Norges Bank

Hovedstyrets prinsipper for risikostyring og internkontroll i Norges Bank

Vedtatt i hovedstyret 24. juni 2020

1 Hjemmel og formål

Prinsippene for risikostyring og internkontroll i Norges Bank bygger på krav gitt i lov 21. juni 2019 nr. 31 om Norges Bank og pengevesenet mv. (sentralbankloven) og forskrift om risikostyring og internkontroll i Norges Bank.

Formålet med prinsippene er å sikre en systematisk tilnærming til risikostyring og internkontroll i banken. Risikostyring skal håndtere alle typer risiko som kan påvirke oppnåelsen av mål og strategier fastsatt for bankens virksomhetsområder.

Risikostyringen skal tilpasses bankens ulike oppdrag og oppgaver, anvendes i fastsettelse og gjennomføring av strategi i hele virksomheten og på alle styringsnivåer, og være en integrert del av den operasjonelle virksomheten. Risikostyring og etterlevelse skal være en integrert del av forretningsprosessene og omfatter også styring av utkontrakterte tjenester.

Risikostyring og internkontroll skal bidra til å skape en balanse mellom mål, risiko og kontrolltiltak. Hovedstyret fastsetter egne prinsipper og risikorammer for hvert av virksomhetsområdene med utgangspunkt i områdenes oppgaver, art, omfang og kompleksitet.

2 Roller og ansvar

Risikostyringen og internkontrollen i Norges Bank skal organiseres i tråd med prinsippet om tre forsvarslinjer, slik dette fremkommer i anerkjente standarder og god faglig praksis.

1. linjefunksjoner er operative risikostyrings- og kontrollaktiviteter som gjennomføres i virksomheten. De identifiserer, vurderer, beslutter og håndterer risiko og er ansvarlige for at eventuelle risikoreduserende tiltak gjennomføres og for etterlevelse av interne og eksterne krav. Alle ledere har ansvar for risikostyring innen sitt ansvars- og myndighetsområde, og skal ha myndighet til å innføre risikoreduserende tiltak.

2. linjefunksjoner har en rådgivende og kontrollerende rolle. De er ansvarlige for å utvikle og forvalte rammeverk for risikostyring og internkontroll; overvåker, etterprøver og rapporterer om risiko og effektiviteten av kontroller og tiltak; tilrettelegger for implementering av internkontroll; og følger opp etterlevelsen av eksterne og interne regler. Leder for etterlevelse og risikostyring (CCO) har der det vurderes som nødvendig en rett og plikt til uavhengig rapportering av vesentlig risiko til hovedstyret.

Risikostyringen skal organiseres slik at det etableres nødvendig arbeidsdeling og uavhengighet mellom 1. linje og 2. linje. Organiseringen av 1. og 2. linjefunksjonene skal være basert på etablerte standarder og tilpasset hvert virksomhetsområde.

3. linjefunksjonen (internrevisjonen) har en uavhengig, kontrollerende rolle. Den skal støtte hovedstyret i sin oppfølging av Norges Banks virksomhet gjennom å gi uavhengige vurderinger og råd om bankens risikostyring og internkontroll jf. eget mandat.

3 Prinsipper

3.1 Generelle prinsipper

Risikostyringen skal bidra til å sikre måloppnåelse og ivareta regulatoriske krav. Den skal bygge på relevante standarder og god faglig praksis og være tilpasset de to virksomhetsområdene. Virksomhetsområdenes risikorammeverk skal, i tillegg til operasjonell risiko, omfatte vesentlige risikoklasser.

Det skal defineres metodikk og prosedyrer for å identifisere, vurdere, beslutte, håndtere og rapportere risiko. Risikostyringen skal integreres i prosesser på alle nivåer og områder i banken. Risikovurderinger skal inngå som del av beslutningsgrunnlaget for alle vesentlige endringer.

Det skal etableres internkontroll, inkludert styringsdokumenter, prosesser, kontroller, rutiner og systemer. Internkontrollen skal utformes og gjennomføres for å gi rimelig sikkerhet for måloppnåelse innenfor drift/utvikling, rapportering og etterlevelse. Kontrollaktiviteter omfatter løpende kontroller og risikoreduserende tiltak.

Hovedstyret og de enkelte virksomhetsområdene skal periodisk evaluere rammeverk for risikostyring og internkontroll. Hovedstyret skal iht. forskrift om risikostyring og internkontroll i Norges Bank evaluere sitt arbeid og sin kompetanse knyttet til bankens risikostyring og internkontroll minst én gang årlig.

3.2 Prinsipper for operasjonell risiko

Operasjonell risiko er risiko for en uønsket operasjonell hendelse som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige faktorer eller forårsaket av tredjeparter eller andre eksterne faktorer.

Operasjonell risiko kan vurderes kvalitativt eller kvantitativt. For hver enkelt risiko vurderes sannsynligheten for at den inntreffer og mulig konsekvens.

Virksomhetsområdene skal gjennomføre risikovurderinger jevnlig og ved alle større endringer i prosesser, teknologi funksjoner eller organisering.

Operasjonell risiko skal håndteres ved å gjennomføre risikoreduserende kontroller og tiltak, overføre risiko til en annen part, akseptere risiko innenfor rammer fastsatt av hovedstyret for de to virksomhetsområdene og/eller ved å unngå risikoen.

For risikoer med svært alvorlig konsekvens kan risikoreduserende kontroller og tiltak inkludere, men er ikke begrenset til, beredskaps- og kontinuitetsplaner.

Det skal gjennomføres løpende internkontroll for å sikre et akseptabelt risikonivå i henhold til rammer fastsatt av hovedstyret, herunder at prinsipper, regler og retningslinjer er overholdt. Risikonivået kontrolleres gjennom etablering av nøkkelkontroller, jevnlige evalueringer, tester og øvelser.

Uønskede operasjonelle hendelser skal registreres og følges opp. Håndteringen av uønskede hendelser, inkludert sikkerhetshendelser, skal ha som mål å gjenopprette funksjon, begrense skade og hindre gjentakelse.

For hvert virksomhetsområde skal det etableres rutiner for intern rapportering og eskalering av hendelser og risiko, samt eventuell rapportering til berørte eksterne parter og relevante myndigheter.

Det skal fastsettes utfyllende krav til håndteringen av ekstraordinære hendelser og avvikssituasjoner som kan true Norges Banks virksomhet og måloppnåelse (krisehåndtering).

3.3 Anskaffelser og utkontraktering

Prinsippene for risikostyring og internkontroll gjelder også der utvikling, forvaltning og drift er utkontraktert.

Det skal inntas i oppdragsavtaler at innleid personell og tjenesteleverandører som utfører arbeid for Norges Bank skal etterleve regulatoriske krav, definerte standarder og relevante interne regler.

Operasjonell risiko, inkludert sikkerhet, skal være ivaretatt i hele livsløpet til løsninger og tjenester. Det skal etableres rutiner for vurdering og akseptering av risiko knyttet til valg av system og leverandør; inkludering av krav, ansvarsforhold og revisjonsrett i avtaler med leverandører; varsling om hendelser til Norges Bank; og informering av leverandører om krav.

Norges Bank skal ha tilstrekkelig kompetanse og kapasitet til å utøve oppfølging og kontroll også der utførelsen av tjenestene er helt eller delvis utkontraktert.

4 Rapportering

Sentralbanksjefen og daglig leder for Norges Bank Investment Management (NBIM) skal rapportere om risikosituasjonen til hovedstyret. Rapporteringsfrekvens og -omfang skal tilpasses det enkelte virksomhetsområde, og fastsettes av hovedstyret.

Vurdering av internkontrollen rapporteres iht. forskrift om risikostyring og internkontroll i Norges Bank minimum årlig.  

5 Ikrafttredelse

Disse prinsippene trer i kraft straks. Fra samme tidspunkt oppheves «Hovedprinsipper for risikostyring i Norges Bank» av 16. desember 2009.

Publisert 26. oktober 2021 12:30