Hvordan planlegge og gjennomføre en Workshop

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

IMG_0022_y_250

1. Hvordan planlegge og gjennomføre en workshop

 

1.1. Hva er en oppside/nedside risiko workshop?

 

En workshop er strukturert for å oppnå spesifikke resultater innen en spesifikk agenda. Det tas bestemte beslutninger der, det er en læringsarena og det fattes konkrete tiltak i den. Den blir ledet av en tilrettelegger (fasilitator) som er ansvarlig for å sikre at kommunikasjonen er i tråd med workshopens mål.

 

Workshop involverer en større gruppe, dvs. mer enn syv deltakere. Dette pga. at det dreier seg om et komplekst emne – usikkerhet og oppside/nedside risikoer forbundet med dette, som krever kunnskap og erfaring fra flere disipliner. Dessuten kreves det lederskap og coaching for å oppnå et ønsket resultat.

 

I en workshop handler det først og fremst om kommunikasjon. Vektleggingen er å få til en åpen og klar diskusjon blant deltakerne med kunnskap eller autoritet på området Enterprise Risk Management, og stimulere til differensierte meninger og perspektiver.

 

En workshop dreier seg forøvrig om fremtiden. Det dreier seg om fremtidige hendelser og usikkerhet. Den prøver å samle inn alle kjente, relevante fakta, antagelser, forutsetninger og usikkerheter om et fremtidig sett av hendelser eller situasjoner og forutser hvordan disse hendelsene eller situasjonene kan ha en effekt på organisasjonens felles mål, og forutser hvordan organisasjonen vil eller bør møte dette scenariet.

1.2     Hvordan bruke en workshop?

 

Little_Candle__1_250

 

Det er fristende å tenke på en workshop som kun en øvelse i å samle inn data ut i fra perspektivet til en ERM-leder, da workshopen gir tilgang til en rekke eksperter for en viss tid. Den får mye raskere resultater enn datamining og er adskillig raskere enn spørreundersøkelser eller individuelle intervjuer.

 

Imidlertid går fordelene av en workshop langt utover ERM-lederens bekvemmelighet.

 

Mulighet for læring. En godt strukturert workshop tillater alle parter å undersøke oppside/nedside risikoer fra en rekke perspektiver, og lære fra andre eksperter og ledere der og da. Deltakerne vil uunngåelig komme ut av workshopen med en bedre forståelse av forretningsvirksomheten og med økt oppmerksomhet om organisasjonens forretningsmålsettinger og risikounivers.

Hvis workshop agendaen inkluderer aktuelle, veloverveide og målrettede diskusjoner, vil deltakerne også få en bedre forståelse av hvordan andre deler av organisasjonen treffer tiltak mht. oppside/nedside risikoer, og hvordan disse tiltakene passer sammen.

 

Teamarbeid. En workshop er et utmerket verktøy for å promotere teambygging. En workshop er et ”trygt” sted for å dele perspektiver og ideer og sikre lik mulighet for deltakelse.

 

Effektiv bruk av tid. En workshop kan være en effektiv vei for et lederteam til å dekke et større område meget hurtig. Fokuset på en definert agenda og bruk av tilretteleggingsteknikker og ERM-verktøy sikrer at diskusjonen konsentrerer seg om de spørsmål som har størst betydning og dermed prioritet for organisasjonen.

 

ERM-utdanning. En workshop demonstrerer der og da ERM-teknikker og tilnærminger. Som sådan er den et utmerkede verktøy for å utdanne deltakerne om teori og praksis innen ERM for spesifikke forretningsproblemer.

 

Kontinuerlig forbedring. En workshop gir ERM-omgivelser for kontinuerlig å forbedre kvaliteten på verktøy og teknikker. Ved gjentatte eksponeringer og bruk av ledere fra forskjellige nivåer og med forskjellig bakgrunn vil et program av workshoper effektivt gi gyldighet for slike verktøy som risikotoleranser og ratingsguider.

 

1.3    Målene med en oppside/nedside risiko workshop

 

candle_j_250

 

 

Et vanlig problem når oppside/nedside risikoer identifiseres er at noen risikoer kan gå på tvers av hele verdiskapningskjeden til en organisasjonsenhet eller at effekten av en oppside/nedside risiko kan utkrystallisere seg et annet sted enn dennes årsak. F.eks. noen risikoer har sine årsaker innen forskning og utvikling, innkjøp eller produksjon mens deres innvirkning er målt innen salgsavdelingen.

 

Basert på denne situasjonen er metoden med oppside/nedside risiko workshop utviklet, der identifisering, analyse og evalueringen av oppside/nedside risikoer blir gjennomført i felleskap av en gruppe deltakere fra forskjellige funksjoner innen en forretningsenhet eller på tvers av forretningsenheter. Deltakerne har derfor dyp kunnskap om forretningssituasjonen og verdiskapningskjedens prosesser.

 

Hovedmålene med en oppside/nedside risiko workshop er:

  • Forbedre informasjonsflyten og promovere en felles forståelse av oppside/nedside risikoer.
  • Identifisere og fange opp nøkkelrisikoer sammen med alle deltakerne fra alle nøkkel funksjoner og risikoansvarlige fra den (de) respektive forretningsenheten (e).
  • Vurdere betydningen av disse oppside/nedside risikoene for å nå forretningsmålene, spesielt EBIT.
  • Identifisere og evaluere eksisterende/planlagte risiko håndteringsmålinger og utvikle nye målinger.
  • Generere den relevante informasjonen for rapportering av oppside/nedside risikoer.

 

 

I særdeleshet kan en forbedring av informasjonsflyten og en felles forståelse for oppside/nedside risikoer innen forretningsenheten eller på tvers av forretningsenheter bare oppnås ved en workshop og aktiv deltagelse av alle relevante funksjonsledere I en forretningsenhet eller flere forretningsenheter.

 

En oppside/nedside risiko workshop imøtekommer også de legale krav fra ekstern revisjon for en “bottom-up” prosess for en vurdering av oppside/nedside risiko.

 

1.4    Prosedyren innen en oppside/nedside risikoworkshop

 

 

DSCF1475_250

 

 

Risikoanalyse prosedyren innen en oppside/nedside risikoworkshop inneholder to trinn:

 

Trinn 1: Utvelgelse av oppside/nedside risikoer ved hjelp av risiko-spørreskjemaer.

I det første trinnet av risikoanalysene hjelper risikospørreskjemaet til med å identifisere relevante risikoer I forretningsenheten(e). Derfor blir risikospørreskjemaene sent til forskjellige deltakere i den (de) respektive forretningsenheten(e) og besvart individuelt av forskjellige deltakere. Deltakerne skal/bør komme fra forskjellige funksjoner og sammen skal de dekke alle viktige områder av forretningsenheten(e).

For å oppnå en metodisk sunn risikoevaluering er det tilrådelig å ha et “kick off “ møte for å introdusere deltakerne til målene, prosedyrene og evalueringskonseptet for risiko- spørreskjemaene og oppside/nedside risikoworkshopen.

På basis av risikospørreskjemaene som returneres kan forskjellige analyser bli utført. Nøkkelrisikoene så vel som de oppside/nedside risikoene med mest ulik vurdering blant deltakerne kan bli filtrert bort.

 

Disse risikoene, inkludert forretningsmessige spesifikke beskrivelser av oppside/nedside risikoer og målinger fra deltakerne, er del av en risikoworkshop. På denne måten er ikke risikospørreskjemaet bare en rettesnor for systematisk identifisering, analyse og evaluering av oppside/nedside risikoer, men også et filter for å identifisere nøkkelrisikoer som dernest eller senere blir diskutert og analysert mer detaljert i risikoworkshopen med de relevante forretnings- og prosessdeltakere. Derfor kan en risikoworkshop bli utført på kort tid uten å miste relevant informasjon

 

Trinn 2: Gjennomføre en oppside/nedside risikoworkshop

På basis av analysene av risikospørreskjemaene blir en oppside/nedside risikoworkshop gjennomført. Generelt involverer risikoworkshopen deltakerne som svarer på spørreskjemaene, dvs. representantene fra alle essensielle funksjoner og relevante forretningsenheter og eventuelle representanter fra spesialistavdelinger.

I vurderingsworkshopen, blir de individuelle vurderingene sammenlignet, potensielle forskjeller diskuteres og nøkkelrisikoene blir I felleskap kvantifisert og definert spesifikt for forretningsenheten(e). I tillegg beskrives håndteringsmålinger for de identifiserte oppside/nedside risikoene vurdert iht. deres effektivitet og implementeringsstatus. Alternative håndteringsmekanismer for oppside/nedside risikoer betraktes som del av denne prosessen.

 

 

1.5    Å tilrettelegge en workshop

 

Alarm_Clock__1_250

 

En workshop bringer vanligvis sammen tverrfaglig og forskjellig nivåmessig kompetanse for å trekke på organisasjonens samlede kunnskap. Disse utvikler en liste med hendelser med relevanse for eksempel til organisasjonens strategiske målsettinger, forretningsmålsettinger eller prosessmålsettinger. Resultatet av en workshop avhenger som regel av dybden og bredden av den informasjonen deltakerne bringer med seg.
Noen organisasjoner inviterer til en workshop for toppledere i forbindelse med fastsettelse av strategi for å identifisere hendelser som kan påvirke oppnåelse av organisasjonens strategiske målsettinger negativt/positivt.

 

1.6    Et utkast til tilrettelegging av en workshop

 

antonandreas_250

 

Før workshopen

  • Identifisere erfaren tilrettelegger (fasilitator) til å lede økten, lede gruppedynamikken, og planlegge hvordan en på best mulig måte fanger opp de ideene som genereres i brukbar form.
  • Etablere og bli enige om spillereglene ved begynnelsen av workshopen.
  • Gjenkjenne de forskjellige stiler og personlighetstyper blant deltakerne, vurdere hvordan en best mulig kan optimalisere deres bidrag.
  • Identifisere hvilke mål, kategorier av målsettinger, og kategorier av hendelser som det skal fokuseres på.
  • Invitere et passende antall kursdeltagere – normalt avgrenser til 15 eller færre.
  • På forhånd sette realistiske forventninger med hensyn til hva workshopen skal oppnå.

 

 

 

Agenda

  1. Innledning
    • Forklar bakgrunnen for workshopen og hvorfor hver deltaker har blitt invitert.
    • Forklar grunnregler.
  2. Forklar workshop prosessen
    • Hendelser skal vurderes mot bedriftens mål for hver forretningsplan.
    • For hver målsetting, vil tilretteleggeren starte diskusjonen om hendelser som kommer fra følgende faktorer, og deres relaterte effekter:
Ekstern
Økonomisk.

– Naturlig miljø.
– Politisk.
– Sosialt.
– Teknologisk.
Intern
Infrastruktur.
– Personell.- Prosess.
– Teknologi.
  • Beskriv hvordan og når stemmegivningsverktøy og verbale input vil bli brukt.
  • Forklar hvordan ideer, konklusjoner vil bli dokumentert.

 

  1. Utforske målsettinger
  • Identifisere målsettingen, og de relaterte målene som er etablert.
  • Få konsensus om risikotoleranse – graden av akseptabel variasjon.
  • Diskuter interne og eksterne faktorer som driver potensielle hendelser i forhold til
    målsettingene.
  • Bestem hvilke hendelser som representerer trusler for å oppnå formålet, og hvilke hendelser som representerer muligheter.
  • Tenk over hvordan flere oppside/nedside risikoer som påvirker dette målet forholder seg til hverandre.
  1. Neste trinn og avslutning
  • Fordel resultatene av workshopen i skriftlig form til alle deltakerne innen 48 timer, med handlingsplan for de neste trinnene.

 

1.7    Resultater av en risiko workshop

 

Keys_250

 

Resultatene av en risiko workshop er identifiseringen av essensielle oppside/nedside risikoer før og etter målinger, en spesifikk beskrivelse av disse risikoene så vel som en beskrivelse av evalueringen av nøkkelrisikoenes målinger. På denne måten er en risiko workshop en sunn basis for rapporteringen av oppside/nedside risiko. Figuren nedenfor demonstrerer resultatet (output) av en risiko workshop.

 

Gjennomføringen av risikoworkshop

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Fasene i kjerne-prosessen Trinn i Work-shopen
Arbeidsform/Prosedyre –
Oppgaver trinn 1-7.
 
Forberedelser til workshop

Trinn

1

 WORKSHOP Målene med en risikoworkshop
Prosedyre innen risikoworkshop(trinnene)
Forberedelse til Workshoper
(trinn 1)
·Samle inn all tilgjengelig
og relevant informasjon.·          Risikokategoriseringsmodellen evt. tilpasning.Vurderingskriterier evt. modifikasjoner.Forberede hjelpemidler, skjematur, eventuelle elektroniske systemer.

Trinn

2

Oppstartsmøte (trinn2)·          Forklaring av ERM-systemet og vurderingskriterier·          Råd mht. utfylling av risikospørreskjemaet.·          Presentasjon av workshopagenda/ gjennomføringen av workshoper.·          Opplæring i bruk av hjelpemidler og

eventuelle systemer.·Etablere enighet

mht. deadline (returnering av risiko- spørreskjemaene, tid og sted for risikoworkshop).

2 Identifi-sering 

Trinn

3

Gjennomføring av risiko-workshoper (trinn 3) – Risikoidentifisering· Vurdere mulige risikoer ved hjelp av risikospørreskjema Sannsynlighet >0    Kvantifisere virkning på EBIT < 0    

Virkning av iverksatte tiltako   

Mulige nye tiltak·         

Registrering via skjematur eller

elektroniske systemer

3 Analyse (av enkelt-risikoer)

Trinn

4

Gjennomføring av risiko-workshoper (trinn 4) – Analyse·

Aggregerer data fra risikorapportørene

basert på skjematur eller elektroniske systemer.·Supplerende/korrigerende vurdering av kvantifisert konsekvens og sannsynlighet av risikoer, før og etter risikotiltak fra risikorapportørene.·          Foretar en foreløpig analyse av enkeltrisikoer.·         

Rangering av de risikoene som skal

diskuteres i workshopene. 

4 Evaluering (og priori-tering)

Trinn

5

Gjennomføring av risiko-workshop’er (trinn 5) – Evaluering·          Vurdere aggregerte sammenhenger mellom ulike risikoer.·         

Vurdere aggregerte risikoer på tvers av organisasjon.·         

Vurdere utvikling av tidligere identifiserte risikoer.·         

Vurdere etablerte tiltaks/kontrollers tilstrekkelighet.·         

Vurdere akseptabilitet / Behov for nye tiltak.·         

Vurdere behov for øyeblikkelig

rapportering av store risikoer.·         

Identifisere nye KRI’er.Prioritering
av de vesentligst risikoer. 

5 Tiltak

Trinn

6

Gjennomføring av risiko-workshoper (trinn 6) – Tiltak·  Utarbeidelse av forslag til ytterligere

tiltak til risikoer der tidligere tiltak har

vist seg utilstrekkelig.·         

Utarbeidelse av forlag til tiltak til

nye risikoer.

6 Rapportering

Trinn

7

Gjennomføring av risiko-workshoper (trinn 7) – Rapportering·

Aggregering og rapportering

av oppdatert materiale.·         

Oppsummering av workshop.o    Møterapporto    Resultateneo    Erfaringene·         

Distribusjon og arkivering av

rapporter.

 

Skjema 1-1 – Eksempel på gjennomføringen av risikoworkshop 

 

Den særskilte verdien av risikoworkshop ligger i diskusjonene på tvers av funksjoner om oppside/nedside risikoer og målinger av håndteringen av oppside/nedside risikoer. I det henseende er dette et felles bilde av situasjonen av oppside/nedside risiko for forretningsenheten(e), der klare prioriteringer kan settes opp og en tilnærming på tvers av funksjoner for å håndtere oppside/nedside risikoer kan adopteres. Som et resultat forbedres årvåkenheten og informasjonsflyten for oppside/nedside risikoer i en stor grad.

 

1.8    Støtte for oppside/nedside risikoworkshop ved å bruke nettbaserte analyse workshop verktøy

 

DSCF1341_gb-250

 

For å lette analysene av risikospørreskjemaene og forberedelsen av en risikoworkshop, kan det benyttes nettbaserte verktøy.

 

Slike verktøyer har følgende hoveddeler:

  • Automatisk import av risikospørreskjemaer inkludert identifisering, analyse, evaluering av oppside/nedside risiko, forretningsmessig spesifikke risiko-beskrivelser så vel som beskrivelse av målinger av håndtering av oppside/nedside risikoer som basis for analysen.
  • Analyser av risikospørreskjemaer bruker standardanalyser, dvs. f.eks. topp fem oppside/nedside risikoer over alle risikokategorier, topp fem oppside/nedside risikoer innen risikokategorier så vel som den individuelle risikovurderingen per risiko.
  • Visualisering av resultatene som en basis for diskusjon i risikoworkshopen.
  • Dataregistrering av nye risikoevalueringer det er blitt enighet om i risikoworkshopen.

 

Fordelen med et nettbasert verktøy er derfor dennes assistanse i å analysere risiko- spørreskjemaene og i å gjennomføre risikoworkshopen selv.

 

Nettbasert verktøy bør være fleksibelt nok til å bli brukt på forskjellige forretnings-enheter. Derfor kan risikospørreskjemaene og intervallene tilpasses for hver forretningsenhet.

 

Forskjellige språk bør også kunne bli valgt. F.eks. (Norsk/Tysk/Engelsk).

 

1.9 Gruppetenkning og farer

 

carvedstick_0803_250jpg

 

 

Når grupper tar beslutninger kan det være at de tar flere risikoer enn den enkelte ville tatt alene. Dette er gruppetenkning. Gruppetenkning tenderer til å oppstå når gruppen streber etter å oppnå enighet til tross for at enkeltindividene er bekymret.

 

Symptomer på gruppetenkning:

  • Illusjonen av uangripelighet skaper overdreven optimisme og oppmuntrer til å ta risikoer.
  • Ignorerer advarsler som kan utfordre gruppe antagelsene.
  • Stiller ikke spørsmålstegn ved troen på gruppens moral, noe som forårsaker medlemmene til å ignorere konsekvensene av tiltakene.
  • Vurdering av de som har motsatt mening til gruppen som svak, ond, partisk, ondskapsfull, udugelig eller dum.
  • Direkte press på ethvert gruppemedlem som setter spørsmålstegn ved gruppens beslutninger, ved å stemple dem som illojale.
  • Selvsensur av ideer som avviker fra tilsynelatende gruppeenighet.
  • Illusjon av enstemmighet blant gruppemedlemmene, det og ikke si noe blir betraktet som å være enig.
  • Gruppevoktere som anser seg selv som utpekt til å beskytte gruppen fra avvikende informasjon.

 

 

 

Hvis disse ikke blir adressert kan disse symptomene lede til:

  • Ufullstendig undersøkelse av mål.
  • Ufullstendig vurdering av alternativer.
  • Svikt i å undersøke oppside/nedsiderisikoene ved de foretrukne valgene.
  • Svikt i å evaluere på nytt tidligere avviste alternativer.
  • Dårlig informasjonsinnhenting/research.
  • Utvalgsfordommer mht. valg av informasjon som hentes inn.
  • En svikt mht. å utarbeide kontinuitetsplaner.

 

 

Nylige eksempler på katastrofer av forretningsmessige gruppetenkning er f.eks. Enron og Lehman Brothers.

 

 

1.10 Hvordan skal en så unngå gruppetenkning

 

wallet_250

 

 

Det er et antall relativt enkle men effektive grep organisasjonen kan ta for å unngå gruppetenkning.

  • Bruke eksterne eksperter til å utfordre gruppens tenkning.
  • Sette opp flere grupper for å arbeide med samme problemstilling.
  • Utnevne en djevelens advokat på viktige møter for å teste konklusjoner.
  • Forsikre seg om at toppledelsen unngår å utrykke meninger før viktige møter.

 

Organisasjonen bør i identifiseringsfasen av oppside/nedside risiko bruke individuelle intervjuer og sjekklister for å få individers individuelle mening før en workshop. En workshop er en dårlig måte å få identifisert oppside/nedside risikoer på grunn av gruppedynamikken som tillater visse individualister å dominere diskusjonene, mens andre forblir rolige. Intervjuer eller sjekklister der individene selv kan komme opp med trusler/muligheter sikrer at alle stemmer blir hørt likt og er betydelig mer nyttige enn en workshop når det gjelder identifisering av oppside/nedside risiko. Men det er også klart at hvis møtelederen i brainstormingen eller i andre faser av worshopen er klar på ”hvilken hatt”( se boken til de Bono: ”six thinking hats”: hvit, rød, svart,gul, grønn og blå) ”alle skal ha på samtidig, kan worrkshopen styres bedre. Dessuten må møtelederen klare åoppmuntre og skape kreativitet og åpenhet.

 

Ved å fokusere på positive antagelser (oppside risikoer) istedenfor nedside risikoer blir alle aspekter for organisasjonen vurdert på en positiv og systematisk måte og det blir oppmuntret til åpenhet. Folk blir ledet til å tenke/konsentrere seg om hva som trengs for å lykkes heller enn å bli tvunget til å se etter svikt/feil (f.eks. nedside risikoer), som er psykologisk unaturlig.

 

 

1.11 Praktisk Workshop eksempel for risikovurderings(risk assessment) prosessen (identifisering, analyse og   evaluering)

 

Money_Burning_03

A. Forberedelser til workshopen

 

Selv om det er erkjent at alternative tilnærminger for identifisering, analyse og evaluering av risiko kan benyttes, er en workshop den metoden som oftest foretrekkes mht. risikovurderinger, fordi det engasjerer interessentene og gir dem eierskap. Imidlertid er grundige forberedelser avgjørende for å lykkes med vurderingen (identifisering, analyse og evaluering av oppside/nedside risiko og skal initieres av eierne av ERM-prosessen, når ERM-konteksten av undersøkelsen er etablert).

 

Workshop forberedelse innebærer en rekke skrivebordsaktiviteter. Blant de viktigste spørsmålene er utvalget av risikoundersøkelsesteamet og gjennomgang og samling av spesifikke data for muligheter og trusler for å utvikle konsekvenspotensialene. Her bør det omsorgsfullt involvere folk som kan gi informasjon om aktuelle hendelser og/eller sårbarhet både internt som eksternt.

 

Det anbefales også at teamets medlemmer velges utifra enheter som kan bli berørt, for eksempel ved et jordskjelv som det i Japan, eiere av kritisk infrastruktur og tilhørende tjenester. Videre bør fagfolk og profesjonelle krefter som er erfarne og kjenner til både trusler, muligheter og konsekvenser være en del av teamet.

 

Generelt, bør alle de viktigste interessentene være representert på workshopen.
Ved innsamling av spesifikke data om muligheter og trusler, kan det være nyttig å
identifisere, analysere og evaluere aktuelle historiske hendelser, som kan indikere hendelsens trender og (tidligere) sårbarheter, og også scenarioanalyser. Dette oppnås ved hjelp av risikokriterier for prioriteringer av risikoer som ble realisert gjennom disse hendelsene og plotte risikokurver mot den kvalitative risikomatrisen.

 

Tips for Workshop forberedelser:Ingredienser for en effektiv workshop inkluderer:

  • Kompetent tilrettelegger og skriftlig dyktig.
  • Definerte leveranser og metode for hva workshopen skal lever. levering.
  • Kreativ tenkning for å identifisere oppside/nedside risikoer.
  • Metodisk struktur for å identifisere og analysere oppside/nedside risiko (f.eks. sentrale elementer eller vesentlige identifiserte oppside/nedside risikoer som tas opp).
  • Lett tilgjengelige data.
  • Systematisk nedtegning og saker som tas opp, avtaler etc..
  • Synlighet av saksbehandlingen (f.eks. skjermbasert presentasjonsverktøy som viser gangen i flytdiagram f.eks.)
  • Teameierskap til ERM-prosessen og konsensus output.
  • Tidsstyring, herunder tilstrekkelig buffersoner.

 

 

 

De sentrale spørsmål for workshop forberedelser:

  • Etablere vurderingskonteksten og tilordne en teamleder for risikoundersøkels-en.
  • Utarbeide en realistisk implementeringsplan og tidsplan.
  • Sette opp en pålitelig kommunikasjonsprogram /-plan.
  • Oppnevne en tilrettelegger.
  • Velge ut og varsle risikoundersøkelsens team-medlemmer.
  • Distribuere relevant informasjon, som for eksempel konteksten for vurderingen og rollene som skal spilles av individuelle team-medlemmer.
  • Samle inn og gjennomgå relevant informasjon og data om relevante trusler og muligheter.
  • Utvikle konsekvenspotensialer og utkast for en eller flere hendelser.
  • Utarbeide og justere vurderingsverktøy (f.eks. oppside/nedside risikoregister).
  • Utkast til et workshop program og tidsplan (f.eks. en eller flere sesjoner, muligens parallelt).
  • Sørge for at nødvendige ressurser (f.eks. rom, prosjektor, filmopptak etc.).
  • Utarbeide og distribuere en informasjonsbrosjyre i god tid før workshopen.
    Utarbeide en sammendragspresentasjon for å sette agendaen i utgangspunktet for workshopen.
  • Dokumentere prosessen.

 

Avhengig av omfanget av vurderingen, bør det vurderes å dele workshopen inn i flere, muligens parallelle, sesjoner.
Dette er nyttig ved vurdering av en eller flere hendelser med flere trusler/muligheter for å håndtere hver trussel/mulighet for seg. Det er også ofte nyttig å splitte opp ERM-prosessen i henhold til de viktigste elementene – risikoidentifisering, risikoanalyse og risikoevaluering.

 

Tips mht. tilretteleggeren (fasilitatoren)Når organisasjonen velger en tilrettelegger, bør følgende prinsipper tas med i betraktningen:

  • Uavhengighet.
  • Direkte kommunikasjons og kontaktmyndighet.
  • Tilgang til kompetanse.
  • Evne til å engasjere seg med arbeidsgruppen.
  • Tildeling av tilstrekkelig ressurser (tid/andre).

 

B. Gjennomføringen av selve workshopen

Når teamet er samlet og workshopen har startet, er den formelle risikovurderingsprosessen i gang. Strukturen for workshopen for vurdering (identifisering, analyse og evaluering) er drevet av ERM-prosessen, og består vanligvis av fire faser: innledning, identifisering analysering og evaluering av oppside/nedside risikoer.

 

Innledning

  • Oppsummere og drøfte mål, omfang, interessenter, risikokriterier, og sentrale elementer av risikoundersøkelsen.
  • Oppsummere informasjon og data gjennomgått og presentere konsekvens-potensialer.
  • Presentere workshoptilnærming og definere rollene til de enkelte team-medlemmene.

 

 

 

Identifisering av oppside/nedside risiko

  • Beskrive aktuelle enkle/flere hendelser som kan forårsake trusler eller muligheter.
  • Beskrive aktuelle konsekvenser som en trussel eller mulighet kan forårsake.
  • Drøfte dynamikken i beredskapsscenarioer f.eks..
  • Oppsummere oppside/nedside risikoer knyttet til konsekvenser i lys av relevant hendelse(r).
  • Oppsummere eksisterende forebygging og beredskapsfaktorer.
  • Oppsummere eksisterende tiltak og gjennopprettingsfaktorer.

 

 

 

Analyse av oppside/nedside risiko

  • Gjennomgå risikoregister/risikokategoriseringsmatrise for å bekrefte identifiserte oppside/nedside risikoer.
  • Vurder eksisterende kontroller.
  • Tildel konsekvens- og sannsynlighetskarakterer til hver oppside/nedside risiko og bestemme risikonivået.
  • Bestemme tillit til prosessen.

 

 

 

Evaluering av oppside/nedside risiko

  • Gjennomgå risikoregisteret for å bekrefte analysene av oppside/nedside risikoer.
  • Anvend ALARP-modellen for å fastslå hva som er tolererbart.
  • Avgjøre om behovet for videre analyse eller (umiddelbare) tiltak før overvåking og gjennomgang.

 

Workshopen skal generere en omfattende liste av oppside/nedside risikoer forbundet med de aktuelle og fremtidige hendelser for å sikre at ingen større utfordringer overses.

Denne listen trenger å omfatte eksisterende kontrollere og å gi en samlet vurdering av hver oppside/nedside risiko, basert på sannsynligheten for bestemte konsekvenser. I tillegg bør viktige områder og muligheter for håndtering av oppside/nedside risiko identifiseres ved å vurdere nivået på eksisterende kontroller og dynamikken i ”føre-var” scenarioer.

 

Tips for gjennomføringen
Tilretteleggeren (fasilitatoren) bør sørge for at alle workshop deltakerne har en klar forståelse av konteksten og får muligheten til å komme med innspill. Konteksten kan eventuell trenge å endres tilsvarende.
Generelt må tilretteleggere være omsorgsfull med den tiden som er beregnet for workshopen og sikre at hver av de tre viktigste elementene i prosessen, identifiseringen, analysereringen og evalueringen, er gitt fornuftig vurdering. Dette er viktig, fordi ønsket tid ofte ikke er tilgjengelig på grunn av ressursbegrensninger. Omfattende planlegging og forberedelser til workshopen og fokusert tilrettelegging er derfor avgjørende for å lykkes med vurderingen.

 

C. Etter workshopen

 

Vurderingen forventes å gi output som prioriterer identifiserte oppside/nedside risikoer og indikerer viktige områder og muligheter for risikotiltak. Hvis workshopen konkluderer med at videre analyse er nødvendig, vil vurderingen av de relevante oppside/nedside risikoene fortsette, fordi disse risikoene må analyseres i mer detalj og deretter revurderes. Derimot, hvis workshopen konkluderer med at ingen ytterligere analyse er nødvendig, er vurderingen av de aktuelle oppside/nedside risikoene fullført. Disse risikoene vil da bli gjenstand for tiltak, overvåking og gjennomgang.
I begge tilfeller, til konkrete tiltak skal gjennomføres vil dette avhenge av utfallet av risikoen evaluering.

 

 

AnsvarAlle interessentene i risikoundersøkelsen må ta ansvar for sitt engasjement. Sentrale medlemmer vil være en eier/sponsoren av risikoundersøkelsen, teamleder, profesjonelle eksperter, tilrettelegger og deltaker.Eier/sponsor

  • Initiere og overvåke risikoundersøkelsen.
  • Gi tilstrekkelig med ressurser (økonomiske, ikke-finansielle).
  • Sikre realistisk tidshorisont.

 

Teamleder

  • Administrere implementeringen av risikoundersøkelsen.

 

Profesjonell ekspert

  • Gi relevant informasjon, data og ekspertråd om den oppside/nedside risikoen som skal vurderes.

 

Tilrettelegger

  • Gi råd om utarbeidelse av risikovurderingen.
  • Forbli uavhengig av risikovurderingsemnet.
  • Tilrettelegge for risikovurderingsworkshopen.

 

Deltaker

  • Engasjere seg aktivt i prosessen.
  • Sikre å være tilgjengelig gjennom hele varigheten av undersøkelsen, etter behov.

 

Tips vedrørende ansvar

Alle medlemmene av risikoundersøkelsesteamet bør være oppmerksom på at informasjon innhentet for undersøkelsen kan brukes fritt eller de bør søke om tillatelse til å bruke disse. Juridisk rådgivning kan være nødvendig i noen tilfeller før undersøkelsen begynner. Det kan kreves at deltakerne underskriver på at konfidensiell informasjon ikke skal formidles videre, utenom gruppen. Dette er spesielt viktig med detaljerte analyser der metoder og output kan være rettighetsbeskyttet.

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Hva er forskjellen på RisikoLedelse og RisikoStyring?

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

Hva er forskjellen på RisikoLedelse og RisikoStyring?

 

beskriver hvilket ansvar ledelsen har mht. proaktivt og strategisk å være på vakt for både muligheter og trusler i forhold til strategiske mål  og den praktiske risikostyringen/ risikomestringen i organisasjonens styring.

 

 

RisikoLedelse, i bredeste forstand, er en ledelsesfunksjon som refererer til de aktiviteter, som en organisasjon iverksetter og gjennomfører for å identifisere, analysere, evaluere og håndtere de mulighetene/truslene organisasjonen står overfor på en helhetsorientert, integreringsorientert, proaktiv, dialogorientert og fremtidsorientert måte og sikre, at det blir en del av organisasjonens kultur og daglige operasjoner, RisikoLedelse handler derfor i bunn og grunn om å skape seg et overblikk, vurdere og treffe et valg, som på best mulig måte tilgodeser de overordnede mål og prioriteter.

3

RisikoStyring dekker tradisjonelt over den konkrete styringsaktivitet innen for en rekke spesifikke fagområder (revisjon, jura, helse, miljø og sikkerhet, forsikring, IT, økonomi, kommunikasjon, innkjøp etc.), med henblikk på å redusere risikoer.

Dvs. RisikoStyring handler i større grad om hvordan disse risikoene operativt håndteres best mulig.

Der RisikoStyring tar seg av de mange fagspesifikke og tekniske aspekter av en organisasjons risikoer, så handler RisikoLedelse om å skape et bredt, systematisk og koordinert beslutningsgrunnlag i relasjon til en organisasjons kritiske risikoer.

RisikoLedelse handler om å etablere en optimal risikoprofil, som knytter seg tett til mål og strategi for organisasjonen. RisikoLedelse sikter dermed mot å håndtere muligheter/trusler på en offensiv (proaktiv) måte. Det vil si en måte, som oppsøker de muligheter, som følger med enhver trussel eller det å ta på seg en risiko. Risikoledelse kan derfor sies å være et kreativt arbeide med det som er mulig.

RisikoLedelse vedrører på denne måten langt mer enn styringen av konsekvensene av risikoer som representerer en oppside/nedside(muligheter/trusler) innenfor organisasjonen. RisikoLedelse tar dermed høyde for at risiko oppfattninger ikke alene relaterer seg til objektive forhold, men også preges av sosiale og kulturelle måter å forstå verden på. Derfor blir kommunikasjonen om muligheter/trusler også et sentralt aspekt av risikoledelses-oppgaven.

RisikoLedelse og risikostyring kan foregå på mange nivåer og i forskjellige sammenhenger i organisasjonen – fra det overordnede strategiske nivå til anvendelse i et enkeltstående prosjekt.

På organisasjonens overordnede nivå betegnes det som RisikoLedelse. Fokus vil være på organisasjonens overordnede mål og på hvilke hovedområder, som er spesielt viktige eller utsatte for risikoer.

Den konkrete oppfølgingen i form av styring og oppfølging overfor det enkelte risikoområdet betegnes som RisikoStyring

Imidlertid når dette skifte fra risikostyring til RisikoLedelse betones, skyldes det altså ønsket om å markere, at det reelt er tale om et kvalitativt annet perspektiv på og arbeide med muligheter/trusler. Når dette er nevnt, er det samtidig viktig å understreke, at RisikoLedelse og RisikoStyring bør henge sammen. Strategisk betont risikoarbeid bør henge sammen med praktisk risikoarbeide.

Det bør dermed være tale om to gjensidig supplerende aspekter av et samlet arbeide med muligheter/trusler. Det er elementer av risikoledelse i risikostyring, og det er elementer av risikostyring i risikoledelse. Vi i våre bøker deler derfor inn i ERM (helhetlig og integrert risikoledelse) og ORM (operativ og integrert risikostyring).

Var verden forutsigelig, kunne man kun sette målene og så forfølge dem i praksis, inntil man nådde dem. Imidlertid er verden som bekjent ikke fullt forutsigelig; den er full av usikkerheter. RisikoLedelse handler derfor om å bestrebe seg på å håndtere de vesentligste av disse på systematisk vis.

 


RisikoLedelse handler derfor om:

  • Å lede forandringsprosesser tross risiko for “feil” og uenighet underveis.
  • Å ta et ledelsesansvar, samtidig med at lederen reelt kun kan ta ansvar for det, han / hun selv har myndighet over.
  • At velferdsytelser skapes av menneskers atferd og at mennesker ikke kan styres.
  • Å ta det ledelsesmessige ansvar, når personalet overvåkes i det skjulte og menneskelige feil avsløres – en tendens som dessverre er stigende!
  • At veien til suksess er et felles ansvar, mens ansvaret for feil og mangler oftest plasseres individuelt.

 

RisikoLedelse er innovasjon

 

Å håndtere muligheter/trusler er det samme som utvikling, dvs. innovasjon. RisikoLedelse handler om overblikk, som gir mulighet for å prioritere mellom muligheter/trusler – og om kommunikasjon, som innbyr til ansvarlighet og nyskapning. Dette gjelder både de offentlige organisasjoner som de private.

For eksempel blir stat, fylkeskommune og kommune i stigende grad innbyggernes portal til det offentlige. Det er et resultat av de seneste års utvikling og vil bli enda mer aktuelt fremover. Kombinert med, at vi lever i en verden, som noen beskriver somrisikosamfunnet, stiller det f.eks. det offentlige, men også de private overfor helt nye utfordringer.

Mange nye saker lurer like om hjørnet. Det er flere eksempler på f.eks. kommuner, som rammes av uventede utfordringer med voldsomme konsekvenser: Forurensning, rot i økonomisystemer og kloakk-systemer, misligheter, korrupsjon med videre. Negative saker synes for mange å dukke opp uforutsett. Det etterlater private organisa-sjoner,frivillige organisasjoner, kommuner og andre offentlige myndigheter i en meget sårbar situasjon, og spørsmålet, som melder seg, er, hvordan de kan bli bedre til å proaktivt se at disse sakene dukker opp og håndtere dem bedre.

2

Et sikkert samfunn, men flere muligheter/trusler

 

Her kommer begreper som RisikoLedelse og RisikoStyring inn i bildet. Disse er supplerende, understøttende ledelsesverktøy, som – hvis de ellers anvendes fornuftig – sørger for, at organisasjonens overblikk over oppside/nedside risikoer setter den i stand til å avstemme behovet for trygghet med villigheten til å ta sjanser.

 

Der er en ekstrem oppmerksomhet på konsekvensene av risiko oppsiden (mulighetene)/ nedsiden(trusler). Det er en del av vårt tidsbilde – og ikke fordi vårt samfunn er blitt farligere, faktisk tvert om. Det handler ikke om å bygge ut forsvarsverker (1,2 og 3. linje forsvar) og forskanse seg mot konsekvensene av nedside risikoer(trusler) og ensidig forfølge oppsiden(muligheter), men derimot om å ta ”dem” seriøst og se dem i et helhetsorientert og integrert perspektiv(ERM) – og så utvise proaktiv dristighet, ellers skjer det ingen utvikling eller innovasjon.

 

På den måten kan en organisasjon nemlig sikre seg et grunnlag for på tvers å prioritere, hvilke risikoer som er verd å ta. Dette er ikke ubetinget noe nytt. Det nye er, at det nå finnes ERM-rammerverk og en ERM-prosess og ORM-prosesser som innholder verktøy som setter det hele i system. Når de vesentlige muligheter/trusler er blitt beskrevet og integrert i et overordnet ERM-rammeverk, så blir det plutselig lettere å kommunisere internt og eksternt, hvorfor eksempelvis det offentlige velger å satse to milliarder kroner på videreutdanning i stedet for på trafikksikkerhet.

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

 

ERM-kulturen

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

PIC1071363805

 

 

 

 ERM-kulturen:

 

beskriver «tonen på toppen» formet av verdier, strategier, mål, tro, holdning til muligheter/trusler, risikotoleranse som former hvordan alle i en organisasjon ser på forholdene mellom det å ta risiko og avkastningen.

Innebefatter dermed kollektive holdninger og handlingsmønstre som organisasjonen møter omgivelsene med i sin daglige omgang med muligheter/trusler.

 

ERM-kultur er «tonen på toppen» formet av verdier, strategier, mål, tro, holdning til muligheter/trusler, risikotoleranse som former hvordan alle i en organisasjon ser på forholdene mellom det å ta risiko og avkastningen.

j0078757

En annen måte å si det på er at ERM-kulturen innebefatter kollektive holdninger og handlingsmønstre som organisasjonen møter omgivelsene med i sin daglige omgang med muligheter/trusler. ERM-kulturen er i hovedsak et resultat av et bevisst holdningsskapende arbeid på den ene siden, og på den andre siden enkeltindividers verdinormer og erfaringer. Likeledes er kulturens verdi avhengig av dens iboende egenskaper på den ene siden, og organisasjonens evne til å bruke den til noe nyttig på den andre siden. En positiv ERM-kultur vil innlemme ERM-tenkningen automatisk inn i alle beslutningsprosesser ledelsen er involvert i.

 

Vi kan si at det finnes noen prinsipper for god ERM-kultur. Disse kan være nyttige som en sjekkliste for styret, toppledelsen og som en hjelp i å ta beslutninger.ystemet og – prosesser.

  • Etikk: Etiske standarder bør være høye.
  • Tilpasning: ERM-kulturen i en organisasjon bør tilpasses dens visjon og misjon.
  • Ledelse: Risikoappetitt og ERM-kultur bør være klart beskrevet av toppledelsen.
  • Ledelse: Toppledelsen bør sette tonen.
  • Styring (governance): Styret bør overvåke ERM-kulturen til en organisasjon gjennom tilsyn med ERM-funksjonen.
  • Tilpasning: Personlige incentiver bør oppmuntre til å ta risiko og håndtere muligheter/trusler i tråd med organisasjonens risikoappetitt.
  • Forståelse: Åpenhet skriftlig og muntlig kommunikasjon og konsultasjon bør oppmuntres.
  • Engasjement: Risikoer, tap og muligheter bør identifiseres, vurderes og håndteres umiddelbart.

 

Organisasjoner som arbeider bevisst med å definere sin risikoappetitt, risikotoleranse eller risikopolicy, opplever gjerne at ERM-kulturen blir mer ensartet og konform, med ledelsens målsetninger. Andre organisasjoner med et mindre bevisst forhold til muligheter/trusler vil kunne oppleve at svært ulike kulturer utvikler seg innen organisasjonens ulike enheter.

ERM-kulturen kan som nevnt ovenfor, både bearbeides med indirekte eller direkte tiltak. De mest direkte tiltakene må kunne sies å være ulike former for belønnings-systemer eller incentivordninger. Et riktig tilpasset belønningssystem vil underbygge risikokulturen organisasjonen forsøker å bygge. Motsatt vil uriktig tilpasset belønningssystem aktivt rive ned den risikokulturen organisasjonen møysommelig tilstreber. Belønningssystemene innen en organisasjon må ikke bare tilpasses den kultur organisasjonen ønsker og fremme, men også innbyrdes avpasses hverandre. Ulike belønningssystemer som ikke er tilpasset samme overordnede målsetninger, vil kunne skape ulike kulturer som i verste fall aktivt motarbeider hverandre.

 

j0078807

Se forøvrig også Enhet A1.8 i denne guiden

 

A5.4.1 Integritet og etiske verdier 

Ledelsens krav og engasjement i forhold til egne og organisasjonens integritet og etiske verdier, kan være av uvurderlig betydning for organisasjonen. Ledelsen setter standarden med sine holdninger og handlinger. Ingen regelsett, ERM-policy, eller ERM-system, har større betydning enn ledelsens integritet. Først og fremst fordi ingen systemer har større verdi enn de personene som styrer og overvåker disse systemene. Dernest fordi et hvilket som helst system lett blir tilsidesatt av de personer som skal drive systemet i en organisasjon som har mistet troen på at det har noen betydning. I denne sammenhengen er det særlig organisasjonenes øverste administrative ledelse som spiller en nøkkelrolle. Det er normalt denne rollen som er mest synlig når organisasjonen ser seg om etter forbilder og referansepunkter til egne roller. Etablering av gode etiske verdier er dermed en av de største utfordringene ledelsen i en organisasjon har. I knutepunktet mellom eiere, kunder, konkurrenter, leverandører og ansatte, skal mange divergerende interesser balanseres og ivaretas.

 

Regler og retningslinjer definerer hva ledelsen ønsker skal finne sted. Organisasjonens etiske verdier som er en del av dens kollektive kultur, avgjør hva som rent faktisk finner sted, ved å avgjøre hvilke regler som skal oversees, tøyes eller etterleves.ystemet 

 

A5.4.2 Incentiv – og bonusordninger, – trusler mot integritet og etiske verdier

Incentiv- og bonusordninger virker direkte inn på enkeltindividers forhold til integritet. Troen på at organisasjonen kan betale seg til bedre resultater med incentivordninger var påfallende toneangivende på 90-tallet. Normalt vil det være slik at et hvert virkemiddel organisasjonen tar i bruk, vil ha noen ønskede effekter og noen uønskede effekter. Organisasjonen iverksetter tiltak ut fra målsetningen om å oppnå de ønskede effektene. Problemet oppstår først når organisasjonen i sin omgang med virkemidlene ikke tar hensyn til de uønskede effektene med sikte på å begrense virkningen av disse. Så kan vi spørre oss om ønskede og uønskede effekter nødvendigvis vil opptre sammenfallende i tid? Svaret må bli et utvetydig ”nei”. Svært mange incentivsystemer har blitt innført, uten annen forutgående analyse enn troen på at det ville skape ett raskt bidrag til bunnlinjen. Få eller ingen forsvarsverk mot uønskede konsekvenser er forberedt. Ingen langsiktige naturgitte økonomiske konsekvenser av incentivordninger er forutsett og forberedt. Spørsmålet blir derfor om de kortsiktige positive konsekvensene av incentivordningene nå i hovedsak er høstet, og at vi nå begynner og se den langsiktige negative virkningen. Sikkert er det i hvert fall at utviklingen av grådighetskultur hos mange av næringslivets ledere gjennom de senere år, har påført dem selv og deres selskaper vesentlig tap av tillit, anseelse og dårligere økonomisk resultat, noe som finanskrisen i 2008 og i 2011 til fulle viste.

 

 j0078785

A5.4.3 Negative konsekvenser av incentiv- og bonusordninger 

 

Ikke alle konsekvenser av incentiv- og bonusordninger er positive. Ingen organisasjon bør være overrasket dersom de erfarer følgende:

  • Uriktige regnskapsresultater som følge av for tidlig bokføring av inntekter.
  • Uriktige regnskapsresultater som følge av for sen bokføring av kostnader.
  • Kontroll nedprioriteres i organisasjonen.
  • Sløsing med ressurser og sub-optimalisering som følge av ulike mål i ulike enheter.
  • Misbruk av ressurser for å oppnå personlig gevinst.
  • Misunnelse som medfører at personer fristes til å søke kompensasjon i illojale eller ulovlige handlinger, eller likegyldighet hos de som ikke omfattes av ordningene.
  • Grådighetskultur.
  • Tap av troverdighet, dvs. ”skjulte” agendaer.
  • Tap av sannferdig informasjons- og beslutningsgrunnlag.

 

 

A5.4.4 Pensjonsordninger og fallskjermer 

Det er vanskelig å peke ut det kulturfenomen i næringslivet som har hatt mest negativ betydning for næringslivet, men fallskjermkulturen komme høyt opp på listen. Få ordninger har skapt større bedriftskulturelle forklaringsproblemer enn ”fallskjermkulturen”. Mange festtaler benyttes til å påpeke sammenhengen mellom det som såes og det som høstes. Det har vært bedriftsledelsens mantra de siste tiårene. Ikke å undres over at mange vanlige mennesker kan ha vanskelig for å forstå de gevinster noen ledere da kan hente ut fra et mislykket arbeidsforhold.  Fallskjerm- og pensjonsordningene har nok vært der i uminnelige tider, men det var den gang lederlønningene var lavere og stabile. Nå er lederlønningene jevnt over høyere og knyttet til suksessfaktorer. Fallskjerm- og pensjonsordninger som da skal sikre ledere samme levestandard lang tid etter ansettelsesforholdet, som om de hadde suksess i arbeidslivet, skaper jevnt over liten forståelse hos ansatte og i samfunnet generelt.

 

  • Som gruppe har næringslivsledere tapt troverdighet i samfunnet som følge av dette.
  • Svekket den enkelte bedriftsleders troverdighet.
  • Stimulert en grådighetskultur nedover i organisasjonen.

 

Så omfattende er dette problemet blitt, at mange land har satt ned egne kommisjoner for å se på problemet. Deriblant Sverige som høsten 2002 nedsatte sin «Förtroendekommision» etter at statsminister Göran Persson under høstens valgkamp snakket om «kapitalismens krise».

På den internasjonale arena ruller fortsatt ekkoet av Enron og Worldcom. I Sverige er grådighetskultur av hittil ukjent omfang avslørt. Først ikonet Percy Barneviks milliardpensjon fra ABB, senere opsjonsordninger og bonuser for ledere i selskaper som gikk med store underskudd. Ericsson og Skandia var noen av de verste i klassen. Men det er først og fremst de amerikanske toppsjefene gjennom styrebeslutninger som har vist liten vilje til å redusere sine bonuser og fallskjermer, noe som stor grad finanskrisen i 2008 og etterdønningene etter denne viste. Toppsjefer falt fort fra pidestallene, men landet mykt med sine fallskjermer og penger de hadde sikret seg. Det har derfor blitt slått mye gangbar politisk mynt av å snakke om behovet for å gjenreise tilliten til næringslivet i det siste.

 

j0078829

Mange spør seg, – og kanskje med rette, om det ikke er en sammenheng mellom en leders behov for fallskjermordninger på den ene siden, og vedkommendes tro på egen evne til å lykkes og vilje til å gamble med aksjeeiernes verdier på den andre siden.

 

A5.4.5    Aksje- og opsjonsordninger

Gjennom det siste tiåret har ledelsen i USAs børsnoterte selskap økt sin eierandel til anslagsvis 13 %. Dertil kommer et ukjent antall opsjonsavtaler som ikke er innløst etc.. Prosentuelt ser dette kanskje ikke så mye ut, men det er formidable verdier bak disse prosentene. Det er derfor liten tvil om at dette har et potensial til å påvirke den enkelte leders private økonomi mer enn den lønnen han mottar i det daglige. Når en leder spør seg selv hva han skal bruke morgendagen til er det ikke vanskelig å tenke seg at dette påvirker hans beslutning. Skal han bruke dagen til å løse et praktisk operasjonelt problem, eller glatte over et annet som åpenbart vil påvirke aksjekursen? Dessverre er nok ofte svaret gitt. Kurstap på egne aksjer og opsjons-avtaler blir ofte den berømte ”tungen på vektskålen”. Når elementer i incentiv-ordningene også er direkte koblet til at ledelsen skal holde aksjekursene oppe, blir valget enda lettere. Denne virkelighetsbeskrivelsen er nok også i stor grad overfør-bar til norsk næringsliv.

Dersom en leder i et børsnotert selskap får økonomiske eierinteresser i egen bedrift som har privatøkonomisk betydning større enn den løpende faste godtgjørelse for operasjonelle tjenester, må organisasjonen gjøre regning med at:

 

Fokuset over tid blir svekket på den verdiskapning som skulle finne sted i organisasjonenes operasjonelle kjernevirksomhet, til fordel for de verdier som kan skapes på børs. 

 

Det må kunne forventes at den ønskede operasjonelle virkning av eventuelle incentivordninger svekkes over tid, i takt med ledelsens eierinteresser.

 

j0078725

Vi må derfor kunne spørre oss om hvor fornuftig denne blandingen av eierskap og operasjonelt lederskap er, – særlig i børsnoterte organisasjoner. Når mindre ”ikke børsnoterte” aksjeselskap skifter eiere, er dette hovedsakelig etter en inngående gjennomgang av regnskaper og granskning av verdiene i organisasjonen. Overdragelse av aksjer på børs, baseres i hovedsak på alminnelig tilgjengelige informasjon. Denne skal normalt stamme fra organisasjonens offisielle rappor-teringsapparat og godkjennes av ledelsen før informasjonen slippes ut. Dette har gitt ledelsen i selskapene en form for informasjonsmonopol, som i en situasjon hvor ledelsens eierskap i organisasjonen var ubetydelig, ikke var påtrengende problematisk. Det nye i situasjonen er imidlertid den vekt innsidernes eierskap nå utgjør på børsene, og at lover og regler så langt ikke har vært tilpasset denne eiersammensetningen. I USA kommer dette problemet til syne gjennom ”The Sarbanes Oxleys Act”. Det søkes her blant annet å gi ”the whistle blowers” lovfestet beskyttelse mot ”straffeforfølgelse” fra sine arbeidsgivere.

 

A5.4.6    ”Whistle blower/varsler” eller ”brønnpisser”

Gjennom ”The Sabanes Oxley Act” ønsker de lovgivende myndigheter i USA å tilkjennegi at de har til hensikt å bekjempe økonomisk kriminalitet med alle midler (”whatever it takes”). En ansatt som rapporterer om alvorlige brudd mot Sarbanes-Oxley Act, gis rettslig beskyttelse overfor arbeidsgiver, samtidig som det er straffbart for arbeidsgiver å ”hevne” slik rapportering fra det som av overordnede og kolleger ofte blir betraktet som ”brønnpissere. Hvor stor betydning denne loven får, gjenstår det å se. Vi kan imidlertid gå ut fra at den i noen tilfeller vil kunne representere en utfordring for organisasjoner med incentivsystemer som ikke har full aksept i alle miljø. Vi kan også spekulere i om ikke organisasjoner med incentivordninger, som i første rekker tilgodeser ledelsen, vil være overrepresentert blant dem som eventuelt blir rettsforfulgt på grunnlag av den nye loven. Kanskje vil nye miljøer (personer og avdelinger), som tidligere i mindre grad var inkludert i incentivordningene, nå bli ønsket velkommen? Uansett, – det krever ryggrad å være den som ”ødelegger drikkevannet” for andre.

 

A5.4.7    Sjekkliste og spørsmål til ERM-kulturen

Etter finanskrisen stiller S & P (ratingbyrået Standard & Poor) spørsmål om ERM i forhold til ERM- kultur og strategisk risikohåndtering. Disse spørsmålene utformes slik at S & P får utviklet bransje benchmarks. Se forøvrig Enhet A3.7 (S & P).

 

På ERM-kulturområdet, fokuserer S & P sine analytikere på:

  • ERM-rammeverk/-system) eller strukturer som er i bruk i dag.
  • Rollene til ansatte som er ansvarlige for å håndtere og rapportere muligheter/trusler.
  • Intern og ekstern ERM-kommunikasjon og konsultasjon.
  • Generelle policyer og målinger/beregninger for vellykket ERM.
  • Innflytelsen av ERM på budsjettering og lederlønninger.

S & P spør f.eks. slike spørsmål i forbindelse med ERM:

  • Har organisasjonenet ERM-program/ (en ERM-plan)?
  • Er det en erklæringomrisikoviljeog/ellertoleranse?
  • Hvilke ansatte eransvarlige?
  • Hva er rapporteringsrelasjonene?
  • Hvilke rapporter er sett av topplederen/revisjonskomité/styret?
  • Hvordan måler organisasjonen ERM-programmets suksess?
  • Hvordan er ERM integrerti resultater og budsjettprosessen?
  • Hvordan virker risikorelaterte målinger/beregninger inn på ledelsens belønning?

Se forøvrig Enhet A 3.1.7 i denne ERM-guiden 

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Hva er utfordringene i implementeringen av ERM?

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

OLYMPUS DIGITAL CAMERA

 

 

Hva er utfordringene i implementeringen av ERM?

 

 OLYMPUS DIGITAL CAMERA

 

 

Nøkkelutfordringen med tradisjonell RM er det negative aspektet.

Hvis organisasjonens tilnærming til RM er
et positivt perspektiv (dvs. å se muligheter),
vil organisasjonen unngå dette problemet.

Men risiko er negativ så hvordan kan en organisasjon bli positiv til et negativt konsept?

 

Det blir galt å starte med identifisering av risiko. Hvor kommer risiko ifra? Risiko eksisterer jo ikke isolert. Risikoen er alltid i relasjon til ”noe” og dette noe er et sett med målsettinger. Enhver organisasjon må identifisere sine mål, dvs. hva organisasjonen prøver å oppnå. Vi kan derfor definere risikoer relatert til målsettinger. Problemet med dette er at målsettinger opprinnelig er på et høyt nivå og konsise og derfor vil risikoene også defineres på et høyt nivå.

Hvis målsettingene definerer hva organisasjonen prøver å oppnå, da beskriver planer hvordan vi skal oppnå dem. Derfor definerer vi risikoer relatert til planer.

 

j0078804

Planer innholder noen fakta og en mengde med antagelser. Hvis organisasjonen skal lykkes med planen må antagelsene bli en realitet. Noen antagelser vil nærme seg å være fakta, og disse bør organisasjonen ikke bekymre seg for. Det er uunngåelig at mange antagelser vil være i faresonen og disse trenger organisasjonen å fokusere på, dvs. på antagelser, ikke på risikoer.

Den andre siden av problemet med manglende effektivitet i ERM er kommunikasjonen og konsulteringen – eller mangel på den. Mange nedside risikoer (trusler) kunne vært unngått og mange oppside risikoer (muligheter) forfulgt hvis organisasjonens kommunikasjonshverdag hadde vært preget av å være ”føre var” og hensiktsmessig kommunikasjon avdelinger imellom og internt i avdelingen, dvs. en proaktiv kommunikasjonskultur.

 


Når organisasjoner mislykkes med ERM er det ofte på grunn av at:

  • Viktige oppside/nedside risikoer er ikke er identifisert.
  • Oppside/nedside risiko er identifisert, men ikke prioritert korrekt.
  • Oppside/nedside risikoer er identifisert men nødvendige tiltak er ikke blitt tatt.


Et perfekt eksempel på dette er  finanskrisen i 2008 og den forventede i dag. Bankene gikk/går nedom og hjem fordi de:

  • Mislykkes i å identifisere fundamentale nedside risikoer.
  • Fokuserte på spesifikke nedside risikoer uten å ta med i betraktning de sammensatte effektene av risikoer.
  • Bevisst eller ubevist besluttet og ignorere nedside risikoene i sine analyser.

 

Dette ble forverret ved fokuset på tradisjonell finansiell RM på bekostning av ”Operational Risk Management (ORM). Videre var det ikke nok fokus på å ha et fullstendig ERM-system på plass. Det betød at operasjonelle risikoer ikke ble prioritert korrekt og til slutt ble det truffet få eller ingen nødvendige tiltak.  Spesifikt traff ”eksperter” antagelser om en oppadgående trend i eiendomsmarkedet som viste seg å være usann og verdien av bankenes eiendeler ble kraftig redusert.

 

j0078824

 

 


Nøkkelen er å få den rette balansen mellom enkelthet og kompleksitet for å oppnå effektiv Enterprise Risk Management (ERM) og demonstrerer at ERM gir verdi.

 

Revisjonens syn på ERM er verdifull i sin kontekst, men kun å ”krysse av i bokser” vil kun unngå problemene for de enkleste hendelsene. Når tingene blir større og mer komplekse, trenger organisasjonen en robust ERM-prosess og robuste ORM-prosesser og ERM-verktøy for å navigere på vei mot suksess. Våre guider vil hjelpe organisasjonen med det.

 

j0078819

 

 


Fullt ut effektivt ERM er blant annet vanskelig å oppnå fordi:

  • Kvantifiseringen er vanskelig eller til og med umulig. Noen risikoer (f.eks. finansielle og kontraktmessige) er lette og kvantifisere, mens andre er nesten umulig (f.eks. kvalitet, omdømme, prestasjon). Derfor når organisasjoner prøver å kvantifisere totale oppside/nedside risikoer for organisasjonen tenderer de til å mikse ”god kvalitets” data med ”dårlig kvalitets” data og dermed utvanne den virkelige verdien av det endelige resultatet.
  • Målsettingene er ikke konsistente/samsvarende på tvers av organisasjonen. Dette leder til en oppfatning av oppside/nedside risiko som varierer massivt i forskjellige deler av organisasjonen. En del av organisasjonen kan se på en oppside/nedside risiko som ubetydelig, mens en annen del betrakter den samme oppside/nedside risikoen som betydningsfull og en stor fare/trussel eller sjanse/mulighet. F.eks. kan avdelingene mene at en forsinkelse i iverksettelsen av et ERM-system er et lite problem, mens styret kan se på enhver forsinkelse som en katastrofe.
  • ERM-prosessen og ORM-prosessene er ikke konsistente/samsvarende på tvers av grupperingene i organisasjonen. Dette leder til forskjellig fokus, analyser, prioriteringer og tilnærming fra forskjellige ledere. Dette gjør det igjen umulig å bygge en konsistent/samsvarende bilde av oppside/nedside risikoer på tvers av organisasjonen.
  • ERM-verktøyene er ikke støttet opp om med en effektiv ERM-prosess og effektive ORM-prosesser. Veldig ofte er bruken av softwareverktøy det første forsøket i en organisasjon til å innføre en hvis konsistens/samsvar av ERM. Imidlertid, hvis verktøyene ikke er bakket opp med en effektiv ERM-prosess og effektive ORM-prosesser blir effekten ofte ”søppel inn, søppel ut” iom. at dårlige kvalitetsdata blir samlet inn, analysert for så å bli presentert som et høyt ”kvalifisert” resultat.

 

Den mest vanlige feilen i særdeleshet finnes ofte i finansinstitusjoner, der en integrerer forskjellige finansiell RM-målinger (f.eks. kredittrisiko eller markedsrisiko) og kaller dette ”ERM”. Dermed tror organisasjonen at de sporer opp ”total” oppside/nedside risikoer, når det i virkelighet kun ser på en bit som de har funnet lett å måle. Følgelig vises f.eks. et forandringsprogram som går galt ikke på deres ERM-radar og kan ha massiv innvirkning på forretningsvirksomheten.

 

j0078808

På det høyeste nivå definerer og begrenser ofte organisasjonene ikke sin ERM-strategi. Det vil ikke si at de feiler i å bygge et komplett ERM-system, men mer at de feiler med å bli enige om hva de prøver å måle og gjenkjenner ikke vanskelighetene som de vil stå ansikt til ansikt med ved implementeringen av en effektiv ERM-prosess. Det er nesten umulig å bygge et helt ERM-system fra bunnen av, Det er mye bedre å prioritere hvilket område i organisasjonen som vil ha størst nytte av en forbedret håndtering av oppside/nedside risiko først – altså et pilotprosjekt – og konsentrere seg på det, og tilføye de andre komponentene senere som del av et overordnet ERM-rammeverk/-system.

Når det gjelder hvor en skal starte er dette avhengig av hvilke forretningsmessige prioriteringer organisasjonen har. Imidlertid hvis organisasjonen starter med blanke ark, bør en konsentrere seg i første omgang om de strategiske oppside/nedside risikoer. Den umiddelbare virkningen av å identifisere disse oppside/nedside risikoene i ERM-prosessen kan ikke bli overvurdert. Det neste trinnet vil være avhengig av hvor mange prosjekter f.eks. som organisasjonen har. Hvis de er tallrike og forretningsmessig kritisk for organisasjonen da bør de adresseres som neste område. De daglige opperasjonene kan ta vare på seg selv i stor grad iom. at nye oppside/nedside risikoer vil være sjeldene – før en eventuell forandring eller transformasjon kommer fra et prosjekt. Og formalisere ORM-området vil være gunstig, men er sannsynligvis det som haster minst i de fleste organisasjoner.

Innsalg av ERM

Å selge inn fordelene av ERM kan være tøft. Det trengs å overvinnes det at ERM er en administrativ overhead ved å forsikre toppledelsen og styret om at uten et ERM-rammeverk og en ERM-prosess ville det vært både oppside/nedside risikoer som verken ville blitt identifiser eller håndtert. Men selv da kan det ikke bevises at en oppside/nedside risiko ikke skjedde på grunn av ERM-prosessen. En oppside risiko er en mulighet og en nedside risiko er en trussel, derfor er det også mulig at oppside/nedside risikoen ikke ville ha hendt, hvis ingen tiltak overhodet hadde blitt truffet.

 

j0078832

Det hjelper å ha en mengde eksempler der ERM har levert betydelige fordeler, men det finnes også enklere veier til å overbevise folk. Spør enheter/ledere/kunder om de tror at det er sannsynlig at minst en ”mulighet/trussel” vil bli identifisert ved å bruke en formell ERM-prosess. Hvis ikke organisasjonen er relativ liten, er det høyst sannsynlig at de vil forstå at noe betydningsfullt vil bli savnet uten et formelt ERM-system og en formell ERM-prosess. Å identifisere f.eks. en strategisk oppside/nedside risiko som kan ”velte” hele organisasjonen vil sannsynlig dekke kostnadene med å iverksette og kjøre ERM-prosessen mer enn nok. Hvis organisasjonen er meget enkel og liten kan sannsynligvis ikke ERM bli begrunnet likevel.

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Fordelene med iverksettelsen av ERM

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

chicagoCN_2773

Fordelene med iverksettelsen av ERM

 

Fordelene ved ERM:

forklarer mer i detalj hvilke verdiøkende fordeler en organisasjon kan oppnå med ERM.

 

Den økte interessen for ERM er først og fremst blitt nørt opp under av eksterne faktorer. Se også kapitel 2.5 ERM – nøkkeldrivere og trender. Bare i de siste årene har forskjellige bransjer og de offentlige regulerende myndigheter, så vell som institusjonelle investorer, tvunget organisasjonene til å fokusere på bedre risikohåndteringspolicyer og -prosedyrer. I flere og flere land og bransjer har styret og toppledelsen måttet overvåke og rapportere fra sin organisasjon, på en grundigere måte enn tidligere om ERM-systemet og ERM- prosessen. Internt har organisasjonens ledere blitt lært opp til å se fordelene ved en helhetlig og integrert tilnærming til risikoledelse og -håndtering.

 

 


Nøkkelfordelene som bør bli realisert med iverksettelsen av ERM er forbedring av organisasjonens kortsiktige og langsiktige lønnsomhet og prestasjon:

  • Unngår kostbare feil: Ved å fange opp og håndtere risikoer i hovedprosjekter og operasjonelle prosesser,
  • Valideringsstrategi: Ved å sjekke at alle nøkkelinteressenter er ” på samme nivå” mht. strategiske prioriteringer.
  • Forbedrer den operasjonelle effektiviteten: Gjennom å adoptere en systematisk og strukturert tilnærming.
  • Bygger relasjoner: Ved å øke tilliten fra interessenter eksternt og internt.
  • Opprettholder omdømmet: Ved å unngå katastrofer og tilknyttet publisitet.
  • Forutse markedstrender: Ved å forsikre seg om at antagelser om viktige markedstrender forblir gyldig

 

Fordelene med ERM vil under alle omstendigheter overgå investeringen.

 

På overflaten ser det ut som om alt innen risikohåndtering går om å unngå ”trusler” eller unngå ”dårlige ting”. Men når ERM er fullt ut iverksatt og integrert bør en fullt ut adressere det å realisere ”muligheter”/”gode ting”. Aksjeeiere forstår denne dualiteten til risiko. Hvis de taper (aksjekursen går ned), da er det trusselen som de aksepterer ved å gamble. Hvis de vinner (aksjekursen stiger), da er dette ”oppsiden av risiko”(muligheten), grunnen til at de investerer i aksjer. Se forøvrig A1.3 i guide A om diskusjonen om oppside og nedside.

 


Fordelene ved å betrakte begge sidene av mynten – oppside/nedside risiko som vi gjør i våre guider inkluderer:

  • Formaliserer det å fange opp og håndtere muligheter. Ved å utnytte systematisk fangst, analyse og oppfølging av muligheter, vil muligheter som enten ville ha blitt fullstendig neglisjert (eller utnyttet ved hell) bli realisert.
  • Større engasjement i organisasjonen. Individer som ellers ville være mindre entusiastisk vedrørende ERM vil sannsynligvis være betydelig mer entusiastisk når nedside risiko (trussel) ”går hånd i hånd” i ERM-prosessen, med de positive konsekvensene(muligheter) det kan ha.
  • Oppveie risiko. I enhver aksjon kommer noen nedside risikoer (trusler) til å utkrystallisere seg. Imidlertid, hvis samtidig noen oppside risikoer (muligheter) også blir realisert, da kan risikoene oppveies og bringe organisasjonen tilbake på kursen sin.
  • Akselerere iverksettelsen. F.eks. kan systematisk håndtering av oppside risikoer (muligheter) resultere i at prosjekter blir iverksatt tidligere enn opprinnelig planlagt, for mindre enn det originale budsjettet og til og med levere mer enn det i utgangspunktet var lovet.

 

 

 

j0078754

 

ERM-prosessen og -systemet, fremmer mer ansvarlige og åpne beslutninger. Det sikres ikke at alle beslutninger er korrekte, men det sikres at beslutningene blir tatt på basis av de best mulige informasjoner som er for hånden. Det er bedre å ta en beslutning på riktig grunnlag, selv om det senere viser seg og ikke være den beste beslutningen, enn ikke å ta noen beslutning i det hele tatt.

 

Entusiastene for ERM mener at:For å skape verdier i dagens forretningsverden må organisasjoner ta risiko. For å lykkes forlanges det ikke at organisasjonene tar større risiko enn andre organisasjoner, men de må bare ha en bedre forståelse for hvilke risikoer organisasjonen kan håndtere, og hvordan de best kan håndtere dem.” 

 

En organisasjons helhetlig tilnærming til håndteringen av muligheter/trusler bringer en rekke forskjellige fordeler. Disse vil i stor grad være avhengig av motivene for å innføre ERM.

 

Det er typisk at organisasjonene vil være motivert ved:

  • Handling i overensstemmelse med lover og regler.
  • Økt organisasjonsstyring.
  • Økt villighet til å ta risiko pga. en bedre forståelse av muligheter/trusler.
  • Bedre koordinering på tvers av organisasjonsenheter for mer effektive mottiltak.
  • At et felles risikospråk etableres.
  • Kostnadseffektivitet
  • Identifisering av risikoer som organisasjonen står ovenfor på tvers av avdelingsgrenser.
  • Konsistent informasjon om muligheter/trusler for beslutninger.
  • En tidlig identifisering av forandringer i risikoprofiler.
  • Fullstendig/konsistent informasjon om muligheter/trusler.
  • Økning i aksjonærenes verdi og inntjening.
  • Klarhet om økt risiko.
  • En mer eksakt stipulering av mulighetene (oppsiden) som ligger i risikoene.

 

 

Et integrert og klart strukturert ERM-system kan hjelpe til med å maksimalisere interessegruppenes verdi på forskjellige måter:

  • Klarlegging av roller, ansvar og forventninger til å overvåke muligheter/ trusler, etablere ansvarlighet på forskjellige nivåer.
  • Fokusering på vesentlige muligheter/trusler (nøkkelrisikoer).
  • Forbedre det å være ”føre var” (proaktiv) i forbindelse med muligheter/trusler.
  • Etablere et ”føre var” (et proaktivt) system”, dvs. å være tidlig ute med orienterte beslutninger gjennom hurtig identifisering av muligheter/ trusler
  • Virksom og effektiv prosess med å identifisere trusler og håndtere disse for dermed å unngå negative overraskelser.
  • Identifisering av akkumulering av muligheter/trusler.
  • Kostnadsminimalisering gjennom redusert risikoutkrystallisering og optimalisering av evalueringer av risikotiltak.
  • Bidra til stabilisering og å unngå flyktighet.
  • Samsvar mellom organisasjonsmessige styringskrav og håndtering av muligheter/trusler.

j0078758

 

Et systematisk ERM-system og en ERM-prosess kan blant annet ellers gi følgende fordeler:

  • ERM gir et verktøy for å oppmuntre personalet til å tenke på håndtering av muligheter/trusler på en proaktiv måte. Dette skaper større bevissthet overfor muligheter/trusler, som gjør ansatte i stand til, innenfor sine områder, å kunne se/oppdage muligheter/trusler. Dermed er hver ansatt i stand til å yte sine bidrag til å optimalisere mulighetene og minimalisere truslene. Dessuten stimuleres det til en kultur på tvers av organisasjonen som sikrer en felles forståelse, delt kunnskap, motivasjon og forbedret kommunikasjon. Gjennom bedre omgang med muligheter/trusler, forbedres den organisasjons-messige tankegangen og tenkesettet hos personalet. Dermed kan organisasjonen lære raskere.
  • ERM er med på å forbedre imaget til organisasjonen hos aksjeeiere og andre interessegrupper.
  • ERM-systemets databank er en omfattende kilde med informasjoner som organisasjonen kan stole på, og er en forsikring med hensyn til status på mulighetene/truslene og oppfølging. Bedret informasjonsflyt, bedre beskyttede forretningsplaner og fast institusjonalisert håndtering av muligheter/trusler i forretnings-prosessene gir bedre resultater.
  • Muligheten til å avstemme organisasjons strategi med ERM-strategien.
  • Minimering av sannsynligheten for uventede ødeleggelser i forhold til. organisasjonens økonomi og finansielle muskler, rykte og interesse-gruppenes tillit.
  • Mulighet til å eliminere kostnader ved hjelp av mer målrettet og effektiv oppfølging og kontroll som er rettet mot nøkkelmål og risikoer. Disse mulighetene kan også bidra til å senke kostnadene for risikofinansiering og forenkle prosessen med å skaffe kapital hos banker og investorer.
  • Bedre fokusering fra ledelsen på de muligheter/trusler som er vesentlige ved hjelp av felles terminologi/språk.
  • Forbedrer og optimaliserer forandringsprosesser, der det som regel finnes en rekke risikoer.

 DSC03215_250

 

 

Avledede fordeler av å innføre ERM (som opplevd fra vår konsulent praksis):

  • Stimulerer og forsterker ønsket atferd.
  • Gir en oversikt over muligheter/trusler gjennom systematisk koordinering og evaluering – med et portefølje perspektiv.
  • Skaper forståelse og enighet om kritiske risikoforhold – risiko åpenhet.
  • ker risikobevisstheten.
  • Støtter opp om å utnytte muligheter og reduserer sannsynligheten for store feil/ dårlige nyheter.
  • Fører til handling (eller bevisst ikke handling).
  • Forbedrer forutsigbarhet av resultater.
  • Er brukt som en komplementær metode for internrevisjon og forsikring.
  • Skaper trygghet og gir bekreftelse til interessenter.

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Kritiske suksessfaktorer

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

112261190219_250

 

 

Kritiske suksessfaktorer: 

beskriver begrepet ”kritiske suksessfaktorer” som er betegnelsen på hvilke faktorer det er viktigst å lykkes med for å nå mål på ulike nivåer i organisasjonen. Og viser konkret hvilke disse er.

 

Begrepet ”kritiske suksessfaktorer” benyttes i våre guider som betegnelse på hvilke faktorer det er viktigst å lykkes med for å nå mål på ulike nivåer i organisasjonen. Begrepet anvendes i den praktiske tilnærmingen for ERM som våre bøker beskriver, fordi det er essensielt å tydeliggjøre hva det er viktigst å lykkes med som utgangspunkt for å gjøre en god vurdering av muligheter/trusler. Det understrekes at det ikke ligger noen føringer i retning av bestemte styringsmodeller som for eksempel Balanced Scorecard i dette, selv om begrepet ”kritisk suksessfaktor” også benyttes i slike modeller.

 

j0078767

 

Etablering av styringsparametere som viser graden av oppfyllelse for de kritiske suksessfaktorene, vil (gitt at det er god sammenheng med de målene som er etablert) bidra til at den samlede styringen blir mer effektiv. På bakgrunn av den sammenheng som da etableres mellom mål, strategier, kritiske suksessfaktorer og tilhørende styringsparametere, vil det være mulig å identifisere, analysere og evaluere muligheter/trusler knyttet til måloppnåelsen.

Etter at organisasjonens overordnede mål er kartlagt og systematisert, bør de forhold som det er viktigst å lykkes med for å nå målene, kartlegges. Slike viktige forhold benevnes i mange sammenhenger som kritiske suksessfaktorer, og kjennetegnes av at det kan hindre oppnåelsen av ett eller flere mål dersom man ikke lykkes med dem.

Bevisste og godt formulerte kritiske suksessfaktorer tar også hensyn til de muligheter organisasjonen har for å forbedre sine prestasjoner. En godt gjennomført ERM-prosess vil være sterkt knyttet til forhold som er viktige for at organisasjonen skal lykkes. Dermed vil den i alle sine faser fange opp både de muligheter organisasjonen har og de trusler som begrenser dens evne til å utnytte disse mulighetene.

De kritiske suksessfaktorene som knytter seg til strategiske (overordnede )mål, bør identifiseres og systematiseres slik at de knyttes opp mot de mål de bidrar til å oppfylle. Dette er en del av den overordnede styringen av organisasjonen. Organisasjonens leder og lederne av de ulike virksomhetsområdene må derfor involvere seg i arbeidet med å identifisere og systematisere de kritiske suksessfaktorene.

På et overordnet nivå er det viktig og ikke være for detaljert når kritiske suksess-faktorer beskrives. Dette vil kunne føre til at vesentlige forhold blir borte i operasjon-elle detaljer. Mer detaljert beskrivelse vil gjøres i den eller de delen(e) av organisasjonen hvor den praktiske utøvelsen av aktiviteten finner sted. Mål- og resultatstyringen inkluderer styringsparametere for blant annet å kunne måle resultatoppnåelse. Med utgangspunkt i de etablerte målsettinger, kan ledelsen identifisere slike målekriterier for resultater, med fokus på kritiske suksessfaktorer. Foruten å være resultatindikatorer, kan styringsparameterne også brukes til å vise framdriften og statusen i de forhold som er kartlagt som kritiske for å lykkes med måloppnåelsen.

Organisasjoner som tar i bruk ERM bør huske på at det er en reise, ikke et mål. ERM kan potensielt representere en merkbar endring i organisatorisk atferd, som krever en prosess med å bygge bevissthet, utvikle innsalget og til slutt driver aksept av eierskapet i hele organisasjonen. Det å gjøre dette mulig er derfor et vesentlig aspekt av ERM-initiativet, den enkeltes perspektiv om muligheter/trusler varierer.

 

 

For å sikre suksess, bør organisasjonen huske følgende » kritiske suksessfaktorer/ nøkkelprinsipper» (se forøvrig også Guide B8 vedlegg H ISO 31000:2009) ved implementering av ERM:

  • Utvikle et overbevisende forretningsmessig case knyttet opp mot ERM-agendaen til ekte prioriterte forretningsmessige behov, samle støtte fra topp-en og håndtere utviklingen mot milepæler over tid.
  • Skaffe en avtale om mål for håndtering av muligheter/trusler og den hensiktsmessige ERM-infrastrukturen, ta i betraktning relevante kulturelle spørsmål og fokuser på organisasjonsomspennende applikasjon.
  • Integrer risikohåndtering med strategisettingen og forretningsplanleggings-prosessen og implementer på et tidlig tidspunkt en effektiv organisasjons-omspennende vurderingsprosess for muligheter/trusler.
  • Avklare prosesseierskapsspørsmål rundt hvem:
    . som tar beslutninger vedrørende ønsket ledelseskapabilitet for håndtering av muligheter/trusler
    – som er ansvarlig for utformingen av forbedrede evner til å lukke betydelige gap
    – som overvåker utviklingen og resultatet
  • Husk at hensikten med ERM-infrastruktur er å gi riktig overvåking, kontroll og disiplin rundt kontinuerlig forbedre evner til å håndtere muligheter/trusler.
  • ISO-rammeverket gir kriterier for benchmarking av organisasjonens ERM-evner.

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Ordforklaringer

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

Little_Candle__1_250

 

Ordforklaringer

 

 

Annenlinjeforsvaret Annenlinjeforsvaret ivaretaes normalt av ” Corporate Risk Management”.
Med ”Corporate Risk Managenent” (CRM) menes i denne sammenhengen den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system og den kollektive risikobevisstheten som er nødvendig for at ERM-systemet skal ha noen mening.
AS/NZS 31000:2009 Standard for Risk Management fra Australia og New Zealand.
Balanced Scorecard  Teori lansert av Robert Kaplan & David Norton ved Harvard Business School i 1992. (Se Balansert målstyring).  Andre brukte navn er Balansert styringsbilde eller Balansert Målekort.  En styringsmodell som baserer seg på både finansielle og ikke-finansielle parametere.  Filosofien trekker frem viktigheten av å forstå at andre faktorer enn kun de økonomiske «driver» et selskaps evne til å gjøre suksess.  Balansert målstyring er alltid delt inn i perspektiver med tilhørende styringsparametere.
Basel Committee Overvåking av bankforretninger En overenskomst blant verdens ledende bank overvåkingsinstitusjoner oppnådd i 1988. Gjennomført for å oppnå internasjonal overensstemmelse mht. målingen av bankenes hensiktmessige kapital, og etablere en minimum kapital standard.  Navnet ble gitt på bakgrunn av at Basel Committee sponset prosjektet.
Basel I  Med Basel I ble Egenkapitalforskriften fra 1988 gjort gjeldende og forutsetningen for en internasjonal enhetlig egenkapitalforpliktelse ble grunnlagt. Denne forplikter bankene ved kredittgivning å finansiere minst 8 % med egenkapital.
Basel II  Basel II fra 2001 erstatter gjeldende Basel Accord (Basel I) (fra 1988) som er en harmonisert internasjonal regelverk/standard for kapitaldekning i banker.Fra og med år 2006 skal bestemmelsene bli innført i mer enn 100 land i deres nasjonale lovgivning for å oppnå en større sikkerhet i verdens finanssystem.
Bedriftsinternt Miljø Det bedriftsinterne miljø er et svært vidt begrep.  Det omfatter alt fra tekniske og økonomiske rammebetingelser, til skrevne og uskrevne sosiale regler som, direkte eller indirekte, påvirker enkeltindividers evne til å handle i en felles, kollektiv interesse.
Beslutningsstøttesystemer Engelsk: ”Decision Support Systems (DSS)”.  Systemer som støtter i beslutningsprosessen.  DSS sier ingenting om hvilket ledelsesnivå som støttes. Det gjør derimot Ledelsesinformasjonssystemer og ”Executive Information Systems”.
Brønnpisser (”Whistle blower”)
Varsler
En nedlatende betegnelse på en person/ansatt som rapporterer om en organisasjons brudd mot lover og regler med direkte eller indirekte virkning på egne eller kollegers muligheter til økonomisk gevinst fra organisasjonen.
Chief Risk Officer(CRO) Til å koordinere og administrere arbeidet med ERM-systemet bør det utnevnes en ”Chief Risk Officer.  Dette er en senior konsulent ansvarlig for overordnet rapportering av organisasjonens risikoer.  I større og større grad representert på styrenivå.
Corporate Governance  Reglene om styring og kontroll av selskaper.Effektiv styring (”Governance”) er en sentral del av enhver organisasjon som streber etter å lykkes.  Styret og ledelsen er ansvarlig for å forsikre seg om at deres organisasjoner er godt ledet, i stand til å hanskes med fremtidige utfordringer og utnytte mulighetene.  De må til enhver tid ha en formening om hensiktsmessigheten og effektiviteten av de interne styrings og kontrollfunksjonene i organisasjonenCorporate Governance (virksomhetsstyring), generelt referert til som ”de prosesser som organisasjonen er styrt og kontrollert etter og er ment å imøtekommes”.  Hovedelementene er forretningsplanlegging, risikohåndtering, overvåking av prestasjoner og ansvarlighet.Corporate Governance aktiviteter er representert som fire prinsipielle komponenter1.            Retning.2.            Ledelsens aksjoner.3.            Overvåking.4.            Ansvarlighet. 
Corporate Risk Management(CRM) Den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system/-rammeverk og den kollektive risikobevisstheten som er nødvendig for at ERM-systemet skal ha noen mening.
COSO’s Enterprise Risk Management Standard for Enterprise Risk Management – Integrated Framework fra 2004.  Laget i regi av Committee of Sponsoring Organizations of the Treadway Commission(COSO)
CRM Corporate Risk Management
Diversifisering Det å spre seg på for eksempel ulike verdipapirer for å redusere samlet risiko betegnes gjerne som diversifisering.
Drivere mht. en risiko Se risikodrivere.
EBIT “Earning Before Interest and Tax”
Effektivitet  Brukbarheten/hensiktmessigheten av en tilstand på et gitt tidspunkt.  Å bestemme om ERM er hensiktmessig/ brukbart er en bedømming som er et resultat av en vurdering av ERM-prosessen og ERM-systemet.
Eksponering I hvilken grad en organisasjon og/eller interessent berøres av en hendelse.
Ekstern kontekst Eksternt miljø hvor organisasjonen søker å nå sine målMerknad:  Ekstern kontekst kan omfatte:

  • det kulturelle, sosiale, politiske, juridiske, forskriftsmessige, finansielle, teknologiske, økonomiske, naturlige og konkurransemessige miljøet, enten det er internasjonalt, nasjonalt, regionalt eller lokalt;
  • viktige drivkrefter og trender som har innvirkning på organisasjonens mål; og
  • forholdet til eksterne interessenter og deres oppfatninger og verdier.
Elementer ERM  Dette er komponentene som del av ERMSE som må evalueres:

  • Integreringen med underliggende undersystemer.  Operative Risk Management systemer (ORM-systemer).
  • Eksistensen av risikopolicy og retningslinjer/guider/styrende dokumenter.
  • Tilordning av roller og ansvar.
  • Kvaliteten og hensiktsmessigheten av kjerneprosessen (identifisering, analyse, evaluering, tiltak og rapportering).
  • SystemEvaluering og uavhengig forsikring (revisjon).
  • Generell overordnet vurdering av det enkelte Operative Risk Management system(ORM).
Enterprise Risk Management  Helhetlig og integrert risikoledelse.ERM er en systematisk tilnærming for å gå til aksjon under usikkerhet ved å identifisere, analysere, evaluere, for deretter å treffe tiltak, rapportere, håndtere og kommunisere risikotemaer, og som tar hensyn til både risiko som trussel og risiko som mulighet og som kan ha en effekt på organisasjonens mål.”Enterprise Risk Management” (ERM) betrakter risiko både som en mulighet og som en trussel. ERM er videre en prosess, den involverer folk på alle nivåer i organisasjonen. Den er anvendt i en strategisk sammenheng. Den er anvendt på tvers av organisasjonen og tar et porteføljesyn” på risikoer. Den tillater ledelsen å definere sin risikoappetitt og å identifisere hendelser som kan ha innvirkning på organisasjonen. Den sørger for å sikre at strategiske og operasjonelle mål blir nådd. At organisasjonens rapportering er til å stole på.  At organisasjonen handler i henhold til lover og regler. At den “er tilpasset for oppnåelse av mål i en eller flere separate, men overlappende kategorier.
Enterprise Risk Management- SystemEvaluering En vurdering av hele ERM-systemet.
ERM Forkortelse for Enterprise Risk Management eller Enterprise-wide Risk Management. Helhetlig og integrert risikoledelse.
ERM-håndbok   Beskriver ERM-systemet og ERM-prosessen.  Videre beskrives ERM-pocy’en, retningslinjer, ansvar og myndighet. Dessuten den filosofien som organisasjonen har på området ERM.
ERM-IT system (ERMIT)  Her handler det seg om IT-systemer, metoder og modeller som hjelper beslutningstakerne til å styre og håndtere risikoer og ERM-systemet. Det viktige her er at beslutningstakere, risikorapportører, CRO og andre har informasjon i riktig mengde, hensiktmessig, formelt riktig og til rett tid til rådighet for å kunne treffe riktige beslutninger.
ERM-plan Spesifiserer hvordan risikohåndteringen vil bli gjennomført i organisasjonen og integreres med andre styrings- og overvåkingsaktiviteter og prosesser.  Den definerer og formaliserer forpliktelsen for risikohåndtering som det hersker enighet om i organisasjonen gjennom dokumentet ERM policy.Den delen innenfor ERM- systemet som  spesifiserer hvilken tilnærming, ledelseskomponenter og ressurser som brukes til håndteringen av risiko.Merknad 1: Typiske håndteringselementer er vanligvis prosedyrer, praksis, tildeling av ansvar, rekkefølge og tidspunktet for aktiviteter.
Merknad 2: ERM-planen kan brukes for bestemte produkter, prosesser og prosjekter, og den kan brukes for deler av eller hele organisasjonen.
ERM-policy Denne klargjør ledelsens forpliktelse til å iverksette og kontinuerlig utvikle ERM innen organisasjonen.  ERM-policyen innebefatter mål og elementer av ERM innen organisasjonen, og hjelper til med å promotere risikosensibiliteten blant ansatte, og å integrere ERM innen organisasjonens kultur.Strategiarbeidet tar utgangspunkt i de policyer (styrende dokumenter) som organisasjonen har, der hensikten og målet med strategiarbeidet, samt organisering og ansvaret er fastlagt.Erklæring om en organisasjons overordnede intensjoner og retning knyttet til ERM.
ERM-prosess En godt fungerende ERM-prosess består grovt sett av fire underprosesser, eller grupper av prosesselementer:1.     Det bedriftsinterne miljø i form av organisasjon, ansvar og myndighet, teknologi, kompetanse strategier og mål, samt flere andre grunnleggende faktorer som samlet avgjør om systemet vil fungere.2.     ERM-kjerneprosessen som skal identifiser vesentlige risikoer og mulige risikoer, samt rapporter disse.3.     Operative aktiviteter som skal iverksette foreslåtte tiltak og utviklingen av disse.4.     Systemovervåkning og etterprøving som skal kunne forvisse ledelsen om at systemet fungerer tilfredsstillende og foreslå forbedringer.Systematisk bruk av policyer, prosedyrer og praksis for styring av aktivitetene kommunikasjon, konsultasjon, bestemmelse av kontekst og identifisering, analysering evaluering, håndtering, overvåking og gjennomgåelse/gjennomgang? av risiko.
ERM-revisjon Systematisk, uavhengig og dokumentert prosess for å fremskaffe bevis og evaluere dem på en objektiv måte for å fastslå i hvilken grad ERM-systemet/-rammeverket, eller enhver utvalgt
del av det, er tilfredsstillende og effektivt. 
ERMSE Enterprise Risk Management- SystemEvaluering
Vår betegnelse på en systematisk gjennomgåelse og analyse av hele ERM-systemet med sikte på å bekrefte dets funksjonalitet eller peke ut forbedringsområder. 
ERM-system/-rammeverk  Et rammeverk, et sett med elementer i en organisasjons ledelsessystem som er opptatt med å styre og håndtere risikoer.Ledelsessystemelementene kan innholde strategisk planlegging, beslutninger og andre strategier, prosesser og praksis for å håndtere risikoer.  Kulturen i en organisasjon er reflektert i dennes ERM-system.Et sett av elementer som gir grunnlaget og de organisasjonsmessige løsningene for å utvikle,  iverksette, overvåke, gjennomgå og kontinuerlig forbedre helhetlig og integrert risikoledelse (ERM) i hele organisasjonenMerknad 1 Grunnlaget inkluderer policyen, mål, mandat og forpliktelse til å håndtere risiko
Merknad 2 De organisasjonsmessige løsningene ikluderer planer, relasjoner, ansvarsområder, ressurser, prosesser og aktiviteter.
Merknad 3 ERM-systemet er integrert i organisasjonens overordnede strategiske og operative policyer og praksis.
ERM-systemelementer De komponentene som ERM-systemet/-rammeverket består av og som blir evaluert gjennom ERMSystemEvaluering.
ERM-verktøy Dette er kvalitative og kvantitative hjelpemidler som benyttes i gjennomføringen av ERM-prosessen og ERM-systemanalysen.
Etablering av kontekst Fastsetting av de eksterne og interne parametrene det skal tas hensyn til i håndteringen av risiko =risikostyringen, og angivelse av omfanget og risikokriteriene for RM-policyen.
Etiske verdier Standarden for moralske normer, holdninger, integritet og handlinger i en organisasjon.
Etterlevelse av krav ”Compliance”  I organisasjonens bestrebelser på å nå sine mål må organisasjonen følge de lovmessige og regulerende forskrifter som gjelder både internt og eksternt for organisasjonen.
Fare Kilde til potensiell skade.Merknad: En fare kan være en risikokilde.
Fase Gresk opphav ”avsnitt i et forløp”.I vårt tilfelle har vi delt ERM-prosessen inn i fasene 1 til 8 (etablering av kontekst, identifisering, analysering, evaluering, tiltak, rapportering, håndtering og overvåking, og ERM-SystemEvaluering og etterprøving.)
Finansielle risikoer Risikoer relatert til finansielle transaksjoner.  F.eks. valutarisikoer, kredittrisikoer, landsrisikoer.
Forretningsrisikoer  Forandringer i enten eksterne omgivelser eller i den forretningsmessig strategi som følge av slike forandringer som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet.  F.eks. konkurrenters adferd.
Føre var system (”Early Warning System”)  Et system som signaliserer latente, dvs. fordekte farer som allerede eksisterer i form av informasjoner, irritasjoner eller impulser før de inntreffer.
Førstelinjeforsvaret Førstelinjeforsvaret består hovedsakelig av organisasjonens normale linjeorganisasjon i form av foretningsenheter og spesialavdelinger.
Gjennomgang”Review”  Handling som utføres for å fastslå egnetheten, tilstrekkeligheten og effektiviteten ved det aktuelle emnet for å oppnå fastsatte mål.
Merknad: Gjennomgang kan brukes for et ERM-system/-rammeverk, en ERM-prosess, en risiko eller en kontroll.
Hendelse Virkningen av en endring aktivert fra eksternt eller internt hold, som har en effekt på oppnåelse av organisasjonens mål.  Hendelsen kan være sikker eller usikker.  Dessuten kan hendelsen være en enkelt hendelse eller en serie av hendelser.Forekomst eller endring i et bestemt sett av omstendigheter.Merknad 1: En hendelse kan være en enkelt begivenhet eller en serie av flere begivenheter,  og den kan ha flere årsaker.
Merknad 2: En hendelse kan være at noe ikke skjer.
Merknad 3: En hendelse kan av og til  bli referert til som en «episode» eller «ulykkel».
Merknad 4: En hendelse uten konsekvenser  kan også kalles «tilløp til skade», «episode», ”nesten uhell” eller «nesten ulykke».
Hyppighet
”Frequency”
En av dimensjonene som risiko er målt etter i løpet av risikoestimeringen.Av praktiske årsaker er dette i ERM det samme som sannsynlighet.Antall hendelser  eller resultater pr. angittt tidsenhet. Merknad:  Hyppighet/frekvens kan brukes for hendelser i fortiden eller for potensielle framtidige hendelser. Hyppighet/frekvens brukes da som et mål på sannsynlighet.
Håndtere Stoppe opp, vurdere og igangsette nødvendige tiltak.
Informasjonsinnhentning Innsamling av informasjoner for å kunne fatte beslutninger.
Innkjøpsrisikoer Risikoer som oppstår i innkjøpsprosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og/eller priser.  F.eks. avhengighet av leverandører.
Integritet Et uttrykk for «noe» en kan stole på eller ha tillit til.Av lat. integritas, sunnhet, uskadd tilstand, helhet, ukrenkelighet.  Brukes om en organisasjons helhet og uavhengighet, og om en persons gode egenskaper: redelighet, ubestikkelighet.  
Interessent/ interessegrupper”Stakeholder” Enhver individuell gruppe eller organisasjon som er i stand til å påvirke organisasjonen, påvirkes av eller tror at de blir påvirket av en aktivitet eller en beslutning.  Beslutningstakeren(e) er en interessent.Parter som blir påvirket av organisasjonen. Bla. aksjonærer, sosiale grupperinger, ansatte, kunder eller leverandører.Person eller organisasjon som kan påvirke, bli påvirket av, eller oppfatte seg selv som påvirket av en beslutning eller aktivitet
Merknad: En beslutningstaker kan være en interessent.
Intern kontekst Internt miljø hvor organisasjonen søker å oppnå sine målMerknad: Intern kontekst kan omfatte:

  • forvaltning, organisasjonsstruktur, roller og ansvarsområder;
  • policyer og  mål samt strategier som er etablert  for å oppnå dem;
  • kompetansen, i betydningen ressurser og kunnskap (f.eks kapital, tid, personer, prosesser, systemer og teknologier);
  • informasjonssystemer, informasjonsflyt og beslutningstakingsprosesser (både formelle og uformelle);
  • forholdet til interne interessenter og deres oppfatninger og verdier;
  • organisasjonenskulturen;
  • standarder, retningslinjer og modeller som brukes i  organisasjonen; og
  • form for og grad av kontraktsmessige forhold.

 

Intern kontroll En prosess styrt av organisasjonens styre og ledelse og annet personell for å sikre en hensiktmessig forsikring mht. oppnåelse av følgende mål:

  • Effektiviteten og brukbarheten mht. organisasjonens operasjoner.
  • Påliteligheten av finansiell rapportering.
  • Overensstemmelse med juridiske og regulerende forskrifter.

 

Internt overvåkingssystem Et synonym for internt kontrollsystem brukt i en organisasjon.
ISO 31000:2009 Standard for risikoledelse – prinsipper og retningslinjer.
ISO Guide 73:2009 Standard for risikoledelse – terminologi.
ISO 31010:2010 Standard for risikoledelse – risikovurderingsteknikker.
IT risikoer Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet.  Fleksibilitet og støtte til informasjonssystemer og databanker.  F.eks. misbruk av informasjons systemer.
Juridisk- og konformitets- risikoer Risikoer forårsaket av potensiell juridiske krav relatert til organisasjonens aktiviteter. Generelt inkluderer dette både betaling til advokater og tap som et resultat av juridiske aksjoner.Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis.  F.eks. produkt sikkerhet.
Katastrofe En ødeleggende hendelse generelt karakterisert av at et høyt antall krav/fordringer blir levert forsikringsselskapene.
Kategoriseringsmodell/-verktøy Kategoriseringsverktøy hjelper organisasjonene med å gruppere og prioritere sine risikoer innenfor den industrigrenen de tilhører, og innen organisasjonen selv.  Slike verktøy hjelper ledelsen med å sikre at de fanger opp alle hovedrisikokategorier i organisasjonen, ikke bare enkelte og de tradisjonelle.Et felles ”stammespråk/risikospråk” (Risikokategoriseringsmodell) for å bidra til at alle som er involvert i ERM-prosessen kommuniserer klart og tydelig.I teorien kan risikoer bli kategorisert iht.:

  1. Årsaker (f.eks. ustabil produksjonsprosess, leverandøravhengighet, risiko for substitutter, teknologisk forandring eller kvalitetsproblemer).
  2. Hendelser (f.eks. regionale kriser, miljø katastrofer, streiker, misligheter eller feil i tekniske systemer).
  3. Konsekvens (f.eks. på eiendom, inntjening, ”cash flow” eller image/omdømme).
  4. Risiko håndteringsstrategi (f.eks. mulighet for forsikring, mulighet for å kontrollere, eller mulighet for å transferere).

 

Kjerneprosess Kjerneprosessen som er syklisk består i hovedsak av oppgaver og funksjoner som i det vesentlige er innbyrdes avhengig av hverandre.Kjerneprosessen har til oppgave å identifisere, analysere og evaluere, risikoer organisasjonen eksponeres for.Videre skal den foreslå tiltak, rapportere til den ytre prosessdelen med fastlagte intervaller.
Kommunikasjon og konsultasjon  Kontinuerlig og gjentakende prosesser som gjennomføres i en organisasjon for å gi, utveksle eller innhente informasjon, og for å ha dialog med interessenter om håndtering av risiko.Merknad 1: Informasjonen kan være relatert til forekomst, type, format, sannsynlighet, viktighet, evaluerbarhet, aksepterbarhet og håndtering av risiko.
Merknad 2 Konsultasjon er en toveis, veloverveid kommunikasjonsprosess mellom en organisasjon og dens interessenter vedrørende en sak, før en beslutning tas eller en retning velges i den aktuelle saken.
Konsultasjon er:

  • en prosess som viker inn på en beslutning gjennom innflytelse heller enn gjennom maktutøvelse; og
  • et innspill til beslutningstaking, ikke felles beslutningstaking.

 

 

 

 

 

 

 

 

 

 

Konsekvens Resultatet eller effekten av en hendelse.
Konsekvensen eller virkningen må være ”mindre enn 0” (m.a.o. negativ) for å representere en risiko.  Er konsekvensen ”større enn 0” representerer dette i vår terminologi muligheter som kan utnyttes.  Dersom sannsynligheten og/eller konsekvensen forventes å være ”lik 0”, anses hendelsen å være uinteressant både som mulighet og risiko.Utfallet av en hendelse som påvirker mål.Merknad 1: En hendelse kan medføre flere konsekvenser.
Merknad 2: En konsekvens kan være sikker eller usikker og ha positiv eller negativ innvirkning på mål.
Merknader 3: Konsekvenser kan uttrykkes kvalitativt eller kvantitativt.
Merknad 4: Opprinnelige konsekvenser kan bli mer omfattende gjennom kjedereaksjoner.
Kontekst Ordet ”kontekst” kommer av det latinske ”contexere”, eller å flette, veve sammen en tekst eller en tankesammenheng med en annen, som dermed kan gi den opprinnelige teksten eller tankesammenhengen en ny betydning.  Den nye teksten eller tanken har med andre ord betydning for hvordan den opprinnelige teksten eller tanken skal forståes.Denne nye teksten eller tankesammenhengen er ”Enterprise Risk Management”(ERM).  ERM må altså få betydning for organisasjonens kollektive forståelse av seg selv, sine målsetninger og hvordan den oppnår disse.
Kontinuitetsplan Utarbeidelse av en kriseplan, katastrofeplan, ofte omtalt som ”Business Continuity Plan”, i forkant av hendelsen.
KonTraG  ”The German Act on Corporate Control and Transparency” (”Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich”, – KonTraG)” av 1998.  Noe forenklet kan vi si at loven gjør styret og dets medlemmer (økonomisk) ansvarlig ovenfor samfunnet generelt og sine eiere spesielt, dersom det i organisasjonen ikke finnes mekanismer eller rutiner som sikrer dem den informasjon som kreves i utførelsen av deres styreverv.  Styret må med andre ord kunne dokumentere rutinene for hvordan de skaffer seg den informasjon som benyttes, og gjennom dem hvilken informasjon de til enhver tid har hatt tilgjengelig som grunnlag for sine beslutninger.  Feil beslutninger på basis av manglende eller mangelfull informasjon, kan i verste fall medføre personlig erstatningsansvar dersom mangelen på informasjon ikke skyldes brudd på de av styret godkjente rutiner.
Kontroll/oppfølging  En eksisterende prosess, policy, praksis eller andre aksjoner/tiltak som skjer for å minimalisere risikoer (negativt) eller øker mulighetene (positivt).  Ordet kontroll kan også bli brukt for å sikre hensiktmessig forsikring mht. oppnåelsen av mål.
Kontroller  Policyer og prosedyrer som hjelper til med å sikre kontinuerlig og hensiktmessige operasjoner mht. organisasjonens systemer.Tiltak som modifiserer risiko. Merknad 1: Kontroller inkluderer enhver prosess, policy, plan og praksis samt andre ordninger som modifiserer risiko.
Merknad 2: Det er ikke alltid tiltenkte kontroller har den  tilsiktede eller antatte modifiserte virkningen.
Kontrolltiltak En form for risikoreduksjon for å redusere sannsynligheten for at risikohendelsen modner.
Kost-/nytteanalyse  Systematisk sammenligning av alternativer for å kunne treffe rasjonelle beslutninger. i ERM-prosessen.  Kost-/nytteanalysen spiller en stor rolle ved risikofinansiering.  Hyppig vurderes imidlertid risikofinansieringen rent intuitiv.  ERM-tilnærmelser hjelper til i forbindelse med slike beslutningsprosesser.
KPI / Key Performance Indicators.  Tallfestet indikator på en organisasjons eller funksjons ytelser under bestrebelsen e på å nå sine mål.
KRI / Key Risk Indicator Tallfestet indikator på de risikoer en organisasjon eller funksjon utsettes for.
Kriterier Et sett med standarder som måler effektiviteten og hensiktsmessigheten med ERM-prosessen.
Ledelsesprosess En serie av aksjoner/tiltak som blir tatt av ledelsen for å styre organisasjonen.  Enterprise Risk Management er del av og integrert med ledelsesprosessen.
Manuell kontroll Kontroller gjennomført manuelt, ikke av en computer.
Metode Av gresk methodos, til hodos, vei, dvs.vei mot målet.  Planmessig fremgangsmåte for å løse et problem, oppnå et resultat etc..  Metodikk, læren om metodene, beskrivelse av den fremgangsmåte som brukes i et bestemt fag.  Metodisk, planmessig, systematisk.
Mulighet Sannsynligheten for at en hendelse oppstår og har en positiv effekt på oppnåelsen av målsettinger.Anledning at en hendelse forekommer og influerer positivt på oppnåelsen av målsettinger”.
Mål Tilsvarer «objective» på engelsk.  Dette er målet som skal nås innen innsatsområdet.  Et eksempel er» å bli markedsleder».  Vi spesifiserer ytterligere ved å si hvordan dette skal måles ”måltall/measures” og hvor mye vi skal oppnå ”budsjettert mål/target”.
Måltall Tallfestet beskrivelse av en person eller organisasjons mål setting.  (Hovedmål eller delmål).  Måltallet er knyttet til budsjettert mål, eller «target».
Objektiv risiko  En risiko som ligger i saken selv.  F.eks. i måten å bygge en fabrikk på.  Det motsatte er subjektiv risiko.
Operasjonell risiko  Risiko for tap betinget av utilstrekkelig eller manglende interne prosesser, ansatte, systemer eller eksterne hendelser.
Operasjonelle-, administrasjons- og ledelsesrisikoer Risikoer innen verdikjedeprosessen eller støtteprosesser.  F.eks. stabil produksjonsprosess.
Operasjoner Brukt i forbindelse med målsettinger.  Har å gjøre med brukbarheten/egnetheten og effektiviteten av organisasjonens aktiviteter, inklusiv prestasjons- og resultatmål, og for å sikre ressursene mot tap.
Operativ Risk Management Operative Risk Management-prosesser foregår ute i de operasjonelle forretningsenhetene og omfatter generelt en faglig eller spesialisert avgrenset tilnærming til risikoidentifisering, risikoanalyse, risikoevaluering, risikotiltak og risikorapportering.
Organisasjon Gruppe av folk og fasiliteter med rammer for ansvar, myndighet og roller.En bedrift, et firma, institusjon, eller en del av et konsern, offentlig eller privat, som har sine egne funksjoner og administrasjon.
ORM Forkortelse for Operativ Risk Management
Overvåking”Monitoring” Kontinuerlig kontroll, tilsyn, kritisk observering eller fastsetting av status for å identifisere avvik
fra påkrevd  eller forventet prestasjonsnivå.Merknad:  Overvåking kan brukes på et ERM-system/-rammeverk, en ERM-prosess, en risiko eller en kontroll.
Personalrisikoer Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte.  F.eks. rekruttering av nøkkelpersonell.
Policy  Ledelsens diktat av hva som skal gjøres.  En policy tjener som basis for prosedyrer og iverksettelsen av disse.
Portefølje  Av fransk ”portefeuille”, dokumentmappe, av porter, bære, og ”feuille”, ark, blad, samling av dokumenter eller verdipapirer, f.eks. aksjeportefølje.Med begrepet portefølje vil vi i denne sammenhengen mene en beholdning av ulike risikoer.
Prestasjonsledelse/Performance Management Måling av ytelse av medarbeidere og hvor godt de oppnår sine mål.  I ”performance management” ligger også kompetansekartlegging, kursing, opplæring osv..  Det er viktig å kjenne til forskjellen mellom ”Performance Management” og ”Performance Measurement”.  Enkelte skiller ikke mellom disse to.  Dette kan bidra til forvirring.
Prestasjonsmåling/Performance Measurement (PM)  Måling av ytelse i bedrifter og organisasjoner.  Dette kan være etter styringsmodellen ”Balanced Scorecard”, men PM dekker i tillegg en rekke andre måter å vurdere ytelse på.  Enkeltelementene i et ”BSC” som for eksempel kundetilfredshet er et eksempel på ”Performance Measurement”.
Prosedyre En aksjon/et tiltak som iverksetter en policy.Av latin, en fremgangsmåte.  Juridisk, partenes avsluttende innlegg etter bevisførselen i en rettssak.
Prosessanalyse En teknikk for systematisk å analysere og notere, i standardisert form, en organisasjons strategiske, forretningsmessige, operasjonelle og tekniske prosesser mht. spesifikke aksjoner.
Ratingskala Måleskala/graderingsskala  Oftest vil rammen for måleskala være gitt gjennom valg av standardverktøy under etablering av kontekst.  Disse benytter imidlertid som oftest en graderingsskala (ratingskala), der et intervjuobjekts holdning til et gitt spørsmål graderes.  Vi kan ha både en ”to-polig” og en ”en-polig” skala.En rating er utrykt ved hjelp av spesifikke symboler på en ordinalskala og representerer meningen til den spurte/respondenten.
Restrisiko
”Residual
risk”
Risikoen som er tilbake etter risikotiltak/håndtering.Ikke alle risikoer lar seg eliminere helt ved spesielle tiltak og blir med videre i prosessen.  Likedan vil det finnes risikoer som i utgangspunktet er så små at tiltak mot dem derfor ikke er formålstjenlig.  I en idealsituasjon vil disse risikoene samlet utgjøre ”aksepterte risikoer”, også ofte omtalt som ”residualrisikoer”.  Vesentlige residualrisikoer må underlegges kontroll og begrensningstiltak.Risiko som er igjen etter risikohåndtering. Merknad 1: restrisiko kan inneholde uidentifisert risiko.
Merknad 2: restrisiko kan også kalles «risiko man tar for egen regning»
Risiko  Begrepet risiko er avledet fra italiensk „risicare“ som betyr å „tørre“.  Det dreier seg om vågestykket å handle, som fører til en risiko ved å handle pga av mangel på informasjon.Virkningen av usikkerhet knyttet til målMerknad 1: En virkning av et avik fra det forventede-positive og/eller negative.Merknad 2: Det kan være flere aspekter ved mål (for eksempel finansielle, helse-, sikkerhetsmessige og miljørelaterte malsettinger), og målene kan gjelde for ulike nivaer (for eksempel pA et strategisk nivå, for en hel organisasjon, for et prosjekt, for et produkt ogfor en prosess).Merknad 3: Risiko karkteriseres ofte ved å refere til potensielle hendelser og konsekvenser, eller en kombinasjon av disse.Merknad 4: Risiko uttrykkes ofte som en kombinasjon av konsekvensene av en hendelse(inkludert endringer i omstendigheter) og den /tilhørende sannsynligheten for hendelsen.
Merknad 5: Usikkerhet er en tilstand dr det er mangel på informasjon, manglende forstålse av eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet for at den skal forekomme. 
Risikoaggregering  Sammenfatning av flere enkeltrisikoer mht. likhetstegn.  I ERM er målet med aggregeringen å bestemme den samlede porteføljen av risikoer for organisasjonen og den relative betydningen av enkeltrisikoer.  Korrelasjonen av enkeltrisikoer må eksplisitt bli tatt hensyn til.  En metode for risikoaggregering og kvantifisering er ”Monte-Carlo-simulering”.Eksempler på ulike aggregeringsnivåer kan være:·                    Risiko (detaljnivå).·                    Risikokategori (risikogruppe/-art).·                    Organisatorisk nivå(jf. terskelverdier).·                    Forretningsenhet.·                    Spesialistavdelinger.·                    Bransjer.·                    Divisjoner.·                    Produktgrupper.·                    Konsern. Kombinasjon av flere risikoer samlet til en risiko for å utvikle en mer samlet forståelse av den overordnede risikoen. 
Risikoaksept/ risikoakseptering  Ikke alle risikoer lar seg eliminere helt ved spesielle tiltak og blir med videre i prosessen.  Likedan vil det finnes risikoer som i utgangspunktet er så små at tiltak mot dem derfor ikke er formålstjenlig.  I en idealsituasjon vil disse risikoene samlet utgjøre ”akseptere risikoer”, også ofte omtalt som ”residualrisikoer”.  Vesentlige ”residualrisikoer” må underlegges kontroll og begrensningstiltak.Veloverveid beslutning om  å ta en bestemt risiko.Merknad 1: Risikoaksept kan forekomme uten risikohåndtering eller i løpet av risikohåndteringsprosessen.
Merknad 2: Aksepterte risikoer er gjenstand for overvåking og gjennomgang.
Risikoanalyse Kvantitativ og kvalitativ vurdering av risikoer.  Prosessen med å kvantifisere og beskrive de risikoene som kan ha en effekt på organisasjonen og estimere deres konsekvens og sannsynlighet.Systematisk prosess for å forstå risikoen og nivået på risikoen.  Gir basisen for risikoevalueringen og beslutninger mht. risikotiltak.Prosess for å forstå formen for risiko og bestemme risikonivået.Merknad 1: Risikoanalyse gir grunnlaget for risikoevaluering  og beslutninger om risikohåndtering.Merknad 2: Risikoanalyse inkluderer risikoestimering.
Risikoappetitt Risikoappetitt eller risikovilje er den grad av risiko som en organisasjon er villig til å akseptere for å øke sin verdi.  Den reflekterer organisasjonens filosofi, og har innflytelse på organisasjonens kultur og måten organisasjonen utfører sine daglige gjøremål på.Risikonivå(risikoappetitt, grenseverdier, risikotoleranse, risikoviljen).En organisasjons vilje, eller evne til å påta seg risiko omtales ofte som dens ”risikoappetitt”.  Det er denne ”appetitten” organisasjonen må redegjøre for i sine strategier og styrende dokumenter.”Risikoappetitten” bør likedan følges av en klar avgrensing i form av ”Risikotoleranse”.  Definisjonen av ”risikoappetitt” og ”risikotoleranse”, kan være så enkel eller komplisert som organisasjonen ønsker å lage den.Mengde og type risiko som en organisasjon er villig til å ta tak i eller ta for egen regning.
Risikoaversjon Motvilje til å ta risiko.
Risikobehandling Se risikohåndtering
Risikobeskrivelse Strukturert redgjørelse om risiko, som vanligvis inneholder fire elementer: kilder, hendelser, årsaker og konsekvenser.
Risikobevissthet  Engelsk ”Risk Awareness“.  Det omfanget personen merkbart sanser og forstår farene vedkommende befinner seg i.  Videre hvorvidt personen som handler ”risikant” er bevisst ”risikoen”.  Risikoinnstilling.  Det blir skilt mellom risikoaversjon, risikonøytralitet og risikovennlighet.
Risikodeling  Dele byrdene med tap eller gevinst mht. spesifikke risikoer.Juridiske krav kan begrense, tillate eller gi mandat til å dele noen risikoer.  Risikodeling kan foretas ved hjelp av forsikringer eller andre avtaler.  En risikodeling kan også medføre at nye risikoer oppstår eller at eksisterende risikoer modifiseres.Form for risikohåndtering som omfatter avtalt fordeling av risiko med andre parter.
Merknad 1: Juridiske eller forskriftsmessige krav kan begrense, forby eller pålegge risikodeling.Merknad 2: Risikodeling kan gjennomføres gjennom forsikring eller andre avtaleformer.Merknad 3: I hvilken grad risikoen fordeles kan være avhengig av påliteligheten og klarheten ved delingsordningen.
Merknad 4: Risikooverføring er en form for risikodeling.
Risikodrivere Dette er «lead» indikatorer som viser hva som må være i orden for at vi skal kunne oppnå f.eks. finansielle resultater.  Et eksempel på en driver er en medarbeidertilfredshetsundersøkelse.  Denne driver kvaliteten på interne prosesser, som igjen driver kundetilfredshet, som igjen driver de finansielle resultatene.Nye markeder, nye prosjekter, nye tjenester, nye produksjonsprosesser, nye produkter, ny organisasjonsform, nye leder filosofi og ny teknologi innebærer alle nye risikomomenter for en organisasjon.  Organisasjoner må metodisk fokusere på de risikoer som organisasjonen står ovenfor mht. fortid, nåtid og fremtid.ERM-systemet definerer usikkerhetene og risikomomentene som risikodrivere.
Risikoeier Person eller enhet med overordnet ansvar for og myndighet til å håndtere risiko.
RisikoestimatRisk estimation” Aktiviteten med å estimere hyppigheten eller sannsynligheten og konsekvenser av risikoscenarioer, inklusiv en betraktning av usikkerhetene mht. estimatene.
Risikoevaluering En vurdering av f.eks. sannsynligheten av risikoen for oversvømmelse, deres konsekvens i forhold til oppsatte mål.  Det er vanlig å skille mellom en risikoprosessvurdering og vurdering av risiko på objektet.Formålet med risikoevalueringen er i første rekke å skaffe oss best mulig oversikt over den enkelte risikos innvirkning på de ulike målsetninger organisasjonen har definert under etableringen av kontekst (strategi og policy).  Spesielt gjelder dette:

  • Bestemme om en risiko kan aksepteres, eller krever øyeblikkelig handling.

 

  • Prioritere de identifiserte risikoene for å tildele begrensede ressurser til nøkkelrisikoene.

 

  • Identifisere potensiell akkumulering og diversifiseringseffekter på forskjellige organisasjonsenheter.

 

Prosess for å sammenligne resultatene av en risikoanalyse med risikokriterier for å bestemme hvorvidt en risiko og/eller dens omfang kan aksepteres eller tolereres
Merknad: Risikoevaluering bidrar i beslutningen om risikohåndtering.

 

Risikofinansiering Form for risikohåndtering som omfatter beredskapsordninger for framskaffing av midler som skal dekke eller modifisere de økonomiske konsekvensene, dersom de inntreffer.
Risikohendelse Se hendelse.
Risikoholdning”Risk attitude” Organisasjonens tilnærming til å vurdere og deretter ta tak i risiko, ta risiko for egen regning, bære eller se bort fra risiko.
Risikohåndtering Hvordan en risiko er behandlet og tiltak iverksatt.Prosess for å modifisere  risiko. Merknad 1:  Risikohåndtering kan innebære følgende:

  • unngå risikoen ved å beslutte seg for ikke å begynne eller ikke å fortsette med aktiviteten som forårsaker risikoen;
  • ta eller å øke risikoen for å kunne dra nytte av en mulighet;
  • fjerner risikoenkilden;
  • endre sannsynligheten;
  • endre konsekvensen;
  • dele risikoen med en eller flere andre parter [inkludert kontrakter og risikofinansiering], og
  • ta risikoen for egen regning som følge av en veloverveid beslutning.

Merknad 2: Risikohåndtering som omhandler negative konsekvenser kalles av og til «risikoavbøting», «risikoeliminering», «risikoforebygging» og «risikoreduksjon».
Merknad 3: Risikohåndtering kan skape nye risikoer eller modifisere eksisterende risikoer.

 

 

 

 

Risikoidentifisering Setter navn på, og beskriver mulige risikoer som en organisasjon kan stå ovenfor.  Uansett kvalitativ eller kvantitativ risikoanalyse vil prinsippet bak identifisering av risikoer være å finne frem til de risikoer som har en sannsynlighet for å inntre som er større enn ”0”, og av den grunn bør være gjenstand for nærme analyse i risikoanalysefasen.Risiko = (Sannsynlighet >0) * (Konsekvens < 0)Den innholder ikke klassifisering eller ”rating”/scoring” som er en del av risikoanalyse og risikoevaluering.Effektiv risikoidentifisering er helt avhengig av et felles ”stammespråk” personer og enheter i mellom.  Uten dette vil vi oppleve ineffektiv kommunikasjon, missforståelser og ressurssløsing.Det er derfor av største viktighet at organisasjonen bygger sin identifiseringsprosess på en felles risikokategoriseringsmodell og at de som bidrar med identifisering av risikoer, er fortrolig med denne og andre retningslinjer for denne rapporteringen.Prosess for å finne, gjenkjenne og beskrive risikoer Merknad 1: Risikoidentifisering omfatter identifisering av risikokilder, hendelser, deres årsaker og deres potensielle konsekvenser.
Merknad 2: Risikoidentifisering kan omfatte historiske data, teoretisk analyse, velbegrunnete oppfatninger og ekspertoppfatninger, og interessentens behov. 
Risikokategori /risikobibliotek Se kategoriseringsmodell.
Risikokilde Element som alene eller i kombinasjon har et iboende potensial til å forårsake risiko
Merknad:  En risikokilde kan være materiell eller immateriell.
Risikokommunikasjon En toveis kommunikasjon mellom interessenter om eksistensen, natur, form, kvaliteten, eller aksept av risikoen.
Risikokontroll/-overvåking  En art av risikoradar i ERM-prosessen.  Omfatter ERM-kjerneprosessen over tid.  Hertil hører regelmessige målinger av ERM-metoder og ERM-prosedyrer, effektivitet og brukbarhet.
Risikokontrollstrategi Et program som kan innholde forskjellige risikokontrollmuligheter.
Risikokostnader  Nytten av politiske risikotiltak avtar med stigende grad av sikkerhet.  Ut ifra økonomiske vurderinger kan visse investeringer i tilleggsutstyr være ulønnsomme.  Målet må være å oppnå et optimalt nivå på risikokostnadene, dvs. at det må unngås en målkonflikt mellom risikokostnadene og sikkerhetsgraden.
Risikokriterier Grunnlag som betydningen av  en risiko evalueres mot.Merknad 1:  Risikokriterier bygger på organisatoriske
mål, og ekstern kontekst og intern kontekst.Merknad 2: Risikokriterier kan utledes fra standarder,
lover, policyer og andre krav.
Risikokultur Kollektive holdninger og handlingsmønstre organisasjonen møter omgivelsene med i sin daglige omgang med risiko, omtales ofte som ”risikokultur”.
Risikoledelse”Risk Management” Koordinerte aktiviteter for å rettlede og håndtere en organisasjon med hensyn til. risiko.
Risikomatrise For å lette innsamling av informasjon i kvantitative analyser, bearbeide denne informasjonen og kommunisere resultatet av ERM-arbeidet, bør det benyttes et hensiktsmessig verktøy.Risikoen for de ulike hendelsene kan anslås i en risikomatrise ved å kombinere sannsynligheten for at hendelsen inntreffer med konsekvensen hvis hendelsen inntreffer.Verktøy for å rangere og vise risiko ved å definere intervaller/ områder for konsekvens og sannsynlighet.
Risikonivå Et estimat på sannsynligheten og konsekvens av en hendelse.Omfanget av en risiko eller kombinasjon av risikoer, uttrykt som en kombinasjon av konsekvenser og sannsynligheten for at disse forekommer.
Risikooppfattelse/ “Risk perception” Engelsk. ”risk perception”.  Fornemmelse av farer og bedømming av de risikoene som er forbundet med dette.  Preget av personens egne subjektiv forståelse av risikoen.  Vanligvis et begrep som ikke kan måles, da risikoer ikke kan ”fornemmes”, men fremstiller en vurdering.Betydningen som interessegrupper fordeler risikoene på.  Denne oppfattelsen er avledet ut ifra interessentenes uttrykte behov, spørsmål og bekymringer.Interessentens  oppfattelse av en risiko Merknad:  oppfattelsen av risiko gjennspeiler interessentens behov, fokusområder, kunnskap, oppfatning og verdier.
RisikoppmerksomhetRisk Awareness  Risikobevissthet.  Det omfanget, som personen som befinner seg i fare, registrerer bevisst.  Videre hvorvidt personen som med vilje handler ”risikant” er seg bevisst omfanget av risikoene.
Risikooverføring Risikooverføring vil kunne omfatte overføring til samfunnet generelt, ansatte, kunder eller leverandører, samt ikke minst tredjepart i form av forsikringsinstitusjoner.
Risikoovervåking Sjekke, kontrollere, observere kritisk eller måle fremdriften av en aktivitet, aksjon/tiltak regelmessig for å identifisere forandring fra krav til prestasjonsnivå eller det som er forventet.
Risikoprofil En godt definert risikoappetitt og risikotoleranse dokumentert i organisasjonens overordnede strategi, tilkjennegir overfor organisasjonen hvor, – og hvordan ledelsen ønsker at ressurser skal anvendes og vil kunne underbygges og støttes av underliggende detaljerte strategier, forretningsplaner, investeringsplaner og lignende.  Dette omtales ofte også som organisasjonens ”risikoprofil”.De verdier og den miks vi har mellom faktorene ”sannsynlighet og konsekvens”, gir uttrykk for den ”risikoprofil” vi til enhver tid har i forhold til den enkelte risiko.Beskrivelse av ethvert sett med risikoer.
Merknad: Risikosettet kan inneholde deler av organisasjonen, eller fastsatt på annen måte.
Risikorapportering En innberetning, melding (om noe som er skjedd, utført mht. risiko etc.) eller uttalelse.  Denne kan være skriftlig eller muntlig.Det overordnede formålet med rapporteringen av nøkkelrisikoer og risikohåndtering er å:

  • Forbedre kvaliteten og støtte beslutninger i rett tid.
  • Bestemme prioriteringer mht. aksjon og forbedring.
  • Gjøre den overordnede ledelsen og styret i stand til å adressere og håndtere nøkkelrisikoer slik dette er påkrevd.
  • Underbygge bestrebelsen på å tilfredsstille eksterne krav til rapportering.

 

Brukt i forbindelse med mål og har å gjøre med påliteligheten av organisasjonens rapportering, inklusiv både intern og ekstern rapportering av finansiell og ikke finansiell informasjon.

 

Kommunikasjonsform som skal informere bestemte interne eller eksterne interessenter ved å  gi informasjon om status for aktuell risiko og dens håndtering.

 

Risikoreduksjon Redusere sannsynlighet eller konsekvens for risikoen. Risikoreduksjon iverksettes ved reduksjon av sannsynlighet for og/eller konsekvensen av en hendelse.
Risikoregister En oversikt over risikoene bygget på kategoriseringsmodellen.  Viser vurderingene på en skala fra 1-5 mht. årsak, sannsynlighet, konsekvens, dagens kontroller, risikoprioritering, tiltak, tidshorisont og ansvarlig.Informasjonsregister over identifiserte risikoer.
Merknad: Begrepet «risikoliste» brukes av og til i stedet for «risikoregister»
Risikoscenario “Risk scenario” En definert sekvens av hendelser med en assosiert hyppighet (sannsynlighet) og konsekvens.
Risikostyring  Etter risikoidentifiseringen, risikoanalysen og risikoevalueringen må organisasjonen vurdere hvordan den omgås risikoene.  Dvs. hvilke tiltak den treffer.  Risikoene kan unngås, begrenses, overføres eller de kan bæres selv.
Risikotaking for egen regning
”Risk Retention”
Akseptering av den potensielle fordelen ved gevinst eller byrden ved et tap fra en bestemt risiko.Merknad 1: Å ta risiko for egen regning innebærer aksept av  aksepten av restrisiko.
Merknad 2: Risikonivået for restrisiko kan avhenge av risikokriterier.   
Risikotiltak En prosess av valg og iverksettelser av aksjoner/behandling av risikoer for å modifisere risikoene.Risikoer kan aldri helt elimineres.  Målsetningen med ERM er da også begrenset til å finne frem til tiltak som kan reduser en risiko, eller en konsekvens av denne.Aksjoner som organisasjonen tar i forbindelse med risikoen.
Risikotoleranse Risikotoleranse er det akseptable nivå av variasjon relatert til å nå organisasjonens mål.Organisasjonens eller interessentens  vilje til å bære risikoen etter risikohåndteringen for å oppnå sine mål.
Risikotransfer ”Risk Transfer” Praksisen med å fjerne risikoer fra organisasjonens operasjoner.  Vanlige former for risiko transfer inkluderer bl.a. forsikring, salg av forretningsenheter.
Risikounngåelse Unnlate å sette seg selv eller organisasjonen i den situasjon at en hendelse, som kan medføre risiko, kan inntreffe.Veloverveid beslutning om å ikke bli involvert i en aktivitet eller beslutning om å trekke seg  fra aktiviteten for å unngå eksponering for en bestemt risiko. Merknad: Risikounngåelse kan bygge på resultatet av risikoevaluering og/eller juridiske og forskriftsmessige forpliktelser.
Risikovurdering”Risk assessment” Samlet prosess som består av risikoidentifisering, risikoanalyse og risikoevaluering.
Risk Champions I vårt ”case” er dette en person eller gruppe personer som har oppfølging av en organisasjons ERM-system som del av sine dedikerte oppgaver.  En ”Risk Champion” har ansvaret for ERM-systemet innen sin organisasjonsenhet.
Risk Governance Styring av risiko.
Risk mitigation Se risikoreduksjon.
Sannsynlighet Sannsynligheten for at en gitt hendelse inntreffer.Uansett kvalitativ eller kvantitativ risikoanalyse vil prinsippet bak identifisering av risikoer være å finne frem til de risikoer som har en sannsynlighet for å inntre som er større enn ”0”, og av den grunn bør være gjenstand for nærme analyse i analysefasen.Risiko = (Sannsynlighet >0) * (Konsekvens < 0)I en kvalitativ analyse vil vi normalt ikke stille krav til så konsise uttrykk, men nøye oss med å beskrive sannsynligheten som ”usannsynlig, sannsynlig og sikker”, eller lignede.Er det mulig å angi objektive eller subjektive sannsynligheter, så er risikoen kvantifiserbar.  Den objektive fastsettelsen av sannsynligheter er et resultat ut ifra den statistiske vurderingen av et tilstrekkelig antall data.De subjektive sannsynlighetene blir fastlagt på grunnlag av den vurderende personens erfaring.  Ved kvantifiseringen av risikoene kan sannsynligheten for å inntreffe og mulige taps- henholdsvis gevinststørrelse angis.  ”Value-at-Risk” er således et mål for kvantifiseringen av risiko som ofte er benyttet innen bank – og finansverdenen.Potensialet for at noe skjer. 
Selvvurdering ”Self Assessment”  Selvvurdering er en egenevaluering av risikoer fra utvalgte medarbeidere og tjener til å identifisere og vurdere risikoer.Den blir spesielt brukt for å identifisere risikoer og følge opp hvordan de forandrer seg, evaluere de kontroller som eksisterer og eventuelt treffe forbedringstiltak.   Dessuten initiere og gjøre det mulig med en konsistent risikovurdering ut over organisasjonsenheten, og understreke betydningen av det desentraliserte ansvaret for styringen og håndteringen av risikoer
SOX The Sabanes Oxley Act.  Amerikansk (USA) lov vedtatt i juli 2002.  Loven bygger på arbeidene i ”The Treadway Commission” og ble aktualisert gjennom de mange finansielle skandalene i USA på slutten av 1990 – og begynnelsen av 2000-tallet.
Strategisk Brukt sammen med mål.  Har å gjøre med mål på høyt nivå som er avstemt med og støttet opp om av organisasjonens misjon og/eller visjon.
Strategisk risiko håndtering  Den sentrale delen av strategisk risikostyring og -håndtering er fastleggelsen av organisasjons risikoholdning.  Strategisk risikostyring og -håndtering danner grunnlag og utgangspunkt for et effektivt ORM.Relatert til sentrale, strategiske mål og målsettinger.  Risikoer som har strategisk betydning for organisasjonen.
Subjektiv risiko  Her handler det om individuelle risikokjennetegn (uvørn, omsorgsfull, tillitsvekkende etc.) som har en innflytelse på hvordan risiko oppfattes og håndteres. Se objektiv risiko.
System Evaluering En vurdering av hele ERM-systemet/-rammeverket..
Sårbarhet
”Vulnerability”
Iboende egenskaper hos noe gir følsomhet for en risikokilde som kan føre til en hendelse med en konsekvens.
Tilpasningsdyktighet/robusthet“Resilience” Tilpasningsdyktigheten/endringsdyktigheten til en organisasjon i et sammensatt og skiftende miljø.
The Sabanes Oxley Act (SOX) I USA ble det i juli 2002 vedtatt en ny lov for å gjenreise tilliten i det amerikanske kapitalmarkedet. Loven, som kalles ”the Sarbanes-Oxley Act” (SOX) er direkte foranlediget av de store finansskandalene som i løpet av de siste årene har rammet bl.a. Enron, WorldCom, Adelphia,Allied Irish Bank, HealthSouth, og Arthur Andersen og andre aktører i det amerikanske og internasjonale kapitalmarkedet.Loven gjelder for alle selskaper som har utstedt verdipapirer i USA, som handles over børs i USA og som ellers er pålagt rapportering til det amerikanske verdipapirtilsynet Securities and Exchange Commission (SEC).
The Turnbull Report Rapporten er gitt ut som guide av “The Institute of Chartered Accountants in England and Wales” for å få britiske organisasjoner til å iverksette “internal controls” som forlanges ”by the Combined Code on Corporate Governance”
Tredjelinjeforsvaret Tredjelinjeansvaret har til formål å skape nødvendig sikkerhet for at ERM-systemet som helhet fungerer som det skal.  Ivaretas enten av internrevisjon eller ekstern revisjon.
Trinn I vårt tilfelle er dette prosedyren (trinnene) innen risikoworkshop.  Dvs et valg vi har tatt mht. arbeidsform.  Trinnene er

  • Forberedelse til Workshop’er(trinn I)
  • Oppstartsmøte (trinn II)
  • Risikorapportørenes arbeid med risikospørreskjemaet (trinn III)
  • Analyse av risikospørreskjemaene(fra risikorapportørene) av CRO(trinn IV)
  • Gjennomføring av risikoworkshop’er (trinn V)
  • Oppsummering av resultater(trinn VI)

 

Usikkerhet Manglende evne til å forutsi sannsynligheten og konsekvensen av fremtidige hendelser.
Value at Risk (VaR)  Value at Risk (VaR) kan oversettes med ”verdi på spill“ og er brukt i en rekke år som risikostyrings- og håndteringsmetode. Spesielt innen finansnæringen for å overvåke og måle markeds og renterisikoene.
Verdiorientert ERM Ved siden av risikokomponenten betrakter organisasjonen også mulighetene og forsøker å optimere mulighet-/risikoprofilen i organisasjonen.
Whistle blower(Norsk; ”Varsler”) En ansatt eller person nært tilknyttet en organisasjon som med fare for represalier fra organisasjonen finner det nødvendig å varsle offentligheten om dennes vesentlige brudd på lover og regler eller andre svært kritikkverdige forhold.  Typisk for denne situasjonen er at varslingen representerer et brudd med den lojalitetsplikt vedkommende tradisjonelt har vær oppfattet å ha gjennom sitt ansettelsesforhold.
Workshop Organisering av arbeidet i arbeidsgrupper.  En arbeidsmetodikk.
Ytre prosess Når ERM-prosessen skal beskrives som en helhet, skiller vi mellom dens indre sykliske del på den ene siden (”ERM- kjerneprosessen” – fasene 2-6), og organisasjonenes øvrige miljø og iboende evne til å integrere og håndtere resultatene av den sykliske prosessen på den andre siden (”Bedriftsinterne Miljø”,, Kontrollrutiner, Systemevaluering etc., fasene.1,7,8).Med ”ERM- kjerneprosessen” mener vi en prosess utelukkende fokusert på risiko med klart definerte oppgaver og ansvar gjennomført til fastlagte intervaller og med klart definerte grensesnitt mot andre rutiner.Den ytre prosessen setter premissene for kjerneprosessen, men er også ansvarlig for å gjennomføre foreslåtte tiltak og forsikre seg om at systemet fungerer som helhet.

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share