Guide B Modul B8 Vedlegg E Sjekklister/spørsmål

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

100_4274

 

Guide B – Gjennomføring og praktisk 

iverksettelse

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

 

100_4262

 

 

 Modul B8 Vedleggsoversikt

 

 

 

VEDLEGGSOVERSIKT GUIDE B

 


Vedlegg
Tekst Guide A Guide B  
Vedlegg A Risikokategoriseringsmodellen   X
Vedlegg B Risikopolicy i «Vår Organisasjon»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE)
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet   X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop   X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak   X
Vedlegg F5 Rapporter   X
Vedlegg F6 Håndtering og overvåking   X
Vedlegg F7 Vedlikehold av kontekst   X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer 
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A. X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X  

 

 

Guide B Modul B8 Vedlegg E: Sjekklister/spørsmål

 

E1. SJEKKLISTE/NØKKELSPØRSMÅL – KONTEKSTEN (FASE 1) 4
SJEKKLISTE – ORGANISASJONENS MÅLSETTINGER 4
SJEKKLISTE – OPPLÆRING OG TRENING 5
SJEKKLISTE – ORGANISASJON OG KULTUR 6
SJEKKLISTE – FORSTÅELSE FOR RISIKO OG RISIKOHÅNDTERING 8
SJEKKLISTE – TILDELING AV RISIKOEIERSKAP 9
SJEKKLISTE – ELEMENTENE I ERM-SYSTEMET 10
SJEKKLISTE – EFFEKTIVT ERM-SYSTEM OG ERM- PROSESS 11
SJEKKLISTE – ANNET 12E2. ERM-KJERNEPROSESSEN (FASE 2 – 6) 14
SJEKKLISTE – GENERELT ERM-PROSESSEN 14
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOIDENTIFISERING (FASE 2) 15
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOANALYSE (FASE 3) 18
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOEVALUERING (FASE 4) 19
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOTILTAK (FASE5) 22
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKORAPPORTERING (FASE 6) 24E3. SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOHÅNDTERING OG OVERVÅKING (FASE 7) 26E4. SJEKKLISTER – ERMSYSTEMEVALUERING(ERMSE) OG GJENNOMGANG (FASE 8) 30
SJEKKLISTE/NØKKELSPØRSMÅL – ”ERMSYSTEMEVALUERING” 30
SJEKKLISTE – INTERNREVISJONENS GJENNOMGANG 30E5. SJEKKLISTE/NØKKELSPØRSMÅL – KOMMUNIKASJON OG KONSULTASJON 32

E1. SJEKKLISTE/NØKKELSPØRSMÅL – KONTEKSTEN (FASE 1) 4
SJEKKLISTE – ORGANISASJONENS MÅLSETTINGER 4
SJEKKLISTE – OPPLÆRING OG TRENING 5
SJEKKLISTE – ORGANISASJON OG KULTUR 6
SJEKKLISTE – FORSTÅELSE FOR RISIKO OG RISIKOHÅNDTERING 8
SJEKKLISTE – TILDELING AV RISIKOEIERSKAP 9
SJEKKLISTE – ELEMENTENE I ERM-SYSTEMET 10
SJEKKLISTE – EFFEKTIVT ERM-SYSTEM OG ERM- PROSESS 11
SJEKKLISTE – ANNET 12

E2. ERM-KJERNEPROSESSEN (FASE 2 – 6) 14
SJEKKLISTE – GENERELT ERM-PROSESSEN 14
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOIDENTIFISERING (FASE 2) 15
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOANALYSE (FASE 3) 18
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOEVALUERING (FASE 4) 19
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOTILTAK (FASE5) 22
SJEKKLISTE/NØKKELSPØRSMÅL – RISIKORAPPORTERING (FASE 6) 24

E3. SJEKKLISTE/NØKKELSPØRSMÅL – RISIKOHÅNDTERING OG OVERVÅKING (FASE 7) 26

E4. SJEKKLISTER – ERMSYSTEMEVALUERING(ERMSE) OG GJENNOMGANG (FASE 8) 30
SJEKKLISTE/NØKKELSPØRSMÅL – ”ERMSYSTEMEVALUERING” 30
SJEKKLISTE – INTERNREVISJONENS GJENNOMGANG 30

E5. SJEKKLISTE/NØKKELSPØRSMÅL – KOMMUNIKASJON OG KONSULTASJON 32

 

 

For de fleste organisasjoner er det viktig å kartlegge følgende:

  • Hva forstår de forskjellige organisasjonsenhetene under oppside/nedside risikoene for sine respektive forretningsområder, og hvordan håndterer de disse?
  • Ut ifra de målsettinger som organisasjonen og de forskjellige organisasjonsenhetene har, hvordan identifiseres oppside/nedside risikoene for å oppnå de ønskede målsettingene?
  • Hvordan takler organisasjonene risikoer som for eksempel dårlige prestasjoner eller mangel på resultater som er avtalt og som de er ansvarlig for?
  • Hva er god praksis i håndteringen av oppside/nedside risiko?
  • Hvordan kan god praksis i oppside/nedside risikohåndtering og det å ta risiko, forsterkes på tvers av organisasjonen for å forbedre resultat, service og organisasjonens verdi.

 

Det er viktig å vurdere en rekke spørsmål før en setter opp et ERM-system, fordi det er umulig å forutsi nøyaktig hva som vil hende i fremtiden.

 

Disse spørsmålene inkluderer:

  • Har det blitt frigitt nok finansielle midler til å støtte opp om ERM-prosessen?
  • Hvilke oppside/nedside risikoer står organisasjonen ovenfor?
  • Hvor sensitive er organisasjonens strategier, markedsposisjon, finansielt resultat og andre kilder av verdi mht. disse oppside/nedside risikoene?
  • Hvilke av disse oppside/nedside risikoene kan forhindre organisasjonen i å nå sine mål?
  • Hvor kapabel er organisasjonen til å reagere på endrede forutsetninger og situasjoner?
  • Hva er organisasjonens positive og negative risikopreferanser?
  • Hva forlanger organisasjonen mht. risiko-/nytteavveininger?
  • Har organisasjonen nok kapital til å absorbere betydelige tap?

Organisasjonen må også være klar over og være bevisst på at hver type av oppside/nedside risiko har eiere (som kan være forskjellige).

Sjekklistene som finnes kan bli brukt som en hjelp til å identifisere de aspektene ved håndteringen av risiko som gjennomføres godt, og de som ikke blir støttet opp om på samme måte.  Vi gjør oppmerksom på at en risiko har både en oppside og en nedside og derfor vurderes konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

Vi har valgt å strukturere spørsmålene i følgende seksjoner:

 

Spørsmål som bør klarlegges i kontekstfasen (fase1):

  • Organisasjonens målsettinger.
  • Organisasjon og kultur.
  • Forståelse for oppside/nedside risiko og håndteringen av disse.
  • Tildeling av eierskap til oppside/nedside risiko.
  • Komponentene i ERM.
  • Et effektivt ERM-system og en effektiv ERM-prosess.
  • Annet.

 

 

Spørsmål som bør klarlegges i den sykliske ERM-kjerneprosessen er inndelt i fasene: 

  • Risikoidentifisering (fase 2).
  • Risikoanalysering (fase 3).
  • Risikoevaluering(fase 4).
  • Risikotiltak (fase 5).
  • Risikorapportering (fase 6).

Der risiko både vurderes positivt (mulighet) som negativt (trussel).

Deretter tar vi for oss fasene:

  • Risikohåndtering og -overvåking(fase 7)
  • ERMSystemEvaluering(fase 8).

Tilslutt tar vi for oss sjekklister spesielt for:

  • Kommunikasjon og konsultasjon.
  • Internrevisjonens gjennomganger.

 

E1. Sjekkliste/nøkkelspørsmål – konteksten (fase 1)

 

E1.1 Sjekkliste – Organisasjonens målsettinger

Her tar vi får oss organisasjonens overordnede målsettinger etablert gjennom organisasjonens forretningsplan, og i hvilken utstrekning disse målsettingene er klare og kommunisert rundt omkring i organisasjonen.  I tillegg tar vi opp spørsmål som er assosiert med de målene organisasjonen har mht. styring og håndtering av oppside/nedside risiko.  Det vil si hvordan organisasjonen forklarer hvorfor den tar på seg risikoer og hvorfor risikotiltak settes inn og hvordan den forfølger muligheter og setter inn tiltak.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1. Organisasjonens overordnede målsettinger er klare, og gjort kjent på en måte som er lette å forstå. ž ž ž

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
2. Effektiv risikohåndtering er viktig for å oppnå organisasjonens målsettinger. ž ž ž ž ž
3. Risiko ses på i organisasjonen som både en mulighet og en trussel for å nå organisasjonens målsettinger. ž ž ž ž ž
4. Prioriteter mht. organisasjonens forretningsmessige og policymessige målsettinger er klart artikulert. ž ž ž ž ž
5. Ansatte i organisasjonen forstår hvordan målsettingene og målene i organisasjonen knyttes opp mot deres individuelle enheter/områder. ž ž ž ž ž
6. Organisasjonens målsettinger og mål er klart kommunisert til alle ansatte i organisasjonen. ž ž ž ž ž
7. Minst en gang i året er det en prosess mht. vurdering av forbindelsen mellom organisasjonens mål og målsettinger med de ansattes personlige målsettinger. ž ž ž ž ž
8. Organisasjonens målsettinger vedrørende risikohåndtering er klare. ž ž ž ž ž
9. Hvis det er slik, hvilke dreier det seg om?  

 

E1.2 Sjekkliste – Opplæring og trening

 

Her tar vi for oss organisasjonens opplæring og trening i Enterprise Risk Management og hvordan organisasjonen ivaretar dette.

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1 Har organisasjonen bestemt kanalene for å levere opplæring i ERM? ž ž ž  
2 Har organisasjonen bestemte opplærings-/kommunikasjonskrav for ERM? ž ž ž  
3 Har organisasjonen bestemt sine målsettinger mht. ERM-opplæring? ž ž ž  
4 Har organisasjonen utviklet forretningsscenarioer som er realistiske for å bli brukt i ERM-opplæringen? ž ž ž  
5 Har organisasjonen ”coachet” eksterne konsulenter mht. de budskap de skal eller ikke skal levere i løpet av ERM-opplæringen?
Har organisasjonen brukt de “riktige” konsulentene med den “riktige” bakgrunnen?
žž žž žž  
6 Har organisasjonen verifisert hvem som skal få ERM-opplæring? ž ž ž  
7 Har organisasjonen utviklet en test for å sikre at ERM-opplæringen er effektiv og egner seg?
Har den identifisert forbedringsområder for fremtidig opplæring?
žž žž žž  
8 Har organisasjonen fattet beslutninger om belønninger for å fullføre den komplette ERM-opplæringen? ž ž ž  
9 Måler organisasjonen ERM-prosessens opplæringssuksess? ž ž ž  
10 Har organisasjonen utviklet nøkkel- policyer for å adressere håndhevelsen av disse målingene? ž ž ž  
11 Har organisasjonen definert en prosess for å dele suksesshistorier som et resultat av ERM-prosessen eller ERM-prosjektet? ž ž ž  
12 Har organisasjonen bestemt en prosess for å sørge for forslag for fremtidige forbedringer? ž ž ž  
13 Har organisasjonen definert en prosess for å lære opp nye ansatte i ERM? ž ž ž

 

E1.3 Sjekkliste – Organisasjon og kultur

Følgende spørsmål er relatert til organisasjonens kultur, og hvordan policyer og prosedyrer støtter opp om styring og håndtering av oppside/nedside risiko.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
1. Organisasjonen støtter opp om å ta risikoer for å nå organisasjonens målsettinger. ž ž ž ž ž
2. Organisasjonens kultur støtter opp om effektiv risikohåndtering. ž ž ž ž ž
3. Organisasjonens struktur støtter opp om effektiv risikohåndtering. ž ž ž ž ž
4. Organisasjonen støtter opp om nytenkning og innovasjon for å nå organisasjonens målsettinger.          
5. Organisasjonen er for forsiktig mht. de risikoene den står ovenfor. ž ž ž ž ž
6. Rapporterings- og kommunikasjonsprosesser i organisasjonen støtter opp om effektiv håndtering av risiko. ž ž ž ž ž
7. Rapporterings- og kommunikasjonsprosesser mellom ansatte i organisasjonen og dens topp- ledelse støtter opp om effektiv håndtering av risiko. ž ž ž ž ž
8. Organisasjonens seniorledere er mottaklig mht. kommunikasjon om risikoer, inklusiv dårlige nyheter. ž ž ž ž ž
9. Organisasjonen har en proaktiv holdning til det å ta risiko. ž ž ž ž ž
10. Organisasjonen har en kultur som er passiv til det å ta på seg risiko. ž ž ž ž ž
11. Personalsystemer støtter opp om håndtering av risiko gjennom å integrere håndtering av risiko med:          
11.1 De ansattes prestasjonsvurderinger. ž ž ž ž ž
11.2 Opplæring. ž ž ž ž ž
11.3 Kontinuerlig opplæring av personlige ferdigheter. ž ž ž ž ž
11.4 Disiplinære prosedyrer. ž ž ž ž ž

 

Nr Tekst Fortell kort om det her:
12. Hva hindrer organisasjonen i å ta risikoene den ønsker for å nå sine målsettinger?  
13. Hvilke incentiver kan introduseres for å oppmuntre til en proaktiv håndtering av risiko i organisasjonen?  
14. Hva er de tre hovedbarrierene for organisasjonen til effektivt å håndtere risikoer? 1.2.3.  

 

 

Nr Tekst Sett et kryss der du er enig
15. Lederne har vært igjennom opplæring i:  
15.1 Strategi mht. risikohåndtering. ž
15.2 ERM-prosessen. ž
15.3 Å ta risiko og se muligheter. ž

 

 

 

 

E1.4 Sjekkliste – Forståelse for risiko og risikohåndtering

I denne delen er spørsmålene rettet mot hva som er ment med risiko, hvordan organisasjonen bestemmer og kommuniserer risiko, organisasjonens tilnærming til risiko, forståelsen av risikotiltak og -håndtering og hvordan risikotiltak integreres i eksisterende ledelsesprosesser.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel)..

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1. Er det brukt en felles definisjon for risiko i organisasjonen? ž ž ž  

 

Nr Tekst Fortell kort om det her:
2. Hva forstår organisasjonen mht. uttrykket risiko?  
3. Hva forstår organisasjonen mht. uttrykket ERM
(Enterprise Risk Management)?
 
4. På hvilke aktivitetsområder foretas det risiko- håndtering?

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
5. Det er en klar policy fra ledelsen om ERM i organisasjonen. ž ž ž ž ž
6. Ansvaret for ERM i organisasjonen er klarlagt og forstått i organisasjonen. ž ž ž ž ž
7. Det er en felles forståelse av ERM på tvers av organisasjonen. ž ž ž ž ž
8. Å håndtere risiko er viktig for organisasjonens prestasjoner og suksess. ž ž ž ž ž

 

E1.5 Sjekkliste – Tildeling av risikoeierskap

 

I denne delen tar vi for oss organisering, ansvar, roller mht. ERM-system, ERM-prosess og de forskjellige risikoene.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker
1. Er det klart definert hvem som er ansvarlig for ERM-systemet? ž ž ž
2. Er det i ERM-prosessen blitt utpekt eiere for alle de forskjellige fasene (1 til 8)? ž ž ž
3. Er det utpekt eiere for ”ERMSystemEvaluering” ž ž ž
4. Er de forskjellige rollene og ansvar som er assosiert med eierskap godt definert? ž ž ž
5. Har de personene som har blitt tildelt eierskap autoritet og myndighet til å gjennomføre sitt ansvar? ž ž ž
6. Har de forskjellige rollene og ansvar blitt kommunisert og forstått i organisasjonen? ž ž ž
7. I tilfelle av et skifte der eierskap revurderes; kan det da bli raskt og effektivt tildelt på nytt? ž ž ž
8. Er forskjellen mellom nytte/risikoer klart forstått, og har hver type av risikoeiere som er i stand til å håndtere disse? ž ž ž

 

E1.6 Sjekkliste – Elementene i ERM-systemet

 

Hvilke av de følgende elementer i ERM-systemet er effektive i organisasjonen?:

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Meget
effektiv
Effektiv Verken
effektiv
eller
inn-
effektiv
Inn-
effektiv
Ikke til-
gjengelig
Ikke på plass
1. Effektiv kultur og organisasjon. ž ž ž ž ž ž
2. Hensiktmessig bruk av risiko- overvåkingsverktøy. ž ž ž ž ž ž
3. Klar knytning av risikoer mot organisasjonens mål og målsettinger. ž ž ž ž ž ž
4. Knytning av risikohåndtering mot individuell prestasjonsvurdering. ž ž ž ž ž ž
5. Klart definerte og kommuniserte policyer, prosedyrer, systemer og interne kontroller. ž ž ž ž ž ž
6. Ledelsens oppmerksomhet og fokus. ž ž ž ž ž ž
7. Regelmessige risikorapporter til ledere. ž ž ž ž ž ž
8. Identifisering av risiko- prioriteringer/nøkkelrisikoer. ž ž ž ž ž ž
9. Kvalitetsrapportering ved å bruke nøkkelindikatorer for å informere organisasjonen om ERM-saker og viktige trender. ž ž ž ž ž ž
10. Internrevisjonens vurdering og overvåking av alle nøkkelrisikoer som organisasjonen står ovenfor. ž ž ž ž ž ž
11. Internrevisjonens vurdering og overvåking av ERM-systemet.            
12. Hensiktmessig opplæring om risiko og risikohåndtering. ž ž ž ž ž ž

 

E1.7 Sjekkliste – Effektivt ERM-system og ERM- prosess

 

I denne delen tar vi for oss hvor effektive ERM-systemet og -prosessen er.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1. Er den organisasjonsmessige struktur for håndtering og kommunikasjon av risiko god? ž ž ž  
2. Støtter organisasjonens kultur opp om det å ta risikoer på en forsvarlig måte, og tenke nytt og innovativt? ž ž ž  
3. Finnes det en formell policy mht. risiko? ž ž ž  
4. Hvis, ja, er det klart dokumentert, gitt tilslutning av toppledelsen, seniorledere, og kommunisert til alle ansatte? ž ž ž  
5. Drives det en enhetlig og systematisk tilnærming av håndtering av risiko på alle nivåer i organisasjonen? ž ž ž  
6. Er det en klar definisjon av risiko som er forstått rundt omkring i organisasjonen? ž ž ž  
7. Er organisasjonen forpliktet til å sørge for at det nødvendige nivået på opplæring og personalets kunnskap og ferdigheter er til stede og oppdatert, for å sikre at de ansatte forstår og kan håndtere risikoer effektivt? ž ž ž  
8. Er toleranse til risiko forstått av ledere og anvendt konsekvent gjennom hele organisasjonen? ž ž ž  
9. Når risikoen(e) identifiseres, blir da risikoene overvåket og vurdert på alle nivåer i organisasjonen i tilstrekkelig grad? ž ž ž  

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
10. Organisasjonen kjenner sine styrker og svakheter mht. sitt eget ERM-system og
-prosess i forhold till andre organisasjoner
som den samarbeider med
ž ž ž ž ž

 

E1.8  Sjekkliste – Annet

I denne delen tar vi for oss forskjellige andre aspekter som ikke kan relateres direkte til de andre seksjonene.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1. Er organisasjonens helhetlige tilnærming til ERM mht. vurderinger for hele året og ved årets slutt, tilstrekkelig for organisasjonens forretninger og dennes spesifikke forpliktelser? ž ž ž  
2. Har organisasjonen brukt nok ressurser på ERM og dennes utvikling dette året? ž ž ž  
3. Er organisasjonens styringsgruppe klar over sitt ansvar mht. ERM? ž ž ž  
4. Eksisterer det en gruppe i organisasjonen med et overordnet ansvar for ERM? ž ž ž  
5. Eksisterer det en individuell person(CRO) med et overordnet ansvar for ERM? ž ž ž  
6. Har organisasjonen etablert klart hva som er deres høyeste nivå på deres risikoappetitt?Er dette reflektert i organisasjonens “kritiske” risikoportefølje?Er risikoporteføljen tilstrekkelig balansert? žžž žžž žžž  
7. Har organisasjonen forstått hva som er deres ”risikoaksept”(det er vanligvis minst totalsummen av aksepterte(”residual”) risikoene som er identifisert)? ž ž ž  
8. Har organisasjonen et formelt risikoregister eller en risikodatabank?Eksisterer det en tilstrekkelig prosess for evaluering av risikoregisteret/risikodatabasen og dennes innhold? žž žž žž  
9. Der det er hensiktmessig, har organisasjonen identifisert relevante “føre var” indikatorer for nøkkelrisikoer?Blir disse vurdert på et høyt nok hierarkisk beslutningsnivå innen organisasjonen? žž žž žž  
10. Har organisasjonen i tilstrekkelig grad vurdert både finansielle og ikke finansielle risikoer, dvs. renommé, bedrageri, helse miljø og sikkerhet, kontinuitet? ž ž ž  

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
11. Har organisasjonens kultur anerkjent verdien av ERM?·         Er styringsgruppen forpliktet?·         Er toppledelsen forpliktet?·         Er ledelsen forpliktet? žžžž žžžž žžžž  
12. Er organisasjonen i tilstrekkelig grad klar over organisasjonens tilbud om opplæring og guiding i ERM, og forventningene til ERM av styret og styringsgruppen for å hjelpe til med å sikre at disse forventningene blir møtt? ž ž ž  
13. Har organisasjonen etablert forskjellige tilnærminger til ERM for å ivareta forskjellige måter å håndtere forretninger på?
For eksempel tilbyr organisasjonen en meny med opsjoner innen et standardisert ERM-system?
žž žž žž  

 

Nr Tekst Fortell kort om det her:
14 Hvis du har eksempler på hvordan god ERM- praksis har vært gjennomført i organisasjonen som du tror kan være verdifullt så, kryss av her ž  
15 Hvis organisasjonen har vurdert sine risikoer, ERM-system og -prosess i de siste 12 månedene så sett et kryss her ž  

 

 

E2 ERM-kjerneprosessen (fase 2 – 6)

 

E2.1 Sjekkliste – Generelt ERM-prosessen

 

Her søker vi å få vite litt generelt om ERM-prosessen og -aktivitetene.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1.1 Eksisterer det en klar policy for ERM-prosessen? ž ž ž  
1.2 Har hensikten blitt knyttet direkte til konteksten og de mål som der har blitt satt? ž ž ž  
1.3 Har hensikten blitt vedtatt og klart kommunisert og evaluert regelmessig for å sikre at hensikten fremdeles er hensiktsmessig. ž ž ž  
1.4 Er forandringene som har blitt gjort mht. ERM-prosjektets mål blitt gitt som feedback inn i ERM-prosessen. ž ž ž  
1.5 Blir beslutningene som blir tatt på ERM-prosjektnivå dårlige fordi hensikten med risikoer som blir evaluert ikke er korrekt? ž ž ž  
1.6 Tar ERM-prosessen hensyn til alle forskjellige typer av risiko? ž ž ž  
1.7 Stimulerer ERM-prosessen beslutningsprosessen innen organisasjonen? ž ž ž  
1.8 Har organisasjonen brukt ERM-prosessen for å identifisere muligheter for å ta risiko? ž ž ž  

 

 

 


 

E2.2 Sjekkliste/nøkkelspørsmål – Risikoidentifisering (fase 2)

I denne fasen søker vi å få vite hvordan risikoer er identifisert og ansvaret for disse aktivitetene. 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
2.1 Organisasjonen identifiserer nøkkelrisikoene relatert til sine mål og målsettinger. ž ž ž ž ž
2.2 Forandringer i risiko fanges opp, og identifiseres når organisasjonens roller og ansvar skifter. ž ž ž ž ž

 

Nr Tekst Identifisering Kvantifisering
2.3 Hvem har ansvaret for identifisering og/eller kvantifisering av risikoer?:    
2.3.1 Direktør/toppleder. ž ž
2.3.2 Styret/styremedlemmer. ž ž
2.3.3 Finnansdirektør. ž ž
2.3.4 Internrevisjon. ž ž
2.3.5 Linjeleder. ž ž
2.3.6 Spesielle risikoledere. ž ž
2.3.7 Spesielle risikorapportører. ž ž
2.3.8 Alle ansatte. ž ž
2.3.9 Andre (spesifiser). ž ž

 

Nr Tekst Sett et kryss i de risikoer du mener organisasjonen identifiserer
2.4 Hvilke typer risiko identifiserer organisasjonen?:  
2.4.1 Strategiske risikoer.  For eksempel risiko som oppstår ut ifra policybeslutninger. ž
2.4.2 Mulighetsrisikoer.  For eksempel risikoer ut ifra muligheter som tapes for forbedring mht. organisasjons målsettinger. ž
2.4.3 Image- og renommérisikoer.  F.eks. risiko for å ødelegge organisasjonens troverdighet og rykte. ž
2.4.4 Personal risikoer.  F.eks. oppsigelse fra nøkkelmedarbeidere. ž
2.4.5 Metoderisikoer.  F.eks. risikoer som oppstår pga. nye arbeidsmetoder, hjemmekontor. ž
2.4.6 Finansiell risiko.  F.eks. risikoer som oppstår fra finansiering av finansielle prosjekter. ž
2.4.7 Mediedekningsrisikoer.  F.eks. risikoer mht. offentlig mediedekning som faller innenfor ditt ansvarsområde ž
2.4.8 Innkjøpsrisikoer.   F.eks. risikoer i forbindelse med leveranser. ž

 

Nr Tekst Sett et kryss i de risikoer du mener organisasjonen identifiserer
2.4.9 Pilotprosjektrisikoer.  F.eks. risikoer som oppstår i forbindelse med pilotprosjekter, risikoer for ikke å lære fra pilotprosjekter. ž
2.4.10 Operasjonell risiko.  F.eks. risiko assosiert med service. ž
2.4.11 Konformitetsrisikoer.  F.eks. risikoen med å feile mht. å møte standarder/lover/regler. ž
2.4.12 Prosjektrisikoer.  F.eks. risikoer for å introdusere nye systemer. ž
2.4.13 Andre (spesifiseres) ž

 

 

Nr Tekst Fortell kort om det her:
2.5 Hvordan rapporterer organisasjonen risikoer den har identifisert.  F.eks. i et risikoregister, en risiko- database?  
2.6 Hva er topp fem risikoene som kan true organisasjonens nøkkelmålsettinger i de neste
12 månedene?
1.2.3. 

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
2.7 Har et fullstendig og omfattende sett med risikoer blitt identifisert? ž ž ž  
2.8 Har det blitt adoptert en rekke hensiktmessige identifiserings-tilnærminger? ž ž ž  
2.9 Har organisasjonen identifisert og vurdert sine risikoer i tilstrekkelig grad, avhengig av hvor langt organisasjonen har kommet med sin ERM-prosess? ž ž ž  
2.10 Har det blitt tildelt ressurser for å identifisere risikoer? ž ž ž  
2.11 Har det blitt stilt tid til disposisjon for risikorapportørene til å gjøre sin del av jobben med å identifisere risikoer? ž ž ž  

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
2.12 Har risikorapportørene valgt ut risiko- faktorer(-drivere) som influerer på identifisering av risikoer?
Har de inkludert følgende?

  • Generell risikofaktortabell (eller en spesiell skreddersydd for organisasjonen).
  • En spesifikk risikofaktortabell for bestemte prosjekter/ organisasjonsenheter.
  • Læringseffekter fra tidligere.
  • Bruk av disse mht. å overvåke og evaluere resultatet av risiko- identifiseringen.
žžž žž žžž žž žžž žž   
2.13 Har organisasjonen identifisert sine nøkkelrisikoer på strategisk nivå? ž ž ž  
2.14 Er organisasjonens nøkkelrisikoer knyttet opp mot strategiske mål? ž ž ž  
2.15 Inkluderer risikoidentifiseringsfasen i tilstrekkelig grad deltagelse fra?:

  • Styret.
  • Toppledelsen.
  • Seniorledelsen.
  • Andre ledere.
  • Annet personal der det er hensiktmessig.
žžžžž žžžžž žžžžž  
2.16 Har organisasjonen tatt fornuftig hensyn til nøkkelrisikoene som er identifisert av andre samarbeidspartnere /interessegrupper?   F.eks. bransjeorganisasjon, finansinstitutter, miljøvernorganisasjoner, offentlige fora, institusjoner etc., og som organisasjonen er avhengige av. ž ž ž  
2.17 Følger oppmerksomhet og ansvar for organisasjonens nøkkelrisikoer og målsettinger organisasjonens hierarkiske struktur?  Dvs. om målsettingene og risikoene er iht. funksjoner, organisasjonsenheter, team, individuelle prosjekter etc.. ž ž ž  
2.18 Ut over nøkkelrisikoene, prøver organisasjonen å identifisere viktige risikoer knyttet til initiativer, funksjoner/team/enheter, prosjekter etc.?
Der risikoer identifiseres, blir disse knyttet opp mot organisasjonens målsettinger og risikoer på høyt nivå der dette er hensiktmessig?
žž žž žž  

 

E2.3 Sjekkliste/nøkkelspørsmål – Risikoanalyse (fase 3)

I denne fasen søker vi å få vite hvordan risikoer er kvantifisert og analysert.

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
3.1 Organisasjonen finner det vanskelig å analysere sine nøkkelrisikoer. ž ž ž ž ž
3.2 Organisasjonen finner det vanskelig å vurdere sannsynligheten av de risikoer som oppstår. ž ž ž ž ž
3.3 Organisasjonen finner det vanskelig å vurdere de potensielle konsekvensene av risikoene som oppstår. ž ž ž ž ž
3.4 Organisasjonen finner det vanskelig å kvantifisere de risikoene som oppstår. ž ž ž ž ž

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
3.5 Har de relevante risikoene blitt kvantifisert? ž ž ž  
3.6 For hver risiko som har blitt vurdert som høy er det her også skrevet spesifikt en skriftlig vurdering av disse? ž ž ž  
3.7 Har spesifikke risikoer blitt organisert i kategorier som støtter opp om analysen av sannsynlighet, konsekvens og utvikling av tiltak? ž ž ž  
3.8 Har risikoene blitt vurdert for å bestemme hvilke som krever videre analyser? ž ž ž  
3.9 Har hver risiko blitt tildelt en sannsynlighetsgrad for å inntreffe?
Har hver risiko blitt tildelt en konsekvensgrad, hvis risikoen oppstår?
žž žž žž  
3.10 Har risikonivået (= sannsynlighet x konsekvens) blitt kalkulert for hver risiko? ž ž ž  
3.11 Har CRO og risikorapportørene vurdert og integrert kommentarene fra interessegruppene/samarbeidspartnerne i workshopen? ž ž ž  
3.12 Hersker det tilstrekkelig forpliktelse på alle nivåer til prosessen med å analysere truslene? ž ž ž  
3.13 Er prosessen med å analysere truslene fleksible nok til å være i stand til å respondere på hurtige forandringer?  F.eks. IT løsninger som utvikles for raskt og som ikke er modne. ž ž ž  
3.14 Har organisasjon tilstrekkelig kunnskap, og besitter den de nødvendige ferdigheter for å gjennomføre de nødvendige analyser som er aktuelle? ž ž ž  

 

E2.4 Sjekkliste/nøkkelspørsmål – Risikoevaluering (fase 4)

 

I denne fasen søker vi å få vite hvordan risikoer er evaluert og prioritert.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
uenig
Enig Sterkt
enig
4.1 Følgende interessegrupper er viktige når organisasjonen står ovenfor evaluerte risikoer:          
4.1.1 Kunde. ž ž ž ž ž
4.1.2 Leverandør. ž ž ž ž ž
4.1.3 Bransje. ž ž ž ž ž
4.1.4 Ansatt. ž ž ž ž ž
4.1.5 Finansielle institusjoner. ž ž ž ž ž
4.1.6 Andre (spesifiser). ž ž ž ž ž
4.2 Organisasjonen finner det vanskelig å prioritere sine nøkkelrisikoer ž ž ž ž ž

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
4.3 Hersker det enighet om nivået på evalueringsanalysene som kreves for å støtte opp om beslutningsprosessen? ž ž ž  
4.4 Er det en korrelasjon mellom tidsbruken, anstrengelser og kostnader brukt på risikoidentifisering, risikoanalyse og risikoevaluering til vanskelighetene med å ta beslutninger, og finansieringen av risikotiltak? ž ž ž  
4.5 Er nivået på evalueringsanalysene, der det er mulig, i overensstemmelse med nivået på risikoene?  F.eks. blir ofte detaljerte vurderinger av sannsynligheter gjennomført for trusler som en vet har liten eller ingen innvirkning? ž ž ž  
4.6 Blir det tatt en konsekvent tilnærming for å vurdere potensiell konsekvens og sannsynlighet? ž ž ž  
4.7 Er det god forståelse om relasjonen mellom potensiell konsekvens og sannsynlighet for at risikoen inntreffer? ž ž ž  
4.8 Er den risikoinformasjonen som kreves kommunisert effektivt for å støtte opp om den nødvendige beslutningsprosessen på en tidsmessig og kostnadseffektiv måte? ž ž ž  
4.9 Er det en klar forståelse av forskjellen mellom et problem i styringsprosessen og risikoprosessen og sikring av en fornuftig måte å transferere fra den ene til den andre? ž ž ž  

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
4.10 Er det en forståelse og forpliktelse mht. nivået for akseptabel risiko, dvs. risiko- toleranse og villighet til å ta på seg risiko, og egnetheten til å kommunisere dette?
Reflekterer dette potensielle fordeler?
žž žž žž  
4.11 Har organisasjon tilstrekkelig kunnskap, og besitter den de nødvendige ferdigheter for å gjennomføre de nødvendige evalueringsanalyser som er aktuelle? ž ž ž  
4.12 Har det vært fokusert ekstra på risikoer pga. kommersielle, politiske eller individuelle grunner? ž ž ž  
4.13 Hersker det tilstrekkelig forpliktelse på alle nivåer til prosessen med å evaluere og prioritere truslene? ž ž ž  
4.14 Er prosessen med å evaluere og prioritere truslene fleksible nok til å være i stand til å respondere på hurtige forandringer?  F.eks. IT løsninger som utvikles for raskt og som ikke er modne. ž ž ž  
4.15 Er risikoene prioritert?Hvis dette er tilfelle, er det tatt hensyn til:Sannsynligheten for å inntreffe?Konsekvensene hvis hendelsen inntreffer?”Timing” mht. virkning (umiddelbart, middelfristig eller litt senere)?Potensiell verdi (pengemessig eller ikke pengemessig)?(Alt dette bør vurderes før tiltak settes inn.) žžžžž žžžžž žžžžž  
4.16 Har risikoene blitt prioritert mht. viktighet, og blitt enige om i et team i workshopen?
Har samarbeidspartnere /interessegrupper blitt involvert for å kommentere listen?
žž žž žž  
4.17 Har organisasjonen prioritert sine nøkkelrisikoer på strategisk nivå? ž ž ž  

 

Nr Tekst Fortell kort om det her:
4.18 Hvor ofte evaluerer organisasjonen de overordnede risikoer for å nå sine målsettinger?  
4.19 Hvilke verktøy og teknikker brukes for å evaluere risikoer i organisasjonen?  

 

Nr. Tekst Sett et kryss der du er enig Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
4.20 Organisasjonen prioriterer og måler sine risikoer mht.:    
4.20.1 Finansiell konsekvens. ž  
4.20.2 Konsekvens på image og rykte. ž  
4.20.3 Sannsynlighet for å inntreffe. ž  
4.20.4 Oppnåelse av målsettinger. ž  
4.20.5 Andre(spesifiser). ž  

 

Nr. Tekst Økt Minket Ikke forandret Ikke
sikker
Kommentar
4.21 Har i de siste 5 årene nivået på risiko som organisasjonen står ovenfor … ž ž ž ž  

 

 E2.5 Sjekkliste/nøkkelspørsmål – Risikotiltak (fase5)

 

I denne fasen prøver spørsmålene å fange opp risikotiltakene som organisasjonen adresserer.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
Uenig
Enig Sterkt
uenig
5.1 Organisasjonen samler risikoer for beslutning om hvilke tiltak som må treffes. ž ž ž ž ž
5.2 Organisasjonens risikotiltaksprosedyrer er dokumentert og gir hjelp for de ansatte med å treffe risikotiltak. ž ž ž ž ž
5.3 Overvåking av brukbarheten av risikotiltak er en eksplisitt integrert del av rutine- rapporterings- og ledelsesprosessene. ž ž ž ž ž
5.4 Organisasjonen har vurdert behovet for bruk av kompetanse/kapasitet for å treffe risikotiltak. ž ž ž ž ž
5.5 Viktigheten av å treffe risikotiltak er blitt kommunisert på kryss og tvers i organisasjonen. ž ž ž ž ž

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
5.6 Har tiltakene som er anbefalt blitt vurdert mht. kostnads-/nytteeffekt av tiltaket(ene)? ž ž ž  
5.7 Har tiltakene som er anbefalt blitt vurdert mht. tilgjengelige alternative fremgangsmåter? ž ž ž  
5.8 Har tiltakene som er anbefalt blitt vurdert mht. effektiviteten for risikoreduksjon eller utnyttelse av muligheter? ž ž ž  
5.9 Har risikoene en hensiktmessig beskrivelse og forstås de fullt ut? ž ž ž  
5.10 Har risikoen blitt vurdert for å se hvilke behov som må takles først? ž ž ž  
5.11 Har det vært en klar tildeling av ansvarlighet og eierskap mht. tiltak, beslutninger etc. også mht. nødvendig tidsbruk for fullførelse og evaluering? ž ž ž  
5.12 Har organisasjonen en mekanisme på plass for å overvåke og rapportere om brukbarheten og effektiviteten av tiltakene som foretas (se overvåking og rapportering)? ž ž ž  
5.13 Har organisasjonen tatt nok hensyn til behandlingen av residualrisikoene?·         For organisasjonens
nøkkelrisikoer?

  • For andre risikoer?
žžž žžž žžž  

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
5.14 Har alle residualrisikoene formelt blitt tatt i betraktning for nøkkelrisikoer mht. kompabilitet i forhold til organisasjonens formulerte risikoappetitt?Har organisasjonen vurdert hvordan residualrisikoene bør håndteres?
Dvs. bør de bli:

  • Tolerert/fullt ut akseptert uten overvåking.
  • Tolerert/fullt ut akseptert med overvåking.
  • Gjort til gjenstand for ytterligere betraktninger eller vurdert periodisk.
  • Overført, dvs. forsikret eller overført til tredje part.
  • Gjort til gjenstand for ytterligere aksjoner for å beholde risikoen på et akseptert nivå.
  • Gjort til gjenstand for etablering av “føre var” indikator (nøkkel risikoindikator).
  • Avslutte, dvs. aktiviteten betraktes som for risikofylt til å fortsette.
žž  ž  ž ž ž  

ž

 

 

 

ž

 

 

ž

 

žž  ž  ž ž ž  

ž

 

 

 

ž

 

 

ž

žž  ž  ž ž ž  

ž

 

 

 

ž

 

 

ž

 
5.15 Har det blitt viet nok oppmerksomhet til residualrisikoene i forhold til andre “ikke” nøkkelrisikoområder på tvers av organisasjonen, der dette er hensiktmessig? ž ž ž  
5.16 Er det blitt identifisert en kontinuitetsplan,(ofte omtalt som ”business continuity plan”, kriseplan, katastrofeplan) for bestemte risikoer? ž ž ž  
5.17 Har alle kontinuitetsplaner,( ”business continuity” planer, kriseplaner, katastrofeplaner”) blitt dokumentert, og inkluderer disse forventede kostnader i tid og penger. ž ž ž  
5.18 Er det enighet i organisasjonens ledelse om ansvar og bruk av en kontinuitetsplan,(”business continuity” plan, kriseplan, katastrofeplan)? ž ž ž  

 

 

E2.6 Sjekkliste/nøkkelspørsmål – Risikorapportering (fase 6)

 

I denne fasen prøver spørsmålene å fange opp hvordan organisasjonen rapporterer sine risikoer. Konsekvensene av en risiko er både positiv (mulighet) og negativ (trussel).

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
Uenig
Enig Sterkt
uenig
6.1 Organisasjonen har prosedyrer for rapportering av risiko. ž ž ž ž ž
6.2 Forandringer mht. organisasjonens risikoer er identifisert, kvantifisert, vurdert og rapportert på kontinuerlig basis og likeledes mht. deres virkning på målsettingene. ž ž ž ž ž
6.3 Organisasjonen har en klar definert policy og prosess for rapporteringen av risikoforandringer, uhell og manglende kontroll når de oppstår. ž ž ž ž ž

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
6.4 Gir rapporteringsprosessen styret, ledelsen, CRO, risikorapportører, internrevisjon, andre ansatte og interessegruppene nok informasjon om risiko og kontroll til å være i stand til å gjøre de nødvendige beretninger i det årlige regnskapet? ž ž ž  
6.5 Finnes det formelle risikorapporterings- prosedyrer/retningslinjer?:

  • For styringsgrupper og intern revisjon?
  • For ledelsen?

 

Er disse hensiktmessige?

žžžž žžžž žžžž  
6.6 Vurderes og oppdateres risikoens og nøkkelrisikoene status regelmessig for å forsikre seg om at disse er under kontroll? ž ž ž  
6.7 Blir ”topprisikolisten” vurdert og oppdatert regelmessig? ž ž ž  
6.8 Blir ”topprisikolisten” spredd til de riktige folkene i organisasjonen? ž ž ž  
6.9 Er risiko og risikohåndtering adressert på en hensiktmessig måte?:

  • Styringsgrupperapporter fra internrevisjon?
  • Ledelsesrapporter?
žžž žžž žžž  

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
6.10 For hver risiko som går ut over definerte verdier, har her det riktige ledelsesnivået godkjent iverksettelsen av kontinuitetsplanen,(”Business Continuity” planen, kriseplanen, katastrofeplanen) ž ž ž  
6.11 Har det blitt forbredt en risikostatus- rapport for å få spredd avanserte informasjonsvurderinger (og andre som er hensiktmessige)? ž ž ž  
6.12 Har prosesser for å akseptere og rapportere tilleggsrisikoer i organisasjonen blitt fulgt? ž ž ž  
6.13 Der det er hensiktmessig, har det blitt rapportert “føre var” indikatorer til ledelsen?:

  • Innenfor regulære ledelses- og informasjonsrapporter?
  • Tilstrekkelig ofte?

 

ž
žž
ž
žž
ž
žž
 
6.14 Er det på plass hensiktmessige rapporteringsrutiner med ansvarlighet(dvs. hvordan disse skal brukes, når og av hvem som eier av prosessen)? ž ž ž  
6.15 Er nivået på forpliktelse mht. rapporteringsprosessen, tilstrekkelig eller er det mangel på forpliktelse? ž ž ž  
6.16 Når det vurderes og rapporteres brukbarhet og effektivitet, er vurderingene bygget mer på fakta enn spekulative? ž ž ž  
6.17 Kan vi stole på nøyaktigheten av rapporteringen? ž ž ž  
6.18 Er det oppnådd hensiktmessig eierskap til statusrapporteringsmekanismer (dvs., hvordan de vil bli brukt, når og av hvem som eiere av prosessen)? ž ž ž  

 

 

 


 

E3 Sjekkliste/nøkkelspørsmål – Risikohåndtering og overvåking (fase 7)

 

I denne fasen prøver spørsmålene å fange opp hvordan organisasjonen håndterer og overvåker ledelsesaktivitetene og risikoene.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ta beslutninger Overvåking og rapportering
7.1 Hvem tar beslutninger om hvordan risikoene skal håndteres som organisasjonen står ovenfor, og hvem overvåker og rapporterer risiko?    
7.1.1 Direktør/toppleder. ž ž
7.1.2 Styret/styremedlemmer. ž ž
7.1.3 Finnsdirektør. ž ž
7.1.4 Linjeleder. ž ž
7.1.5 Risikoleder. ž ž
7.1.6 Risikorapportør. ž ž
7.1.7 Internrevisjon. ž ž
7.1.8 CRO. ž ž
7.1.9 Alle ansatte. ž ž
7.1.10 Andre (spesifiser). ž ž

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
Uenig
Enig Sterkt
uenig
7.2 Organisasjonen overvåker og vurderer risikoene mht. å oppnå sine målsettinger. ž ž ž ž ž
7.3 Organisasjonen vurderer rutinemessig brukbarheten av kontrollene som er på plass for å håndtere risikoer. ž ž ž ž ž
7.4 Organisasjonen finner det vanskelig å overvåke forandringer mht profilen på risikoer den står ovenfor. ž ž ž ž ž
7.5 Organisasjonens risikohåndteringsprosedyrer er dokumentert og gir hjelp for de ansatte med å håndtere risikoer. ž ž ž ž ž
7.6 Organisasjonen respons på risiko inkluderer:          
7.6.1 En evaluering av brukbarheten av eksisterende kontroller og risikohåndteringsrespons. ž ž ž ž ž
7.6.2 Håndterings-/aksjonsplan for å iverksette beslutninger om identifiserte risikoer. ž ž ž ž ž
7.6.3 En vurdering av kostnader og nytte av å adressere og håndtere risikoer. ž ž ž ž ž
7.6.4 Prioritering av risikoer som trenger aktiv håndtering. ž ž ž ž ž
7.6.5 Andre (spesifiser). ž ž ž ž ž
7.7 Ledere i organisasjonen forstår risikoene som den står ovenfor som de er ansvarlige for å håndtere. ž ž ž ž ž

 

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
Uenig
Enig Sterkt
uenig
7.8 Overvåking av brukbarheten av risiko- håndtering/risikorespons er en eksplisitt integrert del av rapporteringsrutinene og ledelsesprosessene. ž ž ž ž ž
7.9 Organisasjonen har vurdert behovet for bruk av kompetanse/kapasitet for håndtering og overvåking av risikoer. ž ž ž ž ž
7.10 Viktigheten av risikohåndtering og -kontroll er blitt kommunisert på kryss og tvers i organisasjonen. ž ž ž ž ž
7.11 Organisasjonens utøvende ledere vurderer regelmessig organisasjonens prestasjoner i å håndtere sine forretningsmessige risikoer. ž ž ž ž ž

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
7.12 Har organisasjonen mekanismer på plass for å overvåke hensiktsmessigheten av prosesser som er nødvendige for å sikre at kulturelle, politiske og personal press ikke hindrer sannferdig representasjon av statusen vedrørende høyt profilerte risikoer? ž ž ž  
7.13 Er det identifisert i ERM-planen når effektiviteten og brukbarheten av ERM-håndteringen og overvåkingen skal evalueres? ž ž ž  
7.14 Er det organisert vurderingssesjon(er), der de “riktige” folkene er invitert til å delta?
Har resultatene av dette blitt rapportert?
žž žž žž  
7.15 Har ERM aktivitetene blitt vurdert?
Inkluderer resultatene i det minste følgende:

  • Risikoer som ble oppdaget har blitt håndtert med suksess.
  • Kostnader og anstrengelser mht. risikohåndteringsaktiviteter.
  • Kostnader og anstrengelser mht. kontinuitetsplaner(”business continuity plan’er, kriseplaner, katastrofeplanen).

 

žžž  ž žž  ž   žž  ž    

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
7.16 Ble det i løpet av overvåkingssesjonen identifisert noen iverksettelsesproblemer fra deltakerne? ž ž ž  
7.17 Ble det identifisert noe form for læring mht. ERM-prosessen?
Saker av interesse burde inkludert:

  • Håndteringsaktiviteter som var effektive
  • Kontinuitetsaksjoner som organisasjonen lykkes med.
  • Forandringer mht. inneffektive håndteringsaktiviteter.
žžž ž žžž ž žžž ž  
7.18 Ble forandringer identifisert mht. risiko- faktorer til bruk i fremtiden?
Inkluderer resultatene i det minste følgende:

  • Nye faktorer som bør inkluderes i en hensiktmessig risikofaktor- tabell
  • Risikofaktorer som kan fjernes fra tabellen
  • Forandringer i risikomatrisen mht. høy, vesentlig, moderat og lav risiko
žž ž ž žž ž ž žž ž ž  
7.19 Ble resultatene av analysene integrert i risikofaktortabellen og ERM-prosessen? ž ž ž  
7.20 Blir resultatene av risikoanalysene spredd i organisasjonen? ž ž ž  
7.21 Har organisasjonen på plass mekanismer for å overvåke tilstrekkeligheten av prosesser som forlanges for å sikre at kulturelt, politisk og personlig press ikke skal hindre sannferdig representasjon av status vedrørende høyt profilerte risikoer? ž ž ž  
7.22 Inkluderer organisasjonen ERM i sine planleggings- og operasjonelle prosesser i tilstrekkelig grad? ž ž ž  
7.23 Tar de følgende dokumenter i tilstrekkelig grad hensyn til risikostyring og håndtering?:·         Dokument for delegering.·         Finansielle reguleringer.·         Budsjetteiers guide.·         Prosjektleders guide? žžžž žžžž žžžž  

 

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
7.24 Finnes det formelle risikoovervåkings- prosedyrer/retningslinjer?:

  • For styringsgrupper og intern- revisjon?
  • For ledelsen?

Er disse hensiktmessige?

žžž ž žžž ž žžž ž  
7.25 Har styringsgruppen brukt mye tid spesielt på risikorelaterte temaer de siste 12 månedene? ž ž ž  
7.26 Har den påfølgende håndteringen av risiko blitt fastlagt? ž ž ž  
7.27 Organisasjonen vurderer tilstrekkeligheten mht. håndteringen av risikoer gjennom overvåkings- og kontrollmekanismer? ž ž ž  
7.28 Er det noen egenkontroll av risiko- evalueringsprosesser på plass for å sikre at risikoer på høyt og lavt nivå blir håndtert? ž ž ž  
7.29 Eksisterer det en håndterings- og aksjonsplan for hver risiko som skal håndteres?For hver risiko som skal håndteres, har det blitt estimert hvilke anstrengelser/kostnader som vil påløpe mht. håndterings- og aksjonsplanen? žž žž žž  
7.30 Er ansvaret klart mht. overvåking av individuelle nøkkelrisikoer?(Ideelt bør den som har ansvaret for en målsetting være ansvarlig for de risikoene som assosierer med målsettingen.  Der en risiko influerer på flere målsettinger bør ansvaret tildeles til den personen som er mest hensiktmessig). ž ž ž  
7.31 For hver planlagte risikohåndterings- aksjon er her fremgangen i håndteringsprosessen i tråd med det som er planlagt? ž ž ž  

 


 

E4 Sjekklister – ERMSystemEvaluering(ERMSE) og gjennomgang  (fase 8)

 

E4.1 Sjekkliste/nøkkelspørsmål – ”ERMSystemEvaluering”

I denne fasen foretas det en evaluering av ERM-systemet ved hjelp av en rekke spørsmål. Dette har vi kalt ”ERMSystemEvaluering” (ERMSE). Se vedlegg D for nærmere detaljer.

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

 

E4.2 Sjekkliste – Internrevisjonens gjennomgang

Her finnes en rekke spørsmål, som det er naturlig at internrevisjonen stiller mht. sine kontroller.

 

Nr. Tekst Sterkt
uenig
Uenig Verken
enig eller
Uenig
Enig Sterkt
uenig
1. Internrevisjon rapporter til senior ledere for alle typer risikoer. ž ž ž ž ž

 

Nr Tekst Ja Nei Ikke sikker Bevis kunnskap/ kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
2. Har internrevisjonen forandret sin revisjonstilnærming som et resultat av fokuset på risikostyring og -håndtering mot nye standarder for risikostyring og
-håndtering og “god praksis”?
ž ž ž  
3. Har internrevisjonen foretatt noen revisjoner av nøkkelrisikoer som del av sin revisjonsstrategi?
Har de sakene som her er avdekket blitt rapportert til styringskomiteen for ERM, eller toppledelsen der dette er hensiktmessig?
žž žž žž  
4. Involveres eksternrevisor i ERM-prosessen?
Bidrar de til ”feedbackmekanismer”?
žž žž žž  
5. Rapporterer internrevisjon spesifikt om kontroller i forhold til risikoer? ž ž ž  
6. Er internrevisjonens rolle i ERM-prosessen tilstrekkelig forstått av styringsgruppen, ledere og revisorer?        
7. Er organisasjonens internrevisjon/ revisjonskomité fornøyd med tilnærmingen til ERM? ž ž ž  

 

Nr Tekst Ja Nei Ikke sikker Bevis kunnskap/ kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
8. Har organisasjonen og internrevisjon i tilstrekkelig grad betraktet ERM i sin vurdering av interne kontrolltiltak i eventuelle datterselskaper, ”Joint Ventures”, partnere? ž ž ž  
9. Finnes det formelle risikorapporterings- og overvåkingsprosedyrer/retningslinjer for internrevisjon?
Er disse hensiktmessige?
žž žž žž  
10. Er det noen som helst kontroller, for eksempel håndteringskontroller for nøkkelrisikoer, som etter internrevisjonens og ledelsens mening ikke fullstendig er integrert i organisasjonens forretningsprosesser? ž ž ž  

 

E5 Sjekkliste/nøkkelspørsmål – Kommunikasjon og konsultasjon 

Alle organisasjoner har sin egen mye brukte og aksepterte kanaler og strategier for kommunikasjon.  Dette verktøyet har som mål å hjelpe personene i organisasjonen til å identifisere eksisterende kommunikasjonsstrategier som brukes i organisasjonen, så vel som å vurdere og integrere nye strategier for kommunikasjon.

Formen på kommunikasjonen som er i bruk vil være avhengig av størrelsen på organisasjonen og målsettingen med kommunikasjonen.  Forskjellig kommunikasjons- strategier kan være hensiktmessig til forskjellig “publikum” og i løpet av forskjellige faser i ERM-prosessen.  Hver strategi kan oppnå et eller flere mål.

 

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Nr Tekst Ja Nei Ikke sikker Bevis/kunnskap/kommentarer/evalueringer/ideer for å forbedre nåværende ERM-prosess
1 Har organisasjonen definert en liste med interessegrupper og utviklet en plan for kommunisering med disse? ž ž ž  
2 Har organisasjonen bestemt regelmessige intervaller for sin kommunikasjon med interessegruppene? ž ž ž  
3 Har organisasjonen bestemt regelmessige intervaller for sin kommunikasjon med personell internt? ž ž ž  
4 Har organisasjonen bestemt prefererte kanaler for kommunikasjon? ž ž ž  
5 Har organisasjonen bestemt en måte å håndtere oppfølgingsspørsmål etter at informasjon er gått ut? ž ž ž  
6 Har organisasjonen bestemt en prosess for oppfølgingskommunikasjon? ž ž ž  
7 Har informasjonene som er nødvendige å kommunisere blitt identifisert, i så henseende til hvem, hvor, når og hvordan? ž ž ž  

 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg


Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

 

DSCF0371_j

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

 

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE  v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii
FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii
HVA ER UTFORDRINGENE MED ERM xv
ORGANISERING AV ERM-HÅNDBØKENE xvii
INNLEDNING

1. ETABLERING AV KONTEKST 4

1.1 FRA TANKE TIL HANDLING 4
1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5
1.2.1 STYRET 5
1.2.2 STYRINGSGRUPPEN 5
1.2.3 FORPROSJEKTGRUPPEN 6
1.2.4 PROSJEKTGRUPPEN 6
1.2.5 LINJEN 7
1.3 OVERBLIKK OVER ERM-PROSJEKTET 7
1.4 DEFINERE MANDAT OG MÅLSETNINGER 9
1.4.1 STYRET 9
1.4.2 STYRINGSGRUPPEN 10
1.4.3 FORPROSJEKTGRUPPEN 11
1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12
1.5.1 STYRENDE DOKUMENTER (POLICYER) 12
1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12
1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13
1.7 STYRETS FORMALISERING AV PROSJEKTET 14
1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15
1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16
1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16
1.8.3 PERSONELLBEHOV 17
1.8.4 DELTAKERE PÅ EN WORKSHOP 18
1.8.5 TILPASSE STYRENDE DOKUMENTER 19
1.8.6 VALG AV VERKTØY OG METODER 22
1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28
1.8.8 OPPLÆRING 29
1.8.9 KULTUR OG ERM-MILJØ 31
1.8.10 KOORDINERING MED ANDRE PROSESSER 32
1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33
1.8.12 GRENSESNITT MOT HVERDAGEN 33
1.9 OPPSUMMERING 34

2. KJERNEPROSESSEN 37

2.1 ”WORKSHOP”-PROSEDYREN 37
2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38
2.2 IDENTIFISERING 41
2.2.1 RISIKOANALYSESKJEMA 43
2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46
2.2.3 OPPSUMMERING 47
2.3 ANALYSE 48
2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48
2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51
2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53
2.3.4 OPPSUMMERING 55
2.4 EVALUERING 56
2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58
2.4.2 OPPSUMMERING 60
2.5 TILTAK 61
2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61
2.5.2 TILTAKSKOSTNADER 63
2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64
2.5.4 OPPSUMMERING 65
2.6 RAPPORTERING 66
2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66
2.6.2 HVEM RAPPORTERES DET TIL? 66
2.6.3 HVA RAPPORTERES? 67
2.6.4 NÅR RAPPORTERES DET? 68
2.6.5 HVORDAN RAPPORTERS DET? 70
2.6.6 OPPSUMMERING 72
2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73
2.8 OPPSUMMERING 75

3. HÅNDTERING OG OVERVÅKING 78

3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78
3.2 PROAKTIV RISIKOHÅNDTERING 79
3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79
3.2.2 PRIORITERING OG DELEGERING 80
3.3 REAKTIV RISIKOHÅNDTERING 81
3.4 OPPSUMMERING 82

4. SYSTEMEVALUERING OG GODKJENNING 84

4.1 CRO/CRM’S KONTROLLER 84
4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84
4.1.2 METODE FOR ERMSE 86
4.2 INTERNREVISJONENS KONTROLLER 94
4.2.1 FORMÅL 94
4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94
4.3 OPPSUMMERING 95

5. KOMMUNIKASJON OG KONSULTASJON 97

5.1 INFORMASJON TIL ERM-SYSTEMET 98
5.2 INFORMASJON FRA ERM-SYSTEMET 98
5.3 OPPSUMMERING 99

6. VEDLIKEHOLD AV KONTEKST 101

6.1 ERM-PLANEN/-PROGRAMMET 101
6.2 OPPSUMMERING 102

7. STIKKORDSREGISTER 104
8. VEDLEGGSOVERSIKT 106

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com  eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

 

100_4262

 

VEDLEGGSOVERSIKT GUIDE B

 


Vedlegg
Tekst Guide A Guide B  
Vedlegg A Risikokategoriseringsmodellen   X
Vedlegg B Risikopolicy i «Vår Organisasjon»   X
Vedlegg C Mandat ERM   X
Vedlegg D1 Eksempler på skjematur for
ERM-SystemEvaluering (ERMSE)
  X
Vedlegg D2 Vurderingskriterier/karakterskala (skala 1-5) for ERMSE   X
Vedlegg D3 Spørreskjema A ERMSE   X
Vedlegg D4 Spørreskjema Del B. ERMSE . Eksisterende elementer i ERM-systemet   X
Vedlegg E Sjekklister/spørsmål    X
Vedlegg F1 Workshop   X
Vedlegg F2 Enkelt Risikospørreskjema   X
Vedlegg F3 Alternativt risikospørreskjema   X
Vedlegg F4 Risikotiltak   X
Vedlegg F5 Rapporter   X
Vedlegg F6 Håndtering og overvåking   X
Vedlegg F7 Vedlikehold av kontekst   X
Vedlegg G Nøkkelreferanser/standarder X X
Vedlegg H
Vedlegg I
ISO 31000:2009 Risikoledelse
Ordforklaringer 
X
X
X
X
Vedlegg J Litteratur X X
Vedlegg K1 Tabeller og figurer i Guide A. X  
Vedlegg K2 Tabeller og figurer i Guide B   X
Vedlegg L1 Innhold Guide A Bakgrunn, behov, ERM-systemet og – prosesser.   X
Vedlegg L2 Innhold Guide B – Gjennomføring og praktisk iverksettelse X  

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: