Enhet A1.8 ERM-kulturen

ERMguiden

Praktisk Enterprise Risk Management(ERM)

 

 

100_4274

 

 

Guide A – Bakgrunn, behov, ERM-systemet
– og prosesser

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Modul 1 Risiko

 

 Money_Burning_04

 

 

 

 

 

ENHET A1.8 Risikobevisst kultur:

skisserer hvor viktig et felles og bevisst ”stammesspråk” er i kommunikasjonen i organisasjonen, hvilken atferd som belønnes eventuelt straffes, hvilke prosesser og faktorer som gjelder for en postiv kultur og hvordan dette influerer på beslutningsprosessene i organisasjonen.

Videre viktigheten av risikovilje/ risikoappetitt og risikotoleranse.

Vurderer kjennetegnene på en risikooppmerksomhets-kultur og diskuterer hvordan en slik kultur kan måles og hva som kan undergrave en risikooppmerksomhets-kultur

 

ERM-kulturen er den generelle tilnærmingen for organisasjonen til å håndtere sine muligheter/trusler. En positiv ERM-kultur vil automatisk innlemme ERM-tenkningen i alle beslutningsprosesser ledelsen er involvert i.

Det primære målet for å skape en ERM-kultur er å skape en situasjon der strategisk, operasjonell, taktisk og katastrofal håndtering av muligheter/trusler foregår i organisasjonen, uten direkte tilsyn eller inngrep fra Chief Risk Officer (CRO) eller et utvalg. I en positiv ERM-kultur, vil ledelsen på tvers av firmaet være klar over sin toleranse mht. oppside/nedside risiko, håndteringsprosessen og avkastningen av forventningen til firmaets ERM-kulturprosess.

 

 

Money_Burning_03

A1.8.1 ERM-kultur, kommunikasjon og oppfølging i organisasjonen

I en bedrift, eller organisasjon, finnes som regel både skrevne og uskrevne lover og regler til støtte for medarbeidere, som i kraft av sin stilling blir eksponert for en trussel /mulighet i en eller annen form. De enkleste situasjonene er som regel de som er beskrevet i form av rutiner eller instrukser. Det er derfor åpenbare fordeler ved at rutiner og instrukser utarbeides. Men ofte møter organisasjonen situasjoner som ikke er identifisert som en oppside/nedside risiko på forhånd, og dermed beskrevet. Organisasjonen må da stole på den enkelte medarbeiders assosiative evner, og at vedkommende er i stand til å dra paralleller mellom den aktuelle situasjonen og tidligere erfaringer. Det skal i slike tilfeller lite til for at fokuset på den aktuelle mulighen/trusselen blir redusert til fordel for andre forhold som blir høyere prioritert. I slike tilfeller har organisasjonens ERM-kultur sterk innvirkende på utfallet av situasjonen.

A1.8.2 Betydningen av et ”stammespråk”

j0078817

Hyggelige situasjoner er enkle å samtale om, og medarbeidere kommer lett til enighet med hverandre i større forsamlinger. Det motsatte er normalt tilfelle når samtalen skal dreie seg om trusler eller vanskelige situasjoner. Slike samtaler foregår ofte under ”høy temperatur” og betydningen av å være presis i sine formuleringer kommer tydeligere frem. Ofte ser organisasjonen at muligheter/trusler som blir omtalt i slike fora, ikke får den oppmerksomhet de fortjener, rett og slett fordi de ikke blir forstått som følge av uoverensstemmelser i begrepsapparatet hos de ulike samtalepartnere. Det er derfor viktig at de ulike muligheter/trusler en organisasjon omgir seg med blir definert og konsekvent omtalt hva angår innholdsmessig betydning. Målet må være at organisasjonen har en enhetlig og transparent forståelse av de ulike begreper/definisjoner i hele organisasjonen. En slik definering må begynne i styrerommet, forankres i toppledelsens handlinger og spres nedover i organisasjonen via toppledelsen.

 

A1.8.3 Betydningen av ”belønning og straff”

I mange organisasjoner finnes det et utall systemer, beskrevne og ubeskrevne, som skal stimulere den enkelte medarbeider til å yte mer. Slike systemer dreier seg om alt fra ”vennlige skulderklapp”, avansementsordninger, gaver for lang og tro tjeneste, til bonuser og opsjonsavtaler. De siste har etter hvert fått stor utbredelse i løpet av det siste tiåret. Utbredelsen av bonuser og ”ytelsesbaserte” belønningssystemer kan være en viktig indikator for organisasjonenes ERM-kultur. Først og fremst fordi de forteller hva organisasjonens ledelse vektlegger ovenfor sine medarbeidere. Dernest fordi systemene forteller noe om fordeling av ansvar for kortsiktige og langsiktige konsekvenser av en handling.

 


Noen av de mer uheldige konsekvensene av bonuser og ytelsesbaserte avlønningssystemer blir ofte:
  • Forsømmelse av oppgaver: Utsiktene til bonuser eller lignende gjennom sterkt fokus på enkelte oppgaver fører gjerne til at andre oppgaver blir forsømt. Forsømmelsene kommer ofte til uttrykk først etter lengre tid og da i form av økt risiko eller reduserte resultater for organisasjonen.
  • Kortsiktighet og ansvarsfraskrivelser: Ytelsesbaserte avlønningssystemer belønner oftest en medarbeider på grunnlag av en handling, som på kort sikt gir et positivt resultat. Om handlingen samtidig øker den langsiktige oppside/ nedside risiko og eventuelt dermed reduserer eller forbedrer resultatet på lengre sikt fanger systemene sjeldent opp. En medarbeider kan dermed personlig belønnes for en handling som på lengre sikt gir et svært uheldig samlet resultat for organisasjonen. Resultatet vil ofte være medarbeidere som i liten grad føler personlig ansvar for muligheten/trusselen.
  • Ekskludering: Medarbeider som har til oppgave å fokusere på muligheter/trusler er vanligvis ikke (”fullverdig”) del av det ”ytelsesbaserte” avlønningssystemet, – noe som ofte oppleves som ”straff”.
  • Indre kulturforskjeller og interessekonflikter: Medarbeidere som arbeider med overvåkning av muligheter/trusler vil også ofte måtte arbeide mye tyngre i sin omgang med personer som avlønnes etter ytelsesbaserte avlønnings-systemer som følge av interessekonflikter.
  • Manglende ansvarliggjøring for risiko: Samlet vil sterkt fokus på ytelses-baserte avlønningssystemer ofte bli at den enkelte medarbeider identifiserer seg sterkt med de kortsiktige positive resultatene av sine handlinger, mens de langsiktige negative resultatene blir et ”kollektivt” ansvar med resultater organisasjonen som helhet må bære.

 

 

For eksempel har finanstilsynet i EU, organisert gjennom Committe of Banking Supervisors (CEBS) på bakgrunn av finanskrisen foreslått kraftige begrensninger på bankdirektørenes bonuser. Tiltakene i 2012 er ventet å bli mye kraftigere enn retningslinjene G20-landene tidligere har blitt enige om.

 

j0078702

 


Noen av de viktigste forslagene til innstramminger fra CEBS:
  • Et uavhengig utvalg skal bestemme størrelsen på bonusene.
  • 40-60 prosent av bonusen skal utbetales tre-fem år etter at den er opptjent, og minst 50 prosent av bonusen skal være i aksjer i banken.
  • Det skal settes en maksimumsgrense på hvor stor bonusen kan være i prosent i forhold til fastlønnen.
  • ”Fiaskobonuser” skal fjernes fra sluttpakker.
  • Alle lønns- og bonusbetingelser for toppledelsen og ”sentrale risikotakere” i bankene skal være offentlig.

 

Forslagene er i prinsippet et steg i riktig retning. Men mye avhenger av hvordan disse iverksettes.

 

A1.8.4 Oppbyggingen av en ERM-kultur

Hvor brukbart et ERM-system er, avhenger først og fremst av ERM-kulturen.

 


ERM-kulturen blir først og fremst influert av følgende faktorer:

  • En bevisst organisasjonsfilosofi og lederstil mht. muligheter/trusler.
  • Mulighets-/trusselbevisste ansatte.
  • Dyktighet med hensyn til kommunikasjon.
  • Raske reaksjoner på endringer i markedet.

 

ERM-kulturen er en forutsetning og et utgangspunkt i et ERM-system, der det hersker kostnadsbevissthet. Den mulighets-/trusselbevisste organisasjonsfilosofien bør kommuniseres av toppledelsen ved hjelp av ERM-policy regler.

 

A1.8.5 Viktige faktorer og prosesser for en effektiv ERM-kultur

 

j0078824

 


Viktige faktorer og prosesser, som er pådrivere for at organisasjonens kultur og kommunikasjon skal utvikles i henhold til målsettingen, er blant annet at:

  • ERM-kulturen er definert. Organisasjonens risikoappetitt er klar og forstått i organisasjonen. Uavhengig om organisasjonens kultur er konservativ eller ”gründer” inspirert. ERM er avstemt med kulturen for å gi ledere og ansatte nødvendig manøvreringsfrihet.
  • ERM er alles personlige ansvar. Oppside/nedside risiko er ikke fragmentert i avdelingsvise ”siloer”. ERM skal ikke være enten eller. Folk fra IT, juridisk avdeling og kommunikasjonsavdelinger er involvert i å ta beslutninger for å informere ledelsen om ikke-finansielle muligheter/ trusler, som er assosiert med introduksjon av nye forretningsmuligheter og produkter.
  • Oppmerksomhet vedrørende muligheter/trusler gjennomsyrer hele orga-nisasjonen. Prestasjonsmål justeres, avlønningssystemer reflekterer ledelsens prioriteringer, kompensasjonsskjemaer oppmuntrer til en proaktiv holdning til å ta risiko som er avstemt med risikoappetitten (risikoviljen). Tilpassede proaktive forutsigelser og gevinster, gir aksjeeiere og analytikere full forståelse av mulighetene/truslene.
  • Et klart dokument av organisasjonens filosofi må lages og støttes av konsekvent håndhevelse. Hvis det for eksempel er satt et mål for nulltoleranse for brudd, må organisasjonen vise at målet med nulltoleranse er nådd. Topplederne må lede ved å være et godt eksempel. Det er ikke noe vits i å si at organisasjonen har en streng kultur for å handle i overensstemmelse med det avtalte, hvis topplederen ignorerer de grensene som er forhandlet frem, såfremt disse er akseptable.
  • Risikoeiere har makt. Enhver som er involvert med å overvåke muligheter/trusler har ”vetorett” ovenfor nye prosjekter, prosesser, metoder og programmer som de anser for risikoutsatte. Likeledes har CRO (Chief Risk Officer) makt til å være pådriver for oppmerksomhet vedrørende muligheter/trusler og ledelses- og -håndteringsagendaen.
  • Prestasjonsmålinger og belønningsmetoder må reflektere organisasjonens kultur.
  • Konkrete prosesser må iverksettes for å understreke de kulturelle målene. For eksempel hvis organisasjonen ønsker å unngå ethvert problem med ”pengevasking” må organisasjonen kjenne sine kunder meget godt. Derfor må organisasjonen ha en meget klar dokumentasjon med hensyn til sine kunder. Lovmessige krav for dette varierer fra land til land, men prosedyrene og dokumentasjonene må være tilstrekkelig omfattende og klare. Dette for å sikre at potensielle kunder er grundig undersøkt. Disse prosessene må være gjenstand for regelmessig revisjon for å sikre nødvendige disiplin og for å beskytte organisasjonens omdømme.
  • Uvisshet blir akseptert. Organisasjoner som for eksempel bruker “scenarioplanlegging” for å sikre at deres strategi omfatter usikkerhet, eliminerer eller skjuler ikke dette. I stedet for å basere strategien rundt faste antagelser, prøver ledende risikoeiere å vurdere alle mulige utviklinger i beslutningsprosessen.
  • Det må herske lik oppmerksomhet både til kvantitative, som de kvalitative muligheter/trusler. Fristelsen til å ignorere muligheter/trusler som ikke uten videre kan kvantifiseres, slik som muligheter/trusler knyttet opp mot organisasjonens omdømme, blir da unngått.
  • Oppside/nedside risikoer er identifisert, analysert, evaluert og tiltak er satt ut i livet og rapportert så godt som mulig. Dette betyr å sette opp databaser for muligheter/trusler, tap og gevinst, og å identifisere oppside/nedside risikoer på en nøyaktig måte, istedenfor generelt å kategorisere dem som for eksempel finansielle eller driftsmessige tap.
  • Risikoeierne overvåkes. ERM er for viktig til å bli overlatt til risikoeiere alene. Interne revisjonsprosedyrer sikrer at systemer fungerer slik de er tenkt, og at organisasjonen oppnår de riktige resultatene.
  • Organisasjonen unngår produkter og forretninger som organisasjonen ikke forstår. Sikker ERM er avhengig av å vite nok til å unngå farene som organisasjonen står ovenfor. Et produkt eller en forretning som viser en kraftig vekst, men som er for kompleks for ledelsen å forstå, er en for stor risiko.
  • ERM leverer verdi. ERM er ikke laget for å stoppe organisasjonen fra å ta risiko, men heller for å skape verdier, ved å omfatte muligheter for at eksempelvis aktiviteter, prosjekter eller produkter skal lykkes. Dessuten ved å tillate at ledere og interessegrupper skal forstå nivået på de mulighetene/ truslene organisasjonen står ovenfor og som den håndterer. 

 

Det er ytterst viktig at organisasjonen har en ”ERM-oppmerksomhetskultur” der organisasjonen har forståelse for viktigheten av å ha et system på plass for å oppdage muligheter/trusler raskest mulig. Dette kalles på engelsk ERM- early warning system” (ERM-føre var system).

Oppbyggingen og promoteringen av en ”ERM-oppmerksomhetsorganisasjon” er prioritet nummer en, der enhver i organisasjonen spiller en rolle i ERM-prosessen.
Organisasjonens ERM-system og ERM-kultur må poengtere viktigheten av å handle i overensstemmelse med interne policyer, retningslinjer og prosedyrer.

ERM-kulturen må også ivareta organisasjonens behov for å identifisere uidentifiserte muligheter/trusler som ofte neglisjeres på grunn av at ERM-kulturen i organisasjonen ikke er sterkt nok med forståelse for ”early warning” (”føre var”) signaler.

 

A1.8.6    Ta beslutninger – beslutningsprosessen

Et godt utformet ERM-system bør fremme en helhetlig tilnærming til organisasjonens beslutninger, i samsvar med langsiktige mål som organisasjonen har.

 j0078796


Økt oppside/ nedside risiko og kapitalstyring kan forårsake endringer i vedtak gjort på mange kritiske områder, inkludert:

  • Anleggs- og finansformue/investeringsstrategi.
  • Produktprising.
  • Årlig forretningsplanlegging.
  • Gjenforsikring innkjøp.
  • Strategisk planleggingsprosess.
  • Produktdesign.
  • Produkt/forretningsmiks.

 

Et viktig steg er å avklare organisasjonens risikoappetitt, så pågående strategiske beslutninger kan gjøres innen en etablert risikobasert sammenheng. Spesifikk risiko kan adresseres på ad hoc basis, men en mer integrert vurdering kan oppnås ved å utføre en mer komplett analyse. Denne delen beskriver en ovenfra og ned prosess som kan brukes til en bestemt oppside/nedside risiko så vel som på en bred oversikt. Prosessen kan gjøres på en repeterende basis, og raffineres mer etter som det dukker opp og opparbeides bedre forståelse gjennom hvert gjennomløp.


Prosessen utfolder seg ved å se på følgende spørsmål:

  • Hva er risikoappetitt?
  • Hvordan kan risikoappetitt måles?
  • Hvordan kan organisasjonen definere sin risikoappetitt?
  • Hvem er organisasjonens interessenter og hva krever de?
  • Hva vil det kreve å møte nøkkelinteressentenes krav?
    – Styret og ledelse.
    – Ansatte
    – Policyimpliserte (de som lager retningslinjer).
    – Aksjonærer.
  • Hva vil det kreve å møte støttende interessenters krav?
    – Ratingbyråene
    – Lovgivende myndigheter
  • Hvordan lager organisasjonen strategier for å møte disse kravene?
  • Hvordan fattes beslutninger innenfor ERM-rammeverket?
  • Hva er organisasjonens muligheter/trusler med å lykkes med disse strategiene?

 

A1.8.7 Risikovilje og risikoappetitt

Ifølge flere fremstillinger kan individer klassifiseres i forskjellige kategorier mht. å ta risiko, for eksempel:

«Vegrere« er de mest forsiktige av de som tar risiko, og er heller ikke særlig opptatt av kontroll. De forventer at det verste skal hende uten at de kan gjøre noe med det og vil ikke ta selv den minste sjanse, hvis de kan unngå det. De taper pga. at de ikke får økonomiske muligheter til belønning/gevinst. Det vil ikke si at deres organisasjoner ikke hevder seg, men de overlever som regel, bare så vidt det er.

«Våghalser« tar derimot mange unødvendige sjanser, men er i likhet med ”risikovegrere ikke særlig opptatt av kontroll. De lukker øynene for risiko, ignorerer fakta og stuper ute i det. ”Våghalser” feiler vanligvis som følge av at de nekter å ta sine forholdsregler og blir stadig overrasket av negativ utvikling.

«Beregnere« forstår at de må ta sjanser for å videreutvikle seg. Men erkjenner at det er grader av risikoer i enhver situasjon. Før de tar en beslutning, eller tar aksjon, samler de inn informasjon og analyserer oddsene for å tape eller vinne. ”Beregnere” prøver å være realistiske, erkjenner risikoene og redusere risikoene til et akseptabelt nivå. De har et balansert forhold mellom mulighetene/truslene og håndtering-ene av disse, og kan dermed optimalt utnytte sine sjanser.

”Byråkrater har alt under kontroll. Behovet for kontroll kan være så sterkt at de sjeldent kommer i situasjoner som også byr på muligheter som kan utnyttes. Dermed er også organisasjonens mulighet og utviklingspotensial begrenset.

Risikoappetitt eller risikovilje er den grad av risiko som en organisasjon er villig til å akseptere for å øke sin verdi. Den reflekterer organisasjonens filosofi, og har innflytelse på organisasjonens kultur og måten organisasjonen utfører sine daglige gjøremål på.

“Risikoappetitt eller ”risikovilje” er en fundamental komponent av en organisasjons interne omgivelser. En organisasjons risikoappetitt har store konsekvenser for organisasjonens strategi.

Fig_DelII_08_005

 Figur A1-3 Visuell fremstilling av ulike holdninger til risiko.

 


Det er derfor nødvendig at organisasjonen har et klart forhold til begrepene og stiller seg selv noen konkrete spørsmål:

  • Hva er den mest hensiktsmessige måten å måle ”risikoappetitten på? Eksisterer det noen “beste praksis” som kan brukes som en guide for å hjelpe organisasjonen og de ansatte mht. dette?
  • Er organisasjonen klar i sin definisjon av risikoappetitt? Muligens er det slik at organisasjonene tror at deres beslutninger er konsistent med at deres ”risikoappetitt = X”, mens deres beslutninger og praksis i virkeligheten er konsistent med en “risikoappetitt > X”. Med andre ord, det synes som om organisasjonene uten å være klar over det kan undervurdere sin praktiserte risikoappetitt.
  • Hva er de mulige konsekvenser av interessekonflikter vedrørende risikoappetitt? For eksempel bør risikoappetitt reflektere preferansene til forskjellige aksjonærer, institusjonelle investorer, styremedlemmer, toppledelsen, ansatte eller andre. Undersøkelser viser at lederne er typisk mindre risikovillige enn forskjellige aksjonærer. I slike tilfeller er spørsmålet hvilke interessenters ”risikoappetitt” skal være retningsgivende, og hvilken rolle skal toppledelsen spille i å løse konflikter mht. risikoappetitt?

j0288967

 


En generell prosess kan defineres på følgende måte og gjelder for alle organisasjoner:

  • Hvem er organisasjonens interessenter og hva krever de? På et høyt nivå, kan kriteriene inkludere og oppnå en viss rating fra et bransjebyrå, opprettholde visse regulatoriske standarder, oppnå en grad av offentlig tillit som å være en arbeidsgiver som foretrekkes, etc. slik blir interessentene som ratingbyråene, regulatorer, nåværende og potensielle ansatte, etc. en støtte.
  • Hva vil det ta og oppfylle disse kriteriene? Støttende mål kan være å opprettholde spesifiserte kapitalkrav, inntjening stabilitet, kundeservicenivå, fordeler for de ansatte, etc..
  • Hvilke risikoanalyser må gjennomføres for å lage strategier for å håndtere disse målene? Hvilke beregninger bør etableres for å representere disse risikoene? Er tilgang til nødvendig teknologi og kompetanse til å utføre disse analysene tilgjengelige?
  • Hvordan vil en rekke med toleranser for hver risiko etableres? Hvordan vil disse toleransene bli oversatt til spesifikke risikorammer(-grenser)? Hva er tidlig varslingsindikatorer for å gi informasjon om retning og/eller omfang av endringer i risiko? Til hvilke nivå(er) av risiko vil konkrete tiltak bli tatt?
  • Hvilke styringsmekanismer må etableres og hvilke omstendigheter vil bli nødvendig å forandre for å kunne håndtere disse toleranser på lang sikt? Hvordan vil organisasjonen støtte denne prosessen og gjennomføre periodisk gjennomgang for å sikre at den forblir i samsvar med endringer i omstendigheter?
  • Hvordan vil denne prosessen bli integrert i hele organisasjonens beslutnings-prosesser? Hva er viktige beslutninger som er påvirket av denne tilnærming-en? Hvordan vil ansvaret for disse beslutninger delegeres? Hvilke muligheter/trusler må ha en gjennomgang på et høyere nivå dvs. organisasjonen som helhet, og hvilke muligheter/trusler er det mer hensiktsmessig å håndtere i de operative enhetene?

 

 

Grunnlaget brukt til å måle virkningen av risiko vil avhenge av organisasjonens fokus og følsomhet for interessentenes forventninger.

 


Interessentene vil også påvirke beregningene som brukes, f.eks. regulerende myndigheter og ratingbyråene kan kreve visse målinger, aksjonærene kan kreve tiltak som er bedre forklart
.

  • Juridiske eller lovfestet grunnlag – overensstemmelse med regelverk og beskyttelse mot policyimpliserte(de som lager retningslinjer)
    – Fortjeneste
    – Kapital og overskudd.
    – Evne til å betale krav.
  • Aksjeeierinteresser.
    – Fortjeneste
    – Egenkapital
  • Økonomisk grunnlag – helhetlig forståelse av virkningen av risikoer.
    – økonomisk verdi.
    – økonomisk overskudd.
    – Nåværende verdi.
    – Nåværende inntjening.

A1.8.8 Risikotoleranse

Et kritisk aspekt ved ledernes ansvar er å bestemme hvilke risikoer organisasjonen ønsker å ta for å øke mulighetene til gevinst, og hvor mye av dem organisasjonen kan ta for deretter å vurdere disse valgene igjen når forutsetningene endres. Når risikoene forandres prøver lederne i forskjellige bransjer og organisasjoner å sikre at de både tar de prioriterte riktige risikoene, som den riktige dose av risiko, sammenlignet med organisasjonens risikotoleranse eller risikoappetitt (risikovilje) og sammenligner sin organisasjon med andre konkurrenter og bransjer. De yttergrenser av risiko som ligger under organisasjonens daglige virksomhet omtales ofte som risikotoleranse.

Risikotoleranse er det akseptable nivå av variasjon relatert til å nå organisasjonens mål.

 j0288975


Spørsmål som bør stilles:

  • Har organisasjonen identifisert sin risikotoleranse?
  • Har organisasjonen kommunisert sin toleranse for risiko til de som er ansvarlige for ERM i organisasjonen?
  • Hvilke risikoer kan hindre organisasjonen fra å nå sine mål?
  • Hvilke risikoer er organisasjonen komfortabel med og som er håndterbare med egne ressurser? Hvilke av disse risikoene er det gunstigere å skyve over til andre? Hvilke vil organisasjonen unngå?

Målinger for risikotoleranse omfatter:

  • Sannsynlighet for ruin.
  • Risiko for ikke å nå målsettingen.
  • Økonomisk kostnader av ruin.
  • Value at risk.

Noen risikotoleranse- (terskel) konsepter som daglig leder/styret kan være interessert i er:

  • Holder organisasjonen en viss kredittrisikorating, -vurdering. F.eks. vi besitter en AAA rating, ønsker organisasjonen å opprettholde denne?
  • Hva ønsker organisasjonen å risikere? Dvs. eksisterer det farer som kan resultere at organisasjonen mister alt?
  • Hva er kostnaden for å forsikre risikoen?
  • Osv..

Potensielle toleranse- (terskel) verdier for risikoappetitt:

  • Bokført verdi eller markedsverdi av overskudd.
  • X prosent av organisasjonsverdien eller markedsverdien av overskudd (f.eks. er vi villige til å risikere 50 prosent av overskuddet?)
  • X prosent av minimum ansvarlig kapital (f.eks. forskjell fra nåværende til X prosent er risikoappetitten).
  • Endring i kredittrisikovurderingen.
  • Skade på omdømme.
  • Inntektssvingninger (f.eks. er organisasjonen ikke villig til å ha mer enn NOK X millioner i noen kvartal).
  • Kapitalsvingninger.
  • Etc..

 

Vi viser for øvrig til A 7.4.1 ALARP-modellen.

 

En organisasjon bestemmer sin risikoappetitt og sin kapasitet til å ta ekstra risiko på mer eller mindre samme måte som investorer balanserer sin egen toleranse mht. å ta forskjellige risikoer, i forhold til sitt ønske om en spredning i porteføljen mht. aksjer, obligasjoner, og andre finansielle instrumenter, som de besitter.

En organisasjons risikoappetitt vil variere med den strategien den har valgt, sammen med endrede betingelser i bransjen eller markedene. Hver organisasjon har sin egen unike risikotoleranse. Den vil kunne variere ut fra både organisasjonskultur og eksterne faktorer.

I tillegg er det i norsk aksjelovgivning et klart krav til at selskapet skal ha en forsvarlig egenkapital. Hva som er forsvarlig egenkapital, må vurderes ut fra egenkapitalens størrelse og de samlede risikoene organisasjonen står ovenfor. Et kritisk element i ledelsens ansvar er derfor å beslutte hvilke risikoer, og hvor mye av hver av dem organisasjonen bør ta. Slike beslutninger må revurderes etter hvert som forutsetningene endres. I motsetning til Total Quality Management (TQM), som ikke tolererer noen feil, vil vi under teoriene som definerer ERM kunne tolerere noen feil under enkelte omstendigheter, dersom kostnaden ved å fjerne dem er større enn tapet ved å beholde dem.

 

Money_Burning_03

 

ERM- guidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
 

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE A

Bakgrunn, behov, ERM-systemet og – prosesser

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
ORGANISERING AV ERM-HÅNDBØKENE xii

1. RISIKO 6

1.1. HVA MENER VI MED RISIKO? 7
1.2. NOEN DEFINISJONER AV RISIKO OG MULIGHET 8
1.3. DISKUSJONEN OM OPPSIDEN OG NEDSIDEN AV RISIKO 9
1.4. HVORFOR ER OPPSIDE/NEDSIDE RISIKO INTERESSANT? 11
1.5. HVA SKAPER OPPSIDE/NEDSIDE RISIKO? –RISIKODRIVERE 12
1.6. SJEKKLISTE FOR Å IDENTIFISERE MULIGHETER/TRUSLER 13
1.7. OPPSIDE/NEDSIDE RISIKO I FORANDRING 14
1.7.1. UTFORDRINGEN MED Å FORBEDRE EVNEN TIL Å HÅNDTERE
TRUSLER/ MULIGHETER 15
1.7.2. FORBEDRET KAPASITET FOR STYRING OG HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.3. BESLUTNINGSPROSESSER, STYRING OG – HÅNDTERING AV
OPPSIDE/ NEDSIDE RISIKO 16
1.7.4. HÅNDTERING AV USIKKERHET, NOEN BETRAKTNINGER 17
1.7.5 ORGANISASJONSMESSIG AVKLARING FOR ORGANISASJONSENHETENE 18
1.8 ERM-KULTUREN 19
1.8.1 ERM-KULTUR, KOMMUNIKASJON OG OPPFØLGING I ORGANISASJONEN 20
1.8.2 BETYDNINGEN AV ET ”STAMMESPRÅK” 20
1.8.3 BETYDNINGEN AV ”BELØNNING OG STRAFF” 21
1.8.4 OPPBYGGINGEN AV EN ERM-KULTUR 22
1.8.5 VIKTIGE FAKTORER OG PROSESSER FOR EN EFFEKTIV ERM-KULTUR 22
1.8.6 TA BESLUTNINGER – BESLUTNINGSPROSESSEN 24
1.8.7 RISIKOVILJE OG RISIKOAPPETITT 25
1.8.8 RISIKOTOLERANSE 27
1.9 SJEKKLISTE OG RELEVANTE SPØRSMÅL FOR MULIGHETER /TRUSLER 29
1.10 OPPSUMMERING 30

2. ENTERPRISE RISK MANAGEMENT – ERM 33

2.1 RM VERSUS ERM 34
2.1.1 KATEGORIER MULIGHETER/TRUSLER 34
2.1.2 STRATEGISK INTEGRASJON 35
2.1.3 PRESTASJONSMÅLINGER 35
2.1.4 ORGANISASJONSMESSIGE STRUKTURER 35
2.2 HVA ER ERM? 36
2.3 HVORFOR TRENGER VI ERM? 40
2.3.1 EIERSTYRING OG SELSKAPSLEDELSE (CORPORATE GOVERNANCE) 40
2.3.2 PLANLEGGING OG ORGANISERING 41
2.3.3 LØPENDE VURDERING AV OPPSIDE/NEDSIDE RISIKO 41
2.3.4 UTVIKLINGEN AV RM OG ERM 41
2.3.5 INTERNREVISJONSPLANER 42
2.3.6 KULTURELL TILPASNING 42
2.3.7 ANDRE GRUNNER 42
2.4 ERM STYRKER EVNEN TIL 43
2.5 HVORFOR IMPLEMENTERE ERM, VERDIEN AV ERM? 44
2.6 ERM – NØKKELDRIVKREFTER OG TRENDER 45
2.7 ERM OG CORPORATE GOVERNANCE (VIRKSOMHETSSTYRING OG SELSKAPSLEDELSE) 47
2.7.1 INNLEMMING AV ERM I CORPORATE GOVERNANCE 48
2.7.2 HVA ER GOD CORPORATE GOVERNANCE? 51
2.7.3 NØKKELFAKTORER FOR SUKSESS ELLER FIASKO 52
2.7.4 ERM ER ET SENTRALT ELEMENT I CORPORATE GOVERNANCE (VIRKSOMHETS-
OG EIERSTYRING) 53
2.7.5 KNYTTE SAMMEN CORPORATE GOVERNANCE, ERM OG INTERNE KONTROLLER 54
2.8 VISJONER, MÅL, STRATEGIER OG ERM 55
2.9 FASTLEGGELSE AV MÅL 56
2.9.1 ORGANISASJONENS MÅL KAN HENFØRES TIL FEM KATEGORIER. 56
2.10 MÅLSETTINGEN MED ERM-SYSTEMET/-RAMMEVERKET 57
2.11 KRITISKE SUKSESSFAKTORER 58
2.12 FORDELENE VED ERM 60
2.13 KOMMUNIKASJON OG KONSULTASJON OG ERM 62
2.13.1 VIKTIGHETEN AV RISIKOEIERSKAP HOS INTERNE INTERESSENTER 63
2.13.2 HVORFOR ER RISIKOEIERSKAP ESSENSIELT/VIKTIG FOR Å ØKE ERM-PROGRAMMETS (-PLANENS) SJANSE TIL Å LYKKES? 64
2.13.3 DEFINERE INTERNE INTERESSENTER SOM RISIKOEIERE 65
2.13.4 ROLLEN TIL RISIKOKOORDINATOREN (CHIEF RISK OFFICER) OVERFOR
INTERNE INTERESSENTER SOM RISIKOEIERE 66
2.13.5 KOMMUNIKASJON MED INTERESSENTENE 67
2.13.6 VIKTIGHETEN AV RISIKOEIERSKAP HOS EKSTERNE INTERESSENTER 70
2.14 ERM-MISTAK 73
2.15 GENERELL SJEKKLISTE FOR LEDELSEN 74
2.16 OPPSUMMERING 76

3 ORGANISASJONEN OG BEHOVET FOR ERM 81

3.1 KOMMERSIELT DREVNE KRAV 82
3.1.1 FINANSKRISEN KUNNE VÆRT UNNGÅTT 82
3.1.2 TILGANG TIL KAPITAL FRA AKSJEMARKEDET 84
3.1.3 TILGANG TIL KAPITAL FRA BANKER OG FINANSINSTITUSJONER-BASEL II 85
3.1.4 AKTUELL REGULERING OG TILSYN 90
3.1.5 BASEL III – NYE KAPITAL- OG LIKVIDITETSSTANDARDER FOR BANKENE 92
3.1.6 SOLVENCY II 94
3.1.7 HVORDAN ERM MØTER RATINGBYRÅENES KRAV 95
3.2 JURIDISK DREVNE KRAV 99
3.2.1 JURIDISKE KRAV, – USA, – ”THE SARBANES-OXLEY ACT” 100
3.2.2 JURIDISKE KRAV, – TYSKLAND, – ”KONTRAG” 102
3.2.3 JURIDISKE KRAV, – NORGE 103
3.3 OPPSUMMERING 110

4 SYSTEM OG PROSESSER 115

4.1 ERM-SYSTEMET (-RAMMEVERKET) 115
4.2 VÅRT ERM- SYSTEM(-RAMMEVERK) 117
4.3 ERM-PROSESSEN OG ORM-PROSESSER 119
4.4 OPPSUMMERING 121

5 BEDRIFTSMILJØET 123

5.1 FORMALISERING OG DOKUMENTASJON 123
5.2 SAMMENHENGEN MELLOM ERM OG ORGANISASJONENS VISJONER, MÅL OG STRATEGIER 125
5.3 ERM OG STRATEGISK PLANLEGGING 128
5.3.1 STRATEGISK UTVIKLINGSPROSESS OG TYPER PÅ FORRETNINGS-STRATEGIER 128
5.3.2 UTVIKLE ERM-MÅL TILPASSET STRATEGISKE MÅL 132
5.3.3 SJEKKLISTE OG SPØRSMÅL FOR ERM OG STRATEGI 138
5.4 ERM-KULTUREN 139
5.4.1 INTEGRITET OG ETISKE VERDIER 140
5.4.2 INCENTIV – OG BONUSORDNINGER, – TRUSLER MOT INTEGRITET OG ETISKE VERDIER 140
5.4.3 NEGATIVE KONSEKVENSER AV INCENTIV- OG BONUSORDNINGER 141
5.4.4 PENSJONSORDNINGER OG FALLSKJERMER 141
5.4.5 AKSJE- OG OPSJONSORDNINGER 142
5.4.6 ”WHISTLE BLOWER” ELLER ”BRØNNPISSER” 143
5.4.7 SJEKKLISTE OG SPØRSMÅL TIL ERM-KULTUREN 143
5.5 HVEM ER ORGANISASJONENS INTERESSENTER OG HVA KREVER DE? 144
5.5.1 SENTRALE INTERESSENTER (NØKKELINTERESSENTER) 144
5.5.2 HVORDAN IMPLEMENTER ORGANISASJONEN STRATEGIER FOR Å MØTE
KRAVENE FRA INTERESSENTENE? 146
5.5.3 BESLUTNINGSPROSESSEN I ET ERM-SYSTEM 147
5.5.4 HVA ER SUKSESSFAKTORENE FOR Å LYKKES MED DISSE STRATEGIENE? 147
5.6 HVA ER SYNERGIENE OG FORSKJELLENE MELLOM ERM OG ANDRE INITIATIVER I ORGANISASJONEN 148
5.6.1 ERM OG “KVALITETSINITIATIVER» (F.EKS. SIX SIGMA, LEAN, TQM, ETC.) 148
5.6.2 ERM OG BALANCED SCORECARD 149
5.7 OPPSUMMERING 153

6. ETABLERING AV KONTEKST FOR ERM 156

6.1 GENERELT 158
6.1.1 MÅLSETTINGER OG MILJØ(KONTEKST) 159
6.1.2 ETABLERING AV DEN YTRE/EKSTERNE KONTEKSTEN 159
6.1.3 ETABLERING AV DEN INTERNE KONTEKSTEN 160
6.1.4 ETABLERE KONTEKSTEN FOR ERM-PROSESSEN 161
6.1.5 UTVIKLE OG DEFINERE KRITERIER FOR RISIKO 162
6.2 DEN STRATEGISKE PLANEN SOM DEL AV ERM-KONTEKST 163
6.2.1 HVILKEN STRATEGISK RETNING BEVEGER ORGANISASJONEN SEG IMOT? 163
6.2.2 IDENTIFISERE – OG PRIORITERE BAKENFORLIGGENDE BEHOV 164
6.2.3 DEFINERE KRAV FOR ERM-INITIATIV 164
6.3 KOMPONENTER I ERM-POLICYEN 165
6.4 INTERN INFORMASJON OG KOMMUNIKASJON 166
6.4.1 HVORFOR RISIKOKATEGORISERING? 166
6.4.2 ANDRE KATEGORISERINGSMÅTER 169
6.4.3 KRAV TIL ERM-VERKTØY 171
6.4.4 RISIKOMATRISEN 172
6.4.5 GENERELLE KRAV TIL VERKTØY 172
6.4.6 VALG AV SKALA 173
6.5 ORGANISERING OG ANSVAR I ERM-SYSTEMET 175
6.5.1 FORANKRING AV ANSVAR 176
6.5.2 FØRSTELINJEFORSVARET 176
6.5.3 ANDRELINJEFORSVARET, – OPPGAVER OG ANSVAR TIL CORPORATE RISK MANAGEMENT 179
6.5.4 TREDJELINJEFORSVARET, – REVISJON OG TILSYN 181
6.5.5 GRENSEDRAGNING FOR EKSTERNREVISJON 184
6.5.6 LEDELSENS ROLLE OG ANSVAR 186
6.5.7 STYRETS ROLLE OG ANSVAR 187
6.5.8 FORMALISERING AV DATTERSELSKAPS ANSVAR 189
6.5.9 VALG AV ARBEIDSFORMER OG TEKNIKKER 189
6.5.10 HVORFOR WORKSHOP/ARBEIDSGRUPPER? 191
6.6 SJEKKLISTE ETABLERING AV KONTEKST 192
6.7 OPPSUMMERING 192

7 DEN SYKLISKE KJERNEPROSESSEN / ERM-KJERNEPROSESSEN 195

7.1 GENERELT OM KJERNEPROSESSEN 196
7.1.1 UNNGÅ ”SILING” AV RAPPORTØRER 197
7.1.2 INFORMASJONSKILDER 198
7.1.3 TIDSHORISONTENS BETYDNING FOR KJERNEPROSESSEN 199
7.1.4 KVANTITATIVE BEGREPER 199
7.1.5 RISIKOVURDERING (RISK ASSESMENT) – IDENTIFISERING, ANALYSE OG EVALUERING 200
7.2 IDENTIFISERING OG KVANTIFISERING 200
7.2.1 KATEGORISERINGSMODELLEN VIKTIG FOR IDENTIFISERINGEN 200
7.2.2 NØKKELSTRATEGIER FOR EFFEKTIV IDENTIFISERING AV MULIGHETER OG
TRUSLER 201
7.2.3 MULIGE METODER FOR Å IDENTIFISERE MULIGHETER/TRUSLER 202
7.2.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 202
7.2.5 MULIGE OMRÅDER SOM KAN PÅVIRKES 203
7.2.6 SJEKKLISTE IDENTIFISERING OG KVANTIFISERING 203
7.3 ANALYSE 204
7.3.1 FASEFORSKYVNING AV PROSESSEN 205
7.3.2 ANALYSE AV DAGENS SITUASJON 205
7.3.3 MULIGE METODER FOR Å ANALYSERE MULIGHETER/TRUSLER 207
7.3.4 MULIGE KILDER TIL MULIGHETER/TRUSLER 209
7.3.5 SJEKKLISTE ANALYSERING 210
7.4 EVALUERING OG PRIORITERING 211
7.4.1 ALARP-MODELLEN – NEDSIDEN AV RISIKO(TRUSSEL) 211
7.4.2 GPAP-MODELLEN – OPPSIDEN AV RISIKOEN 213
7.4.3 ANALYSE AV RISIKO ETTER TILTAK 214
7.4.4 Å EVALUERE MULIGHETER/TRUSLER 214
7.4.5 SJEKKLISTE EVALUERING 215
7.5 TILTAK 216
7.5.1 VALG AV STRATEGI FOR MULIGE TILTAK 217
7.5.2 VURDERING AV MULIGE OG IVERKSATTE TILTAK, STATUS OG FORVENTET KONSEKVENS 220
7.5.3 FORBEREDE TILTAKSPLANER 221
7.5.4 IMPLEMENTERE TILTAKSPLANER 221
7.5.5 SJEKKLISTE TILTAK 221
7.6 RAPPORTERING OG DOKUMENTERING 222
7.6.1 EKSTERN RAPPORTERING 222
7.6.2 INTERN RAPPORTERING 222
7.6.3 HVORDAN KAN EN RAPPORT UTFORMES OG HVA BØR DEN INNEHOLDE? 223
7.6.4 RISIKO RAPPORTERINGSFREKVENS 226
7.6.5 ARKIVERING OG OPPBEVARING AV HISTORISKE RAPPORTER 227
7.6.6 FORBEREDE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 227
7.6.7 IMPLEMENTERE RAPPORTERINGS- OG DOKUMENTASJONSPLANER 228
7.6.8 SJEKKLISTE FOR RAPPORTERING OG DOKUMENTASJON 229
7.7 OPPSUMMERING 231

8 HÅNDTERING OG OVERVÅKNING AV RISIKO 234

8.1 IVERKSETTELSEN AV FORESLÅTTE TILTAK 235
8.1.1 FASTLEGGE EIERSKAP OG ANSVAR 235
8.1.2 GJENNOMFØRING AV TILTAK 235
8.2 MÅLING AV DEN ENKELTE RISIKO OG KONSEKVENSEN AV TILTAK PÅ KORT OG LANG SIKT 236
8.3 ROLLEN TIL CORPORATE GOVERNANCE OG COMPLIANCE I ERM 238
8.3.1 INTEGRERING AV ENTERPRISE RISK MANAGEMENT MED CORPORATE GOVERNANCE OG COMPLIANCE 238
8.3.2 ERM OG CORPRATE GOVERNANCE (VIRKSOMHETSSTYRING) 239
8.3.3 COMPLIANCE (ETTERLEVELSE AV KRAV) – SPØRSMÅL I ERM 242
8.3.4 ETISK OG SOSIALT ANSVAR I ENTERPRISE RISK MANAGEMENT 246
8.4 MULIGE METODER FOR OVERVÅKING AV MULIGHETER/TRUSLER 248
8.5 SJEKKLISTE FOR HÅNDTERING OG OVERVÅKING 248
8.6 OPPSUMMERING 249

9 ERM-SYSTEMEVALUERING OG GJENNOMGANG 251

9.1 ERMSE (ERM SYSTEMEVALUERING) 251
9.1.1 HVEM HAR ANSVAR FOR ERMSE? 252
9.1.2 TIDSPUNKT OG FREKVENS FOR GJENNOMFØRING AV ERMSE 252
9.1.3 METODE FOR ERM-SYSTEMEVALUERING OG GJENNOMGANG 252
9.2 BEKREFTELSE I ERM 254
9.2.1 OVERVÅKING OG GJENNOMGANG FOR KONTINUERLIG FORBEDRING 254
9.2.2 BEKREFTELSE OG ERM 255
9.3 INTERNREVISJONENS – ELLER UAVHENGIG TREDJEPARTS TILSYN OG GJENNOMGANG 256
9.4 SJEKKLISTE SYSTEMEVALUERING OG GJENNOMGANG 257
9.5 OPPSUMMERING 258

10 STIKKORDSREGISTER 260

11 VEDLEGGSOVERSIKT 265

OLYMPUS DIGITAL CAMERA

 

VEDLEGGSOVERSIKT GUIDE A

Vedlegg Tekst Guide A GuideB  
Vedlegg A Risikokategoriseringsmodellen .   X
Vedlegg B Risikopolicy i «Vår Organisasjon.»   X
Vedlegg C Mandat ERM.   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE).
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE.   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet .   X
Vedlegg E Sjekklister/spørsmål .   X
Vedlegg F1 Workshop .   X
Vedlegg F2 Enkelt Risikospørreskjema.   X
Vedlegg F3 Alternativt risikospørreskjema.   X
Vedlegg F4 Risikotiltak .   X
Vedlegg F5 Rapporter .   X
Vedlegg F6 Håndtering og overvåking .   X
Vedlegg F7 Vedlikehold av kontekst .   X
Vedlegg G Nøkkelreferanser/standarder. X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer
X
X
X
X
Vedlegg J Litteratur. X X
Vedlegg K1 Tabeller og figurer i Guide A. X  
Vedlegg K2 Tabeller og figurer i Guide B.   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: