Oslo Besøksadresse: Munkedamsveien 3B, 3. etg. E-post: post@iia.no www.iia.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding