ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide B – Gjennomføring og praktisk
iverksettelse
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul B8 Vedleggsoversikt
VEDLEGGSOVERSIKT GUIDE B
Guide B Modul B8 Vedlegg G Nøkkelreferanser/standarder
| INNHOLDSFORTEGNELSEN G. NØKKELREFERANSER/STANDARDER 2 G1 HVA KAN STANDARDER BRUKES TIL? 2 G2 ISO 31000:2009 3 G3 BS 31000:2008 3 G4 COSO II 4 G5 AS/NZS/ISO 31000:2009 4 G6 FERMA 5 G7 BASEL II/III OG SOLVENCY II 5 G8 DELVISE RAMMEVERK 6 |
Risk Management (RisikoLedelse) er en hurtig voksende disiplin, og det er mange forskjellige synspunkter om beskrivelser av hva Risk Management (RisikoLedelse) omfatter, hvordan prosessen bør gjennomføres, og hva formålet er.
Det er verdt å merke seg at Risk Management oversatt til norsk vil si RisikoLedelse og ikke oversettelsen RisikoStyring som svært mange norske risikomiljøer benytter, men ikke svenske og danske risikomiljøer som benytter den riktige oversettelsen RisikoLedelse ).
Risk Management (RisikoLedelse) er en del av styrets og ledelsens filosofi og ledelsesverktøy .
Dessuten går det om både oppsiden og nedsiden av en risiko, og ikke kun nedsiden som det i svært mange norske risikomiljøer ensidig er fokus på. Dvs. konsekvensene av en risiko kan både være positiv (mulighet) og negativ (trussel). Dvs. det handler om innovasjon og nytenkning.
Se forøvrig Guide A og B for nærmere informasjon om forskjellen på RisikoLedelse og RisikoStyring.
Det er et klart behov for en felles standard for å sikre, at det er enighet om:
|
Vesentlig er det, at standarden anerkjenner, at det både er positive og negative aspekter ved en risiko.
G1 Hva kan standarder brukes til?
Standarder kan være en god måte å finne ut hva som er god eller beste praksis på et område.
|
Våre håndbøker har så vidt det er mulig brukt terminologien som “International Organization for Standardization (ISO)” har sammenfattet i sitt dokument i ISO 31000:2009 og den tilhørende ISO Guide 73:2009. Imidlertid er det viktig, også rent historisk, å peke på en rekke ERM-rammeverk som ellers florerer, og også delvise rammeverk.
Noen standarder, slike som ERM-standarder er ikke obligatorisk, eller blir benyttet til sertifisering. Imidlertid, ved å handle i overensstemmelse med disse standardene demonstrerer organisasjonen at de følger beste praksis. Når en organisasjon praktiserer et ERM-system/-rammeverk, og standarder, kan de også implementere ERM mer effektivt og forberede aspekter innenfor ERM som kan bli obligatoriske.
ERM-prosessen som organisasjonen praktiserer har blitt gjenstand for økt regulatorisk og privat granskning, fordi risikoer stimulerer vekst og muligheter (oppsiden) som den potensielle nedsiden av tap. ERM-rammeverk og standarder gir en organisasjon tilnærminger for å identifisere, analysere, evaluere, velge tiltak og overvåke risikoer innen den interne og eksterne konteksten som den opererer i. Overensstemmelse med den antatt beste praksis representert av ERM-rammeverkene og standardene demonstrerer at en organisasjon håndterer risiko på en hensiktsmessig måte.
| Hvordan en organisasjon praktiserer eksterne rammeverk og standarder avhenger av dennes natur. Noen ERM-rammeverk og standarder (ISO 31000:2009, BS 31100, ISO AS/NZS:2009, FERMA og COSO II) er ikke obligatoriske uten at en klient eller kunde kontraktsmessig forlanger det. De er imidlertid ansett som beste praksis for implementering av risikoledelse.Andre rammeverk/system forlanges. For eksempel må offentlig selskaper som er på børs i USA, handle i henhold til Sarbanes Oxley Act fra 2002 (SOX). På samme måte må europeiske banker handle i henhold til Basel II. Nå også Basel III, mens europeiske organisasjoner må handle i henhold til Solvency II. |
G1 ISO 31000:2009
ISO 31000:2009 er en publikasjon som ble utgitt i november 2009 av den internasjonale organisasjonen for standardisering, en organisasjon som etablerer internasjonale standarder på mange forskjellig forretningsmessige områder. Dette inkluderer retningslinjer og prinsipper for å implementere risikoledelse og blir støttet opp om ved hjelp av vokabular og dokumenter som beskriver implementeringsmetoder.
ISO 31000:2009 gjør en internasjonal standard for risikoledelse tilgjengelig, likeså som en vanlig tilnærming til risikoledelse som er gjeldende innen alle bransjer. Den fokuserer på vanlig aksepterte prinsipper. Møte bestemte mål, målsettinger og viktigheten av kommunikasjon om oppside/nedside risikoer. Samlet vektlegger standarden at risikoledelse er integrert i en organisasjons strukturer, strategier og mål.
ISO 31000:2009 inneholder tre hoveddeler: Prinsipper, rammeverk, og prosesser for å håndtere risikoer.
Prinsippene er rotfestet i risikoledelse, er konstruert for å generere verdi, skanner kontinuerlig og reagerer på foranringer omgivelsene.
Rammeverket inneholder elementer basert på utformingen av risikoledelsesprogram/-plan, implementering og overvåking. Prosessene som er nødvendige for risikoledelse vektlegger betydningen av kommunikasjon, kontekst, risikoevaluering, håndtering (tiltak) og oppfølging (overvåking og gjennomgang).
ISO 31000 31000:2009 er et beskrivende dokument som bør følges og som bør bli supplert med terminologi, krav, retningslinjer og verktøy spesielt for en bransje og/eller land.
ISO/IEZ Guide 73:2009 gir organisasjonen slik en terminologi. ISO 14001 dekker informasjons-teknologien. Skjønt ISO 31000:2009 ikke kan brukes i sertifisering, kan andre ISO standarder slike som ISO 14001 benyttes til dette.
G3 BS 31000:2008
I 2008, kom den britiske standarden, som var tilnærmet den senere utgitte ISO:3100:2009, som en fremgangsmåte for å praktisere risikoledelse. Standarden etablerte prinsipper og terminologi for risikoledelse og gir anbefalinger for modell, rammeverk, prosess og implementering av risikoledelse.
BS 31000 er tenkt å være en skalerbar standard som kan bli brukt av individer, ansvarlige for risikoledelsesaktiviteter i organisasjoner i alle bransjer og størrelser som en basis for å forstå, utvikle, implementere, og opprettholde en adekvat risikoledelse.
Bruken av standarden avhenger av organisasjonens kontekst og kompleksitet.
| Standarden har fire primære mål: |
- Sikre at organisasjonen når sine mål.
- Sikre at risikoene er håndtert på spesifikke områder eller aktiviteter.
- Overvåke risikoledelsen i organisasjonen.
- Gi ”fornuftig bekreftelse” på organisasjonens risikoledelse.
G4 COSO II
The committee of Sponsonsering Organization of the Treadeway Commission (COSO) publiserte COSO Enterprise Risk Management – Integrated Framework (kjent som COSO II eller COSO ERM) I 2004. COSO II definerer ERM som en prosess som drives av organisasjonens styre som etablerer en helhetlig organisasjonsmessig strategi for å håndtere risiko innen sin risikoappetitt.
COSO II formidler en effektiv mekanisme for å initiere en dialog mellom styret og toppledelsen om etableringen av ERM-mål som del av den strategiske ledelsesprosessen. Den dukker ikke ned i detaljer om risikoledelsestilnærminger og prosesser. Imidlertid fokuser den på trusler mot organisasjonen og mekanismer for kontroll. Derfor er COSO II sitt fokuserte klientell en organisasjon som er stor nok til å forlange undersøkelsen av risikoappetitten og styrets retning vedrørende ERM-strategi.
G5 AS/NZS/ISO 31000:2009
Risikoledelse, en felles standard for ERM i Australia og New Zealand er nå kjent som AS/NZS/ISO 31000:2009 tidligere kjent som AS/NZS 4360, publisert i 2004 som et generelt rammeverk for å håndtere risiko. AS/NZS/ISO 31000:2009 er utformet for direktører, utvalgte nøkkelmedarbeidere, utøvende ledere, seniorledere, linjeledere og medarbeidere for en rekke forskjellige organisasjoner.
|
Denne miksen av organisasjoner krever en tilpasningsdyktig risikoledelsestilnærming, som er lett å forstå og implementere. Derfor har AS/NZS/ISO 31000:2009 kun til hensikt å gi en bred oversikt over risikoledelse. Det forventes av organisasjoner at de interpreterer guiden i konteksten ut ifra sine egne spesifikke omgivelser (miljø) og utvikler sin egen spesifikke ERM-tilnærming.
AS/NZS 436:2004, Risk Management Guidelines Companion to AS/NZS 4360:2004 hjelper til med å implementere standarden i organisasjonen. Her kan vi etter hvert forvente en ny versjon i tråd med AS/NZS ISO 31000:2009.
HB 158-2010 – Levering av bekreftelse (”Delivering assurance”), basert på AS/NZS ISO 31000:2009 ble utviklet i felleskap, av risikoledere og revisorer. HB 158-2010 ble utarbeidet for å hjelpe revisorer til å oppfylle sine forpliktelser med å revidere risikoledelse i organisasjoner, i overenstemmelse med AS/NZS ISO 31000:2009 standarden.
The standard Australia/Standard New Zealand Joint Technical Committee on RM har adoptert ISO 31000:2009 som AS/NZS/ISO 31000:2009. Den eneste forskjellen mellom disse dokumentene er at det i innledningen diskuteres overgangen fra 4360 til 31000.
Singapore, Østerrike og Canada har sine egne rammeverk, som liberalt innlemmer konsepter og trinn fra eksisterende rammeverk. Andre land, stater eller provinser vil trolig adoptere ERM over tid. Individuelle lovverk vil implementere en modifisert versjon av eksisterende rammeverk eller tilnærmet å imitere andre lands rammeverk. I Frankrike er en obligatorisk implementeringsguide publisert av ”Association Francaise de Normalisation (AFNOR), ISOs franske tilknyttede selskap.
G6 FERMA
The Federation of EuropeanRisk Management association (FERMA) består av nasjonale RM-forbund, individuelle risikoledere fra sentrale europeiske land og representanter fra helse organisasjoner, utdannelsesektorer og offentlig sektorer. FERMA adopterte ”The Risk Management Standard”, som ble publisert i UK i 2002.
Standarden har forskjellige elementer:
|
Standarden som er laget for offentlige og private organisasjoner, anerkjenner at risikoer både har en oppside (mulighet) og en nedside (trusel). Dens komponenter tillater organisasjonene å rapportere i overenstemmelse med beste praksis.
G7 Basel II/III og Solvency II
Basel II og III ble laget av ”Thue Basel Comittee on Banking Supervision” i 2004 og vidreført etter finanskrisen i 2008 for å gi råd vedrørende lovverk og reguleringer med hensyn til banker. Den etablerte en internasjonal standard som regulatorer av banker kan bruke, når de lager reguleringer i forhold til det kapitalbeløpet bankene trenger, for å ha en reserve i forhold til de finansielle og operasjonelle risikoene de står overfor. Denne standarden er tenkt å beskytte det internasjonale finanssystemet fra problemer, som kan oppstå hvis en større bank eller en serie av banker er i ferd med å kollapse.
Basel II etablerer risiko- og kapitalhåndteringsregler designet for å sikre at bankene holder kapitalreserver hensiktsmessig, i forhold til de risikoene som banken antar gjennom sin utlåns- og investeringspraksis. Jo større volatilitet bankens portefølje har, desto større er beløpet av kapital som banken trenger for å sikre sin soliditet.
Den 16. desember 2010 la Basel-komiteen frem de nye standardene for regulatoriske minimumskrav til kapital og likviditet for bankene – også kalt Basel III. I all hovedsak er dette kjent stoff, men det var noen nyheter. Blant annet ble formelverket for de økte kapitalkravene for motpartsrisiko kjent, og beregningsmetoden for minimumskravet til likviditet er noe endret.
Baselkomiteens plan var å framsette et endelig regelverk mot slutten av 2010 for innføring mot slutten av 2012. (Kalles stadig oftere: Basel III)
Det legges vekt på å unngå negative effekter på bankenes utlånsaktivitet slik at ikke stabilitet og økonomisk oppgang trues. Forøvrig: se Guide A Enhet 3.1.5 for nærmere detaljer.
Solvency II utviklet av ”The European Commision” i 2007 (noen ganger referert til som ”Basel II” for forsikringsbransjen), innolder regulatoriske krav til forsikringsfirmaer som opererer i EU. Den legger til rette for utviklingen av et indre marked av forsikringsbransjen i Europa, mens den gir adekvat beskyttelse for kundene.
G8 Delvise rammeverk
Det finnes andre rammeverk som ikke betraktes som ERM-rammeverk, men som guider i spesifikke bransjer og sektorer. Disse delvise rammeverkene profilerer sannsynlige statlige og regulatorers grep, vedrørende systemiske risikospørsmål som kan ha en effekt på hele økonomien eller spesifikke sektorer.
Slike delvis rammeverk inkluderer disse:
|
Som sagt disse standardene definerer ERM-systemet og -prosessen. Inkluderer faser og trinn som: Internt miljø, mål, strategier, etablering av ERM-kontekst, identifisering, analysering, evaluering, risikotiltak, risikorapportering, håndtering og overvåking, informasjon, kommunikasjon og aktiviteter som støtter opp/gir hjelp og støtte om verktøy og teknikker.
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE B
Gjennomføring og praktisk iverksettelse
|
FORORD iv 1.1 FRA TANKE TIL HANDLING 4 2.1 ”WORKSHOP”-PROSEDYREN 37 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 7. STIKKORDSREGISTER 104 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE B
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar