Enhet A7.5 Tiltak

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A7  Den sykliske kjerneprosessen/ERM-kjerneprosessen

 

 

OLYMPUS DIGITAL CAMERA

 

 

ENHET A7.5 Tiltak:

beskriver de fire tiltaksstrategiene risikounngåelse, risikoreduksjon, risikooverføring eller risikoaksept

Risikoer kan aldri helt elimineres. Målsetningen med ERM er da også begrenset til å finne frem til tiltak som kan reduser en risiko, eller en konsekvens av denne. De færreste risikoer forekommer som engangs-tilfeller. Etter hvert som vår erfaring med ERM modnes, vil vi ut fra kategoriserings-modellen kunne gjenkjenne en risiko som tidligere har forekommet. Slik sett blir vi også lettere i stand til å finne tilbake til de erfaringer vi gjorde, og løsninger vi benyttet forrige gang risikoen forekom.

Fig_DelII_08_027a

Figur A7-10 Hovedstrategier i motarbeidelse av risiko.

 

Muligheten for at vi kan benytte tidligere anvendte tiltak mot nye forekommende muligheter/trusler vokser i takt med erfaringer og evnen til å dokumentere tiltak på en måte som gjør disse lette å identifisere i forhold til organisasjonens risikounivers. En slik samling av erfaringer, eller anbefalinger, kalles ofte for en tiltaksplan og er en del av risikopolicyen. Denne må ha klare referanser til organisasjonens kategoriseringsmodell.

Tilsvarende må det for de risikoer vi ikke er i stand til å redusere tilstrekkelig, utarbeide en beredskapsplan/kontinuitetsplan, for de tilfellene at hendelsen bak risikoen skulle inntreffe.

 

Generelt kan vi dele de tiltak vi iverksetter mot risikoer (nedsiden) i følgende fire grupper:

Strategi Siktemål Eksempler på virkemiddel
Risiko-unngåelse Forhindre at hendelsen inntreffer, eller får konsekvens for organisasjonen. Utsette aktivitet.
Risiko-reduksjon Redusere sannsynlighet eller konsekvens.
Risiko-overføring Forsikring, ”outsourcing” etc.
Risikoaksept(Residual-risikoer) Forberede oss på at hendelsen inntreffer og begrense konsekvens-en Planlegge for en uønsket hendelse med sikte på å redusere konsekvens:

  • Katastrofeplanlegging
  • Kriseplanlegging
  • Business Continuity Plan (BCP).
Reagere (Handle) når hendelsen inntreffer. Iverksette tiltak med sikte på å begrense uønsket konsekvens av en hendelse når denne inntreffer i hht. beste skjønn, foreliggende planer og hendelsens fremdrift.
Restituere (Utbedring, berging) når hendelsen har fått konsekvens. Utbedre skader/uønskede konsekvenser som har oppstått som følge av en hendelse.

 Tabell A7-1 Ulike risikostrategier (-tiltak) og eksempler på virkemidler.

A7.5.1 Valg av strategi for mulige tiltak

Dersom også strategien for hvilke tiltak vi skal benytte i forhold til den enkelte risikokategori er lagt på forhånd, er det lettere å komme frem til konkrete tiltak når risikoen blir identifisert, eller hendelsen inntreffer. Strategien vi velger i policyen reduserer med andre ord organisasjonens ”forvirring” i forhold til alternative løsninger ved at valgene er snevret inn. Dette vil også i mange tilfeller kunne gjøre det lettere å gå rett på kjernen av problemet, og eventuelt å skaffe nødvendig fagkompetanse enheten kanskje ikke besitter selv. Organisasjonens evne til kollektiv læring øker derfor også, da vi ofte kan se helt bort fra uaktuelle tiltak som ikke er et ledd i policyen. Videre blir de erfaringer vi gjør lettere å knytte til konkrete muligheter/ trusler, også for fremtiden.

Bruk av fagkompetanser reduserer dessuten nødvendigheten av egne ”negative” erfaringer.

A7.5.1.1 Risikounngåelse

Risikounngåelse som strategi fører ofte til at vi taper muligheter eller inntekter, og er først og fremst aktuell når risikoene er omfattende, komplekse og uoverskuelige.

 

j0078728

 


Eksempler på risikounngåelse kan være:

  • Avslutt organisasjonen, stans produksjon, selg organisasjonen.
  • Velg andre alternative løsninger til forretningskonsept.
  • Velg andre mindre risikoutsatte delløsninger til produksjon, distribusjon. etc..

A7.5.1.2 Risikoreduksjon

Risikoreduksjon iverksettes ved reduksjon av sannsynlighet for og/eller konsekvens-en av en hendelse.

 


Reduksjon av sannsynligheten for en hendelse kan skje ved:

  • Iverksette kvalifikasjonsprogrammer (sertifiseringer) etc..
  • Iverksette kontrolltiltak.
  • Foreta prøver, analyser og produksjonskontroll.
  • Foreta preventivt vedlikehold.
  • Innføre sikkerhetssystemer og prosedyrer, sikkerhetsutstyr og alarmer.
  • Foreta opplæring og utdanning.

 

 


Reduksjon av konsekvensen av en hendelse kan eksempelvis skje ved:

  • Lage kriseplaner og kontinuitetsplaner.
  • Installere brannslukkingsanlegg.
  • Iverksette interne kontroller og revisjoner.
  • Foreta helseundersøkelser og opplæring i førstehjelp.
  • Sørge for ”backup” rutiner og dublert lagring av informasjon.

A7.5.1.3 Risikooverføring

Risikooverføring vil kunne omfatte overføring til samfunnet generelt, ansatte, kunder eller leverandører, samt ikke minst tredjepart i form av forsikringsinstitusjoner.

 


Noen eksempler:

  • De juridiske og økonomiske forpliktelsene knyttet til en risiko, kan ofte overføres til en tredjepart i forbindelse med en forsikringsavtale.
  • Oppgaver kan settes bort til kontraktører (outsourcing).
  • Subkontraktering av risikoutsatt produksjon eller produkter.

 

Mulighetene til å overføre risiko reguleres av en rekke faktorer som moral, etikk, offentlige lover og regler, holdninger og avtaler.

7.5.1.4 Risikoaksept (restanser, ”residualrisikoer”)

Ikke alle risikoer lar seg fjerne helt ved spesielle tiltak og blir med videre i prosessen.

Likedan vil det finnes risikoer som i utgangspunktet er så små at tiltak mot dem derfor ikke er formålstjenlig. Disse risikoene vil samlet utgjøre ”akseptere risikoer”, også ofte omtalt som ”residualrisikoer”. Vesentlige residualrisikoer må underlegges kontroll og begrensningstiltak.

 

Kontroll og begrensning av ”residualrisikoer”.

I de tilfeller hvor vesentlige risikoer ikke kan reduseres til et komfortabelt nivå (definert i risiko-policyen) gjennom noen av de nevnte tiltaksstrategier, må vi begynne å forberede oss på virkningen av dem. Vi erkjenner med andre ord at hendelsen med rimelig grad av sannsynlighet vil inntreffe, uansett hva vi måtte prøve å gjøre og som kan ha en betydelig uønsket effekt som må begrenses. Oppgaven blir da å fokusere på begrensede ressurser på det som måtte komme, slik at konsekvensen blir minst mulig og strekker seg over kortest mulig tidsrom.

Dette gjøres i første rekke gjennom:

Utarbeidelse av en kontinuitetsplan, (ofte omtalt som ”Business Continuity Plan”, kriseplan, katastrofeplan”) i forkant av hendelsen. Utarbeidelsen av slike planer krever nøye forberedelser og tilrettelegging og organiseres gjerne som egne prosjekter.

 


Noen krav til kontinuitetsplanen:

  • Skrevet og distribuert slik at de ulike gruppene som berøres av planen kan forstå og iverksette den i tide.
  • Presis med hensyn til de betingelser som i fremtiden skal utløse iverksettelsen av planen.
  • Presis hva angår de øyeblikkelige tiltak som skal finne sted etter at et sammenbrudd vesentlige risikoer har inntruffet.
  • Fleksibel nok til å åpne for uventede endringer i trusselbildet, og/eller en organisasjon i forandring.
  • Fokusert på hvordan en funksjon kan reetableres, i stedet for å fokusere på årsaken til at den falt ut.
  • I størst mulig grad begrense tap av tjenester og kapital.

 

 


Forberedelsen av kontinuitetsplanen omfatter eksempelvis spørsmål som:

  • Hvilke alternativer er best?
  • Hvordan skal vi kunne konstatere at en utbedring har funnet sted?
  • Hvem er best egnet til å forestå utbedringen av en risiko (kompetanse, tekniske forutsetninger, finansielle ressurser etc.)?
  • Hvilken organisasjon og fremgangsmåte er best egnet til å utbedre en skade?
  • Hvem skal være ansvarlig for utbedringen?

 

 


Kontinuitetsplanen iverksettes ved følgende aktiviteter:

  • Utvikling av policyen.
  • Etablering av nødvendig infrastruktur, ressurser, ledelsesengasjement, ansvar og autoritet.
  • Knytning av kontinuitetsplanen til de ulike organisatoriske nivåene.
  • Understreking av avdelingsoverskridende ansvar for risikoer.
  • Systematisering av risikoene på ”program-”, ”prosjekt-” og ”teamnivå”.
  • Systematisering av individuelle risikoer.
  • Utarbeidelse av målekriterier for omfanget av risikoer, effektiviteten av utbed-ringstiltakene og utbedring av skader.

 

Dersom utarbeidelsen av kontinuitetsplanen har en lang iverksettelseshorisont, bør det vurderes å bruke mellomløsninger.

Handle når hendelsen inntreffer.

De skadelige konsekvensene av uønskede hendelser kan ofte begrenses i løpet av hendelsen. Eksempelvis vil de færreste stå å se på et branntilløp uten å varsle brannvesen og/eller lete etter hjelpemidler til å slukke, eller begrense brannen. Likedan vil vannskaders omfang ofte kunne begrenses dersom vi får stengt kilden til lekkasje. Slik vil det også normalt være med hendelser av mer økonomisk karakter. Rask og riktig handling vil kunne bety mye for konsekvensene av en uønsket hendelse. Valgmulighetene og hjelpemidlene vi står overfor i slike situasjoner vil ofte være avhengige av de forberedelser vi har gjort og den evnen vi har hatt til å forutsi situasjonen.

Utbedre skaden fortest mulig etter hendelsen.

Skadene som følge av en uønsket hendelse vil ofte kunne øke over tid etter hendelsen. Det vil derfor være sentralt at skaden utbedres så snart som mulig. Ofte vil det som innledningsvis kun var en enkel erstattbar materiell skade kunne utvikle seg til en skade som vil kunne ta lang tid å utbedre. Eksempelvis vil mangler ved telefonsentraler eller IT-utstyr og programvare, kunne gå ut over behandlingen av kundeforespørsler og dermed organisasjonenes omdømme, som kan være langt vanskeligere å reparere.

 

A7.5.2 Vurdering av mulige og iverksatte tiltak, status og forventet konsekvens

Ofte vil et foreslått tiltak kunne være et av flere alternativer.

 


Gjennomføring av det enkelte tiltak vil da måtte forutsette en eller annen form for utvelgelse og prioritering på basis av en forutgående vurdering.

  • Hvordan er gjennomførbarheten I det enkelte tiltak?
  • Hvordan er kost/nytte effekten?
  • Hvilke ressurser kreves?
  • Er tiltakene i overensstemmelse med lover, bestemmelser og akseptable normer?
  • Hvilke absolutte krav stilles?
  • Hvilke muligheter åpner seg som følge av risikoen?
  • Er det noen risikoer som sjeldent forekommer, men som representerer særlig kritiske risikoer?
  • Hvilke målekriterier for omfanget av risikoer, effektiviteten av utbedringstiltak og utbedring av skader skal benyttes.

 

Videre kan iverksettelse av tiltak være en kompleks prosess som strekker seg ut i tid. Gjerne over flere sykluser i ERM kjerneprosessen. Det er en åpenbar sammenheng mellom gjennomføringsgraden av et tiltak og den konsekvens tiltaket må kunne forventes å ha på den enkelte risiko. Et tiltak som overhode ikke er iverksatt har i praksis ingen verdi. På den annen side vil et fullt iverksatt tiltak kunne tyde på at vi begynner å få kontroll over en risiko. Det er derfor viktig at vi hele tiden følger med på hvor langt fremskredet gjennomføringen av de respektive tiltak har kommet.

Neste ledd i vurderingen er derfor å skaffe seg en oversikt og dokumentasjon på hvor langt frem det er, før vi har fullført iverksettelsen av det enkelte tiltak, og dermed har den ønskede kontrollen med den respektive risikoen.

Tanken er altså at ”jo mindre risiko og større iverksettelsesgrad, desto bedre risikokontroll har vi”. Med dette utgangspunktet kan vi sette opp en matrise for å visualisere risikokontrollen.

Den vertikale aksen i matrisen representerer risikoens størrelse (sannsynlighet og konsekvensen), mens den horisontale aksen representerer iverksettelsesgraden av foreslåtte tiltak. Dermed vil øvre venstrehjørne markerer risikoer med høy grad av sann-synlighet og stor konsekvens, hvor tiltakene er mangelfulle eller i liten grad er iverksatt.

Fig_DelII_08_024a

Figur A7-11 Eksempel på visualisering av iverksettelsesgrad og risikokontroll.

 

Som nevnt kan iverksettelse av kompliserte tiltak ta tid. Skulle et foreslått tiltak forekomme gjennom flere kjerneprosess sykluser uten at kontrollen for-bedres, kan dette være et tegn på at iverksettelsen har stoppet opp. Vurderingen blir dermed også et viktig verktøy til å følge opp fremdriften i iverksettelsen av tiltak.

 

A7.5.3 Forberede tiltaksplaner

Tiltaksplaner bør dokumentere hvordan valgte alternativer vil bli gjennomført. Hver plan bør dokumentere den enkeltes ansvar, tidsplaner, det forventet utfall av tiltak, budsjettering og resultatmål, og inkluderer en mekanisme for evaluering.

 

A7.5.4 Implementere tiltaksplaner

Ansvar for tiltak skal bæres av de som er best i stand til å håndtere muligheter/ trusler. Den vellykkete implementering av tiltaksplanen krever et effektivt håndteringssystem som angir metodevalg, tildeler ansvar og individuelle ansvarsområder for handlinger, og skjermer dem mot angitte kriterier.

 

A6.1.5 Sjekkliste tiltak

 


Viktige spørsmål ved tiltak for oppside/nedside risiko

  • Hvilke prosesser og kontroller eksisterer, eller er nødvendig, for å minimere risikoen og maksimere muligheten?
  • Hvilke prestasjonsindikatorer eksisterer, eller er nødvendige, for å overvåke nivået på risikoen, utførelsen av kontrolltiltak og risikohåndtering?
  • Hvem har ansvar for å iverksette planen for håndtering av risikoer (oppside/nedside)?
  • Hvilke ressurser er nødvendige (penger, mennesker, informasjon, teknologi)?
  • Har det blitt utført en kost-nytte-analyse med hensyn til risikotiltaksplaner?

 

 

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

 Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no 

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

OLYMPUS DIGITAL CAMERA

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).		   X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I		 ISO 31000:2009 Risikoledelse
Ordforklaringer		 X
X		 X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

Gravatar
WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Avbryt

Kobler til %s

%d bloggere liker dette: