Ramverken för riskhantering: uppdatering och förnyelse Uppdatering COSO ERM - klar 6 september 2017 Uppdatering ISO 31 000 Risk Management - troligen början på 2018 Torbjörn Wikland rådgivare i riskhantering, Kontrollkronor och Riskramar GRC- konferensen 2017-10- 05
COSO ERM 2004 är nu 2017 uppdaterad OrganisaMonen COSO ) förvaltar två ramverk/de facto standards: COSO Internal Control och COSO Enterprise Risk Management (ERM) COSO Internal Control det mest etablerade ramverket för riskhantering - uppdaterade COSO 2013. Nu kommer en uppdatering av COSO :s mer generella ramverk för riskhantering från 2004 och blir COSO ERM 2017 2014 påbörjade COSO uppdateringsarbetet (återigen med stöd av PwC) Synpunkter på uppdateringsbehovet begärdes då in av COSO: s arbetsgrupp - dess förslag offentliggjordes i juni 2016 (20.000 nedladdningar) Remissvar begärdes in och offentliggjordes e^er hand fram Mll 30 september 2016( 48 publicerade remissvar varav häl^en utanför Nordamerika) Arbetsgruppens slutliga förslag, e^er COSO- beslut om uppdaterat ramverk, offentliggjordes 6 september 2017 (och kan laddas ner/köpas via coso.org) x) COSO skapades av fem amerikanska branschorganisamoner inom ekonomiområdet. 2
ISO 31 000:2009 - på väg al uppdateras OrganisaMonen ISO förvaltar ramverket/standarden 31 000. Engelsk version (Risk Management) kom 2009 och en svensk översäbning (SIS Risk hantering) året e^er. ( se iso.org och sis.se) Arbetssäb: ISO och dess landbaserade medlemsorganisamoner erbjuder intresserade ab delta i en standard- arbetsgrupp som tar fram förslag som e^er omröstning blir den nya standarden. ISO 31 000 är en metastandard (dvs. kan inte cermfieras vilket många ISO- standarder kan) ISO 31 000 skiljer inte på perspekmvet Intern styrning och kontroll och generell riskhantering (vilket COSO gör genom sina två ramverk). Arbetet med ny uppdatering började 2015. Skulle enligt plan vara klar 2016. Nu meddelas ab uppdateringen ska bli klar i slutet av 2017/början 2018. OBS. Det finns andra generella riskramverk men COSO och ISO dominerar.
Om COSO ISK och COSO ERM COSO Internal Control (=Intern styrning och kontroll, ISK) är det mest spridda ramverket om riskhantering men den är inte fullständig då den begränsar området för riskhantering (a) endast undvika/reducera risker och b) ingen granskning av givna mål). COSO Internal Control kom redan 1992 - spreds e^er hand långt utanför USA, blev grunden för lagsm^ning och riktlinjer och uppdaterades 2013. COSO Enterprise Risk Management (ERM = organisamonsövergripande riskhantering) kom 2004 och bygger på COSO Internal Control. COSO ERM är inte lika etablerat utanför USA som COSO Internal Control och har utsabs för en del professionell krimk (bl.a. riskbegreppet). Stort intresse inför uppdateringen av ERM- ramverket.
Några huvudpunkter i uppdateringen (1) Begreppet risk har inte längre begränsats Mll sådant som ska undvikas (nega;va risker är kärnan i riskbegreppet i COSO Internal Control och var delvis kvar i COSO ERM från 2004) Risk inkluderar nu ab våga/vilja välja farofyllda vägar för ab uppnå något bra/bäbre i verksamheten. q Posi;va risker blir den andra delen av eb gemensamt riskbegrepp, risk ska nu undvikas eller e^ersträvas 2004 års begrepp opportunimes blir nu posimva risker. RiskdefiniMonen är The possibility that events will occur and affect the achievement of strategy and business objec;ves, dvs. jämförbar med riskbegreppet i ISO 31 000: Osäkerhetens effekt på mål/the effect of uncertainty on objec;ves) Riskanalysen i nya COSO ERM knyts Mll hantering av risker för ab skapa, bevara och förverkliga värden. Värdeprocessen i en organisamon står nu tydligare än Mdigare i centrum för riskarbetet. Riskarbetet knyts än mer Mll strategifrågor och den fakmska förmågan ab prestera (performance).
Några huvudpunkter i uppdateringen (2) En ny definivon av ERM: The culture, capabili;es, and prac;ces, integrated with strategy- selng and its execu;on, that organiza;ons rely on to manage risk in crea;ng, preserving, and realizing value. (definimonen har frikopplats från definimonen av COSO Internal Control men enklare?, nja). Både en tydligare åtskillnad mellan COSO ERM och COSO ISK och mer ubalat ab COSO ERM är en påbyggnad på COSO ISK och med ERM rensad från sådant som redan finns i COSO ISK (Frågor om kontrollakmviteter är t.ex. helt borta i COSO ERM - bara en direkt hänvisning Mll COSO ISK). COSO ERM har nu fem komponenter - helt åtskilda från COSO ISK: s fem komponenter. (COSO ERM 2004 hade åba komponenter som egentligen bara var en utvidgad variant av COSO ISK:s fem komponenter.) Dessutom: 20 principer ska förklara de nya fem komponenterna ( I versionen från 2004 fanns 37 faktorer under de åba komponenterna). En exempelsamling är utlovad av COSO.
Teori: Komponenter, målområden, organisa4on Numer bara rapportering Intern styrning och kontroll och riskhantering enligt COSO-modellerna STRATEGISK OPERATIONELL RAPPORTERING LAGENLIGHET Intern miljö Målformulering SUBSIDIARY BUSINESS UNIT Händelsidentifiering Riskbedömning Riskåtgärder Kontrollaktiviteter Information och Kommunikation Utvärdering och förvaltning ENTFFITY - LEVEL DIVISION Visa inte denna illustration för Era chefer. ERM-kuben nu borta!!! 2-1
Komponenterna i uppdaterade COSO ERM Fem nya komponenter (de åla från 2004 är borta): 1. Styrning och kultur för riskhantering överallt i organisamonen Risk Governance and Culture: Risk governance sets the organizamon s tone, reinforcing the importance of, and establishing oversight responsibilimes for, enterprise risk management. Culture pertains to ethical values, desired behaviors, and understanding of risk in the enmty. 2. Strategi och målformulering knutet Mll riskhanteringen Risk, Strategy, and ObjecVve- Se[ng: Enterprise risk management, strategy, and objecmve- semng work together in the strategic- planning process. A risk appemte is established and aligned with strategy; business objecmves put strategy into pracmce while serving as a basis for idenmfying, assessing, and responding to risk. 3. Risk i verkställandet (av strategi och saba mål) Risk in ExecuVon: Risks that may impact the achievement of strategy and business objecmves need to be idenmfied and assessed. Risks are priorimzed by severity in the context of risk appemte. The organizamon then selects risk responses and takes a poroolio view of the amount of risk it has assumed. The results of this process are reported to key risk stakeholders. 4. Granska och ev. revidera så ab komponenterna fungerar Monitoring Enterprise Risk Management Performance: By monitoring risk management performance, an organizamon can consider how well the enterprise risk management components are funcmoning over Mme and in light of substanmal changes. 5. InformaVon, kommunikavon och rapportering av riskfrågor konmnuerligt Risk InformaVon, CommunicaVon, and ReporVng: Enterprise risk management requires a conmnual process of obtaining and sharing necessary informamon, from both internal and external sources, which flows up, down, and across the organizamon.
De 20 principerna under de fem komponenterna Governance & Culture 1. Exercise Board Risk Oversight, 2. Establishes OperaMng Structures, 3. Defines Desired Cultures, 4. Demonstrates Commitment to Core Values, 5. Abracts, Develops, and Retains Capable Individuals Strategy & ObjecMves- Semng 6. Analyses Business Context, 7. Defines Risk AppeMte, 8. Evaluates AlternaMve Strategies, 9. Formulates Business ObjecMves Performance 10. IdenMfies Risk, 11. Assesses Severity of Risk, 12. PrioriMes Risk, 13. Implements Risk Responses, 14. Develops Poroolio View
De 20 principerna (forts.) under de fem komponenterna Review & Revision 15. Assesses SubstanMal Change, 16. Reviews Risk and Performance, 17. Persues Improvement in Enterprise Risk Management InformaMon, CommunicaMon & ReporMng 18. Leverages informamon and Technology, 19. Communicates Risk InformaMon, 20. Reports on Risk, Culture and Performance
En idébild presenterad i uppdaterade COSO ERM:
YLerligare en idébild I uppdaterade COSO ERM:
Kommentarer Vll COSO: s uppdatering Norman Marks, USA, en konsult i riskhanteringsfrågor värd ab lyssna på: a) striktare koppling risk- beslutsfabande/styrning behövs, b) riskanalyser ska inte bara påverka strategi och beslutsfabande utan även sy^e/visioner(mission) c) men i stort posimv Mll remissutgåvan Brimska InsMtute of Risk Management (IRM): a) Precisering av begreppen osäkerhet, sannolikhet och nyckelrisker bör göras b) Uppföranderisker (conduct risks) måste behandlas bäbre och ordentligt c) i övrigt ganska posimva kommentarer KonsultorganisaMonen ProMvity i USA är väl värd ab lyssna på.
Om uppdateringen av ISO 31 000 ISO 31 000 generell riskhantering - kom 2009. Den internamonella organisamonen för standards, ISO, fokuserar tradimonellt på strikta definimoner och principfokuserade texter (ganska långt från COSO: s ordrika och resonerande utläggningar och dess råd (eb drygt 20- tal thought papers) om hur en samlad bedömning av riskhanteringen bör göras). 31 000 Mllhör de standards som saknar möjligheten ab cermfieras mot. ISO gör regelbundna uppdateringar av sina standards. En arbetsgrupp (med landbaserade representanter) är Mllsab och arbetar med uppdateringen av 31 000. UMfrån pressmeddelanden kan man utläsa ab första försöket Mll beslut under 2016 inte lyckades. Det har skjumts fram Mll slutet av 2017/början av 2018. ISO gör inga branschuppdelade aspekter. Sådana kan man hiba i New Zealand/ Astralian standard för riskhantering - en påbyggnad på ISO 31 000. ISO har (ännu?) ingen motsvarigheter Mll de många kompleberingar / fördjupningar som finns samlade på coso.org.
Om COSO och ISO COSO: s och ISO: s standards är numer mycket lika i synsäl men en strikt jämförelse av de två saknas (deras delvis olika begrepp för liknande företeelser bör jämföras). Ab ISO inte gör skillnad på intern styrning och kontroll och organisavonsövergripande riskhantering kan uppfabas som både en fördel (samma hantering rakt igenom) och en nackdel (hanteringen av risker kan gynnas av ab det sker en funkmonell och organisatorisk uppdelning i två spår och ab uppdelningen har stöd i lagar och riktlinjer internamonellt). Särskilt i Europa finns många organisamoner som arbetar med både COSO och ISO men i olika delar av organisamonen. MEN COSO nämner inte ISO och ISO nämner inte COSO (En form av beröringsskräck i amtyden Mll varandra? L ). Andra får ta på sig rollen ab klara ut likheter och skillnader i begrepp och synsäb mellan de två och diskutera a) hur de två kan samsas i riskhanteringen inom en och samma organisamon och b) göra det läbare ab jämföra riskhantering mellan olika organisamoner
Några reflexioner Jag gissar ab ISO- uppdateringen medvetet avvaktat slutversionen av COSO ERM och för ab ta hänsyn Mll ev. krimk mot COSO ERM. Kanske organisamoner gör klokt i ab avvakta med implementering av COSO ERM Mlls den uppdaterade versionen av ISO 31 000 är klar. Standards ska bara vara utgångspunkten för den specifika och konkreta hanteringen av risker i en organisamon. Standards handlar om etablerade räbesnören oavseb om de är rikmgt bra eller mindre bra (Här hamnar den dukmge Norman Marks i en honungsfälla han lanserar sex egna bäbre principer för riskhantering och bortser från det starka behovet ab räba in sig i ledet ). Den mest avgörande nyckeln Mll framgång med riskhanteringen är nog ledningens vilja och förmåga ab integrera riskfrågor i dess styrande arbete och beslut i stort. Frågor om uppföranderisker/förtroenderisker måste framöver behandlas bäbre än vad vi kan se hos COSO och ISO! Torbjörn Wikland