Veileder for risikostyringsfunksjonen. 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

Like dokumenter
LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN»

Sammenligning av ledelsesstandarder for risiko

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Hva mener vi med moderne risikostyring?

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko Ayse NORDAL UNDERVISNINGSBYGG OSLO KF

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

VEILEDER FOR RISIKOSTYRINGS- FUNKSJONEN

CASE. Polyteknisk forening Styrenettverk. 10. april 2018

Risikomodenhet en enkel modell. Ayse Nordal & Ole Martin Kjørstad K&R DAGENE

VEILEDER FOR RISIKOSTYRINGSFUNKSJONEN. Formatert: Midtstilt

Styret i en virksomhet har et lovfestet

Hva kjennetegner god Risikostyring?

Spørsmål et styre bør stille for å forstå hvordan en virksomhet styrer sine risikoer

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Veileder risikostyringsfunksjonen

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Policy for Antihvitvask

Risikostyringsfunksjonen

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Få en bedre risikoforståelse på 20 minutter

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Revisjon av styring og kontroll

Norsox. Dokumentets to deler

Veiledning- policy for internkontroll

Styring og intern kontroll.

Prinsipper for virksomhetsstyring i Oslo kommune

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

Om virksomhetsstyring

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

ERM risikostyring i praksis i Gjensidige - risikoappetitt som en del av helhetlig risikostyring. Jostein Amdal Chief Risk Officer

Virksomhetsstyring i Bane NOR SF

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Rammeverk for risikostyring i Helse Midt-Norge

Hva er risikostyring?

Styresak Vedlegg 3. Prinsipper for internkontroll og risikostyring Innspill fra styret er innarbeidet

FinAut som en del av Compliance

Eierstyring og selskapsledelse

Aggregering av risiko - behov og utfordringer i risikostyringen

Aktuarrollen Mai 2012

Effektiv risikostyring og intern kontroll

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Styret i Sykehusinnkjøp HF 08.februar 2017

Helseforetakenes senter for pasientreiser ANS 1/2016

Risikostyring skal bidra til å sikre virksomhetens måloppnåelse gjennom:

Integrering av IT i virksomhetens helhetlige risikostyring

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Programbeskrivelse. Versjon Program for administrativ forbedring og digitalisering

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Veiledning om risikostyring. (Oppdatert 18. september 2012, redaksjonelle oppdateringer 21. august 2019)

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Internkontroll i Gjerdrum kommune

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Risikostyring Intern veiledning

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Saksframlegg Referanse

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Uavhengig attestasjonsoppdrag for Norges Banks representantskap vedrørende risikostyringen i Norges Bank Investment Management. Oppdraget omfatter en

Samarbeidsforum internkontroll

VEILEDER FOR COMPLIANCE- FUNKSJONEN

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

H O V E D P R I O R I T E R I N G E R. hovedprioriteringer petroleumstilsynet 2015

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

IKT-revisjon som del av internrevisjonen

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Egenevaluering av internkontrollen

Ny styringsmodell for informasjonssikkerhet og personvern

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Policy for Eierstyring og Selskapsledelse

Et skolebygg å være stolt av!

Internkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter

Gjelder fra: Godkjent av: Camilla Bjørn

Gjelder fra: Godkjent av: Fylkesrådet

Group Compliance DNB 24. september 2019

Policy for informasjonssikkerhet og personvern i Sbanken ASA

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Vedlegg 1 til retningslinje Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser.

Oppfølging etter Deepwater Horizon - Status og veien videre

Instruks for konsernrevisjonen Helse Sør-Øst

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

BÆRUM KOMMUNE. Bærum kommune LEDELSESPOLICY. Vedtatt i Rådmannens medbestemmelsesmøte

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Strategi: Hvordan lage noe mer enn bare planer? Bergen Næringsråd, Kjapt & Nyttig

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Klimarisikoutvalget. 12. desember 2018

Kundecase: Forbedring av Request Fulfillment prosess

Transkript:

Veileder for risikostyringsfunksjonen 30. mai 2017 IIA Norge Årskonferansen Martin Linges vei 2, 1364 Fornebu

Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav Viktige prinsipper for risikostyring Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 2

Målet med veilederen 3

Prosessen Arbeidsutvalget har jobbet med veilederen gjennom 2016 Martin Stevens Gjensidige Ayse B. Nordal Undervisningsbygg Petter Kapstad Statoil Ole Martin Kjørstad Norges Bank 4

Prosessen Arbeidsutvalget har jobbet med veilederen gjennom 2016 November 2015 November 2016 Januar 2017 Mars 2017 Førsteutkast Høringsrunde Første versjon 5

Høringsrunden Arbeidsutvalget ønsker å takke for alle bidrag i høringsrunden Statoil Helse Nord Gjensidige Yara Finans Norge PwC BDO DFØ Nordea (Norge) Norges Bank GIEK 6

Innledning Hva er helhetlig risikostyring?

Hva er helhetlig risikostyring? Strategi og mål - Visjon og verdigrunnlag - Strategi og målsetninger - Organisasjonsstruktur - Policyer og styringsprinsipper Kommunikasjon ERM - Summen av aktiviteter etablert for å evaluere og sikre samsvar mellom vedtatte strategier, forretningsprosesser og kontrollaktiviteter sett i sammenheng med det til enhver tid gjeldende risikobilde Forretningsprosesser og kontrollaktiviteter - Operasjonelle forretningsprosesser - Overvåkende aktiviteter - Kontroll- og tilsynsaktiviteter - Rapporteringsaktiviteter 8

Fokus Individet Virksomheten Risikostyring skjer på ulike nivåer Utfall 1 Effekt Typer risiko For virksomheten Eksplisitt uttrykt på virksomhetsnivå Helhetlig risikostyring (Enterprise Risk Management) - Eierperspektivet - Prioritet på porteføljenivå Ikke eksplisitt uttrykt på virksomhetsnivå Oppgaverisikostyring (Task Risk Management) - Prosjektlederfokus: Leveranse i tråd med prosjektmål (kostnad/tid/kvalitet) For individet (Leder eller ansatt) Lønn og/eller anerkjennelse Personlig risikostyring (Personal Risk Management) - Leder/ansatt blir «styrt» av å oppfylle krav i eget målekortet 9

Risikostyring og internkontroll Risikostyring og internkontroll er begreper som ofte blir omtalt sammen. Ofte blir begrepene tolket både for snevert og adskilt. Risikostyring er mer enn å analysere og rapportere nedsiderisiko Internkontroll handler om styring av en virksomhet Internkontroll kan beskrives som en underprosess av helhetlig risikostyring; summen av styrings- og kontrollmekanismer. 10

Risikostyringsfunksjonen Viktige prinsipper

Funksjonens oppgaver og ansvar Veilederen fokuserer på «risikostyringsfunksjonen» Styret eller virksomhetens øverste organ skal «påse at» virksomheten har etablert forsvarlig risikostyring og internkontroll Daglig leder har overordnet operativt ansvar for risikostyringen. Øvrige ledere skal sørge for forsvarlig risikostyring og internkontroll innenfor sine ansvarsområder. 12

Funksjonens oppgaver og ansvar Bistå organisasjonen med å iverksette og implementere en effektiv prosess for å identifisere, vurdere og håndtere risiko. Selvstendig overvåke risikobildet Flagge utviklingstrender for eksisterende risikoer og potensielt utfall av nye trusler/muligheter Risikostyringsfunksjonen bør ha ansvar for å følge opp fremdriften i det samlede risikostyringsarbeidet Verktøy Rammeverk og prinsipper Kompetanse Retningslinjer Strategiarbeid Terminologi Løpende kommunikasjon Rapportering 13

Funksjonens oppgaver og ansvar Funksjonen skal koordinere risikostyringsaktivitetene innenfor ulike fag- og risikoområder Strategi og målsetninger / Styre og ledelse ERM Markedsrisiko Kvalitetsledelse Operasjonell risikostyring Compliance Kredittrisiko Sikkerhet & beredskap 14

Risikoappetitt Det nivå av usikkerhet en organisasjon er villig- og har evne til å påta seg for å kunne gjennomføre sine aktiviteter og realisere sine mål. Risikoappetitt må kunne operasjonaliseres Risikoappetitt handler om både vilje og evne «Risk gaps» misforhold mellom risiko og forventet avkastning 15

Ansvar og forankring Ansvaret for virksomhetens risikostyring og internkontroll kan ikke delegeres bort fra styret og ledelsen Det operative ansvaret for å legge til rette for, fasilitere og drive risikostyringsarbeidet er et typisk 2. linjeansvar Styret Ledelsen Risikostyring må integreres med øvrig arbeid med strategi- og handlingsplaner Internrevisjon 2. linje Styret og ledelsen må delegere nødvendig myndighet og ansvar til ansvarlig for risikostyringsprosessen Operativ organisasjon Ansvarlig for risikostyring bør ha en direkte kanal til styret 16

Risikostyring og beslutningstaking Det er usikkerhet assosiert med alle beslutninger. God risikostyring handler om å legge til rette for at beslutninger fattes på best mulig grunnlag. Bedre beslutningsgrunnlag kan også styrke evnen til å håndtere et utfall som i utgangspunktet ikke var ønsket. 17

Risikostyring og beslutningstaking Beslutningstaker Utfallsegenskaper Utfall Intern beslutningstaker F.eks: Å drikke en kopp kaffe Intern beslutningstaker F.eks: Estimering av antall fremtidige studenter i kommune X Intern beslutningstaker F.eks: Introdusere et helt nytt produkt i et marked Ekstern beslutningstaker oppfattet gjennom «what if» scenarioer («known unknowns») F.eks: Opptøyer Ekstern beslutningstaker ukjent hendelse kommer overraskende («unknown unknowns») F.eks: 9/11 Deterministisk Stokastisk påvirket av tilfeldigheter Stokastisk Kaskade-, snøballeffekter, «fat tailed distribution» Sannsynligheten kan ikke beregnes med teknikkene vi besitter i dag. Blir ikke oppdaget gjennom «what if» scenarioer Kjent og sikker kaffekoppen er tom Sannsynlighetsfordeling av utfallet er kjent / kan estimeres Sannsynlighetsfordelinge n er ukjent «Grey Swan» «Black Swan» Denne figuren er en oversettelse av opprinnelig versjon som finnes I Y. Ayse B. Nordal, Risk Management Practices, Decision Making and Corporate Governance, Book of Proceedings", International May Conference on Strategic Management, University of Belgrade, May 2015 18

Organisering Og avgrensning mot andre funksjoner

De tre forsvarslinjene 20

Andrelinjen Dels proaktivt og dels reaktivt mandat. Styret Bidra til utvikling og forvaltning Rapportere og aktivt identifisere avvik fra ønsket utvikling Ledelsen Planlegge og definere Internrevisjon 2. linje Forbedre Gjennomføre Operativ organisasjon Evaluere Kontrollere 21

Organisatorisk plassering og mandat Organisatorisk plassering av risikostyringsfunksjonen vil avhenge av virksomheten og modenhetsnivået for helhetlig risikostyring i organisasjonen. - Separat stabsenhet med rapportering til toppledelse og styret - Samordnet med andre risiko- og kontrollfunksjoner - Forankret i annen rollebeskrivelse Uavhengig av organisering, må funksjonen tilordnes tilstrekkelig mandat, autoritet, kompetanse og ressurser 22

Autoritet, kompetanse og ressurser Husk at risikostyring er et profesjon som krever faglig kompetanse samt relevant bakgrunn og erfaring En faglig karrierestige vil bidra positivt til utvikling av individet og funksjonen 23

Uavhengighet og integritet Ansvar for risikostyringsarbeidet bør i størst mulig grad være uavhengig av den operative virksomheten. Insentiver må støtte opp om uavhengighet og ikke inneholde resultatavhengige komponenter som svekker objektiviteten eller knytter egeninteresse til enkeltdeler av virksomheten. 24

Hva med outsourcing? Ledelsen kan ikke outsource ansvaret for risikostyring. Ved outsourcing av hele eller deler av funksjonen må ledelsen sørge for at alle grunnleggende krav blir ivaretatt. Enkelte lover vil kunne innskrenke muligheten for outsourcing. Outsourcing åpner for å kunne involvere nødvendig spisskompetanse som støtte til faglige vurderinger 25

Oppbygging av risikostyringsarbeidet Fremgangsmåte

Rammeverk og standarder Veilederen har ikke som mål å beskrive et spesifikt eksempel på benyttet metodikk og hvordan man kan organisere risikostyringsarbeidet. To standarder / rammeverk har oppnådd internasjonal aksept og er oversatt til norsk. 1. ISO 31000:2009 Risk Management Principles and Guidelines 2. COSO:2004 Enterprise Risk Management Integrated Framework (under revisjon) 27

Utforming av rammeverk i praksis En fellesnevner for eksisterende standarder og rammeverk er at det omfatter metoder og prosesser som brukes av organisasjonen til å styre risiko og utnytte muligheter. Mål og strategier Typiske elementer i et rammeverk: - Identifikasjon av interne og eksterne forhold som påvirker virksomhetens målsetninger - Fastsettelse av risikoappetitt og risikostyringspolitikk - Utforming av risikostyringsfunksjonen og funksjonens ansvarsområder - Etablering av interne og eksterne kommunikasjonsmekanismer - Tildeling av ressurser til funksjonen Implementering og oppfølging Tiltak Risikoanalyse Risikoidentifisering 28

12 trinn for implementering 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10. Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11. Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12. Årlig / periodisk rapportering til styret 29

Årsaker til at etablering mislykkes Uklar visjon, manglende verdigrunnlag og dårlig formulerte strategier Manglende kobling mellom strategiske mål og risikostyring Uklart mandat og manglende forståelse for ansvarsfordeling Ansvarlig med manglende generell risikostyringskompetanse og strategisk forståelse Manglende helhetlig fokus Manglende eierskap til systemverktøy Verktøy benyttes uten at begrensninger er tatt hensyn til Kultur som ikke legger til rette for åpenhet Manglende prioritering av vesentlige risikoer Manglende forståelse for samvariasjon mellom risikoer Manglende styring og oppfølging av IT-risiko Manglende fokus på utvikling og endring i risikobildet Manglende forankring og forståelse for nytte av risikostyringsarbeidet i organisasjonen Uklar organisering og ansvarsdeling mellom risikostyringsfunksjonen og risikoeiere Usunn konkurranse (profesjonskrig) mellom beslektede funksjoner Mangelfulle risikoanalyser og analyser basert på svake eller ikke beskrevne forutsetninger Manglende kvalitetssikring av analyser Manglende helhetlig fokus i rapportering og ulike formater/premisser for risikovurderinger som hindrer aggregering 30

Husk: Risikoen er der hvorfor ikke styre den? 31

Kontakt og tilbakemeldinger Vi ønsker engasjement, innspill, artikkelforfattere, bidragsytere mm. Ta kontakt om dere ønsker presentasjon for ledelsen/styret om risikostyring. Vi brenner for faget! risikostyring@iia.no 32

GRC Seminar Et samarbeid mellom Nettverk Compliance og Nettverk Risikostyring 19. oktober 2017 Helhetlig risikostyring Operasjonell risikostyring Samspill mellom Compliance og Risikostyring Case Paneldebatt mm. 33

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding