© Acando AB© Acando AB

Från internkontroll och rapportering till Enterprise Risk Management

© Acando AB

Utmaningen

2

Kunde vi ha varit bättre rustade?

© Acando AB

Modern riskhantering– att hitta balansen mellan hot och möjligheter

33

”The first step in risk management is to acknowledge the reality of risk.”Charles Tremper

© Acando AB

Mognadsnivån inom riskarbete – vanlig situation

4

Styrelsen, ledning och investerare vill ha mer information om risker – saknar överblick

Externa krav (bolagskoden) på internkontroll präglar riskarbetet

Otydliga mål med riskhanteringen

Många viktiga beslut fattas utan att risker och möjligheter värderas

Riskhanteringen är inte naturlig del av strategi och affärsplanering – bara rapportering

Olika enheter hanterar risker olika (finans, projekt..) – stuprör

Svårt fånga upp risker vid uppföljning av verksamheten

Vilket värde skapar riskhanteringen?

© Acando AB

Mognadsnivån – processen för internkontroll präglar ofta riskarbetet

5

COSO internal control framework

Fokusområden

Styrning

Processer

Metoder

Internkontroll

Den process som utformats för att ge en god försäkran om att verksamhetens mål uppnås beträffande:

Ändamålsenlig och effektiv verksamhet, Tillförlitlig finansiell rapportering

Efterlevnad av lagar och förordningar

Baseras ofta på ”Koden för bolagsstyrning”

© Acando AB

Men….. kraven på mer effektiv riskhantering ökar

6

Externa krav på effektivare internkontroll och riskhantering (EU-direktiv, lagar bolagskoden, Basel II, Solvency II, SOX…)

Ökad kunskap och mognad inom riskhantering

Ledningar och styrelser upplever en ständigt ökande riskexponering

Behov av förbättrad tillförlitlighet och information om hot och möjligheter

Drivkrafter

© Acando AB7

Varför nya lagkrav inom riskhantering

Myndigheterna har fått nog av alla skandaler!

Hur placera kapital?

Bank/försäkring

Aktier

Konsumtion

© Acando AB

Nya lagkrav inom riskhantering 2009

8

Revisionsutskott49 a § I ett aktiebolag, vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad, ska styrelsen ha ett revisionsutskott. Utskottets ledamöter får inte vara anställda av bolaget. Minst en ledamot ska vara oberoende och ha redovisnings- eller revisionskompetens.   Bolaget får besluta att styrelsen inte ska ha något revisionsutskott, förutsatt …..

49 b § Revisionsutskottet ska, utan att det påverkar styrelsens ansvar och uppgifter i övrigt,1. övervaka bolagets finansiella rapportering,2. med avseende på den finansiella rapporteringen övervaka effektiviteten i bolagets interna kontroll, internrevision och riskhantering,3. hålla sig informerat om revisionen av årsredovisningen och koncernredovisningen,4. granska och övervaka revisorns opartiskhet …….

Aktiebolagslagen, 8 kap. Bolagets ledningIkraft 1 juli

Effektiv riskhantering ett krav

Förvaltningsberättelse"1 § Förvaltningsberättelsen skall innehålla en rättvisande översikt över utvecklingen av företagets verksamhet, ställning och resultat……. Upplysningar skall även lämnas om 1. sådana förhållanden ….som är viktiga för bedömningen av utvecklingen av företagets verksamhet, ställning och resultat,…3. företagets förväntade framtida utveckling inklusive en beskrivning av väsentliga risker och osäkerhetsfaktorer som företaget står inför

Bolagsstyrningsrapport6 § Förvaltningsberättelsen för ett aktiebolag vars aktier, …är upptagna till handel på en reglerad marknad ska innehålla en bolagsstyrningsrapport, …..   Bolagsstyrningsrapporten ska innehålla upplysningar om 1. vilka principer för bolagsstyrning som tillämpas, utöver dem som följer av lag eller annan författning, och var uppgifter om dessa principer finns tillgängliga,2. de viktigaste inslagen i bolagets system för intern kontroll och riskhantering i samband med den finansiella rapporteringen,

Årsredovisningslagen, 6 kap.Ikraft 1 mars

övervaka effektiviteten i bolagets interna kontroll, internrevision och riskhantering,

inklusive en beskrivning av väsentliga risker och osäkerhetsfaktorer som företaget står inför

bolagets system för intern kontroll och riskhantering

© Acando AB

Tanken med Enterprise Risk Management – tillvarata interna drivkrafter

9

ERM = extra mycket riskhantering

Historia FramtidKvantitativa värden

Resultat Tillgångar Aktiekurs

etc.

Kvalitativa värden

Anseende Marknadsposition

Kompetens etc.

Uppnå verksamhetsmål Hantera hot Tillvarata möjligheter

Nu

Hantera hot och möjligheter vid förverkligandet av verksamhetsplaner, skapa och bevara värden samt skydda sitt anseende.

Styrka Svaghet

Möjlighet Hot

© Acando AB

Vad är idén med ERM - nyckelord

10

Verksamhetsövergripande

Integrerad

Finansiella

Anseende

Strategiska

Operativa

Hot och möjligheter för

hela verksamheten

Styrning och

beslut

Verksamhets-utveckling

Hot ochmöjligheter

Verksamhets-mål

Vi lever i en integrerad värld

© Acando AB

ERM berör många intressenter

11

Styrning och

beslut

Verksamhets-utveckling

Hot ochmöjligheter

Verksamhets-mål

Ägare

Samhället

Kunder

Ledning Personal

Ska jag investera?

Rätt beslut? Rätt arbetsgivare?

Rätt partner?

Respekterad samhällsmedborgare?

Kravet på transparens ökar

Insikter är resultatet av en fortlöpande och systematiskt kartläggning

© Acando AB

ERM i praktiken – del av ledningssytemet

12

ERM omfattar

Alla väsentliga hot och möjligheter – tänk SWOT

Strategisk planering, beslutsprocesser, verksamhetsutveckling och internkontroll

Ett gemensamt språk

Definition av verksamhetens totala riskaptit och risktolerans

Kravställning och mål med riskhanteringen

Hur olika riskkategorier ska identifieras och mätas

Övergripande riktlinjer

COSO ERM

© Acando AB13

ERM i praktiken – del av ledningssystemet

Riskinformation samlas för hela verksamheten

Risk/möjlighets-portfölj både på enhetsnivå och för hela verksamheten

Konsekvenser värdesätts i ekonomiska termer så långt det är möjligt

Verksamhetsgemensam syn på hur man ska hantera risker

Samverkan inom riskorganisationen

Integration av riskhantering i dagliga beslut och processer

Ett gemensamt informationssystem för riskhantering

ERM som process

Verksamhetsövergripande ledningsprocess

© Acando AB

Vad verksamheter med högre mognadsnivå kan uppnå

14

Ökat värde med riskarbetet!

Nyttan med ERM

Bättre skydd av verksamhetens anseende

Förbättrade verksamhetsplaner och strategier

Bättre hantering av övergripande hot och

möjligheter för verksamheten

Ökad beslutskvalitet

Minskade oförutsedda förluster

Ökad effektivisering i processer och arbetssätt

Sammanhållna åtgärder mot samverkande

risker

Effektivare kapitalutnyttjande

© Acando AB

Hur ökar man mognadsnivån

15

Risk management governance

Risk management infrastruktur

Risk management processer

© Acando AB16

Hur öka mognadsnivån

LagkravVerksamhets-

nytta

Skapa effektivareriskhantering

Steg 1 – styrelse och ledning tar sitt ansvar

© Acando AB

Hur öka mognadsnivånSteg 2 – hur ser riskkartan ut i verksamheten

17

Omvärldsrisker

Förväntningar från ägare

Kundkrav

Marknadsutveckling

Leverantörer

Teknikinnovationer och val

Finansiell marknad

Lagar och förordningar

Regulatoriska krav

Politiska

Miljörisker

Cerifikat

Finansiella

Räntor

Kassaflöde

Valutaeffekter

Eget kapital

Likviditet

Krediter

Skatt er

Finansiella instrument

Placeringsportfölj

Rykte

Image

Varumärke

Affärsetik

Intressentrelationer

Operationella

Verksamhetsprocesser

Kapacitet

Infrastruktur

Rapportering och bokföring

FOU

Effektivitet

Flexibilitet

Tillgångar

Personal och kompetens

Samarbetspartners

Regulatorisk efterlevnad

Kvalitet

Katastrofhantering

Kontinuitetsplanering

Varu- och tjänsteflöde

Fysisk säkerhet

Bedrägeri och brott

Intrång

Brandsäkerhet

Arbetsmiljö

Hälsa

Personsäkerhet

Stöld

Ansvar

Ledning/styrning

Ledarskap

Ansvar och roller

Kommunikation

Organisation och kultur

Ekonomisk planering och uppföljning

KPI och mätetal

Strategi

Visioner och mål

Affärsmodell

Resurser

Investeringar

Produkt/tjänste portfölj

Konkurrenter

IT

Affärssystem

Finansiella system

Teknik och infrastruktur

Tillgänglighet

Säkerhet

Support

Processrisker Styrningsrisker

Publik rapporteringLegala kravInternkontroll och riskhanteringRevisioner

Rapportering

Värderisker

Tillgångar

Inventarier

Fastigheter och mark

Finansiella tillgångar

Patent/märkesskydd

© Acando AB

Hur öka mognadsnivånSteg 3 – var befinner vi oss nu

18

Risk management governance

Risk management infrastruktur

Risk managementprocesser

KravställningRiskmedvetenhetKompetensKulturProcesserRoller/ansvarResurserMetoderVerktyg

Acandorisk

screening*

© Acando AB

Hur öka mognadsnivånSteg 4 – vilket gap finns

19

Nuläge

KravställningRiskmedvetenhetKompetensKulturProcesserRoller/ansvarResurserMetoderVerktyg

Börläge

DrivkrafterFörväntade effekter och mål

Hinder

Förändringsplan

© Acando AB20

Risk managementgovernance

Riskmedvetenhet och kultur

Riskdefinitioner och nomenklatur

Riskfilosofi och kopplingtill strategi

Riskaptit och toleransOrganisation, roller

och ansvar

Policy och styrdokument

Kravställning

Hur öka mognadsnivånSteg 5 – utveckla och anpassa governance

© Acando AB21

Risk managementprocesser

Riskbedömning

Riskhantering

Uppföljning

Rapportering

Riskidentifiering

Hur öka mognadsnivånSteg 6 – utveckla och anpassa processer

Integrera i ledningssytemet

Kommunikation

© Acando AB22

Hur öka mognadsnivånSteg 7 – utveckla och anpassa infrastruktur

Risk managementinfrastruktur

InformationsmodellerRiskbeskrivningRiskregisterRapporterDokument

MetoderRamverk (COSO ERM, ISO31000)RiskworkshopBedömningsmetoderChecklistorExterna krav

InformationsteknikApplikationlösningIntegrationSäkerhet

© Acando AB23

Hur öka mognadsnivånSteg 8 – ERM är en resa utan slutmål

Effektivare riskhantering

Grundläggande förutsättningar

Processer Metoder och verktyg

Verksamhets-utveckling

© Acando AB24

Utmaningen

Kunde vi ha varit bättre rustade?

© Acando AB

Acandos syn på ERM

25

”Utifrån ägarnas, kunders, myndigheters och personalens krav, ska verksamhetsövergripande riskhantering bidra till säkerställande av verksamhetens förmåga att hantera dess hot och möjligheter vid förverkligandet av sina affärsidéer och affärsplaner.

De insikter som är resultatet av en fortlöpande och systematiskt kartläggning och värdering av konsekvenser och sannolikheter för risker, deras samverkan samt ackumulerade effekter, ska utgöra underlag för beslut, regelverk, processer och aktiviteter som syftar till att optimera verksamhetens värdeskapande tillgångar samt att skydda verksamhetens anseende.”

© Acando AB26

Slut