Hva er utfordringene i implementeringen av ERM?

Posted on august 1, 2014 by janvig

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

OLYMPUS DIGITAL CAMERA

 

 

Hva er utfordringene i implementeringen av ERM?

 

 OLYMPUS DIGITAL CAMERA

 

 

Nøkkelutfordringen med tradisjonell RM er det negative aspektet.

Hvis organisasjonens tilnærming til RM er
et positivt perspektiv (dvs. å se muligheter),
vil organisasjonen unngå dette problemet.

Men risiko er negativ så hvordan kan en organisasjon bli positiv til et negativt konsept?

 

Det blir galt å starte med identifisering av risiko. Hvor kommer risiko ifra? Risiko eksisterer jo ikke isolert. Risikoen er alltid i relasjon til ”noe” og dette noe er et sett med målsettinger. Enhver organisasjon må identifisere sine mål, dvs. hva organisasjonen prøver å oppnå. Vi kan derfor definere risikoer relatert til målsettinger. Problemet med dette er at målsettinger opprinnelig er på et høyt nivå og konsise og derfor vil risikoene også defineres på et høyt nivå.

Hvis målsettingene definerer hva organisasjonen prøver å oppnå, da beskriver planer hvordan vi skal oppnå dem. Derfor definerer vi risikoer relatert til planer.

 

j0078804

Planer innholder noen fakta og en mengde med antagelser. Hvis organisasjonen skal lykkes med planen må antagelsene bli en realitet. Noen antagelser vil nærme seg å være fakta, og disse bør organisasjonen ikke bekymre seg for. Det er uunngåelig at mange antagelser vil være i faresonen og disse trenger organisasjonen å fokusere på, dvs. på antagelser, ikke på risikoer.

Den andre siden av problemet med manglende effektivitet i ERM er kommunikasjonen og konsulteringen – eller mangel på den. Mange nedside risikoer (trusler) kunne vært unngått og mange oppside risikoer (muligheter) forfulgt hvis organisasjonens kommunikasjonshverdag hadde vært preget av å være ”føre var” og hensiktsmessig kommunikasjon avdelinger imellom og internt i avdelingen, dvs. en proaktiv kommunikasjonskultur.

 


Når organisasjoner mislykkes med ERM er det ofte på grunn av at:

  • Viktige oppside/nedside risikoer er ikke er identifisert.
  • Oppside/nedside risiko er identifisert, men ikke prioritert korrekt.
  • Oppside/nedside risikoer er identifisert men nødvendige tiltak er ikke blitt tatt.


Et perfekt eksempel på dette er  finanskrisen i 2008 og den forventede i dag. Bankene gikk/går nedom og hjem fordi de:

  • Mislykkes i å identifisere fundamentale nedside risikoer.
  • Fokuserte på spesifikke nedside risikoer uten å ta med i betraktning de sammensatte effektene av risikoer.
  • Bevisst eller ubevist besluttet og ignorere nedside risikoene i sine analyser.

 

Dette ble forverret ved fokuset på tradisjonell finansiell RM på bekostning av ”Operational Risk Management (ORM). Videre var det ikke nok fokus på å ha et fullstendig ERM-system på plass. Det betød at operasjonelle risikoer ikke ble prioritert korrekt og til slutt ble det truffet få eller ingen nødvendige tiltak.  Spesifikt traff ”eksperter” antagelser om en oppadgående trend i eiendomsmarkedet som viste seg å være usann og verdien av bankenes eiendeler ble kraftig redusert.

 

j0078824

 

 


Nøkkelen er å få den rette balansen mellom enkelthet og kompleksitet for å oppnå effektiv Enterprise Risk Management (ERM) og demonstrerer at ERM gir verdi.

 

Revisjonens syn på ERM er verdifull i sin kontekst, men kun å ”krysse av i bokser” vil kun unngå problemene for de enkleste hendelsene. Når tingene blir større og mer komplekse, trenger organisasjonen en robust ERM-prosess og robuste ORM-prosesser og ERM-verktøy for å navigere på vei mot suksess. Våre guider vil hjelpe organisasjonen med det.

 

j0078819

 

 


Fullt ut effektivt ERM er blant annet vanskelig å oppnå fordi:

  • Kvantifiseringen er vanskelig eller til og med umulig. Noen risikoer (f.eks. finansielle og kontraktmessige) er lette og kvantifisere, mens andre er nesten umulig (f.eks. kvalitet, omdømme, prestasjon). Derfor når organisasjoner prøver å kvantifisere totale oppside/nedside risikoer for organisasjonen tenderer de til å mikse ”god kvalitets” data med ”dårlig kvalitets” data og dermed utvanne den virkelige verdien av det endelige resultatet.
  • Målsettingene er ikke konsistente/samsvarende på tvers av organisasjonen. Dette leder til en oppfatning av oppside/nedside risiko som varierer massivt i forskjellige deler av organisasjonen. En del av organisasjonen kan se på en oppside/nedside risiko som ubetydelig, mens en annen del betrakter den samme oppside/nedside risikoen som betydningsfull og en stor fare/trussel eller sjanse/mulighet. F.eks. kan avdelingene mene at en forsinkelse i iverksettelsen av et ERM-system er et lite problem, mens styret kan se på enhver forsinkelse som en katastrofe.
  • ERM-prosessen og ORM-prosessene er ikke konsistente/samsvarende på tvers av grupperingene i organisasjonen. Dette leder til forskjellig fokus, analyser, prioriteringer og tilnærming fra forskjellige ledere. Dette gjør det igjen umulig å bygge en konsistent/samsvarende bilde av oppside/nedside risikoer på tvers av organisasjonen.
  • ERM-verktøyene er ikke støttet opp om med en effektiv ERM-prosess og effektive ORM-prosesser. Veldig ofte er bruken av softwareverktøy det første forsøket i en organisasjon til å innføre en hvis konsistens/samsvar av ERM. Imidlertid, hvis verktøyene ikke er bakket opp med en effektiv ERM-prosess og effektive ORM-prosesser blir effekten ofte ”søppel inn, søppel ut” iom. at dårlige kvalitetsdata blir samlet inn, analysert for så å bli presentert som et høyt ”kvalifisert” resultat.

 

Den mest vanlige feilen i særdeleshet finnes ofte i finansinstitusjoner, der en integrerer forskjellige finansiell RM-målinger (f.eks. kredittrisiko eller markedsrisiko) og kaller dette ”ERM”. Dermed tror organisasjonen at de sporer opp ”total” oppside/nedside risikoer, når det i virkelighet kun ser på en bit som de har funnet lett å måle. Følgelig vises f.eks. et forandringsprogram som går galt ikke på deres ERM-radar og kan ha massiv innvirkning på forretningsvirksomheten.

 

j0078808

På det høyeste nivå definerer og begrenser ofte organisasjonene ikke sin ERM-strategi. Det vil ikke si at de feiler i å bygge et komplett ERM-system, men mer at de feiler med å bli enige om hva de prøver å måle og gjenkjenner ikke vanskelighetene som de vil stå ansikt til ansikt med ved implementeringen av en effektiv ERM-prosess. Det er nesten umulig å bygge et helt ERM-system fra bunnen av, Det er mye bedre å prioritere hvilket område i organisasjonen som vil ha størst nytte av en forbedret håndtering av oppside/nedside risiko først – altså et pilotprosjekt – og konsentrere seg på det, og tilføye de andre komponentene senere som del av et overordnet ERM-rammeverk/-system.

Når det gjelder hvor en skal starte er dette avhengig av hvilke forretningsmessige prioriteringer organisasjonen har. Imidlertid hvis organisasjonen starter med blanke ark, bør en konsentrere seg i første omgang om de strategiske oppside/nedside risikoer. Den umiddelbare virkningen av å identifisere disse oppside/nedside risikoene i ERM-prosessen kan ikke bli overvurdert. Det neste trinnet vil være avhengig av hvor mange prosjekter f.eks. som organisasjonen har. Hvis de er tallrike og forretningsmessig kritisk for organisasjonen da bør de adresseres som neste område. De daglige opperasjonene kan ta vare på seg selv i stor grad iom. at nye oppside/nedside risikoer vil være sjeldene – før en eventuell forandring eller transformasjon kommer fra et prosjekt. Og formalisere ORM-området vil være gunstig, men er sannsynligvis det som haster minst i de fleste organisasjoner.

Innsalg av ERM

Å selge inn fordelene av ERM kan være tøft. Det trengs å overvinnes det at ERM er en administrativ overhead ved å forsikre toppledelsen og styret om at uten et ERM-rammeverk og en ERM-prosess ville det vært både oppside/nedside risikoer som verken ville blitt identifiser eller håndtert. Men selv da kan det ikke bevises at en oppside/nedside risiko ikke skjedde på grunn av ERM-prosessen. En oppside risiko er en mulighet og en nedside risiko er en trussel, derfor er det også mulig at oppside/nedside risikoen ikke ville ha hendt, hvis ingen tiltak overhodet hadde blitt truffet.

 

j0078832

Det hjelper å ha en mengde eksempler der ERM har levert betydelige fordeler, men det finnes også enklere veier til å overbevise folk. Spør enheter/ledere/kunder om de tror at det er sannsynlig at minst en ”mulighet/trussel” vil bli identifisert ved å bruke en formell ERM-prosess. Hvis ikke organisasjonen er relativ liten, er det høyst sannsynlig at de vil forstå at noe betydningsfullt vil bli savnet uten et formelt ERM-system og en formell ERM-prosess. Å identifisere f.eks. en strategisk oppside/nedside risiko som kan ”velte” hele organisasjonen vil sannsynlig dekke kostnadene med å iverksette og kjøre ERM-prosessen mer enn nok. Hvis organisasjonen er meget enkel og liten kan sannsynligvis ikke ERM bli begrunnet likevel.

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Filed under: ERM-generelt, ERM-utfordringer | Leave a comment »