ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide B – Gjennomføring og praktisk
iverksettelse
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul B2 Kjerneprosessen
Målet med risikorapporteringen er å bidra til å skape trygghet i ledelsen og blant organisasjonens interessenter, for at organisasjonen har oversikt over sine oppside/nedside risikoer og er i stand til å handle deretter.
Risikorapporteringen bygger direkte på informasjonen fra evalueringsfasen og tiltaksfasen (som igjen bygger på identifiserings- og analysefasen). De ferdige rapportene vil videre danne utgangspunkt for den neste sykliske gjennomgang av kjerneprosessen. Det gir et lettere utgangspunkt ved senere gjennomganger, ved at vi kan bygge på tidligere funn og konklusjoner.
B2.6.1 Hvem har rapporteringsansvaret?
Det overordnede ansvaret for rapporteringen må tillegges CRO/CRM som administrerer ERM-systemet og koordinerer arbeidsgruppene.
Arbeidsgruppene har imidlertid ansvaret for å rapportere til CRO/CRM til forhåndsavtalte terminer, og i den form CRO/CRM på forhånd har tilrettelagt for gjennom kontekst.
B2.6.2 Hvem rapporteres det til?
Arbeidsgruppene rapporterer til CRO/CRM. CRO/CRM på sin side står for konformiteten i rapporteringen, men skal ikke påvirke innhold eller de vurderinger og tiltak arbeidsgruppene har kommet frem til gjennom sitt arbeide. Dersom det er arrangert flere workshoper for ulike organisasjonsenheter uten at det også er avholdt en overordnet workshop for aggregering på organisasjonsnivå, kan CRO/CRM bli nødt til å ivareta denne funksjonen for å være i stand til å rapportere på dette nivået. CRO/CRM rapporterer arbeidsgruppenes resultater/konkl-usjoner til styret og linjeledelsen gjennom et ”need to know”-prinsipp. Kopi av rapportene går eventuelt til internrevisjon.
Figur B2-12 Workshopens rapporeringsvei.
2.6.2.1 Styret
Styret skal i kraft av sin funksjon ha tilgang til all dokumentasjon fra systemet. Denne vil imidlertid kunne inneholde mange uvesentligheter, eller peke på forhold som linjeledelse bør være direkte ansvarlig for. Det kan derfor være hensiktsmessig at rapporteringen til styret begrenses til oppside/nedside risikoer av en viss størrelse eller kategori, for å fokusere deres oppmerksomhet mot de vesentligste muligheter/trusler.
2.6.2.2 Linjeledelsen og spesialistavdelinger
Med mindre annet er definert i kontekst, skal linjeledelsen ha tilgang til all informasjon for sitt respektive ansvarsområde. Det vil si at toppledelsen skal ha tilgang til all informasjon aggregert opp i organisasjonen som helhet, mens informasjonen til de ansvarlige for organisasjonsenhetene begrenses til deres respektive enheter. Spesialistenheter som regnskap, personal, innkjøp etc. vil kunne få tilgang til informasjon sortert ut etter de risikokategorier som har relevans for deres virksomhet. Linjeledelsen og spesialistavdelingene videreformidler informasjon til ansatte og eksterne interessenter i den grad dette synes formålstjenlig, og er innefor deres respektive mandater. Linjeledelsen må med andre ord avpasse informasjonsmengde og kommunikasjonsform etter organisasjonens interesser, forhold til den enkelte eksterne interessent og eget mandat.
2.6.2.3 Eksterne interessenter
Det må understrekes at all informasjon fra ERM-prosessen må behandles fortrolig. ERM-prosessen er en intern prosess, og er ikke ment å generere informasjon for direkte ekstern anvendelse. Informasjon fra ERM-prosessen kan imidlertid være hensiktsmessig å benytte i ulike sammenhenger i kommunikasjon med eksterne interessenter. Dette kan eksempelvis være kunder, leverandører, eiere, investorer eller bankforbindelser. Informasjonen fra ERM-prosessen kan også benyttes i kommunikasjonen med offentlige myndigheter. Et eksempel på dette kan være å underbygge og dokumentere behovet for særlige avsetninger.
Når informasjon fra ERM-prosessen skal kommuniseres til eksterne interessenter må vi forsikre oss om at:
|
B6.2.3 Hva rapporteres?
Hva som vil kunne rapporteres vil først og fremst være avhengig av hvilke hjelpemidler i form av skjematur eller elektroniske systemer organisasjonen har hatt for hånden i den forutgående prosessen, og hvilke informasjonselementer disse har inneholdt. Teoretisk vil all informasjon fra identifiseringsfasen til tiltaksfasen kunne være tilgjengelig.
|
Tre viktige avgrensningsprinsipper kan likevel være hensiktsmessig å legge til grunn når organisasjonen bygger opp rapporter:
|
|
Rapportene bør likevel omfatte arbeidsgruppens omforente konklusjoner når det gjelder:
|
Informasjonsstrømmen til et styre kan bli svært stort. For å begrense dette ”informasjonsoverskuddet” og fokusere styrets oppmerksomhet, bør det i kontekst være definert visse begrensningsregler med hensyn til hva som er nødvendig å rapporter til styret. Disse reglene kan være basert på terskelverdier/toleransegrenser av risikonivå, ”fem største oppside/nedside risikoer”, særlige kategorier etc..
B2.6.4 Når rapporteres det?
B2.6.4.1 Øyeblikkelig rapportering
Alle ”ikke tolererbare risikoer” (ALARP-modellen) må rapporteres umiddelbart til den daglige ledelsen og styret, uansett når de måtte oppstå. Dessuten de vesent-ligste oppside risikoer (mulighetene). Organisasjonen bør ha særlige rutiner for dette. Slike rutiner gjør det mulig å nå frem til styret med nødvendig informasjon om en oppside/nedside risiko uavhengig av rapporteringssyklusen i ERM-systemet. Arbeidsgruppen som eventuelt har evaluert en oppside/nedside risiko og funnet at den kvalifiserer til øyeblikkelig rapportering vil dermed også kunne rapportere iht. disse rutinene.
|
Asl§6-12 Forvaltningen av selskapet (4) Styret iverksetter de undersøkelser det finner nødvendig for å kunne utføre sine oppgaver.Styret skal iverksette slike undersøkelser dersom dette kreves av ett eller flere av styremedlemmene. |
B2.6.4.2 ERM-systemets sykliske rapportering
Hvor ofte en organisasjon finner det hensiktsmessig å gjennomføre en ERM-syklusen (kjerneprosessen) vil variere med organisasjonens størrelse, kompleksitet og risikouniverset. Det kan likevel være greit å minne om at aksjeloven krever at daglig leder minst fire ganger i året, plikter å gi styret en skriftlig eller muntlig ”underretning om selskapets virksomhet, stilling og resultatutvikling”. Det bør derfor vurderes om rapporter fra ERM-prosessen kan understøtte en til to av disse ”underretningene”, og derfor bør tilpasses i tid og frekvens til disse.
|
Asl §6-15. Daglig leders plikter overfor styret (1) Daglig leder skal minst hver tredje måned, i møte eller skriftlig, gi styret underretning om selskapets virksomhet, stilling og resultatutvikling.(2) Styret kan til enhver tid kreve at daglig leder gir styret en nærmere redegjørelse om bestemte saker. Slik redegjørelse kan også kreves av det enkelte styremedlem. |
B2.6.4.3 Årlig rapportering
ERM-prosessen kan gi viktig informasjon til andre sentrale prosesser i organisasjonen.
Strategi/-budsjettprosessen kan eksempel-vis få viktig informasjon om tiltak med budsjettmessige konsekvenser, mens års-oppgjøret kan få informasjon om behovet for avsetninger.
Figur B2-13 Eksempel på synkronisering av rapportering fra kjerneprosessen mot andre hovedprosesser når kjerneprosessen gjennomføres to ganger pr. år.
Minst en gang i året bør ERM-prosessen synkroniseres i tid med en av disse hovedprosessene, slik at den informasjonen som stilles til disposisjon er mest mulig oppdatert. Størst effekt får organisasjonen antagelig ved en synkronisering med strategi/- budsjettprosessen.
Gjennomfører organisasjonen kjerneprosessen hyppigere enn en gang pr. år, bør den forsøke å synkronisere også disse mot andre hovedprosesser som eksempelvis årsoppgjøret.
Figur B2-14 Eksemplet viser resultatvirkningen av tiltak, residualrisikoen etter tiltak og avsetninger over en planperiode.
B2.6.5 Hvordan rapporters det?
B2.6.5.1 Systemer/formularer
Rapportene fra ERM-systemet bør ligge tettest mulig opp til de formater som benyttes i kjerneprosessen. Benytter organisasjonen papirformularer i kjerne-prosessen vil en konvertering til andre formularer eller formater kunne bli svært ressurskrevende i tillegg til de manuelle aggregeringene, som ellers er nødvendig i kjerneprosessen. Standardiseres formatene gjennom hele prosessen, oppnår organisasjonen også en ”gjenkjennelseseffekt”, som over tid øker lesbarheten i rapportene”. Et elektronisk system til støtte for kjerneprosessen er likevel langt å foretrekke.
Benyttes elektroniske systemer vil disse normalt inneholde et tilstrekkelig antall valg-muligheter til å dekke de fleste behov. Ofte vil det også være tilgjengelig en såkalt ”rapportgenerator” som muliggjør skreddersøm av mer spesiell behov.
B2.6.5.2 Sporbarhet
Med utgangspunkt i en rapport bør det være mulig å spore prosessen bakover i tid. Sporingsmuligheten bør som nevnt ikke uten videre gå lenger tilbake enn til analysefasen av hensyn til ”kildevernet”.
B2.6.5.3 Arkivering
Kravet til arkivering er både praktisk og lovmessig begrunnet. Den praktiske be-grunnelsen ligger først og fremst i at en handling/beslutning og dennes oppside/nedside risiko normalt ikke er sammenfallende i tid. ERM-systemet skal kunne benyttes som grunnlag for en rekke beslutninger med langsiktige konsekvenser. Det er dermed rimelig at beslutningsgrunnlaget taes vare på, slik at organisasjonen etterskuddsvis kan gå tilbake i tid å analysere hvorfor en situasjon ”ble som den ble”. Læringsprosessen i organisasjonen blir generelt lettere dersom den har muligheten til å gå tilbake.
Benyttes ERM-systemet som utgangspunkt for å beregne behovet for avsetninger, regnes underlagene som regnskapsmaterialet og må behandles deretter.
|
Bokføringsloven av 28.oktober 2004 setter nye og skjerpede krav av betydning i denne sammenhengen:
|
Er ERM-systemet sentralt for de konklusjoner organisasjonen har kommet frem til med hensyn til behovet for avsetninger, er det nærliggende å tro at dokumentasjonen vil bli regnet som primærdokumentasjon i regnskapsmessig betydning og må oppbevares i 10 år. Dersom ERM-systemet derimot bare delvis har bidratt til disse konklusjonene eller underbygger annen dokumentasjon kan dokumentasjonen regnes som sekundærdokumentasjon og oppbevares i 3,5 år.
B2.6.5.4 Muntlige møter
Skriftlige rapporter har generelt alle muligheter for å bli misforstått. Det bør derfor legges til rette for en form for muntlig komplettering av rapportene gjennom møter mellom styret eller styrets representant på den ene siden og CRO/CRM/ workshopen på den andre siden, dersom behovet skulle tilsi dette.
B2.6.6 Oppsummering
Risikorapportering å dokumentere hvert trinn i ERM-prosessen fortrinnsvis skriftlig, men også eventuelt muntlig.
| Formål:
Rapportene skal først og fremt dokumentere og underbygge de vurderinger og valg som arbeidsgruppen har foretatt, frem til linjeorganisasjonen overtar ansvaret for realisering av de foreslåtte tiltakene. Rapportene signaliserer således overdragelsen av iverksettelsesansvaret til linjen, og fungerer som underlag for den videre prosessen. Det må også forefinnes rapporter som i særlig grad fremhever større ”ikke akseptable nedside risikoer” og vesentlige oppside risikoer (muligheter) med behov for styrets og ledelsens øyeblikkelige oppmerksomhet. Rapportene kan også fungere som ”legitimasjon” i regnskapene når organisasjonen har foretatt avsetninger for ulike risikoer i regnskapene. Dokumentasjonen:
Input: Informasjon fra evalueringsfasen og tiltaksfasen gjennom elektronisk system eller skjematur. Metode: Iverksette en rapporterings- og dokumentasjonsprosess som del av hvert styremøte og på ledermøter. Output: Gjennomgang av kritiske oppside/nedside risikoer på styremøter og ledermøter, og på bakgrunn av denne gjennomgangen lage en liste/dokumentasjon med tiltak og ansvar. Videre formidle oppdatering av rapporter/dokumenter og eventuelle IT-systemer som organisasjonen benytter i sin ERM-prosess. |
For videre dokumentasjon, spørreskjemaer og andre skjemaer se:
Guide B8 Vedlegg E: Sjekklister. Fase 6 risikorapportering.
Guide B8 Vedlegg F: Skjemaer. Oversikt risikorapportering.
Guide A: Se Enhet A7.6.6, Enhet A7.6.7 og Enhet 7.7.8
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430
322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE B
Gjennomføring og praktisk iverksettelse
|
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi DEN NYE ISO 31000:2009 STANDARDEN ix PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii HVA ER UTFORDRINGENE MED ERM xv ORGANISERING AV ERM-HÅNDBØKENE xvii 1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5 1.2.1 STYRET 5 1.2.2 STYRINGSGRUPPEN 5 1.2.3 FORPROSJEKTGRUPPEN 6 1.2.4 PROSJEKTGRUPPEN 6 1.2.5 LINJEN 7 1.3 OVERBLIKK OVER ERM-PROSJEKTET 7 1.4 DEFINERE MANDAT OG MÅLSETNINGER 9 1.4.1 STYRET 9 1.4.2 STYRINGSGRUPPEN 10 1.4.3 FORPROSJEKTGRUPPEN 11 1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12 1.5.1 STYRENDE DOKUMENTER (POLICYER) 12 1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12 1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13 1.7 STYRETS FORMALISERING AV PROSJEKTET 14 1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15 1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16 1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16 1.8.3 PERSONELLBEHOV 17 1.8.4 DELTAKERE PÅ EN WORKSHOP 18 1.8.5 TILPASSE STYRENDE DOKUMENTER 19 1.8.6 VALG AV VERKTØY OG METODER 22 1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28 1.8.8 OPPLÆRING 29 1.8.9 KULTUR OG ERM-MILJØ 31 1.8.10 KOORDINERING MED ANDRE PROSESSER 32 1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33 1.8.12 GRENSESNITT MOT HVERDAGEN 33 2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38 2.2.1 RISIKOANALYSESKJEMA 43 2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46 2.2.3 OPPSUMMERING 47 2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48 2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51 2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53 2.3.4 OPPSUMMERING 55 2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58 2.4.2 OPPSUMMERING 60 2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61 2.5.2 TILTAKSKOSTNADER 63 2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64 2.5.4 OPPSUMMERING 65 2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66 2.6.2 HVEM RAPPORTERES DET TIL? 66 2.6.3 HVA RAPPORTERES? 67 2.6.4 NÅR RAPPORTERES DET? 68 2.6.5 HVORDAN RAPPORTERS DET? 70 2.6.6 OPPSUMMERING 72 2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 3.2 PROAKTIV RISIKOHÅNDTERING 79 3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79 3.2.2 PRIORITERING OG DELEGERING 80 3.3 REAKTIV RISIKOHÅNDTERING 81 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84 4.1.2 METODE FOR ERMSE 86 4.2 INTERNREVISJONENS KONTROLLER 94 4.2.1 FORMÅL 94 4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 5.2 INFORMASJON FRA ERM-SYSTEMET 98 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 7. STIKKORDSREGISTER 104 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430
322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480
258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE B
|
Vedlegg |
Tekst | Guide A | Guide B |
| Vedlegg A | Risikokategoriseringsmodellen | X | |
| Vedlegg B | Risikopolicy i «Vår Organisasjon» | X | |
| Vedlegg C | Mandat ERM | X | |
| Vedlegg D1 | Eksempler på skjematur for | X | |
| Vedlegg D2 | Vurderingskriterier/karakterskala (skala 1-5) for ERMSE | X | |
| Vedlegg D3 | Spørreskjema A ERMSE | X | |
| Vedlegg D4 | Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet | X | |
| Vedlegg E | Sjekklister/spørsmål | X | |
| Vedlegg F1 | Workshop | X | |
| Vedlegg F2 | Enkelt Risikospørreskjema | X | |
| Vedlegg F3 | Alternativt risikospørreskjema | X | |
| Vedlegg F4 | Risikotiltak | X | |
| Vedlegg F5 | Rapporter | X | |
| Vedlegg F6 | Håndtering og overvåking | X | |
| Vedlegg F7 | Vedlikehold av kontekst | X | |
| Vedlegg G | Nøkkelreferanser/standarder | X | X |
| Vedlegg H | ISO 31000:2009 Risikoledelse
Ordforklaringer |
X
X |
X |
| Vedlegg J | Litteratur | X | X |
| Vedlegg K1 | Tabeller og figurer i Guide A. | X | |
| Vedlegg K2 | Tabeller og figurer i Guide B | X | |
| Vedlegg L1 | Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser. | X | |
| Vedlegg L2 | Innhold Guide B – Gjennomføring og praktisk iverksettelse | X |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar