Prinsipper for risikostyring og internkontroll i Norges Bank
Vedtatt i hovedstyret 24. juni 2020. Sist endret 20.12.2022.
1 Hjemmel og bakgrunn
Prinsippene for risikostyring og internkontroll i Norges Bank bygger på krav gitt i lov 21. juni 2019 nr. 31 om Norges Bank og pengevesenet mv. (sentralbankloven) og Finansdepartementets instruks 28. juni 2022 nr. 1223 om risikostyring og internkontroll i Norges Bank.
2 Formål
Formålet med prinsippene er å sikre en systematisk tilnærming til risikostyring og internkontroll i banken. Risikostyring skal håndtere alle typer risiko som kan påvirke oppnåelsen av mål og strategier fastsatt for bankens virksomhetsområder.
3 Virkeområde
Risikostyringen skal tilpasses bankens ulike oppdrag og oppgaver, anvendes i fastsettelse og gjennomføring av strategi i hele virksomheten og på alle styringsnivåer, og være en integrert del av den operasjonelle virksomheten. Risikostyring og etterlevelse skal være en integrert del av forretningsprosessene og omfatter også styring av utkontrakterte tjenester.
Risikostyring og internkontroll skal bidra til å skape en balanse mellom mål, risiko og kontrolltiltak. Hovedstyret fastsetter egne prinsipper og risikorammer for hvert av virksomhetsområdene med utgangspunkt i områdenes oppgaver, art, omfang og kompleksitet.
4 Roller og ansvar
Risikostyringen og internkontrollen i Norges Bank skal organiseres i tråd med prinsippet om tre forsvarslinjer, slik dette angis i anerkjente standarder og god faglig praksis. Risiko- og etterlevelsesfunksjonene skal ha tilstrekkelig kompetanse og ressurser.
1. linjefunksjoner er operative risikostyrings- og kontrollaktiviteter som gjennomføres i virksomheten. De identifiserer, vurderer, beslutter og håndterer risiko og er ansvarlige for at eventuelle risikoreduserende tiltak gjennomføres og for etterlevelse av interne og eksterne krav. Alle ledere har ansvar for risikostyring innen sitt ansvars- og myndighetsområde, og skal ha myndighet til å innføre risikoreduserende tiltak.
2. linjefunksjoner har en rådgivende og kontrollerende rolle. De er ansvarlige for å utvikle og forvalte rammeverk for risikostyring og internkontroll; overvåker, etterprøver og rapporterer om risiko og effektiviteten av kontroller og tiltak; tilrettelegger for implementering av internkontroll; og følger opp etterlevelsen av eksterne og interne regler. Leder for risikokontroll og etterlevelse (CCO) har der det vurderes som nødvendig, en rett og plikt til uavhengig rapportering av vesentlig risiko til hovedstyret.
Risikostyringen skal organiseres slik at det etableres nødvendig arbeidsdeling og uavhengighet mellom 1. linje og 2. linje. Organiseringen av 1. og 2. linjefunksjonene skal være basert på etablerte standarder og tilpasset hvert virksomhetsområde.
3. linjefunksjonen (internrevisjonen) har en uavhengig, kontrollerende rolle. Den skal støtte hovedstyret i sin oppfølging av Norges Banks virksomhet gjennom å gi uavhengige vurderinger og råd om bankens risikostyring og internkontroll jf. eget mandat fra hovedstyret.
Ekstern revisor utfører uavhengig kontroll av finansiell rapportering.
5 Prinsipper
5.1 Generelle prinsipper
Risikostyringen skal bidra til å sikre måloppnåelse og ivareta regulatoriske krav. Den skal bygge på relevante standarder og god faglig praksis og være tilpasset de to virksomhetsområdene. Virksomhetsområdenes risikorammeverk skal, i tillegg til operasjonell risiko, omfatte vesentlige risikoklasser.
Det skal defineres metodikk og prosedyrer for å identifisere, vurdere, beslutte, håndtere og rapportere risiko. Risikostyringen skal integreres i prosesser på alle nivåer og områder i banken. Risikovurderinger skal inngå som del av beslutningsgrunnlaget for alle vesentlige endringer.
Det skal etableres internkontroll, inkludert styringsdokumenter, prosesser, kontroller, rutiner og systemer. Internkontrollen skal utformes og gjennomføres for å gi rimelig sikkerhet for måloppnåelse innenfor drift/utvikling, rapportering og etterlevelse. Kontrollaktiviteter omfatter løpende kontroller og risikoreduserende tiltak.
Hovedstyret og de enkelte virksomhetsområdene skal periodisk evaluere rammeverk for risikostyring og internkontroll. Hovedstyret skal iht. instruks om risikostyring og internkontroll i Norges Bank evaluere sitt arbeid med bankens risikostyring og internkontroll minst én gang årlig.
5.2 Prinsipper for operasjonell risiko
Operasjonell risiko er risiko for en uønsket operasjonell hendelse som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige faktorer eller forårsaket av tredjeparter eller andre eksterne faktorer. Operasjonell risiko omfatter bl.a. etterlevelserisiko, mislighetsrisiko, juridisk- og regulatorisk risiko og sikkerhetsrisiko (inkludert cyberrisiko).
Operasjonell risiko kan vurderes kvalitativt eller kvantitativt. For hver enkelt risiko vurderes sannsynligheten for at den inntreffer og mulig konsekvens.
Virksomhetsområdene skal gjennomføre risikovurderinger jevnlig og ved alle større endringer i prosesser, teknologifunksjoner eller organisering.
Operasjonell risiko skal håndteres ved å gjennomføre risikoreduserende kontroller og tiltak, overføre risiko til en annen part, akseptere risiko innenfor rammer fastsatt av hovedstyret for de to virksomhetsområdene og/eller ved å unngå risikoen.
For risikoer med veldig høy konsekvens skal det etableres risikoreduserende kontroller og tiltak, som kan inkludere, men ikke er begrenset til, beredskaps- og kontinuitetsplaner.
Det skal gjennomføres løpende internkontroll for å sikre et akseptabelt risikonivå i henhold til rammer fastsatt av hovedstyret, herunder at prinsipper, regler og retningslinjer er overholdt. Risikonivået kontrolleres gjennom etablering av nøkkelkontroller, jevnlige evalueringer, tester og øvelser. Norges Bank skal ha et forsvarlig sikkerhetsnivå.
Uønskede operasjonelle hendelser skal registreres og følges opp. Håndteringen av uønskede hendelser, inkludert sikkerhetshendelser, skal ha som mål å gjenopprette funksjon, begrense skade og hindre gjentakelse.
For hvert virksomhetsområde skal det etableres rutiner for intern rapportering og eskalering av hendelser og risiko, samt eventuell rapportering til berørte eksterne parter og relevante myndigheter. Det skal etableres rutiner for koordinering, håndtering og ekstern rapportering av hendelser som berører begge virksomhetsområdene.
Det skal fastsettes utfyllende krav til håndteringen av ekstraordinære hendelser og avvikssituasjoner som kan true Norges Banks virksomhet og måloppnåelse (krisehåndtering).
5.3 Anskaffelser og utkontraktering
Prinsippene for risikostyring og internkontroll gjelder også der utvikling, forvaltning og drift er utkontraktert. Utkontraktering kan ikke finne sted dersom det vanskeliggjør forsvarlig risikostyring og internkontroll.
Det skal inntas i oppdragsavtaler at innleid personell og tjenesteleverandører som utfører arbeid for Norges Bank skal etterleve regulatoriske krav, definerte standarder og relevante interne regler. Avtalene skal sikre bankens organer og kontrollfunksjoner rett til innsyn i og kontroll med utkontraktert virksomhet, enten virksomhet er utkontraktert til datterselskaper eller eksterne. Retten til innsyn skal muliggjøre tilstrekkelig gjennomføring og rapportering av risikostyring og internkontroll etter prinsippene her.
Operasjonell risiko, inkludert sikkerhet, skal være ivaretatt i hele livsløpet til løsninger og tjenester. Det skal etableres rutiner for vurdering og akseptering av risiko knyttet til valg av system og leverandør; inkludering av krav, ansvarsforhold og revisjonsrett i avtaler med leverandører; varsling om hendelser til Norges Bank; og informasjon til leverandører om krav.
Norges Bank skal ha tilstrekkelig kompetanse og kapasitet til å utøve oppfølging og kontroll også der utførelsen av tjenestene er helt eller delvis utkontraktert.
6 Rapportering
Sentralbanksjefen og daglig leder for Norges Bank Investment Management (NBIM) skal rapportere om risikosituasjonen til hovedstyret. Rapporteringsfrekvens og -omfang skal tilpasses det enkelte virksomhetsområde, og fastsettes av hovedstyret.
En helhetlig systematisk vurdering av risikosituasjonen i banken og om internkontrollen og risikostyringen er gjennomført på en tilfredsstillende måte, skal rapporteres minimum årlig, jf. instruks om risikostyring og internkontroll i Norges Bank.
7 Ikrafttredelse
Prinsippene med siste endring trer i kraft umiddelbart.