Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Risikostyring & internkontroll med fokus på verdiskaping for selskapet

PublisertLisbeth Langeland Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Risikostyring & internkontroll med fokus på verdiskaping for selskapet"— Utskrift av presentasjonen:

1 Risikostyring & internkontroll med fokus på verdiskaping for selskapet
VFF Complianceseminar 24. november 2016

2 AGENDA Rammeverk for helhetlig risikostyring
1 Rammeverk for helhetlig risikostyring Risikostyring og internkontroll Verdipapirfond- og risikostyringsforskriften Styrets og ledelsens ansvar Løpende vurdering Dokumentasjonskrav og rapportering 2 3 4 Før vi går i gang – la oss ta en kikk på hva vi skal gjennom i dag. Vi skal snakke om (vis til agenda) Hvis dere skulle ha spørsmål, så er det ingen grunn til å brenne inne med dem – det er bare å avbryte underveis. Risikostyrings- og internkontrollforskriftens krav i praksis, herunder belyse styrets ansvar, ledelsens ansvar, løpende vurdering av risikostyring og internkontroll, oppsummerende rapportering og krav til dokumentasjon. 5 6

3 Rammeverk for helhetlig risikostyring

4 Prinsippene i COSO sentralt for bestemmelsene i dagens lover og forskrifter knyttet til risikostyring og internkontroll Forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (IK-forskriften) 1997 Forskrift om risikostyring og internkontroll 2008 Forskrift til verdipapir-fondloven 2011 COSO Rammeverk for helhetlig risikostyring The Commitee of Sponsoring Organizations of the Treadway Commission 1992 Helhetlig risikostyring – et integrert rammeverk Norges Interne Revisorers Forening 2004 Rundskriv 16/2003 2003 Rundskriv 3/2009 2009

5 Utgangspunkt for utarbeidelse av prinsippene i COSO
Forutsetninger Verdiskaping Enhver virksomhet eksisterer for å skape verdier for sine interessenter Alle virksomheter står overfor usikkerhet Utfordringen for virksomhetene er å avgjøre hvor mye usikkerhet den skal akseptere i sin streben for å skape verdier for sine interessenter Maksimal verdiskaping oppnås når virksomhetene fastsetter strategi og målsettinger slik at det er optimal balanse mellom vekst- og lønnsomhetsmål og relaterte risikoer, og utnytter ressursene målrettet og kostnadseffektivt for å nå virksomhetens mål.

6 Rammeverk for helhetlig risikostyring (COSO)
Helhetlig risikostyring innebærer: Å samordne risikoappetitt og strategi Å forbedre beslutninger angående risikohåndtering Å redusere driftsrelaterte overraskelser og tap Å identifisere og håndtere sammensatte risikoer og risikoer som gjelder på tvers av virksomheten Å utnytte muligheter Å forbedre utnyttelse av kapital

7 Risikostyring og internkontroll som en del av virksomhetsstyringen
Strategi og målsettinger Risikostyring og internkontroll Samfunnsansvar Helhetlig virksomhetsstyring Organisering, roller og ansvar Kvalitet og kontinuerlig forbedring Personalutvikling og insentiver Måling og rapportering

8 Risikostyring og internkontroll

9 Risikostyring og internkontroll
Det som påvirker måloppnåelse Internkontroll Aktiviteter som håndterer risiko Aktiviteter som sørger for at tiltakene gjennomføres som planlagt Mål Risiko Tiltak Kontroll HER har vi en illustrasjon av prosessen for risikostyring. Som virksomhet har man mål, oftest i form av en strategi. Det kan være ambisiøse mål, eller mindre ambisiøse mål. Uansett kommer alltid målene man setter med en risiko. I stedet for en linje kan man også se for seg et hjul – som en repeterende prosess. Risikostyring handler om å til enhver tid snu seg rundt, tilpasse seg og endre adferd, for å være best mulig «rigget» for å komme dit en vil. Det handler om å forstå hvor i forretningsprosessene at verdi skapes, og hva som sikrer denne inntjeningen. Det handler om nå sine mål, og det handler om hva en til enhver tid må gjøre for å sikre seg at gode beslutninger tas. God risikostyring er derfor kjennetegnet ved bevisstgjøring av omgivelsene (les: risiko) og vurdering av disse. Mange typer mål: strategiske mål, operasjonelle mål, rapporteringsmål, og mål om etterlevelse av lover og regler, mål om kundetilfredshet etc. Risikosstyringssystemet hjelper deg med å sørge for at du har nødvendige kontroll på plass. Ikke for mange, ikke for få. Å ha KONTROLL på risikoen vi påtar oss er viktig. Viktigheten her ligger i om den risikoen som ligger igjen etter tiltak og kontroll er på et AKSEPTABELT NIVÅ. TROSS ALT MÅ vi ta noe risiko for å drive virksomhet – det er jo egentlig det det dreier seg om. Vi må altså finne ut av HVILKEN RISIKOAPETITT vi har.

10 Finanstilsynet om risikostyring
“ Foretakets risikostyring er hva foretaket gjennom strategi, organisasjon, rutiner og forsvarlig drift gjør for å nå fastsatte mål og sikre sine og kundenes verdier, samt pålitelig rapportering og etterlevelse av lover og regler. Dette innebærer mer enn det som tradisjonelt har vært oppfattet som internkontroll. ” Kilde: Kredittilsynets veiledning til forskrift om risikostyring og internkontroll (Rundskriv 3/2009) Bred tolkning; handler om langt mer enn en analyse – hvordan du tilrettelegger for måloppnåelse i virksomheten

11 Verdipapirfondsforskriften og risikostyringsforskriften

12 Hvilke krav stilles i lovgivningen?
Forskrift om risikostyring og internkontroll Forskrift til verdipapirfondloven Stiller krav til styret og ledelsen Ingen klare krav til organisering av foretaket Krav til årlig oppsummering fra daglig leder til styret Skal oppsummere det løpende internkontrollarbeidet og evt. avdelingslederes vurderinger Fremmer forholdsmessighet Er foreslått opphevet for flere virksomheter ved innføring av Finansforetaksloven, men er foreslått videreført for verdipapirforetak Organisering: krav om risikostyrings- og compliancefunksjon samt internrevisjon (kan ligge i linjen) Detaljerte krav til foretakets styring og kontroll En detaljering av risikostyringsforskriften Fremmer forholdsmessighet På mange måter er verdipapirfondforskriftens krav til organisering av virksomheten en praktisk veiledning til risikostyringsforskriften. Substansen i risikostyringsforskriften: Tydelige roller og ansvar Rapportering Må løses forskjellig fra selskap til selskap – og denne forskriften ser uansett ut til å være på vei ut og bli erstattet av særlovgivning For verdipapirfond: Praktisk tilnærming, tydeliggjør minstekravene – disse er praktisk orienterte

13 Styrets og ledelsens ansvar

14 Ansvar for risikostyringsprosessen
Styret Ansvaret for virksomhetens risikostyring og internkontroll kan ikke delegeres bort fra styret og ledelsen Det operative ansvaret for å legge til rette for, fasilitere og drive risikostyringsarbeidet er et typisk 2. linjeansvar Loven åpner for at ansvaret legges til linjen «dersom foretaket kan godtgjøre at kravet ikke står i rimelig forhold til virksomhetens art, omfang og kompleksitet og kontrollfunksjonen allikevel forblir effektiv» Ledelsen 3. Linje Intern-revisjon 2. linje Risikostyring Compliance 1. linje Operativ organisasjon Det er styrets ansvar å vedta selskapets mål og strategier – og derfor også RISIKOAPETITT, det vil si evne og vilje til å påta seg risiko. Dette ansvaret kan ikke styret delegere bort.

15 Hvorfor styret skal involvere seg i risikostyringen?
Krav om at styret påser: Verdien ligger i: At risikostyring og internkontroll gjennomføres i tilstrekkelig omfang og på en systematisk og effektiv måte Tilpasset driften Praktisk og oversiktlig form Etablering og gjennomføring av tiltak for å korrigere eller redusere avvik avdekket i interne kontroller Etterlevelse av rammebetingelser Tilrettelegger for tilsyn fra Finanstilsynet Vurdere og regelmessig gjennomgå de retningslinjer, tiltak og rutiner At ansvarlige for kontrollfunksjoner har nødvendig autoritet, ekspertise, ressurser og tilgang til relevant informasjon Bevisstgjøring rundt hvilke risikoer som ligger i selskapet Bedre beslutningsgrunnlag ved fokus på måloppnåelse Bedre forståelse av verdidrivere Redusere negative overraskelser Utnytte muligheter Samordne risikoappetitt og strategi Så: hvorfor skal styret fokusere på risikostyring, og hvorfor er det viktig at informasjon om risiko tilflyter styret fra organisasjonen? Som vi har vært inne på: Risikostyring handler om å forstå hvor i forretningsprosessene at verdi skapes, og hva som sikrer denne inntjeningen. Hva er kritiske suksessfaktorer, og hva er indikatorer på at noe går feil retning. Eller at omgivelsene krever en annen adferd fra oss som selskap. Det er STYRET som skal fastsette FORETAKETS RISIKOAPETITT – DET VIL SI: Den risikoen vi er VILLIGE TIL OG HAR EVNE TIL Å TA for å nå målene vi har satt oss SÅ: HVORDAN gjør styret det? Jo – ved å definere policies i tråd med strategien. Risikostyring handler altså om å skaffe seg et best mulig beslutningsgrunnlag for viktige avgjørelser til enhver tid. I dette arbeidet er det VIKTIG at STYRET tenker over HVILKE RISIKOER SOM ER KRITISKE FOR MÅLOPPNÅELSEN. Det er der styret skal SETTE INN STØTET. Og så er det slik at styret har et ANSVAR. FINANSTILSYNET har definert det slik vi ser her – KRAV OM AT STYRET PÅSER at Kundens interesser ivaretas At risikostyring og internkontroll gjennomføres At nødvendige tiltak gjennomføres HVORDAN skal STYRET følge opp ansvaret sitt? JO – Ved å motta RAPPORTERING på de RAMMENE de har satt. Her kommer altså dynamikken i organisasjonen inn. Det må være takhøyde for å rapportere om brudd på rammer, det være seg kvalitet eller manglende måloppnåelse i salgsøyemed, eller manglende ajourhold. INFORMASJONSFLYT er avgjørende for å styre risikoen i foretaket. Så – hvor ligger VERDIEN i å engasjere seg i risikovurdering og risikostyring for styrets del? Vi mener at verdien ligger i BEVISSTGJØRING. Ved å legge til rette for god kommunikasjon og et godt internkontrollmiljø i bedriften, så kan styret få bedre beslutningsgrunnlag og det kan legge grunnlag for fremtidig inntjening og sikrer driften. Dere vil også kunne jobbe mer effektivt når dere får rapportering fordi dere vet om tiltakene som iverksettes faktisk treffer. I tillegg vil såklart JEVNLIG evaluering av muligheter og trusler kunne bidra til at man LIGGER ET STEG FORAN ved at man vet hva som rører seg – BÅDE INTERNT og i markedet. STYRET får muligheten til å redusere negative overraskelser.

16 Hva bør et styre forvente av daglig leder?
RISIKOSTYRINGSPROSESSEN Løpende engasjere seg i den overordnede risikovurderingen og bruke informasjonen aktivt Aktivt vurdere om styrings- og kontrollapparatet er forsvarlig Følge opp at eventuelle linjeledere deltar aktivt Systematisk identifisering, vurdering og oppfølging av tiltak, herunder allokering av ressurser Gjennomfører vurderinger etc. innenfor sitt ansvarsområde (det er ikke tilstrekkelig kun å bygge på eksempelvis complianceavdelinger eller internrevisjonens konklusjoner) RAPPORTERING I tråd med styrets prinsipper og legge til rette for at styret kan utføre påse-ansvaret Utgangspunkt: mål og strategier fastsatt av styret Restrisiko skal være i tråd med styrets risikoapetitt Tiltak som skal iverksettes bør følges opp med en handlingsplan med tydelig ansvar og frister Jevnlig rapportere status tiltak/handlingsplaner til styret Så – av eksemplene ser vi jo at styret har et ansvar for å påse og overvåke. Ansvaret for å gjennomføre vurderingene ligger jo hos daglig leder og fagansvarlig. En viktig del av styrets rolle er å UTFORDRE daglig leder. Vi har derfor samlet noen punkter som kan brukes som innspill: Daglig leder kan kanskje fortelle styret litt om Prosessen rundt risikovurderingen? Eksempelvis, der det er relevant, om ulike avdelingsledere har hatt ansvar for å vurdere risikoer som berører «deres» virksomhetsområde – eks. oppgjør/prosjekt/»leiligheter»/»villa» Om risikobildet har endret seg siden forrige status? Om hvilke tiltak som er implementert og om de har virket som forutsatt? Om status for handlingsplaner/frister – trengs mer tid? Andre tiltak? For kostbart? Erfaringen fra andre virksomheter er at det er noe varierende hvor mye styret utfordrer – personlig synes jeg det virker mer givende å være både styremedlem og daglig leder der det er rom for å stille spørsmål.

17 Løpende vurdering

18 RISIKOSTYRINGSFUNKSJONEN SKAL:
Vurdere markeds-, likviditets- og motpartsrisiko samt all annen vesentlig risiko, herunder operasjonell risikorisiko, i fondene Gi styret råd om identifisering av risikoprofil for hvert verdipapirfond som forvaltes Rapportere regelmessig til styret om samsvaret mellom aktuelt risikonivå for hvert verdipapirfond og fastsatt risikoprofil, overholdelse av risikogrenser og om risikostyringen er tilstrekkelig og effektiv Rapportere regelmessig til foretakets ledelse om gjeldende risikonivå for hvert verdipapirfond og eventuelle avvik fra risikogrenser slik at det raskt kan foretas nødvendige tiltak, og gjennomgå og eventuelt bistå i etableringen av system og rutiner for verdsettelse av unoterte derivater Plikter og ansvar knyttet til verdsettelsen

19 COMPLIANCEFUNKSJONEN SKAL:
Bidra til å redusere etterlevelsesrisiko ved å kontrollerer etterlevelse og tilrettelegger for eventuelle tilsyn Vurdere om tiltak, retningslinjer og rutiner for å sikre etterlevelse er tilstrekkelig effektive Gi råd og veiledning etter verdipapirfondloven til foretakets ledelse, ansatte og andre som utøver virksomhet på vegne av foretaket

20 INTERNREVISJONEN SKAL:
Vurdere om foretakets systemer, internkontroll og ordninger er tilstrekkelige og effektive Gi råd og innsikt på bakgrunn av vurderingene Følge opp at anbefalinger og tiltak implementeres i henhold til planer Rapportere til styret

21 Rapportering og dokumentasjonskrav

22 VERDIPAPIRFONDFORSKRIFTEN §2-6 DOKUMENTASJONSKRAV
Beslutningsprosedyrer Interne kontrollrutiner Informasjonsflyt Krav til skriftlighet i strategi, styreinstruks, policies, rutiner (med ansvarliggjøring ved brudd) organisasjonskart (med rapporteringslinjer) og stillingsinstrukser. Prinsipper for styring og kontroll bør foreligge. Rutiner bør inneholde beskrivelse av nøkkelkontroller. Dokumentasjon av internkontroll, eksempelvis fullmaktsmatriser, må foreligge. Opp- og nedstrømsinformasjon er avgjørende for internkontrollmiljøet, og dokumenteres ved rapportering. Retningslinjer for ansettelser, konkurransedyktige betingelser, opplæringsprogram etc. SLAer med rapporteringsfrekvens og –art tilpasset oppfølgingen (for eksempel jevnlig drifts- og avviks-/ hendelses-rapportering fra leverandør), innhenting av uttalelse internkontroll, egnethetsvurdering, krav til leverandører etc. Rutiner for regnskapsføring, instrukser for ansattes styreverv, Rutiner for informasjonshåndtering, herunder beredskapsplaner for kontinuitet i IT-systemer Kompetanse Utkontraktering Rutiner, instrukser IKT-systemer

23 HVA BETYR DOKUMENTASJONSKRAVENE I PRAKSIS?
Internkontroll krever ryddighet og et gjennomtenkt system Synliggjøres for tilsynsmyndighetene ved (skriftlig) dokumentasjon Ajourhold er en vanlig utfordring, bør gjøres årlig Retningslinjer kan samles i ett styringsdokument Intern konsistens Strategier og policies bør være utgangspunkt for vurdering og rapportering Utgangspunkt i mål Vesentlige risikoer identifisert bør som hovedregel være gjenstand for regelmessig vurdering Tilbakeblikk på tidligere perioder NB: Bør tilgjengeliggjøres i rapporteringen til styret Risikoanalyse og handlingsplaner Bør ajourholdes og følges opp gjennom året Beslutningsgrunnlag Rapportere etterlevelse lovkrav Må også ha info som er beslutningsgrunnlag – krever at styret inviolverer Styret gi føring for rapportering Styret må gi føringer i prinsipper for risikostyring

24 HVORDAN DOKUMENTERE RISIKOVURDERINGEN?
Ansvarlig/berørt enhet/avdeling Målsetning Hendelse/usikkerhet Kan medføre at målsetningen ikke nås dersom hendelsen inntreffer Sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det Kan defineres kvantitativt Representerer iboende risiko Eksisterende tiltak Rutiner og tiltak for å minke sannsynligheten for at hendelsen inntreffer og eventuelt også konsekvensen av hendelsen Gjenværende risiko Basert på vurdering av sannsynlighet og konsekvens Eventuelle tiltak for å håndtere risikoen Frist for oppfølging Ansvar internt Det finnes flere ulike måter å dokumentere en risikovurdering på – i praksis ser vi alt fra matriser i excel til spørreundersøkelser til litt mer komplekse IT-systemer. Uansett hva man velger å benytte, er det viktigste at det gjøres SYSTEMATISK. Vi har snakket om at formålet jo er å danne beslutningsgrunnlag, så det er krav om at vurderingene gjøres SKRIFTLIG. På sliden har jeg listet opp det vi oftest ser at våre kunder inkluderer i risikovurderingen – gjerne i en matrise: Ansvarlig/berørt enhet/avdeling Målsetning Hendelse/usikkerhet Kan medføre at målsetningen ikke nås dersom hendelsen inntreffer Sannsynlighet for at hendelsen inntreffer og konsekvensen dersom den gjør det Kan defineres kvantitativt Representerer iboende risiko Eksisterende tiltak Rutiner og tiltak for å minke sannsynligheten for at hendelsen inntreffer og eventuelt også konsekvensen av hendelsen Gjenværende risiko Basert på vurdering av sannsynlighet og konsekvens Eventuelle tiltak for å håndtere risikoen Frist for oppfølging Ansvar internt Vi ser eksempler på at de som får matrisen på et nivå som fungerer i organisasjonen bruker verktøyet mer aktivt og at det ikke bare er en årlig skrivebordsøvelse. Min påstand er at det viktigste er tiltak – frist for oppfølging og ansvarlig – og at ledelsen følger opp at frister er overholdt og tiltak implementert og så rapporterer tilbake til styret.

25 TAKK FOR OPPMERKSOMHETEN john.christian.lovaas@bdo.no
mob

Laste ned ppt "Risikostyring & internkontroll med fokus på verdiskaping for selskapet"

Liknende presentasjoner

Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.

Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.
Av Reidar Kvalvaag Beerenberg

Av Reidar Kvalvaag Beerenberg
IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.

IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.
Et eksempel på hvordan kan en dokumenterer IK – Akvakultur?

Et eksempel på hvordan kan en dokumenterer IK – Akvakultur?
Risikostyring i staten

Risikostyring i staten
Veiledning i gevinstrealisering ved innføring av elektronisk handel

Veiledning i gevinstrealisering ved innføring av elektronisk handel
Risikovurdering Systematisk HMS – arbeid dreier seg om mestring av risiko, for å unngå skader og sykdom Mestring av risiko- redusere eller fjerne.

Risikovurdering Systematisk HMS – arbeid dreier seg om mestring av risiko, for å unngå skader og sykdom Mestring av risiko- redusere eller fjerne.
Kan det lages et felles internkontrollsystem i kommunen. Åre

Kan det lages et felles internkontrollsystem i kommunen. Åre
Hva skal vi snakke om? Hva er IK – Akvakultur? Hva er internkontroll?

Hva skal vi snakke om? Hva er IK – Akvakultur? Hva er internkontroll?
Internkontroll i kommuner

Internkontroll i kommuner
KOMMUNER I INNKJØPSSAMARBEID

KOMMUNER I INNKJØPSSAMARBEID
HTV- konferanse 5. – 6. desember 2011

HTV- konferanse 5. – 6. desember 2011
Levende HMS-system – hva betyr det i praksis?

Levende HMS-system – hva betyr det i praksis?
Mal: Risikoanalyse med veiledning

Mal: Risikoanalyse med veiledning
IK – Akvakulturforskriftens krav og innhold

IK – Akvakulturforskriftens krav og innhold
Er farlig avfallsbransjen kvalitetsbevisst nok

Er farlig avfallsbransjen kvalitetsbevisst nok
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.

Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.
Usikkerhet skal integreres i prosjektstyringen

Usikkerhet skal integreres i prosjektstyringen
Plikt til internkontroll Per Gammelsæther Ikks AS / RO

Plikt til internkontroll Per Gammelsæther Ikks AS / RO

Liknende presentasjoner

Annonser fra Google