ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul A6 Etablering av ERM-kontekst
ENHET A6.4 Intern informasjon og kommunikasjon:viktigheten av myke faktorer for å lykkes med kommunikasjonen i, – og rundt ERM-systemet diskuteres. Videre risikokategoriseringsmodellen som kommunikasjonsinstrument. Også forskjellige krav til verktøyene, blant annet risikomatrisen som benyttes. |
Viktigheten av myke faktorer for å lykkes med kommunikasjonen i, – og rundt ERM-systemet, må ikke undervurderes. Verdien av de risikomålinger organisasjonen forsøker å foreta, og dermed ERM-arbeidet som en helhet, er avhengig av bedriftens/ organisasjonens ansatte. Intet ERM-system, samme hvor detaljert eller omfattende, vil være i stand til å fungere effektivt uten medarbeidernes villighet, åpenhet, aktiv kommunikasjon og samarbeid.
Faktorer som bidrar til risikoberedskap, oppmerksomhet og forståelse for risiko-situasjoner og muligheter innen organisasjonen omfatter følgende:
|
A6.4.1 Hvorfor risikokategorisering?
Kategoriseringsverktøy hjelper organisasjonene med å gruppere og prioritere sine risikoer innenfor den bransjen de tilhører, og innen organisasjonen selv. Slike verktøy hjelper ledelsen med å sikre at de fanger opp alle hovedrisikokategorier i organisasjonen, ikke bare enkelte og de tradisjonelle.
I teorien kan risikoer bli kategorisert iht.;
|
Det finnes neppe noen unik løsning mht. risikokategorisering som vil passe for enhver organisasjon. Likevel ser det ut til at en risikokategoriseringsmodell basert på ”årsaker” vil være den mest hensiktsmessige for de fleste.
Denne tilnærmingen bidrar til følgende:
|
Risikokategoriseringen bør generelt tilfredsstille følgende målsetninger:
|
En risikokategoriseringsmodell må være ensartet for hele organisasjonen, dersom den skal ha verdi. Det betyr i praksis at den må forvaltes og eies av en enkelt instans. Tilføyinger og/eller endringer må kun gjøres av denne instansen, og da etter at organisasjonen nøye har vurdert konsekvensene. Modellen vil være en del av organisasjonenes ”kollektive bevissthet/intelligens” og den ”tukles” det ikke med, uten nøye å ha vurdert fordeler og ulemper. Det bør derfor utarbeides prosedyrer for endringer og bekjentgjørelser av disse i organisasjonen. Likedan bør modellen være mest mulig komplett fra første dag slik at den aktuelle risikoen finnes i organisasjonenes ”begrepsapparat” første gang den opptrer.
Modellen må videre settes opp med sikte på at den skal kunne benyttes på vanskeligere kvantifiserbare forretningsmessige risikoer, så vell som lett kvantifiserbare risikoer som de finansielle.
En praktisk risikokategoriseringsmodell/et praktisk risikoregister som tilfredsstiller ovennevnte målsetninger er illustrert nedenfor på neste side. Denne deler risikouniverset inn i syv risikokategorier. Hver av disse risikokategorier vil måtte omfatte en rekke individuelle risikoområder som reflekterer de underliggende årsakene. Den enkelte organisasjon utvikler altså et ”bibliotek” av mer detaljert beskrevne risikoårsaker, tilordnet hver risikokategori. Modellen er så vidt allmenngyldig og artsorientert at den vil kunne benyttes av ulike organisasjoner. Den kan derfor også brukes som et grunnlag for å utvikle spesifikke risikokategoriseringsmodeller, tilpasset den enkelte forretningsenhet (Operativ Risk Management – ORM) dersom det er ønskelig. Organisasjonen må i så tilfelle sørge for at det er en klart definert sammenheng, mellom ORM-prosessene og ERM-prosessen, når det gjelder terminologi og begreper.
| 1. Forretningsrisikoer1.1 Eksterne Risikoer (globale, politiske, sosiale, naturkatastrofer) 1.2 Corporate Governance risikoer 1.3 Eksterne strategiske markeds-/ bransjerisikoer1.4 Andre eksterne strategiske risikoer 1.5 Forretningshåndteringsrisikoer |
Forandringer i enten eksterne omgivelser eller i den forretningsmessige strategi som følge av slike forandringer som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet. F.eks. konkurrenters adferd. |
| 2. Operasjonelle, administrasjons- og ledelsesrisikoer2.1 Teknologi- og produktutviklingsrisikoer 2.2 Produksjons-, og distribusjonsrisikoer2.3 Strategi-, markedsførings- og salgsrisikoer2.4 Organisasjons og ledelsesrisikoer2.5 Prosjektrisikoer |
Risikoer innen verdikjedeprosessen eller støtteprosesser. F.eks. stabil produksjonsprosess. |
| 3. Juridisk- og etterlevelsesrisikoer | Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis. F.eks. produkt sikkerhet. |
| 4. Finansielle risikoer | Risikoer relatert til finansielle transaksjoner. F.eks. valutarisikoer, kredittrisikoer, landsrisikoer |
| 5. IT-risikoer | Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet. Fleksibilitet og støtte til informasjonssystemer og databanker. F.eks. misbruk av informasjons- systemer. |
| 6. Personalrisikoer | Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte. F.eks. rekruttering av nøkkelpersonell. |
| 7. Innkjøpsrisikoer | Risikoer som oppstår i innkjøpsprosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og /eller priser. F.eks. avhengighet av leverandører. |
Tabell A6-1 Eksempel på overordnet risikomodell.
Hver av de syv risikokategoriene danner øverste nivå i en modell som har til hensikt å sikre felles terminologi gjennom hele organisasjonen, og konsistens i forhold til underliggende mer detaljerte ERM, – så vell som ORM-beskrivelser og analyser.
Et annet poeng med denne modellen er å adressere oppmerk-somheten omkring den enkelte risiko mest mulig direkte, der det primære ansvaret ligger organisatorisk. Med dette mener vi selv-følgelig ikke å antyde at styret ikke er ansvarlig for operasjonelle risiko-er, eller den daglige ledelse ikke er ansvarlig for personalrisikoer. Vi mener derimot at det er visse områder enkelte kan ha særlig forutset-ninger, eller lovpålagte krav på å holde seg orientert om, eller bearbeide. En gruppering av risikoene med sikte på å lette sorteringen vil dermed kunne begrense behovet for at ”alle skal kunne alt” og samtidig lette gjennomføringen av ERM-prosessen.
| Funksjonell rolle | Primæransvar |
| Styret |
|
| Overordnet ledelse, linje-ledelse faglig og admini-strativt. |
|
| Funksjonsansvarlig, ansatt, leverandør |
|
Tabell 6-2 Sammenhengen mellom funksjonell rolle og primæransvar.
Figur 6-4 En hendelse kan «trigge» flere risikoer.
Videre er det visse typer av hendelser (f. eks introduksjon av Euroen, nye medlemsland i EU, regionale kriser etc.) som vil kunne ha innvirkning innen flere risikokategorier og underliggende risikoområder og dermed ikke kan grupperes i en enkelt kategori.
A 6.4.2 Andre kategoriseringsmåter
Andre måter å betrakte risiko på en praktisk måte, er de fire kategoriene:
|
Ifølge andre kilder eksisterer mange andre inndelinger, men de virker mer overfladisk og ønskes ikke å behandles i vår håndbok.
- Endimensjonale og todimensjonale
Etter denne metoden blir risikoene delt inn etter om de bare fremstiller en mulighet eller en mulig trussel, (en endimensjonal risiko) eller om de inneholder begge (todimensjonal risiko). Som grunnlag for betraktningen tjener et avvik fra en måleverdi.
Den endimensjonale risiko består enten bare av en trussel eller bare av en mulighet, Dvs. avvik fra måleverdien er ensidig. Naturkatastrofer er et godt eksempel på en endimensjonal risiko, da de alltid bringer med seg tap eller ofre.
Resultatet er alltid negativt (fare/trussel), bare utfallet av katastrofen er uviss.
En risikoløs gevinst/mulighet ville være en ”endimensjonal mulighet”, som bare i de sjeldneste tilfeller oppstår. Ut ifra dette følger at for den endimensjonale risiko foreligger det i de fleste tilfeller en fare/trussel.
Todimensjonale risikoer kan begge avvike fra en gitt måleverdi. Holder mulighet og trussel seg i likevekt så foreligger det en symmetrisk risikoprofil. Når en av disse tar overhånd foreligger det en asymmetrisk risikoprofil. Eksempler på to dimensjonale risikoer er renteendringsrisiko og valutaendringsrisiko.
- Kvantifiserbare og ikke kvantifiserbare risikoer
Er det mulig å angi objektive eller subjektive sannsynligheter, så er risikoen kvanti-fiserbar. Den objektive fastsettelsen av sannsynligheter er et resultat ut ifra den sta-tistiske vurderingen av et tilstrekkelig antall data.
De subjektive sannsynlighetene blir fastlagt på grunnlag av den vurderende personens erfaring. Ved kvantifiseringen av risikoene kan sannsynligheten for å inntreffe og mulige taps- henholdsvis gevinststørrelse angis. ”Value-at-Risk” er således et mål for kvantifiseringen av risiko som ofte er benyttet innen bank- og finansverdenen.
En ikke kvantifiserbar risiko foreligger når usikkerheten for avviket fra målsettingen, ikke er tilstrekkelig målbar. Forandringer av rammebetingelser mht. den juridiske og skattemessig situasjonen er gode eksempler på ikke kvantifiserbare risikoer. Det finnes bare en kvalitativ vurdering, da konsekvensene bare kan tallfestes utilstrekkelig, eller ikke i det hele tatt.
- Systematiske og usystematiske risikoer
Den moderne porteføljeteorien deler samlet risiko inn i en systematisk og en usystematisk del.
Den systematiske delen omfatter for eksempel den generelle markedsutviklingen som det ikke kan øves innflytelse på, og som har innvirkning på organisasjonens formue.
En diversifisering kan ikke minske denne risikoen, da de samme rammebetingelsene foreligger for alle objektene. Den konjunkturelle og demografiske utvikling, situa-sjonen på arbeidsmarkedet er makroøkonomiske faktorer som systematiske risikoer er underkastet.
Den usystematiske delen av samlet risiko resulterer i et resultat av mikroøkonomiske bestemmelsesfaktorer som er spesifikt for hvert objekt. De kan delvis direkte bli påvirket og kan føre til at risikoen minskes. Også en diversifisering av flere forskjellige objekter kan minske risikoen. Den usystematiske risikoen lar seg vanskeligere prognostisere enn den systematiske risikoen. Dette fører til en dårligere kvantifiserbarhet.
- Eksistensielle og finansielle risikoer
Ved denne kategoriseringsmetoden inndeles risikoene etter de forskjellige årsaks-områder. Det skilles mellom eksistensielle og finansielle risikoer.
De eksistensielle risikoene er et resultat av de objektspesifikke usikkerhetene av for eksempel investeringer i byggeplass/industriområde/bygninger, da det ikke finnes noen lik byggeplass/industriområde/ bygninger. Som eksempel kan nevnes faren for foreldet tekniske installasjoner, pris, driftskostnader, tilgjengelighet. Ved hjelp av diversifisering kan eksistensielle risikoer på samme måte som usystematiske risikoer reduseres.
Finansielle risikoer er uavhengig av enkelte objekter og stammer fra finansielle transaksjoner/strategier. Sentrale eksempler er kapitalstrukturrisiko, rente-endringsrisiko, og likviditetsrisiko. Disse risikoene kan styres via tallrike verktøy som for eksempel bankvesenet besitter.
A6.4.3 Krav til ERM-verktøy
For å få en mest mulig entydig sammenligning mellom risikoer fra forskjellige organisasjonsenheter, eller for forskjellige risikokategorier er organisasjonen avhengig av at disse følger felles definisjoner i henhold til kategoriseringsmodellen vår, samt den forutgående identifiserings- og kvantifiseringsprosessen. Utelukkende kvalitative målinger med ”rating” som ”lav, moderat og høy”, må unngås så langt dette er mulig, da de gjør sammenligningen via en akkumulering /aggregering vanskeligere. Kvantitative målinger gjør det derimot mulig å bestemme det relative forhold mellom ulike risikoer, i relasjon til en annen, og fastslå hvor organisasjonen er mest utsatt. En kvalitativ analyse gir få indikasjoner på hvilke virkemidler som vil gi størst uttelling. (Redusere sannsynligheten, eller redusere konsekvensen).
Figur A6-5 Grafisk illustrasjon av kvalitativ risikoanalyse.
A6.4.4 Risikomatrisen
For å lette innsamling av informasjon i kvantitative analyser, bearbeide denne informasjonen og kommunisere resultatet av ERM-arbeidet, bør det benyttes et hensiktsmessig verktøy. Verktøyet og de mulighetene som ligger i dette blir særlig viktig når innsamlede data skal evalueres. En viktig del av ”etableringen av kontekst” blir derfor valg av verktøy, samt tilrettelegging for opplæring og bruk av dette. Det finnes i dag en rekke ulike verktøy på markedet. De fleste av disse er elektronisk, softwarebasert og/eller webbasert med ulik kompleksitet. Et fellestrekk ved de fleste verktøyene er at de med utgangspunkt i risikokategoriseringsmodellen bidrar til å tallfeste den enkelte risikos forventede sannsynlighet og konsekvens på resultat, for deretter å fremstille dette grafisk. Innhentingen av informasjon kan finne sted via spørreskjema. Disse sendes ut til ”risikorapportørene”, eller gjennom direkte registrering i elektroniske systemer, for etterfølgende aggregering og analyse. De fleste grafiske fremstillingene omfatter en eller annen form av den illustrerte ”risikomatrisen” ovenfor. Hvorvidt det er riktig og kalle matrisen for risikomatrise kan være et tema. Som vi har sagt tidligere ser vi både på oppsiden og nedsiden når vi snakker om risiko, og en slik matrise kan dermed defineres i to retninger som en mulighetsmatrise og en trusselmatrise.
Figur A6-6 Eks. på kvantitativ grafisk illustrasjon av risiko
A6.4.5 Generelle krav til verktøy
Valg av verktøy kan for mange synes uvesentlig. For så vidt har man også rett i at det er mindre viktig hvilket verktøy vi ender opp med, enn hvordan vi ender opp med nettopp dette verktøyet. Verktøyet vi velger vil være kjernen i kommunikasjonen rundt muligheter/trusler, og må derfor være godt kjent av mange i organisasjonen. Å oppnå denne kjennskapen til verktøyet kan for mange organisasjoner være en stor investering som ikke bør være tuftet på tilfeldigheter. Verktøyet skal også gjøre det mulig å følge utviklingen av oppside/nedside risiko over et lengre tidsintervall. Et bytte av verktøy og måleskala vil bidra til å vanskeliggjøre dette.
Organisasjonen bør derfor på forhånd tenke nøye gjennom de valg den vil ta mht. verktøy:
|
Muligheter/trusler satt inn i slike verktøy, gir et utall muligheter når det gjelder å aggregere opp, og analysere i fra flere vinkler. Først og fremst kan selvfølgelig de enkelte risikoene innen en og samme kategori analyseres. Dette vil bidra til å fremheve særlige områder det bør fokuseres på.
A6.4.6 Valg av skala
Uansett hvilken analyseform organisasjonen velger må den kunne gi uttrykk for sannsynlighet og konsekvens av en risiko. I den kvantitative og ”semikvantitative” analysen er kravet til presentasjonsform ganske absolutt. Det er her viktig at valgte presentasjonsform med tilhørende muligheter og begrensninger er kjent og forstått
Likedan må metodikk og de måleskalaer organisasjonen benytter være ensartede for å muliggjøre aggregeringer på tvers av organisasjonen. Innen den enkelte operative enhet kan organisasjonen selvfølgelig operere med egne måleenheter for å optimere egne fagområder (ORM), men disse må ”konverteres” til felles måleenheter og skala.
Under begrepet ”å måle” forstår vi normalt en systematisk iakttakelse og nedtegning av empiriske saksforhold. Resultatet av en måleprosess er som regel tilordning av tall til et saksforhold. Denne tilordningen kalles også skalering og blir ofte brukt synonymt med måling. Prinsipielt blir en måling betegnet som ”gyldig”, hvis den måler det den virkelig har til hensikt å måle. En måling skal ikke bare være ”gyldig”, men også ”pålitelig”. Vi forstår under pålitelig, nøyaktigheten og presisjonen til et måleinstrument. Pålitelighet forutsetter at vi ved målingen ikke skal oppnå tilfeldige resultater. En teoretisk korrekt måling forutsetter også ”representativitet”. Dvs. om de mottatte svarene er representative for normalpopulasjonen (hele gruppen som vi ønsker å vite noe om).
Hvis ikke hele gruppen spørres eller noen unnlater å svare, så må vi vurdere nøye om det kan være vesentlige forskjeller, mellom de som har svart og de andre.
De mulighetene vi har kan kort oppsummeres i følgende:
|
Oftest vil rammen for måleskalaen være gitt gjennom valg av standardverktøy under etablering av kontekst. Disse benytter imidlertid som oftest en graderingsskala (ratingskala), der et intervjuobjekts holdning til et gitt spørsmål graderes. Vi kan ha både en to-polig og en en-polig skala som nevnt nedenfor:
For eksempel:
”Hvordan synes du at utnyttelsesgraden av dagens kapasitet er?:
| Godt | Litt godt | Gjennomsnittlig | Litt dårlig | Dårlig |
| +2 | +1 | 0 | -1 | -2 |
Eller
| Godt | Litt godt | Gjennomsnittlig | Litt dårlig | Dårlig |
| 1 | 2 | 3 | 4 | 5 |
Ved en slik enkel holdningsmåling får vi (ved å benytte en enkel ”ratingskala”) bare et enkelt, men entydig svar fra den spurte.
Da avstanden på skalene i slike ”ratingskalaer” stort sett blir oppfattet av den spurte som like intervaller, kan disse betraktes som tallene fra en intervallskala
I og med at to-polige skalaer kan ha visse mangler, som vist nedenfor, har vi valgt å bruke en-polig skala.
Mangler ved ”to-polig skala”:
|
ERM- guidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE A
Bakgrunn, behov, ERM-systemet og – prosesser
|
FORORD iv 1.1. HVA MENER VI MED RISIKO? 7 2. ENTERPRISE RISK MANAGEMENT – ERM 33 2.1 RM VERSUS ERM 34 3 ORGANISASJONEN OG BEHOVET FOR ERM 81 3.1 KOMMERSIELT DREVNE KRAV 82 4.1 ERM-SYSTEMET (-RAMMEVERKET) 115 5.1 FORMALISERING OG DOKUMENTASJON 123 6. ETABLERING AV KONTEKST FOR ERM 156 6.1 GENERELT 158 7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195 7.1 GENERELT OM KJERNEPROSESSEN 196 8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234 8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235 9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251 9.1 ERMSE (ERM SYSTEMEVALUERING) 251 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE A
| Vedlegg | Tekst | Guide A | GuideB |
| Vedlegg A | Risikokategoriseringsmodellen | X | |
| Vedlegg B | Risikopolicy i «Vår Organisasjon.» | X | |
| Vedlegg C | Mandat ERM | X | |
| Vedlegg D1 | Eksempler på skjematur for ERM-SystemEvaluering (ERMSE). |
X | |
| Vedlegg D2 | Vurderingskriterier/karakterskala (skala 1-5) for ERMSE. | X | |
| Vedlegg D3 | Spørreskjema A ERMSE | X | |
| Vedlegg D4 | Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet | X | |
| Vedlegg E | Sjekklister/spørsmål | X | |
| Vedlegg F1 | Workshop | X | |
| Vedlegg F2 | Enkelt Risikospørreskjema | X | |
| Vedlegg F3 | Alternativt risikospørreskjema | X | |
| Vedlegg F4 | Risikotiltak | X | |
| Vedlegg F5 | Rapporter | X | |
| Vedlegg F6 | Håndtering og overvåking | X | |
| Vedlegg F7 | Vedlikehold av kontekst | X | |
| Vedlegg G | Nøkkelreferanser/standarder | X | X |
| Vedlegg H Vedlegg I |
ISO 31000:2009 Risikoledelse Ordforklaringer |
X X |
X X |
| Vedlegg J | Litteratur | X | X |
| Vedlegg K1 | Tabeller og figurer i Guide A | X | |
| Vedlegg K2 | Tabeller og figurer i Guide B | X | |
| Vedlegg L1 | Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser | X | |
| Vedlegg L2 | Innhold Guide B – Gjennomføring og praktisk iverksettelse | X |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar