Lansering av veilederen.

LANSERINGSSEMINAR
«VEILEDER FOR
RISIKOSTYRINGSFUNSKJONEN»
7. mars 2017
STATOIL
Martin Linges vei 33, 1364 Fornebu
IIA Norge
IIA Norge
• IIA Norge er interesseorganisasjonen for alle som
arbeider med eller har interesse av fagområdene
internrevisjon, governance (virksomhetsstyring),
risikostyring, compliance og kontroll.
• Foreningens motto er «Fremskritt gjennom deling
av kunnskap», og vi har egne nettverk for finans,
ledere, statlig sektor, compliance, risikostyring,
misligheter og IT-revisjon, for å sette mottoet ut i
praksis.
2
Nettverket risikostyring
Nettverk Risikostyring http://iia.no/risikostyring/
• Nettverk Risikostyring er en møteplass for folk
som jobber med risikostyring, uavhengig av
bransje og sektor.
• Foruten å gi unike nettverksmuligheter, samler og
utvikler nettverket veiledninger og maler til hjelp
i arbeidet med risikostyring.
• Vi arrangerer medlemsmøter, seminarer og
utvikler relevante kurstilbud.
3
Ytterligere hjelpemidler om
faget risikostyring
4
GRC Seminar
• Et samarbeid mellom Nettverk Compliance og
Nettverk Risikostyring
19. oktober 2017
•
•
•
•
•
Helhetlig risikostyring
Operasjonell risikostyring
Samspill mellom Compliance og Risikostyring
Case
Paneldebatt mm.
5
Nettverket risikostyring
Nettverkstyrets bønn
• Vi ønsker engasjement, innspill,
artikkelforfattere, bidragsytere mm.
• Ta kontakt om dere ønsker presentasjon for
ledelsen/styret om risikostyring. Vi brenner for
faget!
[email protected]
6
IIA Norge
Standarder og veiledere
7
Veileder for risikostyringsfunksjonen
Målet med veilederen
Veilederen skal beskrive gjeldende beste praksis for
risikostyringsfunksjoner uavhengig av bransje,
regelverk og størrelse på virksomheten
Fokus på helhetlig risikostyring (ERM) i praksis og
prinsipper som er gjeldende på tvers av
bransjespesifikke veiledere og regulatoriske krav
•
•
•
Viktige prinsipper for risikostyring
Organisering og avgrensning mot andre funksjoner
Fremgangsmåte ved oppbygging av risikostyringsarbeidet
i organisasjonen
9
Målet med veilederen
10
Prosessen
Arbeidsutvalget har jobbet med veilederen gjennom 2016
Martin Stevens
Gjensidige
Ayse B. Nordal
Undervisningsbygg
Petter Kapstad
Statoil
Ole Martin Kjørstad
Norges Bank
11
Prosessen
Arbeidsutvalget har jobbet med veilederen gjennom 2016
November 2015
November 2016
Førsteutkast
Januar 2017
Høringsrunde
Mars 2017
Første versjon
12
Høringsrunden
Arbeidsutvalget ønsker å takke for alle bidrag i høringsrunden
•
•
•
•
•
•
•
•
•
•
•
Statoil
Helse Nord
Gjensidige
Yara
Finans Norge
PwC
BDO
DFØ
Nordea (Norge)
Norges Bank
GIEK
13
Innledning
Hva er helhetlig risikostyring?
Hva er helhetlig risikostyring?
Strategi
og mål
-
Visjon og verdigrunnlag
Strategi og målsetninger
Organisasjonsstruktur
Policyer og styringsprinsipper
Kommunikasjon
-
ERM
Summen av aktiviteter etablert for å evaluere
og sikre samsvar mellom vedtatte strategier,
forretningsprosesser og kontrollaktiviteter sett
i sammenheng med det til enhver tid
gjeldende risikobilde
-
Forretningsprosesser og kontrollaktiviteter
-
Operasjonelle
forretningsprosesser
Overvåkende aktiviteter
Kontroll- og tilsynsaktiviteter
Rapporteringsaktiviteter
15
Risikostyring skjer på ulike nivåer
Virksomheten
Individet
Fokus
Utfall1
For virksomheten
For individet
(Leder eller ansatt)
Effekt
Typer risiko
Eksplisitt uttrykt på
virksomhetsnivå
Helhetlig risikostyring
(Enterprise Risk
Management)
Ikke eksplisitt uttrykt på
virksomhetsnivå
Oppgaverisikostyring
(Task Risk
Management)
Lønn og/eller
anerkjennelse
Personlig risikostyring
(Personal Risk
Management)
- Eierperspektivet
- Prioritet på
porteføljenivå
- Prosjektlederfokus:
Leveranse i tråd med
prosjektmål
(kostnad/tid/kvalitet)
- Leder/ansatt blir
«styrt» av å oppfylle
krav i eget målekortet
16
Risikostyring og internkontroll
Risikostyring og internkontroll er
begreper som ofte blir omtalt sammen.
Ofte blir begrepene tolket både for
snevert og adskilt.
Risikostyring er mer enn å analysere og
rapportere nedsiderisiko
Internkontroll handler om styring av en
virksomhet
Internkontroll kan beskrives som en
underprosess av helhetlig risikostyring;
summen av styrings- og
kontrollmekanismer.
17
Risikostyringsfunksjonen
Viktige prinsipper
Funksjonens oppgaver og ansvar
Veilederen fokuserer på
«risikostyringsfunksjonen»
Styret eller virksomhetens øverste organ skal
«påse at» virksomheten har etablert
forsvarlig risikostyring og internkontroll
Daglig leder har overordnet operativt ansvar
for risikostyringen. Øvrige ledere skal sørge
for forsvarlig risikostyring og internkontroll
innenfor sine ansvarsområder.
19
Funksjonens oppgaver og ansvar
Bistå organisasjonen med å iverksette og
implementere en effektiv prosess for å identifisere,
vurdere og håndtere risiko.
Retningslinjer
Rammeverk
og prinsipper
Selvstendig overvåke risikobildet
Flagge utviklingstrender for eksisterende risikoer
og potensielt utfall av nye trusler/muligheter
Strategiarbeid
Risikostyringsfunksjonen bør ha ansvar for å
følge opp fremdriften i det samlede
risikostyringsarbeidet
Kompetanse
Terminologi
Verktøy
Løpende
kommunikasjon
Rapportering
20
Funksjonens oppgaver og ansvar
Funksjonen skal koordinere
risikostyringsaktivitetene innenfor ulike
fag- og risikoområder
Strategi
og målsetninger
/
Styre og ledelse
ERM
Markedsrisiko
Kvalitetsledelse
Operasjonell
risikostyring
Kredittrisiko
Compliance
Sikkerhet &
beredskap
21
Risikoappetitt
Det nivå av usikkerhet en organisasjon er villig- og har evne til å påta seg for å
kunne gjennomføre sine aktiviteter og realisere sine mål.
Risikoappetitt må kunne operasjonaliseres
Risikoappetitt handler om både vilje og evne
«Risk gaps» – misforhold mellom risiko og
forventet avkastning
22
Ansvar og forankring
Ansvaret for virksomhetens risikostyring
og internkontroll kan ikke delegeres bort
fra styret og ledelsen
Styret
Det operative ansvaret for å legge til
rette for, fasilitere og drive
risikostyringsarbeidet er et typisk 2.
linjeansvar
Risikostyring må integreres med øvrig
arbeid med strategi- og handlingsplaner
Styret og ledelsen må delegere nødvendig
myndighet og ansvar til ansvarlig for
risikostyringsprosessen
Ledelsen
Internrevisjon
2. linje
Operativ
organisasjon
Ansvarlig for risikostyring bør ha en
direkte kanal til styret
23
Risikostyring og beslutningstaking
Det er usikkerhet assosiert med alle
beslutninger.
God risikostyring handler om å legge til
rette for at beslutninger fattes på best
mulig grunnlag.
Bedre beslutningsgrunnlag kan også
styrke evnen til å håndtere et utfall som i
utgangspunktet ikke var ønsket.
24
Risikostyring og beslutningstaking
Beslutningstaker
Utfallsegenskaper
Utfall
Intern beslutningstaker
F.eks: Å drikke en kopp kaffe
Deterministisk
Kjent og sikker –
kaffekoppen er tom
Intern beslutningstaker
F.eks: Estimering av antall fremtidige
studenter i kommune X
Stokastisk påvirket av
tilfeldigheter
Sannsynlighetsfordeling
av utfallet er kjent / kan
estimeres
Intern beslutningstaker
F.eks: Introdusere et helt nytt produkt i et
marked
Stokastisk
Sannsynlighetsfordelinge
n er ukjent
Ekstern beslutningstaker – oppfattet gjennom
«what if» scenarioer («known unknowns»)
F.eks: Opptøyer
Kaskade-, snøballeffekter, «fat
tailed distribution»
«Grey Swan»
Ekstern beslutningstaker – ukjent hendelse
kommer overraskende («unknown
unknowns»)
F.eks: 9/11
Sannsynligheten kan ikke
beregnes med teknikkene vi
besitter i dag. Blir ikke oppdaget
gjennom «what if» scenarioer
«Black Swan»
Denne figuren er en oversettelse av opprinnelig versjon som finnes I “Y. Ayse B. Nordal, Risk Management Practices,
Decision Making and Corporate Governance, Book of Proceedings", International May Conference on Strategic
Management, University of Belgrade, May 2015
25
Organisering
Og avgrensning mot andre funksjoner
De tre forsvarslinjene
27
Andrelinjen
Dels proaktivt og dels reaktivt mandat.
Styret
Bidra til utvikling og forvaltning
Rapportere og aktivt identifisere avvik fra
ønsket utvikling
Internrevisjon
Planlegge og
definere
Forbedre
Evaluere
Ledelsen
Gjennomføre
2. linje
Operativ
organisasjon
Kontrollere
28
Organisatorisk plassering og mandat
Organisatorisk plassering av
risikostyringsfunksjonen vil avhenge av
virksomheten og modenhetsnivået for
helhetlig risikostyring i organisasjonen.
-
Separat stabsenhet med rapportering til
toppledelse og styret
Samordnet med andre risiko- og
kontrollfunksjoner
Forankret i annen rollebeskrivelse
Uavhengig av organisering, må funksjonen
tilordnes tilstrekkelig mandat, autoritet,
kompetanse og ressurser
29
Autoritet, kompetanse og ressurser
Husk at risikostyring er et profesjon som
krever faglig kompetanse samt relevant
bakgrunn og erfaring
En faglig karrierestige vil bidra positivt til
utvikling av individet og funksjonen
30
Uavhengighet og integritet
Ansvar for risikostyringsarbeidet bør i størst
mulig grad være uavhengig av den operative
virksomheten.
Insentiver må støtte opp om uavhengighet og
ikke inneholde resultatavhengige
komponenter som svekker objektiviteten eller
knytter egeninteresse til enkeltdeler av
virksomheten.
31
Hva med outsourcing?
Ledelsen kan ikke outsource ansvaret for
risikostyring.
Ved outsourcing av hele eller deler av
funksjonen må ledelsen sørge for at alle
grunnleggende krav blir ivaretatt.
Enkelte lover vil kunne innskrenke
muligheten for outsourcing.
Outsourcing åpner for å kunne involvere
nødvendig spisskompetanse som støtte til
faglige vurderinger
32
Oppbygging av risikostyringsarbeidet
Fremgangsmåte
Rammeverk og standarder
Veilederen har ikke som mål å beskrive et
spesifikt eksempel på benyttet metodikk
og hvordan man kan organisere
risikostyringsarbeidet.
To standarder / rammeverk har oppnådd
internasjonal aksept og er oversatt til norsk.
1. ISO 31000:2009 – Risk Management – Principles and Guidelines
2. COSO:2004 Enterprise Risk Management – Integrated Framework (under revisjon)
34
Utforming av rammeverk i praksis
En fellesnevner for eksisterende standarder og
rammeverk er at det omfatter metoder og
prosesser som brukes av organisasjonen til å
styre risiko og utnytte muligheter.
Typiske elementer i et rammeverk:
-
Identifikasjon av interne og eksterne forhold som
påvirker virksomhetens målsetninger
Fastsettelse av risikoappetitt og risikostyringspolitikk
Utforming av risikostyringsfunksjonen og funksjonens
ansvarsområder
Etablering av interne og eksterne
kommunikasjonsmekanismer
Tildeling av ressurser til funksjonen
Mål og strategier
Implementering
og oppfølging
Tiltak
Risikoidentifisering
Risikoanalyse
35
12 trinn for implementering
1. Utarbeide mandat, definere roller og
rapporteringslinjer
2. Ansette leder for
risikostyringsfunksjonen
3. Fastsette policy for implementering av
risikostyring
4. Se til at ERM-funksjonen dekker alle
typer risiko
5. Styret og ledelsen må definere
risikoappetitten
6. Kommunisere implementeringsplan til
organisasjonen
7. Definere karrierestige for risikostyring
8. Definer og etabler tilknyttede roller i
organisasjonen
9. Sørg for regelmessig kommunikasjon og
rapportering knyttet til
risikoeksponering
10. Kommunikasjon vedrørende risiko må
være proaktiv og risikoeierskap må
allokeres
11. Arbeidsformen må sikre tett samarbeid
med strategi- og linjefunksjoner
12. Årlig / periodisk rapportering til styret
36
Årsaker til at etablering mislykkes
•
Uklar visjon, manglende verdigrunnlag og
dårlig formulerte strategier
•
Manglende kobling mellom strategiske mål
og risikostyring
•
Uklart mandat og manglende forståelse for
ansvarsfordeling
•
Ansvarlig med manglende generell
risikostyringskompetanse og strategisk
forståelse
•
Manglende styring og oppfølging av IT-risiko
•
Manglende fokus på utvikling og endring i
risikobildet
•
Manglende forankring og forståelse for nytte
av risikostyringsarbeidet i organisasjonen
•
Uklar organisering og ansvarsdeling mellom
risikostyringsfunksjonen og risikoeiere
•
Usunn konkurranse (profesjonskrig) mellom
beslektede funksjoner
•
Manglende helhetlig fokus
•
Manglende eierskap til systemverktøy
•
•
Verktøy benyttes uten at begrensninger er
tatt hensyn til
Mangelfulle risikoanalyser og analyser basert
på svake eller ikke beskrevne forutsetninger
•
Manglende kvalitetssikring av analyser
•
Kultur som ikke legger til rette for åpenhet
•
•
Manglende prioritering av vesentlige risikoer
•
Manglende forståelse for samvariasjon
mellom risikoer
Manglende helhetlig fokus i rapportering og
ulike formater/premisser for
risikovurderinger som hindrer aggregering
37
Husk:
Risikoen er der – hvorfor ikke styre den?
38
Tilbakemeldinger
• Forsyn dere dere med kaffe mm.
• Drøft med naboen (oppnevn en ordstyrer)
– Kjenner dere dere igjen i Veilederen?
– Kom med spørsmål, synspunkter, kommentarer
ang. Veilederen
39