Moduler videreutdanning Enterprise Risk Managemen ( Helhetlig og integrert risikoledelse) høsten 2011 Modul Dato Tittel Detaljert kursinnhold Målsetting 0 1/9 Innledning Modulen introduserer studentene 0,1 Definisjon av risiko 0.2 Effekt av risiko på organisasjoner 0.3 Typer av risiko 0.4 Utvikling av ERM 0.5 Prinsipper og mål for risikoledelse 0.6 ERM-rammeverk 0.7 Historikk, utvikling 0.8 Introduksjon til moderne riskhåntering 0.9 Indre og ytre drivkrefter 0.10 ERM/Corporate governance/virksomhetsstyring 0.11 Struktur og begrep for generelle begreper innenfor risk managemen(risikoledelse og ERM (helhetlig og integrert risikoledelset. Risikobegrepet, samt begreper i tilknytning hertil, presenteres og diskuteres. Dessuten gennemgås kort risk managements historie(risokoledelseshistorien, og den aktuelle risk management- og ERM-praksis diskuteres Definisjon av risiko: inneholder flere definisjoner av risiko fra anerkjente kilder og utforsker fordelene og relevansen av hver definisjon. Virkningen av risiko på organisasjoner: utforsker art, årsak og potensielle effekter av risiko, herunder vurdering av alternativer for justere risikoer til misjon, mål og nøkkelavhengigheter. Typer av risiko: gjennomgang av hvilke typer risikoer som kan påvirke en organisasjon avhengig av om risikoen er et hinder, kontrolerbar eller en mulighet. Utvikling av ERM: skisserer utviklingen av risikoledelse fra forsikring på midten av 1950- tallet i USA til vår tid med fokus på helhetlig og Copyright Institutt for risikoledelse 07/07/2011 Side 1 av 14
integrert risikoledelse (ERM) Prinsipper og mål for risikoledelse: skiller mellom den implisitte håndtering av risikoer som alle organisasjoner foretar og formalisert og eksplisitt tilnærming til ERM ERM-rammeverk: utforsker hovedtrekkene i ISO 31000, AS/NZS : 31000, BS 31100, samt vurderer betydningen av COSO, Turnbull, CoCo, og andre. 1 8/9 Risiko 1.2. Noen definisjoner av oppside / nedside risiko 1.3. Hvorfor er risiko interessant? 1.4. Hva skaper risiko? risikodrivere? 1.5. Risiko i forandring 1.6. Risikokultur 2 15/9 ERM 2.1. Hva er ERM? 2.2. ERM og Corporate Governance 2.3. Visjoner, mål, strategier og ERM 2.4. Målsettingen med ERM-systemet 2.5. Fordelene ved ERM 3 22/9 Organisasjonen og 3.1. Kommersielt drevne krav behovet for ERM 4 29/9 ERM-systemet, ERM-prosessen og ORM-prosessene 3.2. Juridisk drevne krav 4.1. ERM- systemet 4.2. ERM-prosessen 4.3 ORM-prosesser 4.3 Vårt ERM-system 1. Samling 6/10 SAMLING 5 13/10 Bedriftsmiljøet miljøet 5.1. Formalisering og dokumentasjo 5.2. Sammenhengen mellom ERM og organisasjnens visjoner, mål og strategie 5.3 ERM-kultur 5.4. Det eksterne miljøet Risikooppmerksomhetskultur: vurderer Copyright Institutt for risikoledelse 07/07/2011 Side 2 av 14
kjennetegnene på en risiko oppmerksomhetskultur og diskuterer hvordan en slik kultur kan måles og hva som kan undergrave en risikooppmerksomhetskultur 6 20/10 Etablering av ERMkontekst 6.1. Den strategisk planen som del av ERMkontekst 6.2. Komponenter i Risikopolicyen 6.3. Risikokategorisering og kommunikasjon 6.4. Organisering og ansvar i ERM-systemet ERM-policy: beskriver de grunnleggende funksjonene til en ERM-policy og alternativene for utvikling og implementeringen av en ERMpolicy Opplæring og kommunikasjon: skisserer betydningen av god kommunikasjon i en risikooppmerksomhetsorganisasjon og diskuterer risikoopplæringen som er nødvendig for å støtte kulturen (Se dessuten Kommunikasjon og konsultasjon) Ansvarsforhold og myndighet for ERM: drøfter graden av ansvar for risikoledelse som må fordeles, og hvordan disse vil bli delegert og følges opp i praksis. (1. til 3 linje) 7 27/10 Den sykliske kjerneprosessen (Innledning A) 7.1. Generelt om kjerneprosessen 7.2 Risikoidentifisering 7.3 Risikoanalyse 7.4 Risikoevaluering 7.5 Risikotiltak 7.6 Risikorapportering Gir studente en forståelse for viktige begreber og konkret praksis innen for den systematiske og organisatoriske kjerneprosessen. Modulen begynner med utviklingen av en vurderingsramme basert på ERMkonseptet. Deretter følger en Copyright Institutt for risikoledelse 07/07/2011 Side 3 av 14
diskusjon av identifiseringsmetoder. Hovedvekten i denne modulen vil være en diskusjon av risikoanalysens grunnprinsipper og anvendelsesmuligheter samt en presentation av prinsipperne, som vedrører måling av risikoer. 8 3/11 Den sykliske kjerneprosessen (B) Risikovurdering (identifisering, analyse, evaluering) 8.1 Risikovurderingsteknikker 8.2 Risikoklassifiseringssystemer 8.3 Risiko sannsynlighet og konsekvens 8.4 Redusere sannsynligheten for at risikoen finner sted 8.5 Redusere konsekvensen av risikoen 8.6Business kontinuitetsplanlegging Risikovurderingsteknikker: vurderer teknikker for å gjennomføre risikovurderinger, herunder identifisering, analyse og evaluering og prioritering av hver risiko, samt midler til å bestemme når en risiko er akseptabel. Risikoklassifiseringssystemer: gjennomgang av flere risikoklassifiseringssystemer, inkludert FIRM Risk Scorecard, COSO kategorier og andre anerkjente kilder Risiko sannsynlighet og konsekvens: beskriver ulike typer risiko i henhold til mulig sannsynlighet og konsekvensen av risiko som materialiserer seg og som fører til en diskusjon om katastrofale risikoer Redusere sannsynligheten for at risikoen finner sted(inntreffer): Forklarer behovet for å finne passende og forholdsmessige kontrolltiltak for å redusere sannsynligheten for at risikoen oppstår, og som fører til konseptet med skadeforebygging. Copyright Institutt for risikoledelse 07/07/2011 Side 4 av 14
Redusere konsekvensen av risikoen: beskriver når en risiko kan være vesentlig, og behovet for benchmarkingtester for betydningen av risikoen, herunder betydningen av katastrofegjenopprettingsplaner Business kontinuitetsplanlegging: vurderer det bredere begrepet Business Continuity Planning som har katastrofegjenopprettingsplanlegging som en viktig komponent 9 10/11 Den sykliske kjerneprosessen (C) Risikotiltak / Risikorespons 9.1 Enterprise risk management=helhetlig og integrert risikoledelse 9.2 Viktigheten av risikoappetitt 9.3 Iboende og dagens nivå på risikoen 9.4 Risikotoleranse, håndtering, overføring og oppsigelse 9.5 Tapsforebygging, skadebegrensning og kostnadsoppdemning 9.6 Forsikring og risiko overføring Enterprise risk management=helhetlig og integrert risikoledelse: beskriver prinsippene for kontroller av risikoer og gir eksempler på risikokontrollteknikker for de viktigste typer risiko Viktigheten av risikoappetitt: utforsker de ulike definisjonene av risikoappetitt og diskuterer relevansen av risikoappetitt når tiltak utvikles for potensielt betydelige risikoer. Iboende og dagens nivå på risikoen: forklarer betydningen av den iboende risiko og den kritiske viktigheten av kontrolltiltak som reduserer det iboende nivået til et langt lavere nivå. Copyright Institutt for risikoledelse 07/07/2011 Side 5 av 14
Iboende risiko (Inherent risk) "Iboende risiko" er sannsynligheten for at en regnskapspåstand kan inneholde feil som, enten enkeltvis eller sammen med andre feil, kan medføre vesentlig feilinformasjon, når man forutsetter at det ikke eksisterer tilhørende interne kontroller. Risikotoleranse, håndtering, overføring og oppsigelse: beskriver risiko tiltak som risikotoleranse, håndtering, overføring og avslutning, med særlig vekt på betydningen av forsikring og risikofinansiering Tapsforebygging, skadebegrensning og kostnadsoppdemning: gir beskrivelser av kontroller mot tap med forklaring om stadier av tapsforebygging, skadebegrensning og kostnadsoppdemning Forsikring og risiko overføring: vurderer aspekter ved forsikring, risikofinansiering og andre mekanismer for risikooverføringen som dekker de viktigste klassene av forsikring 2.samling 17/11 SAMLING 10 24/11 Risikorapportering Risikobekreftelse og rapportering 10.1 Evaluering av kontrollmiljø 10.2 Internrevisjonsfunksjonen og aktiviteter 10.3 Risikobekreftelsesteknikker 10.4 ERM-rapportering 10.5 Samfunnsansvar 10.6 Fordeler med ERM Evaluering av kontrollmiljø: fokuserer på betydningen av kontrollaktiviteter og beskrivelse av den bredere kontekst av kontrollmiljøet og hvordan man skal vurdere det Internrevisjonsfunksjonen og aktiviteter: Beskriver hensikt, prinsipper og aktiviteter for Copyright Institutt for risikoledelse 07/07/2011 Side 6 av 14
internrevisjonen i en organisasjon, inkludert den typiske rapporteringsstruktur og merverdien av internrevisjon Risikobekreftelsesteknikker: Beskriver kildene til risikobekreftelse som er tilgjengelige for en organisasjon, inkludert bruk av kontrolltiltak gjennom selvevaluering og aktivitetene til internrevisjonen ERM-rapportering: beskriver typer risikoer, relaterte undersøkelser som kan foretas og behovet for å nedtegne og og rappore risikoer, blant annet skissering av Sarbanes-Oxley krav Samfunnsansvar: beskriver omfanget av organisasjonens samfunnsansvar og dens forhold til risikoledelsesaktiviteter, med vektlegging på bredere omdømmemessige risikoeksponeringer Fordeler med ERM: vurderer de samlede fordelene med et helhetlig og integrert risikoledelsesinitiativ i en organisasjon og gjennomgang av barrierer og suksessfaktorer 11 1/12 Håndtering og overvåkning av risiko Risikobekreftelsesdokumentasjon: beskriver nøkkeltyper på risikobekreftelsesdokumentasjon som kan være nødvendig, blant annet registreringer av risikovurderinger, undersøkelser av hendelser, revisjonsrapporter og risikoregistre 11.1. Iverksettelsen av foreslåtte tiltak 11.2. Måling av den enkelte risiko og konsekvensen av tiltak på kort og lang sik Modulen arbeider med den brede definisjonen av risikokontroll(håndtering og overvåking av risikoer). Dette skal føre til en målrettet diskusjon av Copyright Institutt for risikoledelse 07/07/2011 Side 7 av 14
måleredskaper innenfor risikokontrol en diskussion, som til dels vil gi studentene innsikt i risikokontrollens spesifikke fordeler og til dels innsikt i den overordnede ledelsesinnsatsen i håndtering og overvåking av risikoer. 12 1/12 ERM Systemevaluering og gjennomgan 12.1. ERMSE (ERM SystemEvaluering) 12.2. Internrevisjonens eller uavhengig tredjeparts tilsyn og gjennomgang 13 8/12 ERM-Prosjekt 13.1 De ulike rollene i ERM-prosjektet 13.2 Overblikk over ERM-prosjektet 13.3 Definere mandat og målsetninger 13.4 ERM-prosjektet, realisering av styrevedtak 14 15/12 Forsikring (Risikofinansiering)/ Risikoøkonomi og risikoledelse 14.1? 14.2? 14.3? etc For Risikofinansiering Modulen fokuserer på utviklingen av en overordnet ramme til forståelse av det brede spekteret av finansieringsmekanismer, som er tilgjengelige i dag. Aktuelle metoder til håndtering av finansielle risikoer introduseres og sammenlignes. Det generelle mål og formål med risikofinansiering blir også diskuteret. Modul 19: kap Det offentlige og kommunale risikolands EKSTRA MODULER Enhet en: Ledelse i offentlig sektor. Diskuter hva som menes med begrepet "Offentlig sektor", og hvordan denne sektoren har endret seg de siste 20 årene. Demonstrere en vurdering av de viktigste organisasjonsteori etiske saker som preger ledelse av offentlig sektor Identifiser innflytelsen som disse endringene har hatt på risikoene offentlig sektor risiko og deres Det finnes en rekke sentrale mål med denne modulen. Disse er å gi studentene: En klar forståelse av offentlig sektor og ERM En grundig forståelse av begrepene rundt "offentlig" Copyright Institutt for risikoledelse 07/07/2011 Side 8 av 14
håndtering. Enhet To: Hva er offentlig ERM (OERM)? Diskuterer risiko i offentlig sektor og skissere sektorens historiske tilnærming til ERM. Diskuterer den siste utviklingen av OERM og analysere den spesifikke årsakene til veksten i OERM, ved å bruke eksempler på ERM i offentlig sektor fra utlandet først og fremst engelsktalende land. Enhet Tre: Håndtere offentlig risiko. Identifiserer hva som menes med denne type risiko og drøfte rollen som ulike offentlige organer spiller i å håndtere den. Analyser problemstillinger rundt ledelse og regulering. risiko og ERM ledelse En grundig forståelse av konteksten som offentlig sektor opererer i og som må håndteres En vurdering av forskjellene, og i noen tilfeller likheter, mellom ERM i offentlig sektor og ERM i den private sektor Ved bruk av konkrete, virkelige eksempler, en detaljert redegjørelse for praktiske implementeringen av ERM i offentlig sektor Enhet Fire: Forskjellene mellom ERM i offentlig og privat sektor. Identifiser de viktigste driverne for å styre risikoen i privat sektor og sammenligner og ser på kontrastene med driverne i offentlig sektor. Diskuter fordeler og begrensninger til å benytte private metoder i offentlig sektor. Enhet fem: Rollen til sentrale myndigheter for implementeringen av OERM Undersøker og drøfter hvordan sentrale myndigheter påvirker utviklingen av ERM i den offentlig sektor gjennom sin rolle i regulering, forvaltning og ledelse. Enhet Seks: Risiko finansiering i offentlig sektor. Identifiserer og gir forståelse av de sentrale risikofinansieringserktøy tilgjengelig for offentlig sektor, og identifisere de ulike verktøyene som er tilgjengelige og som brukes av privat sektor. Copyright Institutt for risikoledelse 07/07/2011 Side 9 av 14
Forstår betydningen av hvordan private sektor finansierer risiko når den arbeider med offentlig sektor. Enhet syv: ERM og offentlig sektor Supply Chain (Leveringskjeden). Identifiser omfang og utvalg av leveransekjeder for tjenester offentlige tjenester. Diskuterer innvirkningen som spådde kutt i offentlige utgifter kan ha på leveransekjedespørsmål. Vær klar over prinsippene i offentlige finansersinitiativer og de internasjonale implementeringen av disse prinsippene. Skissere de viktigste teoriene bak outsourcing og drøfter dennes relevans i dagens økonomiske klima. Enhet åtte: Internasjonale perspektiver. Bruke finanskrisen som et eksempel, diskuterer konsekvensene av offentlige risikoer på tvers av grenser og hvordan internasjonalt samarbeid kan arbeide for å utvikle et risiko kontrollmiljø. Forstå hvordan utviklsland bruker ERM-verktøy for å støtte utviklingsprosjekter og være klar over de miljømessige utfordringene disse landene kan møte. Enhet Ni: En utvidet casestudie: Hvordan håndtere risikoen rundt levering av lokale offentlige tjenester i Norge. Viser hovedelementene i den norske regjeringens modell for å forbedre kvaliteten på lokalsamfunnene gjennom levering av lokale offentlige tjenestene. Diskuter utfordringene denne modellen presenterer for håndtering av risiko for levering av slike tjenester Modul 20: Enhet 1: ISO Introduksjon Copyright Institutt for risikoledelse 07/07/2011 Side 10 av 14
ISO 31000:2009 og ISO/SE 78:200 31000:2009 Denne delen introduserer ISO 31000:2009 og dens viktigste komponenter. Oversikt over ISO 31000 Risk Management(Risikoledelses standarder - BS 31100:2008 - AS / NZS 4360 Risk Management Standard - COSO - Enterprise Risk Management - Governancestandarder Forholdet mellom ISO 31 000 til AS / NZS 4360 ISO / IEC Guide 73 - Vokabular Enhet 2. Risiko og forordning Denne delen sammenligner de nyeste forskrifter om risikoledelse og identifiserer felles og nye regulatoriske beste praksis. Forordninger - Bank - Basel II og APRA - Forsikring - APRA og Solvens II Forordning for bedrifter Ratingbyråenes krav Fremvoksende forordningen etter den globale finanskrisen - The Walker Review - Senior Veilederne Group - Financial Stability Forum - Risiko og Godtgjørelse Enhet 3. Myndighetskrav Denne delen identifiserer detaljerte krav i regelverket om RM-rammeverk og organisering. RM-rammeverk - Roller og ansvar Copyright Institutt for risikoledelse 07/07/2011 Side 11 av 14
- Rollen til styret og dets komiteer - Rollen til ledere - Rollen til Chief Risk Officer - Rollen til RM-funksjon (er) - Rollen som revisor - Rollen til Actuaries Komponentene i er RMrammeverk/system - Risk Governance - Risikokultur - Risikoappetitt og toleranser - Risikoovervåking - Key Risk Indicators (KRI er) Mundighetskrav Beste Praksis Enhet 4. ISO 31000 - Komponenter Denne delen beskriver ISO 31000:2009 i detalj. ISO 31000 - Prinsipper for risikoledelse(rm) - Prinsipper for risikoledelse(rm) - Justering av prinsipper ut ifra regelverkskrav - Konsekvenser av RM-prinsipper ISO 31000:2009 RM-rammeverk - Mandat og engasjement - utforming/design av RM-rammeverk - Implementing av Risk Management(Risikoledelse) - Overvåking og gjennomgang av RMrammeverket - Kontinuerlig forbedring av RMrammeverket - RM-prosessen - Justering av RM-rammeverket til regelverkskrav Copyright Institutt for risikoledelse 07/07/2011 Side 12 av 14
ISO 31000:2009 Attributter for forbedret Risk Management(risikoledelse) - Attributter for en vellykket implementering - Et mål på risikokultur - En RM-modenhetsmodell Konsekvenser av ISO 31000:2009 Enhet 5. Bruke ISO 31000:2009 som et regelverk/rammeverk for forordninger Denne delen beskriver bruken ISO 31000:2009 for å etterkomme krav i regelverket. Beste Praktis i å handle i overensstemmelse med krav i regelverket Beste Praktis RM-model Knytte ISO 31000:2009 opp i mot Beste Praksis modell for overenstemmelse med regelverk - Roller og ansvar - Organisasjonsmodell - Prosess modell - System modell Enhet 6. Fordeler og ulemper med ISO 31000:2009 Denne delen identifiserer noen av fordelene og ulempene ved å bruke ISO 31000:2009 for å etterkomme krav i regelverket. Fordeler og ulemper - Å vedta standarder - Å vedta ISO 31000-standarden Copyright Institutt for risikoledelse 07/07/2011 Side 13 av 14
Modul 21: Ansvarsforhold og myndighet for ERM: - Å involvere seg i beste praksis for regelverkskrav Gap i ISO 31000 Gjennomføringsproblemer Drøfter graden av ansvar for risikoledelse som må fordeles, og hvordan disse vil bli delegert og følges opp i praksis. (1. til 3 forvarslinje) Risk Manager funksjon C Ytterligere detaljering: Hvilke oppgaver en Risk Manager bør ha, samspillet med den øvrige organisasjonen, håndtering av uønsket risiko 8trussel) og ønsket risiko (muligheter), ERM-kvalifikasjoner Copyright Institutt for risikoledelse 07/07/2011 Side 14 av 14