ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 

ENHET B0.3 Hva er forskjellen på risikoledelse og risikostyring: beskriver hvilket ansvar ledelsen har mht. proaktivt og strategisk å være på vakt for både muligheter og trusler i forhold til strategiske mål  og den praktiske risikostyringen/ risikomestringen i organisasjonens styring.

 

RisikoLedelse, i bredeste forstand, er en ledelsesfunksjon som refererer til de aktiviteter, som en organisasjon iverksetter og gjennomfører for å identifisere, analysere, evaluere og håndtere de mulighetene/truslene organisasjonen står overfor på en helhetsorientert, integreringsorientert, proaktiv, dialogorientert og fremtidsorientert måte og sikre, at det blir en del av organisasjonens kultur og daglige operasjoner, RisikoLedelse handler derfor i bunn og grunn om å skape seg et overblikk, vurdere og treffe et valg, som på best mulig måte tilgodeser de overordnede mål og prioriteter.

RisikoStyring dekker tradisjonelt over den konkrete styringsaktivitet innen for en rekke spesifikke fagområder (revisjon, jura, helse, miljø og sikkerhet, forsikring, IT, økonomi, kommunikasjon, innkjøp etc.), med henblikk på å redusere risikoer.

Dvs. RisikoStyring handler i større grad om hvordan disse risikoene operativt håndteres best mulig.

Der RisikoStyring tar seg av de mange fagspesifikke og tekniske aspekter av en organisasjons risikoer, så handler RisikoLedelse om å skape et bredt, systematisk og koordinert beslutningsgrunnlag i relasjon til en organisasjons kritiske risikoer.

RisikoLedelse handler om å etablere en optimal risikoprofil, som knytter seg tett til mål og strategi for organisasjonen. RisikoLedelse sikter dermed mot å håndtere muligheter/trusler på en offensiv (proaktiv) måte. Det vil si en måte, som oppsøker de muligheter, som følger med enhver trussel eller det å ta på seg en risiko. Risikoledelse kan derfor sies å være et kreativt arbeide med det som er mulig.

RisikoLedelse vedrører på denne måten langt mer enn styringen av konsekvensene av risikoer som representerer en oppside/nedside(muligheter/trusler) innenfor organisasjonen. RisikoLedelse tar dermed høyde for at risiko oppfattninger ikke alene relaterer seg til objektive forhold, men også preges av sosiale og kulturelle måter å forstå verden på. Derfor blir kommunikasjonen om muligheter/trusler også et sentralt aspekt av risikoledelses-oppgaven.

RisikoLedelse og risikostyring kan foregå på mange nivåer og i forskjellige sammenhenger i organisasjonen – fra det overordnede strategiske nivå til anvendelse i et enkeltstående prosjekt.

På organisasjonens overordnede nivå betegnes det som RisikoLedelse. Fokus vil være på organisasjonens overordnede mål og på hvilke hovedområder, som er spesielt viktige eller utsatte for risikoer.

Den konkrete oppfølgingen i form av styring og oppfølging overfor det enkelte risikoområdet betegnes som RisikoStyring. 

Imidlertid når dette skifte fra risikostyring til RisikoLedelse betones, skyldes det altså ønsket om å markere, at det reelt er tale om et kvalitativt annet perspektiv på og arbeide med muligheter/trusler. Når dette er nevnt, er det samtidig viktig å understreke, at RisikoLedelse og RisikoStyring bør henge sammen. Strategisk betont risikoarbeid bør henge sammen med praktisk risikoarbeide.

Det bør dermed være tale om to gjensidig supplerende aspekter av et samlet arbeide med muligheter/trusler. Det er elementer av risikoledelse i risikostyring, og det er elementer av risikostyring i risikoledelse. Vi i våre bøker deler derfor inn i ERM (helhetlig og integrert risikoledelse) og ORM (operativ og integrert risikostyring).

Var verden forutsigelig, kunne man kun sette målene og så forfølge dem i praksis, inntil man nådde dem. Imidlertid er verden som bekjent ikke fullt forutsigelig; den er full av usikkerheter. RisikoLedelse handler derfor om å bestrebe seg på å håndtere de vesentligste av disse på systematisk vis.

 

RisikoLedelse handler derfor om: Å lede forandringsprosesser tross risiko for “feil” og uenighet underveis. Å ta et ledelsesansvar, samtidig med at lederen reelt kun kan ta ansvar for det, han / hun selv har myndighet over. At velferdsytelser skapes av menneskers atferd og at mennesker ikke kan styres. Å ta det ledelsesmessige ansvar, når personalet overvåkes i det skjulte og menneskelige feil avsløres – en tendens som dessverre er stigende! At veien til suksess er et felles ansvar, mens ansvaret for feil og mangler oftest plasseres individuelt.

 

RisikoLedelse er innovasjon

 

Å håndtere muligheter/trusler er det samme som utvikling, dvs. innovasjon. RisikoLedelse handler om overblikk, som gir mulighet for å prioritere mellom muligheter/trusler – og om kommunikasjon, som innbyr til ansvarlighet og nyskapning. Dette gjelder både de offentlige organisasjoner som de private.

For eksempel blir stat, fylkeskommune og kommune i stigende grad innbyggernes portal til det offentlige. Det er et resultat av de seneste års utvikling og vil bli enda mer aktuelt fremover. Kombinert med, at vi lever i en verden, som noen beskriver som ”risikosamfunnet”, stiller det f.eks. det offentlige, men også de private overfor helt nye utfordringer.

Mange nye saker lurer like om hjørnet. Det er flere eksempler på f.eks. kommuner, som rammes av uventede utfordringer med voldsomme konsekvenser: Forurensning, rot i økonomisystemer og kloakk-systemer, misligheter, korrupsjon med videre. Negative saker synes for mange å dukke opp uforutsett. Det etterlater private organisa-sjoner,frivillige organisasjoner, kommuner og andre offentlige myndigheter i en meget sårbar situasjon, og spørsmålet, som melder seg, er, hvordan de kan bli bedre til å proaktivt se at disse sakene dukker opp og håndtere dem bedre.

Et sikkert samfunn, men flere muligheter/trusler

 

Her kommer begreper som RisikoLedelse og RisikoStyring inn i bildet. Disse er supplerende, understøttende ledelsesverktøy, som – hvis de ellers anvendes fornuftig – sørger for, at organisasjonens overblikk over oppside/nedside risikoer setter den i stand til å avstemme behovet for trygghet med villigheten til å ta sjanser.

 

Der er en ekstrem oppmerksomhet på konsekvensene av risiko oppsiden (mulighetene)/ nedsiden(trusler). Det er en del av vårt tidsbilde – og ikke fordi vårt samfunn er blitt farligere, faktisk tvert om. Det handler ikke om å bygge ut forsvarsverker (1,2 og 3. linje forsvar) og forskanse seg mot konsekvensene av nedside risikoer(trusler) og ensidig forfølge oppsiden(muligheter), men derimot om å ta ”dem” seriøst og se dem i et helhetsorientert og integrert perspektiv(ERM) – og så utvise proaktiv dristighet, ellers skjer det ingen utvikling eller innovasjon.

 

På den måten kan en organisasjon nemlig sikre seg et grunnlag for på tvers å prioritere, hvilke risikoer som er verd å ta. Dette er ikke ubetinget noe nytt. Det nye er, at det nå finnes ERM-rammerverk og en ERM-prosess og ORM-prosesser som innholder verktøy som setter det hele i system. Når de vesentlige muligheter/trusler er blitt beskrevet og integrert i et overordnet ERM-rammeverk, så blir det plutselig lettere å kommunisere internt og eksternt, hvorfor eksempelvis det offentlige velger å satse to milliarder kroner på videreutdanning i stedet for på trafikksikkerhet.

 

 

Kursguidene A og B

 

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen