ERM–guiden

Praktisk Enterprise Risk Management(ERM)

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

 

 

 

 Modul B2 Kjerneprosessen

 

 

ENHET B2.5 Tiltak: skisserer utfordringene under tiltaksfasen og valg av tiltaksstrategi enten det er risikounngåelse, risikoreduksjon,risikooverføring eller risikoaksept.Videre skisseres ansvars og myndighetsnivåene i organisasjonen i relasjon til tiltakene som iverksettes Likeledes fokuseres det på at kostnadene ved tiltakene må stå i forhold til en antatt gevinst.

 

 

Risikoer kan aldri helt elimineres. Målsetningen med ERM er da også begrenset til å finne frem til tiltak som kan reduser en risiko eller en konsekvens av denne til et praktikabelt nivå eller opimalisere en mulighet. Gjennom prosessen frem til tiltaksfasen har vi kommet fem til en prioritert oversikt over oppside/nedside risikoer som trenger ytterligere tiltak eller nye tiltak.

 

Tiltaksfasen

 

Utfordringen under tiltaksfasen er som følger: Å finne frem til hvilke strategier og konkrete tiltak som er mest virkningsfulle i forhold til den enkelte risiko. Å forsikre oss om at kostnadene ved tiltakene står i forhold til den enkelte risiko. Å finne frem til virkemidler som ligger innefor rammen av hva den daglige ledelse har for hånden (”rimelig praktikable” slik ALARP-modellen uttrykker det).

 

ALARP-modellen kan være en praktisk referanseramme både til å hjelpe oss med å finne riktig handlingsmønster under tiltaksefasen, men også til å finne riktig ressursforbruk under iverksettelse av tiltak.

 

B2.5.1 Valg av tiltaksstrategi for nedside risiko

Vi tar her for oss tiltaksstrategier for den ene siden av mynten, dvs. nedside risikoer(trusler) .

 

Generelt deler vi tiltaks-strategiene inn i fire grupper. For å finne frem til hvilken strategi, eller kombinasjon av disse, som synes mest anvendelig, kan vi stille følgende spørsmål: Kan vi unngå risikoen på noen måte innen rammen av våre overordnede strategier og mål?  Eventuelle tiltak under denne strategien vil som oftest være de billigste og enkleste, og eksempelvis omfatte tiltak som å utsette en handling, eller bytte ut en sentral leverandør. Kan vi påvirke sannsynligheten eller konsekvensen ved en risiko på noen måter? Kan risikoen overføres til noen som har bedre forutsetninger for å håndtere denne. Vil tiltakene vi innfører gjennom 1 -3 fjerne risikoen helt eller vil vi fortsatt sitte med noe risiko?

 

Figur B2-11 Figuren visualiserer en risiko (nedsiden) før og etter mulige tiltak.

 

Den fjerde og siste strategien kommer fortrinnsvis kun til anvendelse dersom vi ikke får brakt risikoene ned på et hensiktsmessig nivå gjennom tiltak vi finner frem til gjennom de tre første strategiene. Dersom vi etter å ha innført tiltak som risikounngåelse, risikoreduksjon eller risikooverføring likevel sitter med en risiko, snakker vi om en ”residualrisk”. Tiltakene vi iverksetter i forhold til disse, retter seg mot å planlegge for at de rent faktisk kommer til å hende, og hva som derfor må skje under og etter hendelsen for at konsekvensene skal bli minst mulig.

 

Hva kan vi gjøre for å være best mulig forberedt og begrense de direkte skadene dersom denne hendelsen inntreffer? Redusere usikkerheten under hendelsen slik at organisasjonen vet hva som må gjøres når den inntreffer. (Eksempelvis katastrofeplanlegging). Hva kan organisasjonen gjøre for begrense indirekte skader når denne hendelsen har inntruffet? Legge til rette for midlertidige ordninger slik at organisasjonen begrenser eventuelle driftsforstyrrelser mest mulig i tiden etter hendelsen. Eksempelvis avtaler om alternative driftslokaler, leverandører, transportveier, produksjons-materiell etc.. Organisasjonen bør også vurdere behovet for å ha planene klare for eventuelle nye permanente ordninger og systemer for på den måten å komme fortest mulig tilbake til normal drift.

 

Under utarbeidelse av mer konkrete og detaljerte tiltaksforslag må arbeidsgruppen ha tilgang til fagekspertise fra de respektive problemområdene. Dette må forutsettes hentet inn enten fra linjeorganisasjonen eller utenforstående eksperter. Alternativt kan ansvaret for utarbeidelse av konkretiserte tiltaksforslag delegeres til linjen, som må kunne forutsettes å ha tilgang til større ressurser og dypere innsikt i de respektive problemområdene. Uansett må den person eller organisasjonsenhet som synes best skikket til å følge opp og iverksette et tiltaksforslag etter workshopen, være identifisert og utpekt som ansvarlig i løpet av tiltaksfasen.

 

Etter hvert som vi vinner erfaring med ERM-systemet vil vi normalt se at visse oppside/nedside risikoer går igjen, og tiltakene finner tilsvarende anvendelse.

Følgende tabell kan illustrere ulike tiltaksstrategier mht. nedside risiko:

Strategi	Siktemål	Eksempler på virkemiddel
Risiko- unngåelse	Forhindre at hendelsen inntreffer, eller får konsekvens for organisasjonen.	Utsette aktivitet.
Risiko- reduksjon		Redusere sannsynlighet eller konsekvens.
Risiko- overføring		Forsikring, ”outsourcing” etc..
Risiko aksept (Residual-risikoer)	Forberede oss på at hendelsen inntreffer, og begrense konsekvensen.	Planlegge for en uønsket hendelse med sikte på å redusere konsekvens: Katastrofeplanlegging. Kriseplanlegging. ·         Business Continuity Plan (BCP).
	Reagere (handle) når hendelsen inntreffer.	Iverksette tiltak med sikte på å begrense uønsket konsekvens av en hendelse når denne inntreffer, iht. beste skjønn, foreliggende planer og hendelsens fremdrift.
	Restituere (utbedring, berging) når hendelsen har fått konsekvens.	Utbedre skader/uønskede konse-kvenser som har oppstått, som følge av en hendelse.

Tabell 2-8 Tabellen viser de ulike tiltaksstrategiene for nedside risiko, deres siktemål og eksempler på handling.

 

B2.5.2 Tiltakskostnader

Alle tiltak må normalt utvikles innen visse rammer. Når vi skal finne frem til rammene for hensiktsmessige tiltak, eller hvordan en risiko skal behandles, bygger vi på teorien i ALARP-modellen. Denne har som utgangspunkt at en risiko skal være ”så lavt som rimelig praktikabel”.

 

Med begrepet ”rimelig praktikable” må vi forstå to ting: Risikoens grunnleggende problemstilling og konsekvens må ligge innenfor rammen av hva som er den daglige ledelses ansvars- og myndighetsområde (jf. asl §6-14 (2). Den daglige ledelse må videre ha de nødvendige fullmakter og mandater fra styret til å kunne iverksette nødvendige tiltak. De kostnader et tiltak vil kunne påføre organisasjonen for å kunne bringe en risiko ned på et akseptabelt nivå, må både ligge innen godkjente budsjettrammer og stå i forhold til de gevinster organisasjonen oppnår i form av risikoreduksjon.

 

ALARP-modellen kan derfor bidra til både å avklare hvilke ”ansvars – og myndighetskriterier”, samt hvilke ”økonomiske kriterier” vi skal legge til grunn under tiltaksfasen.

 

Rent praktisk kan vi sortere og prioritere risikoene, og dermed arbeidet i tiltaksfasen etter nivåene i ALARP-modellen.”Ikke tolererbare risikoer”Dersom disse to betingelsene nevnt over ikke foreligger har vi altså en situasjon som ikke lar seg løse med ”praktikable” virkemidler, og denne må løftes opp på et høyere nivå enn den daglige ledelsen. Dette gjør vi gjennom ”øyeblikkelig rapportering” beskrevet under evalueringsfasen.”Ikke tolererbare risikoer” krever normalt styrets engasjement. For å spare tid dersom det skulle vise seg at styret har behov for forslag til tiltak, kan det likevel være hensiktsmessig å begynne utarbeidelsen av disse, uten å avvente videre instrukser fra styret. Dette kan bidra til at styret har forslagene tilgjengelig når de ber om det. På den andre siden medvirker det også til å redusere faren for at noen risikoer blir ”glemt” i tiltaksfasen. Før slike tiltak iverksettes må vi imidlertid være sikker på at vi har styrets velsignelse.”Tolererbare ubetingede risikoer”Større risikoer med behov for tiltak som lar seg håndtere med de virkemidler den daglige ledelsen har til sin rådighet, omtales i ALARP-modellen som ”tolererbare risikoer”. Disse er igjen delt inn i undergruppene ”betinget” og ”ubetinget”. De ” tolererbare ubetingede” risikoene er i hovedsak vesentlige risikoer vi kan tolerere, dersom vi kan redusere disse gjennom tiltak.”Tolererbare betingede risikoer”De ” tolererbare betingede” risikoene er i hovedsak moderate risikoer vi kan tolerere også uten tiltak, dersom tiltakene antas å ville koste mer enn gevinsten ved å iverksette disse.”Akseptable risikoer”De ”akseptable” risikoene er i hovedsak lave risikoer vi kan leve med, i den form de er, uten iverksettelse av noen form for tiltak. Risikoene her i denne gruppen kan imidlertid være så lave at ressursinnsparinger knyttet til kontroller kan være mulig, og bør vurderes

 

Tabellen ”Risikoevaluering etter ALARP-modellen” i Guide B8 vedlegg F1 kan illustrere de ulike nivåene i ALARP-modellen, hvilke risikoer vi normalt finner på det enkelte nivå og hvilket handlingsmønster dette krever i tiltaksfasen.

 

 

B2.5.3 Evaluering av kontroll og overvåkningsmekanismer

Den løpende kontroll og overvåkning av oppside/nedside risikoer må først og fremst foregå i linjeorganisasjonen. Under workshopen kan vi imidlertid bidra til å styrke funksjonen. Ved å identifisere de faktorer som påvirker, – eller er et symptom på en risiko og å tallfeste disse til såkalte ”Key Risk Indicators” (KRIer), blir det mulig for linjeorganisasjonen løpende å registrere endringer i risikobildet. En organisasjons virksomhet og risikounivers er under konstant endring. Derfor må også KRI’ene vi benytter til oppfølging evalueres og stadig forbedres. Under tiltaksfasen vil viktige ideer og synspunkter komme til overflaten. Disse kan bidra til å bedre linjeledelsens løpende kontroll av oppside/nedside risikoene dersom idèene dokumenters og anvendes. Forslag til standardiserte begreper, tallgrunnlag og forhåndstall organisasjonen kan benytte, bør derfor gå videre til linjeledelsen med sikte på anvendelse i organisasjonens løpende virksomhet og rapporter.

 

B2.5.4 Oppsummering

Risikotiltak er de forslag til aksjoner som utarbeides som et resultat av at en oppside/nedside risiko har blitt identifisert, analysert, evaluert og funnet å være uakseptabel for organisasjonen.

Formål:       Å bestemme hvilke aksjoner som skal treffes, som svar på oppside/nedside  risikoene som har blitt identifisert, analysert og evaluert mht. sannsynlighet og konsekvens. Tiltakene som iverksettes må relateres til ansvars og myndighetsnivåene i organisasjonen. Likeledes må kostnadene ved tiltakene stå i forhold til en antatt gevinst.    Input:   Hovedinput i dette trinnet er: Risikokategorilisten med de prioriteringer som er gjort under evalueringen.   Metode: Velge tiltaksstrategi og konkretisere mulige tiltak for den enkelte oppside/nedside risiko relatert til de rammer organisasjon har til sin rådighet.Når det skal finnes frem til rammene for hensiktsmessige tiltak, eller hvordan en risiko skal behandles, bygger det på teorien i ALARP-modellen og GPAP-modellen. (Se Guide Enhetr 7.4). ALARP-modellen har som utgangspunkt at en risiko skal være ”så lavt som rimelig praktikabel”.Tiltakene for risikoene og prioriteringen sorteres etter nivåene i ALARP-modellen:  Ikke tolererbare risikoer.· Tolererbare ubetingede risikoer.·Tolererbare betingede risikoer.·Akseptable risikoer. Det settes spesielt fokus på de risikoene som er prioritert til å være betydningsfulle. KRIer (Key Risk Indicators) identifiseres.   Output: Et ekstrakt av en tiltaksplan for hver risiko som er klassifisert etter ALARP-modellen(nedside risikoer) og GPAP-modellen (oppdide risikoer) Beskrivelse av nye Key Risk Indikators (KRIer).

 

For videre dokumentasjon, spørreskjemaer og andre skjemaer se:

Guide B8 Vedlegg E: Sjekklister. Fase 5 tiltak oppside/nedside risiko

Guide B8 Vedlegg F: Skjemaer. Oversikt valg av tiltak oppside/nedside risiko

Guide A:  Enhet A 7.5.3, Enhet A7.5.4 og Enhet A 7.5.5

 

Kursguidene A og B

 

 

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

 

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii INNLEDNING 1. ETABLERING AV KONTEKST 4 1.1 FRA TANKE TIL HANDLING 4 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 1.9 OPPSUMMERING 34 2. KJERNEPROSESSEN 37 2.1 ”WORKSHOP”-PROSEDYREN 37 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2 IDENTIFISERING 41 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3 ANALYSE 48 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4 EVALUERING 56 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5 TILTAK 61 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6 RAPPORTERING 66 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 2.8 OPPSUMMERING 75 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 3.4 OPPSUMMERING 82 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 4.3 OPPSUMMERING 95 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 5.3 OPPSUMMERING 99 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 6.2 OPPSUMMERING 102 7. STIKKORDSREGISTER 104 8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 

Vedlegg	Tekst	Guide A	Guide B
Vedlegg A	Risikokategoriseringsmodellen		X
Vedlegg B	Risikopolicy i «Vår Organisasjon»		X
Vedlegg C	Mandat ERM		X
Vedlegg D1	Eksempler på skjematur for ERM-SystemEvaluering (ERMSE)		X
Vedlegg D2	Vurderingskriterier/karakterskala (skala 1-5) for ERMSE		X
Vedlegg D3	Spørreskjema A ERMSE		X
Vedlegg D4	Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet		X
Vedlegg E	Sjekklister/spørsmål		X
Vedlegg F1	Workshop		X
Vedlegg F2	Enkelt Risikospørreskjema		X
Vedlegg F3	Alternativt risikospørreskjema		X
Vedlegg F4	Risikotiltak		X
Vedlegg F5	Rapporter		X
Vedlegg F6	Håndtering og overvåking		X
Vedlegg F7	Vedlikehold av kontekst		X
Vedlegg G	Nøkkelreferanser/standarder	X	X
Vedlegg H Vedlegg I	ISO 31000:2009 Risikoledelse Ordforklaringer	X X	X X
Vedlegg J	Litteratur	X	X
Vedlegg K1	Tabeller og figurer i Guide A.	X
Vedlegg K2	Tabeller og figurer i Guide B		X
Vedlegg L1	Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.		X
Vedlegg L2	Innhold Guide B – Gjennomføring og praktisk iverksettelse	X

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen