Guide A Modul A11 Vedlegg H: ISO 31000:2009 Risikoledelse – prinsipper og retningslinjer

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A11  Vedleggsoversikt

 

 

libros__4_250

 

 

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Guide A Modul B11 Vedlegg H: ISO 31000:2009 Risikoledelse – prinsipper og retningslinjer

 

INNHOLDSFORTEGNELSE HH1 ROLLE OG FUNKSJON FOR STANDARDER FOR LEDELSESSYSTEMER 2
H1.1 INTERNASJONALE STANDARDER FOR ORGANISASJONEN 2
H1.1.1 STANDARDER FOR LEDELSESSYSTEMER 3
H1.1.2 DEN INTERNASJONALE STANDARDEN ISO 31000:2009 4 

H2. GENERELT OM ISO:31000:2009 5
H2.1 HVA KAN EN ORGANISASJON OPPNÅ MED DENNE STANDARDEN: 6
H2.2 PROAKTIV OG PRAKTISK RISIKOLEDELSE 7
H2.3 HENSIKTEN MED DEN NYE STANDARDEN 7
H2.4 DEFINISJONEN PÅ RISIKO OG RM I DEN NYE STANDARDEN 8
H2.5 KONSEKVENSER FOR ORGANISASJONER 9
H2.6 OVERGANGSTIPS 9
H2.7 HVA BIDRAR ISO 31000:2009 TIL? 10
H2.8 FREMTIDEN OG ISO 3100:2009 11

 

H3. RELASJONEN MELLOM RM-PRINSIPPER/RM-RAMMEVERK/ RM-PROSESS 12
H3.1 PUNKT 3 – PRINSIPPER FOR RISIKOLEDELSE OG – STYRING/ PUNKT 3 PRINSIPPENE FOR Å HÅNDTERE RISIKO/ PRINSIPPENE FOR EFFEKTIV RM 12
H3.2 ATTRIBUTTER/EGENSKAPER VED FORBEDRET HÅNDTERING AV RISIKO 15
H3.3 PUNKT 4 RM-RAMMEVERKET/SYSTEMET 16
H3.3.1 GENERELT 16
H3.3.2 MANDAT OG ENGASJEMENT 17
H3.3.3 UTFORMING AV RAMMEVERKET 17
H3.3.4 IMPLEMENTERING AV RISIKOLEDELSE 19
H3.3.5 OVERVÅKING OG GJENNOMGANG AV RAMMEVERKET 19
H3.3.6 KONTINUERLIG FORBEDRING 19
H3.4 PUNKT 5 RM-PROSESSEN 20
H3.4.1 GENERELT 20
H3.4.2 DEN SENTRAL ROLLEN SOM INTERESSENTER HAR 21
H3.4.3 PARALLELLPROSESSEN KOMMUNISERING OG KONSULTERING 22
H3.4.4 PARALLELLPROSESSEN OVERVÅKING OG GJENNOMGANG 23
H3.4.5 EARLY WARNING ( PROAKTIVE) INDIKATORER 23

 

H4. SLUTTBEMERKNINGER 24

 

1. Rolle og funksjon for standarder for ledelsessystemer

 

H1.1 Internasjonale standarder for organisasjonen

Standarder er godt for en misforståelse og dårlig for en forståelse. For å gi dette ordspillet et konkret innhold er to teser sitert:

 

 j0078729

Misforståelsen av standarder: Fordi det finnes en standard for et sakskompleks, blir dette sakskomplekset behandlet i henhold til standarden.

  • En standard forstås som ”må” i den forstand at det er en juridisk forpliktelse.

Forståelsen av standarder:

Hvis det for et sakskompleks finnes en standard, skal eller kan dette bli behandlet iht. standarden.

  • En standard blir forstått som ”skal” i den forstand at det er anbefaling.
  • En standard blir forstått som ”kan” i den forstand at det et forslag/en impuls.

 

Forståelsen og misforståelsen av standarder sagt med andre ord: En standard ikke bli implementert selv om den er en standard (formål i seg selv), men fordi det finnes viktige grunner, skal eller kan et sakskompleks i henhold til en standard bli implementert (andre formål). Grunnen kan være en fordel, men grunnen er ikke standarden i seg selv.

Et populært eksempel på forståelse og misforståelse av standarder: Den internasjonale standarden ISO 9001:2008 for kvalitetssikringssystemer. Det vil ikke si noe annet enn at det må finne en god grunn å håndtere kvaliteten i organisasjonen med et kvalitetssikringssystem i henhold til kravene i den internasjonale standarden ISO 9001:2008. Kvalitet blir gjennom implementeringen sikret, hvis det er hensiktsmessig å handle etter denne standarden. Finnes det ikke noen viktig grunn for organisasjonen for å implementere standarden ISO 9001:2008, da trenger ikke kvalitet å bli håndtert etter denne standarden. Kvalitet kan absolutt også bli håndtert uten standarden, Dette glemmes ofte.

Standarder av betydning er overalt i organisasjonen. Fra den norske NS standarden videre til den internasjonale standarden ISO 1000 til ISO 9000 (med ISO 9004) til ISO 80000.

En organisasjon som benytter ISO blir ofte vurdert av vanlige folk som ikke kjenner til standarder, og som tror dette borger for kvalitet og dermed har alt i orden. Vanlige folk ser denne kvaliteten i forbindelse med organisasjonens produkter og tjenester. Vanlige folk ser ikke denne kvaliteten i forbindelse med de ukjente prosessene i organisasjonen. Vanlige folk kjenner muligens ikke definisjonen på kvalitet som en relativ vurdering som korrelasjon på kundens krav.

En organisasjon som er ”ISO sertifisert” får et sertifikat fra en akkreditert sertifiserer som bevis på implementeringen av et kvalitetssystem, der kravene fra standarden ISO 9001:2008 er oppfylt. Ekspertene er de som har grunnleggende og grundig kjennskap til prosessorientering, kundeorientering og risiko.

 

H1.1.1 Standarder for ledelsessystemer

Vi henviser i første rekke her til http://www.standard.no/no/Standardisering/ for videre lesning eller http://www.iso.org/iso/home.html.

 

 

j0078743

H1.1.1.1 Hvorfor ledelsessystemer?

Ledelsessystemer i organisasjonen er infrastrukturen for verdiskapning. Ledelsessystemer sørger for at ideer blir skapt og verdier utvinnes. Et ledelsessystem har en ledelsesprosess i kjernen. Et ledelsessystem strukturer ”alt” som er nødvendig for å skape bestemte verdier med en ledelsesprosess. Dette ”alt” er i hovedsak grunnelementene i ledelse.

 

Tre prominente eksempler på ledelsessystemer har verdier, kvalitet og risiko som innhold.

  • Verdiledelsessystemet i organisasjonen er systemet for håndtering av verdier. I kjernen inneholder det en verdihåndteringsprosess, det skaper finansielle og ikke- finansielle, eller materielle og ikke-materielle verdier. Verdiledelse betegner det som en vanligvis forstår som verdiskapingen i organisasjonen. Denne betegnelsen står dermed i formell analogi til betegnelsen kvalitetsledelsessystem og risikoledelsessystem. I snever forstand er verdier finansiell og materiell art.
    – I videre forstand er verdier ikke finansiell og ikke materiell art.
  • Kvalitetsledelsessystemet i organisasjonen er systemet for å håndtere kvalitet. I kjernen inneholder den kvalitetshåndteringsprosessen og skaper kvalitet som verdi.- Kvalitet er den kvaliteten som er forbundet med verdiskaping.
    – Kvalitet blir konkret med produkt- og prestasjonskvalitet.
  • Risikoledelsessystemet i organisasjonen er systemet for å håndtere oppside/ nedside risikoer. I kjernen inneholder den risikohåndteringsprosessen og skaper visshet og sikkerhet som verdier.- Oppside/nedside risikoen er risikoen som er forbundet med verdiskaping.
    – Oppside/nedside risikoen blir konkret med risikoen for å nå mål i verdiskapingsprosessen.

 

Ledelsessystem gjør det mulig for lederen i organisasjonen, i sin rolle som direktør eller styremedlem – og dermed som organ i samfunnet – å etterkomme sine fire grunnleggende plikter som leder:

 

  • Organisere.
  • Delegere.
  • Kontrollere.
  • Dokumentere.

 

Som grunnplikter blir disse fire nevnt, de er definert gjennom juridisk praksis og språkbruk. Disse fire grunnleggende plikter inneholder eksplisitt videre handlinger som planlegging, kommunisering etc.. Grunnpliktene er ikke noe annet enn plikten til å lede organisasjonen.

 

Disse fire grunnleggende plikter til ledelsen dekker syv grunnelementer av ledelse:

  • Verdier.
  • Mål.
  • Prosesser.
  • Resultater.
  • Ressurser.
  • Potensial.
  • Medarbeidere.

 

Driften av et egnet ledelsessystem i en organisasjon er allerede et tiltak fra risikoledelsessystemet.

 

H1.1.1.2 Hva er en standard for ledelsessystemer?

 

j0078745

 

En standard stiller krav eller gir anbefalinger, i enkelttilfeller er dette følgende:

  • Standarden setter tiltak, som det blir målt eller vurdert etter.
  • Standarden fastlegger grunnleggende funksjoner og egenskaper.
  • Standarden skaper likhet og sammenlignbarhet.
  • Standarden skaper grensesnitt.
  • Standarden skaper fellesskap i funksjoner og egenskaper.
  • Standarden reduserer kostnader.
  • Standarden øker kommunikasjon og dokumentasjon.

 

H1.1.2 Den internasjonale Standarden ISO 31000:2009

 

iso

 

Ledelsessystem for å håndtere oppside/nedside risiko finnes det mange av. Hvis en ved siden av muligheter/trusler betrakter sikkerhet, finnes det veldig mange ledelsessystem som håndterer muligheter/trusler og sikkerhet, og dermed styrer organisasjen.

Standarden ISO 31000:2009 er posisjonert på samme nivå som den før nevnte standarden for kvalitet- og HMS-ledelse. Den er tydelig forskjellig fra disse kjente klassiske standardene. ISO 31000:2009 er den første representanten for den nye generasjonen av standarder for ledelsessystemer. Den er den generelle normen for håndtering av muligheter/trusler. I seg selv er den igjen kun en delvis norm for å håndtere perspektivet oppside/nedside risiko i håndteringen av verdiskapingen. Den har eksplisitt i normteksten formulert krav, at den skal integreres i organisasjonens prosesser. Den virker først når den er integrert og er ikke alene bestemt for implementering og kan heller ikke alene bringe nytte.

 

H1.1.2.1 Oversikt

 

Den nye standardgruppen fra ISO/IEC fra 2009 til risikoledelse omfatter følgende tre standarder:

  • Den internasjonale standarden ISO 31000:2009;
    Risk Management – Principles   and Guidelines.
  • Den internasjonale standarden IEC/ISO 31010:2009;
    Risk Management – Risk Management Techniques
    .
    (blir referert
    til av standarden ISO: 31000:2009)
  • Den internasjonale guiden ISO 73:2009;
    Risk Management – Vocabulary.
    ( blir referert og fullt ut tatt med i standarden ISO 31000:2009)

 

Disse tre standardene lar seg gjengi i korthet som følger:

 

j0078768

 

Standarden ISO 31000:2009; Risk Management – Principles and Guidelines.

  • Topp nivå standarden for risikoledelse.
  • Den generelle definisjonen av risiko med hensyn til mål.
  • Åpningen av perspektivene av sjanser/muligheter.
  • Den forretningsmessige standarden for risikoledelse.
  • Den tverrfaglige standarden for risikoledelse.
  • Grunnprinsippene for risikoledelse.
  • Den generelle risikoledelsesprosessen.
  • Integratoren for alle aktiviteter innen risikoledelse.
  • Tilnærming til risikoledelse på tvers av hele organisasjonen.
  • Grunnprinsippene og retningslinjenefor risikoledelse
  • Tilnærmingen for et integrert ledelsessystem.
  • Anbefalinger for risikoledelse av alle typer.

 

 

Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques

  • Verktøykiste for risikoledelse.
  • Standardisering av metoder for risikoledelse.
  • Ufullstendig, men relevant samling av teknikker.

 

 

Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques

  • Verktøykiste for risikoledelse.
  • Standardisering av metoder for risikoledelse.
  • Ufullstendig, men relevant samling av teknikker.

 

 

Guiden ISO 73:2009; Risk Management – Vocabulary.

  • Ordboken for risikoledelse.
  • Semantikken for risiko.
  • Tverrfaglig forståelse av risiko og risikoledelse.
  • Grunnlag for kommunikasjon om risiko.

 

 

 

 H2. Generelt om ISO:31000:2009

I år 2009 ble ISO:31000 standarden offentliggjort, en ny globalt akseptert standard for risikoledelse – prinsipper og retningslinjer sammen med den nye ISO Guide 73:2009 som definerer det nye vokabularet. Disse ble utviklet gjennom en konsensusdrevet prosess over fire år, gjennom syv utkast, og involverte input fra hundrevis av fagfolk innen risikoledelse rundt om i verden. Den nye standarden støtter en ny, enkel måte å tenke risiko og risikoledelse på, og er ment å starte prosessen med å løse de mange inkonsekvenser og tvetydigheter som eksisterer mellom mange ulike tilnærminger og definisjoner.

Det er 17 år siden den første versjonen av Australia og New Zealand RM -standard, AS/NZS 4360:1995, ble publisert og deretter fornyet i 2004.  Denne standarden dannet grunnlaget for ISO 3100:2009. Den nye internasjonale standarden blir nå i Australia kalt AS/NZS ISO 31000:2009.

Mange organisasjoner har generelt funnet at standarden som bygger på 17 års erfaring fra mange bedrifter rundt omkring i verden gir en veldig praktisk tilnærming til håndtering av risiko som kan bli brukt i bred forstand.

ISO 31000:2009 krever at organisasjonen justerer håndteringen av risiko mot oppnåelsen av organisasjonens mål.

Standarden er støttet av Guiden ISO 73:2009, som gir definisjoner av begreper knyttet til RM, samt ISO/IEC 31010:2009 vurderingsteknikker som gir en oversikt over risikovurderingsteknikker. Sammen støtter disse to dokumentene opp om ISO:31000:2009 og gir organisasjonen en beskrivelse av aktiviteter relatert til håndteringen av risiko, og en konsekvent tilnærming til bruk av RM-terminologien i prosesser og system/rammeverk som omhandler håndtering av risiko.

Guiden ISO 73:2009 gir en grunnleggende ordforråd på definisjonene på generelle begrep knyttet til RM.

ISO Guide 31000:2009 har som mål å fremme en gjensidig og konsekvent forståelse, en helhetlig tilnærming til beskrivelsen av aktiviteter knyttet til håndtering av risiko, og bruk av RM-terminologi i prosesser og rammeverk som omhandler håndtering av risiko.

 

j0078627

 

Guiden ISO 73:2009:

  • Er tenkt som et globalt vokabular av RM-begreper og er skrevet om av samme arbeidsgrupper, parallelt med ISO 31000:2009
  • Gir prinsipper og generelle retningslinjer om prinsipper og implementering av RM.
  • Kan brukes i enhver form for organisasjoner, og er ikke spesifikk for noen bransje eller sektor.
  • Den er ikke ment å bli brukt til sertifisering.

 

ISO:31000:2009 innebærer ikke en sertifiseringsprosess for organisasjoner. På samme måte som ledelsen i en organisasjon ikke kan bli sertifisert mot en standard, er RM utformet i form av prinsipper og retningslinjer for implementeringen, men ikke for sertifisering. Hvordan hver organisasjon driver RM er opp til dem. Sertifisering er ikke standardens hensikt. Det første prinsippet for god RM i den nye standarden stadfester at RM skal tilføre verdi. RM er konstruert med hensyn til prinsipper, attributter (elementer) og retningslinjer for implementering, men ikke for sertifisering. Prosessen med sertifisering kan føre til en etterlevelses- og kulturell holdning til RM som kan redusere eierskapet og ansvarligheten for RM-rammeverket/systemet i organisasjonen.

 

H2.1 Hva kan en organisasjon oppnå med denne standarden:

 

j0078725

 

  • Høyne sannsynligheten for å nå mål.
  • Fremme en proaktiv ledelse.
  • Skape bevissthet for nødvendigheten av å gjenkjenne oppside/nedside risikoer og håndtere de.
  • Gjenkjenne sjanser/muligheter og farer/trusler.
  • Handle i overenstemmelse med lovmessige og regulatoriske krav og internasjonale normer/standarder.
  • Forbedre finansiell rapportering.
  • Forbedre ledelse.
  • Forbedre tillit og troverdighet ovenfor interessentene.
  • Skape et pålitelig grunnlag for beslutninger og planlegging.
  • Forbedre kontrollen (med organisasjonen).
  • Tilordne og bruke ressursene for håndtering av oppside/nedside risiko effektivt.
  • Forbedre effektiviteten (gjøre tingene bedre) og effisiensen (gjøre de riktige tingene) i organisasjonen.
  • Forbedre helse-, miljø- og sikkerhetsstandarden.
  • Unngå tap og forbedre håndteringen av forstyrrelser, negative hendelser og katastrofer.
  • Minske tap.
  • Forbedre læringen i organisasjonen.
  • Forbedre belastbarheten i organisasjonen.

 

H2.2 Proaktiv og praktisk risikoledelse

Den nye standarden ISO 31000:2009, gir et viktig bidrag til styrking av den proaktive tilnærmingen til ERM. Dens føre var (heretter kalt ”Early Warning”- proaktive) funksjon, bidrar til å oppdage muligheter/trusler før de oppstår og håndtere dem effektivt og vellykket.

ERM er alltid stilt overfor et dilemma:

På den ene siden, er det nødvendig at ERM bygger på solid erfaring, på den annen side er det ofte de nye, ukjente risikoene som kan true eksistensen til organisasjonen.

Stilt overfor dette dilemmaet blir det raskt klart at det er ingen løsning kun å fokusere på de nye risikoene: Enhver vellykket ERM er basert på erfaringsverdier. Denne reaktive tilnærmingen må imidlertid kompletteres med en proaktiv tilnærming. Kun i denne kombinasjonen er ERM på lengre sikt vellykket.

 

kikkert

 

Standarden ISO 31000:2009 vil sannsynligvis styrke spesielt denne proaktive tilnærmingen. Siden den proaktive karakteren allerede er opprettet i strukturen i den nye normen, er det mye enklere å implementere denne proaktive tilnærmingen i risikohåndteringen.

 

H2.3 Hensikten med den nye standarden

Beslutningstakere er ukomfortable med løse biter av tilsynelatende samme, men fundamentalt forskjellig informasjon, hentet fra ulike prosesser og med ulike forutsetninger, som er beskrevet ved hjelp av de samme ordene, men som har ulike betydninger. Ut ifra disse grunnene fikk ISO, det internasjonale organ for standardisering i oppdrag, å sørge for konsistens og pålitelighet i risikoledelse ved å lage en standard som vil være gjeldende for alle former for risiko. Dette vil si:

 

 j0078749

  • Et felles begrepsapparat;
  • Et sett av prestasjonskriterier;
  • En felles overordnet ERM- prosess for å identifisere, analysere, evaluere, treffe tiltak og håndtere risiko;
  • Veiledning om hvordan ERM-prosessen skal bli integrert i beslutningsprosesser i forskjellige og ulike organisasjoner.

 

 

H2.4 Definisjonen på risiko og RM i den nye standarden

Under AS/NZS 4360:2004, var definisjonen av risiko «muligheten for noe som skjer som vil få innvirkning på mål«. I ISO 31000:2009 er definisjonen av risiko «effekten av usikkerhet på mål«.
Det vil si ISO 31000:2009 beholder «mål» som et sentralt element i definisjonen og stadfester at risikoledelse fokuserer på strategiske kontroller og organisasjonens prestasjoner. Imidlertid skifter definisjonen fokus fra «hendelsen» (noe som skjer) til «effekten» som er effekten av hendelsen på målene (enten det er å oppnå organisasjonens mål, eller mål i individuelle prosjekter). Definisjonen er ganske enkel og svært relevant for organisasjon som prøver å definere mulighetene/truslene som kan få betydning for oppnåelsen av deres organisasjonsmessige mål. Det innebærer en «top-down» tilnærming der risikoledelse blir et sentralt fokus, og en prosess for å aktivere organisasjonen til å definere og oppnå sine mål.

ISO 31000 kan brukes på alle typer risikoer – med noen forbehold:For det første er den nye definisjonen av risiko: «Effekten av usikkerhet på mål». Merknadene til definisjonen inkluderer: «Mål kan ha ulike aspekter, som for eksempel økonomiske, helse- og sikkerhetmessige, og miljømessige mål, og kan anvendes på ulike nivåer slik som strategisk, hele organisasjonen, prosjekt, produkt og prosess.» Altså må en organisasjon sette mål som er relevante for sin risikoprofil.For det andre må vi forstå hva som menes med usikkerhet. Den femte merknaden til definisjonen av risiko sier: «Usikkerheten er tilstanden, selv delvis, av mangel på informasjon relatert til, forståelse eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet.» Med andre ord, kan usikkerheten være:

  • mangel på informasjon, forståelse, eller kunnskap om den begynnende hendelsen,  endringen i omstendighetene, eller
  • konsekvensene, sannsynligheten for hendelsen, eller
  • flere av disse.

Ordet «kultur» har blitt innbefattet i veiledning med å etablere den interne kontekst, men er også nevnt i den eksterne konteksten.

 

For det tredje må derfor effektiv risikoledelse være et mandat og komme fra toppledelsen hvis det skal være «koordinerte aktiviteter for å lede og styre en organisasjon med hensyn til risiko» (den nye definisjonen av risikoledelse).

 

Risiko har inntil for kort tid siden vært ansett utelukkende som et negativt begrep som organisasjonene bør prøve å unngå eller overføre til andre. Imidlertid er det i dag erkjent at risikoen er et faktum i livet som ikke kan unngås eller fornektes. Hvis vi forstår risiko, og hvordan den er forårsaket og påvirket, kan vi endre den (vi kaller dette risikohåndtering) slik at vi mer sannsynlig oppnår våre mål og kanskje gjennomfører dem raskere, mer effektivt og med bedre resultater.

Risiko er innbefattet i alle valg vi gjør. Hvordan vi gjør disse beslutningene vil påvirke hvordan vi lykkes i å oppnå våre mål. Beslutningsprosesser er en integrert del av hverdagen og ingensteds mer fremtredende enn i en organisasjon i forandring og utvikling. Dette er grunnen til at risikoledelse er så nært knyttet til håndtering av endring og til det å ta beslutninger.

 

j0288975

 

H2.5 Konsekvenser for organisasjoner

Organisasjoner som ennå ikke har implementert et formelt, proaktivt, strukturert ERM-rammeverk eller sliter med å implementere et, vil finne ISO 31000:2009 som en meget nyttig guide. Selv om den ikke er en omfattende arbeidsbok, gir den likevel tilstrekkelig trinn-for-trinn veiledning. Men bruken av ISO 31000:2009 vil kreve endringer i prosesser, redefinerte ansvarsområder osv..

Organisasjoner med et relativt modent ERM-rammeverk og som allerede utnytter AS/NZS 4360 trenger kun å gjøre mindre endringer i regler eller definisjoner, i hovedsak kosmetiske endringer. Det anbefales ERM-ledere å foreta en gjennomgang av deres nåværende ERM-rammeverk/-system og gjøre en «benchmarking» (sammenligning) mot ISO 31000:2009.
Spesielt vil ISO 31000:2009 gi ERM-lederne, internrevisjonen en mulighet til samsvar og styringstiltak i sine organisasjoner. Til å revurdere sine nåværende ERM-rammeverk idet de introduserer de nye begrepene, prinsippene og attributtene (egenskapene) for å revitalisere sine ERM-program/-planer.
Mens ISO 31000:2009 ifølge ekspertene har et par hull, markerer den imidlertid en betydelig milepæl med å harmonisere risikoledelsespraksisen globalt. ISO arbeidsgruppen som utviklet ISO 31000 bør roses for arbeidet med å standardisere området risikoledelse, der det dessverre har vært altfor mye silotekning og silodefinerte begreper, slik at veldig mange har hatt problemer med å kommunisere innenfor området risikoledelse, da mange har snakket ”forbi” hverandre.

 

H2.6 Overgangstips

 

j0078724

ISO 31000:2009 vil påvirke hver organisasjon på forskjellig måte. Som et utgangspunkt, her er et forslag til en ”to do” liste for en myk overgang til ISO-31000:2009:

  • Gjennomgå eksisterende ERM-rammeverk og sammenlign det med de ulike
    elementer i ISO 31000:2009. Husk å ta vare på dokumenterte forbedringer som bevis
    på kontinuerlig forbedring.
  • Oppdater ulike dokumentasjoner for ERM-rammeverk:
    – Referanser til standarder bør endres til ISO 31000:2009.
    – Oppdater viktige begreper og definisjoner.
    – Juster dokumentasjon med andre gjeldende RM-krav
  • Utform ERM-praksiser og ansvar på nytt, og i samsvar med ISO 31000:2009.
  • Kommuniser tillegg og viktige endringer i dokumentasjonen til hele organisasjon.
  • Marker til alle ansatte at organisasjonen nå følger en internasjonal ERM-standard.
  • Engasjer interessenter og spesielt risikoeiere ved å tilby ERM-oppfriskningstrening. Opplæringen skal:
    – Markere de viktigste endringene i ISO 31000:2009, inkludert nye vilkår, de 11 prinsippene og egenskapene/attributtene for forbedret RM.
    – Utheve viktige endringer/foreslåtte endringer i organisasjonens RM-praksis og RM-rammeverk.
  • Anvend repetisjonsøvelser. Risikoeiere burde føle seg positiv til ERM, og risikoledere bør oppmuntre risikoeiere å foreta en gjennomgang av oppside/nedside risikoer og oppdatere sine risikoregistre.

 

 

H2.7 Hva bidrar ISO 31000:2009 til?

 

 j0078716

  • ISO 31000:2009 oppmuntrer til Enterprise Risk Management (ERM)
  • ISO guide 73:2009 definerer vokabularet brukt i ISO:31000:2009 og dette gjør at det globalt blir brukt et enhetlig vokabular istedenfor ”risikobegreper” som brukes av ”silotenkerne”, som det dessverre de er for mange av.
  • ISO 31000:2009 vil erstatte nasjonale RM standarder.
  • ISO 31000:2009 vil guide alle andre ISO/IEC-standarder med hensyn til RM-prosessen.
  • ISO 31000:2009 er en overordnet standard i likhet med ISO 9000 og ISO 14000.
  • ISO 31000:2009 gir prinsipper og retningslinjer for implementering, men ikke for sertifisering.
  • ISO 31000:2009 er en fleksibel veiledning.
  • Hvordan hver organisasjon gjennomfører helhetlig og integrert risikoledelse (ERM) er opp til den enkelte organisasjon.
  • ISO 31000:2009 kan brukes på alle typer risikoer, enten de har positive eller negative konsekvenser.
  • Å følge ISO 31000:2009 vil gi lavere kostnad og større sjanse for å lykkes med ERM.
  • ISO 31000:2009 sine prinsipper og attributter (egenskaper) bør brukes som en «helsesjekk» med hensyn til modenhet av ERM-rammeverket og ERM-prosessen.
  • ISO 31000:2009 tilfører verdi og reduserer risikoene.
  • Tar hensyn til utvikling og forbedring av ERM-rammeverket, samt ERM-prosessen med å håndtere risiko.
  • ISO 31000:2009 kan brukes kontinuerlig i en organisasjon, og i et bredt spekter av aktiviteter, inkludert strategier, beslutninger, operasjoner, prosesser, funksjoner, prosjekter, produkter, tjenester og eiendeler.

 

 

H2.8 Fremtiden og ISO 3100:2009

ISO 31000:2009 redefinerer ”beste-praksis” tilnærming til RM. RM forstås som del av et integrert ledelsessystem, fokusert på prosesser og interessenter. Dermed sikres det, at informasjonsflyten mellom risiko-, kvalitet-, miljø- og IT-ledelse (for å nevne noen av de viktigste) blir forbedret.

Gjennom denne optimaliseringen av informasjonsflyten vil RM vinne stadig mer oppmerksomhet også som en overvåkingsfunksjon, som viser en nøyaktig og aktuelt bilde av organisasjonen.

 

j0078761

Standarden vil sannsynlig bli mye brukt og være innflytelsesrik i en rekke nasjonale og internasjonale settinger. Organisasjonens ledelse bør derfor tilbringe tid til å lese den og absorbere betydningen av det som skrives.

 

En rekke interessenter vil etter all sannsynlighet bruke ISO 31000:2009 og ISO Guide 31000:2009, inkludert:

  • De som er ansvarlige for å implementere RM innenfor organisasjonen.
  • De som trenger å forsikre seg om at organisasjonen håndterer oppside/nedside risiko.
  • De som trenger å håndtere risiko for organisasjonen som helhet eller innenfor et bestemt område eller en aktivitet.
  • De som trenger å evaluere en organisasjons praksis innen håndtering av risiko.
  • De som utvikler standarder, guider, prosedyrer og regler for praksisen, og som helt eller delvis vurderer hvordan risikoen skal håndteres innenfor den spesifikke konteksten av disse dokumentene.

 

Ansatte som er opptatt av den nye standarden bør snakke med toppledelse om fordelene ved effektiv RM – det handler ikke bare om forebygging av skade! (Dette er også nedfelt i ISO 31000:2009). Tilby å utvikle ideer til etablering av et RM-rammeverk. Dette krever arbeid på tvers av organisasjonen.
Hold utkikk etter og spør om usikkerhet og effekten det kan ha på målene. En reaksjon på usikkerhet er rask bedring (tilpasningskapasiteten til en organisasjon i et kompleks og skiftende miljø). Organisasjoner som raskt restituerer seg vet ikke hva som kommer som det neste, men er i stand til å svare på usikkerheter som livet byr på og tilpasse seg endringer.
Den proaktive karakteren til ISO 31000:2009 gjør at RM stadig mer overtar en ”Early Warning” ( proaktiv) funksjon. De velkjente forebyggende tiltakene som risiko normalt blir håndtert med, som å unngå (eliminering, substitusjon) henholdsvis minsking (reduksjon) blir på en hensiktsmessig måte supplementært med å være en proaktiv ”Early Warning” funksjon. Dette betyr at risikoen kan registreres før de oppstår, og også bli håndtert med suksess.

 

 

H3. Relasjonen mellom RM-prinsipper/RM-rammeverk/ RM-prosess

 

 

 

 

 

 

 

prinsipper isosystemet copyiso prosess

Figur H3-1: Forholdet  mellom ulike deler  av RM-rammeverket

 

 

H3.1 Punkt 3 – Prinsipper for risikoledelse og – styring/ Punkt 3 Prinsippene for å håndtere risiko/ Prinsippene for effektiv RM

 

Risikoledelse er en prosess som er understøttet av et sett prinsipper. Risikoledelse må være støttet av en struktur som er tilpasset organisasjonen og dens eksterne omgivelser eller kontekst. Et vellykket risikoledelsesinitiativ bør stå i forhold til risikonivået i organisasjonen (relatert til størrelse, art og kompleksitet) og i relasjon til andre aktiviteter. Den bør være omfattende i sitt omfang, innebygd i rutinemessige aktiviteter og dynamisk ved å være lydhør overfor skiftende omstendigheter.

Denne tilnærmingen vil muliggjøre et risikoledelsesinitiativ som leverer”verdi””, inkludert etterlevelse (compliance) i forhold til gjeldende styringskrav, bekreftelse til interessenter med hensyn til håndteringen av oppside/nedside risikoer og bedre beslutningsgrunnlag.
Virkningen eller fordeler knyttet til “output” omfatter mer effektiv drift, effektive taktikker og effektiv strategi. Disse fordelene må være målbare og bærekraftig.

En stor forbedring i ISO 31000:2009 er tillegget med elleve klare og tydelige utsagn som guide i RM-praktiseringen. Disse er forklart i forhold til prestasjonskriterier og bør følges på alle nivåer i organisasjonen, hvis risikoledelse skal praktiseres effektivt i organisasjonen. I AS/NZS 4360:2004 var disse kun indirekte nevnt.

Disse prinsippene er i praksis de «essensielle kvalitetene« som er nødvendige for at håndteringen av risiko skal være effektivt. Selv om de ikke er «nye», i og med at mange organisasjoner allerede aksepterer og praktiserer disse prinsippene, er den formelle anerkjennelsen i ISO 31000:2009 verdifull.

 

  1. Risikoledelse (RM) skaper og beskytter verdier
    En av de største utfordringene for RM-ledelsen er å vise at RM tilfører verdi. Dette prinsippet anerkjenner at RM hjelper organisasjonen til å nå sine mål.  Når en organisasjon som har satt mål og etablert retningslinjer og prosesser, bruker RM-tenkning vil dette bidra til å maksimere oppsiden (muligheter) og redusere nedsiden (trusler). Fordelene kan for eksempel være økt sannsynlighet for å oppnå mål, forbedret tillitt fra aksjonærer, minimalisere tap, forbedre operasjonell effektivitet og etablere et pålitelig grunnlag for beslutningstaking og planlegging.
  2. Risikoledelse (RM) er en integrert del av organisatoriske prosesser
    RM-aktiviteter skal ikke være atskilt fra de viktigste aktivitetene og prosessene i
    organisasjon. RM-aktiviteter bør være integrert i virksomheten, prosesser og i kontroller på alle nivåer i organisasjonen, og bør være en del av ledelsens ansvar.
  3. Risikoledelse (RM) er en del av det å ta beslutninger
    Hver gang en leder tar en beslutning, er beslutningen eksponert for risiko. Dette prinsippet anerkjenner at god RM, får lederne til å ta bedre beslutninger og dermed minimere truslene og optimalisere mulighetene.
  4. Risikoledelse (RM) adresser klart og tydelig usikkerhet
    Usikkerheten ligger latent i alle organisasjoner, ved å identifisere, analysere og evaluere en rekke farer, er risikoeierne bedre i stand til å implementere kontroller og håndteringer for å redusere sannsynligheten og/eller konsekvensene av usikkerhet, og etablere en mer robust organisasjon.
  5. Risikoledelse (RM) er systematisk, strukturert og aktuell
    I likhet med andre ledelsessystemer, bør RM være planlagt og kontrollert for å sikre effektivitet.  Standarden i seg selv fremmer en strukturert og systematisk RM-prosess og RM-rammeverk for å oppnå konsistente og pålitelige resultater.
  6. Risikoledelse (RM) er basert på best tilgjengelig informasjon
    Nært knyttet til prinsippet for adresseringen av usikkerhet, kan dette prinsippet interpreteres litt som en ansvarsfraskrivelse. Det anerkjenner det faktum at informasjonen ofte er begrenset, kostbart og ufullkomment. Imidlertid vil god RM vurdere informasjon fra mange kilder inkludert observasjoner, erfaringer, prognoser, historiske data, tilbakemeldinger og råd fra eksperter.
  7. Risikoledelse (RM) er skreddersydd
    Mens organisasjoner i en bransje har lignende trusler og muligheter, anerkjenner dette prinsippet at enhver organisasjon er unik, at RM ikke er bestemmende, men må ”passe til” organisasjonen. RM bør vurdere organisasjonens interessenter, kontekst og risikoprofil.
  8. Risikoledelse (RM) tar hensyn til menneskelige og kulturelle faktorer
    Dette prinsippet er nært knyttet til prinsippet om at RM er skreddersydd, der organisasjonens RM-rammeverk bør vurdere kulturelle elementer, internt og eksternt hos interessentene og risikoeiere. Spesielt deres ferdigheter, evner, oppfatninger og intensjoner. Dette prinsippet handler derfor først og fremst om interessenter og risikoeiere, med spørsmålet: Hva innebærer dette for meg? Dette sikrer at RM-aktivitetene er hensiktsmessige.
  9. Risikoledelse (RM) er transparent (innlysende, lett å se, forstå, eller gjenkjenne), og inkluderende
    Interne og eksterne interessenter kan ha en stor innvirkning på organisasjonen. Dette prinsippet anerkjenner behovet for å inkludere interessentene og beslutningstakerne i hele RM-prosessen, og involverer disse allerede når konteksten etableres og risikokriteriene bestemmes.
  10. Risikoledelse (RM) er dynamisk, iterativ (gjentagende) og responsiv
    I en verden som alltid er i forandring, vil en organisasjon ha behov for å reagere på endringer i de interne og ytre omgivelsene. Endring av forretningsstrategi, ledelsens planer, økonomiske disposisjoner og organisatoriske strukturer er viktige. Likeledes må organisasjonens RM-rammeverk og RM-prosesser reflektere disse endringene.
  11. Risikoledelse (RM) muliggjør kontinuerlig forbedring og videreutvikling av organisasjonen
    Dette prinsippet bygger på det siste prinsippet om at RM er dynamisk og gjentagende (heretter kalt iterativ). Det oppmuntrer organisasjoner til å være fleksible og kontinuerlig forbedre RM-rammeverkets modenhet sammen med andre elementer i sine organisasjon for å bygge motstandsdyktighet og kapasitetsmessig maksimere muligheter.

 

 j0078725

 prinsipper iso

Figur 3-2: Prinsipper

 

Se forøvrig hvilke attributter (egenskaper) organisasjonene som ønsker en effektiv RM bør konsentrere seg om.

 

H3.2 Attributter/egenskaper ved forbedret håndtering av risiko

 

“All organizations should aim at the appropriate level of performance of their risk management framework in line with the criticality of the decisions that are to be made. The list of attributes below represents a high level of performance in managing risk. To assist organizations in measuring their own performance against these criteria, some tangible indicators are given for each attribute.” ISO 3100:2009”Alle organisasjoner bør ha som målsetting å ha et hensiktsmessig prestasjonsnivå på sitt RM-rammeverk på linje med viktigheten av de beslutninger som skal gjøres. Listen over attributter nedenfor representerer et høyt nivå på prestasjonen med å håndtere risiko. For å hjelpe organisasjoner i å måle sine egne prestasjoner mot disse kriteriene, er noen konkrete indikatorer gitt for hver attributt”. ISO 3100:2009

 

Som i AS/NZS 4360, anerkjenner ISO 31000:2009 behovet for kontinuerlig å forbedre RM-rammeverket. Imidlertid går den nye standarden videre og lister opp fem nøkkelattributter for et forbedret RM-rammeverk, dette for å hjelpe organisasjoner i å måle sin egen innsats mot disse.

 

Listen over attributter nedenfor representerer en høy grad av forbedringer i prestasjonen av RM.Kontinuerlig forbedring. Det legges vekt på kontinuerlig forbedring av RM gjennom å sette organisatoriske resultatmål, målinger, regelmessig tilbakeblikk og påfølgende endring av prosesser, systemer, ressurser, evner og ferdigheter.’Full ansvarlighet for risiko. Forbedret RM inkluderer omfattende, fullt ut definerte og fullt ut akseptert ansvarlighet for risiko, risikokontroller og oppgaven med å håndtere risikoene. Gjennomført av dedikerte risikoeiere som fullt ut aksepterer ansvarligheten, som er tilstrekkelig opplært og kompetent i RM. Ansvaret bør være klart definert og kommunisert via en jobb beskrivelse. De har tilstrekkelig ressurser og myndighet til å sjekke kontroller, overvåke risikoene, bedre kontrollene og kommunisere effektivt med interne og eksterne interessenter om risikoer og deres håndtering.RM-program for alle beslutningsprosesser. Alle beslutningsprosesser i organisasjonen, (uansett graden av betydning og viktighet) innebærer eksplisitt vurdering av risikoer og vurdering om RM-programmet er korrekt.Kontinuerlig kommunikasjon. Organisasjonen bør ha formelle RM-rapporteringsprosesser på plass. Forbedret RM omfatter kontinuerlig kommunikasjon med eksterne og interne interessenter, inkludert omfattende og hyppig rapportering av betydelig risiko og risikohåndtering, som del av god virksomhetsstyring.Full integrasjon med organisasjonens styringsstruktur. RM blir sett på som sentral i organisasjonens ledelsesprosess, slik at risiko vurderes i forhold til den effekten usikkerhet har på mål. Organisasjonens styringsstruktur og prosess er basert på styring og håndtering av risiko. Effektiv RM regnes av ledere som avgjørende for å nå organisasjonens mål.Mens ISO 31000 ikke kan benyttes for sertifiseringsformål, oppmuntrer den organisasjonene til «benchmarking»(sammenligning) med sin nåværende RM-praksis i henhold til prinsippene, de fem attributtene og prosessene i ISO 31000, og dermed identifisere områder for forbedring og utvikle strategier for forbedringer.

 

 

H3.3 Punkt 4 RM-rammeverket/systemet

 

H3.3.1 Generelt

 

 

 

 systemet copy

Figur 3-3: Rammeverket/systemet

 

I følge ISO Guide 31000:2009 er ERM-rammeverket definert som et sett av komponenter som gir grunnlaget/fundamentet og organisatoriske ordninger for utforming, implementering, overvåking, gjennomgang og kontinuerlig forbedring av risikoledelse i hele organisasjonen.

 

Merknad 1: Fundamentet inkluderer policy, mål, mandat og forpliktelse til å håndtere risiko.Merknad 2: De organisatoriske ordningene omfatter planer, relasjoner, ansvarsområder, ressurser, prosesser og aktiviteter.Merknad 3: ERM-rammeverket/systemet er integrert i organisasjonens overordnede strategiske og operative policyer og praksis.

 

 

“The framework assists in managing risks effectively through the application of the risk management process at varying levels and within specific contexts of the organization. The framework ensures that information about risk derived from the risk management process is adequately reported and used as a basis for decision making and accountability at all relevant organizational levels.” ISO 31000:2009”Rammeverket bistår i å håndtere risiko effektivt gjennom anvendelse av ERM-prosessen på
varierende nivåer og innen spesifikke sammenhenger i organisasjonen. Rammeverket sikrer at informasjon om risiko avledet fra ERM-prosessen er tilstrekkelig rapportert og brukt som grunnlag for å ta beslutninger og for ansvarlighet på alle relevante nivåer i organisasjonen.” ISO 31000:2009

 

I AS/NSZ 4360:2004 var RM-rammeverkets forskjellige komponenter/elementer delvis dekket i seksjonen ”Å etablere effektiv risikoledelse”

Det er viktig å påpeke at ERM-systemet/rammeverket ikke er ment å forskrive et ledelsessystem, men heller å hjelpe organisasjonen å integrere risikoledelse i sitt totale ledelsessystem. Derfor bør organisasjoner tilpasse komponentene/elementene i rammeverket til sine spesifikke behov.

ERM-rammeverket beskrevet i ISO 31000:2009 kan også tilpasses og brukes for å håndtere risiko knyttet til prosjekter. Selv om prosjekter ofte krever en annen tidshorisont og spesialiserte kriterier, er de en kilde til risiko for organisasjonens målsettinger og denne risikoen må håndteres for å sikre at prosjekter leverer verdien som de ble planlagt for.

Et effektiv, strukturert, proaktivt og holistisk orientert ERM-rammeverk er noe som det må jobbes med. Det er ikke noe som ”kun” skjer. Det rette fundamentet må etableres og komponentene/elementene som det består av må justeres etter hvert..
Relasjonene og forholdet mellom de ulike komponentene/elementene i et RM-rammeverk godt belyst og illustrert i ISO 31000:2009 som vist i figuren nedenfor.

 

H3.3.2 Mandat og engasjement

RM er ikke et enkeltstående prosjekt, men en pågående aktivitet/prosess som krever kontinuerlig forpliktelse. Det må være mandat fra styret (eller tilsvarende), gjennomført av toppledelsen og støttes av alle ledelsesnivåer og risikoeiere for å være bærekraftig.

 

 Ledelsen må:

  • Formulere og gi sin tilslutning til RM policyen.
  • Bbestemme RM resultatmål/indikatorer som er i tråd med organisatoriske resultatmål.
  • Sørge for justering av RM-mål, med mål og strategier i organisasjonen.
  • Sikre at juridiske og lovpålagte krav ivaretas.
  • Tildele ledelsen ansvarsområder og oppgaver på riktig nivå i organisasjonen.
  • Sikre at nødvendige ressurser er allokert/tildelt til RM.
  • Formidle fordelene med RM til alle interessenter.
  • Sørge for at RM-rammeverket/-systemet fortsetter å være aktuelt

 

 

H3.3.3 Utforming av rammeverket

Som alle gode prosjekter, prosesser og strategier, må RM-prosesser være godt utformet for effektivt å støtte implementeringen. Det vil si: Definering av konteksten for RM-rammeverket, formulere RM-policy, integrere prosesser i praksis, tildele ressurser og bestemme ansvar. Dette er viktige elementer i utformingen av et effektivt rammeverk for å håndtere risiko.

 

j0078763

 

Godt utformet periodisk rapportering til interessenter og effektiv kommunikasjonsmekanismer vil støtte effektiv implementering:

  • Forstå organisasjonen og dens kontekst.
  • RM-policy.
  • Integrering i organisatoriske prosesser.
  • Ansvarlighet.
  • Ressurser.
  • Etablering av intern kommunikasjon og rapporteringsmekanismer.
  • Etablering av ekstern kommunikasjon og rapporteringsmekanismer.

 

H3.3.3.1 Kontekst

For å lykkes med implementering, støtte og opprettholde risikoledelsesprosessen, er en struktur påkrevd. ISO 31000 refererer til denne strukturen som konteksten for risikoledelse.

 

j0078629

“Before starting the design and implementation of the framework for managing risk, it is important to evaluate and understand both the external and internal context of the organization, since these can significantly influence the design of the framework.” ISO 31000:2009”Før du starter utformingen og implementeringen av ERM-rammeverket, er det viktig å evaluere og forstå både den eksterne og interne kontekst for organisasjonen, siden disse kan ha betydelig innflytelse på utformingen av rammeverket.» ISO 31000:2009

 

 

Evaluering av organisasjonens eksterne kontekst kan inkludere, men er ikke begrenset til:

  • De sosiale og kulturelle, politiske, juridiske, regulatoriske, finansielle, teknologiske, økonomiske, naturlig og konkurransemessige omgivelser, enten internasjonalt, nasjonalt, regionalt eller lokalt.
  • Sentrale drivere og trender som har innvirkning på målene i organisasjonen.
  • Relasjoner med og oppfatninger og verdier eksterne interessenter.

 

 

Evaluering av organisasjonens interne kontekst kan inkludere, men er ikke begrenset til:

  • Styring, organisering, roller og ansvarsområder.
  • Retningslinjer, mål og strategier som er på plass for å nå de.
  • Evner, forstått i form av ressurser og kunnskap (f.eks. kapital, tid, mennesker, prosesser, systemer og teknologier).
  • Informasjonssystemer, informasjonsflyt og beslutnings-prosesser (både formelle og uformelle).
  • Relasjoner med, oppfatninger, verdier og interne interessenter.
  • Organisasjonens kultur.
  • Standarder, retningslinjer og modeller vedtatt av organisasjonen.
  • Formen og omfanget av kontraktsmessige forhold.

 

H3.3.3.2 Policy

Se Guide B8 vedlegg B og Guidene A og B ”Praktisk Enterprise Risk Managements” innhold.

 

H3.3.3.3 integrering i organisatoriske prosesser

Se Guidene A og B  ”Praktisk Enterprise Risk Managements” innhold.

 

H3.3.3.4 Ansvarighet

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

H3.3.3.5 Ressurser

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

3.3.3.6 Intern Kommunikasjon

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

3.3.3.7 Ekstern Kommunikasjon

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

H3.3.4 Implementering av risikoledelse

Når ERM-rammeverket er utformet, handler implementeringen om å gjennomføre teorien i praksis og faktisk realisere RM-rammeverket. Konkret handler dette om å sikre at ERM-prosessen er forstått av risikoeierne (gjennom god kommunikasjon og opplæring), og at risikoledelsesaktiviteter faktisk finner sted (gjennom risikovurderinger, risikoworkshop, internkontroll etc.) og at beslutninger og forretningsprosesser faktisk henspeiler risikotenkningen i organisasjonen.

 

 j0078749

Det vil si :

  • Å definere en passende timing og strategi for gjennomføring av rammeverket/systemet.
  • Å bruke RM-policy og RM-prosess til den organisatoriske prosessen.
  • Å overholder lover og regler.
  • Dokumentert begrunnete beslutningsprosesser, herunder utvikling og fastsettelse av mål som er justert i forhold til utfallet av ERM-prosessen.
  • Å holde informasjons- og opplæringsseminarer.
  • Å kommunisere og rådføre seg med interessenter for å sikre at ERM-rammeverket/ systemet fortsatt er aktuelt.

 

 

H3.3.5 Overvåking og gjennomgang av rammeverket

Innebærer en bekreftelse på at de ulike risikoledelseselementer og -aktiviteter faktisk virker effektivt i tråd med forventningene.  Eventuelle hull som identifiseres må dokumenteres og korrigeres:

 

Det vil si:

  • Å etablere resultatmål.
  • Periodisk å måle framgang mot, og avvik fra RM-planen.
  • Periodisk å vurdere om RM rammeverket/-systemet, RM-policyen og RM-planen fortsatt er tatt hensyn til.
  • Regelmessig å vurdere om organisasjonens interne og eksterne kontekst er tatt hensyn til.
  • Å rapportere om risiko, fremdrift i henhold til RM-planen og undersøke hvor godt RM-policyen blir fulgt.
  • Å gjennomgå effektiviteten av RM- rammeverket.

 

 

H3.3.6 Kontinuerlig forbedring

Dette handler om å finpusse og forsterke viktige elementer av RM-rammeverket til enten å forbedre eksisterende prosesser og/eller fremskritt mot et mer modent RM-rammeverk. En meget målrettet organisasjon vil forbedre sine prosesser og dermed modnes over tid.

 

H3.4 Punkt 5 RM-Prosessen

 iso prosess

Figur 3-4: Prosessen

 

H3.4.1 Generelt

 

I følge ISO Guide 31000:2009 er RM-prosessen definert som systematisk bruk av policyer, prosedyrer og praksis til aktivitetene med å kommunisere og konsultere, etablere konteksten, og å identifisere, analysere, evaluere, treffe tiltak(håndtere), overvåke og gjennomgå risiko.

 

j0078761

 

Videre beskrives det i ISO 31000:2009 at:” The risk management process should be:

  • an integral part of management,
  • embedded in the culture and practices, and
  • tailored to the business processes of the organization.”

Risikostyringsprosessen bør være:

  • en integrert del av ledelse,
  • innebygd i kulturen og praksis, og
  • skreddersydd til forretningsprosessene i organisasjonen.

 

ERM-prosessen i ISO 31000:2009 er identisk med AS/NZS 4360:2004 og den nyere AS/NZS ISO 31000:2009.

 

ISO 31000:2009 og AS/NZS ISO 31000:2009 inneholder begge fem prosesstrinn (hovedaktiviteter) samt to kontinuerlige prosesser, kommunikasjon og konsultering samt overvåking og gjennomgang. Selv om noen hevder det er nødvendig å starte med kommunisering- og konsultasjonsfasen, og andre med å etablere konteksten, er dette ikke et flytdiagram, eller en start- og- fullføringsprosess. Du kan starte hvor som helst og gå fremover og bakover. Men i våre bøker: ”Praktisk Enterprise Risk Management” starter vi med konteksten.

Konteksten som organisasjon opererer i kan betraktes som det generelle forretningsmiljøet, den består av ekstern og intern RM-kontekst. På dette stadiet blir kriterier for risikoevaluering utviklet og strukturen for resten av prosessen avtalt. De neste fasene/trinnene er, som en del av risikovurderingen: Risikoidentifisering, risikoanalyse og risikoevaluering.

Risikoidentifisering handler om å spørre hva som kan skje, når, hvordan, hvorfor og med hvem. En velkjent risiko vil gi mye av den informasjonen beslutningstakere trenger å vite. For eksempel: Den manglende evne til å rekruttere og beholde kompetente medarbeidere til å jobbe på et prosjekt vil virke inn på målet,  et vellykket prosjekt som gir godt resultat.

I risikoanalysen blir omfanget av konsekvenser og sannsynligheten for hendelsen vurdert, og de nåværende kontrollene blir vurdert med hensyn til effektivitet. Det er også nyttig med en vurdering av konsekvenser og sannsynlighet hvis alle kontrollene svikter. Forskjellen mellom ukontrollert og kontrollert grad av risikokonsekvensene illustrerer hvor viktig kontrollene er.
Risikoevaluering innebærer å ta beslutninger om risikoer, hvilke som trenger håndtering, og hva er prioriteringene. Dette krever sammenligning av analysert risiko for risikokriterier utviklet i sammenheng med konteksten. Toleransen med hensyn til en risiko vurderes også her. Ytterligere analyser er ofte nødvendig før en tar beslutninger vedrørende håndteringen.
Standarden ISO 3100:2009 drøfter også vurderingen av muligheter for håndtering, det å utvikle håndteringsplaner, og behovet for nøye å overveie store/små hendelser med hensyn til sannsynlighet.
På hvert stadium i denne prosessen er det viktig å kommunisere og rådføre seg med interessenter, overvåke og gjennomgå hele prosessen.

 

H3.4.2 Den sentral rollen som interessenter har

 

Hvis man betrakter RM-prosessen i ISO 31000:2009 (Figur 1= se vanlig tegning for prosessen), ser vi at den anerkjenner betydningen av tilbakemelding i form av to mekanismer- to parallelle prosesser, nemlig av:

  • Kommunisering og konsultasjon
  • Overvåking og gjennomgang

 

Men disse kan også betraktes som en del av ERM-rammeverket/ERM-systemet.

 

Et viktig trekk ved ISO 31000:2009 er at tilnærmingen til risikoledelse tydelig og klart orienterer seg etter Interessenter eller «grupper med krav”. Under interne interessenter forstås for eksempel medarbeidere, ledere og toppledere. Ved eksterne interessenter dreier det seg for eksempel  om kunder, Investorer, konkurrenter, leverandører, myndigheter, samfunnet, frivillige organisasjoner og medier.

 

 iso prosess

Figur 3-5: Prosessen – paralellprosessene-kommunisering og konsultasjon og overvåking og gjennomgang

 

Rapportering og offentliggjøring er bare veldig kort omtalt i ISO 31000 og de er ikke inkludert i prosessen som er vist i Figur 3. Heller ikke er overvåking og gjennomgangs- tilbakemeldingsaktiviteter beskrevet i ISO 31000. ISO 31000 nevner ikke eksplisitt oppgavene med å overvåke risikoprestasjonen og gjennomgår RM-rammeverket.

 

H3.4.3 Parallellprosessen kommunisering og konsultering

I ISO 31000:2009 blir interessenttilnærmingen forankret i en uavhengig parallellprosess, i kommunisering og konsultering. For å forstå de karakteristiske trekkene ved denne parallellprosessen, er følgende viktig: Å kommunisere med interessenter vil fremfor alt si å lytte oppmerksomt til hvilke spørsmål, behov, forventninger og også engstelser de har i forhold til risikoorienterte produkter og prosesser. Og først i annen instans går det om også å svare interessentene. På samme måte må også begrepet konsultasjon bli beskyttet imot en misforståelse: Konsultasjon har primær betydningen å lytte til en ekspert, søke råd, og først sekundært, selv gi en sakkyndig uttalelse. Denne dobbeltrollen av begrepene kommunisering og konsultering er sentral for å forstå ISO 31000:2009

 

j0078724

 

Gjennom interessent tilnærmingen, i tillegg til informasjon fra eksperter (konsultering), som også involverer alle relevante interne og eksterne interessenter, er det klart at en kvalifisert risikodialog blir resultatet. Gjennom denne kommunikasjonen og konsultasjonen blir ERM-systemet/-rammeverket til et kommuniserende, proaktivt og lærende ledelsessystem.

 

Denne proaktive karakteristikken har tre store fordeler:

  • Interne interessenter: Medarbeidere har muligheten for i tilstrekkelig grad å kommunisere sine erfaringer, observasjoner og refleksjoner innen RM-prosesser. På denne måten blir de til reflekterte og bevistenkende medarbeidere. De ansvarlige risikoeierne blir vel informert mht. de reelle risikoene som eksisterer. Gjennom en slik proaktiv tilnærming kan en omfattende sikkerhet og risikokultur over tid bli utviklet og fremmet.
  • Eksterne interessenter: Gjennom den proaktive tilnærmingen beskytter organisasjonen seg ·mot mange negative overraskelser. I dagens informasjonssamfunn er en viktig suksessfaktor for organisasjonen, at det implementerte ERM-systemet/-rammeverket støtter seg på et solid informasjons-fundament.  Kun de informasjoner kan behandles som også blir registrert. Selvfølgelig er det viktig, at denne informasjonen er analysert og evaluert med hensyn til sin relevans.
  • På grunnlag av en slik strukturert informasjons-bearbeiding oppstår et ERM-systems sterke proaktive funksjoner, som ikke minst ofte oppfyller funksjonen med ”early-warning”.

 

 

H3.4.4 Parallellprosessen overvåking og gjennomgang

Den andre parallelle prosessen overvåking og gjennomgang har en sentral støttefunksjon i RM-prosessen. Mens den første prosessen handler om en åpning av ERM-prosessen, muliggjør prosessen overvåking og gjennomgang en fokusering på nøkkeltall, sammenligningstall og andre indikatorer av RM-prosessen.

 

Dette fokuset blir implementert med en rekke forskjellige tiltak:

  • RM-prosesser baserer, som alle ledelsesprosesser på¨ en kontinuerlig forbedringsprosess.
  • Risikoledelse kontrolleres jevnlig, for eksempel om den valgte tilnærmingen og risikopolicyen er avstemt med de interne og eksterne kravene som organisasjonen står ovenfor.
  • Sist men ikke minst, blir også effektiviteten av RM-prosesser og tilstrekkeligheten av kontrollprosessene gjennomgått.

 

Det karakteristiske trekket ved disse inspeksjonsprosessene, er at disse ikke først finner sted til slutt etter at tiltakene for risikoene(risk treatment) har funnet sted, men som en parallell prosess som i identifisering av risikoene.

 

H3.4.5 Early Warning ( proaktive) indikatorer

Gjennom denne tette oppfølgingen av RM-prosessen resulterer det allerede på et tidlig stadium av ERM-prosessen viktige tilbakemeldinger.

 

j0078802

To eksempler illustrerer dette:

  • En organisasjon kan merke en økt grad av kritiske artikler om et av dens produkter i media.  Denne kritiske rapporteringen kan føre til at, selskapets omdømme/image på mellomlang og lang sikt vil lide. Et slikt omdømmetap kan ha en direkte innvirkning på salgstallene. Selv om det er vanskelig på forhånd økonomisk å fastslå hva omdømmetapet koster, så vil det på bakgrunn av de to parallellprosessene i ISO 31000:2009 være galt å ignorere denne risikoen.  I stedet vil en interesseanalyse ved hjelp av indikatorer bedre være i stand til å få oversikt over omdømmerisikoen. Slike refleksjoner burde med fordel allerede være en del av risikoidentifiseringen.
  • Hvis et leverandørselskap til bilindustrien innen kort tid holder tilbake et visst antall styringskomponenter, er ikke dette kun et kvalitetsproblem som isolert kan løses. Svært ofte er det også et Early Warning signal for RM-systemet/-rammeverket. Det bør vurderes om en tilbakekalling av et produkt er nødvendig. Spesielt ved en tilbakekalling av et produkt er faktoren tid viktig: Tid er penger, derfor har Early Warning indikatorer en viktig rolle innen risikoledelse.

 

 

 

4. Sluttbemerkninger

Første utkast av standarden var basert på mange kilder til informasjon. For eksempel risikoledelsesprosessen kom fra Australias og New Zealands Standard, AS/NZS 4360 som i løpet av de siste 20 årene og gjennom tre revisjoner og oppdateringer, hadde blitt den mest brukte standarden for risikoledelse i organisasjoner. I tillegg ble punkt 4 om implementering gjennom integrasjon basert på en elegant tilnærming, ved hjelp av organisatorisk forbedringssyklus i den østerrikske standard. Den endelige versjonen av ISO 31000 inneholder imidlertid svært lite av den opprinnelige teksten fra andre standarder. Den var omskrevet, gjennomgått og revidert så mange ganger at den nå virker helt homogen og selvbærende.

Selvfølgelig, til tross for anstrengelsene til så mange mennesker over så lang tidshorisont, er det alltid muligheter for forbedring og tillegg. Det mest presserende behovet, er imidlertid å utvikle en praktisk veiledning om implementeringen av standarden, noe ISO vurderer nå.

Arbeidet med å revidere standarden startet allerede i 2010.

 

Grant Purdy som er en av støttespillerne av ISO 31000:2009 mener at det på følgende områder trengs oppmerksomhet med hensyn til å forberede veiledningen:

  • Arbeidsgruppen må unngå å bli få fanget i debatten om risikoappetitt og risikotoleranse. Disse to misbrukte terminologiene reflekterer forvirrende konsepter og dårlig argumentasjon som er sponset av det dårlig funderte COSO ERM-rammeverket.  Selv en fersk gjennomgang av corporate governance (virksomhetsstyring) i finansiell sektor av Baselkomiteen for banktilsyn sier at det er ingen konsensus i den sektoren på hva de betyr, og forskjellen mellom dem.
    ISO 31000:2009 har vedtatt en mer pragmatisk tilnærming som krever at organisasjonen utleder og angir eller adopterer risikokriterier som grunnlag for sine beslutninger. Det er imidlertid ytterligere et klart råd å fjerne all tvetydighet om dette konseptet.
  • Arbeidsgruppen lot være uløst spørsmålet om risikohåndtering/risikotiltak burde fortsette inntil et eller annet risikokriterium var nådd eller om, selv for lav risiko, hvis kost-nytte fordel var ønskelig, om ytterligere risikohåndtering/risikotiltak bør finne sted. Den tidligere tilnærmingen oppstår i helse-, sikkerhet-, og miljølovgivning, og sistnevnte fra virksomhetens forbedringsprosesser. Disse to tilnærmingene er ikke nødvendigvis uforenlige, men kan bli smidigere avstemt.
  • Selv om beskrivelsen av ERM-rammeverket i punkt 4 i standarden er ganske kortfattet, er det likevel fortsatt noen elementer som kan forenkles, slik at rammeverket og implementeringen blir mer forståelig og mindre byrdefull for mindre, enklere organisasjoner.

 

Selv om det er alltid er rom for forbedring, representerer utgivelse av ISO 31000:2009 og ISO Guide 73:2009 en svært viktig milepæl for folk til å forstå og utnytte usikkerhet. Et enestående antall på 25 land stemte for standarden, der kun Italia stemte imot, og allerede har det formelt vært adoptert av mange land for å erstatte deres nasjonale standarder, noe som forårsaker at andre standardiseringsorganer reviderer sine dokumenter. Som et eksempel, har institutt for internrevisjon allerede publisert en guide til planlegging og gjennomføring av risikobasert revisjons- og bekreftelsesaktiviteter ved hjelp av ISO 31000 og sammenkalte i august 2010 et ”lederskapsforum” for å avgjøre sin framtidige policy med hensyn til risikoledelse.

Nye standarder starter på nytt med mål og måter å tenke på og det er utvilsomt at utgivelsen av ISO 31000 nå krever at alle risikoledelsesutøvere må undersøke sin nåværende måte å jobbe på og språket de bruker. Slik at deres kunder, som står overfor beslutninger, kan innhente enkel, konsekvent, nyttig og entydig informasjon. Større konsistens i definisjoner og prosess kan bare føre til større trygghet i beslutningsprosesser og til slutt til bedre beslutninger.

 

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

OLYMPUS DIGITAL CAMERA

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: