Ramverken för riskhantering: uppdatering och förnyelse

Relevanta dokument
Samverkan kring riskhantering Torbjörn Wikland

HR i en internationell organisation, några tankar av P-O Nyquist. Göteborg

Principer och fokusområden

Configuration Management

Effektivt stöd för GRC med nya ISO Standarder

Förändrade förväntningar

Goals for third cycle studies according to the Higher Education Ordinance of Sweden (Sw. "Högskoleförordningen")

Risk Management Riskhantering i flygföretag

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

Exempel på praktisk tillämpning av företagsstyrning

IT Styrning och Digitalisering AI, Blockchain och RPA: kan vi plocka russinen ur kakan? november 2018

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB

Hur arbetar vi praktiskt i SAG?

Klimatanpassning bland stora företag

Asset Management ISO 55000

Våra tjänster [Our services] UMS Group Inc., All Rights Reserved

Revidering av ISO Peter Allvén SIS TK-304/PostNord

Projekt? 1DV420 Nätverksprojekt Kalmar, Lars Karlsson +46(0)

The Swedish system of Contract Archaeology

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

SOA One Year Later and With a Business Perspective. BEA Education VNUG 2006

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Utvärdering av Ledningsprocesser. Fredrik Kjellberg Mannheimer

CM FORUM. Introduktion till. Configuration Management (CM) / Konfigurationsledning. Tobias Ljungkvist

3rd September 2014 Sonali Raut, CA, CISA DGM-Internal Audit, Voltas Ltd.

Anvisningar för ämnesansvariga vid LTV-fakulteten

Kursplan. FÖ1038 Ledarskap och organisationsbeteende. 7,5 högskolepoäng, Grundnivå 1. Leadership and Organisational Behaviour

Helping people learn. Martyn Sloman Carmel Kostos

Design Service Goal. Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List. Presentatör

TRANSFORMATION AV EN INTERNATIONELL EKONOMIFUNKTION. Verksamhetsstyrning 2.0

Introduktion ICAO-EASA.

Agenda. Tid Aktivitet Föreläsare Åtgång tid 08:30 Registrering vid TS recep. Transport till våning 5.

Från extern till intern på tre dagar Erfarenheter från externa lärares pedagogiska kompetensutveckling

Performance culture in policing. Författare: Tevfik Refik Altonchi (Ph.d)

ISO DIS 9001:2014. Greger Thuresson

IBS BI & FS & OP. Bengt Jensfelt Product Manager, PD IBS Kunddag 29 November 2012

AI OCH VIKTEN AV ETT KUND- OCH DESIGNDRIVET PERSPEKTIV TOMMY JARNEMARK TELIA SVERIGE

Genomförande av SSP och SMS i Sverige. Hur ökar vi flygsäkerheten bortom regelverket? Hur balanserar vi mellan produktion och säkerhet?

Vision. Vision. Vision. Framgångsrikt förändringsarbete med OBM

QC i en organisation SAST

Stadsutvecklingsprocessen Christian Lindfors, Tyréns

Regional Carbon Budgets

System arbetssystem informationssystem

Kursplan. AB1029 Introduktion till Professionell kommunikation - mer än bara samtal. 7,5 högskolepoäng, Grundnivå 1

Implementering av SMS och SSP i Sverige

Sara Skärhem Martin Jansson Dalarna Science Park

Beijer Electronics AB 2000, MA00336A,

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Utbildning i modern riskhantering Enterprise Risk Management ERM

Produktens väg från idé till grav

Manhour analys EASA STI #17214

Biblioteket.se. A library project, not a web project. Daniel Andersson. Biblioteket.se. New Communication Channels in Libraries Budapest Nov 19, 2007

Företaget har cirka 110 anställda. Verksamhetskonsulter inom säkerhet och teknik. Boden, Göteborg och Kristianstad

Nilson Group AB. Från informationsförädling till affärsnytta och aktivt styrmedel. CIO Torsten Balslev

DE TRE UTMANINGARNA..

possibilities Create a world innovation mobility social yourself full of Employer branding nyckeln till att attrahera och behålla de bästa i Sandvik

Ett hållbart boende A sustainable living. Mikael Hassel. Handledare/ Supervisor. Examiner. Katarina Lundeberg/Fredric Benesch

Vision 2025: Läkemedel i miljön är inte längre ett problem

ISACA och Euro CACSkonferensen. Kerstin Fredén, ordförande ISACA. Internrevisorerna tackar sina sponsorer

Alla Tiders Kalmar län, Create the good society in Kalmar county Contributions from the Heritage Sector and the Time Travel method

PACT Webinar. Göteborg

Införandet av Enterprise Risk Management (ERM) i Vattenfall

ISO/IEC 20000, marknaden och framtiden

Del 2 Processkonsultation Edgar Schein

Hammer & Hanborgs Kompetensprofil

Läkemedelsverkets Farmakovigilansdag

COOR HÅLLBARHETSPOLICY

Investigation of buying in retail companies

Utbildning i modern riskhantering Enterprise Risk Management ERM

Nya upphandlingsdirektiv och upphandling av livsmedel

Angeppssätt för integration - standarder, internationell utblick och SIS

KOMMENTARER, SYNPUNKTER OCH FORMELLA KLAGOMÅL FRÅN SKOGLIGA INTRESSENTER

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

SMS implementering. Införande av SPI:er

Seminarium nya revisionsberättelsen. 23 september 2016

Agenda. Om olika perspektiv på vad socialt entreprenörskap är

Förordning 376/2014. Händelserapportering Ulrika Svensson, flyginspektör

2.1 Installation of driver using Internet Installation of driver from disk... 3

Hållbar hantering av urbana översvämningar

Norrbottens Innovationsstrategi 1.0 ( )

Innehåll. Bakgrund Från ett riskhanteringsperspektiv. Bakgrund Från ett riskhanteringsperspektiv

What Is Hyper-Threading and How Does It Improve Performance

Implementationsstrategier för PLCS

1. Grundkurs i internrevision Obs! Nytt datum maj CIA taktisk förberedelse 25 mars

TS CASESKOLA B. Asplund, CJ och Bengtsson, L. LTH

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

KPMG Stockholm, 2 juni 2016

Swedish CEF Transport Secretariat. Connecting Europe Facility

Hultgren, G; (2007) etjänster som social interak<on via användning av IT- system en prak<sk teori, sid , Doktorsavhandling, IEI, LiU


Agenda. Om boken. Ekonomie doktor från Uppsala Universitet. Om innehållet. Frågor. Kort om mig. Arbetar till vardags i finansiell sektor

Styrelsens för Oasmia Pharmaceutical AB (publ) redogörelse enligt 14 kap. 8 3 aktiebolagslagen

ISO general purpose screw threads Basic profile Part 1: Metric screw threads

Supply Chain Risk Management (SCRM)

Transkript:

Ramverken för riskhantering: uppdatering och förnyelse Uppdatering COSO ERM - klar 6 september 2017 Uppdatering ISO 31 000 Risk Management - troligen början på 2018 Torbjörn Wikland rådgivare i riskhantering, Kontrollkronor och Riskramar GRC- konferensen 2017-10- 05

COSO ERM 2004 är nu 2017 uppdaterad OrganisaMonen COSO ) förvaltar två ramverk/de facto standards: COSO Internal Control och COSO Enterprise Risk Management (ERM) COSO Internal Control det mest etablerade ramverket för riskhantering - uppdaterade COSO 2013. Nu kommer en uppdatering av COSO :s mer generella ramverk för riskhantering från 2004 och blir COSO ERM 2017 2014 påbörjade COSO uppdateringsarbetet (återigen med stöd av PwC) Synpunkter på uppdateringsbehovet begärdes då in av COSO: s arbetsgrupp - dess förslag offentliggjordes i juni 2016 (20.000 nedladdningar) Remissvar begärdes in och offentliggjordes e^er hand fram Mll 30 september 2016( 48 publicerade remissvar varav häl^en utanför Nordamerika) Arbetsgruppens slutliga förslag, e^er COSO- beslut om uppdaterat ramverk, offentliggjordes 6 september 2017 (och kan laddas ner/köpas via coso.org) x) COSO skapades av fem amerikanska branschorganisamoner inom ekonomiområdet. 2

ISO 31 000:2009 - på väg al uppdateras OrganisaMonen ISO förvaltar ramverket/standarden 31 000. Engelsk version (Risk Management) kom 2009 och en svensk översäbning (SIS Risk hantering) året e^er. ( se iso.org och sis.se) Arbetssäb: ISO och dess landbaserade medlemsorganisamoner erbjuder intresserade ab delta i en standard- arbetsgrupp som tar fram förslag som e^er omröstning blir den nya standarden. ISO 31 000 är en metastandard (dvs. kan inte cermfieras vilket många ISO- standarder kan) ISO 31 000 skiljer inte på perspekmvet Intern styrning och kontroll och generell riskhantering (vilket COSO gör genom sina två ramverk). Arbetet med ny uppdatering började 2015. Skulle enligt plan vara klar 2016. Nu meddelas ab uppdateringen ska bli klar i slutet av 2017/början 2018. OBS. Det finns andra generella riskramverk men COSO och ISO dominerar.

Om COSO ISK och COSO ERM COSO Internal Control (=Intern styrning och kontroll, ISK) är det mest spridda ramverket om riskhantering men den är inte fullständig då den begränsar området för riskhantering (a) endast undvika/reducera risker och b) ingen granskning av givna mål). COSO Internal Control kom redan 1992 - spreds e^er hand långt utanför USA, blev grunden för lagsm^ning och riktlinjer och uppdaterades 2013. COSO Enterprise Risk Management (ERM = organisamonsövergripande riskhantering) kom 2004 och bygger på COSO Internal Control. COSO ERM är inte lika etablerat utanför USA som COSO Internal Control och har utsabs för en del professionell krimk (bl.a. riskbegreppet). Stort intresse inför uppdateringen av ERM- ramverket.

Några huvudpunkter i uppdateringen (1) Begreppet risk har inte längre begränsats Mll sådant som ska undvikas (nega;va risker är kärnan i riskbegreppet i COSO Internal Control och var delvis kvar i COSO ERM från 2004) Risk inkluderar nu ab våga/vilja välja farofyllda vägar för ab uppnå något bra/bäbre i verksamheten. q Posi;va risker blir den andra delen av eb gemensamt riskbegrepp, risk ska nu undvikas eller e^ersträvas 2004 års begrepp opportunimes blir nu posimva risker. RiskdefiniMonen är The possibility that events will occur and affect the achievement of strategy and business objec;ves, dvs. jämförbar med riskbegreppet i ISO 31 000: Osäkerhetens effekt på mål/the effect of uncertainty on objec;ves) Riskanalysen i nya COSO ERM knyts Mll hantering av risker för ab skapa, bevara och förverkliga värden. Värdeprocessen i en organisamon står nu tydligare än Mdigare i centrum för riskarbetet. Riskarbetet knyts än mer Mll strategifrågor och den fakmska förmågan ab prestera (performance).

Några huvudpunkter i uppdateringen (2) En ny definivon av ERM: The culture, capabili;es, and prac;ces, integrated with strategy- selng and its execu;on, that organiza;ons rely on to manage risk in crea;ng, preserving, and realizing value. (definimonen har frikopplats från definimonen av COSO Internal Control men enklare?, nja). Både en tydligare åtskillnad mellan COSO ERM och COSO ISK och mer ubalat ab COSO ERM är en påbyggnad på COSO ISK och med ERM rensad från sådant som redan finns i COSO ISK (Frågor om kontrollakmviteter är t.ex. helt borta i COSO ERM - bara en direkt hänvisning Mll COSO ISK). COSO ERM har nu fem komponenter - helt åtskilda från COSO ISK: s fem komponenter. (COSO ERM 2004 hade åba komponenter som egentligen bara var en utvidgad variant av COSO ISK:s fem komponenter.) Dessutom: 20 principer ska förklara de nya fem komponenterna ( I versionen från 2004 fanns 37 faktorer under de åba komponenterna). En exempelsamling är utlovad av COSO.

Teori: Komponenter, målområden, organisa4on Numer bara rapportering Intern styrning och kontroll och riskhantering enligt COSO-modellerna STRATEGISK OPERATIONELL RAPPORTERING LAGENLIGHET Intern miljö Målformulering SUBSIDIARY BUSINESS UNIT Händelsidentifiering Riskbedömning Riskåtgärder Kontrollaktiviteter Information och Kommunikation Utvärdering och förvaltning ENTFFITY - LEVEL DIVISION Visa inte denna illustration för Era chefer. ERM-kuben nu borta!!! 2-1

Komponenterna i uppdaterade COSO ERM Fem nya komponenter (de åla från 2004 är borta): 1. Styrning och kultur för riskhantering överallt i organisamonen Risk Governance and Culture: Risk governance sets the organizamon s tone, reinforcing the importance of, and establishing oversight responsibilimes for, enterprise risk management. Culture pertains to ethical values, desired behaviors, and understanding of risk in the enmty. 2. Strategi och målformulering knutet Mll riskhanteringen Risk, Strategy, and ObjecVve- Se[ng: Enterprise risk management, strategy, and objecmve- semng work together in the strategic- planning process. A risk appemte is established and aligned with strategy; business objecmves put strategy into pracmce while serving as a basis for idenmfying, assessing, and responding to risk. 3. Risk i verkställandet (av strategi och saba mål) Risk in ExecuVon: Risks that may impact the achievement of strategy and business objecmves need to be idenmfied and assessed. Risks are priorimzed by severity in the context of risk appemte. The organizamon then selects risk responses and takes a poroolio view of the amount of risk it has assumed. The results of this process are reported to key risk stakeholders. 4. Granska och ev. revidera så ab komponenterna fungerar Monitoring Enterprise Risk Management Performance: By monitoring risk management performance, an organizamon can consider how well the enterprise risk management components are funcmoning over Mme and in light of substanmal changes. 5. InformaVon, kommunikavon och rapportering av riskfrågor konmnuerligt Risk InformaVon, CommunicaVon, and ReporVng: Enterprise risk management requires a conmnual process of obtaining and sharing necessary informamon, from both internal and external sources, which flows up, down, and across the organizamon.

De 20 principerna under de fem komponenterna Governance & Culture 1. Exercise Board Risk Oversight, 2. Establishes OperaMng Structures, 3. Defines Desired Cultures, 4. Demonstrates Commitment to Core Values, 5. Abracts, Develops, and Retains Capable Individuals Strategy & ObjecMves- Semng 6. Analyses Business Context, 7. Defines Risk AppeMte, 8. Evaluates AlternaMve Strategies, 9. Formulates Business ObjecMves Performance 10. IdenMfies Risk, 11. Assesses Severity of Risk, 12. PrioriMes Risk, 13. Implements Risk Responses, 14. Develops Poroolio View

De 20 principerna (forts.) under de fem komponenterna Review & Revision 15. Assesses SubstanMal Change, 16. Reviews Risk and Performance, 17. Persues Improvement in Enterprise Risk Management InformaMon, CommunicaMon & ReporMng 18. Leverages informamon and Technology, 19. Communicates Risk InformaMon, 20. Reports on Risk, Culture and Performance

En idébild presenterad i uppdaterade COSO ERM:

YLerligare en idébild I uppdaterade COSO ERM:

Kommentarer Vll COSO: s uppdatering Norman Marks, USA, en konsult i riskhanteringsfrågor värd ab lyssna på: a) striktare koppling risk- beslutsfabande/styrning behövs, b) riskanalyser ska inte bara påverka strategi och beslutsfabande utan även sy^e/visioner(mission) c) men i stort posimv Mll remissutgåvan Brimska InsMtute of Risk Management (IRM): a) Precisering av begreppen osäkerhet, sannolikhet och nyckelrisker bör göras b) Uppföranderisker (conduct risks) måste behandlas bäbre och ordentligt c) i övrigt ganska posimva kommentarer KonsultorganisaMonen ProMvity i USA är väl värd ab lyssna på.

Om uppdateringen av ISO 31 000 ISO 31 000 generell riskhantering - kom 2009. Den internamonella organisamonen för standards, ISO, fokuserar tradimonellt på strikta definimoner och principfokuserade texter (ganska långt från COSO: s ordrika och resonerande utläggningar och dess råd (eb drygt 20- tal thought papers) om hur en samlad bedömning av riskhanteringen bör göras). 31 000 Mllhör de standards som saknar möjligheten ab cermfieras mot. ISO gör regelbundna uppdateringar av sina standards. En arbetsgrupp (med landbaserade representanter) är Mllsab och arbetar med uppdateringen av 31 000. UMfrån pressmeddelanden kan man utläsa ab första försöket Mll beslut under 2016 inte lyckades. Det har skjumts fram Mll slutet av 2017/början av 2018. ISO gör inga branschuppdelade aspekter. Sådana kan man hiba i New Zealand/ Astralian standard för riskhantering - en påbyggnad på ISO 31 000. ISO har (ännu?) ingen motsvarigheter Mll de många kompleberingar / fördjupningar som finns samlade på coso.org.

Om COSO och ISO COSO: s och ISO: s standards är numer mycket lika i synsäl men en strikt jämförelse av de två saknas (deras delvis olika begrepp för liknande företeelser bör jämföras). Ab ISO inte gör skillnad på intern styrning och kontroll och organisavonsövergripande riskhantering kan uppfabas som både en fördel (samma hantering rakt igenom) och en nackdel (hanteringen av risker kan gynnas av ab det sker en funkmonell och organisatorisk uppdelning i två spår och ab uppdelningen har stöd i lagar och riktlinjer internamonellt). Särskilt i Europa finns många organisamoner som arbetar med både COSO och ISO men i olika delar av organisamonen. MEN COSO nämner inte ISO och ISO nämner inte COSO (En form av beröringsskräck i amtyden Mll varandra? L ). Andra får ta på sig rollen ab klara ut likheter och skillnader i begrepp och synsäb mellan de två och diskutera a) hur de två kan samsas i riskhanteringen inom en och samma organisamon och b) göra det läbare ab jämföra riskhantering mellan olika organisamoner

Några reflexioner Jag gissar ab ISO- uppdateringen medvetet avvaktat slutversionen av COSO ERM och för ab ta hänsyn Mll ev. krimk mot COSO ERM. Kanske organisamoner gör klokt i ab avvakta med implementering av COSO ERM Mlls den uppdaterade versionen av ISO 31 000 är klar. Standards ska bara vara utgångspunkten för den specifika och konkreta hanteringen av risker i en organisamon. Standards handlar om etablerade räbesnören oavseb om de är rikmgt bra eller mindre bra (Här hamnar den dukmge Norman Marks i en honungsfälla han lanserar sex egna bäbre principer för riskhantering och bortser från det starka behovet ab räba in sig i ledet ). Den mest avgörande nyckeln Mll framgång med riskhanteringen är nog ledningens vilja och förmåga ab integrera riskfrågor i dess styrande arbete och beslut i stort. Frågor om uppföranderisker/förtroenderisker måste framöver behandlas bäbre än vad vi kan se hos COSO och ISO! Torbjörn Wikland