Enhet A7.3 Analyse

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A7  Den sykliske kjerneprosessen/ERM-kjerneprosessen

 

 

OLYMPUS DIGITAL CAMERA

 

 

ENHET A7.3 Analyse:

beskriver viktigheten av å analysere både sannsynligheten for inntreffelse av en risiko og konsekvensene en risiko kan ha.

Dessuten beskrives metodene som benyttes som kan være kvalitative, semikvantitative eller kvantitative.

Under kvantifiseringen er det de mulige konsekvensene av de identifiserte muligheter/trusler som står i fokus. Under identifiseringen fant vi frem til risikoer med sannsynlighet for å inntreffe som er større enn ”0”, eller over egne toleransegrenser, og graderte sannsynligheten for disse når vi benyttet den kvantitative analyseformen.

 

j0078805

I en kvalitativ analyse er behovet for presisjon under kvantifiseringen begrenset i likhet med prosessen med identifiseringen av mulighetene/truslene. Likevel vil også denne analyseformen måtte ta hensyn til behovet for konklusjoner i retning av ”liten, begrenset stor” eller lignede.

Har vi i vårt ERM-kontekst valgt en kvantitativ analyseform, vil kvantifisering inngå som en fase i ERM-prosessen etter en kvalitativ analyse, eller en identifiseringsprosess. Målet med kvantifiseringen er å komme frem til den tallfestede forventede konsekvens av en oppside/nedside risiko.

 

Risiko nedside (trussel) = (Sannsynlighet >0) * (konsekvens < 0)Risiko oppside (mulighet) = (Sannsynlighet >0) * (Konsekvens > 0)

 

Konsekvensen må altså være ”mindre enn 0” (m.a.o. negativ) for å representere en trussel. Er konsekvensen ”større enn 0”, representerer dette i vår terminologi muligheter som kan utnyttes. Dersom sannsynligheten og/eller konsekvensen forventes å være ”lik 0”, anses hendelsen å være uinteressant både som mulighet og trussel.

En risiko kan under analysen vise seg kun å ha virkning for en tredjepart, for eksempel ansatte eller samfunnet, og ikke for den organisasjon som foretar analysen. Dette kan ofte representere en stor etisk utfordring for organisasjonen som må overveie hvordan risikoen skal behandles videre i prosessen. Evalueringen må ta hensyn til det ansvar organisasjonens og dens ledelse har i samfunnet og virkningen av at viktig informasjon ikke blir brakt videre til tredjepart.

En slik forenklet kvantifisering av oppside/nedside risiko bygger ofte på mer spesialiserte og operasjonelt tilpassede analyser og nøyaktig informasjon. Prosjektrisikoer kan eksempelvis bli verdsatt ved hjelp av ”scoring models”, mens finansielle risikoer kan kvantifiseres enten med deres nominelle posisjon, eller som ”Value-at-Risk” målinger som estimerer det maksimale potensielle tap ved en gitt sannsynlighet. (ofte benyttet i bank – og finansvesenet).

Etter identifisering og kvantifisering bør m.a.o. både sannsynlighet og konsekvens være tallfestet.

 

A7.3.1    Faseforskyvning av prosessen

Normalt legger de fleste ERM verktøy opp til at identifisering og kvantifisering skal finne sted i ett og samme ledd i prosessen, og av en og samme person/rapportør.

Vanligvis vil nok dette også være både mulig og hensikts-messig. Imidlertid vil det av og til være slik at kunnskapen om konsekvensen av en mulig oppside/nedside risiko ikke sitter på samme sted i organisasjonen som kunn-skapen om sannsynligheten for at den skal inntreffe. Det kan da være en utfordring for systemet å fange opp dette.

Et klassisk eksempel på et slikt tilfelle kan vi tenke oss der IT-avdelingen kjenner sannsynligheten for at et virksomhetskritisk system skal falle ut. Systemet kan være ett av mange, – og IT-avdelingen vet gjerne ikke hvor virksomhetskritisk systemet er. Det vet kanskje markedsavdelingen, som på sin side ikke kjenner til svakheter ved systemet, og sannsynligheten for at det kan falle ut. Med mindre kommunikasjonen er god og systemet og tilhørende rutiner tar høyde for at identifisering og kvantifisering kan finne sted i ulike trinn, oppstår det en fare for at slike risikoer ikke kommer med i prosessen. Slike situasjoner oppstår oftest omkring de aktiviteter som utføres av organisasjoner som utfører operasjonelle eller forvaltningsmessige oppgaver for andre uten eget resultatansvar. Ikke minst er dette en av de store fallgruvene ved ”Outsourcing”.

Fig_DelII_08_020a

 Figur A7-5 Mulighetene/truslene i spesialistavdelingene kan ofte ikke kvantifiseres av dem og må behandles av forretningsenhetene.

A7.3.2    Analyse av dagens situasjon

Bruken av kvantitative verktøy i analysen, bidrar selvfølgelig sterkt til å lette senere kommunikasjon, prioritering og behandling av den enkelte oppside/nedside risiko. Bruken av risikomatrisen eller mulighetsmatrisen fra begynnelsen av prosessen kan gi gode indikasjoner på om vi skal søke løsningen i å redusere sannsynlighetene, eller angripe konsekvensene.

De verdier og den kombinasjon vi har mellom faktorene ”sannsynlighet” og ”konsekvens”, gir uttrykk for den ”risikoprofil (risikonivå) vi til enhver tid har i forhold til den enkelte risiko.

Fig_DelII_08_022a

 Figur A7-6 Eksempel på bruk av risikomatrisen i analyse av nåsituasjonen.

 

 

Verdiene i figuren ovenfor gir et eksemplifisert uttrykk for risikoprofilen/risikonivå ved fem ulike identifiserte risikoer:

  1. Meget høy ikke tolererbar risiko. (”Kom deg ut så fort som mulig.”) Slike risikoer bør påkalle opp-merksomhet fra organisa-sjonens øverste organer med tilgang til den fulle bredden av fullmakter og ressurser.Avhengig av definisjoner i kontekst, bør risikoer i denne sonen også sees i sammenheng med defini-sjonen på når en risiko ikke lenger anses å falle inn under begrepet ”daglige ledelse” i aksjelovens betydning (asl § 6-14 (2)). De forhold som ligger bak denne hendelsen og de tiltak som måtte være nødvendige som følge av dem, kan derfor være opp til styret å avgjøre. Siden disse risikoene likevel behandles av organisasjonens øverste organer er det mindre vesentlig for den videre ERM-prosessen om størrelsen skyldes sannsynlighet eller konsekvens.
  2. Vesentlig risiko med utgangspunkt i lav sannsynlighet for å inntreffe, men får store konsekvenser. Denne risikoen ligger klart i sonen som krever tiltak, men innenfor det som må oppfattes som ordinær drift. At denne høye risikoen er forårsaket av konsekvenser og ikke sannsynlighet, kan gi oss viktige opplysninger om hvor vi skal lete etter løsningen. Tenker vi oss at risikoen er påført som følge av mulige, – men meget sjeldent forekommende utfall av en virksomhetskritisk IT-løsning, vil det kanskje være naturlig at tiltaket består i at den brukende avdeling sørger for å ha reserveløsninger i bakhånd for de sjeldne utfallene som måtte komme.
  3. Vesentlig risiko med utgangspunkt i høy sannsynlighet for å inntreffe, men med små konsekvenser. Denne risikoen ligger også klart i sonen som krever tiltak innenfor det som må oppfattes som ordinær drift. At denne er forårsaket stor sannsynlighet for å inntreffe (og dermed kanskje også er hyppig forekommende), kan gi oss andre viktige opplysninger om hvor vi skal lete etter løsningen. Tenker vi oss også her at risikoen er påført som følge av mulige utfall av en IT-løsning, vil det være naturlig å søke løsningen i selve IT-systemet, eller ved at IT-ansvarlig iverksetter tiltak for å redusere sannsynligheten for fremtiden.
  4. Moderat risiko. I denne sonen innføres nye tiltak, kun etter en vurdering om fordelen ved innføringen er større enn ulempene. I likhet med eksempel 2 og 3 vil det også i denne sonen kunne ligge føringer i analysen, avhengig av om risikoen er forårsaket av sannsynlighet eller konsekvens.
  5. Lav (ubetydelige) risiko. Dette er risikoer som ligger innenfor organisasjonens målsetninger definert i kontekst (strategier og policy). Ytterligere tiltak anses ikke nødvendig. Nedtrapping av kontrolltiltak og andre virkemidler kan imidlertid være mulig.

 

 

En kvantitativ, eller semi-kvantitativ analyse gjør det altså lettere å identifisere årsaken til risikoen og dermed også kilden til løsning.

A7.3.2.1 Historisk utvikling

Et tilbakeblikk på den historiske utviklingen kan bidra til å lette konklusjoner under analysen. Risikoer som ligger i grenseland mellom ulike handlingssoner vil kunne være lettere å ta stilling til, dersom vi kan ta et tilbakeblikk på hvordan disse har utviklet seg over tid.

 

A7.3.3 Mulige metoder for å analysere muligheter/trusler

Det er tre kategorier av metoder brukt for å bestemme nivået på oppside/nedside risiko: kvalitative, semikvantitative og kvantitative. Hvis informasjonen kan brukes til å kvantifisere sannsynligheten for og oppstått og konsekvenser, er kvantitative prosesser å foretrekke fordi vurdering, intuisjon og ikke-kvantitative erfaring har vist seg å være mindre pålitelige, spesielt i analysen av sannsynligheten. Siden noen av anslagene gjort i kvantitativ analyse er upresise, bør en sensitivitetsanalyse utføres for å teste effekten av endringer i forutsetninger og data.

Semi-kvantitative tilnærminger tildeler nummer til kvalitative ord rangeringer som høy, middels eller lav, eller til mer detaljerte beskrivelser for sannsynlighet og konsekvens. Disse rangeringer vises mot en hensiktsmessig numerisk skala for å beregne nivået på oppside/nedside risiko. Informasjon kan da bli bearbeidet for analyse ved bruk av kvantitative metoder. Hvis organisasjonen bruker en semi-kvantitativ tilnærming, er det viktig ikke å tolke resultatene til et finere nivå av presisjon enn det som faktisk finnes i den opprinnelige ord rangeringen. Det bør ikke gis inntrykk av presisjon på tall, der disse ikke finnes.

 

j0078741

 

Tilnærmingen som er mest brukt, tender til å være kvalitativ, spesielt i offentlig sektor der spørsmål om ansvarlighet og påvirkning på samfunnet er svært relevant. Men den er generelt umulig eller for dyr. Beslutninger blir derfor gjort på bakgrunn av lederes erfaring, dømmekraft og intuisjon. Detaljer om en bestemt metode ses nedenfor.

 

Kvalitative analyser er brukt:

  • Som en innledende screening aktivitet for å identifisere muligheter/trusler som krever mer detaljert analyse.
  • Der nivået på oppside/nedside risiko ikke rettferdiggjør den tid og krefter
    som er nødvendig for en fyldigere analyse,
  • Der numeriske data er utilstrekkelig for en kvantitativ analyse

 

Kvalitative metoder er:

  • Kvalitativ kartlegging.
  • Brainstorming
  • Strukturerte intervjuer/spørreskjemaer.
  • Evaluering ved hjelp av tverrfaglig grupper.
  • Spesialist og ekspert vurdering, Delphi teknikken.
  • Benchmarking.
  • Diskusjon eller vurdering sammen med andre ansatte (workshop).
  • Strukturerte intervjuer med eksperter på området av interesse.
  • Nettverksbygging med bransjen og profesjonelle foreninger. 

Semikvantitative analyser

I semi-kvantitative analyser, blir kvalitative skalaer som de som beskrives ovenfor gitt verdier. Antallet som fordeles på hver beskrivelse behøver ikke å bære et nøyaktig forhold til den faktiske størrelsen på konsekvenser eller sannsynlighet. Tallene kan kombineres med noen av en rekke formler forutsatt at systemet brukes til prioritering samsvarer med systemet valgt for tildeling av numre og kombinere dem. Målet er å produsere en mer detaljert prioritering enn det som normalt oppnås i kvalitativ analyse, ikke å foreslå noen realistisk verdier for oppside/nedside risiko som er forsøkt i kvantitativ analyse.

 

j0288972

Det må ved bruk av semi-kvantitativ analyse tas hensyn at de valgte tallene kanskje ikke riktig gjenspeile relasjonstallene noe som kan føre til inkonsistente resultater. Semi-kvantitativ analyse kan ikke differensiere skikkelig mellom oppside/nedside risiko, spesielt når enten konsekvenser, eller sannsynligvis er ekstreme.

Noen ganger er det hensiktsmessig å vurdere sannsynligheten for å være sammensatt av to elementer, vanligvis omtalt som hyppighet av eksponering og sannsynlighet.

Frekvens av eksponering er i hvilken grad en kilde til oppside/nedside risiko finnes, og sannsynlighet er sjansen for at når kilden til oppside/nedside risiko finnes, vil konsekvenser følge. Forsiktighet må utvises i situasjoner der forholdet mellom de to elementene ikke er helt uavhengige, dvs. hvor det er en sterk sammenheng mellom hyppighet av eksponering og sannsynlighet. Denne tilnærmingen kan brukes i semi-kvantitative og kvantitative analyse.

Kvantitative analyser

Kvantitativ analyse bruker numeriske verdier (istedenfor beskrivende skalaer som brukes i kvalitative og semi-kvantitativ analyse) for både konsekvenser og sannsynligheten ved å bruke data fra en rekke kilder. Kvaliteten på analysen avhenger av nøyaktighet og fullstendigheten av numeriske verdier som benyttes.

Konsekvenser kan estimeres ved å modellere resultatene av en hendelse eller ett sett av hendelser, eller ved ekstrapolering fra eksperimentelle studier eller tidligere data. Konsekvenser kan uttrykkes i form av penge, tekniske eller menneskelige kriterier, eller noen andre kriterier.. I noen tilfeller kreves mer enn en numerisk verdi for å angi konsekvenser for ulike tider, steder, grupper eller situasjoner.

Sannsynligheten er vanligvis uttrykt som enten en sannsynlighet, en frekvens, eller en kombinasjon av eksponering og sannsynlighet. Måten sannsynlighet og konsekvens er uttrykt på og måtene de er kombinert, for å gi et nivå av oppside/nedside risiko vil variere i henhold til type oppside/nedside risiko og i hvilken sammenheng nivået på risiko skal brukes.

 

Kvantitative metoder er:

  • Sannsynlighetsanalyser.
  • Konsekvensanalyser.
  • Simulering/datamodellering.
  • Statistiske/numeriske analyser.
  • Nettverksanalyser.
  • Levetidskostnadsanalyser.
  • Beslutningstrær.
  • Feiltre og hendelsestre analyser.
  • Inflytelsesdiagrammer.
  • Bruk av grupper og eksperter som er satt sammen av et bredt spekter av funksjoner, avdelinger.

 

 

En annen måte å dele inn metodene for å analysere risikoer og muligheter på er å dele inn i:

  • Oppside risiko (mulighet).
  • Begge (oppside/nedside risiko).
  • Nedside risiko (trussel)

 

 

Metoder for oppside risiko (mulighet)

  • Markedsundersøkelse.
  • Prospecting.
  • Test marketing.
  • Forskning og utvikling.
  • Forretnings konsekvensanalyse.

 

Metoder for begge

  • Avhengighetsmodellering.
  • SWOT-analyse (Styrker, Svakheter, Muligheter, Trusler).
  • Hendelsestre analyse.
  • Business kontinuitetsplanlegging.
  • BPEST (Business, Politisk, Økonomiske, Sosial, Teknologisk) analyse.
  • Real Option Modellering.
  • Beslutning tatt under forhold med risiko og usikkerhet.
  • Statistisk inferens.
  • PESTLE (Politisk. Economic (økonomisk). Sosiale, Teknisk. Legal (juridisk). Environmental (miljø)).

 

Metoder for nedside risiko (trussel)

  • Trussel analyse.
  • Feiltre analyse.
  • FMEA (Failure Mode og Effekt Analyse).

 

A7.3.4 Mulige kilder til muligheter/trusler

 

  • Tidligere dokumentasjon, inkludert etterforskningsrapporter.
  • Relevant erfaring.
  • Bransje praksis og erfaring.
  • Relevant offentlig litteratur.
  • Pilotprosjekter, eksperimenter og prototyper.
  • Test markedsføring og markedsundersøkelser.
  • Økonomiske, tekniske eller andre modeller.
  • Spesialist og ekspertvurderinger. 

A7.3.5 Sjekkliste analysering

Viktige spørsmål ved analysering av oppside/nedside risiko: 

  • Har organisasjonen vurdert sannsynligheten for de muligheter/trusler som oppstår?
  • Har organisasjonen vurdert potensielle konsekvenser av muligheter/trusler som oppstår?
  • Har organisasjonen kvantifisert de muligheter/trusler som oppstår?
  • For hver risiko som har blitt vurdert som høy er det her også skrevet spesifikt en skriftlig vurdering av disse?
  • Har spesifikke muligheter/trusler blitt organisert i kategorier som støtter opp om analysen av sannsynlighet, konsekvens og utvikling av tiltak?
  • Har mulighetene/truslene blitt vurdert for å bestemme hvilke som krever videre analyser?
  • Har risikonivået (= sannsynlighet x konsekvens) blitt kalkulert for hver oppside/nedside risiko?
  • Har CRO og risikorapportørene vurdert og integrert kommentarene fra interessegruppene/samarbeidspartnerne i workshopen?
  • Hersker det tilstrekkelig forpliktelse på alle nivåer til prosessen med å analysere mulighetene/truslene?
  • Er prosessen med å analysere mulighetene/truslene fleksible nok til å være i stand til å respondere på hurtige forandringer? F.eks. IT løsninger som utvikles for raskt og som ikke er modne.
  • Har organisasjon tilstrekkelig kunnskap, og besitter den de nødvendige ferdigheter for å gjennomføre de nødvendige analyser som er aktuelle?

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

 Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no 

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

OLYMPUS DIGITAL CAMERA

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).		   X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I		 ISO 31000:2009 Risikoledelse
Ordforklaringer		 X
X		 X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

Gravatar
WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Avbryt

Kobler til %s

%d bloggere liker dette: