ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Helhetlig og Integrert RisikoLedelse(HIRL) = ERM
Innholdsfortegnelse:
1. Eksterne relasjoner
2. Interne forhold
3. ERM-knytning til planlegging og kontroll
4. Praktisk bruk av ERM-prosessen
5. Bakgrunnsinformasjon |
Vennligst oppgi følgende kontaktinformasjon slik at vi kan sende deg resultatene.
Noen felter er nødvendige, andre er valgfrie
| Navn |
|
| Tittel |
|
| Organisasjon |
|
| Adresse |
|
| By |
|
| Postnummer |
|
| Postadresse |
|
| Land |
|
| Telefon arbeid |
|
| Mobil |
|
| E-mail |
|
| URL |
|
|
I denne delen refererer ordet «ekstern» til enhver eller enhver organisasjon som er juridisk atskilt fra deg. Dette kan omfatte kunder, klienter, leverandører, rådgivere, konsulenter, samfunn eller interessegrupper, myndigheter eller lovgivende myndigheter. Det er ikke ment åomfatte andre deler av samme konsern eller offentlig organisasjoner.
| Krever noen eksternt organ at du foretar formell Enterprise Risk Management (ERM)? Kryss av for enhver som gjelder |
| Våre kunder eller klienter krever det |
| Vi trenger å vise at vi gjør det for å bli tatt på alvor av eksterne organer |
| Det er annet ytre press for å gjøre det Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor: |
|
| Presenterer eller viser du ERM-planer og vurderinger til noen utenfor organisasjonen? Kryss av for enhver som gjelder |
| Ja til våre kunder eller klienter |
| Ja – til regulatorer, revisorer eller lignende |
| Ja – som en del av vår promotering, PR eller reklame |
| Ja – for annnen gruppe/andre grupper: Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Er noen utenfor organisasjonen involvert i ERM-prosessen Kryss av for enhver som gjelder |
| Eksterne tilretteleggere hjelper oss med å gjøre arbeidet |
| Eksterne spesialister gjør hele eller deler av arbeidet |
| Vi liker å inkludere eksterne spesialister i prosessen |
| Vi liker at kunder og/eller leverandører deltar i prosessen |
| Det er andre eksterne personer involvert: Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
Denne delen tar for seg relasjonene innen din egen organisasjon. Disse kan innkludere din egen ledelse, kolleger, ansatte, andre avdelinger, en større organisasjon som du er en del av, interne revisorer, kvalitets-ledelse, interne konsulenter, HMS avdeling, F&U eller tekniskeavdelinger etc..
| Hvem i organisasjonen din er ansvarlig for at ERM blir seriøst vurdert? Her ser vi etter den personen eller gruppen som vil steppe inn hvis ERM tillates å svekkes og som kan stimulere til innsats for å forsteke overvåkingen av risikoer enten ved å bruke sinformelle myndighet eller rett og slett ved å lage oppstyr. Kryss av for enhver som gjelder |
| Styret eller toppledelsen |
En person eller gruppe under det øverste nivået som er ”champions” for ERM
Vennligst beskriv hvilke funksjonelt område de er basert i |
- Individuelle linje eller prosjektledere
|
- Personell som er berørt av eller ansvarlig for risikoene
|
- Noen andre som holder ERM-prosessen i gang Vennligst oppgi deres funksjonelle område, tittel eller andre identifiserende opplysninger
|
- Det finnes ingen effektiv sponsor
|
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvem tar del i ERM-prosessen? Kryss av for enhver som gjelder |
| Styret eller toppledelsen |
| En person eller gruppe under det øverste nivået som er ”champions” for ERM |
| Individuelle linje eller prosjektledere |
| Personell som er berørt av eller ansvarlig for risikoene |
| ERM-gruppen, personal kjent med et lignende navn, eller en intern revisjon eller lignende funksjon – en gruppe dedikert til ERM |
| Personell valgt ut fra andre steder i organisasjonen, men ikke direkte involvert i arbeidet som blirvurdert |
Folk invovert utenfor organisasjonen og ikke direkte involvert i arbeidet som blir vurdert
(for eksempel revisorer, meglere, tekniske spesialister …) |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvem leder ERM-aktivitetene, gjennomfører workshoper, innhenter data og informasjoner? Kryss av for den mest hensiktmessige |
| Personen som er ansvarlig for arbeidet som blir vurdert i forhold til risiko |
| En assistent til personen som er ansvarlig for arbeidet som blir vurdert i forhold til risiko |
| En som er ansvarlig er spesialisert i ERM-support Vennligst oppgi deres funksjonelle område |
| En ekstern spesialist |
| Det er ingen dedikert person |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Følger dere en formell ERM-prosess? Velg den mest hensiktmessige |
| Ja og den er dokumentert |
| Ikke en dokumentert prosess. Men en konsistent tilnærming og praksis |
| Det er litt variasjon i tilnærmingen, men resultatet er det samme for alle |
| Hvert tilfelle er annerledes |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvis det er en formell prosess som underbygger eller som er ment å støtte opp om dinERM- aktivitet, vennligst oppgi hvilken Velg den mest hensiktsmessige |
| En i spesiell definert en eller standard internt i oganisasjon |
| En nasjonal eller internasjonal standard Vennligst spesifiser |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvem styrer ERM-metodene du bruker (prosesseier)?Velg den mest hensiktsmessige |
| Et medlem av toppledelsen eller styret |
| En leder uttrykkelig utpekt som leder(Chief Risk Officer) for ERM Vennligst spesifiser hvilket funksjonelt område vedkommende er basert i |
| En leder hvis hovedansvar ligger andre steder – Risiko er ikke deres største bekymring Vennligst spesifiser hvilket funksjonelt område vedkommende er basert i |
| En intern konsulent eller prosess spesialist uten lederansvar |
| En ekstern ERM-spesialist, |
| En ekstern rådgiver, men ikke nødvendigvis en ERM-spesialist |
| Ingen kan bli identifisert som ansvarlig eller eier |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hva er reaksjonen til personell spurt om å delta i en ERM-opplæring? Velg den mest hensiktsmessige |
| De er ivrige og ønsker sjansen velkommen |
| De forstår at det må gjøres, men er egentlig ikke opptatt av å gjøre det |
| De deltar, men kun fordi de har blitt fortalt at de må |
| De foretrekker ikke å delta og pøver å finne en utvei |
| De prøver å ikke delta, og mange vil unngå å ta del i oplæringen |
| De fleste vil ikke delta |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
3
|
ERM-knytning til planlegging og kontroll
|
| Hvor viktig er en risikovurdering for planleggingsfunksjonen? Velg den mest hensiktsmessige
|
| Det er et vesentlig innspill til planlegging der planer ikke vil bli godkjent |
| Det er et vesentlig g innspill til planlegging for store eller åpenbart risikofylte aktiviteter der slikeplaner ikke vil bli godkjent |
| Det blir sett på som verdifull informasjon, men ikke avgjørende for godkjenning |
| Det blir sett på som en side som vil bli tatt i betraktning hvis det avslører et stort problem |
| Det blir ikke verdsatt utover de entusiaster som produserer det |
| Det blir sett på som bortkastet innsats |
| Hvis det er noen regler om hvor risikovurderinger må utføres, slikt som arbeid med særlig teknisk innhold eller jobber over en viss verdi, kan du oppsummere dem her |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvor utbredt er formell risikovurdering(risk assesment=risikoidenifisering, risikoanalyse og risikoevaluering)? Velg den mest hensiktsmessige |
| Alt vi gjør blir vurdert for å sikre at eventuelle risikoer blir forstått og håndtert |
| Alt som synes å være spesielt risikabelt er underlagt en risikovurdering |
| Risikovurderinger er foretatt, men det er ingen systematisk mønster i i valg av disse |
| Få risikovurderinger utføres |
| I praksis blir ikke noen risikovurderinger faktisk gjennomført |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Når risikovurderingen er foretatt, hvordan skjer den i forhold til planlegging? Velg den mest hensiktsmessige |
| Risikovurderingen kommer i den tidligste fasen av planleggingen |
| Risikovurderingen kommer etter at planer er etablert |
| Risikovurdering kan skje hvor som helst i løpet av planleggingsprosessen |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvor formelt er sammenhengen mellom planlegging, budsjettering og risikovurdering? Velg den mest hensiktsmessige |
| Det er godt definerte punkter i våre prosesser der informasjon formidles fra planlegging tilrisikovurdering og tilbake igjen |
| De to prosessene fungerer sammen med hverandre og informasjon flyter uformelt fra den ene til den andre |
| Det er ingen koblinger mellom prosessene, risikovurdering finner sted isolert fra planleggingen |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan er risikohåndteringsplaner (planer for å håndtere bestemte risikoer) mestres? Velg den mest hensiktsmessige |
| De er innarbeidet i våre viktigste planer og budsjettert deretter |
| De er holdt separat som et sett av «risiko planer» |
| Det er ingen standard måte å håndtere dem på |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan er utviklingen i risikoer og utviklingen i risikohåndteringsplaner overvåket? Velg den mest hensiktsmessige |
| Risikoer er en del av generelle gjennomgang av fremgangen i vår organisasjon |
| Separate møter holdes for gjennomgangen av risikoer og risikohåndteringsplaner |
| Det er ingen systematisk gjennomgang, men fra tid til annen vil saken vil bli gitt en eller annenvurdering |
| Når risikoer er identifisert er det lite sannsynlig at de blir gjennomgått |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
4
|
Praktisk bruk av ERM-prosessen
|
| Vi har en spesiell interesse i standarden ISO 31000: 2009 Risikoledelse – prinsipper og retningslinjer, vennligst fortell oss hva du vet om den. Hva er dine kunnskaper og bruk av standarden?Velg den mest hensiktsmessige |
| Ikke hørt om den |
| Hørt om den, men ikke brukt den |
| Lest den og referert til/brukt den i mitt/vårt arbeid |
| Brukt standardprosessen i mitt/vårt arbeid |
| Utviklet standarden inn i en skreddersydd prosess |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvor konsekvent er ERM-prosessen? Velg den mest hensiktsmessige |
| All risikohåndtering følger prosessdefinisjonen identifisert tidligere |
| Prosessen er ikke formelt dokumentert, men den er forstått og konsekvent gjennomført |
| Det er ingen formell prosess, men stort sett de samme resultatene er generert av alle våre vurderinger |
| Hver risikovurdering er satt opp uavhengig i henhold til ønskene til den som tar initativ |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvor mye forberedelser er nødvendig for en risikovurdering slik som den i dagvirker/opererer? Velg den mest hensiktsmessige |
| Så lenge deltakerne er kjent med arbeidet, svært lite i det hele tatt |
| En orientering om arbeidet som blir vurdert før vurderingen av risikoene som en står ovenfor |
| Utarbeidelse av en kort detaljering av arbeidsomfanget, interessenter og risikoevalueringskriterier |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan er risiko identifisert? Velg den mest hensiktsmessige |
| Mot ulike standardkategorier(katgoriseringsmodellen) f.eks. juridiske, IT risikoer, Innkjøpsrisikoer eller personalrisikoer |
| Ved hjelp av sjekklister av kjente risikoer |
| Et rop om bidrag via post, e-post eller liknende metoder |
| Et møte |
| Fri brainstorming – ingen struktur |
| Strukturert brainstorming |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan beskriver dere alvorlighetsgraden av en risiko? Velg den mest hensiktsmessige |
| I ord |
| Med en kvalitativ skala som (Høy / Medium / Lav), (0-10) eller (A, B, C, D) |
| Med en kvantitativ sannsynlighet og innvirkning eller konsekvens måling for hver risiko |
| Med en sannsynlighet og en pengeverdi som multipliseres sammen for å gi en risikoverdi |
| Andre Vennligst spesifiser |
| Vennligst illustrere hvordan du beskriver alvorlighetsgrad med korte eksempler eller henvisning til andre dokumenter |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvilke målinger bruker du for å beskrive alvorlighetsgraden av en risiko? Velg den mest hensiktsmessige |
| Finansielle målinger |
| Timing eller planleggesmål |
| Prestasjonsmålinger |
| Kvalitetsmålinger |
| Miljøpåvirkninger |
| Sikkerhetskriterier |
| Andre Vennligst spesifiser |
| Vennligst illustrere målingene du bruker med korte eksempler eller henvisning til andre dokumenter |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hva er grunnlag for å vurdere alvorlighetsgraden av risikoer? Velg den mest hensiktsmessige |
| Dommen av de som gjør vurderingen |
| Skalaer utarbeidet for hvert tilfelle |
| Et internt definert sett av skalaer brukt for alle vurderinger |
| Et eksternt definert sett av skalaer brukt for alle vurderinger |
| Vennligst illustrere måten du vurderer alvorlighetsgrad med korte eksempler eller henvisning tilandre dokumenter |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan er risiko håndtert etter å ha blitt identifisert?Velg den mest hensiktsmessige |
| De er overlevert til den ansvarlige for arbeidet for å bruke som det passer |
| Hver risiko er allokert/tildelt til en avdeling eller funksjon for tiltak |
| Hver risiko er allokert/tildelt til en navngitt person for tiltak |
| De er prioritert og de alvorligste er allokert/tildelt til en avdeling eller funksjon for håndtering |
| De er prioritert og de t alvorligste er allokert/tildelt til en navngitt person for håndtering |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvor ofte berøres synet på risikoer et område som gjennomgåes og holdes oppdatert? Velg den mest hensiktsmessige |
| Det er vanligvis ikke gjennomgått når det er etablert |
| Når det har vært en stor omveltning |
| På regelmessig basis definert for hvert enkelt tilfelle |
| På regelmessig basis ut ifra en organisatorisk praksis |
| Andre Vennligst spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hvordan gis de som er opptatt av ERM på et bestemt område gitt muligheter til å bidra og informert bevisst på utviklingen? Velg den mest hensiktsmessige |
| Alle med en andel i et prosjekt eller forretningsvirksomhet forventes å ta del i å identifisere, analysere,evaluere og håndtere risiko gis mulighet til å gjøre det |
| Prosessokumentasjon, for eksempel definisjon av kontekst/sammnheng og resultatene avworkshop blir fordeltr til alle som vil kunne være bekymret |
| Vi forventer at alle som identifiserer en risiko eller som kan være i stand til å bidra til å håndtereen vil ta initiativ og gjøre dette kjent |
| Det meste av kommunikasjonen om risiko og risikohåndtering er uformell |
| Det er ikke uvanlig å finne at folk som burde ha vært involvert i ERM-prosessen er utelukketeller oversett |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
For å plassere svarene på de foregående spørsmålene i sammenheng trenger vi litt informasjon om organisasjonen din.
| Type organisasjon Velg den mest hensiktsmessige |
| Kommersiell virksomhet privat sektor |
| Organisasjon offentlig sektor som opererer som kommersiell praksis |
| Tradisjonell offentlig sektor |
| Charity eller Not-for-profit/frivillige organisasjoner |
| AndreVær så vennlig å spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Sektor(er) Velg den mest hensiktsmessige |
| Regjeringen |
| Tjenester |
| Produksjon |
| Gruvedrift og ressurser |
| Utilities |
| Kommunikasjon |
| AndreVær så vennlig å spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Hovedområdet for anvendelse av risikohåndtering Velg den mest hensiktsmessige |
| Prosjekter |
| Miljøvurderinger |
| Sikkerhetsvurderinger |
| Tekniske vurderinger |
| Investering eller kapitalen evaluering |
| Kostnader og tidsplan estimering |
| Forretningsmessig drift |
| Strategisk planlegging |
| Porteføljestyring |
| Handel |
| Kredittstyring |
| Forsikring |
| AndreVær så vennlig å spesifiser |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Antall ansatte Velg den mest hensiktsmessige |
| <10 |
| 10-100 |
| 100-1000 |
| >1000 |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Omsetning Velg den mest hensiktsmessige |
| Mindre enn NOK 3 Millioner |
| NOK 3 mill- 6 mill |
| NOK 3 mill-60.mill |
| NOK 60 mill-600 mill |
| Over NOK 600 mill |
| Hvis du ønsker å kommentere videre dette spørsmålet, kan du bruke plassen nedenfor |
|
| Din rolle i organisasjonen Vær vennlig og skriv en kort beskrivelse |
|
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2000-2015 VIG CONSULTING
Del på bloggen
Filed under: ERM-Benchmarking, ERM-praksis | Tagged: benchmarking | Leave a comment »
Guiden Enterprise Risk Management - ERM 