ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul A7 Den sykliske kjerneprosessen/ERM-kjerneprosessen
ENHET A 7.1 Generelt om kjerneprosessen:
viser at ERM-kjerneprosessen kan kreve stor grad av detaljkunnskap over hele bredden av organisasjonens virksomhetsområder.
Derfor blir valg av fremgangsmåte for innsamling av informasjon viktig.
Fremgangsmåten vi velger må derfor gjenspeile hensikten vi har med å innføre et ERM-system. |
ERM-kjerneprosessen kan kreve stor grad av detaljkunnskap over hele bredden av organisasjonens virksomhetsområder. Valg av fremgangsmåte for innsamling av informasjon blir derfor viktig. Her ser vi ulik praksis som spenner fra at ”lederen selv” bruker en halvtime på å tenke seg om, til prosesser som inkluderer alle ansatte og avanserte metoder og teknikker. Fremgangsmåten vi velger må derfor gjenspeile hensikten vi har med å innføre et ERM-system.
Dersom vi setter ”lederen selv”, eller linjeledelsen til å identifisere mulighetene/truslene som deres enheter eksponeres for, er det mindre grunn til å vente seg noe nytt. ERM-prosessens bidrag blir da i første rekke å dokumentere det vi allerede vet. Dette er jo i og for seg svært verdifullt, og er en av hensiktene med et system, men vi tar altså ikke ut hele den potensielle gevinsten. Enkeltpersoners tilbøyeligheter til å tolke ulike scenarier og tilfeldigheter relatert til tid, sted og fokus, gjør at identifiseringen av muligheter/trusler blir like tilfeldig. Kanskje gjør vi da vondt verre ved å legge systemet under en enkeltperson, eller et mindretalls subjektive evne til å identifisere risiko, men samtidig gi inntrykk av at dokumentasjonen stammer fra en bredere analyse.
Ideelt sett er derfor hele ERM-kjerneprosessen en ”bottom up” prosess, der oppgaven består i å identifisere bredden av risikoer med en viss sannsynlighet for å inntreffe. Ved å hente inn informasjon fra et bredest mulig grunnlag av organisasjonens funksjoner og fagkompetanse, får vi et mer komplett bilde av muligheter/trusler som grunnlag for den etterfølgende prosessen.
Vi ønsker å få brakt problemstillinger opp fra ”grasrota” og opp i lyset for nærmer undersøkelser. Vi velger da ut en gruppe ”risikorapportører” som skal peke ut de mest relevante risikoene som omgir organisasjonen. Det er viktig at ikke fastgrodde subjektive synspunkter, prestisje eller skjulte agendaer, får råde grunnen på et så tidlig stadium at det hindrer en problemstilling i å bli analysert.
Jo mer vi gjør identifisering av muligheter/trusler til en kollektiv oppgave, jo sikrere kan vi være på at relevante risikoer kommer til overflaten. Samtidig finnes det en smertegrense både mht. ”informasjonsoverflod” og ”ressursforbruk”.
Hvor mange og hvem som skal bidra med informasjon, samt hvordan dette skal finne sted, blir viktige valg for organisasjonen.
I takt med et økende antall rapportører kan vi også begrense kravet til omfanget av rapportering uten å måtte regne med at oversikten over muligheter/trusler blir mangelfull. Beg-rensningen kan eksempelvis gjøres ved at vi instruerer risikorapportørene til å konsentrere seg om et nærmere angitt antall av de viktigste risikoene. Dvs. de risikoer vi antar har størst sannsynlighet for å inntreffe, samt har størst resultat-messig konsekvens.
Figur A7-2 Risikorapportørene bør representere bredden i «risikouniverset».
A7.1.1 Unngå ”siling” av rapportører
Dessverre forekommer det nok at vi forsøker å ”styre unna” enkelte temaer av frykt for at det skal bli ”overdramatisert”. Ofte skjer dette ved å velge bort en enkelt rapportør, eller gruppe av rapportører vi frykter vil overdramatisere en problemstilling, eller ”ri kjepphester”. Vi ønsker rett og slett ikke at disse skal slippe ”til torgs” med sine bekymringer. Å velge bort denne kategorien rapportører kan nettopp være den unnlatelsessynd som senere kan vise seg skjebnesvanger. Først og fremst fordi det til tross for hva vi innledningsvis måtte ha ment, kan være viktige opplysninger som fremføres. Dernest vil det å bevisst velge bort denne gruppen rapportører bidra til å vanne ut ERM-systemet og redusere dets troverdighet. Systemet skal nettopp fange opp og dokumentere både bekymringer og muligheter, og sørge for at de havner på ”riktig bord”.
På den ene siden har vi da på et tidlig tidspunkt kanalisert en ”whistle blowers/varsler (brønnpisser)” informasjoner inn i et konstruktivt spor, hvor informasjonen kan gjøre nytte dersom opplysningene skulle ha noe for seg. På den andre siden vil det å slippe synspunktene frem i systemet kunne være et middel til å legge et stadig tilbakevendende tema dødt etter en grundig analyse, og samtidig dokumentere begrunnelsen for dette. Skulle et problem eller mulighet bli identifisert og ”overdramatisert”, har vi med andre ord god tid til å tone ned betydningen av det gjennom den etterfølgende prosessen. Men da er det dokumentert sammen med de vurderinger som senere er gjort, og vi har fått anledning til å vurdere problemet eller muligheten i et helhetsperspektiv.
A7.1.2 Informasjonskilder
Når vi har valgt arbeidsgruppe/” workshop” som vår arbeidsform, er dette i stor grad fordi det også åpner for et stort mangfold av informasjons-kilder og identifiseringsteknikker:
- Sjekklister og sammenligninger med detaljerte over-sikter over mulige hendelser en organisasjon kan bli utsatt for. Dette er et av de vanligste hjelpemidlene i identifiseringsprosessen. Listene må ha samme struktur som kategoriseringsmodellen og gjerne være tilpasset en spesiell bransje.
- Interne analyser som del av planleggingsprosedyrer som strategiplanlegging og budsjetter. Interne analyser som kvalitetsrapporter, rapporter fra internrevisor, SWOT-analyser, og eksterne konsulenter er også viktige kilder til identifiseringsprosessen.
- Overvåking av kritiske prestasjonsfaktorer (KPIer) og (KRIer) kritiske risikofaktoerer. De fleste organisasjoner har enten utarbeidet egne, eller adoptert bransjenormerte, KPIer og KRIer som løpende overvåkes. Sammenligning av slike ”benchmarks” kan være viktig informasjon.
- Overskridelser av toleranse-(terskel)verdier. I de fleste organisasjoner vil det finnes både interne og eksterne toleranseverdier, eller anbefalinger for ulike deler av organisasjonen som ikke bør overskrides, eller underskrides.
- ”Workshop” på bakgrunn av intervjuer med ansatte og interessenter. Å samle eller intervjue personer med innsikt er i seg selv en grunnleggende kilde til informasjon under identifiseringen av muligheter/trusler.
- Prosessanalyser med vurdering av mulige eksterne og interne hendelser som kan påvirke en prosess, gir ofte indikasjoner på endringer som må gjøres.
- Overvåking av endringer i handlingsmønstre i organisasjonens omgivelser. Herunder politiske myndigheter, interesseorganisasjoner etc..
- Analyser og sammenligninger av informasjon tilgjengelig rundt tidligere risikosituasjoner og nåtid.
|
Kildene vi benytter kan altså være mer eller mindre definert kvantitativt. Å legge til rette for kvantitative kilder krever gjerne mye forarbeide og forutsetter gjerne forut-gående kjennskap til den enkelte risiko. Vi må ha en viss erfaring og være i stand til å kjenne igjen en hendelse og dens mulige utfall.
Figur A7-3 Eksempel på samspillet mellom ERM-prosessen og andre prosesser/systemer.
A7.1.3 Tidshorisontens betydning for kjerneprosessen
Vi må være særlig oppmerksom på betydningen av den tidshorisonten vi benytter for vurderingen. Denne bør være konsistent med de planleggingshorisonter vi ellers gjør bruk av, men også ta hensyn til muligheter/trusler som måtte kunne inntreffe over et lengre tidsrom.
- En lang tidshorisont vil eksempelvis kunne medføre at sannsynligheten for en spesiell hendelse øker betydelig. (For eksempel: før eller siden får vi en oljekatastrofe på norskekysten, eller en flyulykke på Gardermoen)
- På den andre siden vil en kortere tidshorisont kunne redusere sann-synligheten for en hendelse betydelig. I tillegg øker mulighetene for at det ikke blir periodisk samsvar mellom sannsynligheten for at hendelsen skal inntreffe og konsekvensen av denne. For eksempel: hopper vi over servicen på bilen vår, får det neppe noen større konsekvens på kort sikt. Det kan imidlertid føre til økt slitasje og reparasjoner på lenger sikt, eller lavere innbyttepris ved salg. Hendelsen vil altså kunne komme innenfor den aktuelle tidshorisonten, men vil likevel ikke representere noen risiko på kort sikt, fordi konsekvensen kommer senere.
|
A7.1.4 Kvantitative begreper
Som vi husker fra definisjonen av risiko er dette ”muligheten for at en hendelse oppstår og virker ugunstig inn på oppnåelsen av målsettingene”.
Vi må dermed vite noe om både hendelsens sannsynlighet og konsekvens før vi kan mene noe om dens potensial som risiko.
Skulle hendelsen ha potensial som en positiv mulighet (oppside) (Konsekvens>0), må denne hvis den er av strategisk art ledes inn mot strategi- og planleggings-prosedyrene i organisasjonen. Er den av annen art vil den fortsatt være gjenstand for vurdering gjennom resten av kjerneprosessen og dermed gjenstand for diskusjoner i workshopen.
| Risiko (oppside) = (Sannsynlighet >0) * (Konsekvens>0). (Med ”konsekvensen > 0” menes her en positiv konsekvens) |
FigurA 7-4 En positiv hendelse pløyes inn mot strategiarbeidet for å utnyttes, mens negative hendelser føres inn i ERM-prosessen.
Forventes derimot hendelsen å ha en viss sannsynlighet for å inntreffe og en negativ konsekvens (nedside) (Konsekvens < 0), må denne kanaliseres inn i ERM-prosessen, for nærmere identifisering, kvantifisering og analyse. Etter denne noe forenklede formelen kan vi avlede at;
| Risiko (nedside) = (Sannsynlighet >0) * (Konsekvens<0). (Med ”konsekvensen < 0” menes her en negativ konsekvens) |
A7.1.5 Risikovurdering (risk assesment) – identifisering, analyse og evaluering
I ISO 31000:2009 kalles trinnene risikoidentifisering (trinn 2), risikoanalyse (trinn 3) og risikoevaluering (trinn 4) for risikovurdering (risk assesment).
Se forøvrig Guide A Vedlegg H ISO 31000: 2009.
ERM- guidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg |
Bakgrunn, behov, ERM-systemet og – prosesser
|
FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii
1. RISIKO 6
1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30
2. ENTERPRISE RISK MANAGEMENT – ERM 33
2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76
3 ORGANISASJONEN OG BEHOVET FOR ERM 81
3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110
4 SYSTEM OG PROSESSER 115
4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121
5 BEDRIFTSMILJØET 123
5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153
6. ETABLERING AV KONTEKST FOR ERM 156
6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192
7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195
7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231
8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234
8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249
9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251
9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258
10 STIKKORDSREGISTER 260
11 VEDLEGGSOVERSIKT 265 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Del på bloggen
Lik dette:
Liker Laster...
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar