ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

 

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 

 

ENHET A0.4 ISO 31000:2009 standarden: innholder Risk Management (risikoledelse )– prinsipper og retningslinjer og et felles vokabular for Risk Management (risikoledelse).

Bakgrunn

Det er 20 år siden den første versjonen av Australia og New Zealand RM -standard, AS/NZS 4360:1995, ble publisert og deretter fornyet i 2004.  Den er nå erstattet av den nye internasjonale standarden som i Australia blir kalt AS/NZS ISO 31000:2009 som er et resultat av den internasjnale standarden ISO 31000:2009 som igjen i store trekk baserte seg på AS/NZS standarden.

AS / NZS 4360 har blitt brukt og adoptert av mange hundretusener organisasjoner i Australia, New Zealand og resten av verden de siste 18 år. De har generelt funnet at standarden gir en veldig praktisk tilnærming til håndtering av risiko som kan bli brukt i bred forstand.

På den annen side er det mange organisasjoner som har forsøkt å implementere COSO-rammeverket som er misfornøyd med den fremgangen de har gjort, og søker en tilnærming som er mer relevant for den strategiske ledelsen av sine organisasjon.

Flere forfattere har påpekt at COSO-rammeverket besitter mange tekniske og praktiske svakheter. For eksempel har den kjente kommentatoren Felix Kloman sagt: «De fleste anstrengelser forbedrer læringen, men COSO II (Committee of Sponsoring Organizations) monsteret i USA har satt oss tilbake med flere år. Australias / New Zealands innsatsen bør være ”bjellesauen” hvis RM skal fortsette å utvikle seg og blomstre».

Ali Samad-Khan har pekt på tekniske svakheter i den måten COSO krever at risikoanalysen skal gjennomføres. Han har sagt: «COSO unnlater ikke bare å hjelpe en bedrift til å vurdere sine risikoer, den forvirrer faktisk risikovurderingsprosessen”.

 

Michael Rasmuser Research gjennomførte i 2009 en full gjennomgang av COSO og konkluderte med:«Mange organisasjoner ser først til The Committee of Sponsoring Organizations of the Treadway Commission (COSO)), bare for å oppdage at den er dårlig skrevet og vanskelig å gjennomføre. ISO 31000:2009 og AS/NZS ISO 31000:2009 er mer moden, enkel og  fleksibel med et vell av implementeringsressurser for ulike risikoscenarier. «

 

ISO 31000:2009, som bygger på standarden AS/NZS,er nå en global standard og det vil bli den viktigste standarden for RM (RisikoLedelse) for alle land.

 

 

 

Det virker også sannsynlig at COSO ERM-standarden må endres etterhvert,  da den foreløpig ikke er i overensstemmelse med ISO 31000:2009 tilnærming til RM (risikoledelse). I og med at den ikke oppfyller prinsippene for god RM (risikoledelse i punkt 3 i ISO-standarden). Den utelater også visse viktige elementer i RM-prosessen (punkt 5), og inneholder ikke praktisk veiledning om gjennomføring (punkt 6), og fører ikke til tilnærminger til RM som oppfyller attributtene (egenskapene) for fremragenhet (vedlegg). Viktigere, i COSO er risikoen fortsatt hendelser med negative konsekvenser, og er ikke knyttet til oppnåelse av organisasjonens hovedmål og usikkerheten herunder.

Generelt om ISO 31000:2009

I november 2009 ga organisasjonen for standardisering (ISO) endelig ut den svært etterlengtede, og første internasjonale RM-standarden med tittelen: ISO 31000:2009 Risk Management – Principles and Guidelines.

 

Standarden ble utgitt for å gi organisasjoner prinsipper og generelle retningslinjer for RM. ISO 31000 er utviklet ved hjelp av eksperter fra hele verden, fra ulike bransjer og fagfelt. Standardens mål er å gi organisasjoner veiledning og en felles plattform for å håndtere ulike typer muligheter/trusler, fra mange kilder uavhengig av organisasjons størrelse, type, kompleksitet, struktur, aktiviteter eller sted.

 

I Australia er ISO 31000 blitt adoptert av Standards Australia og er offisielt kjent som AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines.
Den nye standarden erstatter det populære og høyt respekterte AS/NZS 4360:2004 Risk Management standarden som har vært brukt rundt omkring i verdenen. AS/NZS 4360 ble opprinnelig utviklet av Australia og New Zealand i 1995 og har tjent risikoledere fra hele verden. Den har oppnådd en utbredt aksept og respekt i løpet av årene og er hovedgrunnen til at den ble brukt som det første utkastet til den nye ISO-31000:2009 standarden. Den reviderte 2009-versjonen av AS/NZS 4360 er derfor nesten identisk som ISO-31000:2009.

AS/NZS ISO 31000:2009 på bakgrunn av ISO 31000:2009 går lenger enn AS/NZS:2004 i defineringen av prinsippene og egenskapene som organisasjonen må vurdere når den vurderer sin tilnærming til RM. Den viktigste endringen for de organisasjoner som fremdeles bruker AS/NZS: 4360:2004 er at ISO 31000:2009 krever at organisasjonen justerer håndteringen av oppside/nedside risiko mot oppnåelsen av organisasjonens mål.
Den nye standarden er støttet av ISO Guide 73:2009 Risk Management – Vocabulary, som gir definisjoner av begreper knyttet til RM, samt ISO/IEC 31010:2010 Risk management – Risk assessment techniques som gir en oversikt over risikovurderingsteknikker. Sammen støtter disse to dokumentene opp om ISO:31000:2009 og gir organisasjonen en beskrivelse av aktiviteter relatert til håndteringen av muligheter/trusler, og en konsekvent tilnærming til bruk av RM-terminologien i prosesser og rammeverk/systemer som omhandler håndtering av muligheter/trusler.

 

Her i våre bøker bruker vi ISO 31000:2009 og ISO Guide 73:2009 sin definisjon av risiko:Risiko er «effekt av usikkerhet på mål» (effect of uncertainty on objectives).Merknad 1: En effekt er et avvik fra det forventede positive og/eller negative.Merknad 2: Mål kan ha ulike aspekter (for eksempel økonomiske, helse, miljø og sikkerhet, og miljømessige mål) og kan oppstå på ulike nivåer (som for eksempel strategiske, organisasjonsmessige, prosjektmessige, produkt- og prosessmessige nivåer).Merknad 3: Risiko er ofte karakterisert mht. potensielle hendelser og konsekvenser, eller en kombinasjon av disse.Merknad 4: Risiko uttrykkes ofte som en kombinasjon av konsekvensene av en hendelse (inkludert endringer i omstendigheter) og den tilhørende sannsynligheten for hendelsen.Merknad 5: Usikkerhet er en tilstand der det er mangel på informasjon, manglende forståelse av eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet for at den skal forekomme.

 

Kjerne konseptet mht. risiko:

• Risiko oppstår bare når organisasjonen ønsker å oppnå noe.
• Risiko oppstår fra interne og eksterne faktorer. Fra påvirkninger som organisasjonen ikke helt har kontroll over  og som kan føre til at den mislykkes eller lykkes  i å oppnå målene eller forårsake forsinkelser.
• Disse faktorene og påvirkningene kan også føre til målene blir oppnådd tidligere eller overtruffet.
• Risiko er derfor verken positiv eller negativ, men de konsekvenser organisasjonen erfarer kan variere fra tap og skade (nedsiden) til vinning/nytte og fordeler (oppsiden).

 

ISO:31000:2009 innebærer ikke en sertifiseringprosess for organisasjoner. På samme måte som ledelsen i en organisasjon ikke kan bli sertifisert imot en eller annen standard er RM utformet/konstruert i form av prinsipper og retningslinjer for implementeringen, men ikke for sertifisering. Hvordan hver organisasjon driver RM er opp til dem. Det vil si sertifisering er ikke standardens hensikt/mål. Det første prinsippet for god RM i standarden stadfester at RM skal tilføre verdi. RM er konstruert mht. prinsipper, attributter (elementer) og retningslinjer for implementering, men ikke for sertifisering.  Prosessen med sertifisering kan føre til en etterlevelses- og kulturell holdning til RM som kan redusere eierskapet og ansvarligheten for RM-rammeverket/systemet i organisasjonen.

Grunnen til at mange har vært spente på ISO 31000:2009 er at den bringer sammen en global konsensus om RM i kortfattet form (ISO-31000:2009 og ISO Guide 73:2009) med informasjon. Alle former for risikoer er inkludert, som f.eks. finansielle, helse, miljø og sikkerhet, informasjonssikkerhet etc.. Selv det ”å ikke forfølge en mulighet» er en risiko. I henhold til standarden, er risikoen ikke alltid negativt, men bare sett på som «effekten av usikkerhet på måloppnåelsen”, som dermed også kan være positiv. Polaritetsprinsippet.

 

Hensikten med ISO 31000:2009

Personer som jobber med RM (uavhengig av system) har alltid samme mål: “Å utarbeide et godt grunnlag for beslutninger. Finne ut om risikoen er akseptabel og/eller fremskaffe pålitelig informasjon om hvordan den best kan håndteres”.  Det er mange ulike definisjoner av risiko og av prosesselementene i RM. Likeledes er det mange forskjellige versjoner av prosessen som skal følges. Alle har utviklet seg ut i fra gode historiske grunner, men enkeltpersoner, organisasjoner, regulert eller som regulator, trenger å ta trygge og balanserte beslutninger om alle muligheter/trusler de har å forholde seg til, på et konsistent og pålitelig grunnlag.

 

Beslutningstakere er ukomfortable med løse biter av tilsynelatende lignende, men fundamentalt forskjellig informasjon, hentet fra ulike prosesser og med ulike forutsetninger, som er beskrevet ved hjelp av de samme ord, men som har ulike betydninger. Ut ifra disse grunnene, fikk ISO (det internasjonale organ for standardisering) i oppdrag å lage en standard som vil være gjeldende for alle former for risiko, og som sørger for konsistens og pålitelighet i RM.Dette vil si: Et felles ordforråd. Et sett av prestasjonskriterier. En felles overordnet prosess for å identifisere, analysere, evaluere og håndtere risiko. Veiledning om hvordan denne prosessen skal bli integrert i beslutningsprosesser i enhver organisasjon.

 

ISO opprettet en arbeidsgruppe bestående av eksperter nominerte fra 28 land (opp til tre fra hvert land), og fra mange andre spesialiserte organisasjoner for å lede utviklingen av standarden og det tilhørende vokabular. Mens ekspertene har et svært bredt spekter av RM-erfaringer i mange sektorer og programmer, har deres viktigste rolle vært å representere synspunktene til sine respektive nasjonale risikoorganisasjoner og sektorer,  for å speile utvalg og organisasjoner.

Gjennom å speile utvalgene, har et nettverk av hundrevis av RM-spesialister og deres kunder fra hele verden bidratt til å skape, gjennomgå, og forme ISO 31000:2009 og veiledningen ISO Guide 73:2009. Disse dokumentene er derfor ikke bare konklusjonene til et lite utvalg, men representerer synspunkter og opplevelsen til hundrevis av kunnskapsrike personer, involvert i alle aspekter av risikoledelse.

 

Standarden hjelper organisasjonen med å nå deres mål Beskytter organisasjonens inntekter og øker organisasjonens verdi. Håndterer proaktivt organisasjonens operasjoner. Beskytter omdømmet og interessentenes tillit. Gir en bedre forståelse for og etterlevelse av krav til styring, juridiske og regulerende krav og organisasjonens sosiale ansvar og etiske krav. Identifiserer  muligheter der det å ta risiko gir organisasjonen fordeler. Identifiserer sannsynligheten for hendelser som vil ha en positiv effekt på organisasjonen. Identifiserer sannsynligheten for hendelser som vil ha en negativ effekt på organisasjonen. Identifiserer, og forstår håndteringen av oppside/nedside risikoer på tvers av organisasjonen. Utfører forandringer proaktivt og mer effektivt og effesient. Forbedrer ansvarlighet, beslutningsprosesser og åpenhet og synlighet. Beholder og utvikler kundene ved å være mer fleksibel og respondere bedre på deres behov. Kontrollerer utgifter og leverer et kostnadsoptimalt oppfølgingsmiljø.

 

 Vi viser til Guide A11 og Guide B8 vedlegg H vedrørende mer om ISO 31000:2009

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix ORGANISERING AV ERM-HÅNDBØKENE xii 1. RISIKO 6 1.1. HVA MENER VI MED RISIKO? 7 1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8 1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9 1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11 1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12 1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13 1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14 1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE TRUSLER/ MULIGHETER 15 1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV OPPSIDE/ NEDSIDE RISIKO 16 1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV OPPSIDE/ NEDSIDE RISIKO 16 1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17 1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18 1.8 ERM-KULTUREN 19 1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20 1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20 1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21 1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22 1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22 1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24 1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25 1.8.8 RISIKOTOLERANSE 27 1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29 1.10 OPPSUMMERING 30 2. ENTERPRISE RISK MANAGEMENT – ERM 33 2.1 RM VERSUS ERM 34 2.1.1 KATEGORIER MULIGHETER/TRUSLER 34 2.1.2 STRATEGISK INTEGRASJON 35 2.1.3 PRESTASJONSMÅLINGER 35 2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35 2.2 HVA ER ERM? 36 2.3 HVORFOR TRENGER VI ERM? 40 2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40 2.3.2 PLANLEGGING OG ORGANISERING 41 2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41 2.3.4 UTVIKLINGEN AV RM OG ERM 41 2.3.5 INTERNREVISJONSPLANER 42 2.3.6 KULTURELL TILPASNING 42 2.3.7 ANDRE GRUNNER 42 2.4 ERM STYRKER EVNEN TIL 43 2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44 2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45 2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47 2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48 2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51 2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52 2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS- OG EIERSTYRING) 53 2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54 2.8 VISJONER, MÅL, STRATEGIER OG ERM 55 2.9 FASTLEGGELSE AV MÅL 56 2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56 2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57 2.11 KRITISKE SUKSESSFAKTORER 58 2.12 FORDELENE VED ERM 60 2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62 2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63 2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64 2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65 2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR INTERNE INTERESSENTER SOM RISIKOEIERE 66 2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67 2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70 2.14 ERM-MISTAK 73 2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74 2.16 OPPSUMMERING 76 3 ORGANISASJONEN OG BEHOVET FOR ERM 81 3.1 KOMMERSIELT DREVNE KRAV 82 3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82 3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84 3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85 3.1.4 AKTUELL REGULERING OG TILSYN 90 3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92 3.1.6 SOLVENCY II 94 3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95 3.2 JURIDISK DREVNE KRAV 99 3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100 3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102 3.2.3 JURIDISKE KRAV, – NORGE 103 3.3 OPPSUMMERING 110 4 SYSTEM OG PROSESSER 115 4.1 ERM-SYSTEMET (-RAMMEVERKET) 115 4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117 4.3 ERM-PROSESSEN OG ORM-PROSESSER 119 4.4 OPPSUMMERING 121 5 BEDRIFTSMILJØET 123 5.1 FORMALISERING OG DOKUMENTASJON 123 5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125 5.3 ERM OG STRATEGISK PLANLEGGING 128 5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128 5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132 5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138 5.4 ERM-KULTUREN 139 5.4.1 INTEGRITET OG ETISKE VERDIER 140 5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140 5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141 5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141 5.4.5 AKSJE- OG OPSJONSORDNINGER 142 5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143 5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143 5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144 5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144 5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE KRAVENE FRA INTERESSENTENE? 146 5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147 5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147 5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148 5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148 5.6.2 ERM OG BALANCED SCORECARD 149 5.7 OPPSUMMERING 153 6. ETABLERING AV KONTEKST FOR ERM 156 6.1 GENERELT 158 6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159 6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159 6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160 6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161 6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162 6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163 6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163 6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164 6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164 6.3 KOMPONENTER I ERM-POLICYEN 165 6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166 6.4.1 HVORFOR RISIKOKATEGORISERING? 166 6.4.2 ANDRE KATEGORISERINGSMÅTER 169 6.4.3 KRAV TIL ERM-VERKTØY 171 6.4.4 RISIKOMATRISEN 172 6.4.5 GENERELLE KRAV TIL VERKTØY 172 6.4.6 VALG AV SKALA 173 6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175 6.5.1 FORANKRING AV ANSVAR 176 6.5.2 FØRSTELINJEFORSVARET 176 6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179 6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181 6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184 6.5.6 LEDELSENS ROLLE OG ANSVAR 186 6.5.7 STYRETS ROLLE OG ANSVAR 187 6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189 6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189 6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191 6.6 SJEKKLISTE ETABLERING AV KONTEKST 192 6.7 OPPSUMMERING 192 7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195 7.1 GENERELT OM KJERNEPROSESSEN 196 7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197 7.1.2 INFORMASJONSKILDER 198 7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199 7.1.4 KVANTITATIVE BEGREPER 199 7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200 7.2 IDENTIFISERING OG KVANTIFISERING 200 7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200 7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG TRUSLER 201 7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202 7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202 7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203 7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203 7.3 ANALYSE 204 7.3.1 FASEFORSKYVNING AV PROSESSEN 205 7.3.2 ANALYSE AV DAGENS SITUASJON 205 7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207 7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209 7.3.5 SJEKKLISTE ANALYSERING 210 7.4 EVALUERING OG PRIORITERING 211 7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211 7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213 7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214 7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214 7.4.5 SJEKKLISTE EVALUERING 215 7.5 TILTAK 216 7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217 7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220 7.5.3 FORBEREDE TILTAKSPLANER 221 7.5.4 IMPLEMENTERE TILTAKSPLANER 221 7.5.5 SJEKKLISTE TILTAK 221 7.6 RAPPORTERING OG DOKUMENTERING 222 7.6.1 EKSTERN RAPPORTERING 222 7.6.2 INTERN RAPPORTERING 222 7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223 7.6.4 RISIKO RAPPORTERINGSFREKVENS 226 7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227 7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227 7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228 7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229 7.7 OPPSUMMERING 231 8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234 8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235 8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235 8.1.2 GJENNOMFØRING AV TILTAK 235 8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236 8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238 8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238 8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239 8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242 8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246 8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248 8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248 8.6 OPPSUMMERING 249 9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251 9.1 ERMSE (ERM SYSTEMEVALUERING) 251 9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252 9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252 9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252 9.2 BEKREFTELSE I ERM 254 9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254 9.2.2 BEKREFTELSE OG ERM 255 9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256 9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257 9.5 OPPSUMMERING 258 10 STIKKORDSREGISTER 260 11 VEDLEGGSOVERSIKT 265

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VEDLEGGSOVERSIKT GUIDE A

 

Vedlegg	Tekst	Guide A	GuideB
Vedlegg A	Risikokategoriseringsmodellen .		X
Vedlegg B	Risikopolicy i «Vår Organisasjon.»		X
Vedlegg C	Mandat ERM.		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE).		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet .		X
Vedlegg E	Sjekklister/spørsmål .		X
Vedlegg F1	Workshop .		X
Vedlegg F2	Enkelt Risikospørreskjema.		X
Vedlegg F3	Alternativt risikospørreskjema.		X
Vedlegg F4	Risikotiltak .		X
Vedlegg F5	Rapporter .		X
Vedlegg F6	Håndtering og overvåking .		X
Vedlegg F7	Vedlikehold av kontekst .		X
Vedlegg G	Nøkkelreferanser/standarder.	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A	X
Vedlegg K2	Tabeller og figurer i Guide B.		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen