ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 Modul B2 Kjerneprosessen

 

 

 

 

ENHET B2.4 Evaluering: beskriver at formålet med evalueringen av oppside/nedside risiko i første rekke er å skaffe oss best mulig oversikt over den enkelte risikos innvirkning på de ulike målsetninger organisasjonen har definert under etableringen av kontekst (strategi og policy).Videre at det gjøres prioriteringer i workshopen som brukes til å bestemme organisasjonens fokus og anstrengelser mht. å behandle de identifiserte oppside/nedside risikoene. Det bestemmes strukturerte aksjonsplaner og ressursfordeling.

 

 

Formålet med evalueringen av oppside/nedside risiko er i første rekke å skaffe oss best mulig oversikt over den enkelte risikos innvirkning på de ulike målsetninger organisasjonen har definert under etableringen av kontekst (strategi og policy).

Evalueringsfasen

 

Spesielt gjelder dette: Identifisere potensiell akkumulering og diversi-fiseringseffekter på forskjellige organisasjons-enheter. Prioritere de identifiserte oppside/nedside risikoene for å allokere begrensede ressurser til nøkkel risikoene. Bestemme om en risiko kan aksepteres eller det kreves øyeblikkelig handling.

 

 

For å sammenligne oppside/nedside risikoer fra forskjellige organisasjonsenheter eller for forskjellige risikokategorier, må evalueringen og prioriteringen gjennomføres med utgangspunkt i en standardisert tilnærming på tvers av alle kategorier. For å kunne foreta slike sammenligninger og prioriteringer må vi finne fellesnevnere for de viktigste faktorene, mens ”støy” i form av detaljer knyttet til den enkelte oppside/nedside risiko må filtreres bort. Dette oppnår vi i stor grad ved å benytte et aggregert analyseskjema fra analysefasen som grunnlag for evalueringen.

 

 Figur B2-6 Risikomatrisen.

Nedenfor har vi vist et eksempel på nedside risiko (trussel), mens som sagt tidligere kunne vi like gjerne ha vist et eksempel på oppside risiko (mulighet).  Risikoer evalueres og prioriteres i første rekke på basis av deres forventete sannsynlighet og deres potensielle konsekvens i form av virkning på EBIT (”Earning Before Interest and Tax”), hvis disse skulle inntreffe. Disse to faktorene bestemmer risikonivået og betydningen for organisasjonen.Utelukkende kvalitative målinger med gradering lav, medium og høy er et vanskelig utgangspunkt, da de gjør en sammenligning av forskjellige organisasjonsenheter vanskeligere, og bidrar ikke til å bestemme prioriteringer og akkumuleringer. Bruken av kvantitative målinger, muliggjør derimot de relative posisjonene av en risiko i relasjon til en annen. Risikoer evalueres før og etter risikotiltak. Sammen med en evaluering av planlagte og igangsatte tiltak, i det vi kaller kontroll-matrisen, kan vi danne oss et bilde av i hvilken grad det er nødvendig å forsere tiltakene, eller iverksette ytterligere tiltak. Vi omtaler gjerne dette som ”kontrollgapet”. Kontrollgapet kjennetegnes generelt ved at vi har identifisert en ”høy risiko”, som vi har liten ”kontroll” over.

 

Figur B2-7 Kontrollmatrisen.

 

Rammen for ”kontrollgapet” bør defineres under kontekst. Det vil si at organisasjonen gir utrykk for hvor stor risiko og lav iverksettelsesgrad vi generelt aksepterer, uten å forsere planlagte tiltak eller iverksette nye.

Kombinasjonen av høy risiko og lav iverksettelsesgrad av tiltak, kan indikere behov for å forsere iverksettelsen av planlagte tiltak eller iverksette nye tiltak.

Skulle ”kontrollgapet” avdekke at vi har høy iverksettelsesgrad, men fortsatt høy risiko, er nye tiltak klart nødvendig å vurdere.

 

Figur B2-8 Tolkning av kontrollmatrisen.

 

Tilnærmingen beskrevet ovenfor er både enkel og anvendelig for forskjellige typer av oppside/nedside risikoer. Skulle de tolkninger vi får ut av analysen ikke være entydige, kan bedre og mer nøyaktig informasjon som statistikker, spesifikke kvantitative tilnærminger, som undersøker tilgjengelig informasjon, brukes i tillegg. Således kan f.eks. evalueringen av strategiske oppside/nedside risikoer bli supplert med scenario-analyser, prosjektrisikoer kan beregnes ved hjelp av ”Scoring” modeller”, og finansielle risikoer kan kvantifiseres, enten med deres nominelle posisjon eller som ”Value At Risk” evalueringer.

Evalueringen skal imidlertid generelt kunne utføres uten detaljkunnskaper om den enkelte oppside/nedside risiko. Detaljkunnskapene skal fortrinnsvis være lagt til grunn i den forutgående analysen, og således være innebygd i underlagene til evalueringen.

Gjennomføres kjerneprosessen i en ”workshop” forutsetter dette en ”samling” og konsolidering av all informasjon fra risikorapportørene /deltakerne gjennom analysefasen forut for evalueringen.

Figur B2-9 Eksempel på fremstilling av risikoer og deres behov for tiltak.

Den forutgående identifiseringen og analysen bør derfor, i stor grad, sette deltakerne i stand til å vurdere effekten av tidligere tiltak og hvilke risikoer som fortsatt krever nye. Likeledes bidrar denne informasjonen til at det blir mulig å sette opp en innbyrdes rangering av risikoene slik at eventuelt knappe ressurser kan kanaliseres til de viktigste risikoene.

 

B2.4.1 Øyeblikkelig rapportering til styret og daglig ledelse

Visse forhold kan ha en såpass stor betydning at de bør rapporteres til styret umiddelbart, uten å følge den normale prosessen hvor forslag til tiltak først blir utarbeidet. Dette kan vi gjøre for å gi styret best mulig reaksjonstid. Disse risikoene vil i hovedsak befinne seg innen den gruppen ALARP-modellen omtaler som ”ikke tolererbare”. I vår risikomatrise (nedsiden) og kontrollmatrise finner vi disse i den øvre sonen.

 

Oppside/nedside risikoer som ofte kvalifiser til øyeblikkelig rapportering til styret og ledelsen vil kunne omfatte: Risikoer som er utenfor den daglige ledelsens ansvars- og mandatområde jf. asl § 6-14 (2). Risikoer som av andre lovmessige grunner er direkte underlagt styrets rapporteringsansvar. Risikoer utenfor vedtatte strategier og budsjetter. Risikoer ut over terskelverdier/toleransegrenser for særlig/spesiell rapportering til styret som er definert under ERM-kontekst.

 

 

Selv om vi velger å rapportere disse oppside/nedside risikoene til styret før tiltaksforslag er utarbeidet, vil vi normalt likevel velge å la disse følge prosessen for øvrig, ved å begynne utarbeidelsen av tiltaksforslag parallelt med at styret gjøres oppmerksom på dem. Dette vil kunne bidra til å spare tid, dersom styret skulle få behov for slike tiltaksforlag. Samtidig begrenser vi muligheten for at noen oppside/nedside risikoer ikke blir vurdert med hensyn til mulige tiltak som følge av feil eller mangler i rutiner og kommunikasjon eller at rapportørene ikke ser eller forstår mulighetene.

 

 Figur B2-10 Forholdet mellom ALARP-modellen og kontrollmatrisen.

B2.4.2 Oppsummering

Risikoevaluering bestemmer hvilke oppside/nedside risikoe som kan passere uten ytterligere tiltak. Hvilke vi må utarbeide tiltak mot, og den innbyrdes prioriteringen av disse, samt hvilke oppside/nedside risikoer som må rapporteres øyeblikkelig til styret og ledelsen.

Risikoprioritering er en indikasjon på hvor betydelig en oppside/nedside risiko er, og kan avleses gjennom kontrollmatrisen. Den fremstilles her som en funksjon av risikoens størrelse og manglende iverksettelse av tiltak.

 

Formål:         Risikoevaluering er prosessen med å synliggjøre aggregeringer på tvers av organisasjonen, og å skille oppside/nedside risikoer vi etter hvert har kontroll over, fra de oppside/nedside risikoer der vi må forsere planlagte tiltak eller iverksette nye. Dens hensikt er videre å utvikle enighet om nødvendig rapportering til styret, og de prioriteringer som er nødvendig for de videre ressursdisponeringer knyttet til tiltakene. Enighet om prioriteringer brukes til å bestemme organisasjonens fokus og anstrengelser mht. å behandle de identifiserte oppside/nedside risikoene. Det bestemmes strukturerte aksjonsplaner og ressursfordeling.      Input:   De identifiserte oppside/nedside risikoene som kvantifiseres ut ifra beregnet sannsynlighet og konsekvens under identifiserings- og analysefasen. Informasjon som er brukt og som omfatter normalt alle oppside/nedside risikoer kan innholde historiske data, teoretiske analyser, empiriske data og analyser, informerte meninger fra eksperter eller som organisasjonens interessenter vurderer som bekymringsfulle.   Metode: Aggregere risikokategoriene på tvers av organisasjonen og vurdere ”kontrollgap”. oppside/nedside risikoene etter tiltak i forhold til tiltakenes iverksettelsesgrad) og foreta en prioritering. KRIer (Key Risk Indicators) identifiseres.   Output: Omforent oversikt over oppside/nedside risikoer, der tiltak anses unødvendig. Omforent oversikt over oppside/nedside risikoer, der planlagte og iverksatte tiltak anses tilstrekkelige. En omforent prioritert oversikt over oppside/nedside risikoene som krever forsering av planlagte tiltak eller iverksettelse av nye. Rapport til styret og ledelse med hensyn til oppside/nedside risikoer som kvalifiserer til ”øyeblikkelig rapportering”. Omforent risikoprioriterings- og nivåliste.

 

For videre dokumentasjon, spørreskjemaer og andre skjemaer se:

Guide B8 Vedlegg E: Sjekklister. Fase 4 risikoevaluering

Guide B8 Vedlegg F: Skjemaer. Oversikt risikoevaluering av risiko/mulighet

Guide A: Enhet A 7.4.3 og Enhet A7.4.4

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no 

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen