ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 Modul B3 Håndtering og overvåking

 

 

 

ENHET B3.2 Proaktiv risikohåndtering: beskriver proaktiv risikohåndtering som omfatter både håndtering foreslått gjennom ERM-systemets kjerneprosess, så vel som enhetens egne ORM-tiltak så tidlig som mulig i prosessen. Med håndtering mener vi her større eller mindre endringer i organisasjonenes virksomhet, i den hensikt å tilpasse denne til oppside risikoene (mulighetene) og å bedre tåle de hendelser som medfører nedside risiko (trusler). Videre beskrives risikoeierskap og ”vetorett”, pririteringer og delegering

 

 

Proaktiv risikohåndtering omfatter både håndtering foreslått gjennom ERM-systemets kjerneprosess, så vel som enhetens egne ORM-tiltak. Med håndtering mener vi her større eller mindre endringer i organisasjonenes virksomhet, i den hensikt å tilpasse denne til oppside risikoene (mulighetene) og å bedre tåle de hendelser som medfører nedside risiko (trusler).

 

En av de fordelene organisasjonen har ved å arbeide i workshoper er tilgang til bredde i kompetanse og innsikt, samt muligheten til å fokuser på et begrenset repertoar av problemstillinger i en ellers travel hverdag. I linjeorganisasjonens daglige virke har den derimot ofte behov for, – og besitter derfor også normalt større detaljkunnskaper i de ulike saker . Det vil derfor ofte være nødvendig å kunne overlate detaljutformingen av konkret håndtering til linjen innen rammen av en strategi. Dette gir samtidig linjen bedre kontroll med de håndteringer som iverksettes.

 

Linjens hovedoppgaver er som regel å iverksette foreslåtte tiltak, dvs.: Vurdere hensiktsmessigheten av foreslåtte tiltak eller tiltaksstrategier. Foreta justeringer til foreslåtte tiltak. Videreutvikle tiltak ut fra foreslått tiltaksstrategi. Innhente nødvendige fullmakter og ressurser til å iverksette tiltaket. Iverksette tiltak. Herunder å utarbeide rutiner og instrukser knyttet til disse. Rapportere tiltakenes status til CRO/CRM og linjeledelse.

 

Tiltakene må iverksettes i de enheter eller i de funksjoner og rutiner de naturlig hører hjemme i, ut fra risikoens karakter. Et ERM-tiltak vil oftest være nært beslektet med en eller annen form for ORM-virksomhet (”Operativt Risk Management”), og kunne integreres som en del av denne. For å unngå doble rutiner eller funksjoner, bør det alltid vurderes om nye tiltak kan erstatte andre eksisterende funksjoner eller rutiner.

 

B3.2.1 Ansvar og myndighet, – ”vetorett”

Som et utgangspunkt skal alle tiltak gjennomføres innen rammen av de mandater den enkelte ”eier” (organisasjonsenhet eller ansvarlige person) til enhver tid måtte ha. ”Eier” av en oppside/nedside risiko (risikoeier) eller et tiltak kan i prinsippet være en hvilken som helst person eller organisasjonsenhet. Normalt vil dette imidlertid være den eller de enheter som må bære de resultatmessige konsekvensene av en risiko som inntreffer. I den grad et tiltak skal ha virkning på flere enheter innen organisasjonen som helhet, bør ”eier” være direkte ansvarlig for disse, eller ha et faglig ansvar på tvers av organisasjonen. Uansett må ”eier” alltid være en intern person eller organisasjonsenhet.

 

 

Den som blir ”eier” av en oppside/nedside risiko med tilsvarende tiltaksforslag vil måtte ta den endelige vurdering av tiltakene, – eksempelvis med hensyn til: Tiltakenes budsjettmessige konsekvens. Tiltakenes praktiske/faglige konsekvens/gjennomførbarhet. Egne mandater og fullmakter.

Siden det normalt er linjens ressurser som benyttes til iverksettelse av tiltakene, vil det budsjettmessige ansvaret og ansvaret for overholdelse av strategier og policyer også måtte ligge hos ”eier” i linjen. I praksis betyr dette at linjen må få en form for ”midlertidig vetorett” i forhold til de forslag til tiltak workshopen kommer med. ”Vetoet” må kun brukes i de tilfeller vesentlige grunnleggende forhold ikke ligger til rette for å gjennomføre tiltakene slik workshopen foreslår. ”Vetoet” må også medføre plikt til å bringe saken tilstrekkelig høyt opp i ”kommandorekken” til at en endelig beslutning kan trekkes. At en linjeenhet benytter seg av ”vetoet” betyr derfor ikke at enheten kan ”legge ballen død”.

 

Linjeenheten kan heller ikke ensidig ”frita” seg selv fra ansvaret for gjennomføringen av et tiltak gjennom ”vetoretten”, fordi enheten mener dette bør ligge et annet sted i organisasjonen. Ansvaret for gjennomføringen av et tiltak vil ligge hos ”eier”, til denne har fått nødvendig aksept i organisasjonen for at tiltaket i større grad hører hjemme hos en annen enhet.

Det kan ellers være mange grunner til at et tiltak ikke umiddelbart iverksettes i den form, – og av den ”eier” workshopen foreslår. ”Eier” må imidlertid ha ansvaret for en eventuell utsettelse, og at dokumentasjon på prosess og konklusjoner som måtte ha ført til utsettelsen sendes CRO/CRM og overordnet linjeledelse.

Dersom et foreslått tiltak ikke gjennomføres til den tid organisasjonen måtte kunne forvente, eller i den form som er foreslått, er det viktig at organisa-sjonen etterskuddsvis kan finne ut hvorfor dette ikke er gjort, og hvem som i det enkelte tilfellet tok den avgjørende beslutningen. Ansvaret for utarbei-delse av denne dokumentasjonen, samt at CRO/CRM og linjeledelsen varsles, ligger hos den som til en hver tid er ”eier” av tiltaket.

 

B3.2.2 Prioritering og delegering

Under tiltaksfasen vil workshopen gruppere forslagene til tiltak for nedside risikoer(trusler) etter ALARP-modellen, mens tiltak for oppside risikoer (muligheter) skjer etter GPAP-modellen. Se Guide A Enhet 7.4. Dette vil bidra til en grov prioritering som også letter delegering av ansvar.

 

 

 

Tiltakene som er foreslått for å motvirke ”ikke akseptable risikoer ” må selvfølgelig få høy prioritet. Her må kommunikasjonen med styret og daglig ledelse være hyppig og god. På et tidlig tidspunkt må det avklares med styret eller deres representant om dette er problemstillinger de ønsker å arbeide med selv, eller ønsker assistanse til, gjennom linjen, slik at det ikke arbeides dobbelt (styret blir tidlig varslet gjennom rutine for ”øyeblikkelig rapportering”). Utarbeidelse eller iverksettelse av tiltak under denne problemstillingen kan normalt ikke skje før styret har godkjent dem. ”Tolererbare risikoer” omfatter de risikoene workshopen iht. kontekst konkluderer med at det er nødvendig å gjøre noe med snarest, – og som ligger innenfor ledelsens mandat. Gruppen kan igjen deles i gruppene ”ubetingede” og ”betingede”. ”Tolererbare ubetingede risikoer” omfatter stort sett vesentlige risikoer som ledelsen gjennom kontekst ønsker å prioritere sin oppmerksomhet på, og som det normalt vil være verd å bruke ressurser på. Iverksettelsen av disse tiltakene kan ha såpass resultatmessige konsekvenser at en godkjennelse av tiltakene på et høyt administrativt plan kan være nødvendig.”Tolererbare betingede risikoer” omfatter mindre vesentlige og derfor lavere prioriterte risikoer som vi kun benytter ressurser på, dersom gevinsten eventuelt overskrider ressursbruken. Iverksettelsen av disse tiltakene har normalt begrenset resultatmessige konsekvenser, og en godkjennelse av tiltakene på et høyt administrativt plan kan være unødvendig. ”Akseptable risikoer” omfatter marginale risikoer som vi generelt ikke ønsker å benytte mer ressurser på. Dersom vi vil gi disse noe prioritet vil dette være knyttet til å vurdere om vi kan redusere ressursbruken uten å øke risikonivået.

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no 

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen