LANSERINGSSEMINAR «VEILEDER FOR RISIKOSTYRINGSFUNSKJONEN» 7. mars 2017 STATOIL Martin Linges vei 33, 1364 Fornebu IIA Norge IIA Norge • IIA Norge er interesseorganisasjonen for alle som arbeider med eller har interesse av fagområdene internrevisjon, governance (virksomhetsstyring), risikostyring, compliance og kontroll. • Foreningens motto er «Fremskritt gjennom deling av kunnskap», og vi har egne nettverk for finans, ledere, statlig sektor, compliance, risikostyring, misligheter og IT-revisjon, for å sette mottoet ut i praksis. 2 Nettverket risikostyring Nettverk Risikostyring http://iia.no/risikostyring/ • Nettverk Risikostyring er en møteplass for folk som jobber med risikostyring, uavhengig av bransje og sektor. • Foruten å gi unike nettverksmuligheter, samler og utvikler nettverket veiledninger og maler til hjelp i arbeidet med risikostyring. • Vi arrangerer medlemsmøter, seminarer og utvikler relevante kurstilbud. 3 Ytterligere hjelpemidler om faget risikostyring 4 GRC Seminar • Et samarbeid mellom Nettverk Compliance og Nettverk Risikostyring 19. oktober 2017 • • • • • Helhetlig risikostyring Operasjonell risikostyring Samspill mellom Compliance og Risikostyring Case Paneldebatt mm. 5 Nettverket risikostyring Nettverkstyrets bønn • Vi ønsker engasjement, innspill, artikkelforfattere, bidragsytere mm. • Ta kontakt om dere ønsker presentasjon for ledelsen/styret om risikostyring. Vi brenner for faget! [email protected] 6 IIA Norge Standarder og veiledere 7 Veileder for risikostyringsfunksjonen Målet med veilederen Veilederen skal beskrive gjeldende beste praksis for risikostyringsfunksjoner uavhengig av bransje, regelverk og størrelse på virksomheten Fokus på helhetlig risikostyring (ERM) i praksis og prinsipper som er gjeldende på tvers av bransjespesifikke veiledere og regulatoriske krav • • • Viktige prinsipper for risikostyring Organisering og avgrensning mot andre funksjoner Fremgangsmåte ved oppbygging av risikostyringsarbeidet i organisasjonen 9 Målet med veilederen 10 Prosessen Arbeidsutvalget har jobbet med veilederen gjennom 2016 Martin Stevens Gjensidige Ayse B. Nordal Undervisningsbygg Petter Kapstad Statoil Ole Martin Kjørstad Norges Bank 11 Prosessen Arbeidsutvalget har jobbet med veilederen gjennom 2016 November 2015 November 2016 Førsteutkast Januar 2017 Høringsrunde Mars 2017 Første versjon 12 Høringsrunden Arbeidsutvalget ønsker å takke for alle bidrag i høringsrunden • • • • • • • • • • • Statoil Helse Nord Gjensidige Yara Finans Norge PwC BDO DFØ Nordea (Norge) Norges Bank GIEK 13 Innledning Hva er helhetlig risikostyring? Hva er helhetlig risikostyring? Strategi og mål - Visjon og verdigrunnlag Strategi og målsetninger Organisasjonsstruktur Policyer og styringsprinsipper Kommunikasjon - ERM Summen av aktiviteter etablert for å evaluere og sikre samsvar mellom vedtatte strategier, forretningsprosesser og kontrollaktiviteter sett i sammenheng med det til enhver tid gjeldende risikobilde - Forretningsprosesser og kontrollaktiviteter - Operasjonelle forretningsprosesser Overvåkende aktiviteter Kontroll- og tilsynsaktiviteter Rapporteringsaktiviteter 15 Risikostyring skjer på ulike nivåer Virksomheten Individet Fokus Utfall1 For virksomheten For individet (Leder eller ansatt) Effekt Typer risiko Eksplisitt uttrykt på virksomhetsnivå Helhetlig risikostyring (Enterprise Risk Management) Ikke eksplisitt uttrykt på virksomhetsnivå Oppgaverisikostyring (Task Risk Management) Lønn og/eller anerkjennelse Personlig risikostyring (Personal Risk Management) - Eierperspektivet - Prioritet på porteføljenivå - Prosjektlederfokus: Leveranse i tråd med prosjektmål (kostnad/tid/kvalitet) - Leder/ansatt blir «styrt» av å oppfylle krav i eget målekortet 16 Risikostyring og internkontroll Risikostyring og internkontroll er begreper som ofte blir omtalt sammen. Ofte blir begrepene tolket både for snevert og adskilt. Risikostyring er mer enn å analysere og rapportere nedsiderisiko Internkontroll handler om styring av en virksomhet Internkontroll kan beskrives som en underprosess av helhetlig risikostyring; summen av styrings- og kontrollmekanismer. 17 Risikostyringsfunksjonen Viktige prinsipper Funksjonens oppgaver og ansvar Veilederen fokuserer på «risikostyringsfunksjonen» Styret eller virksomhetens øverste organ skal «påse at» virksomheten har etablert forsvarlig risikostyring og internkontroll Daglig leder har overordnet operativt ansvar for risikostyringen. Øvrige ledere skal sørge for forsvarlig risikostyring og internkontroll innenfor sine ansvarsområder. 19 Funksjonens oppgaver og ansvar Bistå organisasjonen med å iverksette og implementere en effektiv prosess for å identifisere, vurdere og håndtere risiko. Retningslinjer Rammeverk og prinsipper Selvstendig overvåke risikobildet Flagge utviklingstrender for eksisterende risikoer og potensielt utfall av nye trusler/muligheter Strategiarbeid Risikostyringsfunksjonen bør ha ansvar for å følge opp fremdriften i det samlede risikostyringsarbeidet Kompetanse Terminologi Verktøy Løpende kommunikasjon Rapportering 20 Funksjonens oppgaver og ansvar Funksjonen skal koordinere risikostyringsaktivitetene innenfor ulike fag- og risikoområder Strategi og målsetninger / Styre og ledelse ERM Markedsrisiko Kvalitetsledelse Operasjonell risikostyring Kredittrisiko Compliance Sikkerhet & beredskap 21 Risikoappetitt Det nivå av usikkerhet en organisasjon er villig- og har evne til å påta seg for å kunne gjennomføre sine aktiviteter og realisere sine mål. Risikoappetitt må kunne operasjonaliseres Risikoappetitt handler om både vilje og evne «Risk gaps» – misforhold mellom risiko og forventet avkastning 22 Ansvar og forankring Ansvaret for virksomhetens risikostyring og internkontroll kan ikke delegeres bort fra styret og ledelsen Styret Det operative ansvaret for å legge til rette for, fasilitere og drive risikostyringsarbeidet er et typisk 2. linjeansvar Risikostyring må integreres med øvrig arbeid med strategi- og handlingsplaner Styret og ledelsen må delegere nødvendig myndighet og ansvar til ansvarlig for risikostyringsprosessen Ledelsen Internrevisjon 2. linje Operativ organisasjon Ansvarlig for risikostyring bør ha en direkte kanal til styret 23 Risikostyring og beslutningstaking Det er usikkerhet assosiert med alle beslutninger. God risikostyring handler om å legge til rette for at beslutninger fattes på best mulig grunnlag. Bedre beslutningsgrunnlag kan også styrke evnen til å håndtere et utfall som i utgangspunktet ikke var ønsket. 24 Risikostyring og beslutningstaking Beslutningstaker Utfallsegenskaper Utfall Intern beslutningstaker F.eks: Å drikke en kopp kaffe Deterministisk Kjent og sikker – kaffekoppen er tom Intern beslutningstaker F.eks: Estimering av antall fremtidige studenter i kommune X Stokastisk påvirket av tilfeldigheter Sannsynlighetsfordeling av utfallet er kjent / kan estimeres Intern beslutningstaker F.eks: Introdusere et helt nytt produkt i et marked Stokastisk Sannsynlighetsfordelinge n er ukjent Ekstern beslutningstaker – oppfattet gjennom «what if» scenarioer («known unknowns») F.eks: Opptøyer Kaskade-, snøballeffekter, «fat tailed distribution» «Grey Swan» Ekstern beslutningstaker – ukjent hendelse kommer overraskende («unknown unknowns») F.eks: 9/11 Sannsynligheten kan ikke beregnes med teknikkene vi besitter i dag. Blir ikke oppdaget gjennom «what if» scenarioer «Black Swan» Denne figuren er en oversettelse av opprinnelig versjon som finnes I “Y. Ayse B. Nordal, Risk Management Practices, Decision Making and Corporate Governance, Book of Proceedings", International May Conference on Strategic Management, University of Belgrade, May 2015 25 Organisering Og avgrensning mot andre funksjoner De tre forsvarslinjene 27 Andrelinjen Dels proaktivt og dels reaktivt mandat. Styret Bidra til utvikling og forvaltning Rapportere og aktivt identifisere avvik fra ønsket utvikling Internrevisjon Planlegge og definere Forbedre Evaluere Ledelsen Gjennomføre 2. linje Operativ organisasjon Kontrollere 28 Organisatorisk plassering og mandat Organisatorisk plassering av risikostyringsfunksjonen vil avhenge av virksomheten og modenhetsnivået for helhetlig risikostyring i organisasjonen. - Separat stabsenhet med rapportering til toppledelse og styret Samordnet med andre risiko- og kontrollfunksjoner Forankret i annen rollebeskrivelse Uavhengig av organisering, må funksjonen tilordnes tilstrekkelig mandat, autoritet, kompetanse og ressurser 29 Autoritet, kompetanse og ressurser Husk at risikostyring er et profesjon som krever faglig kompetanse samt relevant bakgrunn og erfaring En faglig karrierestige vil bidra positivt til utvikling av individet og funksjonen 30 Uavhengighet og integritet Ansvar for risikostyringsarbeidet bør i størst mulig grad være uavhengig av den operative virksomheten. Insentiver må støtte opp om uavhengighet og ikke inneholde resultatavhengige komponenter som svekker objektiviteten eller knytter egeninteresse til enkeltdeler av virksomheten. 31 Hva med outsourcing? Ledelsen kan ikke outsource ansvaret for risikostyring. Ved outsourcing av hele eller deler av funksjonen må ledelsen sørge for at alle grunnleggende krav blir ivaretatt. Enkelte lover vil kunne innskrenke muligheten for outsourcing. Outsourcing åpner for å kunne involvere nødvendig spisskompetanse som støtte til faglige vurderinger 32 Oppbygging av risikostyringsarbeidet Fremgangsmåte Rammeverk og standarder Veilederen har ikke som mål å beskrive et spesifikt eksempel på benyttet metodikk og hvordan man kan organisere risikostyringsarbeidet. To standarder / rammeverk har oppnådd internasjonal aksept og er oversatt til norsk. 1. ISO 31000:2009 – Risk Management – Principles and Guidelines 2. COSO:2004 Enterprise Risk Management – Integrated Framework (under revisjon) 34 Utforming av rammeverk i praksis En fellesnevner for eksisterende standarder og rammeverk er at det omfatter metoder og prosesser som brukes av organisasjonen til å styre risiko og utnytte muligheter. Typiske elementer i et rammeverk: - Identifikasjon av interne og eksterne forhold som påvirker virksomhetens målsetninger Fastsettelse av risikoappetitt og risikostyringspolitikk Utforming av risikostyringsfunksjonen og funksjonens ansvarsområder Etablering av interne og eksterne kommunikasjonsmekanismer Tildeling av ressurser til funksjonen Mål og strategier Implementering og oppfølging Tiltak Risikoidentifisering Risikoanalyse 35 12 trinn for implementering 1. Utarbeide mandat, definere roller og rapporteringslinjer 2. Ansette leder for risikostyringsfunksjonen 3. Fastsette policy for implementering av risikostyring 4. Se til at ERM-funksjonen dekker alle typer risiko 5. Styret og ledelsen må definere risikoappetitten 6. Kommunisere implementeringsplan til organisasjonen 7. Definere karrierestige for risikostyring 8. Definer og etabler tilknyttede roller i organisasjonen 9. Sørg for regelmessig kommunikasjon og rapportering knyttet til risikoeksponering 10. Kommunikasjon vedrørende risiko må være proaktiv og risikoeierskap må allokeres 11. Arbeidsformen må sikre tett samarbeid med strategi- og linjefunksjoner 12. Årlig / periodisk rapportering til styret 36 Årsaker til at etablering mislykkes • Uklar visjon, manglende verdigrunnlag og dårlig formulerte strategier • Manglende kobling mellom strategiske mål og risikostyring • Uklart mandat og manglende forståelse for ansvarsfordeling • Ansvarlig med manglende generell risikostyringskompetanse og strategisk forståelse • Manglende styring og oppfølging av IT-risiko • Manglende fokus på utvikling og endring i risikobildet • Manglende forankring og forståelse for nytte av risikostyringsarbeidet i organisasjonen • Uklar organisering og ansvarsdeling mellom risikostyringsfunksjonen og risikoeiere • Usunn konkurranse (profesjonskrig) mellom beslektede funksjoner • Manglende helhetlig fokus • Manglende eierskap til systemverktøy • • Verktøy benyttes uten at begrensninger er tatt hensyn til Mangelfulle risikoanalyser og analyser basert på svake eller ikke beskrevne forutsetninger • Manglende kvalitetssikring av analyser • Kultur som ikke legger til rette for åpenhet • • Manglende prioritering av vesentlige risikoer • Manglende forståelse for samvariasjon mellom risikoer Manglende helhetlig fokus i rapportering og ulike formater/premisser for risikovurderinger som hindrer aggregering 37 Husk: Risikoen er der – hvorfor ikke styre den? 38 Tilbakemeldinger • Forsyn dere dere med kaffe mm. • Drøft med naboen (oppnevn en ordstyrer) – Kjenner dere dere igjen i Veilederen? – Kom med spørsmål, synspunkter, kommentarer ang. Veilederen 39
© Copyright 2024