| Annenlinjeforsvaret |
Annenlinjeforsvaret ivaretaes normalt av ” Corporate Risk Management”.
Med ”Corporate Risk Managenent” (CRM) menes i denne sammenhengen den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system og den kollektive risikobevisstheten som er nødvendig for at ERM-systemet skal ha noen mening. |
| AS/NZS 31000:2009 |
Standard for Risk Management fra Australia og New Zealand. |
| Balanced Scorecard |
Teori lansert av Robert Kaplan & David Norton ved Harvard Business School i 1992. (Se Balansert målstyring). Andre brukte navn er Balansert styringsbilde eller Balansert Målekort. En styringsmodell som baserer seg på både finansielle og ikke-finansielle parametere. Filosofien trekker frem viktigheten av å forstå at andre faktorer enn kun de økonomiske «driver» et selskaps evne til å gjøre suksess. Balansert målstyring er alltid delt inn i perspektiver med tilhørende styringsparametere. |
| Basel Committee Overvåking av bankforretninger |
En overenskomst blant verdens ledende bank overvåkingsinstitusjoner oppnådd i 1988. Gjennomført for å oppnå internasjonal overensstemmelse mht. målingen av bankenes hensiktmessige kapital, og etablere en minimum kapital standard. Navnet ble gitt på bakgrunn av at Basel Committee sponset prosjektet. |
| Basel I |
Med Basel I ble Egenkapitalforskriften fra 1988 gjort gjeldende og forutsetningen for en internasjonal enhetlig egenkapitalforpliktelse ble grunnlagt. Denne forplikter bankene ved kredittgivning å finansiere minst 8 % med egenkapital. |
| Basel II |
Basel II fra 2001 erstatter gjeldende Basel Accord (Basel I) (fra 1988) som er en harmonisert internasjonal regelverk/standard for kapitaldekning i banker.Fra og med år 2006 skal bestemmelsene bli innført i mer enn 100 land i deres nasjonale lovgivning for å oppnå en større sikkerhet i verdens finanssystem. |
| Bedriftsinternt Miljø |
Det bedriftsinterne miljø er et svært vidt begrep. Det omfatter alt fra tekniske og økonomiske rammebetingelser, til skrevne og uskrevne sosiale regler som, direkte eller indirekte, påvirker enkeltindividers evne til å handle i en felles, kollektiv interesse. |
| Beslutningsstøttesystemer |
Engelsk: ”Decision Support Systems (DSS)”. Systemer som støtter i beslutningsprosessen. DSS sier ingenting om hvilket ledelsesnivå som støttes. Det gjør derimot Ledelsesinformasjonssystemer og ”Executive Information Systems”. |
Brønnpisser (”Whistle blower”)
Varsler |
En nedlatende betegnelse på en person/ansatt som rapporterer om en organisasjons brudd mot lover og regler med direkte eller indirekte virkning på egne eller kollegers muligheter til økonomisk gevinst fra organisasjonen. |
| Chief Risk Officer(CRO) |
Til å koordinere og administrere arbeidet med ERM-systemet bør det utnevnes en ”Chief Risk Officer. Dette er en senior konsulent ansvarlig for overordnet rapportering av organisasjonens risikoer. I større og større grad representert på styrenivå. |
| Corporate Governance |
Reglene om styring og kontroll av selskaper.Effektiv styring (”Governance”) er en sentral del av enhver organisasjon som streber etter å lykkes. Styret og ledelsen er ansvarlig for å forsikre seg om at deres organisasjoner er godt ledet, i stand til å hanskes med fremtidige utfordringer og utnytte mulighetene. De må til enhver tid ha en formening om hensiktsmessigheten og effektiviteten av de interne styrings og kontrollfunksjonene i organisasjonenCorporate Governance (virksomhetsstyring), generelt referert til som ”de prosesser som organisasjonen er styrt og kontrollert etter og er ment å imøtekommes”. Hovedelementene er forretningsplanlegging, risikohåndtering, overvåking av prestasjoner og ansvarlighet.Corporate Governance aktiviteter er representert som fire prinsipielle komponenter1. Retning.2. Ledelsens aksjoner.3. Overvåking.4. Ansvarlighet. |
| Corporate Risk Management(CRM) |
Den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system/-rammeverk og den kollektive risikobevisstheten som er nødvendig for at ERM-systemet skal ha noen mening. |
| COSO’s Enterprise Risk Management |
Standard for Enterprise Risk Management – Integrated Framework fra 2004. Laget i regi av Committee of Sponsoring Organizations of the Treadway Commission(COSO) |
| CRM |
Corporate Risk Management |
| Diversifisering |
Det å spre seg på for eksempel ulike verdipapirer for å redusere samlet risiko betegnes gjerne som diversifisering. |
| Drivere mht. en risiko |
Se risikodrivere. |
| EBIT |
“Earning Before Interest and Tax” |
| Effektivitet |
Brukbarheten/hensiktmessigheten av en tilstand på et gitt tidspunkt. Å bestemme om ERM er hensiktmessig/ brukbart er en bedømming som er et resultat av en vurdering av ERM-prosessen og ERM-systemet. |
| Eksponering |
I hvilken grad en organisasjon og/eller interessent berøres av en hendelse. |
| Ekstern kontekst |
Eksternt miljø hvor organisasjonen søker å nå sine målMerknad: Ekstern kontekst kan omfatte:
- det kulturelle, sosiale, politiske, juridiske, forskriftsmessige, finansielle, teknologiske, økonomiske, naturlige og konkurransemessige miljøet, enten det er internasjonalt, nasjonalt, regionalt eller lokalt;
- viktige drivkrefter og trender som har innvirkning på organisasjonens mål; og
- forholdet til eksterne interessenter og deres oppfatninger og verdier.
|
| Elementer ERM |
Dette er komponentene som del av ERMSE som må evalueres:
- Integreringen med underliggende undersystemer. Operative Risk Management systemer (ORM-systemer).
- Eksistensen av risikopolicy og retningslinjer/guider/styrende dokumenter.
- Tilordning av roller og ansvar.
- Kvaliteten og hensiktsmessigheten av kjerneprosessen (identifisering, analyse, evaluering, tiltak og rapportering).
- SystemEvaluering og uavhengig forsikring (revisjon).
- Generell overordnet vurdering av det enkelte Operative Risk Management system(ORM).
|
| Enterprise Risk Management |
Helhetlig og integrert risikoledelse.ERM er en systematisk tilnærming for å gå til aksjon under usikkerhet ved å identifisere, analysere, evaluere, for deretter å treffe tiltak, rapportere, håndtere og kommunisere risikotemaer, og som tar hensyn til både risiko som trussel og risiko som mulighet og som kan ha en effekt på organisasjonens mål.”Enterprise Risk Management” (ERM) betrakter risiko både som en mulighet og som en trussel. ERM er videre en prosess, den involverer folk på alle nivåer i organisasjonen. Den er anvendt i en strategisk sammenheng. Den er anvendt på tvers av organisasjonen og tar et “porteføljesyn” på risikoer. Den tillater ledelsen å definere sin risikoappetitt og å identifisere hendelser som kan ha innvirkning på organisasjonen. Den sørger for å sikre at strategiske og operasjonelle mål blir nådd. At organisasjonens rapportering er til å stole på. At organisasjonen handler i henhold til lover og regler. At den “er tilpasset for oppnåelse av mål i en eller flere separate, men overlappende kategorier. |
| Enterprise Risk Management- SystemEvaluering |
En vurdering av hele ERM-systemet. |
| ERM |
Forkortelse for Enterprise Risk Management eller Enterprise-wide Risk Management. Helhetlig og integrert risikoledelse. |
| ERM-håndbok |
Beskriver ERM-systemet og ERM-prosessen. Videre beskrives ERM-pocy’en, retningslinjer, ansvar og myndighet. Dessuten den filosofien som organisasjonen har på området ERM. |
| ERM-IT system (ERMIT) |
Her handler det seg om IT-systemer, metoder og modeller som hjelper beslutningstakerne til å styre og håndtere risikoer og ERM-systemet. Det viktige her er at beslutningstakere, risikorapportører, CRO og andre har informasjon i riktig mengde, hensiktmessig, formelt riktig og til rett tid til rådighet for å kunne treffe riktige beslutninger. |
| ERM-plan |
Spesifiserer hvordan risikohåndteringen vil bli gjennomført i organisasjonen og integreres med andre styrings- og overvåkingsaktiviteter og prosesser. Den definerer og formaliserer forpliktelsen for risikohåndtering som det hersker enighet om i organisasjonen gjennom dokumentet ERM policy.Den delen innenfor ERM- systemet som spesifiserer hvilken tilnærming, ledelseskomponenter og ressurser som brukes til håndteringen av risiko.Merknad 1: Typiske håndteringselementer er vanligvis prosedyrer, praksis, tildeling av ansvar, rekkefølge og tidspunktet for aktiviteter.
Merknad 2: ERM-planen kan brukes for bestemte produkter, prosesser og prosjekter, og den kan brukes for deler av eller hele organisasjonen. |
| ERM-policy |
Denne klargjør ledelsens forpliktelse til å iverksette og kontinuerlig utvikle ERM innen organisasjonen. ERM-policyen innebefatter mål og elementer av ERM innen organisasjonen, og hjelper til med å promotere risikosensibiliteten blant ansatte, og å integrere ERM innen organisasjonens kultur.Strategiarbeidet tar utgangspunkt i de policyer (styrende dokumenter) som organisasjonen har, der hensikten og målet med strategiarbeidet, samt organisering og ansvaret er fastlagt.Erklæring om en organisasjons overordnede intensjoner og retning knyttet til ERM. |
| ERM-prosess |
En godt fungerende ERM-prosess består grovt sett av fire underprosesser, eller grupper av prosesselementer:1. Det bedriftsinterne miljø i form av organisasjon, ansvar og myndighet, teknologi, kompetanse strategier og mål, samt flere andre grunnleggende faktorer som samlet avgjør om systemet vil fungere.2. ERM-kjerneprosessen som skal identifiser vesentlige risikoer og mulige risikoer, samt rapporter disse.3. Operative aktiviteter som skal iverksette foreslåtte tiltak og utviklingen av disse.4. Systemovervåkning og etterprøving som skal kunne forvisse ledelsen om at systemet fungerer tilfredsstillende og foreslå forbedringer.Systematisk bruk av policyer, prosedyrer og praksis for styring av aktivitetene kommunikasjon, konsultasjon, bestemmelse av kontekst og identifisering, analysering evaluering, håndtering, overvåking og gjennomgåelse/gjennomgang? av risiko. |
| ERM-revisjon |
Systematisk, uavhengig og dokumentert prosess for å fremskaffe bevis og evaluere dem på en objektiv måte for å fastslå i hvilken grad ERM-systemet/-rammeverket, eller enhver utvalgt
del av det, er tilfredsstillende og effektivt. |
| ERMSE |
Enterprise Risk Management- SystemEvaluering
Vår betegnelse på en systematisk gjennomgåelse og analyse av hele ERM-systemet med sikte på å bekrefte dets funksjonalitet eller peke ut forbedringsområder. |
| ERM-system/-rammeverk |
Et rammeverk, et sett med elementer i en organisasjons ledelsessystem som er opptatt med å styre og håndtere risikoer.Ledelsessystemelementene kan innholde strategisk planlegging, beslutninger og andre strategier, prosesser og praksis for å håndtere risikoer. Kulturen i en organisasjon er reflektert i dennes ERM-system.Et sett av elementer som gir grunnlaget og de organisasjonsmessige løsningene for å utvikle, iverksette, overvåke, gjennomgå og kontinuerlig forbedre helhetlig og integrert risikoledelse (ERM) i hele organisasjonenMerknad 1 Grunnlaget inkluderer policyen, mål, mandat og forpliktelse til å håndtere risiko
Merknad 2 De organisasjonsmessige løsningene ikluderer planer, relasjoner, ansvarsområder, ressurser, prosesser og aktiviteter.
Merknad 3 ERM-systemet er integrert i organisasjonens overordnede strategiske og operative policyer og praksis. |
| ERM-systemelementer |
De komponentene som ERM-systemet/-rammeverket består av og som blir evaluert gjennom ERMSystemEvaluering. |
| ERM-verktøy |
Dette er kvalitative og kvantitative hjelpemidler som benyttes i gjennomføringen av ERM-prosessen og ERM-systemanalysen. |
| Etablering av kontekst |
Fastsetting av de eksterne og interne parametrene det skal tas hensyn til i håndteringen av risiko =risikostyringen, og angivelse av omfanget og risikokriteriene for RM-policyen. |
| Etiske verdier |
Standarden for moralske normer, holdninger, integritet og handlinger i en organisasjon. |
| Etterlevelse av krav ”Compliance” |
I organisasjonens bestrebelser på å nå sine mål må organisasjonen følge de lovmessige og regulerende forskrifter som gjelder både internt og eksternt for organisasjonen. |
| Fare |
Kilde til potensiell skade.Merknad: En fare kan være en risikokilde. |
| Fase |
Gresk opphav ”avsnitt i et forløp”.I vårt tilfelle har vi delt ERM-prosessen inn i fasene 1 til 8 (etablering av kontekst, identifisering, analysering, evaluering, tiltak, rapportering, håndtering og overvåking, og ERM-SystemEvaluering og etterprøving.) |
| Finansielle risikoer |
Risikoer relatert til finansielle transaksjoner. F.eks. valutarisikoer, kredittrisikoer, landsrisikoer. |
| Forretningsrisikoer |
Forandringer i enten eksterne omgivelser eller i den forretningsmessig strategi som følge av slike forandringer som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet. F.eks. konkurrenters adferd. |
| Føre var system (”Early Warning System”) |
Et system som signaliserer latente, dvs. fordekte farer som allerede eksisterer i form av informasjoner, irritasjoner eller impulser før de inntreffer. |
| Førstelinjeforsvaret |
Førstelinjeforsvaret består hovedsakelig av organisasjonens normale linjeorganisasjon i form av foretningsenheter og spesialavdelinger. |
| Gjennomgang”Review” |
Handling som utføres for å fastslå egnetheten, tilstrekkeligheten og effektiviteten ved det aktuelle emnet for å oppnå fastsatte mål.
Merknad: Gjennomgang kan brukes for et ERM-system/-rammeverk, en ERM-prosess, en risiko eller en kontroll. |
| Hendelse |
Virkningen av en endring aktivert fra eksternt eller internt hold, som har en effekt på oppnåelse av organisasjonens mål. Hendelsen kan være sikker eller usikker. Dessuten kan hendelsen være en enkelt hendelse eller en serie av hendelser.Forekomst eller endring i et bestemt sett av omstendigheter.Merknad 1: En hendelse kan være en enkelt begivenhet eller en serie av flere begivenheter, og den kan ha flere årsaker.
Merknad 2: En hendelse kan være at noe ikke skjer.
Merknad 3: En hendelse kan av og til bli referert til som en «episode» eller «ulykkel».
Merknad 4: En hendelse uten konsekvenser kan også kalles «tilløp til skade», «episode», ”nesten uhell” eller «nesten ulykke». |
Hyppighet
”Frequency” |
En av dimensjonene som risiko er målt etter i løpet av risikoestimeringen.Av praktiske årsaker er dette i ERM det samme som sannsynlighet.Antall hendelser eller resultater pr. angittt tidsenhet. Merknad: Hyppighet/frekvens kan brukes for hendelser i fortiden eller for potensielle framtidige hendelser. Hyppighet/frekvens brukes da som et mål på sannsynlighet. |
| Håndtere |
Stoppe opp, vurdere og igangsette nødvendige tiltak. |
| Informasjonsinnhentning |
Innsamling av informasjoner for å kunne fatte beslutninger. |
| Innkjøpsrisikoer |
Risikoer som oppstår i innkjøpsprosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og/eller priser. F.eks. avhengighet av leverandører. |
| Integritet |
Et uttrykk for «noe» en kan stole på eller ha tillit til.Av lat. integritas, sunnhet, uskadd tilstand, helhet, ukrenkelighet. Brukes om en organisasjons helhet og uavhengighet, og om en persons gode egenskaper: redelighet, ubestikkelighet. |
| Interessent/ interessegrupper”Stakeholder” |
Enhver individuell gruppe eller organisasjon som er i stand til å påvirke organisasjonen, påvirkes av eller tror at de blir påvirket av en aktivitet eller en beslutning. Beslutningstakeren(e) er en interessent.Parter som blir påvirket av organisasjonen. Bla. aksjonærer, sosiale grupperinger, ansatte, kunder eller leverandører.Person eller organisasjon som kan påvirke, bli påvirket av, eller oppfatte seg selv som påvirket av en beslutning eller aktivitet
Merknad: En beslutningstaker kan være en interessent. |
| Intern kontekst |
Internt miljø hvor organisasjonen søker å oppnå sine målMerknad: Intern kontekst kan omfatte:
- forvaltning, organisasjonsstruktur, roller og ansvarsområder;
- policyer og mål samt strategier som er etablert for å oppnå dem;
- kompetansen, i betydningen ressurser og kunnskap (f.eks kapital, tid, personer, prosesser, systemer og teknologier);
- informasjonssystemer, informasjonsflyt og beslutningstakingsprosesser (både formelle og uformelle);
- forholdet til interne interessenter og deres oppfatninger og verdier;
- organisasjonenskulturen;
- standarder, retningslinjer og modeller som brukes i organisasjonen; og
- form for og grad av kontraktsmessige forhold.
|
| Intern kontroll |
En prosess styrt av organisasjonens styre og ledelse og annet personell for å sikre en hensiktmessig forsikring mht. oppnåelse av følgende mål:
- Effektiviteten og brukbarheten mht. organisasjonens operasjoner.
- Påliteligheten av finansiell rapportering.
- Overensstemmelse med juridiske og regulerende forskrifter.
|
| Internt overvåkingssystem |
Et synonym for internt kontrollsystem brukt i en organisasjon. |
| ISO 31000:2009 |
Standard for risikoledelse – prinsipper og retningslinjer. |
| ISO Guide 73:2009 |
Standard for risikoledelse – terminologi. |
| ISO 31010:2010 |
Standard for risikoledelse – risikovurderingsteknikker. |
| IT risikoer |
Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet. Fleksibilitet og støtte til informasjonssystemer og databanker. F.eks. misbruk av informasjons systemer. |
| Juridisk- og konformitets- risikoer |
Risikoer forårsaket av potensiell juridiske krav relatert til organisasjonens aktiviteter. Generelt inkluderer dette både betaling til advokater og tap som et resultat av juridiske aksjoner.Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis. F.eks. produkt sikkerhet. |
| Katastrofe |
En ødeleggende hendelse generelt karakterisert av at et høyt antall krav/fordringer blir levert forsikringsselskapene. |
| Kategoriseringsmodell/-verktøy |
Kategoriseringsverktøy hjelper organisasjonene med å gruppere og prioritere sine risikoer innenfor den industrigrenen de tilhører, og innen organisasjonen selv. Slike verktøy hjelper ledelsen med å sikre at de fanger opp alle hovedrisikokategorier i organisasjonen, ikke bare enkelte og de tradisjonelle.Et felles ”stammespråk/risikospråk” (Risikokategoriseringsmodell) for å bidra til at alle som er involvert i ERM-prosessen kommuniserer klart og tydelig.I teorien kan risikoer bli kategorisert iht.:
- Årsaker (f.eks. ustabil produksjonsprosess, leverandøravhengighet, risiko for substitutter, teknologisk forandring eller kvalitetsproblemer).
- Hendelser (f.eks. regionale kriser, miljø katastrofer, streiker, misligheter eller feil i tekniske systemer).
- Konsekvens (f.eks. på eiendom, inntjening, ”cash flow” eller image/omdømme).
- Risiko håndteringsstrategi (f.eks. mulighet for forsikring, mulighet for å kontrollere, eller mulighet for å transferere).
|
| Kjerneprosess |
Kjerneprosessen som er syklisk består i hovedsak av oppgaver og funksjoner som i det vesentlige er innbyrdes avhengig av hverandre.Kjerneprosessen har til oppgave å identifisere, analysere og evaluere, risikoer organisasjonen eksponeres for.Videre skal den foreslå tiltak, rapportere til den ytre prosessdelen med fastlagte intervaller. |
| Kommunikasjon og konsultasjon |
Kontinuerlig og gjentakende prosesser som gjennomføres i en organisasjon for å gi, utveksle eller innhente informasjon, og for å ha dialog med interessenter om håndtering av risiko.Merknad 1: Informasjonen kan være relatert til forekomst, type, format, sannsynlighet, viktighet, evaluerbarhet, aksepterbarhet og håndtering av risiko.
Merknad 2 Konsultasjon er en toveis, veloverveid kommunikasjonsprosess mellom en organisasjon og dens interessenter vedrørende en sak, før en beslutning tas eller en retning velges i den aktuelle saken.
Konsultasjon er:
- en prosess som viker inn på en beslutning gjennom innflytelse heller enn gjennom maktutøvelse; og
- et innspill til beslutningstaking, ikke felles beslutningstaking.
|
| Konsekvens |
Resultatet eller effekten av en hendelse.
Konsekvensen eller virkningen må være ”mindre enn 0” (m.a.o. negativ) for å representere en risiko. Er konsekvensen ”større enn 0” representerer dette i vår terminologi muligheter som kan utnyttes. Dersom sannsynligheten og/eller konsekvensen forventes å være ”lik 0”, anses hendelsen å være uinteressant både som mulighet og risiko.Utfallet av en hendelse som påvirker mål.Merknad 1: En hendelse kan medføre flere konsekvenser.
Merknad 2: En konsekvens kan være sikker eller usikker og ha positiv eller negativ innvirkning på mål.
Merknader 3: Konsekvenser kan uttrykkes kvalitativt eller kvantitativt.
Merknad 4: Opprinnelige konsekvenser kan bli mer omfattende gjennom kjedereaksjoner. |
| Kontekst |
Ordet ”kontekst” kommer av det latinske ”contexere”, eller å flette, veve sammen en tekst eller en tankesammenheng med en annen, som dermed kan gi den opprinnelige teksten eller tankesammenhengen en ny betydning. Den nye teksten eller tanken har med andre ord betydning for hvordan den opprinnelige teksten eller tanken skal forståes.Denne nye teksten eller tankesammenhengen er ”Enterprise Risk Management”(ERM). ERM må altså få betydning for organisasjonens kollektive forståelse av seg selv, sine målsetninger og hvordan den oppnår disse. |
| Kontinuitetsplan |
Utarbeidelse av en kriseplan, katastrofeplan, ofte omtalt som ”Business Continuity Plan”, i forkant av hendelsen. |
| KonTraG |
”The German Act on Corporate Control and Transparency” (”Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich”, – KonTraG)” av 1998. Noe forenklet kan vi si at loven gjør styret og dets medlemmer (økonomisk) ansvarlig ovenfor samfunnet generelt og sine eiere spesielt, dersom det i organisasjonen ikke finnes mekanismer eller rutiner som sikrer dem den informasjon som kreves i utførelsen av deres styreverv. Styret må med andre ord kunne dokumentere rutinene for hvordan de skaffer seg den informasjon som benyttes, og gjennom dem hvilken informasjon de til enhver tid har hatt tilgjengelig som grunnlag for sine beslutninger. Feil beslutninger på basis av manglende eller mangelfull informasjon, kan i verste fall medføre personlig erstatningsansvar dersom mangelen på informasjon ikke skyldes brudd på de av styret godkjente rutiner. |
| Kontroll/oppfølging |
En eksisterende prosess, policy, praksis eller andre aksjoner/tiltak som skjer for å minimalisere risikoer (negativt) eller øker mulighetene (positivt). Ordet kontroll kan også bli brukt for å sikre hensiktmessig forsikring mht. oppnåelsen av mål. |
| Kontroller |
Policyer og prosedyrer som hjelper til med å sikre kontinuerlig og hensiktmessige operasjoner mht. organisasjonens systemer.Tiltak som modifiserer risiko. Merknad 1: Kontroller inkluderer enhver prosess, policy, plan og praksis samt andre ordninger som modifiserer risiko.
Merknad 2: Det er ikke alltid tiltenkte kontroller har den tilsiktede eller antatte modifiserte virkningen. |
| Kontrolltiltak |
En form for risikoreduksjon for å redusere sannsynligheten for at risikohendelsen modner. |
| Kost-/nytteanalyse |
Systematisk sammenligning av alternativer for å kunne treffe rasjonelle beslutninger. i ERM-prosessen. Kost-/nytteanalysen spiller en stor rolle ved risikofinansiering. Hyppig vurderes imidlertid risikofinansieringen rent intuitiv. ERM-tilnærmelser hjelper til i forbindelse med slike beslutningsprosesser. |
| KPI / Key Performance Indicators. |
Tallfestet indikator på en organisasjons eller funksjons ytelser under bestrebelsen e på å nå sine mål. |
| KRI / Key Risk Indicator |
Tallfestet indikator på de risikoer en organisasjon eller funksjon utsettes for. |
| Kriterier |
Et sett med standarder som måler effektiviteten og hensiktsmessigheten med ERM-prosessen. |
| Ledelsesprosess |
En serie av aksjoner/tiltak som blir tatt av ledelsen for å styre organisasjonen. Enterprise Risk Management er del av og integrert med ledelsesprosessen. |
| Manuell kontroll |
Kontroller gjennomført manuelt, ikke av en computer. |
| Metode |
Av gresk methodos, til hodos, vei, dvs.vei mot målet. Planmessig fremgangsmåte for å løse et problem, oppnå et resultat etc.. Metodikk, læren om metodene, beskrivelse av den fremgangsmåte som brukes i et bestemt fag. Metodisk, planmessig, systematisk. |
| Mulighet |
Sannsynligheten for at en hendelse oppstår og har en positiv effekt på oppnåelsen av målsettinger.Anledning at en hendelse forekommer og influerer positivt på oppnåelsen av målsettinger”. |
| Mål |
Tilsvarer «objective» på engelsk. Dette er målet som skal nås innen innsatsområdet. Et eksempel er» å bli markedsleder». Vi spesifiserer ytterligere ved å si hvordan dette skal måles ”måltall/”measures” og hvor mye vi skal oppnå ”budsjettert mål/target”. |
| Måltall |
Tallfestet beskrivelse av en person eller organisasjons mål setting. (Hovedmål eller delmål). Måltallet er knyttet til budsjettert mål, eller «target». |
| Objektiv risiko |
En risiko som ligger i saken selv. F.eks. i måten å bygge en fabrikk på. Det motsatte er subjektiv risiko. |
| Operasjonell risiko |
Risiko for tap betinget av utilstrekkelig eller manglende interne prosesser, ansatte, systemer eller eksterne hendelser. |
| Operasjonelle-, administrasjons- og ledelsesrisikoer |
Risikoer innen verdikjedeprosessen eller støtteprosesser. F.eks. stabil produksjonsprosess. |
| Operasjoner |
Brukt i forbindelse med målsettinger. Har å gjøre med brukbarheten/egnetheten og effektiviteten av organisasjonens aktiviteter, inklusiv prestasjons- og resultatmål, og for å sikre ressursene mot tap. |
| Operativ Risk Management |
Operative Risk Management-prosesser foregår ute i de operasjonelle forretningsenhetene og omfatter generelt en faglig eller spesialisert avgrenset tilnærming til risikoidentifisering, risikoanalyse, risikoevaluering, risikotiltak og risikorapportering. |
| Organisasjon |
Gruppe av folk og fasiliteter med rammer for ansvar, myndighet og roller.En bedrift, et firma, institusjon, eller en del av et konsern, offentlig eller privat, som har sine egne funksjoner og administrasjon. |
| ORM |
Forkortelse for Operativ Risk Management |
| Overvåking”Monitoring” |
Kontinuerlig kontroll, tilsyn, kritisk observering eller fastsetting av status for å identifisere avvik
fra påkrevd eller forventet prestasjonsnivå.Merknad: Overvåking kan brukes på et ERM-system/-rammeverk, en ERM-prosess, en risiko eller en kontroll. |
| Personalrisikoer |
Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte. F.eks. rekruttering av nøkkelpersonell. |
| Policy |
Ledelsens diktat av hva som skal gjøres. En policy tjener som basis for prosedyrer og iverksettelsen av disse. |
| Portefølje |
Av fransk ”portefeuille”, dokumentmappe, av porter, bære, og ”feuille”, ark, blad, samling av dokumenter eller verdipapirer, f.eks. aksjeportefølje.Med begrepet portefølje vil vi i denne sammenhengen mene en beholdning av ulike risikoer. |
| Prestasjonsledelse/Performance Management |
Måling av ytelse av medarbeidere og hvor godt de oppnår sine mål. I ”performance management” ligger også kompetansekartlegging, kursing, opplæring osv.. Det er viktig å kjenne til forskjellen mellom ”Performance Management” og ”Performance Measurement”. Enkelte skiller ikke mellom disse to. Dette kan bidra til forvirring. |
| Prestasjonsmåling/Performance Measurement (PM) |
Måling av ytelse i bedrifter og organisasjoner. Dette kan være etter styringsmodellen ”Balanced Scorecard”, men PM dekker i tillegg en rekke andre måter å vurdere ytelse på. Enkeltelementene i et ”BSC” som for eksempel kundetilfredshet er et eksempel på ”Performance Measurement”. |
| Prosedyre |
En aksjon/et tiltak som iverksetter en policy.Av latin, en fremgangsmåte. Juridisk, partenes avsluttende innlegg etter bevisførselen i en rettssak. |
| Prosessanalyse |
En teknikk for systematisk å analysere og notere, i standardisert form, en organisasjons strategiske, forretningsmessige, operasjonelle og tekniske prosesser mht. spesifikke aksjoner. |
| Ratingskala Måleskala/graderingsskala |
Oftest vil rammen for måleskala være gitt gjennom valg av standardverktøy under etablering av kontekst. Disse benytter imidlertid som oftest en graderingsskala (ratingskala), der et intervjuobjekts holdning til et gitt spørsmål graderes. Vi kan ha både en ”to-polig” og en ”en-polig” skala.En rating er utrykt ved hjelp av spesifikke symboler på en ordinalskala og representerer meningen til den spurte/respondenten. |
Restrisiko
”Residualrisk” |
Risikoen som er tilbake etter risikotiltak/håndtering.Ikke alle risikoer lar seg eliminere helt ved spesielle tiltak og blir med videre i prosessen. Likedan vil det finnes risikoer som i utgangspunktet er så små at tiltak mot dem derfor ikke er formålstjenlig. I en idealsituasjon vil disse risikoene samlet utgjøre ”aksepterte risikoer”, også ofte omtalt som ”residualrisikoer”. Vesentlige residualrisikoer må underlegges kontroll og begrensningstiltak.Risiko som er igjen etter risikohåndtering. Merknad 1: restrisiko kan inneholde uidentifisert risiko.
Merknad 2: restrisiko kan også kalles «risiko man tar for egen regning» |
| Risiko |
Begrepet risiko er avledet fra italiensk „risicare“ som betyr å „tørre“. Det dreier seg om vågestykket å handle, som fører til en risiko ved å handle pga av mangel på informasjon.Virkningen av usikkerhet knyttet til målMerknad 1: En virkning av et avik fra det forventede-positive og/eller negative.Merknad 2: Det kan være flere aspekter ved mål (for eksempel finansielle, helse-, sikkerhetsmessige og miljørelaterte malsettinger), og målene kan gjelde for ulike nivaer (for eksempel pA et strategisk nivå, for en hel organisasjon, for et prosjekt, for et produkt ogfor en prosess).Merknad 3: Risiko karkteriseres ofte ved å refere til potensielle hendelser og konsekvenser, eller en kombinasjon av disse.Merknad 4: Risiko uttrykkes ofte som en kombinasjon av konsekvensene av en hendelse(inkludert endringer i omstendigheter) og den /tilhørende sannsynligheten for hendelsen.
Merknad 5: Usikkerhet er en tilstand dr det er mangel på informasjon, manglende forstålse av eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet for at den skal forekomme. |
| Risikoaggregering |
Sammenfatning av flere enkeltrisikoer mht. likhetstegn. I ERM er målet med aggregeringen å bestemme den samlede porteføljen av risikoer for organisasjonen og den relative betydningen av enkeltrisikoer. Korrelasjonen av enkeltrisikoer må eksplisitt bli tatt hensyn til. En metode for risikoaggregering og kvantifisering er ”Monte-Carlo-simulering”.Eksempler på ulike aggregeringsnivåer kan være:· Risiko (detaljnivå).· Risikokategori (risikogruppe/-art).· Organisatorisk nivå(jf. terskelverdier).· Forretningsenhet.· Spesialistavdelinger.· Bransjer.· Divisjoner.· Produktgrupper.· Konsern. Kombinasjon av flere risikoer samlet til en risiko for å utvikle en mer samlet forståelse av den overordnede risikoen. |
| Risikoaksept/ risikoakseptering |
Ikke alle risikoer lar seg eliminere helt ved spesielle tiltak og blir med videre i prosessen. Likedan vil det finnes risikoer som i utgangspunktet er så små at tiltak mot dem derfor ikke er formålstjenlig. I en idealsituasjon vil disse risikoene samlet utgjøre ”akseptere risikoer”, også ofte omtalt som ”residualrisikoer”. Vesentlige ”residualrisikoer” må underlegges kontroll og begrensningstiltak.Veloverveid beslutning om å ta en bestemt risiko.Merknad 1: Risikoaksept kan forekomme uten risikohåndtering eller i løpet av risikohåndteringsprosessen.
Merknad 2: Aksepterte risikoer er gjenstand for overvåking og gjennomgang. |
| Risikoanalyse |
Kvantitativ og kvalitativ vurdering av risikoer. Prosessen med å kvantifisere og beskrive de risikoene som kan ha en effekt på organisasjonen og estimere deres konsekvens og sannsynlighet.Systematisk prosess for å forstå risikoen og nivået på risikoen. Gir basisen for risikoevalueringen og beslutninger mht. risikotiltak.Prosess for å forstå formen for risiko og bestemme risikonivået.Merknad 1: Risikoanalyse gir grunnlaget for risikoevaluering og beslutninger om risikohåndtering.Merknad 2: Risikoanalyse inkluderer risikoestimering. |
| Risikoappetitt |
Risikoappetitt eller risikovilje er den grad av risiko som en organisasjon er villig til å akseptere for å øke sin verdi. Den reflekterer organisasjonens filosofi, og har innflytelse på organisasjonens kultur og måten organisasjonen utfører sine daglige gjøremål på.Risikonivå(risikoappetitt, grenseverdier, risikotoleranse, risikoviljen).En organisasjons vilje, eller evne til å påta seg risiko omtales ofte som dens ”risikoappetitt”. Det er denne ”appetitten” organisasjonen må redegjøre for i sine strategier og styrende dokumenter.”Risikoappetitten” bør likedan følges av en klar avgrensing i form av ”Risikotoleranse”. Definisjonen av ”risikoappetitt” og ”risikotoleranse”, kan være så enkel eller komplisert som organisasjonen ønsker å lage den.Mengde og type risiko som en organisasjon er villig til å ta tak i eller ta for egen regning. |
| Risikoaversjon |
Motvilje til å ta risiko. |
| Risikobehandling |
Se risikohåndtering |
| Risikobeskrivelse |
Strukturert redgjørelse om risiko, som vanligvis inneholder fire elementer: kilder, hendelser, årsaker og konsekvenser. |
| Risikobevissthet |
Engelsk ”Risk Awareness“. Det omfanget personen merkbart sanser og forstår farene vedkommende befinner seg i. Videre hvorvidt personen som handler ”risikant” er bevisst ”risikoen”. Risikoinnstilling. Det blir skilt mellom risikoaversjon, risikonøytralitet og risikovennlighet. |
| Risikodeling |
Dele byrdene med tap eller gevinst mht. spesifikke risikoer.Juridiske krav kan begrense, tillate eller gi mandat til å dele noen risikoer. Risikodeling kan foretas ved hjelp av forsikringer eller andre avtaler. En risikodeling kan også medføre at nye risikoer oppstår eller at eksisterende risikoer modifiseres.Form for risikohåndtering som omfatter avtalt fordeling av risiko med andre parter.
Merknad 1: Juridiske eller forskriftsmessige krav kan begrense, forby eller pålegge risikodeling.Merknad 2: Risikodeling kan gjennomføres gjennom forsikring eller andre avtaleformer.Merknad 3: I hvilken grad risikoen fordeles kan være avhengig av påliteligheten og klarheten ved delingsordningen.
Merknad 4: Risikooverføring er en form for risikodeling. |
| Risikodrivere |
Dette er «lead» indikatorer som viser hva som må være i orden for at vi skal kunne oppnå f.eks. finansielle resultater. Et eksempel på en driver er en medarbeidertilfredshetsundersøkelse. Denne driver kvaliteten på interne prosesser, som igjen driver kundetilfredshet, som igjen driver de finansielle resultatene.Nye markeder, nye prosjekter, nye tjenester, nye produksjonsprosesser, nye produkter, ny organisasjonsform, nye leder filosofi og ny teknologi innebærer alle nye risikomomenter for en organisasjon. Organisasjoner må metodisk fokusere på de risikoer som organisasjonen står ovenfor mht. fortid, nåtid og fremtid.ERM-systemet definerer usikkerhetene og risikomomentene som risikodrivere. |
| Risikoeier |
Person eller enhet med overordnet ansvar for og myndighet til å håndtere risiko. |
| Risikoestimat“Risk estimation” |
Aktiviteten med å estimere hyppigheten eller sannsynligheten og konsekvenser av risikoscenarioer, inklusiv en betraktning av usikkerhetene mht. estimatene. |
| Risikoevaluering |
En vurdering av f.eks. sannsynligheten av risikoen for oversvømmelse, deres konsekvens i forhold til oppsatte mål. Det er vanlig å skille mellom en risikoprosessvurdering og vurdering av risiko på objektet.Formålet med risikoevalueringen er i første rekke å skaffe oss best mulig oversikt over den enkelte risikos innvirkning på de ulike målsetninger organisasjonen har definert under etableringen av kontekst (strategi og policy). Spesielt gjelder dette:
- Bestemme om en risiko kan aksepteres, eller krever øyeblikkelig handling.
- Prioritere de identifiserte risikoene for å tildele begrensede ressurser til nøkkelrisikoene.
- Identifisere potensiell akkumulering og diversifiseringseffekter på forskjellige organisasjonsenheter.
Prosess for å sammenligne resultatene av en risikoanalyse med risikokriterier for å bestemme hvorvidt en risiko og/eller dens omfang kan aksepteres eller tolereres
Merknad: Risikoevaluering bidrar i beslutningen om risikohåndtering.
|
| Risikofinansiering |
Form for risikohåndtering som omfatter beredskapsordninger for framskaffing av midler som skal dekke eller modifisere de økonomiske konsekvensene, dersom de inntreffer. |
| Risikohendelse |
Se hendelse. |
| Risikoholdning”Risk attitude” |
Organisasjonens tilnærming til å vurdere og deretter ta tak i risiko, ta risiko for egen regning, bære eller se bort fra risiko. |
| Risikohåndtering |
Hvordan en risiko er behandlet og tiltak iverksatt.Prosess for å modifisere risiko. Merknad 1: Risikohåndtering kan innebære følgende:
- unngå risikoen ved å beslutte seg for ikke å begynne eller ikke å fortsette med aktiviteten som forårsaker risikoen;
- ta eller å øke risikoen for å kunne dra nytte av en mulighet;
- fjerner risikoenkilden;
- endre sannsynligheten;
- endre konsekvensen;
- dele risikoen med en eller flere andre parter [inkludert kontrakter og risikofinansiering], og
- ta risikoen for egen regning som følge av en veloverveid beslutning.
Merknad 2: Risikohåndtering som omhandler negative konsekvenser kalles av og til «risikoavbøting», «risikoeliminering», «risikoforebygging» og «risikoreduksjon».
Merknad 3: Risikohåndtering kan skape nye risikoer eller modifisere eksisterende risikoer.
|
| Risikoidentifisering |
Setter navn på, og beskriver mulige risikoer som en organisasjon kan stå ovenfor. Uansett kvalitativ eller kvantitativ risikoanalyse vil prinsippet bak identifisering av risikoer være å finne frem til de risikoer som har en sannsynlighet for å inntre som er større enn ”0”, og av den grunn bør være gjenstand for nærme analyse i risikoanalysefasen.Risiko = (Sannsynlighet >0) * (Konsekvens < 0)Den innholder ikke klassifisering eller ”rating”/scoring” som er en del av risikoanalyse og risikoevaluering.Effektiv risikoidentifisering er helt avhengig av et felles ”stammespråk” personer og enheter i mellom. Uten dette vil vi oppleve ineffektiv kommunikasjon, missforståelser og ressurssløsing.Det er derfor av største viktighet at organisasjonen bygger sin identifiseringsprosess på en felles risikokategoriseringsmodell og at de som bidrar med identifisering av risikoer, er fortrolig med denne og andre retningslinjer for denne rapporteringen.Prosess for å finne, gjenkjenne og beskrive risikoer Merknad 1: Risikoidentifisering omfatter identifisering av risikokilder, hendelser, deres årsaker og deres potensielle konsekvenser.
Merknad 2: Risikoidentifisering kan omfatte historiske data, teoretisk analyse, velbegrunnete oppfatninger og ekspertoppfatninger, og interessentens behov. |
| Risikokategori /risikobibliotek |
Se kategoriseringsmodell. |
| Risikokilde |
Element som alene eller i kombinasjon har et iboende potensial til å forårsake risiko
Merknad: En risikokilde kan være materiell eller immateriell. |
| Risikokommunikasjon |
En toveis kommunikasjon mellom interessenter om eksistensen, natur, form, kvaliteten, eller aksept av risikoen. |
| Risikokontroll/-overvåking |
En art av risikoradar i ERM-prosessen. Omfatter ERM-kjerneprosessen over tid. Hertil hører regelmessige målinger av ERM-metoder og ERM-prosedyrer, effektivitet og brukbarhet. |
| Risikokontrollstrategi |
Et program som kan innholde forskjellige risikokontrollmuligheter. |
| Risikokostnader |
Nytten av politiske risikotiltak avtar med stigende grad av sikkerhet. Ut ifra økonomiske vurderinger kan visse investeringer i tilleggsutstyr være ulønnsomme. Målet må være å oppnå et optimalt nivå på risikokostnadene, dvs. at det må unngås en målkonflikt mellom risikokostnadene og sikkerhetsgraden. |
| Risikokriterier |
Grunnlag som betydningen av en risiko evalueres mot.Merknad 1: Risikokriterier bygger på organisatoriske
mål, og ekstern kontekst og intern kontekst.Merknad 2: Risikokriterier kan utledes fra standarder,
lover, policyer og andre krav. |
| Risikokultur |
Kollektive holdninger og handlingsmønstre organisasjonen møter omgivelsene med i sin daglige omgang med risiko, omtales ofte som ”risikokultur”. |
| Risikoledelse”Risk Management” |
Koordinerte aktiviteter for å rettlede og håndtere en organisasjon med hensyn til. risiko. |
| Risikomatrise |
For å lette innsamling av informasjon i kvantitative analyser, bearbeide denne informasjonen og kommunisere resultatet av ERM-arbeidet, bør det benyttes et hensiktsmessig verktøy.Risikoen for de ulike hendelsene kan anslås i en risikomatrise ved å kombinere sannsynligheten for at hendelsen inntreffer med konsekvensen hvis hendelsen inntreffer.Verktøy for å rangere og vise risiko ved å definere intervaller/ områder for konsekvens og sannsynlighet. |
| Risikonivå |
Et estimat på sannsynligheten og konsekvens av en hendelse.Omfanget av en risiko eller kombinasjon av risikoer, uttrykt som en kombinasjon av konsekvenser og sannsynligheten for at disse forekommer. |
| Risikooppfattelse/ “Risk perception” |
Engelsk. ”risk perception”. Fornemmelse av farer og bedømming av de risikoene som er forbundet med dette. Preget av personens egne subjektiv forståelse av risikoen. Vanligvis et begrep som ikke kan måles, da risikoer ikke kan ”fornemmes”, men fremstiller en vurdering.Betydningen som interessegrupper fordeler risikoene på. Denne oppfattelsen er avledet ut ifra interessentenes uttrykte behov, spørsmål og bekymringer.Interessentens oppfattelse av en risiko Merknad: oppfattelsen av risiko gjennspeiler interessentens behov, fokusområder, kunnskap, oppfatning og verdier. |
| Risikoppmerksomhet”Risk Awareness” |
Risikobevissthet. Det omfanget, som personen som befinner seg i fare, registrerer bevisst. Videre hvorvidt personen som med vilje handler ”risikant” er seg bevisst omfanget av risikoene. |
| Risikooverføring |
Risikooverføring vil kunne omfatte overføring til samfunnet generelt, ansatte, kunder eller leverandører, samt ikke minst tredjepart i form av forsikringsinstitusjoner. |
| Risikoovervåking |
Sjekke, kontrollere, observere kritisk eller måle fremdriften av en aktivitet, aksjon/tiltak regelmessig for å identifisere forandring fra krav til prestasjonsnivå eller det som er forventet. |
| Risikoprofil |
En godt definert risikoappetitt og risikotoleranse dokumentert i organisasjonens overordnede strategi, tilkjennegir overfor organisasjonen hvor, – og hvordan ledelsen ønsker at ressurser skal anvendes og vil kunne underbygges og støttes av underliggende detaljerte strategier, forretningsplaner, investeringsplaner og lignende. Dette omtales ofte også som organisasjonens ”risikoprofil”.De verdier og den miks vi har mellom faktorene ”sannsynlighet og konsekvens”, gir uttrykk for den ”risikoprofil” vi til enhver tid har i forhold til den enkelte risiko.Beskrivelse av ethvert sett med risikoer.
Merknad: Risikosettet kan inneholde deler av organisasjonen, eller fastsatt på annen måte. |
| Risikorapportering |
En innberetning, melding (om noe som er skjedd, utført mht. risiko etc.) eller uttalelse. Denne kan være skriftlig eller muntlig.Det overordnede formålet med rapporteringen av nøkkelrisikoer og risikohåndtering er å:
- Forbedre kvaliteten og støtte beslutninger i rett tid.
- Bestemme prioriteringer mht. aksjon og forbedring.
- Gjøre den overordnede ledelsen og styret i stand til å adressere og håndtere nøkkelrisikoer slik dette er påkrevd.
- Underbygge bestrebelsen på å tilfredsstille eksterne krav til rapportering.
Brukt i forbindelse med mål og har å gjøre med påliteligheten av organisasjonens rapportering, inklusiv både intern og ekstern rapportering av finansiell og ikke finansiell informasjon.
Kommunikasjonsform som skal informere bestemte interne eller eksterne interessenter ved å gi informasjon om status for aktuell risiko og dens håndtering.
|
| Risikoreduksjon |
Redusere sannsynlighet eller konsekvens for risikoen. Risikoreduksjon iverksettes ved reduksjon av sannsynlighet for og/eller konsekvensen av en hendelse. |
| Risikoregister |
En oversikt over risikoene bygget på kategoriseringsmodellen. Viser vurderingene på en skala fra 1-5 mht. årsak, sannsynlighet, konsekvens, dagens kontroller, risikoprioritering, tiltak, tidshorisont og ansvarlig.Informasjonsregister over identifiserte risikoer.
Merknad: Begrepet «risikoliste» brukes av og til i stedet for «risikoregister» |
| Risikoscenario “Risk scenario” |
En definert sekvens av hendelser med en assosiert hyppighet (sannsynlighet) og konsekvens. |
| Risikostyring |
Etter risikoidentifiseringen, risikoanalysen og risikoevalueringen må organisasjonen vurdere hvordan den omgås risikoene. Dvs. hvilke tiltak den treffer. Risikoene kan unngås, begrenses, overføres eller de kan bæres selv. |
Risikotaking for egen regning
”Risk Retention” |
Akseptering av den potensielle fordelen ved gevinst eller byrden ved et tap fra en bestemt risiko.Merknad 1: Å ta risiko for egen regning innebærer aksept av aksepten av restrisiko.
Merknad 2: Risikonivået for restrisiko kan avhenge av risikokriterier. |
| Risikotiltak |
En prosess av valg og iverksettelser av aksjoner/behandling av risikoer for å modifisere risikoene.Risikoer kan aldri helt elimineres. Målsetningen med ERM er da også begrenset til å finne frem til tiltak som kan reduser en risiko, eller en konsekvens av denne.Aksjoner som organisasjonen tar i forbindelse med risikoen. |
| Risikotoleranse |
Risikotoleranse er det akseptable nivå av variasjon relatert til å nå organisasjonens mål.Organisasjonens eller interessentens vilje til å bære risikoen etter risikohåndteringen for å oppnå sine mål. |
| Risikotransfer ”Risk Transfer” |
Praksisen med å fjerne risikoer fra organisasjonens operasjoner. Vanlige former for risiko transfer inkluderer bl.a. forsikring, salg av forretningsenheter. |
| Risikounngåelse |
Unnlate å sette seg selv eller organisasjonen i den situasjon at en hendelse, som kan medføre risiko, kan inntreffe.Veloverveid beslutning om å ikke bli involvert i en aktivitet eller beslutning om å trekke seg fra aktiviteten for å unngå eksponering for en bestemt risiko. Merknad: Risikounngåelse kan bygge på resultatet av risikoevaluering og/eller juridiske og forskriftsmessige forpliktelser. |
| Risikovurdering”Risk assessment” |
Samlet prosess som består av risikoidentifisering, risikoanalyse og risikoevaluering. |
| Risk Champions |
I vårt ”case” er dette en person eller gruppe personer som har oppfølging av en organisasjons ERM-system som del av sine dedikerte oppgaver. En ”Risk Champion” har ansvaret for ERM-systemet innen sin organisasjonsenhet. |
| Risk Governance |
Styring av risiko. |
| Risk mitigation |
Se risikoreduksjon. |
| Sannsynlighet |
Sannsynligheten for at en gitt hendelse inntreffer.Uansett kvalitativ eller kvantitativ risikoanalyse vil prinsippet bak identifisering av risikoer være å finne frem til de risikoer som har en sannsynlighet for å inntre som er større enn ”0”, og av den grunn bør være gjenstand for nærme analyse i analysefasen.Risiko = (Sannsynlighet >0) * (Konsekvens < 0)I en kvalitativ analyse vil vi normalt ikke stille krav til så konsise uttrykk, men nøye oss med å beskrive sannsynligheten som ”usannsynlig, sannsynlig og sikker”, eller lignede.Er det mulig å angi objektive eller subjektive sannsynligheter, så er risikoen kvantifiserbar. Den objektive fastsettelsen av sannsynligheter er et resultat ut ifra den statistiske vurderingen av et tilstrekkelig antall data.De subjektive sannsynlighetene blir fastlagt på grunnlag av den vurderende personens erfaring. Ved kvantifiseringen av risikoene kan sannsynligheten for å inntreffe og mulige taps- henholdsvis gevinststørrelse angis. ”Value-at-Risk” er således et mål for kvantifiseringen av risiko som ofte er benyttet innen bank – og finansverdenen.Potensialet for at noe skjer. |
| Selvvurdering ”Self Assessment” |
Selvvurdering er en egenevaluering av risikoer fra utvalgte medarbeidere og tjener til å identifisere og vurdere risikoer.Den blir spesielt brukt for å identifisere risikoer og følge opp hvordan de forandrer seg, evaluere de kontroller som eksisterer og eventuelt treffe forbedringstiltak. Dessuten initiere og gjøre det mulig med en konsistent risikovurdering ut over organisasjonsenheten, og understreke betydningen av det desentraliserte ansvaret for styringen og håndteringen av risikoer |
| SOX |
The Sabanes Oxley Act. Amerikansk (USA) lov vedtatt i juli 2002. Loven bygger på arbeidene i ”The Treadway Commission” og ble aktualisert gjennom de mange finansielle skandalene i USA på slutten av 1990 – og begynnelsen av 2000-tallet. |
| Strategisk |
Brukt sammen med mål. Har å gjøre med mål på høyt nivå som er avstemt med og støttet opp om av organisasjonens misjon og/eller visjon. |
| Strategisk risiko håndtering |
Den sentrale delen av strategisk risikostyring og -håndtering er fastleggelsen av organisasjons risikoholdning. Strategisk risikostyring og -håndtering danner grunnlag og utgangspunkt for et effektivt ORM.Relatert til sentrale, strategiske mål og målsettinger. Risikoer som har strategisk betydning for organisasjonen. |
| Subjektiv risiko |
Her handler det om individuelle risikokjennetegn (uvørn, omsorgsfull, tillitsvekkende etc.) som har en innflytelse på hvordan risiko oppfattes og håndteres. Se objektiv risiko. |
| System Evaluering |
En vurdering av hele ERM-systemet/-rammeverket.. |
Sårbarhet
”Vulnerability” |
Iboende egenskaper hos noe gir følsomhet for en risikokilde som kan føre til en hendelse med en konsekvens. |
| Tilpasningsdyktighet/robusthet“Resilience” |
Tilpasningsdyktigheten/endringsdyktigheten til en organisasjon i et sammensatt og skiftende miljø. |
| The Sabanes Oxley Act (SOX) |
I USA ble det i juli 2002 vedtatt en ny lov for å gjenreise tilliten i det amerikanske kapitalmarkedet. Loven, som kalles ”the Sarbanes-Oxley Act” (SOX) er direkte foranlediget av de store finansskandalene som i løpet av de siste årene har rammet bl.a. Enron, WorldCom, Adelphia,Allied Irish Bank, HealthSouth, og Arthur Andersen og andre aktører i det amerikanske og internasjonale kapitalmarkedet.Loven gjelder for alle selskaper som har utstedt verdipapirer i USA, som handles over børs i USA og som ellers er pålagt rapportering til det amerikanske verdipapirtilsynet Securities and Exchange Commission (SEC). |
| The Turnbull Report |
Rapporten er gitt ut som guide av “The Institute of Chartered Accountants in England and Wales” for å få britiske organisasjoner til å iverksette “internal controls” som forlanges ”by the Combined Code on Corporate Governance” |
| Tredjelinjeforsvaret |
Tredjelinjeansvaret har til formål å skape nødvendig sikkerhet for at ERM-systemet som helhet fungerer som det skal. Ivaretas enten av internrevisjon eller ekstern revisjon. |
| Trinn |
I vårt tilfelle er dette prosedyren (trinnene) innen risikoworkshop. Dvs et valg vi har tatt mht. arbeidsform. Trinnene er
- Forberedelse til Workshop’er(trinn I)
- Oppstartsmøte (trinn II)
- Risikorapportørenes arbeid med risikospørreskjemaet (trinn III)
- Analyse av risikospørreskjemaene(fra risikorapportørene) av CRO(trinn IV)
- Gjennomføring av risikoworkshop’er (trinn V)
- Oppsummering av resultater(trinn VI)
|
| Usikkerhet |
Manglende evne til å forutsi sannsynligheten og konsekvensen av fremtidige hendelser. |
| Value at Risk (VaR) |
Value at Risk (VaR) kan oversettes med ”verdi på spill“ og er brukt i en rekke år som risikostyrings- og håndteringsmetode. Spesielt innen finansnæringen for å overvåke og måle markeds og renterisikoene. |
| Verdiorientert ERM |
Ved siden av risikokomponenten betrakter organisasjonen også mulighetene og forsøker å optimere mulighet-/risikoprofilen i organisasjonen. |
| Whistle blower(Norsk; ”Varsler”) |
En ansatt eller person nært tilknyttet en organisasjon som med fare for represalier fra organisasjonen finner det nødvendig å varsle offentligheten om dennes vesentlige brudd på lover og regler eller andre svært kritikkverdige forhold. Typisk for denne situasjonen er at varslingen representerer et brudd med den lojalitetsplikt vedkommende tradisjonelt har vær oppfattet å ha gjennom sitt ansettelsesforhold. |
| Workshop |
Organisering av arbeidet i arbeidsgrupper. En arbeidsmetodikk. |
| Ytre prosess |
Når ERM-prosessen skal beskrives som en helhet, skiller vi mellom dens indre sykliske del på den ene siden (”ERM- kjerneprosessen” – fasene 2-6), og organisasjonenes øvrige miljø og iboende evne til å integrere og håndtere resultatene av den sykliske prosessen på den andre siden (”Bedriftsinterne Miljø”,, Kontrollrutiner, Systemevaluering etc., fasene.1,7,8).Med ”ERM- kjerneprosessen” mener vi en prosess utelukkende fokusert på risiko med klart definerte oppgaver og ansvar gjennomført til fastlagte intervaller og med klart definerte grensesnitt mot andre rutiner.Den ytre prosessen setter premissene for kjerneprosessen, men er også ansvarlig for å gjennomføre foreslåtte tiltak og forsikre seg om at systemet fungerer som helhet. |
Guiden Enterprise Risk Management - ERM 