ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul A6 Etablering av ERM-kontekst
ENHET A6.5 Organisering og ansvar i ERM-systemet:dokumenterer viktigheten av en effektiv organisasjonsmessig struktur for håndtering av muligheter/trusler med klart definerte roller, oppgaver og ansvar, er sentralt for å lykkes med systemet. Dessuten beskrives første-. annet- og tredjelinjeforsvaret og viktigheten av å gjennomføre workshop. |
En effektiv organisasjonsmessig struktur for håndtering av muligheter/trusler med klart definerte roller, oppgaver og ansvar, er sentralt for å lykkes med systemet. For å unngå gap, overlapping og svakheter i den organisasjonsmessige strukturen, trengs det klare skillelinjer, roller og ansvar. Noe av det første en organisasjon som skal komme i gang med ERM må gjøre, er å se på hvilke presiseringer angående ansvar som må gjøres innenfor eksisterende organisasjon. Dernest hvilke tilpasninger organisasjonen ellers må gjøre for at systemet som helhet skal fungere.
Det er sjeldent praktisk eller ønskelig at innføringen av et ERM-system alene skal ha konsekvenser for ”kommandorekkefølgen” eller resultatansvar. Det kan derimot være hensiktsmessig at en syklisk informasjonsinnhenting, analyse og rapportering, finner sted på siden av den tradisjonelle linjeorganisasjonen. Det kan sikre at informasjon som ellers ville gått tapt som følge av ”støy” i form av prestisje, bonussystemer, eller manglende integritet likevel kommer frem.
Andre tilpasninger som kan være ønskelig å gjennomføre, kan være knyttet til hvilke ambisjoner organisasjonen har. Er motivet for innføring av ERM å tilfredsstille SOX (Sarbanes Oxlies Act) kan det eksempelvis bli nødvendig å etabler en såkalt ”revisjonskomité” (Se enhet 3.2.1 Juridiske krav USA). Organisasjoner som tidligere ikke har hatt internrevisorer, kan også finne det hensiktsmessig å etablere en slik funksjon i forbindelse med innføringen av ERM. Men vi presiserer at vi håper at organisasjoner som innfører ERM først og fremst er motivert av at ERM skaper verdi og ikke kun implementeres for å tilfredstille etterlevelseskrav.
| Det kan være praktisk å betrakte den videre fordeling av ansvar i ulike nivåer som representerer forsvarslinjer:Førstelinjeforsvar: Dette er normalt de ulike organisasjonsenhetene med støtte/spesialist-avdelinger som IT,Finans, Strategi etc., både i eventuelle divisjoner og datterselskap. Her ligger den daglige risiko-overvåking, rapportering og håndtering, også kalt ORM (Operasjonell Risk Management). Normalt vil det være her de resultatmessige konsekvenser av uønskede hendelser blir synlige. Andrelinjeforsvar: Den andre forsvarslinjen er gjerne en sentral enhet/person, eller avdeling ofte kalt ”Corporate Risk Management (CRM). Enhetens ansvar er i første rekke å bidra til å fastlegge policy og å koordinere/administrere ERM-arbeidet. Avhengig av organisasjonenes størrelse er dette en funksjon/rolle en enkelt ansatt kan ha i tillegg til andre funksjoner/roller, eller en avdeling av personer dedikert til det formål. Tredjelinjeforsvar: Dette er en funksjon som fører uavhengig tilsyn med ERM-systemet og oppfølgingen av dette. Funksjonen er gjerne utført av en intern revisjonsavdeling eller annen frittstående enhet (gjerne innleid), som rapporterer direkte til styret. |
Figur A6-7 Illustrasjon av organiseringen som forsvarslinjer.
A6.5.1 Forankring av ansvar
Store konsern kan være representert med datterselskaper i over 100 forskjellige land med ulike regnskapsregimer. Slike konsern er helt avhengige av at den standard-isering som pågår fortsettes og fullføres. I mellomtiden finnes det ikke noen enkelt standard, som gjelder overalt. Det vil derfor normalt være styret for det enkelte lokale organisasjon som vil være ansvarlig for at lokale lover og regler følges.
Dersom et norsk selskap direkte eller indirekte gjennom et morselskap i utlandet vesentlig henter sin egenkapital gjennom en utenlandsk børs (for eksempel NYSE), vil også dette kunne få konsekvenser mht. rapporteringskrav. Samlet sett resulterer dette gjerne i at større konsern finner det hensiktsmessig å standardisere prosesser og rapportering fra datterselskap i en slags ”fellesnevner”. Det er imidlertid viktig at disse kravene nedfelles og formaliseres i avtaler mellom selskapene. Uten slike entydige avtaler vil forankringen av forpliktelsene ofte vise seg utilstrekkelig til å holde rutinene i gang, eller i beste fall bli svært personavhengige. Det er også viktig at avtalene gjøres så høyt opp i avtalehierarkiet som mulig, for å gi avtalen den nødvendige autoritet. Avtaler mellom administrasjonen i de respektive selskap bør derfor unngås. Det vil mest trolig ville være hensiktsmessig å inkorporere denne forankringen i allerede eksisterende avtaleverk.
Internasjonale konsern vil normalt ha såkalte internprisingsavtaler (”transfer pricing”), som regulerer hvilke tjenester selskapene skal yte hverandre, videre hvem som skal bære risiko og hvilke priser som dermed skal gjelde mellom selskapene. De ulike lands skatteregimer viser etter hvert stor interesse for disse avtalene og krever dokumentasjon både på avtalene i seg selv og at de konsekvent praktiseres. Vår anbefaling er derfor at organisasjonen vurderer behovet og muligheten for å knytte et ERM-system opp mot disse avtalene med sikte på å kunne dokumentere fordelingen av risiko konsernselskapene i mellom.
A6.5.2 Førstelinjeforsvaret
Førstelinjeforsvaret består hovedsakelig av organisasjonens normale linjeorganisasjon i form av forretningsenheter og spesialavdelinger. ”Den kjenner best hvor skoen trykker, som har den på”.
|
Det er normalt her risiko oppstår og her konse-kvensene må synliggjøres. Det er også her organisasjonen i første rekke må identifisere risikoene og mulighetene, veie disse mot mulige inntekter og iverksette mulige tiltak |
|---|
A6.5.2.1 Oppgaver og ansvar i forretningsenhetene
I etterstrebelsene etter nye forretninger og vekstmuligheter må linjeledelsen avstemme sin forretningsstrategi med organisasjonens overordnede strategi.
I utøvelsen av denne forretningsstrategien, skal risikoene ved forretningstransaksjon-er veies og inkluderes i prissettingen og lønnsomhetsmålene.
Forretningsenhetenes ansvar inkluderer derfor følgende:
|
Organisasjonsenhetens ledere skal videre sikre at ERM er inkorporert konseptuelt i prosjekter så vel som i faste daglige rutiner.
6.5.2.2 Ansvarlighet innen en matriseorganisasjon
Store organisasjoner er ofte entreprenører som utøver sin forretning globalt og innen flere produktområder. Slike organisasjoner er ofte organisert i såkalte matriseorganisasjoner.
Eksempelvis kan en slik matrise bestå av divisjoner og regioner. Divisjonene er gjerne ansvarlig for et enkelt produkt/en tjeneste eller beslektede grupper av disse. Regionen på sin side er gjerne ansvarlig for et geografisk marked i form av et område, land eller gruppe av land.
Figur A6-8 Matriseorganisasjonen.
Det er i slike tilfeller gjerne divisjonene som står for utvikling og produksjon, mens regionene står for markedsføring, lokal distribusjon og salg. Fordi verken den ene eller den andre av disse enhetene i utgangspunktet kan forventes å sitte med et komplett bilde av alle detaljer innen den totale verdikjeden, blir samarbeide og rapportering her svært viktig når organisasjonen skal overskue alle vesentlige muligheter/trusler og kalkulere konsekvensene av disse.
Ansvaret for rapportering og håndtering av muligheter/trusler må reflekteres gjennom det forretningsmessige ansvar. Likevel er det ikke problemfritt å få dette til å fungere. Det er heller ikke likegyldig hvilken vei informasjonen går. Noen interesse-konflikter vil kunne oppstå dersom systemet ikke tar hensyn til denne organisasjonsformen.
Normalt vil det være nødvendig at divisjonene styrer prosessen på tvers av regionale enheter for at organisasjonen skal kunne skaffe seg et fullstendig bilde av alle muligheter/trusler. Dette vil imidlertid kunne skape en fragmentert og svært tungrodd prosess i regionene, dersom organisasjonen ikke tar nødvendige hensyn. Likeledes er det en fare for at enkelte risikoer eller muligheter faller i mellom divisjonenes interesseområder og derfor ikke blir ivaretatt av disse. Likevel kan disse risikoene eller mulighetene ha vesentlig betydning for en samlet region. Der organisasjonen ser at dette kan bli en problemstilling, bør den derfor bygge et system som tar hensyn til dette.
Ellers må normalt følgende gjelde:
|
A6.5.2.3 Oppgaver og ansvar i spesialist-/stabsavdelinger
Det kan diskuteres om spesialistavdelinger skal betraktes som førstelinje, eller annenlinjeforsvar. Enkelte ERM-miljøer velger å tilordne noen spesialistavdelinger til førstelinjeforsvaret, og andre spesialistavdelinger til annenlinjeforsvaret. Avgjørende for konklusjonen i denne sammenhengen vil normalt være den enkelte avdelingens individuelle resultatansvar og evne til å overskue den fulle konsekvens av de muligheter/trusler den omgis av. For å redusere mulighetene for at spesialist-avdelingenes innsikt ikke skal tilflyte den senere ERM-kjerneprosessen mener vi det er riktig å betrakte alle spesialistavdelinger som del av førstelinjeforsvaret.
6.5.2.4 Spesialistavdelinger med resultatansvar
Spesialistavdelinger som tar egen risiko i kraft av å utøve sin funksjon og er resultatmessig ansvarlig for utfallet av sine disposisjoner, må normalt betraktes på samme måte som øvrige forretningsenheter. Disse avdelingene bør klart kunne avkreves å være i stand til å ha oppfatninger om både sannsynlighet og mulig økonomisk konsekvens av sine disposisjoner på linje med andre resultatenheter. Eksempel på slike avdelinger/organisasjonsenheter kan være avdelinger som på vegne av sin organisasjon har til oppgave å forvalte verdier som valuta, aksjeporteføljer, eiendommer etc. på siden av organisasjonens normale kjernevirksomhet.
6.5.2.5 Spesialistavdelinger uten resultatansvar
Spesialistavdelinger som har mer rådgivende karakter og som har som formål å støtte andre resultatenheter har normalt ikke selvstendig resultatansvar. Dette kan være regnskaps, reklame-, IT-, kreditt-, og personalavdelinger. Disse sitter på verdifull kompetanse om forhold som kan ha store konsekvenser for sine respektive organisasjoner. Likevel vil slike avdelinger ofte ha problemer med å vurdere de totale konsekvensene av de risikoer de til daglig omgås eller de mulighetene de går glipp av. Eksempelvis vil ofte en IT-avdeling kunne ha meninger om sannsynligheten for at et ordresystem skal falle ut for en nærmere angitt periode. Derimot vil de normalt ikke kunne vurdere de markedsmessige konsekvenser av et slikt utfall. Som vi senere skal komme inn på, vil slike problemstillinger kunne nødvendiggjøre særskilte tiltak, eller faseforskyvning, i den etterfølgende ERM-kjerneprosessen.
Disse avdelingene er gjerne ansvarlig for følgende områder:
|
For i størst mulig grad å nyttiggjøre seg eksisterende ekspertise fra spesialist- avdelingene i ERM-systemet, bør risikokategoriseringen reflektere organisasjonens struktur. Det er her forsøkt å ivareta sammenhenger mellom essensielle risikoområder og de spesialistavdelinger som normalt eksisterer.
A6.5.3 Andrelinjeforsvaret,oppgaver og ansvar til Corporate Risk Management
Andrelinjeforsvaret ivaretas normalt av ” Corporate Risk Management”. Med ”Corporate Risk Management” (CRM) menes i denne sammenhengen den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system og den kollektive bevisstheten mht. muligheter/trusler som er nødvendig for at ERM-systemet skal ha noen mening. Dette inkluderer alt fra spesialkunnskap til ”føre var (proaktiv) holdninger” , metodikk, systemer og andre støtteverktøy som for eksempel IT-hjelpemidler. CRM skal med andre ord ikke ha forretningsmessig resultatansvar.
Oppgavene er kun av faglig og administrativ art og omfatter:
|
Noen organisasjoner finner det hensiktsmessig å sette sammen CRM av representanter for de ulike spesialavdelingene og forretningsenhetene (første linjeansvaret). Disse behøver ikke nødvendigvis ha ERM som eneste arbeidsfelt, men har gjerne det primære koordineringsansvaret innen sine respektive enheter og omtales da gjerne ”Risk Champions”.
Enten ”Risk Champions” funger på deltid eller fulltid, vil deres oppgaver stort sett være avledet av de oppgaver CRM har som enhet:
|
I andre større organisasjoner kan CRM bestå av flere personer som utelukkende har CRM som arbeidsfelt.
Til å koordinere og administrere arbeidet med ERM-systemet bør det utnevnes en ”Chief Risk Officer” (CRO)). Dette kan selvfølgelig være en av de utnevnte ”Risk Champions” som har fått dette som særlig oppgave, eller også en ”fulltids” CRO.
Avhengig av organisasjonenes ERM-kultur kan betydningen av CROs mandat og administrative tilordning ha stor betydning for resultatet av vedkommendes arbeid.
I organisasjoner som ønsker å benytte ERM-systemet som en del av grunnlaget for styrets tilsynsansvar, anbefales det at mandatet også har utspring fra styret. CROs oppgaver er derimot i første rekke administrative. Det bør derfor normalt heller ikke være noe problem at den administrative tilordning legges til organisasjonens daglige ledelse. Likevel må vi huske at det kan være en svært ”ensom jobb” å være CRO i en organisasjon med en umoden ERM-kultur. I slike organisasjoner kan det være viktig at styret bidrar med aktiv promotering av funksjonen gjennom tilpasninger i retningslinjer, instrukser og incentivordninger.
Det har vært krefter innen det faglige miljøet for internrevisjonen som har ønsket å legge CRO sitt ansvar til internrevisjon. Vi vil gjerne understreke at dette er en løsning som ikke er uproblematisk i forhold til vår modell, hvor CRO spiller en aktiv strategisk og administrativ rolle i systemet. Vi mener det er vesentlig å skille mellom aktiv deltakelse i systemet og nøytralt tilsyn, og at internrevisjon derfor bør tilordnes et rent tredje linjeansvar.
A6.5.4 Tredjelinjeforsvaret, – revisjon og tilsyn
Tredjelinjeforsvaret har til formål å skape nødvendig sikkerhet for at ERM-systemet som helhet fungerer som det skal, og er godt integrert med øvrige rutiner i organisasjonen, samt at avgitte rapporter gir et sannferdig bilde og at nøkkelrisikoer og -muligheter blir fulgt opp som forutsatt. Oppgaven kan synes å falle naturlig sammen med mange andre tilsynsoppgaver som styret innhenter bistand fra ulike hold for å utføre.
A6.5.4.1 Oppgaver og ansvar internrevisjon
I Norge er det ingen lovfestet plikt til å ha en intern revisjonsavdeling utenfor bank, – og finansnæringen. Norske organisasjoner utenfor disse næringene som likevel har valgt å etablere en intern revisjonsavdeling, har gjerne gjort dette for å følge opp organisasjonsmønstre i moderhus i utlandet, eller som følge av sin størrelse og kompleksitet.
Etter hvert har nok også aksjelovens mer eller mindre direkte krav til styret fått større betydning:
|
Mange styrer har imidlertid behov for støtte i sine tilsynsoppgaver og muligheten til å ta tak i uheldige forhold før disse blir offentliggjort. For å oppnå dette kan det være nødvendig å avmonopolisere linjeledelsens rolle som eneste informasjonskanal for indre anliggende. Et bidrag til en slik avmonopolisering, kan være etablering av en intern revisjonsfunksjon.
Internrevisjonens oppgaver har normalt sitt utspring ut ifra styrets tilsynsplikt og behov for objektiv informasjon. Internrevisjonen rapporterer derfor i de fleste tilfeller til styret og skal normalt kun ta instrukser fra styret eller den styret har gitt fullmakt til å gi slike. Det er da også de samme behovene som ligger bak etableringen av den tredje forsvarslinjen i ERM-systemet.
Internrevisjonens integritet og rolle som det tredje forsvarsleddet i ERM-systemet, eller som del av dette, er essensielt for å vurdere effektiviteten og hensikt-messigheten av ERM på systemnivået. Styret må vite at den informasjon som når frem til dem gjennom ERM-systemet er mest mulig komplett og etterrettelig. Generelt er derfor den interne revisjonsavdelingens primære oppgave å besørge uavhengige vurderinger mht. ERM-systemet og de prosesser som understøtter det. Videre skal internrevisjonen kontrollere at de vesentligste risikoene og mulighetene følges opp med nødvendige tiltak i henhold til forslag utarbeidet under kjerneprosessen.
Internrevisjonen er spesifikt ansvarlig for:
|
Det kan være grunn til å komme med visse presiseringer i forhold til internrevisjonens oppgave med kontroll av vurderingen av muligheter/trusler og oppfølging av tiltak. Internrevisjonen skal normalt ikke vurdere om de anslag organisasjonen har kommet frem til er ”for høye” eller ”for lave” generelt sett. Snarere er det viktig å få brakt på det rene at den informasjon og de metoder som ligger bak vurderingene gir grunn til å tro at de er korrekte. Likeledes er det i forhold til ERM-kjerneprosessen ikke internrevisjons oppgave å overprøve de forslag til tiltak, som kjerneprosessen foreslår. Derimot er det internrevisjonens oppgave å påse at viktige muligheter/trusler blir fulgt opp med forslag til tiltak og at disse blir fulgt opp. Internrevisjonen kan selvfølgelig heller ikke granske de delene av systemet de selv er ansvarlig for, dvs. tredjelinjeforsvaret. Dette bør kun gjøres av utenforstående, som for eksempel ekstern revisor.
Som i alt annet revisjonsarbeid må internrevisoren sørge for å ivareta sin integritet. Uten denne integriteten vil verdien av de konklusjoner internrevisoren kommer til i utøvelsen av sine hovedoppgaver bli skadelidende. Det vil derfor være oppgaver internrevisjonen ”skal gjøre”, ”kan gjøre” og ”bør unngå”. I mangel av en egen fungerende CRO i organisasjonen, vil internrevisjonen imidlertid kunne ivareta en del konsultative oppgaver. Særlig kan dette være nytting i en innledende fase av ERM-arbeidet. I utøvelsen av oppgaver internrevisoren ”bør unngå” bør det utøves særlig aktpågivenhet.
Institute of Internal Auditors (IIA) som arbeider med internasjonale standarder for internrevisjonsarbeid, har arbeidet mye med spørsmål knyttet til ERM og intern- revisjon. Organisasjonen har i lengre tid utarbeidet og tilpasset ulike anbefalinger/standarder for internrevisjonens forhold til ERM i takt med endringer i anbefalingene fra ISO og COSO.
For organisasjoner som har, eller planlegger å etablere interne revisjonsavdelinger er det sterkt å anbefale tilpasning til disse standardene. I samarbeid sørger IIA og ISO og COSO for at det er konsistens i forholdet mellom deres respektive anbefalinger.
A6.5.4.2 Oppgaver og ansvar Eksternrevisjon
I henhold til norsk lov (asl § 7-1 og asal § 7-1) utnevnes revisor av general-forsamlingen og rapporterer (asl § 7-4/5 og asal § 7-4/5) til denne. General-forsamlingen er det eneste selskapsorgan som kan gi revisor instrukser. I tillegg til å være et organ for generalforsamlingen har ekstern revisor også mer samfunnsorienterte oppgaver som å påtale forhold som kommer i konflikt med interessene til allmennheten, ansatte, kreditorer eller det offentlige (Revl av 15. jan 1999 nr. 2). Ekstern revisor er imidlertid først og fremst et organ for general-forsamlingen, men har også opplysningsplikt ovenfor representantskap, medlem av styre eller bedriftsforsamling og den daglige ledelsen. Det er derfor en viktig kilde til informasjon for disse. Særlig vil den løpende kontakten mellom ekstern revisor, styret og den daglige ledelse kunne gi mange viktige korrektiver.
Ulikt det mange tror, er ekstern revisor ikke forpliktet til å avgi noen erklæring med hensynet til kvaliteten, eller funksjonaliteten i interne kontroller, eller andre rutiner. Ekstern revisors oppgave er først og fremst rettet mot å kunne avgi en erklæring om at de opplysninger som fremkommer i regnskapene gir et korrekt bilde med oppgjørsdato som skjæringstidspunkt. For å kunne gjøre dette må han selvfølgelig danne seg et bilde av foreliggende data og de systemer og rutiner som har ført frem til dem, samt eventuelle forutgående kontroller. Mangelfulle kontrollfunksjoner og lavere tiltro til rutiner medfører behov for mer gransking og analyse fra revisors side og øker dermed også revisjonskostnadene. Avvik som revisor oppdager må korrigeres med virkning for skjæringsdato. Årsaken som førte frem til feilen har imidlertid mindre betydning for rapportavgivelsen, dersom virkningen kan korrigeres på skjæringsdato.
Eksternrevisjonen er spesifikt ansvarlig for:
|
Dersom organisasjonen ønsker å gjøre noe med årsakene til de avvik ekstern revisor kommer over, må dette gjøres gjennom gode rutiner og systemer, supplert med kontroller utført av en intern revisjonsavdeling. Dette vil i neste omgang kunne bidra til å holde både revisjonskostnadene og andre kostnader, som følge av feil og mangler, nede.
Skal eksternrevisor gjøres til en formell del av et ERM-system, må oppdraget eller mandatet utvides. Ekstern revisor har gjort tester og stikkprøver i regnskapsmaterialet som sikkert har påvist mangler i rutiner og kontroller uten at dette nødvendigvis fremkommer av revisjonserklæringen. Disse funnene hadde vært svært verdifulle som del av et ERM-system. Videre ville det vært ønskelig at organisasjonen ”toppet” tredjelinjeforsvaret med en nøytral vurdering av funksjonalitet og hensiktsmessighet av ERM-systemet som helhet. Det vil si en vurdering som også måtte omfatte styrets og internrevisjonens funksjon i systemet. En slik utvidelse av ekstern revisors oppgave og mandat er imidlertid ikke helt uproblematisk og bør vurderes individuelt fra organisasjon til organisasjon. Uansett vil initiativet og mandatet til en slik utvidelse av revisjonsoppdraget måtte komme fra generalforsamlingen.
A6.5.5 Grensedragning for eksternrevisjon
Økende kompleksitet og takten på endringene i ulike organisasjoners omgivelser som finner sted skaper et enormt press på ledelsen og de styrende organer. Likeså gjør de organisasjonsinterne endringene. Mange av de endringene som har funnet sted har dessuten svekket eller satt helt ut av spill mekanismer som tidligere gjorde kontroller og ledelsesinformasjon troverdig. Mange organisasjoner har funnet det nødvendig å innhente ekstra kompetanse og kapasitet. Over tid har det derfor åpnet seg et stort marked for revisjonsfirmaer som ikke har stått imot fristelsen til å utvikle en rekke ”konsulenttjenester” i tillegg til sine tradisjonelle lovpålagte oppgaver. Noen har sågar stimulert utviklingen og ”avlet frem” store konsulentavdelinger som drar nytte av den innsikt ekstern revisor har i organisasjonsinterne forhold hos sin klient. Disse konsulenttjenestene omfatter alt fra rene rådgivningstjenester, og innføring av utbedrende tiltak til internrevisjonslignende oppgaver.
Dette har vært en utvikling som mange mener er både betenkelig og åpenbart uheldig. En undersøkelse Kredittilsynet gjorde i 2003 viser også at det i de senere år har utviklet seg en praksis på dette området som strider både mot revisorlovens bokstav, og lovgivers intensjon med loven. En innskjerping er derfor på gang. Man ønsket imidlertid å avvente ytterligere presisering via endringer i lovverket inntil EU-kommisjonen har lagt frem sitt ”åttende selskapsdirektiv om revisjon og revisorer”. Dette direktivet er ventet å nødvendiggjøre en fullstendig gjennomgang av hele revisorloven. For de fleste formål er imidlertid Revisorloven slik den foreligger nå klar nok. (Revl av 15. jan 1999 nr. 2)
Generelt vil vi derfor peke på to begrensninger vi må ha i tankene når forretningsforholdet til ekstern revisor utvides ut over revisjonsoppdraget:
6.5.5.1 Lovpålagte begrensninger til vern av integritet og uavhengighet
Revisorloven legger begrensninger på ekstern revisors muligheter til å påta seg andre oppdrag på siden av selve revisjonsoppdraget. Disse reglene er der for å verne om revisors integritet og uavhengighet.
Revisorloven (Revl av 15. jan 1999 nr. 2). 4-5. Rådgivningstjenester m.v.
4-6. Andre forhold
4-7. Samarbeidsavtaler, eierandeler m.v.
|
Når revisor påtar seg konsulentoppdrag på siden av revisjonsoppdraget skjer dette ofte i regi av organisasjonens styre eller daglige ledelse. Det vil si at konsulentoppdraget tildeles og instrueres av den funksjon revisor på vegne av generalforsamlingen er satt til å føre tilsyn med i revisjonsoppdraget. Kombinasjonen av ”å arbeide for” og ”føre tilsyn med” vil derfor normalt bli sett på som uheldig.
Dernest kan det reises en rekke spørsmål relatert til § 4-5 og 4-6:
|
A6.5.5.2 Mulig informasjonsbrist
Når eksternrevisor opptrer i rollen som konsulent, eller internrevisor må vi stille spørsmål om ekstern revisor er i stand til å skaffe seg den informasjon som ofte er nødvendig i internrevisors rolle. Først og fremst fordi han tross alt opptrer som ”gjest” som er til stede i et begrenset tidsrom og derfor ikke ”er under huden” på organisasjonen. Dernest vil han kunne oppleve en form for ”informasjonsvegring” fra sine intervjuobjekter. Mange vil være usikre på ”hvem” de snakker med. Er det ”den eksterne revisor” med lovpålagte oppgaver, eller en ”frittstående konsulent” som kun rapporterer til ledelsen? Som frittstående konsulent, eller intern revisor, har han/hun normalt kun en agenda og derav et begrenset mandat eller fullmakt. Å avgi informasjon har dermed også en begrenset og overskuelig konsekvens for intervjuobjektet. Som ekstern revisor har personen derimot en lovpålagt plikt til å gå videre med forhold av betydning for revisjonsoppdraget. I sin ytterste konsekvens må vi kunne stille spørsmålet om hva revisor vil gjøre, når personen i dobbeltrollen som innleid konsulent blir stilt overfor informasjon personen som revisor er pålagt å påtale, og som kan ha eksistensielle konsekvenser for personens klient? Mange vil derfor i enkelte saker vegre seg for å være åpne ovenfor en person som kan tenkes å representere eksternrevisjon, – selv i små saker uten betydning for revisjonsoppdraget.
A6.5.5.3 Ekstern revisjon og tredjelinjeforsvaret i ERM-systemet
Til tross for de betenkeligheter som måtte finnes mot å utvide ekstern revisors oppgaver, er det mye som tyder på at disse betenkelighetene ikke er like gyldige i forhold til ERM.
Internrevisjon har som nevn en klart definert rolle med sikte på å kunne støtte opp under styrets tilsynsoppgave og henter sitt mandat fra styret. Både styret og intern revisjon er jo en del av ERM-systemet og kan av den grunn prinsipielt ikke overvåke seg selv. Skulle organisasjonen ønske en slik overordnet analyse er vanskelig å tenke seg noen med bedre forutsetninger for dette enn ekstern revisjon. Dersom oppdrag og mandatet til slik oppfølging kommer fra generalforsamlingen og ikke organisasjonenes ledelse, er det også mindre sannsynlig at en slik oppgave kommer i konflikt med revisorloven. Det er derfor å anbefale at en slik løsning blir vurdert.
A6.5.6 Ledelsens rolle og ansvar
De fleste organisasjoner har et godt og hensiktsmessig ledelsesfokus og gjennomfører løpende vurderinger av muligheter/trusler for å sikre sin formues-forvaltning på en betryggende måte. En forutsetning er at organisasjonen har dedikerte og kompetente medarbeidere. Kompetanse og forståelse av hva som er viktige muligheter/trusler, og hvilke konsekvenser ulike hendelser får for organisasjonen, er sentrale elementer i en proaktiv ERM-kultur. Ledelsen spiller en sentral rolle i utviklingen av ERM-kulturen. Holdningsskapende aktiviteter og bevisstgjøring fra ledelsen er derfor viktig. Når ledelsen engasjerer seg i å definere akseptabel ERM-policy og ERM-kultur, skaper ledelsen prioriteringer i oppfølging og overvåking av de løpende tiltakene som er viktige for organisasjonen. Når dette knyttes opp til kvalitetssikringen og servicegraden overfor kundene, skaper det god forståelse blant brukerne. Det vil alltid være en aktiv operativ oppfølgingen av avvikene og overvåkingen av bildet mht. muligheter/trusler, som danner det beste grunnlaget for et effektivt arbeid med muligheter/trusler i organisasjonen (ORM).
En organisasjon trenger også å innarbeide et ERM-system/rammeverk som foruten en ERM-kultur og ERM-policy, også omfatter rutiner og prosedyrer som er forstått og blir etterlevd av menneskene i organisasjonen. En felles metodikk for analyse av muligheter/trusler som gjennomføres ensartet i alle avdelinger i organisasjonen er viktig for felles forståelse og prioriteringer av de mest utsatte risikoer og de viktigste mulighetene.
Det er ledelsens ansvar å forsikre seg om at et ERM-system er på plass og fungerer effektivt. Dette inkluderer:
|
Erfaringen som mange ledere gir uttrykk for, er at det å få den rette ERM-kulturen til å håndtere muligheter/trusler, er det viktigste og vanskeligste. De verdier som må signaliseres som viktige bidrag mot en effektiv ERM-prosess omfatter fokus på levering, åpenhet ovenfor nye ideer, og å lære av de feil organisasjonen gjør. Effektiv kommunikasjon er også essensielt for å sikre at viktige beskjeder kommer igjennom og blir forstått i organisasjonen.
A6.5.7 Styrets rolle og ansvar
Kvaliteten på styrenes arbeid får nå kritisk oppmerksomhet rundt omkring i verdenen. Vi ser at bedrifter vi trodde var solide, bryter sammen på kort tid. Mange kritiske røster reiser seg og uttrykker undring over at styrene kunne sove så lenge. Styret er ansvarlig for organisasjonen på vegne av eierne. Det kreves at styret settes sammen og arbeider slik at det reelt tar hovedansvar for organisasjonens strategi og framtid.
Styreansvaret i Norge er strengt i loven (asl av 13. juni 1997 Nr 44 og asal av 13. juni 1997 Nr 45). Styremedlemmer kan bli holdt personlig ansvarlige for styrets handlinger og unnlatelser. Ansvaret er økonomisk og kan medføre straffbarhet. Håndhevelsen av ansvaret er noe annet. Det tas sjelden initiativ med sikte på å gjøre styreansvar gjeldende, og det er enda sjeldnere at styremedlemmer faktisk blir gjort ansvarlige. Hovedårsaken til dette er nok kravet til bevisførsel. ”Unnlatelser” er den oftest forekommende feilen, men da også den vanskeligste å føre bevis for.
I større selskaper blir det likevel stadig vanligere å tegne forsikring på betydelige beløp for å kunne møte krav om styreansvar. Dette kan være et tegn på at styrene i stadig større grad blir seg bevisst at også passivitet og unnlatelser kan føre til ansvar. Likevel er det dessverre ikke uvanlig at styret passivt følger administrasjonen også når situasjonen roper på initiativ. Nølingen og passiviteten kan få fatale følger. Ofte har styrene godkjent incentivordninger for den daglige ledelse, uten samtidig å klargjøre hvile risikorammer styret forventer at ledelsen skal arbeide innenfor. Dessverre ender det da ofte med at ledelsen tar for store risikoer med uheldige konsekvenser for organisasjonen, mens det nest størst loddet i form av en fallskjerm løses ut som et vakkert skue over den enkelte leder. Dårlig styrearbeid øder verdier. Arbeidsplasser forsvinner, aksjonærer og kreditorer påføres tap, leverandører og lokalsamfunn lider.
Samfunnet vil nok vært tjent med et lovverk som oftere sørget for at det medførte konsekvenser å forsømme pliktene som styremedlem. Over tid vil kanskje strengere sanksjoner medvirke til å få fram styremedlemmer som har uavhengighet, kraft og kompetanse, til å gripe inn i tide når varsellampene blinker. Det er derfor gode grunner til å skjerpe håndhevingen av loven. Initiativ til skjerpet håndheving bør komme fra flere hold. Ikke minst fra næringslivet selv.
A6.5.7.1 Styrets samarbeide med daglig leder
I praksis viser det seg at forholdet mellom styreleder og daglig leder er avgjørende for om organisasjonen skal lykkes. Styret kan derfor fristes til å unngå konflikter med daglig leder ved å ta en passiv rolle og overlate arenaen til daglig leder. Men da svikter styret sitt ansvar, både for utforming av strategi, overvåking av at den blir gjennomført, god organisering og nødvendig kontroll. Ofte kan uklarheter i kommunikasjonen og ansvarsdeling mellom daglig leder og styret, være årsaken til manglende handling fra styrets side.
| Aksjelovens § 6-14 påpeker at det finnes begrensninger i daglig leders ansvar.”(2) Den daglige ledelse omfatter ikke saker som etter selskapets forhold er av uvanlig art eller stor betydning.” |
Hvor grensen for ”uvanlig eller stor betydning” går, – vil nok de fleste organisasjoner ha problemer med å kunne redegjøre for. Likeledes ”hva skal skje” når det ene eller det andre inntreffer? For styre og ledelsen kan derfor ERM-systemet være et viktig instrument i denne kommunikasjonen, med siktet på å skille de forhold som er daglig leders ansvar og de som må styrebehandles. De terskler(toleransegrenser) eller grenseverdier organisasjonen benytter i systemet, bør tilpasses for å gjenspeile de ulike grenser for hva som anses som daglig leders ansvar.
| Også i lovens krav til utarbeidelse av styreinstruks kan et ERM-system være et verdifullt referansepunkt. 6-23. Styreinstruks.(1) I selskaper hvor de ansatte har representasjon i styret, skal styret fastsette en styreinstruks som gir nærmere regler om styrets arbeid og saksbehandling.(2) Instruksen skal blant annet inneholde regler om hvilke saker som skal styrebehandles og daglig leders arbeidsoppgaver og plikter overfor styret. Instruksen skal også inneholde regler for innkalling og møtebehandling. |
Den daglige ledelse og styret vil med et fungerende ERM-system disponere et verktøy som gjør dem i stand til å skille mellom hendelser av vanlig og uvanlig karakter ut fra en gjensidig forståelse.
Styret har ansvaret for å bestemme den strategiske retning som organisasjonen skal gå mot og for å skape miljø og strukturene for at ERM systemet skal fungere effektivt.
Dette kan gjøres gjennom en utøvende gruppe, og en ikke utøvende gruppe. En toppledelse skal i det minste som et minimum, vurdere en evaluering av sine systemer for intern kontroll.
A6.5.7.2 Forventninger til styret
Styret forventes å bidra til verdiskaping i organisasjonen i samspill med den administrative ledelse. Undersøkelser tyder på at styret ikke uten videre bidrar til å gi retning til organisasjonen, og at det kan være mye å hente i utvikling av styrets egen organisering og arbeidsform.
For å ta stilling til hva som er styrets leveranse, kan vi ta utgangspunkt i de spørsmål et styre må være forberedt til å svare på:
|
Blir de ansvarlige svar skyldig på sentrale spørsmål knyttet til styrets ansvarsområde, er det rimelig å reise spørsmål ved om ”leveransen” fra styret er tilfredsstillende.
A6.5.8 Formalisering av datterselskaps ansvar
I et konsern må alle ledd i organisasjonen være ansvarlig for å håndtere muligheter/trusler som oppstår innen sine respektive forretningsområder. Det må videre kunne forventes at de med jevne mellomrom skal rapportere nøkkelrisikoer og de viktigste muligheter som de står ovenfor innen sine forretningsområder, og evaluere tilstrekkeligheten mht. de målinger som til en hver tid gjøres.
Omfanget av rapportering vil avhenge av både eksterne og interne krav, som for eksempel:
|
A6.5.9 Valg av arbeidsformer og teknikker
Som nevnt er det ledelsens oppgave å forsøke å forutsi de muligheter og begrensninger ved-kommendes organisasjon står overfor og tilpasse tiltak med det formål at organisasjonen skal ha størst mulig sannsynlighet for å nå sine mål. Dette er en kontinuerlig løpende prosess som gjerne starter med å identifisere de hendelser som foregår i organisasjonenes omgivelser, for deretter å vurdere om disse representerer muligheter eller trusler for organisasjonen. Mulighetene kanaliseres først og fremst tilbake til strategi og/eller planleggingsprosessene direkte, mens truslene fullt og helt inngår i ERM-prosessen.
Figur A6-9 En hendelse fører ofte til både muligheter/trusler.
Valg av arbeidsform må tilpasses de målsetninger organisasjonen har for et ERM-system og de ressurser den har til rådighet. I den ene enden av skalaen kan den ha en mindre kompleks organisasjon som kun ønsker å benytte metodikken som et overbygg og et dokumentasjonssystem i tilknytning til sitt ORM-arbeid. På den andre siden kan den ha en større kompleks organisasjon med behov for å ”kalibrere” og ”synkronisere” sine rapporteringsmetoder og spisse sin innsikt omkring de trusler og muligheter organisasjonen omgis av. Arbeidsformen behøver heller ikke å være like i hele organisasjonen, men formatene organisasjonen kommuniserer på må være ensartet og konforme. Det gjelder å finne den riktige balansen mellom effektiv integrasjon i eksisterende rutiner og stimulans til nye synspunkter og perspektiver.
Mange ulike teknikker og arbeidsformer er tilgjengelig:
|
Disse arbeidsformene vil ha ulike forutsetninger til å lykkes i ulike deler av organisasjonen. Som regel vil det være nødvendig å ta i bruk flere teknikker samtidig. Erfaringsmessig kan det derfor være best å ”gå på siden” av tradisjonelle rutiner og kommandolinjer. F. eks i form av egne spørreskjemaer som fylles ut av for eksempel risikorapportører og/eller ”workshoper”/arbeidsgrupper, når informasjon skal hentes inn. Samtidig må denne informasjonen behandles og bringes inn igjen i organisasjonens kommandolinjer og løpende rutiner uten å lage unødvendig støy. Ved å skille ut sentrale elementer av ERM-systemet og overlate utførelsen av disse funksjonene til utvalgte representanter for organisasjonen, oppnår vi den nødvendige uavhengighet fra særegne forutsetninger, preferanser og systemer. Samtidig kan det opprettholdes et klart ansvar for konformitet og ensartethet i analyse og rapportering for hele organisasjonen.
Arbeidsgruppen kan operere relativt fritt uavhengig av andre systemer i organisasjonen, og blir dermed en viktig fellesnevner og redskap for ledelsen i identifisering og analyse av muligheter/trusler.
Den sykliske kjerneprosessen består i hovedsak av oppgaver og funksjoner som i det vesentlige er innbyrdes avhengig av hverandre. Ser vi bort fra knapphet på ressurstilgang, for gjennomføring, kan syklusen gjentas uendelig mange ganger dersom det skulle være noe mål. Syklusen bør likevel ikke gjentas oftere enn at den er i stand til fange opp og varsle organisasjonen til rett tid om mulige trusler slik at denne får tid til å handle. Syklusen blir derfor gjerne fastlagt og administrert av organisasjonens CRO (Chief Risk Officer). Kjerneprosessen har til oppgave å identifisere, kvantifisere, analysere, evaluere muligheter/trusler organisa-sjonen eksponeres for.
Figur A6-10 Sammenhengen mellom ERM-kjerneprosessen og andre styringsprosesser.
Videre skal den foreslå tiltak, rapportere til den ytre prosessdelen med fastlagte intervaller. De fastlagte intervallene må selvfølgelig ikke hindre rapportering utenom disse, der særskilte situasjoner krever dette. Det faktum at kjerne-prosessen har til oppgave å identifisere muligheter/trusler fritar selvfølgelig heller ikke den ytre prosessen i form av linjeorganisasjonen i selv å identifisere og motvirke flest mulige risikoer i sitt daglige virke.
Den ytre løpende delen skal definere rammebetingelser, bidra med informasjon, føre tilsyn med og gjennomføre de tiltak det indre system foreslår. Det ytre system vil derfor normalt bestå av linjeorganisasjonen slik den er bygget opp med ansvar for den operasjonelle risk management (ORM) og de tilpasninger som følger av en eventuell indre ERM-prosess. Vi kan på mange måter si at disse elementene representerer et grensesnitt mot organisasjonens øvrige operasjonelle funksjoner, og må også således følge ”rytmen” i disse rutinene.
A6.5.10 Hvorfor workshop/arbeidsgrupper?
Organisering av arbeidet i arbeidsgrupper kan være mindre aktuelt for små organisasjoner, eller organisasjoner som kun vil benytte ERM-systemet til å dokumentere ledelsens analyse av muligheter/trusler. Et vanlig problem når muligheter/trusler identifiseres, er imidlertid at noen trusler eller muligheter kan gå på tvers av hele verdiskapningskjeden til en organisasjonsenhet, eller at effekten av en mulighet/trussel kan utkrystallisere seg et annet sted enn dennes årsak. F.eks. kan noen muligheter/trusler ha sine årsaker innen forskning og utvikling, innkjøp eller produksjon, mens deres innvirkning først blir synlig innen salgsavdelingen. Å organisere deler av ERM-arbeidet i arbeidsgrupper gjør det derfor lettere å gå ut i organisasjonen å hente informasjon og analysekapasitet uten å bryte med oppgåtte grenser for ansvar og myndighet.
Målet ved å organisere arbeidet med kjerneprosessen i arbeidsgrupper er som følger:
|
Administrasjon og kontroll med arbeidsgruppen bør legges til CRO, som også er ansvarlig for forvaltning av ERM-systemet og ERM-verktøyet, samt deres grensesnitt mot øvrige rutiner.
Arbeidet i ”workshopen” bør støttes av risikospørreskjemaer eller spesielle verktøy som er strukturert iht. risikokategoriseringsmodellen (se Enhet A 6.3.1). Disse standardspørreskjema tjener som en generell rettesnor for risikoidentifisering, og kan bli justert for spesifikke forretningsområder hvis dette er nødvendig. Se ellers Guide B.
ERM- guidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE A
Bakgrunn, behov, ERM-systemet og – prosesser
|
FORORD iv 1.1. HVA MENER VI MED RISIKO? 7 2. ENTERPRISE RISK MANAGEMENT – ERM 33 2.1 RM VERSUS ERM 34 3 ORGANISASJONEN OG BEHOVET FOR ERM 81 3.1 KOMMERSIELT DREVNE KRAV 82 4.1 ERM-SYSTEMET (-RAMMEVERKET) 115 5.1 FORMALISERING OG DOKUMENTASJON 123 6. ETABLERING AV KONTEKST FOR ERM 156 6.1 GENERELT 158 7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195 7.1 GENERELT OM KJERNEPROSESSEN 196 8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234 8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235 9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251 9.1 ERMSE (ERM SYSTEMEVALUERING) 251 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE A
| Vedlegg | Tekst | Guide A | GuideB |
| Vedlegg A | Risikokategoriseringsmodellen | X | |
| Vedlegg B | Risikopolicy i «Vår Organisasjon.» | X | |
| Vedlegg C | Mandat ERM | X | |
| Vedlegg D1 | Eksempler på skjematur for ERM-SystemEvaluering (ERMSE). |
X | |
| Vedlegg D2 | Vurderingskriterier/karakterskala (skala 1-5) for ERMSE. | X | |
| Vedlegg D3 | Spørreskjema A ERMSE | X | |
| Vedlegg D4 | Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet | X | |
| Vedlegg E | Sjekklister/spørsmål | X | |
| Vedlegg F1 | Workshop | X | |
| Vedlegg F2 | Enkelt Risikospørreskjema | X | |
| Vedlegg F3 | Alternativt risikospørreskjema | X | |
| Vedlegg F4 | Risikotiltak | X | |
| Vedlegg F5 | Rapporter | X | |
| Vedlegg F6 | Håndtering og overvåking | X | |
| Vedlegg F7 | Vedlikehold av kontekst | X | |
| Vedlegg G | Nøkkelreferanser/standarder | X | X |
| Vedlegg H Vedlegg I |
ISO 31000:2009 Risikoledelse Ordforklaringer |
X X |
X X |
| Vedlegg J | Litteratur | X | X |
| Vedlegg K1 | Tabeller og figurer i Guide A | X | |
| Vedlegg K2 | Tabeller og figurer i Guide B | X | |
| Vedlegg L1 | Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser | X | |
| Vedlegg L2 | Innhold Guide B – Gjennomføring og praktisk iverksettelse | X |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar