grc börjar med governance
TRANSCRIPT
GRC börjar med
Governance
Johanna Conradsson
20 maj, GRC 2015
Innehåll
• Definition
• GRC börjar med governance
• Kriterier för ett bra governancesystem
• Erfarenheter från 2:a försvarslinjen
• Internrevision
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Definition
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Governance på svenska
• Styrning/ledning/förvaltning
• Förknippas oftast med ”corporate governance” med fokus på de
mer övergripande styrmekanismerna och processerna i större
bolag.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Innebörden
• “The combination of processes and structures implemented by
the board to inform, direct, manage, and monitor the activities
of the organization toward the achievement of its objectives.”
• Infrastrukturen i styrsystemet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Huvudpersonerna
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
• 1. integritet och etiska värden
• 2. oberoende och uppföljning
• 3. organisationsstruktur, ansvar och befogenheter
• 4. kompetensförsörjning
• 5. ansvarsskyldighet, påföljder
styrning och
kontrollmiljö
riskbedömning
kontrollaktiviteter
information och kommunikation
uppföljning och utvärdering
Styrning enligt COSO
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Governancemodeller
• Behov av styrning varierar mellan organisationer.
• Följ eller förklara i koder - utveckling och mognad i fokus.
• Governance är inte en separat process eller struktur, utan är
relationen mellan styrning, riskhantering och kontroller.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
GRC börjar med Governance
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
COSO - processen
© COSO
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Governance är utgångspunkten – börjar
man i rätt ända?
• Internrevisionen –criteria
• Internkontroll – kontrollmatriser
• Konsulter - färdiga kontroller.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Helheten - hänger systemet ihop?
• Strukturerna från styrelse, till verksamhetsledning ner i organisationen.
• Hänger verksamhetens styrning, riskhantering och internkontroll ihop?
• Vilka funktioner bygger styrningen?
• Hur hänger hela systemet ihop?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Funktions-
/enhets-
/avdelningschef
• Ekonomi
• Juridik
• Business control
• HR
• IT
• Projekt
HUR
VAD
Riktlinjer, instruktioner och processer
Värdegrund
Resultat
Kultur
Vision
Mission
Strategi
Verksamhets-
mål
Individuella
mål
Ledarskap
Code of conduct
Policy
Medarbetarskap
Governance – Vad och hur
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
The moment of truth…
• Effektueringen av styrningen hamnar på chefen då individuella
mål för medarbetare definieras.
• Alla stödfunktioners mantra är att de inte har ansvaret. Chefer
ansvarar för allt. Chefer hinner inte med.
• Chefer lämnas i fred för mycket vid målsättande och uppföljning
av medarbetare.
• Incitamentsprogram
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kriterier för ett bra
governancesystem
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Sammanhållet och integrerat
• Startar från styrelsen och kaskaderas ned via verksamhetsledning
och ner i hela organisationen.
• Styrning, riskhantering och internkontroll hänger ihop och är
integrerade. Kontroller finns definierade och att effektiviteten
återrapporteras till styrelsen.
• Även om olika funktioner bygger styrningskomponenterna så
finns det ett helhetstänk.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Dokumenterat, tydligt och visualiserat
• Governancesystemet är visualiserat och tydligt.
• Dokumenterat ansvar, ägarskap och mandat, ansvar går i linje
med mandat. Roller och ansvar är tydliga.
• Säkerställer att måle sätts, kaskaderas ned till medarbetarnivå och
följs upp.
– VAD? Strategi verksamhetsmål personliga mål performance
management
• Tydliga policies kring hur verksamheten ska bedrivas, etik och
uppförande, ledarskap, medarbetarskap.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ägarskap och accountability
• Styrelse och ledning äger governancesystemet.
• Varje styrdokument, process och område har en tydlig ägare.
• Individer hålls ansvariga för sina ansvarsområden och
ansvarsskyldighet utövas genom strukturer. (Accountability)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Struktur för styrdokument
• Styrdokument följer en tydlig struktur med enhetlig nomenklatur
(policy/instruktion/riktlinje).
• Dokumentägare för varje dokument.
• Tydlighet kring hur styrande dokument hänger ihop och vilken
innebörders hierarki de har.
• Tydligt för alla vilka styrdokumenten är, var de finns och vad de
innehåller. Varje individ förstår vilket ansvar de har utifrån
styrdokumenten.
• Efterlevnad ska monitoreras genom uppföljning och
rapportering, ända ned på medarbetarnivå.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utvärdering
Existence Finns dokumentet på plats?
Communication Har det kommunicerats och tillgängliggjorts till alla som berörs av
den?
Understanding Förstår alla berörda personer dokumentet, dess innebörd och sin
roll och ansvar för att denna ska implementeras?
Support Stödjer management implementeringen av denna?
Monitoring Finns det en effektiv process för att monitorera efterlevandet?
Enforcement Har ledningen en plan för att upptäcka och hantera avvikelser?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kulturen – tonen
• Ledarskap
• Värdegrund och beteende ges vikt och utrymme.
• Kultur
– Gemensam identitet
– Tydlig historia och tydlig väg framåt.
• Förtroende för ledningen
– Ledningen sätter tonen, kan sina styrdokument och följer etablerade arbetsmetoder.
– Man slätar inte över om ledare gjort fel. Ledningen har ingen gräddfil.
– One version of the truth
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Erfarenheter från andra
försvarslinjen
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Company level controls på internal
control
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
• Kvartalsvis självutvärdering av efterlevnad av:
– Group policies.
– Management oversight (financial review, audit reports)LTP, investment
manual.
– Planering, mål och resultatuppföljning.
– Accounting rules.
– Spreadsheets.
– Behörighetsadministration.
• Genomfördes av bolagens CFO:er själva- tone at the top.
• HR- kontroller
PolicyAuthority Responsibility
Articles of
Association
Instruction for IMT
GOVERNING DOCUMENTS
Rules of Procedures
CEO Instruction
Charters Corporate
Depts.
Directives
Corporate Mandates
- Bill of
Authority
- Instruction
Financial Reporting
OpCo
Bill of Authority
Finance
Policies
Other policies
- Instruction Board
Committees
- Instruction CEO
Shareholders
Agreement
RULES OF
PROCEDURES
OpCo Management Team
Business Ethics and
Policies Commitee
Reward Group
Opco Board
Executive Committee
Remuneration Committee
Audit Committee
Management Team
Retail Investment
Committee
Board
Shareholders Auditors
GOVERNING BODIES
Corporate Departments
Internal Audit
Local Commitees
COMMITEES
Enterprise Risk
Management (ERM)
Governance Model
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Internrevision
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Krav enligt standard (2110)
• Internrevisorn måste granska etikrelaterade mål, program och
aktiviteter.
• Internrevisorn måste granska att det finns en IT-strategi som
stöder verksamhetens mål.
• Området governance (styrning/ledning) behöver finnas med i
audit universe och bedömas som relevant eller ej för granskning.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Granskning av governancesystemet
• Styrelsens roll och fördelning av beslut mellan styrelse och verkställande ledning.
• Värderingar, kultur, ledarfilosofi
• Styrelse och lednings arbete med de etikrelaterade frågorna såsom ledningens etikprogram.
• Mål, strategier, planer, riskhantering och kontroll
• Policies, och förväntad styrstruktur, organisationsstruktur.
• HR - kompetens, ansvar och befogenheter, utbildning och beteenden. Performance management.
• Kommunikation och transparens.
• Resultat och måluppfyllelse, uppföljning och monitorering
• IT- strategi i linje med verksamhetens mål och strategi
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
www.transcendentgroup.com