Enterprise Risk Management Policy – 10/7/2021  

Page 1 of 4 

 

 

 

ENTERPRISE

 

RISK

 

MANAGEMENT

 

POLICY 

 

Policy Type: 

Management 

Initially 

Approved: 

December 

10, 2012 

Policy Sponsor:  General Counsel and 

University Secretariat 

Last 

Revised: 

October 7, 

2021 

Primary 

Contact: 

Risk Management 

Review 

Scheduled:  October 2026 

Approver: 

Board of Governors 

 

 

A. 

OVERVIEW 

 

The University acknowledges that there is an element of uncertainty associated with all activities. 

Due to the University’s desire to be creative and innovative, the diverse nature of the University’s 

teaching, scholarship and service activities, and the fact that not all uncertainties can be transferred 

to third parties through insurance policies, contracts or waivers, the management of Risks and 

opportunities at all levels of the organization is imperative.  

 

 

B. 

PURPOSE 

 

The University is committed to increasing  awareness and fostering a shared responsibility for 

managing uncertainties at all levels of the organization. A clearly defined Enterprise Risk 

Management Policy supports this commitment. This Policy is intended to help the University 

achieve its mission and vision and to maximize the efficient use of the University’s available 

resources by:  

 

●

 

Assisting in decision making processes that will identify and mitigate potential risks;  

 

●

 

Taking advantage of new opportunities; and, 

 

●

 

Tracking and improving the management of existing uncertainty. 

 

 

C. 

SCOPE 

 

All activities undertaken or being considered by all Members of the University Community.  

 

 

D. 

POLICY STATEMENT 

 

1. 

GENERAL PRINCIPLES 

 

1.1 

The University will manage Risks and opportunities to achieve its mandate and 

protect the University community and its assets.  It will maintain a proactive, long-

term, and sustainable Enterprise Risk Management strategy to support the 

achievement of the University’s strategic objectives.   

Enterprise Risk Management Policy – 10/7/2021  

Page 2 of 4 

 

 

1.2 

The management of Risks and opportunities is a shared responsibility and must be 

carried out at all levels of the University.   

 

 

 

2. 

ENTERPRISE RISK MANAGEMENT 

 

2.1 

The Audit and Risk Committee of the Board of Governors is responsible for the 

oversight of University Risk and for establishing, approving and periodically 

reviewing and revising the University’s Risk Tolerance and the related ranking 

methodologies for identified Risks, through consultation with Executive Leadership. 

 

2.2 

The University will establish and maintain an Enterprise Risk Management program 

to oversee appropriate controls, management and mitigation strategies of all 

identified Risk.  

 

2.3 

Risk Management will establish an ERM Risk Council to oversee the Enterprise Risk 

Management program and to monitor identified Risks within the Risk Registry and 

make recommendations to Provost's Council and President's Executive Committee 

on identified and potential Risks to the University.  

 

2.4 

Each identified Risk will be assigned a Risk Owner who is responsible for: 

 

a. 

Complying with the Enterprise Risk Management program;  

 

b. 

Developing Risk Treatments to mitigate identified Risk to a tolerable level in 

accordance with the University’s approved Risk Tolerance levels; 

 

c. 

Establishing a culture of risk assessment in decision-making at all levels of 

management within their Units; and 

 

d. 

Managing and monitoring the effectiveness of Internal  Controls and Risk 

Treatment on the Residual Risk.  

 

2.5 

The President delegates the University’s Enterprise Risk Management coordination 

activities to the Risk Management team who provide support to Units to identify and 

manage Unit Risks in accordance with the Enterprise Risk Management program. 

 

 

E. 

DEFINITIONS 

 

(1) 

Internal Control: 

 

the processes put in place by Risk Owners that seek to reduce 

the likelihood of risk events occurring or their impact should risk 

events materialize 

 

(2) 

Enterprise Risk 

Management:  

 

a university-wide, systematic, comprehensive and coordinated 

process of identifying, measuring, managing and disclosing key 

risks of the University

 

 

 

 

(3) 

Executive 

Leadership: 

the President, Vice-Presidents, and other support staff as 

deemed necessary.  

 

Enterprise Risk Management Policy – 10/7/2021  

Page 3 of 4 

 

(4) 

Key Risk Indicators 

(KRIs): 

 

are metrics that indicate that a risk event may happen in the 

near future (leading indicator) or that a risk event has already 

occurred (lagging indicator). 

 

(5) 

Operational Risk: 

 

a risk driven by exposure to uncertainty arising from daily 

operational business activities 

 

(6) 

Policy: 

 

the Enterprise Risk Management Policy  

(7) 

Residual Risk: 

the Risk remaining after Risk Treatment 

 

(8) 

Risk: 

 

the effect of uncertainty on objectives. 

 

An effect is a deviation from the expected –  positive and/or 

negative. 

 

Objectives can have different aspects (such as educational, 

financial, experiential, health and safety, and environmental) 

and can apply at different levels (such as strategic, 

organization-wide, project, product and process). 

 

Risk is often characterized by reference to potential events and 

Outcomes, or a combination of these. 

 

Risk is often expressed in terms of a combination of the Impact 

of an event (including changes in circumstances) and the 

associated Likelihood of occurrence. 

 

Uncertainty is the state, even partial, of deficiency of 

information related to, understanding or knowledge of, an 

event, its Impact, or Likelihood. 

 

(9) 

Risk Owner: 

 

a Senior Leadership or Executive Leadership position that has 

been assigned ownership to manage a particular Risk 

 

(10) 

Risk Registry: 

the documented list of risks and associated risk ratings, controls 

(either planned or in place) and the status of these risks. 

 

(11) 

Risk Tolerance: 

the organization’s or stakeholder’s readiness to bear the Risk 

after Risk Treatment in order to achieve its objectives.  Note:  

Risk Tolerance can fluctuate and be influenced by legal or 

regulatory requirements 

 

(12) 

Risk Treatment: 

the process to modify Risk 

 

Treatment can involve: 

 

●

  Accepting the Risk 

●

  Reducing the Risk 

●

  Transferring the Risk 

●

  Avoiding the Risk 

 

(13) 

Senior Leadership: 

 

means either (i) any Employee who both reports to a Vice-

President or President and leads a Department and (ii) any 

other person designated as a Senior Leader by PEC 

 

Enterprise Risk Management Policy – 10/7/2021  

Page 4 of 4 

 

(14) 

Strategic Risk: 

 

exposure to uncertainty arising from long-term business 

planning and execution 

 

(15) 

University: 

 

means Mount Royal University 

 

 

F. 

RELATED DOCUMENTS 

 

●

  Enterprise Risk Management Program 

●

  ERM Risk Council Terms of Reference 

 

 

G. 

REVISION HISTORY 

 

Date 

(mm/dd/yyyy) 

Description of 

Change 

Sections 

Person who 

Entered Revision 

(Position Title) 

Person who 

Authorized 

Revision 

(Position Title)