ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul A7 Den sykliske kjerneprosessen/ERM-kjerneprosessen
ENHET A7.6 Rapportering og dokumentering:
beskriver det overordnede formålet med rapporteringen av vesentlige muligheter/trusler og håndtering av disse.
Videre forskjellen på ekstern og intern rapportering og hvordan en rapport kan utformes og hva en rapport bør innholde. |
Det overordnede formålet med rapporteringen av vesentlige muligheter/trusler og håndtering av disse er:
- Forbedre kvaliteten og støtte beslutninger i rett tid.
- Bestemme prioriteringer mht. aksjon og forbedring.
- Gjøre den overordnede ledelsen og styret i stand til å adressere og håndtere vesentlige muligheter/trusler slik dette er påkrevd.
- Underbygge bestrebelsen på å tilfredsstille eksterne krav til rapportering.
|
Den informasjon ERM-prosessen kan gi, vil kunne være grunnlag både for interne og eksterne rapporter.
A7.6.1 Ekstern rapportering
Med eksterne rapporter mener vi rapporter som eksempelvis benyttes av:
- Investorer som i stadig mindre grad er fornøyd med utelukkende retrospektive regnskapsdata, og i stadig større grad forventer troverdig informasjon om organisasjonenes syn på sine fremtidsutsikter.
- Banker og finansinstitusjoner som etter hvert vil kunne gi bedre betingelser til kunder som åpenbart har kontroll med sine risikoer. (Ref. Basel II)
- Offentlige myndigheter som vil tilstrebe et stabilt næringsliv med trygge arbeidsplasser. Rapporteringen til offentlige myndigheter vil likevel i første rekke bære preg av ”egenmelding”, eller ”selvangivelse” der organisasjonens styre eller ledelse, skriver under på at organisasjonen har den nødvendige kontroll med risiko. (Ref. SOX, KonTraG etc.). Likeledes vil rapporteringen kunne tjene som dokumentasjon til særlige regnskapsmessige transaksjoner som avsetninger etc.
|
A7.6.2 Intern rapportering
Vårt primære mål med rapportering av muligheter/trusler er imidlertid i første rekke å sikre tilgjengeligheten til relevant informasjon internt, mht. de beslutninger som må tas på forskjellige ledelsesnivåer.
Figur A7-12 Eksempel på bruk av risikomatrisen til å fastlegge ansvars/- rapporteringsgrenser.
Sentralt her er spørsmålet om systemets evne til å få riktig informasjon frem til riktig organisatorisk nivå i riktig mengde og til rett tid.
Det er i den sammenhengen nødvendig å ta stilling til:
- Hvem er kilden til informasjonen? (Linjeledelsen eller frittstående arbeidsgrupper)?
- I hvilken grad har de ulike nivåene i linjeledelsen mandat til å overstyre/korrigere rapportene fra de ulike kildene(eventuelle arbeidsgrupper), og hva er i så fall forutsetningene for dette?
- Er toleranse-/terskelverdiene for de risikonivåene som er relevante for de ulike organisasjonsnivå klart definert, og i samsvar med ansvar og myndighet på de ulike organisatoriske nivåene?
|
Ved å definere toleranseverdier for den risiko de ulike organisatoriske nivåene skal befatte seg med, kan vi bidra til å begrense ”overinformasjonen” oppover i organisasjonen.
A7.6.3 Hvordan kan en rapport utformes og hva bør den inneholde?
Det finnes ingen lovpålagt krav med hensyn til utformingen av interne rapporter. Det bør imidlertid etter vår oppfatning utarbeides et begrenset antall standardiserte rapporter innen hver organisasjon. Begrensningen tjener først og fremst det formål at det letter utbredelsen og en ensartet forståelse av rapportene innen organisasjonen. En og samme rapport bør imidlertid kunne benyttes i ulike faser av ERM-prosessen. Riktig kombinasjon av tall og grafiske elementer vil kunne lette forståelsen og lesningen av den enkelte rapport. Enhver organisasjon må imidlertid finne frem til sin form i henhold til sin kultur og tekniske forutsetninger. Fig 7-13 illustrerer et alternativ.
7.6.3.1 Analyseskjemaet fra analysefasen
Figur A7-13 Eksempel på prinsipielt skjematur for rapportering.
En rapport til hjelp under analysen av den enkelte risiko bør omfatte:
- Nøkkel mot organisasjonens risikokategoriseringsmodell.
- Organisatorisk eierskap til risikoen.
- Faglig eierskap til risikoen.
- Beskrivelse av risikoen.
- Estimert maksimums- tap(”bruttotap”)/konsekvens pr. risiko før tiltak ved 100 %. sannsynlig-het.
- Perioden analysen gjelder for.
- Estimert sannsynlighet for tap pr. risiko før tiltak.
- Estimert sannsynlighet for tap (”netto”) etter foreslåtte tiltak.
- Estimert konsekvens av risiko etter tiltak.
- Estimert grad av iverksettelse av tiltak.
- Grafisk fremstilling av den enkelte risikos forventede sannsynlighet og konsekvens før eventuelle tiltak.
- Grafisk fremstilling av den enkelte risikos forventede sannsynlighet og konsekvens etter eventuelle tiltak.
- Grafisk fremstilling av oppnådd risikokontroll gjennom iverksettelse av foreslåtte tiltak.
- Estimert sannsynlig tap før tiltak i nominelle verdier.
- Estimert sannsynlig tap etter tiltak i nominelle verdier.
- Estimert sannsynlig tap ved nåværende grad av iverksettelse av tiltak i nominelle verdier.
- Opplisting og beskrivelse av tiltak.
- Organisatorisk ansvarlig for gjennomføring av tiltak.
- Faglig ansvarlig for gjennomføring av tiltak.
- Samme skjematur bør også kunne benyttes som ”input” til ERM-prosessen fra de respektive risikorapportørene.
|
7.6.3.2 Evalueringsskjemaet fra evalueringsfasen
Under evalueringen er det sammenligningen og prioriteringen av de respektive risikoer som står i fokus. Den primære hensikten er da å komme frem til hvilke risikoer som rettferdiggjør organisasjonens knappe ressurser på kort og lang sikt. For å kunne sammenligne disse mot hverandre, kan det være hensiktsmessig å liste opp, eller sortere risikoene etter aggregering på de respektive nivåer slik at risikoene med de høyeste verdiene kommer først. Hvilke verdier vi sorterer risikoene etter, vil eventuelt kunne være avhengig av hvilken tidshorisont vi ønsker visualisert.
Figur A7-14 Eksempel på rapport for evaluering av risikoer.
Noen eksempler på disse forskjellene kan være:
- Ved sortering på nominelle verdier av estimert sannsynlig tap før tiltak, får vi en langsiktig oversikt over konsekvensene av manglende mottiltak.
- Ved sortering på nominelle verdier av estimert sannsynlig tap etter tiltak, får vi en langsiktig oversikt over konsekvensene av en eventuell gjennomføring av mottiltak.
- Ved sortering på nominelle verdier av estimert sannsynlige tap regulert for iverksettelsesgraden av tiltak, får vi en kortsiktig oversikt over konsekvens-ene, dersom en eventuell hendelse skulle inntreffe på nåværende tidspunkt.
|
A7.6.3.3 Aggregering
En evaluering for hver organisasjonsenhet som helhet, kan ikke gjøres fullt ut før en aggregering på det respektive organisatoriske nivå foreligger.
FigurA 7-14 Eksempel på rapport for evaluering av risikoer.
Vanligvis bør den enkelte organisasjonsenhet ha en enkelt ansvarlig ”Risk Champion”, som innhenter data fra ”risikorapportørene” og aggregerer disse på ønsket nivå. Hvilke nivåer det er hensiktsmessig å aggregere på, vil i stor grad være avgjort gjennom organisasjonenes øvrige rapporteringsverk og definisjoner i kontekst.
Eksempler på ulike aggregeringsnivåer kan være:
- Risiko (detaljnivå).
- Risikokategori (risikogruppe/-art).
- Organisatorisk nivå (jf. toleranseverdier).
- Forretningsenhet.
- Spesialistavdelinger.
- Bransjer.
- Divisjoner.
- Produktgrupper.
- Konsern.
|
På det overordnede nivå er det vanligvis CRM (Corporate Risk Management), eller CRO (Chief Risk Officer), som er ansvarlig for å sammenfatte organisasjonenes analyser i en overordnet evaluering. For organisasjoner med matriseorganisasjon bør aggregeringen omfatte alle organisasjonens dimensjoner.
Som tidligere nevnt bør antallet rapporter begrenses. Vi vil imidlertid kunne benytte samme rapport på ulike aggregeringsnivåer.
A7.6.4 Risiko rapporteringsfrekvens
Innen de ulike resultatenhetene og spesialistavdelingene i organisasjonen, bør rapporteringsfrekvensen fra ERM-prosessen synkroniseres med andre prosesser. Dette kan eksempelvis gjøre det hensiktsmessig at en resultatenhet gjennomgår hele eller deler av prosessen fire ganger pr. år, mens en annen bare gjør dette en gang pr. år. Det er imidlertid viktig at alle organisasjonsenhetene har minst en synkronisert gjennomføring av prosessen, som kan bygge opp under strategi og budsjetterings-prosessen. ERM-prosessen kan avdekke viktige muligheter som forutsetter bevisst og målrettet handling for å kunne utnyttes. En naturlig forutsetning for dette, er at organisasjonen i sine budsjetter har avsatt nødvendige midler til å forfølge sine mål, når mulighetene eventuelt ligger best til rette for dette. Det samme vil gjelde for de muligheter/trusler prosessen avdekker. De ulike risiko-/ mulighetsstrategier(-tiltak) organisasjonen velger må nødvendigvis få budsjettmessige konsekvenser. Forventede kostnader ved foreslåtte tiltak må legges til budsjettet, mens de positive konsekvensene av redusert risiko må trekkes fra kostnadene. Andre ”spin off” effekter må også vurderes.
Hyppige gjennomkjøringer av ERM-prosessen og ORM-prosessene kan innledningsvis synes ressurskrevende. En effektiv prosess krever imidlertid en kollektiv forståelse og samhandling, som kan være vanskelig å innarbeide og opprettholde ved sjeldne gjennomkjøringer av prosessen. Likedan vil de ved hyppigere gjennomkjøringer være færre endringer fra gang til gang, og tidligere analyser vil i større grad huskes av den enkelte. Sist, men ikke minst, vil en hyppigere gjennomkjøring av prosessen kunne føre til at ”trykket” på gjennomføring av foreslåtte tiltak opprettholdes.
| Det er derfor vår anbefaling at gjennomkjøringen av prosessen gjøres minst to ganger pr. år, hvorav en gang er synkronisert med strategi og budsjetterings-prosessen. |
Det må imidlertid understrekes at denne rapporteringen ikke på noen måte erstatter organisasjonens løpende rapportering (ORM).
A7.6.5 Arkivering og oppbevaring av historiske rapporter
Viktige beslutninger med langsiktige konsekvenser, kan bli tatt på grunnlag av informasjonen som fremkommer gjennom ERM-prosessen. I ettertid kan det derfor være viktig å ha dokumentasjon på hvor og hvordan denne informasjonen har fremkommet. I andre sammenhenger kan det være aktuelt å benytte informasjonen som grunnlag for regnskapsmessige disposisjoner. Det er derfor vår anbefaling at rapportene behandles og arkiveres etter de samme prinsipper som regnskaps-underlag (jf. Bokføringsloven av 28. oktober 2004).
A7.6.6 Forberede rapporterings- og dokumentasjonsplaner
Dokumentering av ERM er avgjørende for håndtering av muligheter/trusler og for å møte relaterte ansvarlighetskrav. Det bør være prosedyrer på plass for den periodiske ERM-prosessen (identifisering, analysering, evaluering, tiltak og rapportering) av muligheter/trusler forbundet med driften av avdelingen eller til lovbestemte myndigheter, sammen med passende overvåking og håndtering og praksis.
Organisasjoner bør opprettholde et passende nivå og standard for dokumentasjon som del av prosessen med å:
- Kommunisere policy forventninger.
- Gi riktig forståelse av ERM-prosessen og relevant input for opplæring.
- Sikre at prosessen blir gjort riktig.
- Gjøre det mulig å ta beslutninger, gjennomgå prosesser og handlingsplaner.
- Vise ansvarlighet og gi en revisjonslog.
- Oppfylle eksterne krav.
- Oppfylle interne krav.
|
Dokumentasjon for håndtering av muligheter/trusler bør ikke pålegge organisasjonen et annet lag med papirarbeid for organisasjonen. Beslutninger og prosesser som involverer ERM bør dokumenteres i den grad det er hensiktsmessig under omstendighetene, men ikke noe mer.
A7.6.7 Implementere rapporterings- og dokumentasjonsplaner
Hvor organisasjon bør inkluderer ERM i sine strategisk og operativ planlegging, ERM-planer kan integreres i eksisterende plan-og rammeverk.
Notatene nedenfor gir en trinn-for-trinn beskrivelse av dokumentasjonen som følge av ERM-prosessen.
Dokumentasjonen oppsummerer et foreslått spekter av dokumentasjon.Trinn 1: Opprette kontekstFor en større gjennomgang, bør dette trinnet dokumenteres for å vise at hele spekteret av miljø-og kontekstuelle faktorer har vært vurdert, for å sikre en konsekvent vurdering av muligheter/trusler ved hjelp av etablerte risikokriterier, og for å opprettholde profilen til interessenter og spørsmål om ansvarlighet. Dokumentasjonen skal identifisere funksjonen, tiltenkt utfall, relevant interessenter, faktorer i interne og eksterne miljø, kriterier for risiko, og nivået på dokumentasjon som kreves i senere stadier.For en aktivitet på et lavt nivå, kan det være hensiktsmessig med en kort oversikt over analysen.Trinn 2: Identifiser muligheter/truslerList opp hver mulighet/trussel og identifiser kilden og konsekvenser. Klassifiser muligheter/trusler under funksjonelle grupper der det er hensiktsmessig. Identifiser hver kontroll prosess. Identifiser områder for videre undersøkelse om nødvendig. Vi mener at vår risikokategoriseringsmodell (risikoregister) er et nyttig verktøy for å utføre dette og de påfølgende trinnene, særlig i store og komplekse organisasjoner. Trinn 3: Analyse av muligheter/truslerDokumenter begrunnelsen for utelukkelse av svært lave muligheter/trusler. For alle andre muligheter/trusler, dokumenter eksisterende kontroller, sannsynligheten for forekomst med eller uten kontroll, alvorlighetsgraden av konsekvensene med eller uten kontroll, og nivået på resultatet. Dokumentasjonen skal også forklare metoden som brukes i analysen. Trinn 4: Evaluere og prioriter mulighetene/trusleneList opp akseptabel risiko og begrunn hvorfor de anses akseptable. List opp uaksep-tabel risiko i prioritert rekkefølge og de muligheter som her kan utledes. Trinn 5: Tiltak muligheter/truslerDokumenter en liste over mulige alternativer for tiltak, handlingsplan for implementer-ing av tiltak og nivået på gjenværende risiko.Trinn 6: Rapportering og dokumentasjon av muligheter/trusler
Dokumenter hvilke standardiserte dokumenter for ERM organisasjonen trenger internt og eksternt.
Trinn 7: Overvåking og håndtering
Dokumenter implementeringsovervåkings- og håndteringsplanen. |
A7.6.8 Sjekkliste for rapportering og dokumentasjon
Dokumentasjon bør inneholde følgende.Organisasjonens ERM-policy:
- Målsettingene i ERM-policyen og begrunnelsen for ERM.
- Koblingene mellom policyen og organisasjonens strategiske/ forretningsmessige plan.
- Omfanget eller utvalg av saker som gjelder policyen.
- Veiledning om hva som kan anses som akseptabel risiko.
- Hvem som er ansvarlig for å håndtere muligheter/trusler.
- Støtte/erfaring til hjelp for de som er ansvarlige for å håndtere muligheter/trusler.
- Nivået på dokumentasjonen som kreves.
- Plan for gjennomgang av organisasjonens prestasjon i forhold til policyen.
Risikokategoriseringsmodellen (hos andre kalt risikoregister), som skal registrere for hver oppside/nedside risiko som er identifisert:
- Kilden til risiko.
- Arten av risiko.
- Eksisterende kontroller.
- Sannsynlighet og konsekvenser.
- Innledende rating/vurdering.
- Sårbarhet til eksterne/interne faktorer.
Ut ifra nedside risikoene(truslene) utledes så eventuelle oppside risikoer(muligheter).
Tiltaksplanlegg og handlingsplan, som skal dokumentere hvilke ledelseskontroller som har blitt vedtatt, og som lister opp følgende informasjon:
- Hvem som har ansvaret for gjennomføring/implementering av planen.
- Hvem som skal være involvert – interessenter, personell, deltakere, kontakter etc..
- Hvilke ressurser som skal benyttes.
- Budsjett tildeling.
- Tidsplan for gjennomføring/implementering.
- Detaljer om mekanismen og hyppigheten av gjennomgangen av etterlevelse av tiltaksplanen.
Erklæring om etterlevelse av krav (compliance), som i noen tilfeller kan være et krav, slik at ledere formelt erkjenner sitt ansvar for å overholde ERM-policyen og ERM-prosedyrer. Slike uttalelser bør henvise til relevante resultatavtaler, og helst gjenspeile alle påstander i organisasjonens årlige rapport, spesielt erklæringen om organisasjonens etterlevelse av offentlige krav.
Overvåking og håndtering, som skal dokumentere:
- Detaljer om mekanismen og hyppigheten av gjennomgang av mulighet/trussel og ERM-prosessen som helhet.
- Resultatet av håndteringer og andre overvåkningsprosedyrer.
- Detaljer om hvordan vurderingsanbefalingene blir fulgt opp og implementert.
|
Viktige spørsmål ved rapportering av muligheter/trusler:
- Har organisasjonen prosedyrer for rapportering av muligheter/ trusler?
- Er forandringer mht. organisasjonens muligheter/trusler identifisert, analysert. evaluert, vurdert og rapportert på kontinuerlig basis og likeledes mht. deres virkning på målsettingene.
- Har organisasjonen en klart definert policy og prosess for rapporteringen av forandringer, uhell og manglende kontroll når de oppstår.
- Gir rapporteringsprosessen styret, ledelsen, CRO, risikorapportører, internrevisjon, andre ansatte og interessegruppene nok informasjon om muligheter/trusler og kontroll til å være i stand til å gjøre de nødvendige beretninger i det årlige regnskapet?
- Finnes det formelle rapporteringsprosedyrer/retningslinjer for muligheter/trusler?:
– For styringsgrupper og intern revisjon?
– For ledelsen?
Er disse hensiktsmessige?
- Vurderes og oppdateres oppsiden/nedsiden av vanlige og vesentlige risikoer regelmessig for å forsikre seg om at disse er under kontroll?
- Blir ”topprisikolisten (både oppsiden/nedsiden)” vurdert og oppdatert regelmessig?
- Blir ”topprisikolisten (både oppsiden/nedsiden)” spredd til de riktige folkene i organisasjonen?
- Er muligheter/trusler og håndtering av disse adressert på en hensiktsmessig måte?
– Styringsgrupperapporter fra internrevisjon?
– Ledelsesrapporter?
- For hver nedside risiko som går ut over definerte verdier, har her det riktige ledelsesnivået godkjent iverksettelsen av kontinuitetsplanen,(”Business Continuity” planen, kriseplanen, katastrofeplanen)
- Har det blitt forberedt en statusrapport for oppside/nedside risiko for å få spredd avanserte informasjonsvurderinger (og andre som er hensiktsmessige)?
- Har prosesser for å akseptere og rapportere tilleggsrisikoer (oppside/nedside) i organisasjonen blitt fulgt?
- Der det er hensiktsmessig, har det blitt rapportert “føre var”(proaktive) indikatorer til ledelsen?:
– Innenfor regulære ledelses- og informasjonsrapporter?
– Tilstrekkelig ofte?
- Er det på plass hensiktsmessige rapporteringsrutiner med ansvarlighet (dvs. hvordan disse skal brukes, når og av hvem som eier av prosessen)?
- Er nivået på forpliktelse mht. rapporteringsprosessen, tilstrekkelig eller er det mangel på forpliktelse?
- Når det vurderes og rapporteres brukbarhet og effektivitet, er vurderingene bygget mer på fakta enn spekulative?
- Kan vi stole på nøyaktigheten av rapporteringen?
- Er det oppnådd hensiktsmessig eierskap til statusrapporteringsmekanismer (dvs., hvordan de vil bli brukt, når og av hvem som eiere av prosessen)?
|
ERM- guidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg |
Bakgrunn, behov, ERM-systemet og – prosesser
|
FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii
1. RISIKO 6
1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30
2. ENTERPRISE RISK MANAGEMENT – ERM 33
2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76
3 ORGANISASJONEN OG BEHOVET FOR ERM 81
3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110
4 SYSTEM OG PROSESSER 115
4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121
5 BEDRIFTSMILJØET 123
5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153
6. ETABLERING AV KONTEKST FOR ERM 156
6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192
7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195
7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231
8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234
8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249
9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251
9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258
10 STIKKORDSREGISTER 260
11 VEDLEGGSOVERSIKT 265 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Del på bloggen
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar