job Blogg

ISO 37000 om overordnet risikostyring

Risk governance, beslutningstaking og sammenheng mellom ulike god praksis dokumenter om risikostyring.

I den nye ISO standard 37000 «Governance of organisations – guidance» er Risk governance identifisert som et av gjennomføringsprinsippene for god virksomhetsstyring. På grunn av en overmiddels interesse for risikostyring ble jeg nysgjerrig om å lese hva som skrives om risikostyring.

Siden dette innlegget skrives på norsk, vil jeg oversette begrep og ord brukt fra engelsk. Det kan nok være ulike meninger om jeg har valgt det riktige ord/begreper, så de som ønsker å fordype seg mer i temaet bør skjele hen til de engelske ord og begreper som benyttes. Den første utfordring jeg møtte med å oversette var faktisk begrepet «Risk governance». Det begrepet har jeg valgt å oversette til «Overordnet styring av risiko».

I en tidligere artikkel er prinsippet 6.9.1 i ISO 37000 «Overordnet styring av risiko» nærmere definert som at «Styret skal sørge for at de vurderer usikkerhet i forhold til oppnåelsen av virksomhetens overordnet formål og andre resultatmessige utfall».

Videre i 6.9.2 gir ISO 37000 denne begrunnelsen på hvorfor risikostyring er viktig for virksomheten og den begrunnelsen treffer så godt at jeg gjengir den i sin helhet på norsk (min utheving):

«Usikkerhet er iboende i konteksten virksomheten arbeider i så vel som på tvers av egen virksomhet. Resultat av denne usikkerheten innebærer at styring av risiko er avgjørende for alle virksomheter. Verdi genereres når egnet omfang av risiko tas til rett tid. Dette skjer når risikobildet balanseres på en hensiktsmessig måte. For eksempel kan styret utvikle praksis som reduserer sannsynligheten og effekt av uakseptable resultater samtidig som det utøver lederskap og setter virksomheten i stand til å ta bevisst og egnet risikovalg og dermed kunne dra fordel av muligheter.»

Det er i 6.9.3.1 identifisert tre hovedoppgaver som styret skal forholde seg til. Styret skal:

  1. Gi den overordnede føringen på hvordan virksomheten skal styre risikoer (tone at the top).
  2. Sørge for at når styret tar beslutninger skal også de selv vurdere, håndtere, overvåke og kommunisere arten og omfang av risikoer de står ovenfor.
  3. Overvåke organisasjonens risikostyringsaktiviteter.

Under hvert av punktene ovenfor gis det også ytterligere føringer på hvordan dette skal gjøres i praksis. For eksempel i forbindelse med rollen i pkt. 2 ovenfor – «utførelse av risikostyring», er det interessant å lese at det er meningen at risikostyring skal tas inn i strategisk arbeid. Dette kan gjøres ved at trusler og muligheter vurderes i forbindelse med strategiske valg, herunder den effekten risikobildet kan få på virksomhetens overordnede formål og etiske verdier. Når det tas strategiske valg skal man vurdere at det tas tilstrekkelig hensyn til endringer i risikokonteksten og at eventuelle risikoer som kan vise seg da, blir håndtert og overvåket.

Under pkt. 3 Overvåking av risikobildet slås det et slag for et helhetlig syn på risikostyring og etablering av en ensartet prosess for gjennomføring av risikovurderinger gjennom hele organisasjonen. Dette for å kunne oppnå en effektiv sammenligning og prioritering av risikoer gjennom hele organisasjonen. Videre skal styret følge opp om beslutningsadferd tar hensyn til risikovurderinger og er konsistent med styrende policyer. Det spesifiseres at styret skal kunne danne sin egen mening om hvorvidt risikostyring er integrert i hele driften ved å innhente bevis for:

  • Ønsket risikokultur
  • Gjennomføring av risikostyringsrammeverk gjennom hele organisasjonen
  • Tilstrekkeligheten av ressurser som brukes til risikostyring
  • Tildeling av mandater, ansvar og myndighet for risikostyring

Betraktninger og sammenligninger mot veiledere på norsk

Ikke overraskende er det samsvar mellom ISO 37000 og NS-ISO 31000 (Risikostyring – Retningslinjer) som også finnes i norsk språkdrakt. Det ISO 37000 gjør er å løfte risikostyring opp på styrets nivå og omtaler hvordan styret bør forholde seg til risikostyring.

IIA Norge har også utgitt en «Veileder for risikostyringsfunksjonen». Denne tar utgangspunkt i den overordnede risikostyringsfunksjon (oftest Chief Risk Officer). Den stiller krav til at funksjonen skal bidra til gjennomføring av god risikostyring i organisasjonen. Etter min mening er det godt samsvar mellom kravene her og de overordnede føringer i ISO 37000 samt Veilederen for virksomhetsstyring. Fokus i veileder for risikostyringsfunksjonen er utfra risikostyringsfunksjonens ståsted, men jeg opplever at den bekjenner seg til den samme definisjon av risikostyringens formål og behov for å integrere risikostyring i beslutningsprosesser. Veilederen gir også praktiske innsikt i fremgangsmåte ved oppbygging av risikostyringsarbeidet i en organisasjon.

Min konklusjon er at om du bruker ISO 37000, ISO 31000, Veileder for virksomhetsstyring eller Veileder for risikostyringsfunksjonen, synger man fra samme salmebok om risikostyring, om enn fra forskjellige ståsteder som illustreres nedenfor.

FokusVeileder
Styrets ansvar og virksomhetenISO 37000 2021 – Governance of organisations – guidance
Ledelsens ansvar og virksomhetenIIA Norge 2021 – Veileder for virksomhetsstyring
CRO ansvarIIA Norge 2018 – Veileder for risikostyringsfunksjonen
RisikostyringssystemISO 31000 2018 – Risikostyring retningslinjer
Denne sammenhengen illustreres i figur 1 under.
Figur 1 Sammenheng mellom ulike veiledere og retningslinjer som omhandler risikostyring.

Da håper jeg at så mange som mulig vil føle seg trygge på at disse veiledere og retningslinjer kan være relevant å bruke i arbeid med å utvikle en virksomhet som kjennetegnes av god risikostyring. Det er da fritt frem å plukke relevant god praksis uttalelser tilpasset behovet.