Samverkan kring riskhantering Torbjörn Wikland

Relevanta dokument
Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Frågor att ställa om IK

Stockholms läns landsting i (i)

Policy för internkontroll för Stockholms läns landsting och bolag

Riktlinjer för intern styrning och kontroll

INTERN STYRNING OCH KONTROLL. CHRISTINA STRANDMAN ULLRICH Medgrundare och ordförande i Compliance Forum

Riktlinjer för intern styrning och kontroll, ISK, för landstingsstyrelsens förvaltning.

Övergripande riskhantering i Göteborgs Stad

Riktlinjer för arbetet med intern kontroll

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Anvisning för intern kontroll och styrning

Ledningssystem för IT-tjänster

Informationssäkerhetspolicy för Ystads kommun F 17:01

Etik, moral och värdegrundsarbete som framgångsfaktor Hur kan internrevisionen bidra?

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

hur människor i vårt företag och i vår omvärld ser på oss. för att uppfattas som empatiska och professionella. Skanska Sveriges Ledningsteam

Intern styrning & kontroll samt internrevision i staten

Agenda. Om boken. Ekonomie doktor från Uppsala Universitet. Om innehållet. Frågor. Kort om mig. Arbetar till vardags i finansiell sektor

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Punkt 11: Riktlinje för riskhantering och intern kontroll

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Bilaga Från standard till komponent

Etikrelaterade mål, program och aktiviteter vid Malmö högskola

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Policy för Essunga kommuns internkontroll

Revisionsplan IR

Granskningsrapport av intern styrning och kontroll 2017

COOR HÅLLBARHETSPOLICY

Riskbaserat tänkande i ISO 9001:2015

Intern styrning och kontroll. sammanhållet ramverk

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Riktlinje för intern styrning och kontroll

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Intern kontroll och riskbedömningar. Strömsunds kommun

Intern styrning och kontroll. Verksamhetsåret 2009

Guide för arbete med Risk- och väsentlighetsanalys

Riktlinjer för intern styrning och kontroll vid SLU

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Nya regler om styrning och riskhantering

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 1 LS 77/07 LS-LED Arbetsmiljöpolicy

IT-policy inom Stockholms läns landsting

INTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Det är glädjande att vi i huvudsak verkar få behålla våra personalresurser och nu ser en viss ökning. 50% 41% Not applicable.

Talare till konferensen IT-SUPPORT I FOKUS 2017

Ledningssystem vad varför hur. Ledningssystem JLL. Roland Frisdalen , Version 0.2

Myndigheten för samhällsskydd och beredskaps författningssamling

INTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Reglemente för internkontroll

Välkommen till enkäten!

Ledningssystem för verksamhetsinformation en introduktion

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Ramverken för riskhantering: uppdatering och förnyelse

Information Technology and Security Governance

Svenska missionsrådets policy för riskhantering

ISO/IEC och Nyheter

INTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Policy för intern styrning och kontroll

Oegentligheter och korruption Risker och granskning inom universitet- och högskolesektorn

Intern kontroll och Riskhantering

Korta fakta om Skanska idag

VAD SPELAR TILLIT FÖR ROLL I STYRNINGEN?

Nämndernas arbete med intern kontroll

Intern kontroll och attester

Organisation av och uppföljning av intern kontroll

Medarbetarundersökning Sept. 2010

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Styrelsehandling Bilaga 14. Anvisning för intern styrning och kontroll i Bostadsbolaget

Intern kontroll handlar om att på en rimlig nivå säkerställa:

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Säkerhetspolicy för Västerviks kommunkoncern

Stockholms Stad Svarsfrekvens: 81% Antal svar: Magdalena Bosson

Anvisning för intern kontroll

Hur kan företag ta hjälp av ledningssystem mot mutor i sitt arbete med integritet och förtroende?

Tillväxtverkets riktlinjer för intern styrning och kontroll

Utbildning i modern riskhantering Enterprise Risk Management ERM

Talarmanus Bättre arbetsmiljö / Fall 4

Informationssäkerhet

Skillnaden mellan att coacha enskilda

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

RAPPORT. Årsrapport Internrevision Sammanfattning. 2. Aktiviteter under 2017

Myndighetsförordningen. Intern kontroll. Calona Ekonomikonsult AB. Seminarium Intern kontroll 2. Förordning intern kontroll och styrning

Systematiskt arbetsmiljöarbete

Kalix kommuns ledarplan

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Bild 1. Medarbetarundersökning September 2013

Uppgifter till redovisningen över internrevisionen

Lokala regler och anvisningar för intern kontroll

PMUs instruktion för intern styrning och kontroll 2016 del 1

Utbildning i modern riskhantering Enterprise Risk Management ERM

Butiken är scenen Du är viktig Vi vågar Vi har koll Vi är starka tillsammans

Ledning och styrning av IT-tjänster och informationssäkerhet

Arbetsmiljöverkstad Organisatorisk och social arbetsmiljö

Riktlinje för arbetsmiljö och hälsa

Transkript:

Samverkan kring riskhantering Torbjörn Wikland

Samverkan kring riskhantering Torbjörn Wikland, konsult i riskhantering Föredrag 5 September Kontrollkronor och Riskhantering

Vi vill undvika: katastrofer och oönskade händelser Kan vi verkligen det? Det tråkiga svaret är NEJ! Förr eller senare och i större eller mindre omfattning inträffar både katastrofer och oönskade händelser. Trist, men mycket realistiskt. MEN det kompletterande svaret är: Vi måste försöka. Det finns katastrofer som hotar mänskligheten (t.ex. globala uppvärmningen, kärnvapenkrig och skenande AI). Vi kanske bara får ett försök men det är ett annat föredrag Vi kan reducera antalet och omfattningen av katastrofer och oönskade händelser (OBS. reducera Ett vanligt fel är att prata eliminera lär av t.ex. det aktuella italienska broraset )

Begreppet risk utifrån katastrofer och oönskade händelser Risk: a) sannolikheten att något oönskat inträffar samt b) konsekvenserna av att det oönskade inträffar glöm inte att det oönskade ska vara viktigt att undvika i verksamheten, dvs. målrelaterat! Sårbarhet ligger nära begreppet risk - om sårbarheten är knuten till verksamhetsmålen (Om en cyberattack gör att web-annonser inte når alla berörda är det tråkigt- men om löneutbetalningar inte når alla berörda är det en katastrof) Brist är en konstaterad svaghet - MEN riskfrågan är - hur sannolikt är det att bristen leder till allvarliga konsekvenser?

Många funktioner granskar och skyddar: IT- och informationssäkerheten Arbetsmiljön (fysisk och psykisk) Skalskyddet för lokaler och personalskydd Beredskapsfunktioner för katastrofer Ekonomiavdelning redovisning, utbetalningar, upphandlingar m.m. Internrevision ansvar för hela verksamheten (gäller även externrevision) Avdelnings- och arbetsenhetsansvariga Högsta ledningen (inkl. styrelsen där sådan finns) M.m. Alla med fokus på att reducera risker

Alla riskområdena måste finnas med! De olika riskområdena ska bearbetas var och en för sig! Lagar, förordningar och god sed kräver det. MEN alla riskområdena bör samverka! (Separata stuprör bidrar inte till effektiv verksamhet) Styrande verksamhetskrav, arbetsmiljö, personlig säkerhet, IT-området, informationssäkerhet, samhällskatastrofskydd, hållbarhetskrav, kvalitetskrav, förtroenderisker m.m. OCH en integrerad riskhantering bör skapas Myndigheten/ledningen behöver få en gemensam, total, riskbild/riskprofil för att styra och prioritera PLUS att internrevisionen bör ha en samordnande funktion! Det ligger i dess uppdrag och den har en fristående ställning (Utnyttjas den till det? Men den kan aldrig ta kommandot det är en ledningsfråga!) I kommunal verksamhet är uppdragsfördelningen mer oklar (internrevision finns oftast inte)

Tre försvarslinjer för en god riskhantering Board / Audit Committee Senior Management 1 st Line of Defense 2 nd Line of Defense 3 rd Line of Defense Operational Management Internal Controls Risk Management Compliance Others Internal Audit External Audit 9 1:a linjen de verksamhetsansvariga 2:a linjen de professionella stödfunktionerna 3:e linjen internrevisionen Externrevision utanför!

Mer om olika slags risker Risker kan förverkligas snabbt eller långsamt (jmf t.ex. cyberangrepp med personalbrist) Leta efter okända och nya risker! (Vi vet inte allt och riskbilden förändras) 1. Gemensamt arbete i organisationen gör det lättare att hitta okända och nya risker. 2. Okända risker är sällan okända för alla i organisationen. 3. Ett öppet arbetsklimat gör det lättare att hitta de okända och nya. Ta höjd för okända/oidentifierade risker, dvs. beredskap för okända/sällan förekommande risker: Exempel: Flyglarmet Hesa Fredrik, läkarnas bakjour och ronderande vaktbolag) 1. Krisberedskap behövs i många olika former. 2. Man ska ordna system och rutiner så att man får early warnings (dvs. inte verifierad information men tecken på eventuell annalkande storm ) 3. Insatsresurser måste finns tillgängliga. Förtroenderisker och korruptionsrisker kräver särskild uppmärksamhet. Förtroenderisker delegeras alltid uppåt när de blir kriser Korruptionsrisker ska städas som trappan - uppifrån och neråt.

Arbetssätt med riskhantering Myndigheterna själva inte externa riskexperter är de bästa riskhanterarna Workshop-metoden överlägsen (ledningsgrupper, temagrupper, arbetsenheters medarbetare samlas inte alltför stora grupper - och gör jobbet) Skilj insamlingen och analysen av riskerna från sätten att hantera de olika riskerna (två separata och jobbiga tanke- och diskussionsövningar) Fokusera bara på de viktigaste risker och fastna inte i exakta beräkningar!

Standards som stöd för riskhanteringen: COSO: s ramverk - fem komponenter för god intern styrning och kontroll Styr- och kontrollmiljö (tidigare benämnt kontrollmiljö) Riskbedömning (utifrån befintliga mål) Kontrollaktiviteter (styrsignaler, riskåtgärder, kontroller) Information och Kommunikation (för att övriga komponenter ska fungera) Övervakning inkl. uppföljning/utvärdering (så att systemet för intern styrning och kontroll fungerar) OBS 1. Målen ifrågasätts inte de är givna utgångspunkter OBS 2. Risker uppfattas endast som negativa avvikelser från givna mål OBS 3. COSO: s grundkrav för god intern styrning och kontroll: Alla fem komponenterna (=processkomponenter) måste finnas (vara närvarande) och fungera. Det leder till att COSO ISK har en metod för att göra en helhetsbedömning av intern styrning OBS 4. Det är på detta ramverk som förordningen om intern styrning och kontroll bygger. (COSO skapades av fem amerikanska branschorganisationer inom ekonomiområdet på 1980-talet men har blivit en de facto internationell standard.) 5

En annan standard: ISO/SIS och dess standard 31 000 Riskhantering Organisationen ISO förvaltar ramverket/standarden 31 000. Engelsk version (Risk Management) kom först 2009 och en svensk översättning (SIS Riskhantering) året efter. ( se iso.org och sis.se) Arbetssätt: ISO och dess landbaserade medlemsorganisationer erbjuder intresserade att delta i en standard-arbetsgrupp som tar fram förslag och som efter omröstning blir den nya standarden. ISO 31 000 är en metastandard (dvs. kan inte certifieras till skillnad från många andra ISOstandarder) ISO 31 000 skiljer inte på perspektivet Intern styrning och kontroll och generell riskhantering (vilket COSO gör genom sina två ramverk). ISO gör inga branschuppdelade aspekter. Sådana kan man hitta i New Zealand/Australian standard för riskhantering - en utveckling av ISO 31 000. Dess standard har nyligen uppdaterats. 2018 blev den först klar på engelska och nu även på svenska! Det finns andra generella riskramverk men COSO och ISO dominerar och de kan kopplas till mer specifika ramverk för t.ex. IT-området

Frågor utanför standards: Många kontroller är inbyggda i redovisningen och organisationen MEN kontroller bör ses som antingen hårda eller mjuka. policys och rutiner organisationsstruktur delegeringsordning ersättningsregler dubbel bokföring stickprovskontroller inspektioner integritet och etik kompetens förtroende gemensamma värden starkt ledarskap höga förväntningar öppenhet - Mjuka kontroller ger ofta signaler om var brister och fel kan återfinna. Hårda kontroller ger ja eller nej -svar. Båda typerna av kontroller behövs!

Exempel på hårda och mjuka kontroller Finns etiska riktlinjer i företaget? (en hård kontroll ger ja- eller nej-svar, finns den eller inte, rätt eller fel siffror etc.) Känner Du till de etiska riktlinjerna? (en mjuk kontroll insamlade svar signalerar om förutsättningar finns att de kan fungera) Följer företaget och dess personal riktlinjerna? (mjuk kontroll de insamlade svaren ger en första bedömning om de verkligen fungerar men fler aspekter kan behöva belysas) Hur kan vi veta att alla berörda förstår och följer riktlinjerna? (en öppen mjuk kontrollfråga till ledning/chefer: för att bedöma om tillräckliga åtgärder vidtagits för att riktlinjerna följs ) Slutsats: Allt viktigt om riskhantering står inte i standards

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss