ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

ENHET B0.4 ISO 31000:2009 standarden: innholder Risk Management (risikoledelse )– prinsipper og retningslinjer og et felles vokabular for Risk Management (risikoledelse).

 

Bakgrunn

Det er 20 år siden den første versjonen av Australia og New Zealand RM -standard, AS/NZS 4360:1995, ble publisert og deretter fornyet i 2004.  Den er nå erstattet av den nye internasjonale standarden som i Australia blir kalt AS/NZS ISO 31000:2009 som er et resultat av den internasjnale standarden ISO 31000:2009 som igjen i store trekk baserte seg på AS/NZS standarden.

AS / NZS 4360 har blitt brukt og adoptert av mange hundretusener organisasjoner i Australia, New Zealand og resten av verden de siste 18 år. De har generelt funnet at standarden gir en veldig praktisk tilnærming til håndtering av risiko som kan bli brukt i bred forstand.

På den annen side er det mange organisasjoner som har forsøkt å implementere COSO-rammeverket som er misfornøyd med den fremgangen de har gjort, og søker en tilnærming som er mer relevant for den strategiske ledelsen av sine organisasjon.

Flere forfattere har påpekt at COSO-rammeverket besitter mange tekniske og praktiske svakheter. For eksempel har den kjente kommentatoren Felix Kloman sagt: «De fleste anstrengelser forbedrer læringen, men COSO II (Committee of Sponsoring Organizations) monsteret i USA har satt oss tilbake med flere år. Australias / New Zealands innsatsen bør være ”bjellesauen” hvis RM skal fortsette å utvikle seg og blomstre».

Ali Samad-Khan har pekt på tekniske svakheter i den måten COSO krever at risikoanalysen skal gjennomføres. Han har sagt: «COSO unnlater ikke bare å hjelpe en bedrift til å vurdere sine risikoer, den forvirrer faktisk risikovurderingsprosessen”.

 

Michael Rasmuser Research gjennomførte i 2009 en full gjennomgang av COSO og konkluderte med:«Mange organisasjoner ser først til The Committee of Sponsoring Organizations of the Treadway Commission (COSO)), bare for å oppdage at den er dårlig skrevet og vanskelig å gjennomføre. ISO 31000:2009 og AS/NZS ISO 31000:2009 er mer moden, enkel og  fleksibel med et vell av implementeringsressurser for ulike risikoscenarier. «

 

ISO 31000:2009, som bygger på standarden AS/NZS,er nå en global standard og det vil bli den viktigste standarden for RM (RisikoLedelse) for alle land.

 

Det virker også sannsynlig at COSO ERM-standarden må endres etterhvert,  da den foreløpig ikke er i overensstemmelse med ISO 31000:2009 tilnærming til RM (risikoledelse). I og med at den ikke oppfyller prinsippene for god RM (risikoledelse i punkt 3 i ISO-standarden). Den utelater også visse viktige elementer i RM-prosessen (punkt 5), og inneholder ikke praktisk veiledning om gjennomføring (punkt 6), og fører ikke til tilnærminger til RM som oppfyller attributtene (egenskapene) for fremragenhet (vedlegg). Viktigere, i COSO er risikoen fortsatt hendelser med negative konsekvenser, og er ikke knyttet til oppnåelse av organisasjonens hovedmål og usikkerheten herunder.

 

Generelt om ISO 31000:2009

I november 2009 ga organisasjonen for standardisering (ISO) endelig ut den svært etterlengtede, og første internasjonale RM-standarden med tittelen: ISO 31000:2009 Risk Management – Principles and Guidelines.

 

Standarden ble utgitt for å gi organisasjoner prinsipper og generelle retningslinjer for RM. ISO 31000 er utviklet ved hjelp av eksperter fra hele verden, fra ulike bransjer og fagfelt. Standardens mål er å gi organisasjoner veiledning og en felles plattform for å håndtere ulike typer muligheter/trusler, fra mange kilder uavhengig av organisasjons størrelse, type, kompleksitet, struktur, aktiviteter eller sted.

 

I Australia er ISO 31000 blitt adoptert av Standards Australia og er offisielt kjent som AS/NZS ISO 31000:2009 Risk Management – Principles and Guidelines.
Den nye standarden erstatter det populære og høyt respekterte AS/NZS 4360:2004 Risk Management standarden som har vært brukt rundt omkring i verdenen. AS/NZS 4360 ble opprinnelig utviklet av Australia og New Zealand i 1995 og har tjent risikoledere fra hele verden. Den har oppnådd en utbredt aksept og respekt i løpet av årene og er hovedgrunnen til at den ble brukt som det første utkastet til den nye ISO-31000:2009 standarden. Den reviderte 2009-versjonen av AS/NZS 4360 er derfor nesten identisk som ISO-31000:2009.

AS/NZS ISO 31000:2009 på bakgrunn av ISO 31000:2009 går lenger enn AS/NZS:2004 i defineringen av prinsippene og egenskapene som organisasjonen må vurdere når den vurderer sin tilnærming til RM. Den viktigste endringen for de organisasjoner som fremdeles bruker AS/NZS: 4360:2004 er at ISO 31000:2009 krever at organisasjonen justerer håndteringen av oppside/nedside risiko mot oppnåelsen av organisasjonens mål.
Den nye standarden er støttet av ISO Guide 73:2009 Risk Management – Vocabulary, som gir definisjoner av begreper knyttet til RM, samt ISO/IEC 31010:2010 Risk management – Risk assessment techniques som gir en oversikt over risikovurderingsteknikker. Sammen støtter disse to dokumentene opp om ISO:31000:2009 og gir organisasjonen en beskrivelse av aktiviteter relatert til håndteringen av muligheter/trusler, og en konsekvent tilnærming til bruk av RM-terminologien i prosesser og rammeverk/systemer som omhandler håndtering av muligheter/trusler.

 

Her i våre bøker bruker vi ISO 31000:2009 og ISO Guide 73:2009 sin definisjon av risiko:Risiko er «effekt av usikkerhet på mål» (effect of uncertainty on objectives).Merknad 1: En effekt er et avvik fra det forventede positive og/eller negative.Merknad 2: Mål kan ha ulike aspekter (for eksempel økonomiske, helse, miljø og sikkerhet, og miljømessige mål) og kan oppstå på ulike nivåer (som for eksempel strategiske, organisasjonsmessige, prosjektmessige, produkt- og prosessmessige nivåer).Merknad 3: Risiko er ofte karakterisert mht. potensielle hendelser og konsekvenser, eller en kombinasjon av disse.Merknad 4: Risiko uttrykkes ofte som en kombinasjon av konsekvensene av en hendelse (inkludert endringer i omstendigheter) og den tilhørende sannsynligheten for hendelsen.Merknad 5: Usikkerhet er en tilstand der det er mangel på informasjon, manglende forståelse av eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet for at den skal forekomme.

 

Kjerne konseptet mht. risiko: Risiko oppstår bare når organisasjonen ønsker å oppnå noe. Risiko oppstår fra interne og eksterne faktorer. Fra påvirkninger som organisasjonen ikke helt har kontroll over  og som kan føre til at den mislykkes eller lykkes  i å oppnå målene eller forårsake forsinkelser. Disse faktorene og påvirkningene kan også føre til målene blir oppnådd tidligere eller overtruffet. Risiko er derfor verken positiv eller negativ, men de konsekvenser organisasjonen erfarer kan variere fra tap og skade (nedsiden) til vinning/nytte og fordeler (oppsiden).

 

ISO:31000:2009 innebærer ikke en sertifiseringprosess for organisasjoner. På samme måte som ledelsen i en organisasjon ikke kan bli sertifisert imot en eller annen standard er RM utformet/konstruert i form av prinsipper og retningslinjer for implementeringen, men ikke for sertifisering. Hvordan hver organisasjon driver RM er opp til dem. Det vil si sertifisering er ikke standardens hensikt/mål. Det første prinsippet for god RM i standarden stadfester at RM skal tilføre verdi. RM er konstruert mht. prinsipper, attributter (elementer) og retningslinjer for implementering, men ikke for sertifisering.  Prosessen med sertifisering kan føre til en etterlevelses- og kulturell holdning til RM som kan redusere eierskapet og ansvarligheten for RM-rammeverket/systemet i organisasjonen.

Grunnen til at mange har vært spente på ISO 31000:2009 er at den bringer sammen en global konsensus om RM i kortfattet form (ISO-31000:2009 og ISO Guide 73:2009) med informasjon. Alle former for risikoer er inkludert, som f.eks. finansielle, helse, miljø og sikkerhet, informasjonssikkerhet etc.. Selv det ”å ikke forfølge en mulighet» er en risiko. I henhold til standarden, er risikoen ikke alltid negativt, men bare sett på som «effekten av usikkerhet på måloppnåelsen”, som dermed også kan være positiv. Polaritetsprinsippet.

 

Hensikten med ISO 31000:2009

Personer som jobber med RM (uavhengig av system) har alltid samme mål: “Å utarbeide et godt grunnlag for beslutninger. Finne ut om risikoen er akseptabel og/eller fremskaffe pålitelig informasjon om hvordan den best kan håndteres”.  Det er mange ulike definisjoner av risiko og av prosesselementene i RM. Likeledes er det mange forskjellige versjoner av prosessen som skal følges. Alle har utviklet seg ut i fra gode historiske grunner, men enkeltpersoner, organisasjoner, regulert eller som regulator, trenger å ta trygge og balanserte beslutninger om alle muligheter/trusler de har å forholde seg til, på et konsistent og pålitelig grunnlag.

 

Beslutningstakere er ukomfortable med løse biter av tilsynelatende lignende, men fundamentalt forskjellig informasjon, hentet fra ulike prosesser og med ulike forutsetninger, som er beskrevet ved hjelp av de samme ord, men som har ulike betydninger. Ut ifra disse grunnene, fikk ISO (det internasjonale organ for standardisering) i oppdrag å lage en standard som vil være gjeldende for alle former for risiko, og som sørger for konsistens og pålitelighet i RM.Dette vil si: Et felles ordforråd. Et sett av prestasjonskriterier. En felles overordnet prosess for å identifisere, analysere, evaluere og håndtere risiko. Veiledning om hvordan denne prosessen skal bli integrert i beslutningsprosesser i enhver organisasjon

 

ISO opprettet en arbeidsgruppe bestående av eksperter nominerte fra 28 land (opp til tre fra hvert land), og fra mange andre spesialiserte organisasjoner for å lede utviklingen av standarden og det tilhørende vokabular. Mens ekspertene har et svært bredt spekter av RM-erfaringer i mange sektorer og programmer, har deres viktigste rolle vært å representere synspunktene til sine respektive nasjonale risikoorganisasjoner og sektorer,  for å speile utvalg og organisasjoner.

Gjennom å speile utvalgene, har et nettverk av hundrevis av RM-spesialister og deres kunder fra hele verden bidratt til å skape, gjennomgå, og forme ISO 31000:2009 og veiledningen ISO Guide 73:2009. Disse dokumentene er derfor ikke bare konklusjonene til et lite utvalg, men representerer synspunkter og opplevelsen til hundrevis av kunnskapsrike personer, involvert i alle aspekter av risikoledelse.

 

Standarden hjelper organisasjonen med å nå deres mål Beskytter organisasjonens inntekter og øker organisasjonens verdi. Håndterer proaktivt organisasjonens operasjoner. Beskytter omdømmet og interessentenes tillit. Gir en bedre forståelse for og etterlevelse av krav til styring, juridiske og regulerende krav og organisasjonens sosiale ansvar og etiske krav. Identifiserer  muligheter der det å ta risiko gir organisasjonen fordeler. Identifiserer sannsynligheten for hendelser som vil ha en positiv effekt på organisasjonen. Identifiserer sannsynligheten for hendelser som vil ha en negativ effekt på organisasjonen. Identifiserer, og forstår håndteringen av oppside/nedside risikoer på tvers av organisasjonen. Utfører forandringer proaktivt og mer effektivt og effesient. Forbedrer ansvarlighet, beslutningsprosesser og åpenhet og synlighet. Beholder og utvikler kundene ved å være mer fleksibel og respondere bedre på deres behov. Kontrollerer utgifter og leverer et kostnadsoptimalt oppfølgingsmiljø.

 

 Vi viser til Guide A11 og Guide B8 vedlegg H vedrørende mer om ISO 31000:2009

 

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen