Enhet A6.4 Intern informasjon og kommunikasjon

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A6  Etablering av ERM-kontekst

 

 

UFFICIO_02

 

 

 

ENHET A6.4 Intern informasjon og kommunikasjon:

viktigheten av myke faktorer for å lykkes med kommunikasjonen i, – og rundt ERM-systemet diskuteres.

Videre risikokategoriseringsmodellen som kommunikasjonsinstrument.

Også forskjellige krav til verktøyene, blant annet risikomatrisen som benyttes.

Viktigheten av myke faktorer for å lykkes med kommunikasjonen i, – og rundt ERM-systemet, må ikke undervurderes. Verdien av de risikomålinger organisasjonen forsøker å foreta, og dermed ERM-arbeidet som en helhet, er avhengig av bedriftens/ organisasjonens ansatte. Intet ERM-system, samme hvor detaljert eller omfattende, vil være i stand til å fungere effektivt uten medarbeidernes villighet, åpenhet, aktiv kommunikasjon og samarbeid.

 

Faktorer som bidrar til risikoberedskap, oppmerksomhet og forståelse for risiko-situasjoner og muligheter innen organisasjonen omfatter følgende:

  • Organisasjonens filosofi og ledelses stil.
  • Integritet, verdier, kompetanse og de ansattes dyktighet og kunnskap.
  • Effektive horisontale og vertikale kommunikasjonskanaler.
  • En personalpolitikk tilpasset for å utvikle årvåkenhet mht. muligheter/trusler og ansvarsfølelse. Fri utveksling av informasjon på tvers av hierarkiske og geografiske barrierer må stimuleres. Alle mekanismer som bidrar til ”å skyte på budbringeren” av dårlige nyheter må derfor elimineres, og tilbakeholdelse av risikorelatert kunnskap og informasjon må unngås.
  • Et felles ”stammespråk/ERM-språk” (blant annet risikokategoriserings-modellen) for å bidra til at alle som er involvert i ERM-prosessen kommuniserer klart og tydelig.
  • Et verktøy som underbygger ansvarsfordelingen i organisasjonen for å sikre informasjon inn i fremtiden.

 

A6.4.1 Hvorfor risikokategorisering?

Kategoriseringsverktøy hjelper organisasjonene med å gruppere og prioritere sine risikoer innenfor den bransjen de tilhører, og innen organisasjonen selv. Slike verktøy hjelper ledelsen med å sikre at de fanger opp alle hovedrisikokategorier i organisasjonen, ikke bare enkelte og de tradisjonelle.

 

j0078729

 

  • En omfattende risikokategorisering støtter opp om risikoidentifiseringen.
  • Alle relevante risikoer må identifiseres.
  • Kategoriseringen av risiko sørger for en basis for en konsistent/enhetlig terminologi, og unngår tvetydighet.
  • Ikke kvantifiserbare risikoer må også adresseres. Den viktigste faktoren er hvor relevant risikoene er for organisasjonen, ikke om de er kvantifiserbar eller ikke.
  • Kategoriseringen av risiko hjelper til med å aggregere risikoer og identifisere potensielle akkumuleringer som oppstår på tvers av organisasjonen, pga. en enkelt hendelse.
  • Risikokategorisering er basisen for en strukturert ERM-prosess.
  • For effektivt å kunne adressere alle risikoer som en organisasjon står ovenfor, må risikouniverset brytes ned i oversiktlige og håndterlige deler.

I teorien kan risikoer bli kategorisert iht.;

  1. Årsaker: F.eks. ustabil produksjonsprosess, leverandøravhengighet, risiko for substitutter, teknologisk forandring eller kvalitetsproblemer.
  2. Hendelser: F.eks. regionale kriser, miljøkatastrofer, streiker, misligheter eller feil i tekniske systemer.
  3. Konsekvens: F.eks. på eiendom, inntjening, cash flow eller image/omdømme.
  4. Håndteringsstrategi: F.eks. mulighet for forsikring, mulighet for å kontrollere, eller mulighet for å transferere.

 

Det finnes neppe noen unik løsning mht. risikokategorisering som vil passe for enhver organisasjon. Likevel ser det ut til at en risikokategoriseringsmodell basert på ”årsaker” vil være den mest hensiktsmessige for de fleste.

 

Denne tilnærmingen bidrar til følgende:

  • Gjør det enklere å identifisere hovedårsaken til en risiko enn symptomene.
  • Gjør det lettere å identifisere risikoeierne, og å tilordne ansvaret for risikohåndteringen.
  • Gjør det lettere å identifisere områder for akkumulering av risikoer som oppstår ut ifra en enkelt årsak eller hendelse.

 

Risikokategoriseringen bør generelt tilfredsstille følgende målsetninger:

  • En ”artsmessig” tilnærming er i større grad anvendelig for de fleste organisasjoner, og bidrar til å lette bruken, da vi kan ”zoome” inn på ønsket detaljeringsnivå.
  • Omfattende, men ikke nødvendigvis uttømmende sjekkliste for alle vesentlige risikoer, som en organisasjon står ovenfor.
  • Basis for utvikling av spesifikke risikokategoriseringsmodeller for forskjellige forretningsenheter og fagmiljøer.
  • Støtte til å identifisere risikoeiere, og tildeling av roller og ansvar innen ERM-prosessen.

 

En risikokategoriseringsmodell må være ensartet for hele organisasjonen, dersom den skal ha verdi. Det betyr i praksis at den må forvaltes og eies av en enkelt instans. Tilføyinger og/eller endringer må kun gjøres av denne instansen, og da etter at organisasjonen nøye har vurdert konsekvensene. Modellen vil være en del av organisasjonenes ”kollektive bevissthet/intelligens” og den ”tukles” det ikke med, uten nøye å ha vurdert fordeler og ulemper. Det bør derfor utarbeides prosedyrer for endringer og bekjentgjørelser av disse i organisasjonen. Likedan bør modellen være mest mulig komplett fra første dag slik at den aktuelle risikoen finnes i organisasjonenes ”begrepsapparat” første gang den opptrer.

 

j0078837

Modellen må videre settes opp med sikte på at den skal kunne benyttes på vanskeligere kvantifiserbare forretningsmessige risikoer, så vell som lett kvantifiserbare risikoer som de finansielle.

En praktisk risikokategoriseringsmodell/et praktisk risikoregister som tilfredsstiller ovennevnte målsetninger er illustrert nedenfor på neste side. Denne deler risikouniverset inn i syv risikokategorier. Hver av disse risikokategorier vil måtte omfatte en rekke individuelle risikoområder som reflekterer de underliggende årsakene. Den enkelte organisasjon utvikler altså et ”bibliotek” av mer detaljert beskrevne risikoårsaker, tilordnet hver risikokategori. Modellen er så vidt allmenngyldig og artsorientert at den vil kunne benyttes av ulike organisasjoner. Den kan derfor også brukes som et grunnlag for å utvikle spesifikke risikokategoriseringsmodeller, tilpasset den enkelte forretningsenhet (Operativ Risk Management – ORM) dersom det er ønskelig. Organisasjonen må i så tilfelle sørge for at det er en klart definert sammenheng, mellom ORM-prosessene og ERM-prosessen, når det gjelder terminologi og begreper.

 

1. Forretningsrisikoer1.1 Eksterne Risikoer (globale, politiske, sosiale, naturkatastrofer)
1.2 Corporate Governance risikoer
1.3 Eksterne strategiske markeds-/ bransjerisikoer1.4 Andre eksterne strategiske risikoer
1.5 Forretningshåndteringsrisikoer
Forandringer i enten eksterne omgivelser eller i den forretningsmessige strategi som følge av slike forandringer som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet. F.eks. konkurrenters adferd.
2. Operasjonelle, administrasjons- og ledelsesrisikoer2.1 Teknologi- og produktutviklingsrisikoer
2.2 Produksjons-, og distribusjonsrisikoer2.3 Strategi-, markedsførings- og salgsrisikoer2.4 Organisasjons og ledelsesrisikoer2.5 Prosjektrisikoer
Risikoer innen verdikjedeprosessen eller støtteprosesser. F.eks. stabil produksjonsprosess.
3. Juridisk- og etterlevelsesrisikoer  Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis. F.eks. produkt sikkerhet.
4. Finansielle risikoer Risikoer relatert til finansielle transaksjoner. F.eks. valutarisikoer, kredittrisikoer, landsrisikoer
5. IT-risikoer Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet. Fleksibilitet og støtte til informasjonssystemer og databanker. F.eks. misbruk av informasjons- systemer.
6. Personalrisikoer Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte. F.eks. rekruttering av nøkkelpersonell.
7. Innkjøpsrisikoer Risikoer som oppstår i innkjøpsprosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og /eller priser. F.eks. avhengighet av leverandører.

Tabell A6-1 Eksempel på overordnet risikomodell.

 

Hver av de syv risikokategoriene danner øverste nivå i en modell som har til hensikt å sikre felles terminologi gjennom hele organisasjonen, og konsistens i forhold til underliggende mer detaljerte ERM, – så vell som ORM-beskrivelser og analyser.

Et annet poeng med denne modellen er å adressere oppmerk-somheten omkring den enkelte risiko mest mulig direkte, der det primære ansvaret ligger organisatorisk. Med dette mener vi selv-følgelig ikke å antyde at styret ikke er ansvarlig for operasjonelle risiko-er, eller den daglige ledelse ikke er ansvarlig for personalrisikoer. Vi mener derimot at det er visse områder enkelte kan ha særlig forutset-ninger, eller lovpålagte krav på å holde seg orientert om, eller bearbeide. En gruppering av risikoene med sikte på å lette sorteringen vil dermed kunne begrense behovet for at ”alle skal kunne alt” og samtidig lette gjennomføringen av ERM-prosessen.

 

Funksjonell rolle Primæransvar
Styret
  1. Forretningsrisikoer
Overordnet ledelse, linje-ledelse faglig og admini-strativt.
  1. Operasjonelle-, adminis-trasjons-, og ledelses-risikoer
Funksjonsansvarlig, ansatt, leverandør
  1. Juridisk – og etterlevels-esrisikoer
  2. Finansielle risikoer
  3. IT-risikoer
  4. Personalrisikoer
  5. Innkjøpsrisikoer

Tabell 6-2 Sammenhengen mellom funksjonell rolle og primæransvar.

hendelse

Figur 6-4 En hendelse kan «trigge» flere risikoer.

 

Videre er det visse typer av hendelser (f. eks introduksjon av Euroen, nye medlemsland i EU, regionale kriser etc.) som vil kunne ha innvirkning innen flere risikokategorier og underliggende risikoområder og dermed ikke kan grupperes i en enkelt kategori.

 

A 6.4.2 Andre kategoriseringsmåter

 

Andre måter å betrakte risiko på en praktisk måte, er de fire kategoriene:

  • Endimensjonale og todimensjonale risikoer.
  • Kvantifiserbare og ikke kvantifiserbare risikoer.
  • Systematiske og usystematiske risikoer.
  • Eksistensielle og finansielle risikoer.

 

 

Ifølge andre kilder eksisterer mange andre inndelinger, men de virker mer overfladisk og ønskes ikke å behandles i vår håndbok.

  1. Endimensjonale og todimensjonale

Etter denne metoden blir risikoene delt inn etter om de bare fremstiller en mulighet eller en mulig trussel, (en endimensjonal risiko) eller om de inneholder begge (todimensjonal risiko). Som grunnlag for betraktningen tjener et avvik fra en måleverdi.

Den endimensjonale risiko består enten bare av en trussel eller bare av en mulighet, Dvs. avvik fra måleverdien er ensidig. Naturkatastrofer er et godt eksempel på en endimensjonal risiko, da de alltid bringer med seg tap eller ofre.

Resultatet er alltid negativt (fare/trussel), bare utfallet av katastrofen er uviss.

En risikoløs gevinst/mulighet ville være en ”endimensjonal mulighet”, som bare i de sjeldneste tilfeller oppstår. Ut ifra dette følger at for den endimensjonale risiko foreligger det i de fleste tilfeller en fare/trussel.

Todimensjonale risikoer kan begge avvike fra en gitt måleverdi. Holder mulighet og trussel seg i likevekt så foreligger det en symmetrisk risikoprofil. Når en av disse tar overhånd foreligger det en asymmetrisk risikoprofil. Eksempler på to dimensjonale risikoer er renteendringsrisiko og valutaendringsrisiko.

 

j0078756

 

  1. Kvantifiserbare og ikke kvantifiserbare risikoer

Er det mulig å angi objektive eller subjektive sannsynligheter, så er risikoen kvanti-fiserbar. Den objektive fastsettelsen av sannsynligheter er et resultat ut ifra den sta-tistiske vurderingen av et tilstrekkelig antall data.

De subjektive sannsynlighetene blir fastlagt på grunnlag av den vurderende personens erfaring. Ved kvantifiseringen av risikoene kan sannsynligheten for å inntreffe og mulige taps- henholdsvis gevinststørrelse angis. ”Value-at-Risk” er således et mål for kvantifiseringen av risiko som ofte er benyttet innen bank- og finansverdenen.

En ikke kvantifiserbar risiko foreligger når usikkerheten for avviket fra målsettingen, ikke er tilstrekkelig målbar. Forandringer av rammebetingelser mht. den juridiske og skattemessig situasjonen er gode eksempler på ikke kvantifiserbare risikoer. Det finnes bare en kvalitativ vurdering, da konsekvensene bare kan tallfestes utilstrekkelig, eller ikke i det hele tatt.

 

  1. Systematiske og usystematiske risikoer

Den moderne porteføljeteorien deler samlet risiko inn i en systematisk og en usystematisk del.

Den systematiske delen omfatter for eksempel den generelle markedsutviklingen som det ikke kan øves innflytelse på, og som har innvirkning på organisasjonens formue.

En diversifisering kan ikke minske denne risikoen, da de samme rammebetingelsene foreligger for alle objektene. Den konjunkturelle og demografiske utvikling, situa-sjonen på arbeidsmarkedet er makroøkonomiske faktorer som systematiske risikoer er underkastet.

Den usystematiske delen av samlet risiko resulterer i et resultat av mikroøkonomiske bestemmelsesfaktorer som er spesifikt for hvert objekt. De kan delvis direkte bli påvirket og kan føre til at risikoen minskes. Også en diversifisering av flere forskjellige objekter kan minske risikoen. Den usystematiske risikoen lar seg vanskeligere prognostisere enn den systematiske risikoen. Dette fører til en dårligere kvantifiserbarhet.

 

  1. Eksistensielle og finansielle risikoer

Ved denne kategoriseringsmetoden inndeles risikoene etter de forskjellige årsaks-områder. Det skilles mellom eksistensielle og finansielle risikoer.

De eksistensielle risikoene er et resultat av de objektspesifikke usikkerhetene av for eksempel investeringer i byggeplass/industriområde/bygninger, da det ikke finnes noen lik byggeplass/industriområde/ bygninger. Som eksempel kan nevnes faren for foreldet tekniske installasjoner, pris, driftskostnader, tilgjengelighet. Ved hjelp av diversifisering kan eksistensielle risikoer på samme måte som usystematiske risikoer reduseres.

Finansielle risikoer er uavhengig av enkelte objekter og stammer fra finansielle transaksjoner/strategier. Sentrale eksempler er kapitalstrukturrisiko, rente-endringsrisiko, og likviditetsrisiko. Disse risikoene kan styres via tallrike verktøy som for eksempel bankvesenet besitter.

 

j0078725

 

A6.4.3 Krav til ERM-verktøy

For å få en mest mulig entydig sammenligning mellom risikoer fra forskjellige organisasjonsenheter, eller for forskjellige risikokategorier er organisasjonen avhengig av at disse følger felles definisjoner i henhold til kategoriseringsmodellen vår, samt den forutgående identifiserings- og kvantifiseringsprosessen. Utelukkende kvalitative målinger med ”rating” som ”lav, moderat og høy”, må unngås så langt dette er mulig, da de gjør sammenligningen via en akkumulering /aggregering vanskeligere. Kvantitative målinger gjør det derimot mulig å bestemme det relative forhold mellom ulike risikoer, i relasjon til en annen, og fastslå hvor organisasjonen er mest utsatt. En kvalitativ analyse gir få indikasjoner på hvilke virkemidler som vil gi størst uttelling. (Redusere sannsynligheten, eller redusere konsekvensen).

 

Fig_DelII_08_010a

Figur A6-5 Grafisk illustrasjon av kvalitativ risikoanalyse.

A6.4.4 Risikomatrisen

For å lette innsamling av informasjon i kvantitative analyser, bearbeide denne informasjonen og kommunisere resultatet av ERM-arbeidet, bør det benyttes et hensiktsmessig verktøy. Verktøyet og de mulighetene som ligger i dette blir særlig viktig når innsamlede data skal evalueres. En viktig del av ”etableringen av kontekst” blir derfor valg av verktøy, samt tilrettelegging for opplæring og bruk av dette. Det finnes i dag en rekke ulike verktøy på markedet. De fleste av disse er elektronisk, softwarebasert og/eller webbasert med ulik kompleksitet. Et fellestrekk ved de fleste verktøyene er at de med utgangspunkt i risikokategoriseringsmodellen bidrar til å tallfeste den enkelte risikos forventede sannsynlighet og konsekvens på resultat, for deretter å fremstille dette grafisk. Innhentingen av informasjon kan finne sted via spørreskjema. Disse sendes ut til ”risikorapportørene”, eller gjennom direkte registrering i elektroniske systemer, for etterfølgende aggregering og analyse. De fleste grafiske fremstillingene omfatter en eller annen form av den illustrerte ”risikomatrisen” ovenfor. Hvorvidt det er riktig og kalle matrisen for risikomatrise kan være et tema. Som vi har sagt tidligere ser vi både på oppsiden og nedsiden når vi snakker om risiko, og en slik matrise kan dermed defineres i to retninger som en mulighetsmatrise og en trusselmatrise.

Fig_DelII_08_011a

 Figur A6-6 Eks. på kvantitativ grafisk illustrasjon av risiko

A6.4.5 Generelle krav til verktøy

Valg av verktøy kan for mange synes uvesentlig. For så vidt har man også rett i at det er mindre viktig hvilket verktøy vi ender opp med, enn hvordan vi ender opp med nettopp dette verktøyet. Verktøyet vi velger vil være kjernen i kommunikasjonen rundt muligheter/trusler, og må derfor være godt kjent av mange i organisasjonen. Å oppnå denne kjennskapen til verktøyet kan for mange organisasjoner være en stor investering som ikke bør være tuftet på tilfeldigheter. Verktøyet skal også gjøre det mulig å følge utviklingen av oppside/nedside risiko over et lengre tidsintervall. Et bytte av verktøy og måleskala vil bidra til å vanskeliggjøre dette.

 

Organisasjonen bør derfor på forhånd tenke nøye gjennom de valg den vil ta mht. verktøy:

  • Tallfeste og knytte en risiko opp mot organisasjonens ”bunnlinje” (eksempel-vis EBIT(Earning Before Interest and Tax)).
  • Fungere like godt på ”makro”, – som ”mikronivå”.
  • Fungere like godt på muligheter som risikoer.
  • Bygges opp på en kategoriseringsmodell.
  • Kunne tilpasses i henhold til brukers behov for ulike toleranseverdier (”smerteterskler”).
  • Ta vare på tidligere historiske analyser/verdier (”sporbarhet”).
  • Knyttes opp til den enkelte risiko mot foreslått tiltak.
  • Synliggjøre og/eller visualisere forventede utfall av mulige fremtidige tiltak.
  • Identifisere eier av oppside/nedside risiko som ansvarlig for gjennomføring av tiltak.
  • Fleksibilitet i aggregeringsnivå.
  • Fleksibilitet i gjennomføringssyklus.
  • Håndtere faseforskyvning, identifisering – kvantifisering.

 

Muligheter/trusler satt inn i slike verktøy, gir et utall muligheter når det gjelder å aggregere opp, og analysere i fra flere vinkler. Først og fremst kan selvfølgelig de enkelte risikoene innen en og samme kategori analyseres. Dette vil bidra til å fremheve særlige områder det bør fokuseres på.

A6.4.6 Valg av skala

Uansett hvilken analyseform organisasjonen velger må den kunne gi uttrykk for sannsynlighet og konsekvens av en risiko. I den kvantitative og ”semikvantitative” analysen er kravet til presentasjonsform ganske absolutt. Det er her viktig at valgte presentasjonsform med tilhørende muligheter og begrensninger er kjent og forstått

Likedan må metodikk og de måleskalaer organisasjonen benytter være ensartede for å muliggjøre aggregeringer på tvers av organisasjonen. Innen den enkelte operative enhet kan organisasjonen selvfølgelig operere med egne måleenheter for å optimere egne fagområder (ORM), men disse må ”konverteres” til felles måleenheter og skala.

 

j0078806

Under begrepet ”å måle” forstår vi normalt en systematisk iakttakelse og nedtegning av empiriske saksforhold. Resultatet av en måleprosess er som regel tilordning av tall til et saksforhold. Denne tilordningen kalles også skalering og blir ofte brukt synonymt med måling. Prinsipielt blir en måling betegnet somgyldig”, hvis den måler det den virkelig har til hensikt å måle. En måling skal ikke bare være ”gyldig”, men også ”pålitelig”. Vi forstår under pålitelig, nøyaktigheten og presisjonen til et måleinstrument. Pålitelighet forutsetter at vi ved målingen ikke skal oppnå tilfeldige resultater. En teoretisk korrekt måling forutsetter også ”representativitet”.  Dvs. om de mottatte svarene er representative for normalpopulasjonen (hele gruppen som vi ønsker å vite noe om).

Hvis ikke hele gruppen spørres eller noen unnlater å svare, så må vi vurdere nøye om det kan være vesentlige forskjeller, mellom de som har svart og de andre.

 

De mulighetene vi har kan kort oppsummeres i følgende:

  • Nominalskala
    Nominalskala er den enkleste skalaen og forestiller det laveste målenivå. Her blir tall eller symboler benyttet for å klassifisere objekter/personer (f.eks.1= rød, 2=grønn, 3=blå) eller kjønn. I dette målenivået kan svarene kun grupp-eres og det er ikke mulig å regne ut gjennomsnittlige verdier, standardavvik eller lignende.
  • Ordinalskala
    På det neste nivå kommer ordinalskala. Her er det mulig å bestemme en rekkefølge (for eksempel 1=rik, 2=middels, 3=fattig)
  • Intervallskala
    I intervallskalaer beholdes rangeringsegenskapen. I tillegg kan avstanden mellom to rangeringsverdier (i motsetning til ved ordinalskala) bli nøyaktig angitt. For eksempel måling av temperatur i grader celsius (i motsetning til grader Kelvin). Data som tilfredsstiller denne skala, kaller vi også for metriske data.
  • Ratioskala (forholdsskala)
    På det øverste nivået kommer ratioskala, hvor alle egenskapene som tall har, beholdes. Forskjellen fra intervallskalaen vil være at vi her har et absolutt nullpunkt. (For eksempel omsetning i kr). I dette siste tilfellet (øverste nivå) kan vi benytte alle de statistiske metoder som finnes for å analysere tall. Dette gjør at vi kan få mest mulig ut av dataene i analysen, og viser viktigheten av at vi først bestemmer oss for hvilke krav vi stiller til analysemuligheter når vi skal innhente informasjon.

 

Oftest vil rammen for måleskalaen være gitt gjennom valg av standardverktøy under etablering av kontekst. Disse benytter imidlertid som oftest en graderingsskala (ratingskala), der et intervjuobjekts holdning til et gitt spørsmål graderes. Vi kan ha både en to-polig og en en-polig skala som nevnt nedenfor:

For eksempel:

”Hvordan synes du at utnyttelsesgraden av dagens kapasitet er?:

Godt Litt godt Gjennomsnittlig Litt dårlig Dårlig
+2 +1 0 -1 -2

Eller

Godt Litt godt Gjennomsnittlig Litt dårlig Dårlig
1 2 3 4 5

Ved en slik enkel holdningsmåling får vi (ved å benytte en enkel ”ratingskala”) bare et enkelt, men entydig svar fra den spurte.

Da avstanden på skalene i slike ”ratingskalaer” stort sett blir oppfattet av den spurte som like intervaller, kan disse betraktes som tallene fra en intervallskala

I og med at to-polige skalaer kan ha visse mangler, som vist nedenfor, har vi valgt å bruke en-polig skala.

 

Mangler ved ”to-polig skala”:

  • ”Halo-effekt”
    Vurderer vi bestemte ”objekter” så tenderer den spurte ut i fra et allment inntrykk personen har, til å gjøre bestemte ”objekter” avhengig av dette allmenne inntrykket. For eksempel, har vi en negativ holdning til Italia, så tenderer vi til å betrakte produkter som kommer fra landet som dårlige.
  • Interpretasjon av indifferenspunktet til en to-polig ratingskala. Indifferenspunktet kan ha forskjellig mening:
    Ambivalens: både godt og dårlig.
    Indifferens: verken godt eller dårlig.

 

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
 

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

OLYMPUS DIGITAL CAMERA

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: