Enhet A6.5 Organisering og ansvar i ERM-systemet

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul A6  Etablering av ERM-kontekst

 

 

UFFICIO_02

 

 

 

ENHET A6.5 Organisering og ansvar i ERM-systemet:

dokumenterer viktigheten av en effektiv organisasjonsmessig struktur for håndtering av muligheter/trusler med klart definerte roller, oppgaver og ansvar, er sentralt for å lykkes med systemet.

Dessuten beskrives første-. annet- og tredjelinjeforsvaret og viktigheten av å gjennomføre workshop.

En effektiv organisasjonsmessig struktur for håndtering av muligheter/trusler med klart definerte roller, oppgaver og ansvar, er sentralt for å lykkes med systemet. For å unngå gap, overlapping og svakheter i den organisasjonsmessige strukturen, trengs det klare skillelinjer, roller og ansvar.  Noe av det første en organisasjon som skal komme i gang med ERM må gjøre, er å se på hvilke presiseringer angående ansvar som må gjøres innenfor eksisterende organisasjon. Dernest hvilke tilpasninger organisasjonen ellers må gjøre for at systemet som helhet skal fungere.

Det er sjeldent praktisk eller ønskelig at innføringen av et ERM-system alene skal ha konsekvenser for ”kommandorekkefølgen” eller resultatansvar. Det kan derimot være hensiktsmessig at en syklisk informasjonsinnhenting, analyse og rapportering, finner sted på siden av den tradisjonelle linjeorganisasjonen. Det kan sikre at informasjon som ellers ville gått tapt som følge av ”støy” i form av prestisje, bonussystemer, eller manglende integritet likevel kommer frem.

Andre tilpasninger som kan være ønskelig å gjennomføre, kan være knyttet til hvilke ambisjoner organisasjonen har. Er motivet for innføring av ERM å tilfredsstille SOX (Sarbanes Oxlies Act) kan det eksempelvis bli nødvendig å etabler en såkalt ”revisjonskomité” (Se enhet 3.2.1 Juridiske krav USA). Organisasjoner som tidligere ikke har hatt internrevisorer, kan også finne det hensiktsmessig å etablere en slik funksjon i forbindelse med innføringen av ERM. Men vi presiserer at vi håper at organisasjoner som innfører ERM først og fremst er motivert av at ERM skaper verdi og ikke kun implementeres for å tilfredstille etterlevelseskrav.

 

Det kan være praktisk å betrakte den videre fordeling av ansvar i ulike nivåer som representerer forsvarslinjer:Førstelinjeforsvar: Dette er normalt de ulike organisasjonsenhetene med støtte/spesialist-avdelinger som IT,Finans, Strategi etc., både i eventuelle divisjoner og datterselskap. Her ligger den daglige risiko-overvåking, rapportering og håndtering, også kalt ORM (Operasjonell Risk Management). Normalt vil det være her de resultatmessige konsekvenser av uønskede hendelser blir synlige. Andrelinjeforsvar: Den andre forsvarslinjen er gjerne en sentral enhet/person, eller avdeling ofte kalt ”Corporate Risk Management (CRM). Enhetens ansvar er i første rekke å bidra til å fastlegge policy og å koordinere/administrere ERM-arbeidet. Avhengig av organisasjonenes størrelse er dette en funksjon/rolle en enkelt ansatt kan ha i tillegg til andre funksjoner/roller, eller en avdeling av personer dedikert til det formål. Tredjelinjeforsvar: Dette er en funksjon som fører uavhengig tilsyn med ERM-systemet og oppfølgingen av dette. Funksjonen er gjerne utført av en intern revisjonsavdeling eller annen frittstående enhet (gjerne innleid), som rapporterer direkte til styret.

 

 

 

Fig_DelII_08_049a

Figur A6-7 Illustrasjon av organiseringen som forsvarslinjer.

 

A6.5.1 Forankring av ansvar

Store konsern kan være representert med datterselskaper i over 100 forskjellige land med ulike regnskapsregimer. Slike konsern er helt avhengige av at den standard-isering som pågår fortsettes og fullføres. I mellomtiden finnes det ikke noen enkelt standard, som gjelder overalt. Det vil derfor normalt være styret for det enkelte lokale organisasjon som vil være ansvarlig for at lokale lover og regler følges.

Dersom et norsk selskap direkte eller indirekte gjennom et morselskap i utlandet vesentlig henter sin egenkapital gjennom en utenlandsk børs (for eksempel NYSE), vil også dette kunne få konsekvenser mht. rapporteringskrav. Samlet sett resulterer dette gjerne i at større konsern finner det hensiktsmessig å standardisere prosesser og rapportering fra datterselskap i en slags ”fellesnevner”. Det er imidlertid viktig at disse kravene nedfelles og formaliseres i avtaler mellom selskapene. Uten slike entydige avtaler vil forankringen av forpliktelsene ofte vise seg utilstrekkelig til å holde rutinene i gang, eller i beste fall bli svært personavhengige. Det er også viktig at avtalene gjøres så høyt opp i avtalehierarkiet som mulig, for å gi avtalen den nødvendige autoritet.  Avtaler mellom administrasjonen i de respektive selskap bør derfor unngås. Det vil mest trolig ville være hensiktsmessig å inkorporere denne forankringen i allerede eksisterende avtaleverk.

Internasjonale konsern vil normalt ha såkalte internprisingsavtaler (”transfer pricing”), som regulerer hvilke tjenester selskapene skal yte hverandre, videre hvem som skal bære risiko og hvilke priser som dermed skal gjelde mellom selskapene. De ulike lands skatteregimer viser etter hvert stor interesse for disse avtalene og krever dokumentasjon både på avtalene i seg selv og at de konsekvent praktiseres. Vår anbefaling er derfor at organisasjonen vurderer behovet og muligheten for å knytte et ERM-system opp mot disse avtalene med sikte på å kunne dokumentere fordelingen av risiko konsernselskapene i mellom.

 

A6.5.2 Førstelinjeforsvaret

Førstelinjeforsvaret består hovedsakelig av organisasjonens normale linjeorganisasjon i form av forretningsenheter og spesialavdelinger. ”Den kjenner best hvor skoen trykker, som har den på”.

high risk

 

Det er normalt her risiko oppstår og her konse-kvensene må synliggjøres. Det er også her organisasjonen i første rekke må identifisere risikoene og mulighetene, veie disse mot mulige inntekter og iverksette mulige tiltak

 

A6.5.2.1 Oppgaver og ansvar i forretningsenhetene

I etterstrebelsene etter nye forretninger og vekstmuligheter må linjeledelsen avstemme sin forretningsstrategi med organisasjonens overordnede strategi.

I utøvelsen av denne forretningsstrategien, skal risikoene ved forretningstransaksjon-er veies og inkluderes i prissettingen og lønnsomhetsmålene.

 

Forretningsenhetenes ansvar inkluderer derfor følgende:

  • Forretningsenhetene har primært ansvaret for å styre og håndtere risikoene i den daglige virksomheten.
  • Forretningsenhetene må være ansvarlige for å promotere risikooppmerksom-heten innen sine operasjoner og skal introdusere ERM-mål i sine organisasjonsenheter.
  • ERM må være på dagsordenen i regelmessige ledelsesmøter for å sikre en effektiv analyse av muligheter/trusler og tillate en revurdering av arbeidet som utføres og utfallet av dette.

 

 

Organisasjonsenhetens ledere skal videre sikre at ERM er inkorporert konseptuelt i prosjekter så vel som i faste daglige rutiner.

6.5.2.2 Ansvarlighet innen en matriseorganisasjon

Store organisasjoner er ofte entreprenører som utøver sin forretning globalt og innen flere produktområder. Slike organisasjoner er ofte organisert i såkalte matriseorganisasjoner.

Eksempelvis kan en slik matrise bestå av divisjoner og regioner. Divisjonene er gjerne ansvarlig for et enkelt produkt/en tjeneste eller beslektede grupper av disse. Regionen på sin side er gjerne ansvarlig for et geografisk marked i form av et område, land eller gruppe av land.

Fig_DelII_08_013a

Figur A6-8 Matriseorganisasjonen.

 

Det er i slike tilfeller gjerne divisjonene som står for utvikling og produksjon, mens regionene står for markedsføring, lokal distribusjon og salg. Fordi verken den ene eller den andre av disse enhetene i utgangspunktet kan forventes å sitte med et komplett bilde av alle detaljer innen den totale verdikjeden, blir samarbeide og rapportering her svært viktig når organisasjonen skal overskue alle vesentlige muligheter/trusler og kalkulere konsekvensene av disse.

Ansvaret for rapportering og håndtering av muligheter/trusler må reflekteres gjennom det forretningsmessige ansvar. Likevel er det ikke problemfritt å få dette til å fungere. Det er heller ikke likegyldig hvilken vei informasjonen går. Noen interesse-konflikter vil kunne oppstå dersom systemet ikke tar hensyn til denne organisasjonsformen.

Normalt vil det være nødvendig at divisjonene styrer prosessen på tvers av regionale enheter for at organisasjonen skal kunne skaffe seg et fullstendig bilde av alle muligheter/trusler. Dette vil imidlertid kunne skape en fragmentert og svært tungrodd prosess i regionene, dersom organisasjonen ikke tar nødvendige hensyn. Likeledes er det en fare for at enkelte risikoer eller muligheter faller i mellom divisjonenes interesseområder og derfor ikke blir ivaretatt av disse. Likevel kan disse risikoene eller mulighetene ha vesentlig betydning for en samlet region. Der organisasjonen ser at dette kan bli en problemstilling, bør den derfor bygge et system som tar hensyn til dette.

 

Ellers må normalt følgende gjelde:

  • Divisjonene er ansvarlig for å sikre identifisering, analysering, evaluering, treffe tiltak, rapportering og håndtering av muligheter/trusler på tvers av regioner. Dessuten ansvarlig for at muligheter/trusler holdes på et forsvarlig nivå. Likeledes er divisjonene ansvarlig for kvaliteten og nøyaktigheten av den informasjon som samles inn.
  • Regionene er ansvarlig for identifisering og rapportering av muligheter/trusler innen sine regioner. Håndteringen av disse blir koordinert med divisjonene. Den kontinuerlige oppfølging vil oftest også ligge i regionene.

 

A6.5.2.3 Oppgaver og ansvar i spesialist-/stabsavdelinger

Det kan diskuteres om spesialistavdelinger skal betraktes som førstelinje, eller annenlinjeforsvar. Enkelte ERM-miljøer velger å tilordne noen spesialistavdelinger til førstelinjeforsvaret, og andre spesialistavdelinger til annenlinjeforsvaret. Avgjørende for konklusjonen i denne sammenhengen vil normalt være den enkelte avdelingens individuelle resultatansvar og evne til å overskue den fulle konsekvens av de muligheter/trusler den omgis av. For å redusere mulighetene for at spesialist-avdelingenes innsikt ikke skal tilflyte den senere ERM-kjerneprosessen mener vi det er riktig å betrakte alle spesialistavdelinger som del av førstelinjeforsvaret.

6.5.2.4 Spesialistavdelinger med resultatansvar

Spesialistavdelinger som tar egen risiko i kraft av å utøve sin funksjon og er resultatmessig ansvarlig for utfallet av sine disposisjoner, må normalt betraktes på samme måte som øvrige forretningsenheter. Disse avdelingene bør klart kunne avkreves å være i stand til å ha oppfatninger om både sannsynlighet og mulig økonomisk konsekvens av sine disposisjoner på linje med andre resultatenheter. Eksempel på slike avdelinger/organisasjonsenheter kan være avdelinger som på vegne av sin organisasjon har til oppgave å forvalte verdier som valuta, aksjeporteføljer, eiendommer etc. på siden av organisasjonens normale kjernevirksomhet.

 

 j0078818

6.5.2.5 Spesialistavdelinger uten resultatansvar

Spesialistavdelinger som har mer rådgivende karakter og som har som formål å støtte andre resultatenheter har normalt ikke selvstendig resultatansvar. Dette kan være regnskaps, reklame-, IT-, kreditt-, og personalavdelinger. Disse sitter på verdifull kompetanse om forhold som kan ha store konsekvenser for sine respektive organisasjoner. Likevel vil slike avdelinger ofte ha problemer med å vurdere de totale konsekvensene av de risikoer de til daglig omgås eller de mulighetene de går glipp av. Eksempelvis vil ofte en IT-avdeling kunne ha meninger om sannsynligheten for at et ordresystem skal falle ut for en nærmere angitt periode. Derimot vil de normalt ikke kunne vurdere de markedsmessige konsekvenser av et slikt utfall. Som vi senere skal komme inn på, vil slike problemstillinger kunne nødvendiggjøre særskilte tiltak, eller faseforskyvning, i den etterfølgende ERM-kjerneprosessen.

 

Disse avdelingene er gjerne ansvarlig for følgende områder:

  • Forberede ORM-policy for sine fagområder på linje med ERM-policyen for hele organisasjonen.
  • Utvikle retningslinjer og metoder for å assistere linjeledelsen med å identifisere, analysere, evaluere, håndtere, rapportere og overvåke muligheter/trusler innen spesifikke områder.
  • Overvåke tillegg til ORM-policyen og retningslinjer for håndtering av muligheter/trusler innen spesifikke risikoområder.
  • Tilby råd i relasjon til sine spesifikke risikoområder og gi assistanse til forretningsområdene i håndtering av muligheter/trusler.
  • Opplæring av den øvrige organisasjonen i forhold til sine spesifikke fagområder og bidra til en ”føre var kultur” mht. muligheter/trusler.

 

For i størst mulig grad å nyttiggjøre seg eksisterende ekspertise fra spesialist- avdelingene i ERM-systemet, bør risikokategoriseringen reflektere organisasjonens struktur. Det er her forsøkt å ivareta sammenhenger mellom essensielle risikoområder og de spesialistavdelinger som normalt eksisterer.

 

A6.5.3  Andrelinjeforsvaret,oppgaver og ansvar til Corporate Risk Management

Andrelinjeforsvaret ivaretas normalt av ” Corporate Risk Management”. Med ”Corporate Risk Management” (CRM) menes i denne sammenhengen den enhet i form av person eller gruppe av personer som har det som sin oppgave å promotere og utvikle både organisasjonens ERM-system og den kollektive bevisstheten mht. muligheter/trusler som er nødvendig for at ERM-systemet skal ha noen mening. Dette inkluderer alt fra spesialkunnskap til ”føre var (proaktiv) holdninger” , metodikk, systemer og andre støtteverktøy som for eksempel IT-hjelpemidler. CRM skal med andre ord ikke ha forretningsmessig resultatansvar.

 

j0078749

 

Oppgavene er kun av faglig og administrativ art og omfatter:

  • Koordinere og forberede utarbeidelse av organisasjonens overordnede
    ERM-policy.
  • Kontinuerlig utvikle og revidere eller oppdatere organisasjonens ERM-system i takt med forandringer.
  • Samarbeide med spesialistavdelinger på et organisasjonsmessig nivå for spesifikke risikoområder.
  • Utvikle, vedlikeholde organisasjonens risikokategoriser-ingsmodell og rapporteringsmetodikk.
  • Besørge optimalisering av ERM-systemer med organisasjonens øvrige planleggings, – og overvåkningssystemer.
  • Sette standarder for rapportering av muligheter/trusler.
  • Foreta analyser av muligheter/trusler og identifisere hovedavhengigheter og områder med akkumulering av muligheter/trusler på tvers av ulike organisasjonsenheter.
  • Koordinere samarbeidet mellom spesialistavdelingene og forretnings-enhetene.
  • Gi generelle råd for identifisering og analyser av muligheter/trusler for organisasjonsenhetene.
  • Gi kontinuerlig ERM-trening og opplæring.
  • Utvikle en ERM-kultur for en ”føre var” holdninger mht. muligheter/trusler, inklusiv deling av kunnskap, ideer og beste praksis.

 

Noen organisasjoner finner det hensiktsmessig å sette sammen CRM av representanter for de ulike spesialavdelingene og forretningsenhetene (første linjeansvaret). Disse behøver ikke nødvendigvis ha ERM som eneste arbeidsfelt, men har gjerne det primære koordineringsansvaret innen sine respektive enheter og omtales da gjerne ”Risk Champions.

 

Enten ”Risk Champions” funger på deltid eller fulltid, vil deres oppgaver stort sett være avledet av de oppgaver CRM har som enhet:

  • Primært å være ”champion” for håndtering av muligheter/trusler på strategisk og operasjonelt nivå.
  • Være pådriver med å bygge opp en oppmerksomhetskultur mht. muligheter/trusler i organisasjonen, inklusiv passende opplæring/kunnskaps-oppbygging.
  • Etablere intern ORM-policy og struktur for organisasjonsenhetene.
  • Designe og vurdere ERM-prosessen.
  • Koordinere de forskjellige funksjonelle aktiviteter ved å gi råd om ERM-saker innen organisasjonen.
  • Utvikle responderingsprosesser mht. risikoer, – inkludert programmer for muligheter og forretningsmessige sammenhenger.
  • Forberede rapporter om muligheter/trusler til toppledelsen og de andre interessegruppene.
  • Dialog med andre senior risikoledere, finansielle ledere og andre operasjonelle ledere.
  • Identifisere ”beste praksis” mht. integrert og helhetlig risikoledelse (ERM).
  • Hjelpe senior risikoledere med å møte utfordringen med å koordinere, iverksette og overvåke ERM.

 

I andre større organisasjoner kan CRM bestå av flere personer som utelukkende har CRM som arbeidsfelt.

Til å koordinere og administrere arbeidet med ERM-systemet bør det utnevnes en ”Chief Risk Officer” (CRO)). Dette kan selvfølgelig være en av de utnevnte ”Risk Champions” som har fått dette som særlig oppgave, eller også en ”fulltids” CRO.

Avhengig av organisasjonenes ERM-kultur kan betydningen av CROs mandat og administrative tilordning ha stor betydning for resultatet av vedkommendes arbeid.
I organisasjoner som ønsker å benytte ERM-systemet som en del av grunnlaget for styrets tilsynsansvar, anbefales det at mandatet også har utspring fra styret. CROs oppgaver er derimot i første rekke administrative. Det bør derfor normalt heller ikke være noe problem at den administrative tilordning legges til organisasjonens daglige ledelse. Likevel må vi huske at det kan være en svært ”ensom jobb” å være CRO i en organisasjon med en umoden ERM-kultur. I slike organisasjoner kan det være viktig at styret bidrar med aktiv promotering av funksjonen gjennom tilpasninger i retningslinjer, instrukser og incentivordninger.

Det har vært krefter innen det faglige miljøet for internrevisjonen som har ønsket å legge CRO sitt ansvar til internrevisjon. Vi vil gjerne understreke at dette er en løsning som ikke er uproblematisk i forhold til vår modell, hvor CRO spiller en aktiv strategisk og administrativ rolle i systemet. Vi mener det er vesentlig å skille mellom aktiv deltakelse i systemet og nøytralt tilsyn, og at internrevisjon derfor bør tilordnes et rent tredje linjeansvar.

 

A6.5.4 Tredjelinjeforsvaret, – revisjon og tilsyn

Tredjelinjeforsvaret har til formål å skape nødvendig sikkerhet for at ERM-systemet som helhet fungerer som det skal, og er godt integrert med øvrige rutiner i organisasjonen, samt at avgitte rapporter gir et sannferdig bilde og at nøkkelrisikoer og -muligheter blir fulgt opp som forutsatt. Oppgaven kan synes å falle naturlig sammen med mange andre tilsynsoppgaver som styret innhenter bistand fra ulike hold for å utføre.

A6.5.4.1 Oppgaver og ansvar internrevisjon

I Norge er det ingen lovfestet plikt til å ha en intern revisjonsavdeling utenfor bank, – og finansnæringen. Norske organisasjoner utenfor disse næringene som likevel har valgt å etablere en intern revisjonsavdeling, har gjerne gjort dette for å følge opp organisasjonsmønstre i moderhus i utlandet, eller som følge av sin størrelse og kompleksitet.

 

Etter hvert har nok også aksjelovens mer eller mindre direkte krav til styret fått større betydning:

  • Styret skal sørge for forsvarlig organisering av virksomheten (asl §6-12(1))
  • Iht. asl §6-12(3) plikter styret å holde seg orientert om selskapets økonomiske stilling. Videre følger det av asl §6-12 et betydelig generelt tilsyns- eller kon-trollelement, som gjør dette til et av styrets viktigste oppgaver.
  • Ikke minst fremgår det av asl §6-13(1) at styret skal føre tilsyn med den daglige ledelse og selskapets øvrige virksomhet. Tilsynsplikten kan sees som en del av styrets forvaltningsansvar.

 

Mange styrer har imidlertid behov for støtte i sine tilsynsoppgaver og muligheten til å ta tak i uheldige forhold før disse blir offentliggjort. For å oppnå dette kan det være nødvendig å avmonopolisere linjeledelsens rolle som eneste informasjonskanal for indre anliggende. Et bidrag til en slik avmonopolisering, kan være etablering av en intern revisjonsfunksjon.

 

j0078744

 

Internrevisjonens oppgaver har normalt sitt utspring ut ifra styrets tilsynsplikt og behov for objektiv informasjon. Internrevisjonen rapporterer derfor i de fleste tilfeller til styret og skal normalt kun ta instrukser fra styret eller den styret har gitt fullmakt til å gi slike. Det er da også de samme behovene som ligger bak etableringen av den tredje forsvarslinjen i ERM-systemet.

Internrevisjonens integritet og rolle som det tredje forsvarsleddet i ERM-systemet, eller som del av dette, er essensielt for å vurdere effektiviteten og hensikt-messigheten av ERM på systemnivået. Styret må vite at den informasjon som når frem til dem gjennom ERM-systemet er mest mulig komplett og etterrettelig.  Generelt er derfor den interne revisjonsavdelingens primære oppgave å besørge uavhengige vurderinger mht. ERM-systemet og de prosesser som understøtter det. Videre skal internrevisjonen kontrollere at de vesentligste risikoene og mulighetene følges opp med nødvendige tiltak i henhold til forslag utarbeidet under kjerneprosessen.

 

Internrevisjonen er spesifikt ansvarlig for:

  • Overvåke effektiviteten og hensiktsmessigheten av ERM-systemet generelt, og ERM-kjerneprosessen spesielt.
  • Teste samsvar med ERM-systemet og praktisk anvendelse av systemet på alle nivåer.
  • Identifisere og fremheve den potensielle konsekvensen av svakheter i ERM-systemet.
  • Foreta kontroll av at vurderingen av muligheter/trusler er korrekt utført, og etterretteligheten av målinger av muligheter/trusler en har kommet frem til.
  • Foreta kontroller med sikte på at foreslåtte tiltak mot vesentlige muligheter/trusler blir fulgt opp på en betryggende måte.
  • Støtte ORM-prosesser i forretningsenhetene ved å gi råd om ERM-kjerneprosessen, standarder og ”beste praksis” prosedyrer.

 

Det kan være grunn til å komme med visse presiseringer i forhold til internrevisjonens oppgave med kontroll av vurderingen av muligheter/trusler og oppfølging av tiltak. Internrevisjonen skal normalt ikke vurdere om de anslag organisasjonen har kommet frem til er ”for høye” eller ”for lave” generelt sett. Snarere er det viktig å få brakt på det rene at den informasjon og de metoder som ligger bak vurderingene gir grunn til å tro at de er korrekte. Likeledes er det i forhold til ERM-kjerneprosessen ikke internrevisjons oppgave å overprøve de forslag til tiltak, som kjerneprosessen foreslår. Derimot er det internrevisjonens oppgave å påse at viktige muligheter/trusler blir fulgt opp med forslag til tiltak og at disse blir fulgt opp. Internrevisjonen kan selvfølgelig heller ikke granske de delene av systemet de selv er ansvarlig for, dvs. tredjelinjeforsvaret. Dette bør kun gjøres av utenforstående, som for eksempel ekstern revisor.

Som i alt annet revisjonsarbeid må internrevisoren sørge for å ivareta sin integritet. Uten denne integriteten vil verdien av de konklusjoner internrevisoren kommer til i utøvelsen av sine hovedoppgaver bli skadelidende. Det vil derfor være oppgaver internrevisjonen ”skal gjøre”, ”kan gjøre” og ”bør unngå”. I mangel av en egen fungerende CRO i organisasjonen, vil internrevisjonen imidlertid kunne ivareta en del konsultative oppgaver. Særlig kan dette være nytting i en innledende fase av ERM-arbeidet. I utøvelsen av oppgaver internrevisoren ”bør unngå” bør det utøves særlig aktpågivenhet.

Institute of Internal Auditors (IIA) som arbeider med internasjonale standarder for internrevisjonsarbeid, har arbeidet mye med spørsmål knyttet til ERM og intern- revisjon. Organisasjonen har i lengre tid utarbeidet og tilpasset ulike anbefalinger/standarder for internrevisjonens forhold til ERM i takt med endringer i anbefalingene fra ISO og COSO.

For organisasjoner som har, eller planlegger å etablere interne revisjonsavdelinger er det sterkt å anbefale tilpasning til disse standardene. I samarbeid sørger IIA og ISO og COSO for at det er konsistens i forholdet mellom deres respektive anbefalinger.

 

A6.5.4.2 Oppgaver og ansvar Eksternrevisjon

I henhold til norsk lov (asl § 7-1 og asal § 7-1) utnevnes revisor av general-forsamlingen og rapporterer (asl § 7-4/5 og asal § 7-4/5) til denne. General-forsamlingen er det eneste selskapsorgan som kan gi revisor instrukser. I tillegg til å være et organ for generalforsamlingen har ekstern revisor også mer samfunnsorienterte oppgaver som å påtale forhold som kommer i konflikt med interessene til allmennheten, ansatte, kreditorer eller det offentlige (Revl av 15. jan 1999 nr. 2). Ekstern revisor er imidlertid først og fremst et organ for general-forsamlingen, men har også opplysningsplikt ovenfor representantskap, medlem av styre eller bedriftsforsamling og den daglige ledelsen. Det er derfor en viktig kilde til informasjon for disse.  Særlig vil den løpende kontakten mellom ekstern revisor, styret og den daglige ledelse kunne gi mange viktige korrektiver.

Ulikt det mange tror, er ekstern revisor ikke forpliktet til å avgi noen erklæring med hensynet til kvaliteten, eller funksjonaliteten i interne kontroller, eller andre rutiner. Ekstern revisors oppgave er først og fremst rettet mot å kunne avgi en erklæring om at de opplysninger som fremkommer i regnskapene gir et korrekt bilde med oppgjørsdato som skjæringstidspunkt. For å kunne gjøre dette må han selvfølgelig danne seg et bilde av foreliggende data og de systemer og rutiner som har ført frem til dem, samt eventuelle forutgående kontroller. Mangelfulle kontrollfunksjoner og lavere tiltro til rutiner medfører behov for mer gransking og analyse fra revisors side og øker dermed også revisjonskostnadene. Avvik som revisor oppdager må korrigeres med virkning for skjæringsdato. Årsaken som førte frem til feilen har imidlertid mindre betydning for rapportavgivelsen, dersom virkningen kan korrigeres på skjæringsdato.

 

Eksternrevisjonen er spesifikt ansvarlig for:

  • Vurdere om årsoppgjøret gir et riktig bilde av resultatet.
  • Fastslå at driftsmidler og eiendommer eksisterer og er korrekt verdisatt.
  • Fastslå at gjelden er fullstendig og riktig oppført.
  • Sannsynliggjøre at rutiner rundt bokføring, opptelling og verdsettelse av varebeholdninger er tilfredsstillende.
  • Verifisere at bokføring er i overensstemmelse med lover, forskrifter og god regnskapsskikk.
  • Fastslå at rutiner rundt kredittgivning og inkasso er tilfredsstillende, at fordringsmassen er eksisterende.
  • Kontrollere at heftelser og sikkerhetsstillelser stemmer med opplysninger.
  • Kontrollere at hjemmels- og verdipapirer eksisterer, og er tilfredsstillende oppbevart.
  • Kontrollere at skattetrekksmidler står på egen konto.
  • Kontrollere signaturer og fullmakter.
  • Påpeke forhold som kan føre til ansvar for medlem av styret, bedriftsforsamlingen, representantskapet eller daglig leder.

 

Dersom organisasjonen ønsker å gjøre noe med årsakene til de avvik ekstern revisor kommer over, må dette gjøres gjennom gode rutiner og systemer, supplert med kontroller utført av en intern revisjonsavdeling. Dette vil i neste omgang kunne bidra til å holde både revisjonskostnadene og andre kostnader, som følge av feil og mangler, nede.

Skal eksternrevisor gjøres til en formell del av et ERM-system, må oppdraget eller mandatet utvides. Ekstern revisor har gjort tester og stikkprøver i regnskapsmaterialet som sikkert har påvist mangler i rutiner og kontroller uten at dette nødvendigvis fremkommer av revisjonserklæringen. Disse funnene hadde vært svært verdifulle som del av et ERM-system. Videre ville det vært ønskelig at organisasjonen ”toppet” tredjelinjeforsvaret med en nøytral vurdering av funksjonalitet og hensiktsmessighet av ERM-systemet som helhet. Det vil si en vurdering som også måtte omfatte styrets og internrevisjonens funksjon i systemet. En slik utvidelse av ekstern revisors oppgave og mandat er imidlertid ikke helt uproblematisk og bør vurderes individuelt fra organisasjon til organisasjon. Uansett vil initiativet og mandatet til en slik utvidelse av revisjonsoppdraget måtte komme fra generalforsamlingen.

 

A6.5.5 Grensedragning for eksternrevisjon

Økende kompleksitet og takten på endringene i ulike organisasjoners omgivelser som finner sted skaper et enormt press på ledelsen og de styrende organer. Likeså gjør de organisasjonsinterne endringene. Mange av de endringene som har funnet sted har dessuten svekket eller satt helt ut av spill mekanismer som tidligere gjorde kontroller og ledelsesinformasjon troverdig. Mange organisasjoner har funnet det nødvendig å innhente ekstra kompetanse og kapasitet. Over tid har det derfor åpnet seg et stort marked for revisjonsfirmaer som ikke har stått imot fristelsen til å utvikle en rekke ”konsulenttjenester” i tillegg til sine tradisjonelle lovpålagte oppgaver. Noen har sågar stimulert utviklingen og ”avlet frem” store konsulentavdelinger som drar nytte av den innsikt ekstern revisor har i organisasjonsinterne forhold hos sin klient. Disse konsulenttjenestene omfatter alt fra rene rådgivningstjenester, og innføring av utbedrende tiltak til internrevisjonslignende oppgaver.

Dette har vært en utvikling som mange mener er både betenkelig og åpenbart uheldig. En undersøkelse Kredittilsynet gjorde i 2003 viser også at det i de senere år har utviklet seg en praksis på dette området som strider både mot revisorlovens bokstav, og lovgivers intensjon med loven. En innskjerping er derfor på gang. Man ønsket imidlertid å avvente ytterligere presisering via endringer i lovverket inntil EU-kommisjonen har lagt frem sitt ”åttende selskapsdirektiv om revisjon og revisorer”. Dette direktivet er ventet å nødvendiggjøre en fullstendig gjennomgang av hele revisorloven. For de fleste formål er imidlertid Revisorloven slik den foreligger nå klar nok. (Revl av 15. jan 1999 nr. 2)

Generelt vil vi derfor peke på to begrensninger vi må ha i tankene når forretningsforholdet til ekstern revisor utvides ut over revisjonsoppdraget:

 

lupe

 

6.5.5.1 Lovpålagte begrensninger til vern av integritet og uavhengighet

Revisorloven legger begrensninger på ekstern revisors muligheter til å påta seg andre oppdrag på siden av selve revisjonsoppdraget. Disse reglene er der for å verne om revisors integritet og uavhengighet.

 

Revisorloven (Revl av 15. jan 1999 nr. 2). 4-5. Rådgivningstjenester m.v.

  • Revisor som reviderer årsregnskap for en revisjonspliktig kan ikke utføre rådgivnings- eller andre tjenester for den revisjonspliktige, dersom dette er egnet til å påvirke eller reise tvil om revisors uavhengighet og objektivitet.
  • Revisor kan ikke yte tjenester som hører inn under den revisjonspliktiges egne ledelses- og kontrolloppgaver.
  • Revisor kan ikke opptre som fullmektig for den revisjonspliktige. Unntak fra dette gjelder ved bistand i skattesaker etter domstolloven § 218.
  • I revisjonsselskap gjelder denne bestemmelse tilsvarende for revisor som ikke er ansvarlig revisor.

4-6. Andre forhold

  • Revisor skal påse at honoraret fra en klient, en gruppe samarbeidende klienter eller fra en og samme kilde ikke utgjør en så stor del av revisors samlede honorarer at det er egnet til å påvirke, eller reise tvil om revisors uavhengighet og objektivitet.

4-7. Samarbeidsavtaler, eierandeler m.v.

  • For samarbeidende revisorer som fremstår utad som et fellesskap, gjelder bestemmelsene i dette kapittel som om de var et revisjonsselskap.
  • Dersom en revisor eller et revisjonsselskap har eierandeler i et foretak som utfører rådgivnings- eller andre tjenester, skal disse ses under ett i forhold til bestemmelsene i dette kapittel.
  • Årsregnskap for en revisjonspliktig kan ikke revideres av den som har samarbeidsavtale med noen som utfører rådgivnings- eller andre tjenester dersom dette er egnet til å påvirke eller reise tvil om revisors uavhengighet og objektivitet. Departementet kan i forskrift bestemme at reglene i dette kapittel skal gjelde når det foreligger en slik samarbeidsavtale.

 

Når revisor påtar seg konsulentoppdrag på siden av revisjonsoppdraget skjer dette ofte i regi av organisasjonens styre eller daglige ledelse. Det vil si at konsulentoppdraget tildeles og instrueres av den funksjon revisor på vegne av generalforsamlingen er satt til å føre tilsyn med i revisjonsoppdraget. Kombinasjonen av ”å arbeide for” og ”føre tilsyn med” vil derfor normalt bli sett på som uheldig.

 

Dernest kan det reises en rekke spørsmål relatert til § 4-5 og 4-6:

  • Ved å påta seg oppdrag ved siden av revisjonsoppdraget kan revisor også komme i den situasjon at ”man må revidere seg selv”.  Anbefalinger og forhold man selv har lagt til rette for som konsulent må man senere legge under lupen for kritisk granskning. Man må da kunne stille spørsmål om alle kritikkverdige forhold vil bli påtalt?
  • Ved å påta seg andre oppdrag kommer man i et annet økonomisk avhengighetsforhold til oppdragsgiver enn om man kun var ansvarlig for revisjonsoppdraget. Dette vil i enkelte situasjoner kunne påvirke vurderinger man som revisor er forpliktet til å gjøre på fritt grunnlag.
  • Sist men ikke minst vil et daglig samarbeide kunne bringe personer så nære hverandre at det kan være vanskelig å holde den armlengdes avstand som er nødvendig for å beholde sin integritet.

A6.5.5.2 Mulig informasjonsbrist

Når eksternrevisor opptrer i rollen som konsulent, eller internrevisor må vi stille spørsmål om ekstern revisor er i stand til å skaffe seg den informasjon som ofte er nødvendig i internrevisors rolle. Først og fremst fordi han tross alt opptrer som ”gjest” som er til stede i et begrenset tidsrom og derfor ikke ”er under huden” på organisasjonen. Dernest vil han kunne oppleve en form for ”informasjonsvegring” fra sine intervjuobjekter. Mange vil være usikre på ”hvem” de snakker med. Er det ”den eksterne revisor” med lovpålagte oppgaver, eller en ”frittstående konsulent” som kun rapporterer til ledelsen? Som frittstående konsulent, eller intern revisor, har han/hun normalt kun en agenda og derav et begrenset mandat eller fullmakt. Å avgi informasjon har dermed også en begrenset og overskuelig konsekvens for intervjuobjektet. Som ekstern revisor har personen derimot en lovpålagt plikt til å gå videre med forhold av betydning for revisjonsoppdraget. I sin ytterste konsekvens må vi kunne stille spørsmålet om hva revisor vil gjøre, når personen i dobbeltrollen som innleid konsulent blir stilt overfor informasjon personen som revisor er pålagt å påtale, og som kan ha eksistensielle konsekvenser for personens klient? Mange vil derfor i enkelte saker vegre seg for å være åpne ovenfor en person som kan tenkes å representere eksternrevisjon, – selv i små saker uten betydning for revisjonsoppdraget.

 

 j0078825

A6.5.5.3 Ekstern revisjon og tredjelinjeforsvaret i ERM-systemet

Til tross for de betenkeligheter som måtte finnes mot å utvide ekstern revisors oppgaver, er det mye som tyder på at disse betenkelighetene ikke er like gyldige i forhold til ERM.

Internrevisjon har som nevn en klart definert rolle med sikte på å kunne støtte opp under styrets tilsynsoppgave og henter sitt mandat fra styret. Både styret og intern revisjon er jo en del av ERM-systemet og kan av den grunn prinsipielt ikke overvåke seg selv. Skulle organisasjonen ønske en slik overordnet analyse er vanskelig å tenke seg noen med bedre forutsetninger for dette enn ekstern revisjon. Dersom oppdrag og mandatet til slik oppfølging kommer fra generalforsamlingen og ikke organisasjonenes ledelse, er det også mindre sannsynlig at en slik oppgave kommer i konflikt med revisorloven. Det er derfor å anbefale at en slik løsning blir vurdert.

 

 A6.5.6 Ledelsens rolle og ansvar

De fleste organisasjoner har et godt og hensiktsmessig ledelsesfokus og gjennomfører løpende vurderinger av muligheter/trusler for å sikre sin formues-forvaltning på en betryggende måte. En forutsetning er at organisasjonen har dedikerte og kompetente medarbeidere. Kompetanse og forståelse av hva som er viktige muligheter/trusler, og hvilke konsekvenser ulike hendelser får for organisasjonen, er sentrale elementer i en proaktiv ERM-kultur. Ledelsen spiller en sentral rolle i utviklingen av ERM-kulturen. Holdningsskapende aktiviteter og bevisstgjøring fra ledelsen er derfor viktig. Når ledelsen engasjerer seg i å definere akseptabel ERM-policy og ERM-kultur, skaper ledelsen prioriteringer i oppfølging og overvåking av de løpende tiltakene som er viktige for organisasjonen. Når dette knyttes opp til kvalitetssikringen og servicegraden overfor kundene, skaper det god forståelse blant brukerne. Det vil alltid være en aktiv operativ oppfølgingen av avvikene og overvåkingen av bildet mht. muligheter/trusler, som danner det beste grunnlaget for et effektivt arbeid med muligheter/trusler i organisasjonen (ORM).

 

j0078751

 

En organisasjon trenger også å innarbeide et ERM-system/rammeverk som foruten en ERM-kultur og ERM-policy, også omfatter rutiner og prosedyrer som er forstått og blir etterlevd av menneskene i organisasjonen. En felles metodikk for analyse av muligheter/trusler som gjennomføres ensartet i alle avdelinger i organisasjonen er viktig for felles forståelse og prioriteringer av de mest utsatte risikoer og de viktigste mulighetene.

 

Det er ledelsens ansvar å forsikre seg om at et ERM-system er på plass og fungerer effektivt. Dette inkluderer:

  • Definering av organisasjonens ERM-policy, risikoappetitt, -toleranse og få dette godkjent av styret.
  • Etablering av et effektivt regime til å iverksette disse ERM-policyen gjennom detaljering (ORM).
  • Sørge for at organisasjonen har de nødvendige forutsetninger for håndtering av muligheter/trusler og å håndtere konsekvensene når disse inntreffer.
  • Etablering av en organisasjonsstruktur og definering av roller og ansvar for ERM.
  • Iverksette et integrert evalueringssystem for muligheter/trusler, og rammeverk for kategoriene.
  • Etablering av en analyse av risikoer, muligheter og revisjonsprosesser og sørge for tilstrekkelige ressurser til å gjennomføre disse.
  • Sørge for at organisasjonen har nødvendig kompetanse.
  • Bygge en organisasjonskultur som støtter ERM-policyen.
  • Gjennomføring av tiltak mot muligheter/trusler.
  • Utnytte muligheter til begrenset risiko, eventuelt også å begrense kontroll-tiltak.

 

Erfaringen som mange ledere gir uttrykk for, er at det å få den rette ERM-kulturen til å håndtere muligheter/trusler, er det viktigste og vanskeligste. De verdier som må signaliseres som viktige bidrag mot en effektiv ERM-prosess omfatter fokus på levering, åpenhet ovenfor nye ideer, og å lære av de feil organisasjonen gjør. Effektiv kommunikasjon er også essensielt for å sikre at viktige beskjeder kommer igjennom og blir forstått i organisasjonen.

 

A6.5.7 Styrets rolle og ansvar

Kvaliteten på styrenes arbeid får nå kritisk oppmerksomhet rundt omkring i verdenen. Vi ser at bedrifter vi trodde var solide, bryter sammen på kort tid. Mange kritiske røster reiser seg og uttrykker undring over at styrene kunne sove så lenge. Styret er ansvarlig for organisasjonen på vegne av eierne. Det kreves at styret settes sammen og arbeider slik at det reelt tar hovedansvar for organisasjonens strategi og framtid.

Styreansvaret i Norge er strengt i loven (asl av 13. juni 1997 Nr 44 og asal av 13. juni 1997 Nr 45). Styremedlemmer kan bli holdt personlig ansvarlige for styrets handlinger og unnlatelser. Ansvaret er økonomisk og kan medføre straffbarhet. Håndhevelsen av ansvaret er noe annet. Det tas sjelden initiativ med sikte på å gjøre styreansvar gjeldende, og det er enda sjeldnere at styremedlemmer faktisk blir gjort ansvarlige. Hovedårsaken til dette er nok kravet til bevisførsel. ”Unnlatelser” er den oftest forekommende feilen, men da også den vanskeligste å føre bevis for.

 

j0078743

I større selskaper blir det likevel stadig vanligere å tegne forsikring på betydelige beløp for å kunne møte krav om styreansvar. Dette kan være et tegn på at styrene i stadig større grad blir seg bevisst at også passivitet og unnlatelser kan føre til ansvar. Likevel er det dessverre ikke uvanlig at styret passivt følger administrasjonen også når situasjonen roper på initiativ. Nølingen og passiviteten kan få fatale følger. Ofte har styrene godkjent incentivordninger for den daglige ledelse, uten samtidig å klargjøre hvile risikorammer styret forventer at ledelsen skal arbeide innenfor. Dessverre ender det da ofte med at ledelsen tar for store risikoer med uheldige konsekvenser for organisasjonen, mens det nest størst loddet i form av en fallskjerm løses ut som et vakkert skue over den enkelte leder. Dårlig styrearbeid øder verdier. Arbeidsplasser forsvinner, aksjonærer og kreditorer påføres tap, leverandører og lokalsamfunn lider.

Samfunnet vil nok vært tjent med et lovverk som oftere sørget for at det medførte konsekvenser å forsømme pliktene som styremedlem. Over tid vil kanskje strengere sanksjoner medvirke til å få fram styremedlemmer som har uavhengighet, kraft og kompetanse, til å gripe inn i tide når varsellampene blinker. Det er derfor gode grunner til å skjerpe håndhevingen av loven. Initiativ til skjerpet håndheving bør komme fra flere hold. Ikke minst fra næringslivet selv.

 

A6.5.7.1 Styrets samarbeide med daglig leder

I praksis viser det seg at forholdet mellom styreleder og daglig leder er avgjørende for om organisasjonen skal lykkes. Styret kan derfor fristes til å unngå konflikter med daglig leder ved å ta en passiv rolle og overlate arenaen til daglig leder. Men da svikter styret sitt ansvar, både for utforming av strategi, overvåking av at den blir gjennomført, god organisering og nødvendig kontroll. Ofte kan uklarheter i kommunikasjonen og ansvarsdeling mellom daglig leder og styret, være årsaken til manglende handling fra styrets side.

 

Aksjelovens § 6-14 påpeker at det finnes begrensninger i daglig leders ansvar.”(2) Den daglige ledelse omfatter ikke saker som etter selskapets forhold er av uvanlig art eller stor betydning.”

 

Hvor grensen for ”uvanlig eller stor betydning” går, – vil nok de fleste organisasjoner ha problemer med å kunne redegjøre for. Likeledes ”hva skal skje” når det ene eller det andre inntreffer? For styre og ledelsen kan derfor ERM-systemet være et viktig instrument i denne kommunikasjonen, med siktet på å skille de forhold som er daglig leders ansvar og de som må styrebehandles. De terskler(toleransegrenser) eller grenseverdier organisasjonen benytter i systemet, bør tilpasses for å gjenspeile de ulike grenser for hva som anses som daglig leders ansvar.

 

Også i lovens krav til utarbeidelse av styreinstruks kan et ERM-system være et verdifullt referansepunkt. 6-23. Styreinstruks.(1) I selskaper hvor de ansatte har representasjon i styret, skal styret fastsette en styreinstruks som gir nærmere regler om styrets arbeid og saksbehandling.(2) Instruksen skal blant annet inneholde regler om hvilke saker som skal styrebehandles og daglig leders arbeidsoppgaver og plikter overfor styret. Instruksen skal også inneholde regler for innkalling og møtebehandling.

 

Den daglige ledelse og styret vil med et fungerende ERM-system disponere et verktøy som gjør dem i stand til å skille mellom hendelser av vanlig og uvanlig karakter ut fra en gjensidig forståelse.

Styret har ansvaret for å bestemme den strategiske retning som organisasjonen skal gå mot og for å skape miljø og strukturene for at ERM systemet skal fungere effektivt.

Dette kan gjøres gjennom en utøvende gruppe, og en ikke utøvende gruppe. En toppledelse skal i det minste som et minimum, vurdere en evaluering av sine systemer for intern kontroll.

 

A6.5.7.2 Forventninger til styret

Styret forventes å bidra til verdiskaping i organisasjonen i samspill med den administrative ledelse. Undersøkelser tyder på at styret ikke uten videre bidrar til å gi retning til organisasjonen, og at det kan være mye å hente i utvikling av styrets egen organisering og arbeidsform.

 

For å ta stilling til hva som er styrets leveranse, kan vi ta utgangspunkt i de spørsmål et styre må være forberedt til å svare på:

  • Hva er organisasjonens strategi og hvorfor?
  • Hvordan fungerer organisasjonen i forhold til organisasjonens strategi?
  • Hvilke styringsparametere er i bruk?
  • Hvordan skaffer styret seg løpende informasjon om status?
  • Hvordan sikres det at kursen korrigeres?

Blir de ansvarlige svar skyldig på sentrale spørsmål knyttet til styrets ansvarsområde, er det rimelig å reise spørsmål ved om ”leveransen” fra styret er tilfredsstillende.

A6.5.8    Formalisering av datterselskaps ansvar

I et konsern må alle ledd i organisasjonen være ansvarlig for å håndtere muligheter/trusler som oppstår innen sine respektive forretningsområder. Det må videre kunne forventes at de med jevne mellomrom skal rapportere nøkkelrisikoer og de viktigste muligheter som de står ovenfor innen sine forretningsområder, og evaluere tilstrekkeligheten mht. de målinger som til en hver tid gjøres.

Omfanget av rapportering vil avhenge av både eksterne og interne krav, som for eksempel:

  • Hvilket land /juridisk regime enheten er registrert i og dermed regnskaps-messig sorterer under.
  • Hvilket land (børser) enheten vesentlig henter sin egenkapital fra (direkte eller indirekte som del av konsern).
  • Om enheten er del av et konsern, eller gjennom avtaler på annen måte er underlagt et rapporteringsregime.

 

A6.5.9 Valg av arbeidsformer og teknikker

Som nevnt er det ledelsens oppgave å forsøke å forutsi de muligheter og begrensninger ved-kommendes organisasjon står overfor og tilpasse tiltak med det formål at organisasjonen skal ha størst mulig sannsynlighet for å nå sine mål. Dette er en kontinuerlig løpende prosess som gjerne starter med å identifisere de hendelser som foregår i organisasjonenes omgivelser, for deretter å vurdere om disse representerer muligheter eller trusler for organisasjonen. Mulighetene kanaliseres først og fremst tilbake til strategi og/eller planleggingsprosessene direkte, mens truslene fullt og helt inngår i ERM-prosessen.

Fig_DelII_08_015a

Figur A6-9 En hendelse fører ofte til både muligheter/trusler.

 

Valg av arbeidsform må tilpasses de målsetninger organisasjonen har for et ERM-system og de ressurser den har til rådighet. I den ene enden av skalaen kan den ha en mindre kompleks organisasjon som kun ønsker å benytte metodikken som et overbygg og et dokumentasjonssystem i tilknytning til sitt ORM-arbeid. På den andre siden kan den ha en større kompleks organisasjon med behov for å ”kalibrere” og ”synkronisere” sine rapporteringsmetoder og spisse sin innsikt omkring de trusler og muligheter organisasjonen omgis av. Arbeidsformen behøver heller ikke å være like i hele organisasjonen, men formatene organisasjonen kommuniserer på må være ensartet og konforme. Det gjelder å finne den riktige balansen mellom effektiv integrasjon i eksisterende rutiner og stimulans til nye synspunkter og perspektiver.

 

Mange ulike teknikker og arbeidsformer er tilgjengelig:

  • Sjekklister og sammenligninger med detaljerte oversikter over mulige hendelser en organisasjon kan bli utsatt for.
  • Interne analyser som del av planleggingsprosedyrer som strategiplanlegging og budsjetter.
  • Overvåking av kritiske suksessfaktorer.
  • Workshoper.
  •  Intervjuer med ansatte og interessenter.
  • Prosessanalyser med vurdering av mulige eksterne og interne hendelser som kan påvirke prosessen.
  • Overvåking av endringer i handlingsmønstre i organisasjonens omgivelser.
  • Analysering og sammenligning av informasjon tilgjengelig rundt tidligere risikosituasjoner og nåtid.

 

 

Disse arbeidsformene vil ha ulike forutsetninger til å lykkes i ulike deler av organisasjonen. Som regel vil det være nødvendig å ta i bruk flere teknikker samtidig. Erfaringsmessig kan det derfor være best å ”gå på siden” av tradisjonelle rutiner og kommandolinjer. F. eks i form av egne spørreskjemaer som fylles ut av for eksempel risikorapportører og/eller workshoper”/arbeidsgrupper, når informasjon skal hentes inn. Samtidig må denne informasjonen behandles og bringes inn igjen i organisasjonens kommandolinjer og løpende rutiner uten å lage unødvendig støy. Ved å skille ut sentrale elementer av ERM-systemet og overlate utførelsen av disse funksjonene til utvalgte representanter for organisasjonen, oppnår vi den nødvendige uavhengighet fra særegne forutsetninger, preferanser og systemer. Samtidig kan det opprettholdes et klart ansvar for konformitet og ensartethet i analyse og rapportering for hele organisasjonen.

Arbeidsgruppen kan operere relativt fritt uavhengig av andre systemer i organisasjonen, og blir dermed en viktig fellesnevner og redskap for ledelsen i identifisering og analyse av muligheter/trusler.

Den sykliske kjerneprosessen består i hovedsak av oppgaver og funksjoner som i det vesentlige er innbyrdes avhengig av hverandre. Ser vi bort fra knapphet på ressurstilgang, for gjennomføring, kan syklusen gjentas uendelig mange ganger dersom det skulle være noe mål. Syklusen bør likevel ikke gjentas oftere enn at den er i stand til fange opp og varsle organisasjonen til rett tid om mulige trusler slik at denne får tid til å handle. Syklusen blir derfor gjerne fastlagt og administrert av organisasjonens CRO (Chief Risk Officer). Kjerneprosessen har til oppgave å identifisere, kvantifisere, analysere, evaluere muligheter/trusler organisa-sjonen eksponeres for.

Fig_DelII_08_004a

Figur A6-10 Sammenhengen mellom ERM-kjerneprosessen og andre styringsprosesser.

 

Videre skal den foreslå tiltak, rapportere til den ytre prosessdelen med fastlagte intervaller. De fastlagte intervallene må selvfølgelig ikke hindre rapportering utenom disse, der særskilte situasjoner krever dette. Det faktum at kjerne-prosessen har til oppgave å identifisere muligheter/trusler fritar selvfølgelig heller ikke den ytre prosessen i form av linjeorganisasjonen i selv å identifisere og motvirke flest mulige risikoer i sitt daglige virke.

Den ytre løpende delen skal definere rammebetingelser, bidra med informasjon, føre tilsyn med og gjennomføre de tiltak det indre system foreslår. Det ytre system vil derfor normalt bestå av linjeorganisasjonen slik den er bygget opp med ansvar for den operasjonelle risk management (ORM) og de tilpasninger som følger av en eventuell indre ERM-prosess. Vi kan på mange måter si at disse elementene representerer et grensesnitt mot organisasjonens øvrige operasjonelle funksjoner, og må også således følge ”rytmen” i disse rutinene.

 

A6.5.10    Hvorfor workshop/arbeidsgrupper?

Organisering av arbeidet i arbeidsgrupper kan være mindre aktuelt for små organisasjoner, eller organisasjoner som kun vil benytte ERM-systemet til å dokumentere ledelsens analyse av muligheter/trusler. Et vanlig problem når muligheter/trusler identifiseres, er imidlertid at noen trusler eller muligheter kan gå på tvers av hele verdiskapningskjeden til en organisasjonsenhet, eller at effekten av en mulighet/trussel kan utkrystallisere seg et annet sted enn dennes årsak. F.eks. kan noen muligheter/trusler ha sine årsaker innen forskning og utvikling, innkjøp eller produksjon, mens deres innvirkning først blir synlig innen salgsavdelingen. Å organisere deler av ERM-arbeidet i arbeidsgrupper gjør det derfor lettere å gå ut i organisasjonen å hente informasjon og analysekapasitet uten å bryte med oppgåtte grenser for ansvar og myndighet.

 

j0288988

 

Målet ved å organisere arbeidet med kjerneprosessen i arbeidsgrupper er som følger:

  • Lettere å identifisere og protokollere nøkkelrisikoer/-muligheter sammen med alle deltakerne fra alle nøkkelfunksjoner og risikoansvarlige fra den respektive forretningsenheten.
  • Lettere å fokusere på muligheter/trusler gjennom faglig kompetanse, enn administrativ autoritet og prestisje.
  • Motvirker ”støykilder” som incentivordninger etc..
  • Forbedrer informasjonsflyten og fremmer en felles forståelse av muligheter/trusler på tvers av organisatoriske og faglige grenser.
  • Bidrar til utbredt forståelse av sammenhengen mellom trusler, muligheter og organisasjonens forretningsmessige mål.
  • Bidrar til kontinuerlig utvikling av ERM-systemet.
  • Flere kjerneprosesser kan gjennomføres parallelt, innbyrdes uavhengig av hverandre og andre løpende prosesser.
  • Linjeansvaret kan arbeide uforstyrret og opprettholdes for å ivareta daglige prosesser.
  • Arbeidsgruppene innvirker ikke på ansvaret for gjennomføringen av risikobegrensende tiltak.

 

Administrasjon og kontroll med arbeidsgruppen bør legges til CRO, som også er ansvarlig for forvaltning av ERM-systemet og ERM-verktøyet, samt deres grensesnitt mot øvrige rutiner.

Arbeidet i ”workshopen” bør støttes av risikospørreskjemaer eller spesielle verktøy som er strukturert iht. risikokategoriseringsmodellen (se Enhet A 6.3.1). Disse standardspørreskjema tjener som en generell rettesnor for risikoidentifisering, og kan bli justert for spesifikke forretningsområder hvis dette er nødvendig. Se ellers Guide B.

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
 

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

OLYMPUS DIGITAL CAMERA

 

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen    X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE Eksisterende elementer i ERM-systemet    X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop    X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak    X
Vedlegg F5 Rapporter    X
Vedlegg F6 Håndtering og overvåking    X
Vedlegg F7 Vedlikehold av kontekst    X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: