Sirk 2 17 web

Page 29

RISIKOSTYRING

• muligheten for at strategiske mål­ settinger ikke underbygger eller ­samsvarer med organisasjonens formål, visjoner og etiske verdier • konsekvensene av organisasjonens valg av strategi, og • risiko knyttet til gjennomføring av strategien.

Klarere kobling mot ­prestasjoner/ resultater Hensikten med risikostyring har alltid vært å bidra til måloppnåelse, herunder innfrielse av prestasjons- og resultat­ mål. At COSO nå tar ordet «perfor­ mance» inn i navnet på ramme­ verket, signaliserer en enda sterkere vektlegging av at risikostyringen skal bidra til ­ bedre prestasjoner og resul­ tater.

tive effekter. Endringen reflekterer det selvsagte p ­ oenget at man i risikostyrin­ gen ikke bare skal være opptatt av farene for manglende måloppnåelse, men også av mulighetene for forbedringer. Det er et viktig budskap, men jeg må vedgå at jeg personlig ikke er begeistret for at muligheter nå defineres som risiko!

Enterprise Risk Management Integrating with Strategy and Performance

Kuben er borte Kuben som illustrerte forhol­ det mellom komponenter, målsettings­kategorier og enhe­ ter, inngår ikke i det nye ramme­verket. Den er er­­stattet av andre g ­ rafiske fremstillinger.

Komponenter og ­prinsipper I 2004-versjonen var det definert åtte komponenter som står sentralt i risiko­ styringen. Også det nye rammeverket benytter komponenter, nå redusert til fem. Disse har andre navn enn tidligere, men oppbygging og innhold er lett gjen­ kjennelig. Komponentene er nå supplert med underliggende prinsipper, 20 til sammen, et mønsteret vi kjenner igjen fra COSOs internkontrollrammeverk.

Definisjonen av risiko er endret COSO definerer nå risiko slik: The possibility that events will occur and ­ effect the achievement of strategy and business objectives. I det gamle rammeverket ble risiko definert som «det at en hendelse kan inntreffe og påvirke måloppnåelsen ­ negativt». Slik defineres det også i ­ COSOs gjeldende rammeverk for intern­ kontroll, men i det nye risikostyrings­ rammeverket er det altså endret, slik at «risiko» omfatter både positive og nega­ SIRK nr. 2 2017

June 2017

En ny kategori risikohåndtering – to pursue Det opprinnelige rammeverket beskrev fire alternativer for håndtering av risiko: Å unngå den, redusere den, dele den eller akseptere den. De fire er beholdt, men nå har man lagt til en femte kategori: to pur­ sue. Altså å «forfølge», «etterstrebe» e.l., og det utdypes slik: Action is taken that accepts increased risk to achieve impro­ ved performance. Et godt eksempel på de endringene som er gjort i rammeverket for å understreke at risikostyring også dreier seg om å utnytte muligheter!

Andre endringer.

• styrker fokus på å integrere risikostyring • utdyper kulturens betydning • knytter risikostyringen klarere opp mot beslutningene som tas i organisasjonen • gjør en klarere avgrensning mellom ­risikostyring og intern styring og kon­ troll, og • utdyper skillet mellom risikoappetitt og toleranse.

HVA NÅ? Hva vil det så bety for organisasjoner som per i dag gjennomfører risikosty­ ring etter mønster fra «gamle COSO ERM», at det har kommet et helt nytt rammeverk? COSO under­ streker selv, bl.a. i FAQ, at det er fullt akseptabelt fortsatt å anvende 2004-rammeverket. Basert på min første gjennom­ lesing kan jeg heller ikke se at det er grunnleggende endringer i 2017-utgaven som gjør at man kommer helt feil ut ved å beholde et opplegg basert på det gamle r­ ammeverket, eller på DFØ-varianten av dette, men selvfølgelig: I virksomheter hvor man ikke er fornøyd med hvordan risikostyringen håndteres i dag, kan det nå være fornuftig å «starte forfra» med utgangspunkt i «Enterprise Risk Manage­ ment – Integrating with Strategy and ­Performance». Jeg vil imidlertid tro den beste løsningen for mange er å legge dette til grunn for gjennomgang, evalue­ ring og oppdatering/forbedring av det risikostyringsopplegget organisasjonen allerede benytter. Executive Summary og Frequently Asked Questions (FAQ) ligger fritt til­ gjengelig på COSOs hjemmeside. Hele dokumentsamlingen kan kjøpes fra IIA Norge for kr 990,-(medlemspris) eller man kan kjøpe det fra IIA eller AICPA. IIA Norge vil publisere en norsk versjon av Sammendraget (Executive ­ Summary) etter nyttår, og vil da invitere til medlemsmøte om det nye rammeverket.

I «Frequently Asked Questions» lister COSO opp en rekke «Key Changes». Flere av dem er omtalt ovenfor, men det vises også til at det nye rammeverket:

29

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.