ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 

 

ENHET B0.7 Hva er utfordringene? viser …

 

 

Nøkkelutfordringen med tradisjonell RM er det negative aspektet. Hvis organisasjonens tilnærming til RM er et positivt perspektiv (dvs. å se muligheter), vil organisasjonen unngå dette problemet. Men risiko er negativ så hvordan kan en organisasjon bli positiv til et negativt konsept?

 

Det blir galt å starte med identifisering av risiko. Hvor kommer risiko ifra? Risiko eksisterer jo ikke isolert. Risikoen er alltid i relasjon til ”noe” og dette noe er et sett med målsettinger. Enhver organisasjon må identifisere sine mål, dvs. hva organisasjonen prøver å oppnå. Vi kan derfor definere risikoer relatert til målsettinger. Problemet med dette er at målsettinger opprinnelig er på et høyt nivå og konsise og derfor vil risikoene også defineres på et høyt nivå.

Hvis målsettingene definerer hva organisasjonen prøver å oppnå, da beskriver planer hvordan vi skal oppnå dem. Derfor definerer vi risikoer relatert til planer.

 

Planer innholder noen fakta og en mengde med antagelser. Hvis organisasjonen skal lykkes med planen må antagelsene bli en realitet. Noen antagelser vil nærme seg å være fakta, og disse bør organisasjonen ikke bekymre seg for. Det er uunngåelig at mange antagelser vil være i faresonen og disse trenger organisasjonen å fokusere på, dvs. på antagelser, ikke på risikoer.

Den andre siden av problemet med manglende effektivitet i ERM er kommunikasjonen og konsulteringen – eller mangel på den. Mange nedside risikoer (trusler) kunne vært unngått og mange oppside risikoer (muligheter) forfulgt hvis organisasjonens kommunikasjonshverdag hadde vært preget av å være ”føre var” og hensiktsmessig kommunikasjon avdelinger imellom og internt i avdelingen, dvs. en proaktiv kommunikasjonskultur.

 

Når organisasjoner mislykkes med ERM er det ofte på grunn av at: Viktige oppside/nedside risikoer er ikke er identifisert. Oppside/nedside risiko er identifisert, men ikke prioritert korrekt. Oppside/nedside risikoer er identifisert men nødvendige tiltak er ikke blitt tatt.

Et perfekt eksempel på dette er  finanskrisen i 2008 og den forventede i dag. Bankene gikk/går nedom og hjem fordi de: Mislykkes i å identifisere fundamentale nedside risikoer. Fokuserte på spesifikke nedside risikoer uten å ta med i betraktning de sammensatte effektene av risikoer. Bevisst eller ubevist besluttet og ignorere nedside risikoene i sine analyser.

 

Dette ble forverret ved fokuset på tradisjonell ”finansiell RM” på bekostning av ”Operational Risk Management (ORM)”. Videre var det ikke nok fokus på å ha et fullstendig ERM-system på plass. Det betød at operasjonelle risikoer ikke ble prioritert korrekt og til slutt ble det truffet få eller ingen nødvendige tiltak.  Spesifikt traff ”eksperter” antagelser om en oppadgående trend i eiendomsmarkedet som viste seg å være usann og verdien av bankenes eiendeler ble kraftig redusert.

 

 

 

Nøkkelen er å få den rette balansen mellom enkelthet og kompleksitet for å oppnå effektiv Enterprise Risk Management (ERM) og demonstrerer at ERM gir verdi.

 

Revisjonens syn på ERM er verdifull i sin kontekst, men kun å ”krysse av i bokser” vil kun unngå problemene for de enkleste hendelsene. Når tingene blir større og mer komplekse, trenger organisasjonen en robust ERM-prosess og robuste ORM-prosesser og ERM-verktøy for å navigere på vei mot suksess. Våre guider vil hjelpe organisasjonen med det.

 

 

 

Fullt ut effektivt ERM er blant annet vanskelig å oppnå fordi: Kvantifiseringen er vanskelig eller til og med umulig. Noen risikoer (f.eks. finansielle og kontraktmessige) er lette og kvantifisere, mens andre er nesten umulig (f.eks. kvalitet, omdømme, prestasjon). Derfor når organisasjoner prøver å kvantifisere totale oppside/nedside risikoer for organisasjonen tenderer de til å mikse ”god kvalitets” data med ”dårlig kvalitets” data og dermed utvanne den virkelige verdien av det endelige resultatet. Målsettingene er ikke konsistente/samsvarende på tvers av organisasjonen. Dette leder til en oppfatning av oppside/nedside risiko som varierer massivt i forskjellige deler av organisasjonen. En del av organisasjonen kan se på en oppside/nedside risiko som ubetydelig, mens en annen del betrakter den samme oppside/nedside risikoen som betydningsfull og en stor fare/trussel eller sjanse/mulighet. F.eks. kan avdelingene mene at en forsinkelse i iverksettelsen av et ERM-system er et lite problem, mens styret kan se på enhver forsinkelse som en katastrofe. ERM-prosessen og ORM-prosessene er ikke konsistente/samsvarende på tvers av grupperingene i organisasjonen. Dette leder til forskjellig fokus, analyser, prioriteringer og tilnærming fra forskjellige ledere. Dette gjør det igjen umulig å bygge en konsistent/samsvarende bilde av oppside/nedside risikoer på tvers av organisasjonen. ERM-verktøyene er ikke støttet opp om med en effektiv ERM-prosess og effektive ORM-prosesser. Veldig ofte er bruken av softwareverktøy det første forsøket i en organisasjon til å innføre en hvis konsistens/samsvar av ERM. Imidlertid, hvis verktøyene ikke er bakket opp med en effektiv ERM-prosess og effektive ORM-prosesser blir effekten ofte ”søppel inn, søppel ut” iom. at dårlige kvalitetsdata blir samlet inn, analysert for så å bli presentert som et høyt ”kvalifisert” resultat.

 

Den mest vanlige feilen i særdeleshet finnes ofte i finansinstitusjoner, der en integrerer forskjellige finansiell RM-målinger (f.eks. kredittrisiko eller markedsrisiko) og kaller dette ”ERM”. Dermed tror organisasjonen at de sporer opp ”total” oppside/nedside risikoer, når det i virkelighet kun ser på en bit som de har funnet lett å måle. Følgelig vises f.eks. et forandringsprogram som går galt ikke på deres ERM-radar og kan ha massiv innvirkning på forretningsvirksomheten.

 

På det høyeste nivå definerer og begrenser ofte organisasjonene ikke sin ERM-strategi. Det vil ikke si at de feiler i å bygge et komplett ERM-system, men mer at de feiler med å bli enige om hva de prøver å måle og gjenkjenner ikke vanskelighetene som de vil stå ansikt til ansikt med ved implementeringen av en effektiv ERM-prosess. Det er nesten umulig å bygge et helt ERM-system fra bunnen av, Det er mye bedre å prioritere hvilket område i organisasjonen som vil ha størst nytte av en forbedret håndtering av oppside/nedside risiko først – altså et pilotprosjekt – og konsentrere seg på det, og tilføye de andre komponentene senere som del av et overordnet ERM-rammeverk/-system.

Når det gjelder hvor en skal starte er dette avhengig av hvilke forretningsmessige prioriteringer organisasjonen har. Imidlertid hvis organisasjonen starter med blanke ark, bør en konsentrere seg i første omgang om de strategiske oppside/nedside risikoer. Den umiddelbare virkningen av å identifisere disse oppside/nedside risikoene i ERM-prosessen kan ikke bli overvurdert. Det neste trinnet vil være avhengig av hvor mange prosjekter f.eks. som organisasjonen har. Hvis de er tallrike og forretningsmessig kritisk for organisasjonen da bør de adresseres som neste område. De daglige opperasjonene kan ta vare på seg selv i stor grad iom. at nye oppside/nedside risikoer vil være sjeldene – før en eventuell forandring eller transformasjon kommer fra et prosjekt. Og formalisere ORM-området vil være gunstig, men er sannsynligvis det som haster minst i de fleste organisasjoner.

Innsalg av ERM

Å selge inn fordelene av ERM kan være tøft. Det trengs å overvinnes det at ERM er en administrativ overhead ved å forsikre toppledelsen og styret om at uten et ERM-rammeverk og en ERM-prosess ville det vært både oppside/nedside risikoer som verken ville blitt identifiser eller håndtert. Men selv da kan det ikke bevises at en oppside/nedside risiko ikke skjedde på grunn av ERM-prosessen. En oppside risiko er en mulighet og en nedside risiko er en trussel, derfor er det også mulig at oppside/nedside risikoen ikke ville ha hendt, hvis ingen tiltak overhodet hadde blitt truffet.

 

Det hjelper å ha en mengde eksempler der ERM har levert betydelige fordeler, men det finnes også enklere veier til å overbevise folk. Spør enheter/ledere/kunder om de tror at det er sannsynlig at minst en ”mulighet/trussel” vil bli identifisert ved å bruke en formell ERM-prosess. Hvis ikke organisasjonen er relativ liten, er det høyst sannsynlig at de vil forstå at noe betydningsfullt vil bli savnet uten et formelt ERM-system og en formell ERM-prosess. Å identifisere f.eks. en strategisk oppside/nedside risiko som kan ”velte” hele organisasjonen vil sannsynlig dekke kostnadene med å iverksette og kjøre ERM-prosessen mer enn nok. Hvis organisasjonen er meget enkel og liten kan sannsynligvis ikke ERM bli begrunnet likevel.

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen