ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

 

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A11  Vedleggsoversikt

 

 

 

 

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg	Tekst	Guide A	GuideB
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon.»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE).		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

Guide A Modul B11  Vedlegg G Nøkkelreferanser/standarder

 

INNHOLDSFORTEGNELSEN G. NØKKELREFERANSER/STANDARDER 2 G1 HVA KAN STANDARDER BRUKES TIL? 2 G2 ISO 31000:2009 3 G3 BS 31000:2008 3 G4 COSO II 4 G5 AS/NZS/ISO 31000:2009 4 G6 FERMA 5 G7 BASEL II/III OG SOLVENCY II 5 G8 DELVISE RAMMEVERK 6

 

Risk Management (RisikoLedelse) er en hurtig voksende disiplin, og det er mange forskjellige synspunkter om beskrivelser av hva Risk Management (RisikoLedelse) omfatter, hvordan prosessen bør gjennomføres, og hva formålet er.

Det er verdt å merke seg at Risk Management oversatt til norsk vil si RisikoLedelse og ikke oversettelsen RisikoStyring som svært mange norske risikomiljøer  benytter, men ikke svenske og danske risikomiljøer som benytter den riktige oversettelsen RisikoLedelse ).

Risk Management (RisikoLedelse) er en del av styrets og ledelsens filosofi og ledelsesverktøy .

Dessuten går det om både oppsiden og nedsiden av en risiko, og ikke kun nedsiden som det i svært mange norske risikomiljøer ensidig er fokus på. Dvs. konsekvensene av en risiko kan både være positiv (mulighet) og negativ (trussel). Dvs. det handler om innovasjon og nytenkning.

Se forøvrig Guide A og B for nærmere informasjon om forskjellen på RisikoLedelse og RisikoStyring.

 

 

Det er et klart behov for en felles standard for å sikre, at det er enighet om: Terminologien i forbindelse med ord og uttrykk som blir anvendt. Den prosess, som anvendes i forbindelse med Risk Management (RisikoLedelse). Organisasjonsstrukturen for Risk Management (RisikoLedelse). Formålet med Risk Management (RisikoLedelse).

 

 

Vesentlig er det, at standarden anerkjenner, at det både er positive og negative aspekter ved en risiko.

 

G1 Hva kan standarder brukes til?

 

Standarder kan være en god måte å finne ut hva som er god eller beste praksis på et område. De kan gjøre din bedrift mer effektiv, du kan følge en bevist prosess snarere enn å finne opp en selv. De definerer begrepsapparatet og støtter dermed kommunikasjonen. Organisasjonen kan sammenligne seg med andre og hva de leverer og sette seg mål for forbedring. Organisasjonen kan bruke dem som bevis på organisasjonens evner og forbedringer. Internt kan de hjelpe organisasjonen med å sette mål og oppnå et budsjett.

 

Våre håndbøker har så vidt det er mulig brukt terminologien som “International Organization for Standardization (ISO)” har sammenfattet i sitt dokument i ISO 31000:2009 og den tilhørende ISO Guide 73:2009. Imidlertid er det viktig, også rent historisk, å peke på en rekke ERM-rammeverk som ellers florerer, og også delvise rammeverk.

 

Noen standarder, slike som ERM-standarder er ikke obligatorisk, eller blir benyttet til sertifisering. Imidlertid, ved å handle i overensstemmelse med disse standardene demonstrerer organisasjonen at de følger beste praksis. Når en organisasjon praktiserer et ERM-system/-rammeverk, og standarder, kan de også implementere ERM mer effektivt og forberede aspekter innenfor ERM som kan bli obligatoriske.

 

 

ERM-prosessen som organisasjonen praktiserer har blitt gjenstand for økt regulatorisk og privat granskning, fordi risikoer stimulerer vekst og muligheter (oppsiden) som den potensielle nedsiden av tap. ERM-rammeverk og standarder gir en organisasjon tilnærminger for å identifisere, analysere, evaluere, velge tiltak og overvåke risikoer innen den interne og eksterne konteksten som den opererer i. Overensstemmelse med den antatt beste praksis representert av ERM-rammeverkene og standardene demonstrerer at en organisasjon håndterer risiko på en hensiktsmessig måte.

 

Hvordan en organisasjon praktiserer eksterne rammeverk og standarder avhenger av dennes natur. Noen ERM-rammeverk og standarder (ISO 31000:2009, BS 31100, ISO AS/NZS:2009, FERMA og COSO II) er ikke obligatoriske uten at en klient eller kunde kontraktsmessig forlanger det. De er imidlertid ansett som beste praksis for implementering av risikoledelse.Andre rammeverk/system forlanges. For eksempel må offentlig selskaper som er på børs i USA, handle i henhold til Sarbanes Oxley Act fra 2002 (SOX). På samme måte må europeiske banker handle i henhold til Basel II. Nå også Basel III, mens europeiske organisasjoner må handle i henhold til Solvency II.

 

G1 ISO 31000:2009

ISO 31000:2009 er en publikasjon som ble utgitt i november 2009 av den internasjonale organisasjonen for standardisering, en organisasjon som etablerer internasjonale standarder på mange forskjellig forretningsmessige områder. Dette inkluderer retningslinjer og prinsipper for å implementere risikoledelse og blir støttet opp om ved hjelp av vokabular og dokumenter som beskriver implementeringsmetoder.

ISO 31000:2009 gjør en internasjonal standard for risikoledelse tilgjengelig, likeså som en vanlig tilnærming til risikoledelse som er gjeldende innen alle bransjer. Den fokuserer på vanlig aksepterte prinsipper. Møte bestemte mål, målsettinger og viktigheten av kommunikasjon om oppside/nedside risikoer. Samlet vektlegger standarden at risikoledelse er integrert i en organisasjons strukturer, strategier og mål.

ISO 31000:2009 inneholder tre hoveddeler: Prinsipper, rammeverk, og prosesser for å håndtere risikoer.

Prinsippene er rotfestet i risikoledelse, er konstruert for å generere verdi, skanner kontinuerlig og reagerer på foranringer omgivelsene.

Rammeverket inneholder elementer basert på utformingen av risikoledelsesprogram/-plan, implementering og overvåking. Prosessene som er nødvendige for risikoledelse vektlegger betydningen av kommunikasjon, kontekst, risikoevaluering, håndtering (tiltak) og oppfølging (overvåking og gjennomgang).

ISO 31000 31000:2009 er et beskrivende dokument som bør følges og som bør bli supplert med terminologi, krav, retningslinjer og verktøy spesielt for en bransje og/eller land.

 

 

 

ISO/IEZ Guide 73:2009 gir organisasjonen slik en terminologi. ISO 14001 dekker informasjons-teknologien. Skjønt ISO 31000:2009 ikke kan brukes i sertifisering, kan andre ISO standarder slike som ISO 14001 benyttes til dette.

 

G3 BS 31000:2008

I 2008, kom den britiske standarden, som var tilnærmet den senere utgitte ISO:3100:2009, som en fremgangsmåte for å praktisere risikoledelse. Standarden etablerte prinsipper og terminologi for risikoledelse og gir anbefalinger for modell, rammeverk, prosess og implementering av risikoledelse.

BS 31000 er tenkt å være en skalerbar standard som kan bli brukt av individer, ansvarlige for risikoledelsesaktiviteter i organisasjoner i alle bransjer og størrelser som en basis for å forstå, utvikle, implementere, og opprettholde en adekvat risikoledelse.

Bruken av standarden avhenger av organisasjonens kontekst og kompleksitet.

 

Standarden har fire primære mål:

• Sikre at organisasjonen når sine mål.
• Sikre at risikoene er håndtert på spesifikke områder eller aktiviteter.
• Overvåke risikoledelsen i organisasjonen.
• Gi ”fornuftig bekreftelse” på organisasjonens risikoledelse.

G4 COSO II

The committee of Sponsonsering Organization of the Treadeway Commission (COSO) publiserte COSO Enterprise Risk Management – Integrated Framework (kjent som COSO II eller COSO ERM) I 2004. COSO II definerer ERM som en prosess som drives av organisasjonens styre som etablerer en helhetlig organisasjonsmessig strategi for å håndtere risiko innen sin risikoappetitt.

COSO II formidler en effektiv mekanisme for å initiere en dialog mellom styret og toppledelsen om etableringen av ERM-mål som del av den strategiske ledelsesprosessen. Den dukker ikke ned i detaljer om risikoledelsestilnærminger og prosesser. Imidlertid fokuser den på trusler mot organisasjonen og mekanismer for kontroll. Derfor er COSO II  sitt fokuserte klientell en organisasjon som er stor nok til å forlange undersøkelsen av risikoappetitten og styrets retning vedrørende ERM-strategi.

 

 

G5 AS/NZS/ISO 31000:2009

Risikoledelse, en felles standard for ERM i Australia og New Zealand er nå kjent som AS/NZS/ISO 31000:2009 tidligere kjent som AS/NZS 4360, publisert i 2004 som et generelt rammeverk for å håndtere risiko. AS/NZS/ISO 31000:2009 er utformet for direktører, utvalgte nøkkelmedarbeidere, utøvende ledere, seniorledere, linjeledere og medarbeidere for en rekke forskjellige organisasjoner.

 

 

Offentlige organisasjoner på lokalt, regionalt og nasjonalt nivå. Kommersielle bedrifter, joint ventures firmaer og franchisefirmaer. Partnerskap og personlige firmaer. Ikke offentlige organisasjoner. Frivillige organisasjoner som veledighetsorganisasjoner, sosiale grupperinger og idrettsforeninger.

 

Denne miksen av organisasjoner krever en tilpasningsdyktig risikoledelsestilnærming, som er lett å forstå og implementere. Derfor har AS/NZS/ISO 31000:2009 kun til hensikt å gi en bred oversikt over risikoledelse. Det forventes av organisasjoner at de interpreterer guiden i konteksten ut ifra sine egne spesifikke omgivelser (miljø) og utvikler sin egen spesifikke ERM-tilnærming.

AS/NZS 436:2004, Risk Management Guidelines Companion to AS/NZS 4360:2004 hjelper til med å implementere standarden i organisasjonen. Her kan vi etter hvert forvente en ny versjon i tråd med AS/NZS ISO 31000:2009.

HB 158-2010 – Levering av bekreftelse (”Delivering assurance”), basert på AS/NZS ISO 31000:2009 ble utviklet i felleskap, av risikoledere og revisorer. HB 158-2010 ble utarbeidet for å hjelpe revisorer til å oppfylle sine forpliktelser med å revidere risikoledelse i organisasjoner, i overenstemmelse med AS/NZS ISO 31000:2009  standarden.

The standard Australia/Standard New Zealand Joint Technical Committee on RM har adoptert ISO 31000:2009 som AS/NZS/ISO 31000:2009. Den eneste forskjellen mellom disse dokumentene er at det i innledningen diskuteres overgangen fra 4360 til 31000.

Singapore, Østerrike og Canada har sine egne rammeverk, som liberalt innlemmer konsepter og trinn fra eksisterende rammeverk. Andre land, stater eller provinser vil trolig adoptere ERM over tid. Individuelle lovverk vil implementere en modifisert versjon av eksisterende rammeverk eller tilnærmet å imitere andre lands rammeverk. I Frankrike er en obligatorisk implementeringsguide publisert av ”Association Francaise de Normalisation (AFNOR), ISOs franske tilknyttede selskap.

 

G6 FERMA

The Federation of EuropeanRisk Management association (FERMA) består av nasjonale RM-forbund, individuelle risikoledere fra sentrale europeiske land og representanter fra helse organisasjoner, utdannelsesektorer og offentlig sektorer. FERMA adopterte ”The Risk Management Standard”, som ble publisert i UK i 2002.

 

Standarden har forskjellige elementer: Etableringen av ensartet terminologi. En prosess der risikoledelse kan bli utført. En organisert risikoledelsesstruktur. Risikoledelsesmål.

 

Standarden som er laget for offentlige og private organisasjoner, anerkjenner at risikoer både har en oppside (mulighet) og en nedside (trusel). Dens komponenter tillater organisasjonene å rapportere i overenstemmelse med beste praksis.

 

G7 Basel II/III og Solvency II

Basel II og III ble laget av ”Thue Basel Comittee on Banking Supervision” i 2004 og vidreført etter finanskrisen i 2008 for å gi råd vedrørende lovverk og reguleringer med hensyn til banker. Den etablerte en internasjonal standard som regulatorer av banker kan bruke, når de lager reguleringer i forhold til det kapitalbeløpet bankene trenger, for å ha en reserve i forhold til de finansielle og operasjonelle risikoene de står overfor. Denne standarden er tenkt å beskytte det internasjonale finanssystemet fra problemer, som kan oppstå hvis en større bank eller en serie av banker er i ferd med å kollapse.

Basel II etablerer risiko- og kapitalhåndteringsregler designet for å sikre at bankene holder kapitalreserver hensiktsmessig, i forhold til de risikoene som banken antar gjennom sin utlåns- og investeringspraksis. Jo større volatilitet bankens portefølje har, desto større er beløpet av kapital som banken trenger for å sikre sin soliditet.

Den 16. desember 2010 la Basel-komiteen frem de nye standardene for regulatoriske minimumskrav til kapital og likviditet for bankene – også kalt Basel III. I all hovedsak er dette kjent stoff, men det var noen nyheter. Blant annet ble formelverket for de økte kapitalkravene for motpartsrisiko kjent, og beregningsmetoden for minimumskravet til likviditet er noe endret.

Baselkomiteens plan var å framsette et endelig regelverk mot slutten av 2010 for innføring mot slutten av 2012. (Kalles stadig oftere: Basel III)

Det legges vekt på å unngå negative effekter på bankenes utlånsaktivitet slik at ikke stabilitet og økonomisk oppgang trues. Forøvrig: se Guide A  Enhet 3.1.5 for nærmere detaljer.

Solvency II utviklet av ”The European Commision” i 2007 (noen ganger referert til som ”Basel II” for forsikringsbransjen), innolder regulatoriske krav til forsikringsfirmaer som opererer i EU. Den legger til rette for utviklingen av et indre marked av forsikringsbransjen i Europa, mens den gir adekvat beskyttelse for kundene.

 

G8 Delvise rammeverk

Det finnes andre rammeverk som ikke betraktes som ERM-rammeverk, men som guider i spesifikke bransjer og sektorer. Disse delvise rammeverkene profilerer sannsynlige statlige og regulatorers grep, vedrørende systemiske risikospørsmål som kan ha en effekt på hele økonomien eller spesifikke sektorer.

 

Slike delvis rammeverk inkluderer disse: Direktivet IPPC 96/61/CE datert september 24, 1996 (Integrated Pollution Prevention and Control) – Pålegger alle medlemslandene i EU en felles integrert tilnærming til å vurdere miljømessige påvirkninger fra industrier med høy miljøforurensning. ISO 14001:2009 (Environmental Management System Requirements with Guidence for USE) – Foreslår en metode for å inkludere miljøhåndtering innen ERM-prosessen I en organisasjon. OSHAS 18001 (Occupational Health and Safety Assessment Series) – Foreslår en serifiserings- og evalueringsprosess for organisasjonsmessig HMS-program som er i samsvar med andre internasjonale ledelsessystemer (inkludert miljø og kvalitet). EN ISO 17776:2000 (Petroleum and Gas Industries-Offshore Production Installations)- Gir hjelp til verktøy og teknikker for identifisering av fare og risikovurdering. ISO 17666:2003 (Space Systems Risk Management) – Foreslår en integrert tilnærming til å håndtere risikoer assosiert med romprosjekter og som er i samsvar med beste praksis for å håndtere slike prosjekter. ISO 14971:2007 (Medical Device-Appication of Risk Management Devices) – Ble EN ISO 14971:2009 da ”The European Centre for Normalization” valgte å gjøre den til en europeisk standard for å håndtere risikoer i løpet av hele livssyklusen til medisinske enheter. ISO/EIC 27000 (Information Technology – Security Techniques-Information Security Management Systems-Overview and Vocabulary)-Ny informasjonsstandard publisert i samarbeid med ISO og International Electronical Commision.

 

Som sagt disse standardene definerer ERM-systemet og -prosessen.  Inkluderer faser og trinn som: Internt miljø, mål, strategier, etablering av ERM-kontekst, identifisering, analysering, evaluering, risikotiltak, risikorapportering, håndtering og overvåking, informasjon, kommunikasjon og aktiviteter som støtter opp/gir hjelp og støtte om verktøy og teknikker.

 

 

ERM- guidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A Bakgrunn, behov, ERM-systemet og – prosesser FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix ORGANISERING AV ERM-HÅNDBØKENE xii 1. RISIKO 6 1.1. HVA MENER VI MED RISIKO? 7 1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8 1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9 1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11 1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12 1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13 1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14 1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE TRUSLER/ MULIGHETER 15 1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV OPPSIDE/ NEDSIDE RISIKO 16 1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV OPPSIDE/ NEDSIDE RISIKO 16 1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17 1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18 1.8 ERM-KULTUREN 19 1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20 1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20 1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21 1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22 1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22 1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24 1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25 1.8.8 RISIKOTOLERANSE 27 1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29 1.10 OPPSUMMERING 30 2. ENTERPRISE RISK MANAGEMENT – ERM 33 2.1 RM VERSUS ERM 34 2.1.1 KATEGORIER MULIGHETER/TRUSLER 34 2.1.2 STRATEGISK INTEGRASJON 35 2.1.3 PRESTASJONSMÅLINGER 35 2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35 2.2 HVA ER ERM? 36 2.3 HVORFOR TRENGER VI ERM? 40 2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40 2.3.2 PLANLEGGING OG ORGANISERING 41 2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41 2.3.4 UTVIKLINGEN AV RM OG ERM 41 2.3.5 INTERNREVISJONSPLANER 42 2.3.6 KULTURELL TILPASNING 42 2.3.7 ANDRE GRUNNER 42 2.4 ERM STYRKER EVNEN TIL 43 2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44 2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45 2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47 2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48 2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51 2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52 2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS- OG EIERSTYRING) 53 2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54 2.8 VISJONER, MÅL, STRATEGIER OG ERM 55 2.9 FASTLEGGELSE AV MÅL 56 2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56 2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57 2.11 KRITISKE SUKSESSFAKTORER 58 2.12 FORDELENE VED ERM 60 2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62 2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63 2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64 2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65 2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR INTERNE INTERESSENTER SOM RISIKOEIERE 66 2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67 2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70 2.14 ERM-MISTAK 73 2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74 2.16 OPPSUMMERING 76 3 ORGANISASJONEN OG BEHOVET FOR ERM 81 3.1 KOMMERSIELT DREVNE KRAV 82 3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82 3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84 3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85 3.1.4 AKTUELL REGULERING OG TILSYN 90 3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92 3.1.6 SOLVENCY II 94 3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95 3.2 JURIDISK DREVNE KRAV 99 3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100 3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102 3.2.3 JURIDISKE KRAV, – NORGE 103 3.3 OPPSUMMERING 110 4 SYSTEM OG PROSESSER 115 4.1 ERM-SYSTEMET (-RAMMEVERKET) 115 4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117 4.3 ERM-PROSESSEN OG ORM-PROSESSER 119 4.4 OPPSUMMERING 121 5 BEDRIFTSMILJØET 123 5.1 FORMALISERING OG DOKUMENTASJON 123 5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125 5.3 ERM OG STRATEGISK PLANLEGGING 128 5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128 5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132 5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138 5.4 ERM-KULTUREN 139 5.4.1 INTEGRITET OG ETISKE VERDIER 140 5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140 5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141 5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141 5.4.5 AKSJE- OG OPSJONSORDNINGER 142 5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143 5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143 5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144 5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144 5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE KRAVENE FRA INTERESSENTENE? 146 5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147 5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147 5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148 5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148 5.6.2 ERM OG BALANCED SCORECARD 149 5.7 OPPSUMMERING 153 6. ETABLERING AV KONTEKST FOR ERM 156 6.1 GENERELT 158 6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159 6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159 6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160 6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161 6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162 6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163 6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163 6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164 6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164 6.3 KOMPONENTER I ERM-POLICYEN 165 6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166 6.4.1 HVORFOR RISIKOKATEGORISERING? 166 6.4.2 ANDRE KATEGORISERINGSMÅTER 169 6.4.3 KRAV TIL ERM-VERKTØY 171 6.4.4 RISIKOMATRISEN 172 6.4.5 GENERELLE KRAV TIL VERKTØY 172 6.4.6 VALG AV SKALA 173 6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175 6.5.1 FORANKRING AV ANSVAR 176 6.5.2 FØRSTELINJEFORSVARET 176 6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179 6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181 6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184 6.5.6 LEDELSENS ROLLE OG ANSVAR 186 6.5.7 STYRETS ROLLE OG ANSVAR 187 6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189 6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189 6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191 6.6 SJEKKLISTE ETABLERING AV KONTEKST 192 6.7 OPPSUMMERING 192 7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195 7.1 GENERELT OM KJERNEPROSESSEN 196 7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197 7.1.2 INFORMASJONSKILDER 198 7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199 7.1.4 KVANTITATIVE BEGREPER 199 7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200 7.2 IDENTIFISERING OG KVANTIFISERING 200 7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200 7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG TRUSLER 201 7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202 7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202 7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203 7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203 7.3 ANALYSE 204 7.3.1 FASEFORSKYVNING AV PROSESSEN 205 7.3.2 ANALYSE AV DAGENS SITUASJON 205 7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207 7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209 7.3.5 SJEKKLISTE ANALYSERING 210 7.4 EVALUERING OG PRIORITERING 211 7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211 7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213 7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214 7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214 7.4.5 SJEKKLISTE EVALUERING 215 7.5 TILTAK 216 7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217 7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220 7.5.3 FORBEREDE TILTAKSPLANER 221 7.5.4 IMPLEMENTERE TILTAKSPLANER 221 7.5.5 SJEKKLISTE TILTAK 221 7.6 RAPPORTERING OG DOKUMENTERING 222 7.6.1 EKSTERN RAPPORTERING 222 7.6.2 INTERN RAPPORTERING 222 7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223 7.6.4 RISIKO RAPPORTERINGSFREKVENS 226 7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227 7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227 7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228 7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229 7.7 OPPSUMMERING 231 8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234 8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235 8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235 8.1.2 GJENNOMFØRING AV TILTAK 235 8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236 8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238 8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238 8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239 8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242 8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246 8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248 8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248 8.6 OPPSUMMERING 249 9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251 9.1 ERMSE (ERM SYSTEMEVALUERING) 251 9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252 9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252 9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252 9.2 BEKREFTELSE I ERM 254 9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254 9.2.2 BEKREFTELSE OG ERM 255 9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256 9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257 9.5 OPPSUMMERING 258 10 STIKKORDSREGISTER 260 11 VEDLEGGSOVERSIKT 265

 

 

 

VEDLEGGSOVERSIKT GUIDE A

Vedlegg	Tekst	Guide A	GuideB
Vedlegg A	Risikokategoriseringsmodellen .		X
Vedlegg B	Risikopolicy i «Vår Organisasjon.»		X
Vedlegg C	Mandat ERM.		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE).		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet .		X
Vedlegg E	Sjekklister/spørsmål .		X
Vedlegg F1	Workshop .		X
Vedlegg F2	Enkelt Risikospørreskjema.		X
Vedlegg F3	Alternativt risikospørreskjema.		X
Vedlegg F4	Risikotiltak .		X
Vedlegg F5	Rapporter .		X
Vedlegg F6	Håndtering og overvåking .		X
Vedlegg F7	Vedlikehold av kontekst .		X
Vedlegg G	Nøkkelreferanser/standarder.	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur.	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B.		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen