ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul A2 Enterprise Risk Management
ENHET A2.13 Kommunikasjon og konsultasjon og ERM:beskriver at ERM foregår i en sosial kontekst. Det betyr at informasjonen må deles av mennesker som er rammet ulikt av et sett av muligheter/trusler som vet forskjellige ting om disse, og som har ulike syn på dem. Viktigheten av å utvikle en kommunikasjonsplan for både interne og eksterne interessenter i tidligst mulig fase av implementeringen av ERM i organisasjonen ved siden av risikoeierskap og rollen til CRO(Chief Risk Officer(risikokoordinatoren) beskrives også. |
ERM foregår i en sosial kontekst. Det betyr at informasjonen må deles av mennesker som er rammet ulikt av et sett av muligheter/trusler som vet forskjellige ting om disse, og som har ulike syn på dem.
Det er derfor viktig å utvikle en kommunikasjonsplan for både interne og eksterne interessenter i tidligst mulig fase av implementeringen av ERM i organisasjonen. Denne planen bør ta opp spørsmål knyttet til både muligheter/trusler i seg selv og prosessen for å klare det.
Kommunikasjon og konsultasjon er kontinuerlige og gjentakende prosesser som en organisasjon gjennomfører for å gi, dele eller få informasjon og til å engasjere seg i dialog med interessenter om håndteringen av muligheter/trusler.
Konsultasjon er en toveis prosess av informert kommunikasjon mellom en organisasjon og dens interessenter på en sak før den tar en beslutning eller bestemmer en retning på saken..
Konsultasjon er videre en prosess som har konsekvenser på en beslutning gjennom påvirkning mer enn makt og er en input til beslutningsprosessen.
Den rådgivende teamtilnærmingen betyr at ERM ikke er planlagt kunstig, i isolasjon, og deretter pålagt organisasjonen utenfra. Snarere er ERM utviklet i samråd med de som forstår mulighetene/truslene, og er best i stand til å identifisere og håndtere dem.
Kommunikasjon og konsultasjon nevnes ofte som den mest ignorerte delen av ERM. Organisasjonen må ikke bare sikre at rapporteringen av muligheter/trusler foregår oppover til høyere nivåer, men også at toppledelsens beslutninger om risikotoleranse og prioriteringer for handling blir kommunisert tilbake, nedover på forretningsområdenes nivå. Dette er den eneste måten å bygge en enhetlig kultur for helhetlig og integrert risikoledelse(ERM).
I og med at ERM kun har suksess når den er utbredd/gjennomsyrer hele organisasjonen, er effektiv kommunikasjon en av de mest vitale komponentene i ERM-systemet (-rammeverket)
Eierskap til oppside/nedside risikoer er også av vital betydning for å implementere et ERM-program med suksess, fordi det plasserer ansvar og myndighet for flyktige situasjoner på de interessentene som direkte blir påvirket av risikoene. For å operere effektivt, krever ERM at organisasjonen kommuniserer klart med alle sine interessenter. Kommunikasjon om muligheter/trusler bør være en vedvarende prosess som tilstreber å engasjere alle interessentene i en konstant dialog med organisasjonen. Det er viktig for en organisasjon å etablere eierskap til muligheter/trusler (risikoeierskap), ikke bare med sine interne interessenter, men også med sine eksterne interessenter. Da en organisasjon påvirkes av prestasjonen til eksterne interessenter og vice versa, må begge ha en rimelig bekreftelse på at alle de involverte i et økonomisk nettverk identifiseres og håndterer sine egne muligheter/trusler.
A2.13.1 Viktigheten av risikoeierskap hos interne interessenter
Risikoeiere er en essensiell og nødvendig komponent i et ERM-program. Interne interessenter og/eller partnere som blir påvirket av flyktige situasjoner (muligheter/trusler) er ofte best i stand til å forstå og håndtere flyktigheten som risikoeiere.
Risikoeierskap er uunnværlig for et ERM-program fordi det plasserer ansvaret for det å ta risiko på interessentene som direkte blir berørt av risikoen. Når muligheter/trusler blir effektivt håndtert av risikoeierne, forblir ofte variasjoner fra forventninger innen organisasjonens risikotoleranse. Når eierskap ikke er etablert, blir situasjonene som oftest ikke effektivt håndtert og utfallet kan falle utenfor organisasjonens ønskete rekkevidde, eller risikoappetitt.
Forskjellige grupper av interne interessenter er ansvarlige for forskjellige typer av risiko, men alltid en tilnærming på kryss og tvers av organisasjonen. Hver risikoeiers oppside/nedside risikoer er forskjellige i omfang og innvirkning fra risikoer på styrenivå, som er forskjellig fra de risikoene som toppledelsen står overfor, som igjen er forskjellig fra risikoene som andre medarbeidere/ansatte står overfor. Risikokoordinatoren (Chief Risk Officer) er ansvarlig for å koordinere disse interne interessentenes ERM-aktiviteter og gi lederskap, trening og kommunikasjonsarenaer.
For å sette pris på verdien av god interessenthåndteringskommunikasjon bør det tas hensyn til høy turnover av ansatte, kunder, og til og med investorer. Mange organisasjoner mister alt for lett nøkkelmedarbeidere etter 3 til 4 år. Investorer oftere. Disse turnover tallene kan være forårsaket av mangelen på å forstå eller sette pris på nivået av risikoinnsikt fra hver interessent eller deres mangel på forståelse for risikoeierskap.
A2.13.2 Hvorfor er risikoeierskap essensielt/viktig for å øke ERM-programmets (-planens) sjanse til å lykkes?
Risikoeierskap er konseptet at ansvaret for hver aktivitet som skaper en oppside/nedside risiko for en organisasjon er tildelt en part. Hver risikoeier har så myndighet til å håndtere den mulighet/trussel, han/hun er ansvarlig for utfallet av, hans/hennes handlinger, og er ansvarlig for å håndtere denne muligheten/trusselen.
Risikoeierskap for en spesiell mulighet/trussel bør bli tildelt til interessenter som enten skaper muligheten/trusselen eller som primært blir påvirket av dens flyktighet, fordi han eller hun som oftest er best posisjonert og motivert til å håndtere oppside/nedside risikoen. For eksempel må en prosjektleder som outsourcer et konstruksjonsprosjekt evaluere hver risiko som er involvert, identifisere den relative viktigheten for hver risiko, og så bestemme passende risikohåndteringsaksjoner. Ved hjelp av interne retningslinjer, hvis det er nødvendig fra Chief Risk Officer (risikokoordinatoren) eller toppledelsen og styret, bestemmer prosjektlederen hvordan muligheten/trusselen skal håndteres, rapporterer om hvorvidt de har lykkes med sine håndteringsstrategier, og blir belønnet for handlinger som fører til et positivt resultat.
For denne modellen med å lykkes, kan de ikke eksistere noen ”foreldreløse risikoer”. Hver oppside/nedside risiko må tildeles en risikoeier. Svikt i å tildele hver risiko til en risikoeier kan ha katastrofale tapskonsekvenser eller forårsake tap av betydelige gevinster.
A2.13.2.1 Hvordan motiver til risikoeierskap
Å tildele risikoeierskap til individer bør være en bevisst prosess. Individer som blir tildelt risikoeierskap må både ha kompetanse og myndighet til å håndtere både mulighetene/truslene. Kompetanse blir oppnådd når organisasjonen gir hensiktsmessig trening, incentiver og verktøy for å håndtere muligheter/trusler.
Risikoeiere må handle i henhold til organisasjonens risikoapptitt og følge de etablerte reglene for håndtering av muligheter/trusler. Deres ansvar er å forstå organisasjonens mål og verdier, måle og håndtere mulighetene/truslene i sine operasjoner. De må altså promotere sikkerhet og risikooppmerksomhet, sjonglere prioriteter i henhold til en mulighets-/trusselanalyse, og rapportere sine håndteringsaktiviteter til andre.
Skikkelig motivasjonsteknikker hjelper til med å implementere ERM og risikoeierskap. Mens mange motivasjonsteorier eksisterer, er en enkel definisjon på motivasjon ”et behov eller ønske som får en person til å handle: ”Jo større en persons motivasjon er, desto hardere vil hun eller han strebe etter og nå hans eller hennes mål”.
En motivert medarbeider kan støtte opp om organisasjonens mål. Hvis han eller hun er demotivert kan han eller hun arbeide i mot organisasjonens mål, eller rett og slett feile med hensyn til å influere på målene. Ideelt bør ansatte være motivert til å handle for å støtte opp om organisasjonens mål og akseptere ansvaret for mulighetene/truslene som er tildelt dem.
Eksempler på positive uttalelser som ledere kan bruke til å motivere risikoeiere:
|
Det er mange praktiske veier til å motivere en ansatt til å akseptere ansvaret for muligheter/trusler gjennom positive forsterkninger:
|
A2.13.3 Definere interne interessenter som risikoeiere
Både interne og eksterne interessenter er opptatt av at organisasjonen lykkes. De interne interessentene består av eiere, styret, og organisasjonen, og er enten direkte ansatt i organisasjonen eller som nevnt eiere (som både kan være ansatte eller eksterne). Interessenter i statlige eller kommunale organisasjoner inkluderer byråsjefer, rådmenn, presidenter, statsminister og ansatte.
A2.13.3.1 Risikoeierskap for organisasjonens eiere
En organisasjon kan være eiet av forskjellige juridiske enheter. Den vanlige eierskapsstruktur inkluderer enkeltpersonforetak, partnerskap, selskaper og statlige og kommunale enheter. Hvis organisasjonen er en statlig eller kommunal enhet, er:
- Eierne – befolkningen som den er satt til å tjene. I slike tilfeller må det offentlige ta eierskap til de muligheter/trusler som de statlige eller kommunale enhetene skaper. Denne ansvarligheten inkluderer tilsynsplikter og stemningsgivning til representanter som skal handle i henhold til fellesskapets interesse. Svikt i det offentlige med. å akseptere eierskap til sin styring kan resultere i statlige og kommunale programmer som er støtende eller som fører til sløsing med fellesskapets midler.
Hvis organisasjonen er et selskap, er eierne aksjonærer, og hver har en plikt til å overvåke selskapet. Vanlige aksjeeiere har ansvaret for å stemme for styret til å rettlede selskapets ansatte i å nå aksjeeiernes mål. Disse målene bør inkludere et nivå på den økonomiske prestasjonen (gevinst eller vekst), et nivå på sosial rettferdighet (ansattes eller offentlige relasjoner), eller et nivå på miljømessig forvaltning. Variabiliteten for å nå disse målene må til slutt være skapt hos aksjeeierne. De skal stemme for styremedlemmene som skal forfølge aksjeeiernes interesser og mål. Aksjeeierne eier selskapet, og de eier mulighetene/truslene assosiert med selskapet.
Aksjeeierne er folk og organisasjoner som for eksempel truster og finansinvestorer som har en interesse i en organisasjons gevinst og tap. Kommunikasjonen inkluderer vanligvis en årsberetning og, hvis det er nødvendig, en advarsel om resultatet, som er en uttalelse før resultatet blir offentliggjort som advarer mot tap som kan være større enn det som tidligere har vært estimert.
Denne uttalelsen dekker fire områder med bekymringer:
|
A2.13.4 Rollen til risikokoordinatoren (Chief Risk Officer) overfor interne interessenter som risikoeiere
En Chief Risk Officers (risikokoordinatorens) rolle er å sikre at risikoeierskapet blir håndtert skikkelig. Dette ansvaret kan inkludere i å assistere fordeling av risikoeierskap til hensiktsmessige parter, koordinere risikoeierskapsaksjoner, trene risikoeiere i å utføre sine risikoeierskapsjobber, og hjelpe til med forberede rapporter om muligheter/trusler. I settingen av ERM, er Chief Risk Officer (risikokoordinatoren) et senior medlem i organisasjonen, som samhandler med topplederen og styret slik at andre ledere og styret kan få tilgang til kunnskapen og ekspertisen til Chief Risk Officer (risikokoordinatoren). Chief Risk Officer (risikokoordinatoren) kan opptre som coach, sikre at ledelsen forstår ERM og akseptere eierskap for muligheter/trusler.
En nøkkelrolle for Chief Risk Officer (risikokoordinatoren) er å koordinere aktivitetene hos risikoeierne for å sikre konsistens gjennom organisasjonen. Den prinsipielle metoden for å oppnå koordinerte aksjoner er å sikre at det eksisterer et kommunikasjonsnettverk som er effektivt og effisient. Chief Risk Officer (risikokoordinatoren) må jobbe nært i samarbeid med IT avdelingen for å gi opplæring og verktøy for å dele ideer, observasjoner og anbefalinger. Når organisasjoner blir avhengig av teknologi for å drive veksten og håndtere sine prosesser, har IT avdelingen et formidabelt ansvar for flyktigheten til informasjon og utstyr. Ikke bare må fysiske eiendeler beskyttes mot brann og andre trusler, men et sikkerhetsprogram må være på plass for å overvåke trusler vedrørende informasjon. IT personell, med sin spesialkompetanse, er best posisjonert til å ta eierskap til disse risikoene, til å utforme ERM-planer og til å frembringe rapporter om sine aktiviteter.
Chief Risk Officer (risikokoordinatoren) må også arbeide nært sammen med personalavdelingen, som utfører rekruttering, trening og videreutdannelses-programmer og kan også bli involvert i godtgjørelses- og incentiv programutvikling. Personalavdelingen spiller en kritisk rolle i å etablere eller kommunisere risikoeierskap for hver jobb. Dette krever et nært samarbeid med Chief Risk Officer for å sikre at enhver risikoeierkapsrolle for hver posisjon blir klart artikulert.
Til slutt må Chief Risk Officer samarbeide nært med internrevisjonen for å sikre at risikoeierskapet blir overvåket uavhengig. Internrevisjonen må ha en bred forståelse og akseptans av ERM og risikoeierskap for å sikre at den overvåker og betrakter spørsmålene helhetlig. Mens internrevisjonen ikke er ansvarlig for organisasjonens ERM-implementering eller håndtering, eier internrevisjonen sine egne risikoer, som inkluderer å innhente og formidle informasjon.
Internrevisjonens rolle er å overvåke og evaluere organisasjonens operasjoner og å gi anbefalinger til styret og toppledelsen for håndtering av muligheter/trusler.
Chief Risk Officer observerer hvordan risikoeiere samhandler og utfører sine ERM- plikter for å sikre at alle flyktige hendelser er hensiktsmessig håndtert hos den risikoeier det gjelder. Inntil i dag har flere større skandaler, som de store amerikanske selskapene Enron, Fannie Mae og Freddie Mac vist hvordan tradisjonelle modeller for risikohåndtering har feilet. Hvis risikoeierskapet bare er til stede på toppledernivå, blir ofte risikoene håndtert i siloer, og ikke i et helhetlig perspektiv.
A2.13.5 Kommunikasjon med interessentene
Forretningsmessig kommunikasjon, spesielt i en ERM-kontekst krever kunnskap og refleksjon. En organisasjon som kommuniserer med suksess med sine interessenter vil mer sannsynlig nå sine mål.
For å være effektiv krever ERM at organisasjonen klart kommuniserer med alle sine interessenter, dette for å sikre at rmulighetene/truslene er forstått av alle. Å ignorere behovet til noen interessenter kan ha katastrofale følger. Det er ofte for mye vektlegging på kommunikasjon først og fremst når en krise oppstår. Isteden bør kommunikasjon om muligheter/trusler være en kontinuerlig prosess som streber etter å engasjere alle interessentene i en konstant dialog med organisasjonen. Goodwillen som genereres med transparent (åpen) informasjon i roligere tider vil skape et fellesskap av tillit og troverdighet som vil være fordelaktig hvis turbulente tider leder til en krise.
Et ERM-kommunikasjonssystem med suksess krever en forståelse av forskjellige nøkkelkonsepter:
|
A2.13.5.1 Fundamentet for ERM-kommunikasjon
Kommunikasjonen med interessentene er essensiell i ethvert aspekt i ERM-prosessen, inkludert det å forstå mål, risikoappetitt, og verdier, rekruttere og beholde ansatte, relasjoner til leverandører og kunder, offentlige relasjoner, beskrive muligheter/trusler, implementere forandring, og rapportere om ERM-programmets suksess til andre.
Fundamentet av et effektivt ERM-kommunikasjonssystem er typisk bygget på en forståelse for ledelsens stil, kommunikasjonsmessig etikk, kommunikasjons-problemer, og praktiske retningslinjer for effektiv kommunikasjon.
Ledelsesstil
En organisasjons kultur indikerer dens spesielle ledelsesstil og kommunikasjon. Denne stilen influerer på kommunikasjonen med alle organisasjonens interessenter. Ledelsen kan forgi en delegeringsstil, direktivstil eller en støttende stil. I forbindelse med en delegeringsstil gir ledelsen en bred, strategisk retning, men lar interessentene skape sine egne metoder for å oppnå målene. I kontrast tar ledere som bruker direktivstilen de fleste beslutninger og forteller eksakt hva som skal gjøres for å nå målene. Ledelsen begrenser flyten av informasjon i interessen av effisiens. I den støttende stilen forklarer ledelsen grunnene til målene og beslutningene og oppmuntrer interessentene til å forfølge relaterte bestrebelser. Ledelsen er åpen for tilbakemelding fra andre, og interessentene kan etablere sine egne kommunikasjonsnettverk.
Etisk kommunikasjon
Å gjøre de ”rette tingene” er ikke så lett som det lyder, spesielt ikke når en håndterer konfidensiell informasjon og eksterne interessenter. For eksempel, anta at en toppleder forventer å måtte si opp noen ansatte snart, men trenger disse i dag for å fullføre et prosjekt. Når burde denne informasjonen gjøres kjent for styret, til de ansatte og til aksjeeierne?
Det er vanligvis ikke noe lett svar på etiske spørsmål, men organisasjonen bør minimum handle i henhold til lovpålagte krav. Et eksempel kan være at dette ikke settes yrkesforbudsmessige krav på grunn av en konkurranseklausul som etisk ikke kan forsvares. Rettledende prinsipper kan finnes i organisasjonens kultur eller verdimessige uttalelser. Etiske relasjoner mellom interessenter som inkluderer etisk kommunikasjon, forbedrer organisasjonens omdømme.
Kommunikasjonsproblemer
Et av de vesentligste kommunikasjonsproblemer i risikoledelse er bruken og misbruken av teknisk sjargong. Risikoledelse involverer tekniske områder som risikobeskrivelse, statistikk, og engineering. Kommunikasjonsutfordringen er å oversette uttrykkene som blir brukt i disse disiplinene til et enkelt språk. Et klassisk eksempel er interpretasjonen av ordet ”risiko”. Spør tretti forretningsfolk å definere risiko, og du får muligens 30 forskjellige definisjoner. Noen definerer det som volatilitet, andre som muligheter for tap, og andre igjen som uventede tap eller vinning. Inntil organisasjonens interessenter har en felles eller delt forståelse for ERM-vokabularet vil kommunikasjonen vedrørende ERM-informasjoner være problematisk. Dette er en grunn til at det for organisasjoner er fornuftig i å ta i bruk den nye internasjonale standarden ISO 31000:2009, der et felles internasjonalt vokabular er tilgjengelig.
Et tilknyttet problem i kommunikasjonen eksisterer hvis publikummet ikke er familiær med ERM-konseptet. Personen mottar muligens et budskap og forstår ikke at et enkelt stykke informasjon kan passe inn i et porteføljesyn med hensyn til risikoen. For eksempel kan det være uklart for en interessent hvordan en brann i organisasjonens produksjonsanlegg kan resultere i tap av designplaner som trengs for å forsvare et søksmål vedrørende et patent. Korrelasjoner mellom betydelige tap trengs å bli forklart.
Et annet kommunikasjonsproblem er at mange ERM-spørsmål har emosjonelle effekter. Å rapportere om katastrofale utfall kan trigge sinne, forlegenhet, eller frykt, og budskapet kan resultere i en aksjon, et tiltak som ikke er ønsket.
Det er også utfordringer og vanskeligheter relatert til det å uttrykke ideer. Dette er et vanlig problem mår det kreves muntlige presentasjoner. Ofte antar en person som leverer et budskap om en utfordrende risiko på sitt eget område av ekspertise, at publikummet forstår alt med hensyn til de konseptene som assosieres med denne risikoen, som tekniske, lovmessige eller finansielle konsepter. For eksempel når en IT leder prøver å forklare til et marketingteam de tekniske grunnene til at et computersystem mislykkes i å gi ønsket klientinformasjon.
Til slutt en tilleggsutfordring, unngå å forhåndsdømme andres risikoappetitt. Spesielt den til eksterne interessenter. Eksterne interessenter har sin egen individuelle ledelsesstil og kommunikasjonsetikk. Det å lære om en annens risikoappetitt før en kommuniserer organisasjonens ERM-informasjoner vil hjelpe til å skreddersy informasjonen til publikummet.
Praktisk guide til effektiv kommunikasjon
Basisen for effektiv kommunikasjon inkluderer flere praktiske retningslinjer. Å forstå er best oppnådd når kommunikatoren tar ansvar for å lære disse retningslinjene:
|
A2.13.5.2 ERM-kommunikasjonskanaler
Å kommunisere ERM-ideer med folk både på innsiden og utsiden av organisasjonen er en rutineoppgave som krever gjennomtenkte refleksjoner, forberedelse og utførelse. Å uttrykke ideer med interessenter blir gjort via to kommunikasjonskanaler, avhengig av om det gjelder interne eller eksterne interessenter.
Kommunikasjonskanaler for interne interessenter.
Formelle og uformelle kommunikasjonskanaler muliggjør at informasjon blir spredd på tvers av organisasjonen. Organisasjonens offisielle struktur er en guide for å forstå formelle kommunikasjonskanaler. For eksempel, når en linje- eller medarbeiderstruktur adopteres, er kommunikasjonslinjene meget klare. Man rapporterer opp og ned langs linjene. Ledere dirigerer meldinger nedover i linjen for å kontrollere underordnes aktiviteter. Meldinger som dirigeres oppover gir lederne informasjon som de kan bruke til å fatte beslutninger.
Fordelen med dette formelle systemet er at enhver vet hvem de rapporterer til. Hovedulempen er at de ansatte ikke har tilgang direkte til hverandre og at meldinger kan bli forvrengt når de passerer gjennom linjen, eller det kan ta for lang tid å nå publikummet for meldingene. Uformell kommunikasjon overvinner disse problemene. Disse kanalene er en viktig kilde til informasjon i de fleste organisasjoner. Men de trengs å bli overvåket og kontrollert for å dempe sjansene for at informasjonen blir ugyldig eller forvrengt. En vanlig blanding av kanaler er risikoutvalget som bringer interne interessenter sammen fra forskjellige organisasjonsnivåer. Risikoutvalg tillater utveksling av ideer som senere kan bli distribuert gjennom formelle kanaler.
Kommunikasjonskanaler for eksterne interessenter
For å oppnå en optimal forståelse med eksterne interessenter må organisasjonen ha vel definerte eksterne kommunikasjonskanaler og prosedyrer. For eksempel når organisasjonen håndterer leverandører bør Chief Risk Officer vite nøyaktig hvem han/hun skal diskutere med når det gjelder risikoer i kapitalmarkedet, arbeidskraft, produkt og tjenestemarkedet. Likeså bør detaljerte instrukser være på plass, slik at informasjonen etter et tap kan relateres riktig til kunder, regulatorer og forsikringsselskaper. Disse instruksene må også spesifisere hva som kan eller ikke kan diskuteres med andre. Organisasjonens ERM-rammeverk/-system bør gi instrukser og maler vedrørende hensiktsmessige kommunikasjonskanaler med eksterne interessenter. Det er viktig å ha klart for seg, at kommunikasjon er en to-veis sak. Organisasjonen må ikke bare kommunisere sitt budskap om muligheter/trusler, men også lytte til eksterne interessenters interpretasjon (oppfatning) av de samme mulighetene/truslene. Dette er grunnen til at ISO 31000:2009 rammeverket insisterer på elementet ”kommunikasjon og konsultering.”
A2.13.5.3 ERM-kommunikasjon med interessentene
ERM-konseptet og prosessen krever et konsekvent anvendt kommunikasjonssystem for å sikre en skikkelig forståelse og implementering hos alle involverte. Dette kravet er eksemplifisert når Chief Risk Officer presenterer fordelingen av kostnadene av risikoer til andre ledere. Metoden for kommunikasjon bør være familiær for alle ledere så de kan fokusere på budskapet, snarere enn en tilnærmet fortellerpresentasjon.
Formelle ERM-kommunikasjonssystemer inkluderer:
|
A2.13.6 Viktigheten av risikoeierskap hos eksterne interessenter
Innen ERM-konteksten må alle interessenter, inkludert de som befinner seg utenfor organisasjonen, ta eierskap til muligheter/trusler. Eksterne interessenter må være i stand til både å forstå og håndtere sine egne oppside/nedside risikoer, som de til organisasjonen.
Risikoeierskap er essensielt for å lykkes med ERM-programmet fordi det plaserer ansvaret, ansvarligheten, og myndigheten for oppside/nedside risikoen på de interessentene som påvirkes av risikoene. Det er spesielt viktig for en organisasjon å plassere risikoeierskap hos sine eksterne interessenter, fordi de er uavhengige interessenter kan det være at de må bli overbevist av viktigheten av deres rolle i den samlede ERM-prosessen.
I og med at en organisasjon blir påvirket av eksterne interessenters prestasjon, må den ha rimelig bekreftelse på at eksterne interessenter identifiserer og håndterer sine egne muligheter/trusler. Like viktig er justeringen av eksterne interessenters risikoappetitt med den til organisasjonen. Hvis det er hensiktsmessig kan eksterne interessenter operere innen organisasjonens definerte risikoappetitt, dette kan bli fullført ved hjelp av kontraktsmessige klausuler om nødvendig. En ekstern interessents svikt i å kontrollere risiko kan ha ødeleggende konsekvenser for en organisasjon, spesielt hvis interessentene er en nøkkelpart av organisasjonens essensielle leverandørnettverk.
A2.13.6.1 Metoder for å etablere risikoeierskap
I mange organisasjoner er ikke risikoeierskapet klart definert. Selv i organisasjoner som definerer og tildeler eierskap, prøver interessenter, når de blir gjort oppmerksom på sine muligheter/trusler, å transferere eierskapet til andre, slik at de kan fokusere på andre aktiviteter. Et ERM-program som en ønsker å lykkes med krever av organisasjonen, at den etablerer risikoeierskap og utvikler et program for å hjelpe eierne i å håndtere sine muligheter/trusler.
A2.13.6.2 Etablere risikoeierskap
Å etablere risikoeierskap krever effektiv kommunikasjon. En organisasjon som omfavner ERM må forsikre seg om at eksterne risikoeiere forstår mål og forventninger vedrørende ERM, at de implementerer og forklarer prosessen de følger for å håndtere sine oppside/nedside risikoer. For eksempel må en importør av barneleker klart opplyse eksportøren behovet for trygge leker. Eksportøren, som en ekstern risikoeier må akseptere ansvaret med å produsere produkter som møter eller overtreffer importørens forventninger. For å oppnå dette bør eksportøren forklare produksjonsprosessene som han har implementert for å sikre tryggheten for sine produkter.
Hyppig gjør organisasjoner feil ved å forsinke vurderingen og håndteringen av risiko assosiert med et prosjekt og dets eksterne interessenter til lenge etter at prosjektet har begynt. ERM må bli innebygd i ethvert prosjekt fra begynnelsen av og i enhver relasjon med en partner fra begynnelsen av relasjonen. Å etablere det optimale nivået av risikoeierskap med eksterne interessenter er et av de første trinnene i eierskapshåndteringsprosessen. For eksempel når tidsplanen med eksterne interessenter etableres, bør Chief Risk Officer artikulere hver interessents forventet nivå av risikoeierskap.
Når eksterne interessenter blir assosiert med ”frie ressurser” (luft og vann for eksempel) og ikke har noen kontraktmessig relasjon med organisasjonen, kan det å tildele risikoeierskap være en utfordring. I slike tilfeller kan konsultasjon og kommunikasjon hjelpe til med å utvikle en delt versjon basert på felles interesser. For eksempel hvis et kjemisk anlegg lokaliseres ovenfor et vannreservoar (en type fri ressurs) må anlegget ta hensyn til forurensningen av vannreserven, selv om den ikke har direkte relasjon til kommunene som har rett til vannet.
A2.13.6.3 Utviklingen av et program/plan for å håndtere interessentenes risikoeierskap
Chief Risk Officer må ha et system for kontinuerlig å etablere, overvåke og oppdatere risikoeierskap for organisasjonens eksterne interessenter. Programmet er spesielt viktig i relasjonen til leverandører, forretningspartnere, regulatorer og kunder. Før en går inn i en forretningsmessig relasjon bør organisasjonen vurdere den eksterne interessentens verdier, kultur og risikoappetitt for å fastslå om relasjonen vil bli bra. Å finne den rette forretningspartneren kan sikre en langsiktig, lønnsom relasjon. Å velge en upassende partner minsker organisasjonens sjanser til å lykkes.
I utviklingen av et program for å håndtere risikoeierskapet til eksterne interessenter bør Chief Risk Officer kunne svare på fem basisspørsmål:
|
Ut ifra kriteriene i disse spørsmålene er effektiv kommunikasjon den viktigste. Ikke noe sted er barriere til ERM-kommunikasjon mer tydelig enn med eksterne interessenter. Disse barrierene inkluderer tidligere eksisterende paradigmer som kundegrupper eller individer har, mistillit til organisasjonen eller til bransjen som organisasjonen opererer i og beslutningsprosesser basert på begrenset informasjon. Kan partene stole på hverandre og ærlig offentliggjøre graden av risiko som hver eier? Før organisasjonen går inn i en forretningsmessig allianse, bør organisasjonen vurdere sin villighet til å dele informasjon med alle prospektive partnere. Begge parter må være enige i åpenhet og offentliggjøring av alle materielle risikoer som de eier, og gjensidig overvåking av prestasjonen til hver part relatert til at denne offentliggjøringen skal vedvare gjennom hele relasjonen. Dette spørsmålet blir adressert i ISO 31000:2009 i kapitelet ”kommunikasjon og konsultasjon med interessentene”.
A2.13.6.4 Å definere eksterne interessenter som risikoeiere
Eksterne risikoeiere er de som er direkte involvert med organisasjonen og som er essensielle for og optimerer organisasjonens ERM-program, slik at den lykkes. Disse inkluder følgende parter:
|
Chief Risk Officer spiller en kritisk rolle i å håndtere relasjoner med eksterne interessenter. Chief Risk Officers oppgaver inkluderer å hjelpe til med å vurdere hver interessents grad av risikoeierskap og metode for å håndtere sine egne risikoer og klargjøre at hensiktsmessige kanaler for kommunikasjon blir etablert og blir konsekvent brukt.
En Chief Risk Officer bør vedlikeholde en oppdatert tidsplan for alle eksterne interessenter, med kontaktnavn og informasjon, sammen med en liste av mulige flyktige bekymringer i hver interessent relasjon. Chief Risk Officer rapporterer alle muligheter/trusler vedrørende eksterne interessenter til organisasjonens styre og andre toppledere. Chief Risk Officer bør også arbeide nært sammen med interessentens Chief Risk Officer for å overvåke enhver forandring med hensyn til disse mulighetene/truslene.
I tillegg bør Chief Risk Officer overvåke alle ERM-aktivitetene til de eksterne interessentene. Enhver forandring i interessentens prosesser som kan skape nye muligheter/trusler bør noteres ned og diskuteres på et tidlig tidspunkt. Et eksempel på en trussel kan være en stor kjede av mat til kjæledyr som kjøper katte og hundemat fra et firma i India som står overfor risikoen for tap hvis produksjonsfabrikken i India mislykkes i å levere kvantumet og kvaliteten som ønskes til forventet leveringstid. Chief Risk Officer er ansvarlig for å overvåke leverandørens produksjonsprosesser og sikre at de blir håndtert i henhold til organisasjonens risikoappetitt.
Chief Risk Officer kan støte på noe motstand fra eksterne interessenter, spesielt internasjonale interessenter, som kan motsette seg offentliggjøring av visse informasjoner eller å følge visse prosesser. Mangelen på å vedlikeholde full informasjon i disse forretningsmessige relasjonene kan være tilstrekkelig grunn til å avslutte samarbeidet.
ERM- guidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE A
Bakgrunn, behov, ERM-systemet og – prosesser
|
FORORD iv 1.1. HVA MENER VI MED RISIKO? 7 2. ENTERPRISE RISK MANAGEMENT – ERM 33 2.1 RM VERSUS ERM 34 3 ORGANISASJONEN OG BEHOVET FOR ERM 81 3.1 KOMMERSIELT DREVNE KRAV 82 4.1 ERM-SYSTEMET (-RAMMEVERKET) 115 5.1 FORMALISERING OG DOKUMENTASJON 123 6. ETABLERING AV KONTEKST FOR ERM 156 6.1 GENERELT 158 7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195 7.1 GENERELT OM KJERNEPROSESSEN 196 8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234 8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235 9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251 9.1 ERMSE (ERM SYSTEMEVALUERING) 251 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE A
| Vedlegg | Tekst | Guide A | GuideB |
| Vedlegg A | Risikokategoriseringsmodellen | X | |
| Vedlegg B | Risikopolicy i «Vår Organisasjon.» | X | |
| Vedlegg C | Mandat ERM | X | |
| Vedlegg D1 | Eksempler på skjematur for ERM-SystemEvaluering (ERMSE). |
X | |
| Vedlegg D2 | Vurderingskriterier/karakterskala (skala 1-5) for ERMSE. | X | |
| Vedlegg D3 | Spørreskjema A ERMSE | X | |
| Vedlegg D4 | Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet | X | |
| Vedlegg E | Sjekklister/spørsmål | X | |
| Vedlegg F1 | Workshop | X | |
| Vedlegg F2 | Enkelt Risikospørreskjema | X | |
| Vedlegg F3 | Alternativt risikospørreskjema | X | |
| Vedlegg F4 | Risikotiltak | X | |
| Vedlegg F5 | Rapporter | X | |
| Vedlegg F6 | Håndtering og overvåking | X | |
| Vedlegg F7 | Vedlikehold av kontekst | X | |
| Vedlegg G | Nøkkelreferanser/standarder | X | X |
| Vedlegg H Vedlegg I |
ISO 31000:2009 Risikoledelse Ordforklaringer |
X X |
X X |
| Vedlegg J | Litteratur | X | X |
| Vedlegg K1 | Tabeller og figurer i Guide A | X | |
| Vedlegg K2 | Tabeller og figurer i Guide B | X | |
| Vedlegg L1 | Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser | X | |
| Vedlegg L2 | Innhold Guide B – Gjennomføring og praktisk iverksettelse | X |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar