Hva er utfordringene?

ERMguiden

Praktisk Enterprise Risk Management(ERM)

100_4274

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

OLYMPUS DIGITAL CAMERA

 

 

 

 

ENHET B0.7 Hva er utfordringene?

viser …

 

 

Nøkkelutfordringen med tradisjonell RM er det negative aspektet.

Hvis organisasjonens tilnærming til RM er
et positivt perspektiv (dvs. å se muligheter),
vil organisasjonen unngå dette problemet.

Men risiko er negativ så hvordan kan en organisasjon bli positiv til et negativt konsept?

 

Det blir galt å starte med identifisering av risiko. Hvor kommer risiko ifra? Risiko eksisterer jo ikke isolert. Risikoen er alltid i relasjon til ”noe” og dette noe er et sett med målsettinger. Enhver organisasjon må identifisere sine mål, dvs. hva organisasjonen prøver å oppnå. Vi kan derfor definere risikoer relatert til målsettinger. Problemet med dette er at målsettinger opprinnelig er på et høyt nivå og konsise og derfor vil risikoene også defineres på et høyt nivå.

Hvis målsettingene definerer hva organisasjonen prøver å oppnå, da beskriver planer hvordan vi skal oppnå dem. Derfor definerer vi risikoer relatert til planer.

 

j0078804

Planer innholder noen fakta og en mengde med antagelser. Hvis organisasjonen skal lykkes med planen må antagelsene bli en realitet. Noen antagelser vil nærme seg å være fakta, og disse bør organisasjonen ikke bekymre seg for. Det er uunngåelig at mange antagelser vil være i faresonen og disse trenger organisasjonen å fokusere på, dvs. på antagelser, ikke på risikoer.

Den andre siden av problemet med manglende effektivitet i ERM er kommunikasjonen og konsulteringen – eller mangel på den. Mange nedside risikoer (trusler) kunne vært unngått og mange oppside risikoer (muligheter) forfulgt hvis organisasjonens kommunikasjonshverdag hadde vært preget av å være ”føre var” og hensiktsmessig kommunikasjon avdelinger imellom og internt i avdelingen, dvs. en proaktiv kommunikasjonskultur.

 


Når organisasjoner mislykkes med ERM er det ofte på grunn av at:

  • Viktige oppside/nedside risikoer er ikke er identifisert.
  • Oppside/nedside risiko er identifisert, men ikke prioritert korrekt.
  • Oppside/nedside risikoer er identifisert men nødvendige tiltak er ikke blitt tatt.


Et perfekt eksempel på dette er  finanskrisen i 2008 og den forventede i dag. Bankene gikk/går nedom og hjem fordi de:

  • Mislykkes i å identifisere fundamentale nedside risikoer.
  • Fokuserte på spesifikke nedside risikoer uten å ta med i betraktning de sammensatte effektene av risikoer.
  • Bevisst eller ubevist besluttet og ignorere nedside risikoene i sine analyser.

 

Dette ble forverret ved fokuset på tradisjonell finansiell RM på bekostning av ”Operational Risk Management (ORM). Videre var det ikke nok fokus på å ha et fullstendig ERM-system på plass. Det betød at operasjonelle risikoer ikke ble prioritert korrekt og til slutt ble det truffet få eller ingen nødvendige tiltak.  Spesifikt traff ”eksperter” antagelser om en oppadgående trend i eiendomsmarkedet som viste seg å være usann og verdien av bankenes eiendeler ble kraftig redusert.

 

j0078824

 

 


Nøkkelen er å få den rette balansen mellom enkelthet og kompleksitet for å oppnå effektiv Enterprise Risk Management (ERM) og demonstrerer at ERM gir verdi.

 

Revisjonens syn på ERM er verdifull i sin kontekst, men kun å ”krysse av i bokser” vil kun unngå problemene for de enkleste hendelsene. Når tingene blir større og mer komplekse, trenger organisasjonen en robust ERM-prosess og robuste ORM-prosesser og ERM-verktøy for å navigere på vei mot suksess. Våre guider vil hjelpe organisasjonen med det.

 

j0078819

 

 


Fullt ut effektivt ERM er blant annet vanskelig å oppnå fordi:

  • Kvantifiseringen er vanskelig eller til og med umulig. Noen risikoer (f.eks. finansielle og kontraktmessige) er lette og kvantifisere, mens andre er nesten umulig (f.eks. kvalitet, omdømme, prestasjon). Derfor når organisasjoner prøver å kvantifisere totale oppside/nedside risikoer for organisasjonen tenderer de til å mikse ”god kvalitets” data med ”dårlig kvalitets” data og dermed utvanne den virkelige verdien av det endelige resultatet.
  • Målsettingene er ikke konsistente/samsvarende på tvers av organisasjonen. Dette leder til en oppfatning av oppside/nedside risiko som varierer massivt i forskjellige deler av organisasjonen. En del av organisasjonen kan se på en oppside/nedside risiko som ubetydelig, mens en annen del betrakter den samme oppside/nedside risikoen som betydningsfull og en stor fare/trussel eller sjanse/mulighet. F.eks. kan avdelingene mene at en forsinkelse i iverksettelsen av et ERM-system er et lite problem, mens styret kan se på enhver forsinkelse som en katastrofe.
  • ERM-prosessen og ORM-prosessene er ikke konsistente/samsvarende på tvers av grupperingene i organisasjonen. Dette leder til forskjellig fokus, analyser, prioriteringer og tilnærming fra forskjellige ledere. Dette gjør det igjen umulig å bygge en konsistent/samsvarende bilde av oppside/nedside risikoer på tvers av organisasjonen.
  • ERM-verktøyene er ikke støttet opp om med en effektiv ERM-prosess og effektive ORM-prosesser. Veldig ofte er bruken av softwareverktøy det første forsøket i en organisasjon til å innføre en hvis konsistens/samsvar av ERM. Imidlertid, hvis verktøyene ikke er bakket opp med en effektiv ERM-prosess og effektive ORM-prosesser blir effekten ofte ”søppel inn, søppel ut” iom. at dårlige kvalitetsdata blir samlet inn, analysert for så å bli presentert som et høyt ”kvalifisert” resultat.

 

Den mest vanlige feilen i særdeleshet finnes ofte i finansinstitusjoner, der en integrerer forskjellige finansiell RM-målinger (f.eks. kredittrisiko eller markedsrisiko) og kaller dette ”ERM”. Dermed tror organisasjonen at de sporer opp ”total” oppside/nedside risikoer, når det i virkelighet kun ser på en bit som de har funnet lett å måle. Følgelig vises f.eks. et forandringsprogram som går galt ikke på deres ERM-radar og kan ha massiv innvirkning på forretningsvirksomheten.

 

j0078808

På det høyeste nivå definerer og begrenser ofte organisasjonene ikke sin ERM-strategi. Det vil ikke si at de feiler i å bygge et komplett ERM-system, men mer at de feiler med å bli enige om hva de prøver å måle og gjenkjenner ikke vanskelighetene som de vil stå ansikt til ansikt med ved implementeringen av en effektiv ERM-prosess. Det er nesten umulig å bygge et helt ERM-system fra bunnen av, Det er mye bedre å prioritere hvilket område i organisasjonen som vil ha størst nytte av en forbedret håndtering av oppside/nedside risiko først – altså et pilotprosjekt – og konsentrere seg på det, og tilføye de andre komponentene senere som del av et overordnet ERM-rammeverk/-system.

Når det gjelder hvor en skal starte er dette avhengig av hvilke forretningsmessige prioriteringer organisasjonen har. Imidlertid hvis organisasjonen starter med blanke ark, bør en konsentrere seg i første omgang om de strategiske oppside/nedside risikoer. Den umiddelbare virkningen av å identifisere disse oppside/nedside risikoene i ERM-prosessen kan ikke bli overvurdert. Det neste trinnet vil være avhengig av hvor mange prosjekter f.eks. som organisasjonen har. Hvis de er tallrike og forretningsmessig kritisk for organisasjonen da bør de adresseres som neste område. De daglige opperasjonene kan ta vare på seg selv i stor grad iom. at nye oppside/nedside risikoer vil være sjeldene – før en eventuell forandring eller transformasjon kommer fra et prosjekt. Og formalisere ORM-området vil være gunstig, men er sannsynligvis det som haster minst i de fleste organisasjoner.

Innsalg av ERM

Å selge inn fordelene av ERM kan være tøft. Det trengs å overvinnes det at ERM er en administrativ overhead ved å forsikre toppledelsen og styret om at uten et ERM-rammeverk og en ERM-prosess ville det vært både oppside/nedside risikoer som verken ville blitt identifiser eller håndtert. Men selv da kan det ikke bevises at en oppside/nedside risiko ikke skjedde på grunn av ERM-prosessen. En oppside risiko er en mulighet og en nedside risiko er en trussel, derfor er det også mulig at oppside/nedside risikoen ikke ville ha hendt, hvis ingen tiltak overhodet hadde blitt truffet.

 

j0078832

Det hjelper å ha en mengde eksempler der ERM har levert betydelige fordeler, men det finnes også enklere veier til å overbevise folk. Spør enheter/ledere/kunder om de tror at det er sannsynlig at minst en ”mulighet/trussel” vil bli identifisert ved å bruke en formell ERM-prosess. Hvis ikke organisasjonen er relativ liten, er det høyst sannsynlig at de vil forstå at noe betydningsfullt vil bli savnet uten et formelt ERM-system og en formell ERM-prosess. Å identifisere f.eks. en strategisk oppside/nedside risiko som kan ”velte” hele organisasjonen vil sannsynlig dekke kostnadene med å iverksette og kjøre ERM-prosessen mer enn nok. Hvis organisasjonen er meget enkel og liten kan sannsynligvis ikke ERM bli begrunnet likevel.

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

DSCF0371_j

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii
FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii
HVA ER UTFORDRINGENE MED ERM xv
ORGANISERING AV ERM-HÅNDBØKENE xvii
INNLEDNING

1. ETABLERING AV KONTEKST 4

1.1 FRA TANKE TIL HANDLING 4
1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5
1.2.1 STYRET 5
1.2.2 STYRINGSGRUPPEN 5
1.2.3 FORPROSJEKTGRUPPEN 6
1.2.4 PROSJEKTGRUPPEN 6
1.2.5 LINJEN 7
1.3 OVERBLIKK OVER ERM-PROSJEKTET 7
1.4 DEFINERE MANDAT OG MÅLSETNINGER 9
1.4.1 STYRET 9
1.4.2 STYRINGSGRUPPEN 10
1.4.3 FORPROSJEKTGRUPPEN 11
1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12
1.5.1 STYRENDE DOKUMENTER (POLICYER) 12
1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12
1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13
1.7 STYRETS FORMALISERING AV PROSJEKTET 14
1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15
1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16
1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16
1.8.3 PERSONELLBEHOV 17
1.8.4 DELTAKERE PÅ EN WORKSHOP 18
1.8.5 TILPASSE STYRENDE DOKUMENTER 19
1.8.6 VALG AV VERKTØY OG METODER 22
1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28
1.8.8 OPPLÆRING 29
1.8.9 KULTUR OG ERM-MILJØ 31
1.8.10 KOORDINERING MED ANDRE PROSESSER 32
1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33
1.8.12 GRENSESNITT MOT HVERDAGEN 33
1.9 OPPSUMMERING 34

2. KJERNEPROSESSEN 37

2.1 ”WORKSHOP”-PROSEDYREN 37
2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38
2.2 IDENTIFISERING 41
2.2.1 RISIKOANALYSESKJEMA 43
2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46
2.2.3 OPPSUMMERING 47
2.3 ANALYSE 48
2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48
2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51
2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53
2.3.4 OPPSUMMERING 55
2.4 EVALUERING 56
2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58
2.4.2 OPPSUMMERING 60
2.5 TILTAK 61
2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61
2.5.2 TILTAKSKOSTNADER 63
2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64
2.5.4 OPPSUMMERING 65
2.6 RAPPORTERING 66
2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66
2.6.2 HVEM RAPPORTERES DET TIL? 66
2.6.3 HVA RAPPORTERES? 67
2.6.4 NÅR RAPPORTERES DET? 68
2.6.5 HVORDAN RAPPORTERS DET? 70
2.6.6 OPPSUMMERING 72
2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73
2.8 OPPSUMMERING 75

3. HÅNDTERING OG OVERVÅKING 78

3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78
3.2 PROAKTIV RISIKOHÅNDTERING 79
3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79
3.2.2 PRIORITERING OG DELEGERING 80
3.3 REAKTIV RISIKOHÅNDTERING 81
3.4 OPPSUMMERING 82

4. SYSTEMEVALUERING OG GODKJENNING 84

4.1 CRO/CRM’S KONTROLLER 84
4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84
4.1.2 METODE FOR ERMSE 86
4.2 INTERNREVISJONENS KONTROLLER 94
4.2.1 FORMÅL 94
4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94
4.3 OPPSUMMERING 95

5. KOMMUNIKASJON OG KONSULTASJON 97

5.1 INFORMASJON TIL ERM-SYSTEMET 98
5.2 INFORMASJON FRA ERM-SYSTEMET 98
5.3 OPPSUMMERING 99

6. VEDLIKEHOLD AV KONTEKST 101

6.1 ERM-PLANEN/-PROGRAMMET 101
6.2 OPPSUMMERING 102

7. STIKKORDSREGISTER 104
8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

100_4262

 

VEDLEGGSOVERSIKT GUIDE B

 


Vedlegg
Tekst Guide A Guide B  
Vedlegg A Risikokategoriseringsmodellen   X
Vedlegg B Risikopolicy i «Vår Organisasjon»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE)
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet   X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop   X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak   X
Vedlegg F5 Rapporter   X
Vedlegg F6 Håndtering og overvåking   X
Vedlegg F7 Vedlikehold av kontekst   X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer 
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A. X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X  

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: