ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide B – Gjennomføring og praktisk
iverksettelse
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul B8 Vedleggsoversikt
VEDLEGGSOVERSIKT GUIDE B
Guide B Modul B8 Vedlegg H: ISO 31000:2009 Risikoledelse – prinsipper og retningslinjer
| INNHOLDSFORTEGNELSE HH1 ROLLE OG FUNKSJON FOR STANDARDER FOR LEDELSESSYSTEMER 2 H1.1 INTERNASJONALE STANDARDER FOR ORGANISASJONEN 2 H1.1.1 STANDARDER FOR LEDELSESSYSTEMER 3 H1.1.2 DEN INTERNASJONALE STANDARDEN ISO 31000:2009 4H2. GENERELT OM ISO:31000:2009 5 H2.1 HVA KAN EN ORGANISASJON OPPNÅ MED DENNE STANDARDEN: 6 H2.2 PROAKTIV OG PRAKTISK RISIKOLEDELSE 7 H2.3 HENSIKTEN MED DEN NYE STANDARDEN 7 H2.4 DEFINISJONEN PÅ RISIKO OG RM I DEN NYE STANDARDEN 8 H2.5 KONSEKVENSER FOR ORGANISASJONER 9 H2.6 OVERGANGSTIPS 9 H2.7 HVA BIDRAR ISO 31000:2009 TIL? 10 H2.8 FREMTIDEN OG ISO 3100:2009 11H3. RELASJONEN MELLOM RM-PRINSIPPER/RM-RAMMEVERK/ RM-PROSESS 12 H3.1 PUNKT 3 – PRINSIPPER FOR RISIKOLEDELSE OG – STYRING/ PUNKT 3 PRINSIPPENE FOR Å HÅNDTERE RISIKO/ PRINSIPPENE FOR EFFEKTIV RM 12 H3.2 ATTRIBUTTER/EGENSKAPER VED FORBEDRET HÅNDTERING AV RISIKO 15 H3.3 PUNKT 4 RM-RAMMEVERKET/SYSTEMET 16 H3.3.1 GENERELT 16 H3.3.2 MANDAT OG ENGASJEMENT 17 H3.3.3 UTFORMING AV RAMMEVERKET 17 H3.3.4 IMPLEMENTERING AV RISIKOLEDELSE 19 H3.3.5 OVERVÅKING OG GJENNOMGANG AV RAMMEVERKET 19 H3.3.6 KONTINUERLIG FORBEDRING 19 H3.4 PUNKT 5 RM-PROSESSEN 20 H3.4.1 GENERELT 20 H3.4.2 DEN SENTRAL ROLLEN SOM INTERESSENTER HAR 21 H3.4.3 PARALLELLPROSESSEN KOMMUNISERING OG KONSULTERING 22 H3.4.4 PARALLELLPROSESSEN OVERVÅKING OG GJENNOMGANG 23 H3.4.5 EARLY WARNING ( PROAKTIVE) INDIKATORER 23H4. SLUTTBEMERKNINGER 24 |
H1. Rolle og funksjon for standarder for ledelsessystemer
H1.1 Internasjonale standarder for organisasjonen
Standarder er godt for en misforståelse og dårlig for en forståelse. For å gi dette ordspillet et konkret innhold er to teser sitert:
Misforståelsen av standarder: Fordi det finnes en standard for et sakskompleks, blir dette sakskomplekset behandlet i henhold til standarden.
Forståelsen av standarder: Hvis det for et sakskompleks finnes en standard, skal eller kan dette bli behandlet iht. standarden.
|
Forståelsen og misforståelsen av standarder sagt med andre ord: En standard må ikke bli implementert selv om den er en standard (formål i seg selv), men fordi det finnes viktige grunner, skal eller kan et sakskompleks i henhold til en standard bli implementert (andre formål). Grunnen kan være en fordel, men grunnen er ikke standarden i seg selv.
Et populært eksempel på forståelse og misforståelse av standarder: Den internasjonale standarden ISO 9001:2008 for kvalitetssikringssystemer. Det vil ikke si noe annet enn at det må finne en god grunn å håndtere kvaliteten i organisasjonen med et kvalitetssikringssystem i henhold til kravene i den internasjonale standarden ISO 9001:2008. Kvalitet blir gjennom implementeringen sikret, hvis det er hensiktsmessig å handle etter denne standarden. Finnes det ikke noen viktig grunn for organisasjonen for å implementere standarden ISO 9001:2008, da trenger ikke kvalitet å bli håndtert etter denne standarden. Kvalitet kan absolutt også bli håndtert uten standarden, Dette glemmes ofte.
Standarder av betydning er overalt i organisasjonen. Fra den norske NS standarden videre til den internasjonale standarden ISO 1000 til ISO 9000 (med ISO 9004) til ISO 80000.
En organisasjon som benytter ISO blir ofte vurdert av vanlige folk som ikke kjenner til standarder, og som tror dette borger for kvalitet og dermed har alt i orden. Vanlige folk ser denne kvaliteten i forbindelse med organisasjonens produkter og tjenester. Vanlige folk ser ikke denne kvaliteten i forbindelse med de ukjente prosessene i organisasjonen. Vanlige folk kjenner muligens ikke definisjonen på kvalitet som en relativ vurdering som korrelasjon på kundens krav.
En organisasjon som er ”ISO sertifisert” får et sertifikat fra en akkreditert sertifiserer som bevis på implementeringen av et kvalitetssystem, der kravene fra standarden ISO 9001:2008 er oppfylt. Ekspertene er de som har grunnleggende og grundig kjennskap til prosessorientering, kundeorientering og risiko.
H1.1.1 Standarder for ledelsessystemer
Vi henviser i første rekke her til http://www.standard.no/no/Standardisering/ for videre lesning eller http://www.iso.org/iso/home.html.
H1.1.1.1 Hvorfor ledelsessystemer?
Ledelsessystemer i organisasjonen er infrastrukturen for verdiskapning. Ledelsessystemer sørger for at ideer blir skapt og verdier utvinnes. Et ledelsessystem har en ledelsesprosess i kjernen. Et ledelsessystem strukturer ”alt” som er nødvendig for å skape bestemte verdier med en ledelsesprosess. Dette ”alt” er i hovedsak grunnelementene i ledelse.
Tre prominente eksempler på ledelsessystemer har verdier, kvalitet og risiko som innhold.
|
Ledelsessystem gjør det mulig for lederen i organisasjonen, i sin rolle som direktør eller styremedlem – og dermed som organ i samfunnet – å etterkomme sine fire grunnleggende plikter som leder:
|
Som grunnplikter blir disse fire nevnt, de er definert gjennom juridisk praksis og språkbruk. Disse fire grunnleggende plikter inneholder eksplisitt videre handlinger som planlegging, kommunisering etc.. Grunnpliktene er ikke noe annet enn plikten til å lede organisasjonen.
Disse fire grunnleggende plikter til ledelsen dekker syv grunnelementer av ledelse:
|
Driften av et egnet ledelsessystem i en organisasjon er allerede et tiltak fra risikoledelsessystemet.
H1.1.1.2 Hva er en standard for ledelsessystemer?
En standard stiller krav eller gir anbefalinger, i enkelttilfeller er dette følgende:
|
H1.1.2 Den internasjonale Standarden ISO 31000:2009
Ledelsessystem for å håndtere oppside/nedside risiko finnes det mange av. Hvis en ved siden av muligheter/trusler betrakter sikkerhet, finnes det veldig mange ledelsessystem som håndterer muligheter/trusler og sikkerhet, og dermed styrer organisasjen.
Standarden ISO 31000:2009 er posisjonert på samme nivå som den før nevnte standarden for kvalitet- og HMS-ledelse. Den er tydelig forskjellig fra disse kjente klassiske standardene. ISO 31000:2009 er den første representanten for den nye generasjonen av standarder for ledelsessystemer. Den er den generelle normen for håndtering av muligheter/trusler. I seg selv er den igjen kun en delvis norm for å håndtere perspektivet oppside/nedside risiko i håndteringen av verdiskapingen. Den har eksplisitt i normteksten formulert krav, at den skal integreres i organisasjonens prosesser. Den virker først når den er integrert og er ikke alene bestemt for implementering og kan heller ikke alene bringe nytte.
H1.1.2.1 Oversikt
Den nye standardgruppen fra ISO/IEC fra 2009 til risikoledelse omfatter følgende tre standarder:
|
Disse tre standardene lar seg gjengi i korthet som følger:
Standarden ISO 31000:2009; Risk Management – Principles and Guidelines.
|
Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques
|
Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques
|
Guiden ISO 73:2009; Risk Management – Vocabulary.
|
H2. Generelt om ISO:31000:2009
I år 2009 ble ISO:31000 standarden offentliggjort, en ny globalt akseptert standard for risikoledelse – prinsipper og retningslinjer sammen med den nye ISO Guide 73:2009 som definerer det nye vokabularet. Disse ble utviklet gjennom en konsensusdrevet prosess over fire år, gjennom syv utkast, og involverte input fra hundrevis av fagfolk innen risikoledelse rundt om i verden. Den nye standarden støtter en ny, enkel måte å tenke risiko og risikoledelse på, og er ment å starte prosessen med å løse de mange inkonsekvenser og tvetydigheter som eksisterer mellom mange ulike tilnærminger og definisjoner.
Det er 17 år siden den første versjonen av Australia og New Zealand RM -standard, AS/NZS 4360:1995, ble publisert og deretter fornyet i 2004. Denne standarden dannet grunnlaget for ISO 3100:2009. Den nye internasjonale standarden blir nå i Australia kalt AS/NZS ISO 31000:2009.
Mange organisasjoner har generelt funnet at standarden som bygger på 17 års erfaring fra mange bedrifter rundt omkring i verden gir en veldig praktisk tilnærming til håndtering av risiko som kan bli brukt i bred forstand.
ISO 31000:2009 krever at organisasjonen justerer håndteringen av risiko mot oppnåelsen av organisasjonens mål.
Standarden er støttet av Guiden ISO 73:2009, som gir definisjoner av begreper knyttet til RM, samt ISO/IEC 31010:2009 vurderingsteknikker som gir en oversikt over risikovurderingsteknikker. Sammen støtter disse to dokumentene opp om ISO:31000:2009 og gir organisasjonen en beskrivelse av aktiviteter relatert til håndteringen av risiko, og en konsekvent tilnærming til bruk av RM-terminologien i prosesser og system/rammeverk som omhandler håndtering av risiko.
Guiden ISO 73:2009 gir en grunnleggende ordforråd på definisjonene på generelle begrep knyttet til RM.
ISO Guide 31000:2009 har som mål å fremme en gjensidig og konsekvent forståelse, en helhetlig tilnærming til beskrivelsen av aktiviteter knyttet til håndtering av risiko, og bruk av RM-terminologi i prosesser og rammeverk som omhandler håndtering av risiko.
Guiden ISO 73:2009:
|
ISO:31000:2009 innebærer ikke en sertifiseringsprosess for organisasjoner. På samme måte som ledelsen i en organisasjon ikke kan bli sertifisert mot en standard, er RM utformet i form av prinsipper og retningslinjer for implementeringen, men ikke for sertifisering. Hvordan hver organisasjon driver RM er opp til dem. Sertifisering er ikke standardens hensikt. Det første prinsippet for god RM i den nye standarden stadfester at RM skal tilføre verdi. RM er konstruert med hensyn til prinsipper, attributter (elementer) og retningslinjer for implementering, men ikke for sertifisering. Prosessen med sertifisering kan føre til en etterlevelses- og kulturell holdning til RM som kan redusere eierskapet og ansvarligheten for RM-rammeverket/systemet i organisasjonen.
H2.1 Hva kan en organisasjon oppnå med denne standarden:
|
H2.2 Proaktiv og praktisk risikoledelse
Den nye standarden ISO 31000:2009, gir et viktig bidrag til styrking av den proaktive tilnærmingen til ERM. Dens føre var (heretter kalt ”Early Warning”- proaktive) funksjon, bidrar til å oppdage muligheter/trusler før de oppstår og håndtere dem effektivt og vellykket.
ERM er alltid stilt overfor et dilemma:
På den ene siden, er det nødvendig at ERM bygger på solid erfaring, på den annen side er det ofte de nye, ukjente risikoene som kan true eksistensen til organisasjonen.
Stilt overfor dette dilemmaet blir det raskt klart at det er ingen løsning kun å fokusere på de nye risikoene: Enhver vellykket ERM er basert på erfaringsverdier. Denne reaktive tilnærmingen må imidlertid kompletteres med en proaktiv tilnærming. Kun i denne kombinasjonen er ERM på lengre sikt vellykket.
Standarden ISO 31000:2009 vil sannsynligvis styrke spesielt denne proaktive tilnærmingen. Siden den proaktive karakteren allerede er opprettet i strukturen i den nye normen, er det mye enklere å implementere denne proaktive tilnærmingen i risikohåndteringen.
H2.3 Hensikten med den nye standarden
Beslutningstakere er ukomfortable med løse biter av tilsynelatende samme, men fundamentalt forskjellig informasjon, hentet fra ulike prosesser og med ulike forutsetninger, som er beskrevet ved hjelp av de samme ordene, men som har ulike betydninger. Ut ifra disse grunnene fikk ISO, det internasjonale organ for standardisering i oppdrag, å sørge for konsistens og pålitelighet i risikoledelse ved å lage en standard som vil være gjeldende for alle former for risiko. Dette vil si:
|
H2.4 Definisjonen på risiko og RM i den nye standarden
Under AS/NZS 4360:2004, var definisjonen av risiko «muligheten for noe som skjer som vil få innvirkning på mål«. I ISO 31000:2009 er definisjonen av risiko «effekten av usikkerhet på mål«.
Det vil si ISO 31000:2009 beholder «mål» som et sentralt element i definisjonen og stadfester at risikoledelse fokuserer på strategiske kontroller og organisasjonens prestasjoner. Imidlertid skifter definisjonen fokus fra «hendelsen» (noe som skjer) til «effekten» som er effekten av hendelsen på målene (enten det er å oppnå organisasjonens mål, eller mål i individuelle prosjekter). Definisjonen er ganske enkel og svært relevant for organisasjon som prøver å definere mulighetene/truslene som kan få betydning for oppnåelsen av deres organisasjonsmessige mål. Det innebærer en «top-down» tilnærming der risikoledelse blir et sentralt fokus, og en prosess for å aktivere organisasjonen til å definere og oppnå sine mål.
ISO 31000 kan brukes på alle typer risikoer – med noen forbehold:For det første er den nye definisjonen av risiko: «Effekten av usikkerhet på mål». Merknadene til definisjonen inkluderer: «Mål kan ha ulike aspekter, som for eksempel økonomiske, helse- og sikkerhetmessige, og miljømessige mål, og kan anvendes på ulike nivåer slik som strategisk, hele organisasjonen, prosjekt, produkt og prosess.» Altså må en organisasjon sette mål som er relevante for sin risikoprofil.For det andre må vi forstå hva som menes med usikkerhet. Den femte merknaden til definisjonen av risiko sier: «Usikkerheten er tilstanden, selv delvis, av mangel på informasjon relatert til, forståelse eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet.» Med andre ord, kan usikkerheten være:
Ordet «kultur» har blitt innbefattet i veiledning med å etablere den interne kontekst, men er også nevnt i den eksterne konteksten.
For det tredje må derfor effektiv risikoledelse være et mandat og komme fra toppledelsen hvis det skal være «koordinerte aktiviteter for å lede og styre en organisasjon med hensyn til risiko» (den nye definisjonen av risikoledelse). |
Risiko har inntil for kort tid siden vært ansett utelukkende som et negativt begrep som organisasjonene bør prøve å unngå eller overføre til andre. Imidlertid er det i dag erkjent at risikoen er et faktum i livet som ikke kan unngås eller fornektes. Hvis vi forstår risiko, og hvordan den er forårsaket og påvirket, kan vi endre den (vi kaller dette risikohåndtering) slik at vi mer sannsynlig oppnår våre mål og kanskje gjennomfører dem raskere, mer effektivt og med bedre resultater.
Risiko er innbefattet i alle valg vi gjør. Hvordan vi gjør disse beslutningene vil påvirke hvordan vi lykkes i å oppnå våre mål. Beslutningsprosesser er en integrert del av hverdagen og ingensteds mer fremtredende enn i en organisasjon i forandring og utvikling. Dette er grunnen til at risikoledelse er så nært knyttet til håndtering av endring og til det å ta beslutninger.
H2.5 Konsekvenser for organisasjoner
Organisasjoner som ennå ikke har implementert et formelt, proaktivt, strukturert ERM-rammeverk eller sliter med å implementere et, vil finne ISO 31000:2009 som en meget nyttig guide. Selv om den ikke er en omfattende arbeidsbok, gir den likevel tilstrekkelig trinn-for-trinn veiledning. Men bruken av ISO 31000:2009 vil kreve endringer i prosesser, redefinerte ansvarsområder osv..
Organisasjoner med et relativt modent ERM-rammeverk og som allerede utnytter AS/NZS 4360 trenger kun å gjøre mindre endringer i regler eller definisjoner, i hovedsak kosmetiske endringer. Det anbefales ERM-ledere å foreta en gjennomgang av deres nåværende ERM-rammeverk/-system og gjøre en «benchmarking» (sammenligning) mot ISO 31000:2009.
Spesielt vil ISO 31000:2009 gi ERM-lederne, internrevisjonen en mulighet til samsvar og styringstiltak i sine organisasjoner. Til å revurdere sine nåværende ERM-rammeverk idet de introduserer de nye begrepene, prinsippene og attributtene (egenskapene) for å revitalisere sine ERM-program/-planer.
Mens ISO 31000:2009 ifølge ekspertene har et par hull, markerer den imidlertid en betydelig milepæl med å harmonisere risikoledelsespraksisen globalt. ISO arbeidsgruppen som utviklet ISO 31000 bør roses for arbeidet med å standardisere området risikoledelse, der det dessverre har vært altfor mye silotekning og silodefinerte begreper, slik at veldig mange har hatt problemer med å kommunisere innenfor området risikoledelse, da mange har snakket ”forbi” hverandre.
H2.6 Overgangstips
ISO 31000:2009 vil påvirke hver organisasjon på forskjellig måte. Som et utgangspunkt, her er et forslag til en ”to do” liste for en myk overgang til ISO-31000:2009:
|
H2.7 Hva bidrar ISO 31000:2009 til?
|
H2.8 Fremtiden og ISO 3100:2009
ISO 31000:2009 redefinerer ”beste-praksis” tilnærming til RM. RM forstås som del av et integrert ledelsessystem, fokusert på prosesser og interessenter. Dermed sikres det, at informasjonsflyten mellom risiko-, kvalitet-, miljø- og IT-ledelse (for å nevne noen av de viktigste) blir forbedret.
Gjennom denne optimaliseringen av informasjonsflyten vil RM vinne stadig mer oppmerksomhet også som en overvåkingsfunksjon, som viser en nøyaktig og aktuelt bilde av organisasjonen.
Standarden vil sannsynlig bli mye brukt og være innflytelsesrik i en rekke nasjonale og internasjonale settinger. Organisasjonens ledelse bør derfor tilbringe tid til å lese den og absorbere betydningen av det som skrives.
En rekke interessenter vil etter all sannsynlighet bruke ISO 31000:2009 og ISO Guide 31000:2009, inkludert:
|
Ansatte som er opptatt av den nye standarden bør snakke med toppledelse om fordelene ved effektiv RM – det handler ikke bare om forebygging av skade! (Dette er også nedfelt i ISO 31000:2009). Tilby å utvikle ideer til etablering av et RM-rammeverk. Dette krever arbeid på tvers av organisasjonen.
Hold utkikk etter og spør om usikkerhet og effekten det kan ha på målene. En reaksjon på usikkerhet er rask bedring (tilpasningskapasiteten til en organisasjon i et kompleks og skiftende miljø). Organisasjoner som raskt restituerer seg vet ikke hva som kommer som det neste, men er i stand til å svare på usikkerheter som livet byr på og tilpasse seg endringer.
Den proaktive karakteren til ISO 31000:2009 gjør at RM stadig mer overtar en ”Early Warning” ( proaktiv) funksjon. De velkjente forebyggende tiltakene som risiko normalt blir håndtert med, som å unngå (eliminering, substitusjon) henholdsvis minsking (reduksjon) blir på en hensiktsmessig måte supplementært med å være en proaktiv ”Early Warning” funksjon. Dette betyr at risikoen kan registreres før de oppstår, og også bli håndtert med suksess.
H3. Relasjonen mellom RM-prinsipper/RM-rammeverk/ RM-prosess
Figur H3-1: Forholdet mellom ulike deler av RM-rammeverket
H3.1 Punkt 3 – Prinsipper for risikoledelse og – styring/ Punkt 3 Prinsippene for å håndtere risiko/ Prinsippene for effektiv RM
Risikoledelse er en prosess som er understøttet av et sett prinsipper. Risikoledelse må være støttet av en struktur som er tilpasset organisasjonen og dens eksterne omgivelser eller kontekst. Et vellykket risikoledelsesinitiativ bør stå i forhold til risikonivået i organisasjonen (relatert til størrelse, art og kompleksitet) og i relasjon til andre aktiviteter. Den bør være omfattende i sitt omfang, innebygd i rutinemessige aktiviteter og dynamisk ved å være lydhør overfor skiftende omstendigheter.
Denne tilnærmingen vil muliggjøre et risikoledelsesinitiativ som leverer”verdi””, inkludert etterlevelse (compliance) i forhold til gjeldende styringskrav, bekreftelse til interessenter med hensyn til håndteringen av oppside/nedside risikoer og bedre beslutningsgrunnlag.
Virkningen eller fordeler knyttet til “output” omfatter mer effektiv drift, effektive taktikker og effektiv strategi. Disse fordelene må være målbare og bærekraftig.
En stor forbedring i ISO 31000:2009 er tillegget med elleve klare og tydelige utsagn som guide i RM-praktiseringen. Disse er forklart i forhold til prestasjonskriterier og bør følges på alle nivåer i organisasjonen, hvis risikoledelse skal praktiseres effektivt i organisasjonen. I AS/NZS 4360:2004 var disse kun indirekte nevnt.
Disse prinsippene er i praksis de «essensielle kvalitetene« som er nødvendige for at håndteringen av risiko skal være effektivt. Selv om de ikke er «nye», i og med at mange organisasjoner allerede aksepterer og praktiserer disse prinsippene, er den formelle anerkjennelsen i ISO 31000:2009 verdifull.
|
Figur 3-2: Prinsipper
Se forøvrig hvilke attributter (egenskaper) organisasjonene som ønsker en effektiv RM bør konsentrere seg om.
H3.2 Attributter/egenskaper ved forbedret håndtering av risiko
| “All organizations should aim at the appropriate level of performance of their risk management framework in line with the criticality of the decisions that are to be made. The list of attributes below represents a high level of performance in managing risk. To assist organizations in measuring their own performance against these criteria, some tangible indicators are given for each attribute.” ISO 3100:2009”Alle organisasjoner bør ha som målsetting å ha et hensiktsmessig prestasjonsnivå på sitt RM-rammeverk på linje med viktigheten av de beslutninger som skal gjøres. Listen over attributter nedenfor representerer et høyt nivå på prestasjonen med å håndtere risiko. For å hjelpe organisasjoner i å måle sine egne prestasjoner mot disse kriteriene, er noen konkrete indikatorer gitt for hver attributt”. ISO 3100:2009 |
Som i AS/NZS 4360, anerkjenner ISO 31000:2009 behovet for kontinuerlig å forbedre RM-rammeverket. Imidlertid går den nye standarden videre og lister opp fem nøkkelattributter for et forbedret RM-rammeverk, dette for å hjelpe organisasjoner i å måle sin egen innsats mot disse.
| Listen over attributter nedenfor representerer en høy grad av forbedringer i prestasjonen av RM.Kontinuerlig forbedring. Det legges vekt på kontinuerlig forbedring av RM gjennom å sette organisatoriske resultatmål, målinger, regelmessig tilbakeblikk og påfølgende endring av prosesser, systemer, ressurser, evner og ferdigheter.’Full ansvarlighet for risiko. Forbedret RM inkluderer omfattende, fullt ut definerte og fullt ut akseptert ansvarlighet for risiko, risikokontroller og oppgaven med å håndtere risikoene. Gjennomført av dedikerte risikoeiere som fullt ut aksepterer ansvarligheten, som er tilstrekkelig opplært og kompetent i RM. Ansvaret bør være klart definert og kommunisert via en jobb beskrivelse. De har tilstrekkelig ressurser og myndighet til å sjekke kontroller, overvåke risikoene, bedre kontrollene og kommunisere effektivt med interne og eksterne interessenter om risikoer og deres håndtering.RM-program for alle beslutningsprosesser. Alle beslutningsprosesser i organisasjonen, (uansett graden av betydning og viktighet) innebærer eksplisitt vurdering av risikoer og vurdering om RM-programmet er korrekt.Kontinuerlig kommunikasjon. Organisasjonen bør ha formelle RM-rapporteringsprosesser på plass. Forbedret RM omfatter kontinuerlig kommunikasjon med eksterne og interne interessenter, inkludert omfattende og hyppig rapportering av betydelig risiko og risikohåndtering, som del av god virksomhetsstyring.Full integrasjon med organisasjonens styringsstruktur. RM blir sett på som sentral i organisasjonens ledelsesprosess, slik at risiko vurderes i forhold til den effekten usikkerhet har på mål. Organisasjonens styringsstruktur og prosess er basert på styring og håndtering av risiko. Effektiv RM regnes av ledere som avgjørende for å nå organisasjonens mål.Mens ISO 31000 ikke kan benyttes for sertifiseringsformål, oppmuntrer den organisasjonene til «benchmarking»(sammenligning) med sin nåværende RM-praksis i henhold til prinsippene, de fem attributtene og prosessene i ISO 31000, og dermed identifisere områder for forbedring og utvikle strategier for forbedringer. |
H3.3 Punkt 4 RM-rammeverket/systemet
H3.3.1 Generelt
Figur 3-3: Rammeverket/systemet
I følge ISO Guide 31000:2009 er ERM-rammeverket definert som et sett av komponenter som gir grunnlaget/fundamentet og organisatoriske ordninger for utforming, implementering, overvåking, gjennomgang og kontinuerlig forbedring av risikoledelse i hele organisasjonen.
| Merknad 1: Fundamentet inkluderer policy, mål, mandat og forpliktelse til å håndtere risiko.Merknad 2: De organisatoriske ordningene omfatter planer, relasjoner, ansvarsområder, ressurser, prosesser og aktiviteter.Merknad 3: ERM-rammeverket/systemet er integrert i organisasjonens overordnede strategiske og operative policyer og praksis. |
| “The framework assists in managing risks effectively through the application of the risk management process at varying levels and within specific contexts of the organization. The framework ensures that information about risk derived from the risk management process is adequately reported and used as a basis for decision making and accountability at all relevant organizational levels.” ISO 31000:2009”Rammeverket bistår i å håndtere risiko effektivt gjennom anvendelse av ERM-prosessen på varierende nivåer og innen spesifikke sammenhenger i organisasjonen. Rammeverket sikrer at informasjon om risiko avledet fra ERM-prosessen er tilstrekkelig rapportert og brukt som grunnlag for å ta beslutninger og for ansvarlighet på alle relevante nivåer i organisasjonen.” ISO 31000:2009 |
I AS/NSZ 4360:2004 var RM-rammeverkets forskjellige komponenter/elementer delvis dekket i seksjonen ”Å etablere effektiv risikoledelse”
Det er viktig å påpeke at ERM-systemet/rammeverket ikke er ment å forskrive et ledelsessystem, men heller å hjelpe organisasjonen å integrere risikoledelse i sitt totale ledelsessystem. Derfor bør organisasjoner tilpasse komponentene/elementene i rammeverket til sine spesifikke behov.
ERM-rammeverket beskrevet i ISO 31000:2009 kan også tilpasses og brukes for å håndtere risiko knyttet til prosjekter. Selv om prosjekter ofte krever en annen tidshorisont og spesialiserte kriterier, er de en kilde til risiko for organisasjonens målsettinger og denne risikoen må håndteres for å sikre at prosjekter leverer verdien som de ble planlagt for.
Et effektiv, strukturert, proaktivt og holistisk orientert ERM-rammeverk er noe som det må jobbes med. Det er ikke noe som ”kun” skjer. Det rette fundamentet må etableres og komponentene/elementene som det består av må justeres etter hvert..
Relasjonene og forholdet mellom de ulike komponentene/elementene i et RM-rammeverk godt belyst og illustrert i ISO 31000:2009 som vist i figuren nedenfor.
H3.3.2 Mandat og engasjement
RM er ikke et enkeltstående prosjekt, men en pågående aktivitet/prosess som krever kontinuerlig forpliktelse. Det må være mandat fra styret (eller tilsvarende), gjennomført av toppledelsen og støttes av alle ledelsesnivåer og risikoeiere for å være bærekraftig.
Ledelsen må:
|
H3.3.3 Utforming av rammeverket
Som alle gode prosjekter, prosesser og strategier, må RM-prosesser være godt utformet for effektivt å støtte implementeringen. Det vil si: Definering av konteksten for RM-rammeverket, formulere RM-policy, integrere prosesser i praksis, tildele ressurser og bestemme ansvar. Dette er viktige elementer i utformingen av et effektivt rammeverk for å håndtere risiko.
Godt utformet periodisk rapportering til interessenter og effektiv kommunikasjonsmekanismer vil støtte effektiv implementering:
|
H3.3.3.1 Kontekst
For å lykkes med implementering, støtte og opprettholde risikoledelsesprosessen, er en struktur påkrevd. ISO 31000 refererer til denne strukturen som konteksten for risikoledelse.
| “Before starting the design and implementation of the framework for managing risk, it is important to evaluate and understand both the external and internal context of the organization, since these can significantly influence the design of the framework.” ISO 31000:2009”Før du starter utformingen og implementeringen av ERM-rammeverket, er det viktig å evaluere og forstå både den eksterne og interne kontekst for organisasjonen, siden disse kan ha betydelig innflytelse på utformingen av rammeverket.» ISO 31000:2009 |
Evaluering av organisasjonens eksterne kontekst kan inkludere, men er ikke begrenset til:
|
Evaluering av organisasjonens interne kontekst kan inkludere, men er ikke begrenset til:
|
H3.3.3.2 Policy
Se Guide B8 vedlegg B og Guidene A og B ”Praktisk Enterprise Risk Managements” innhold.
H3.3.3.3 integrering i organisatoriske prosesser
Se Guidene A og B ”Praktisk Enterprise Risk Managements” innhold.
H3.3.3.4 Ansvarighet
Se guidene A og B ”Praktisk Enterprise Risk Managements” innhold
H3.3.3.5 Ressurser
Se guidene A og B ”Praktisk Enterprise Risk Managements” innhold
3.3.3.6 Intern Kommunikasjon
Se guidene A og B ”Praktisk Enterprise Risk Managements” innhold
3.3.3.7 Ekstern Kommunikasjon
Se guidene A og B ”Praktisk Enterprise Risk Managements” innhold
H3.3.4 Implementering av risikoledelse
Når ERM-rammeverket er utformet, handler implementeringen om å gjennomføre teorien i praksis og faktisk realisere RM-rammeverket. Konkret handler dette om å sikre at ERM-prosessen er forstått av risikoeierne (gjennom god kommunikasjon og opplæring), og at risikoledelsesaktiviteter faktisk finner sted (gjennom risikovurderinger, risikoworkshop, internkontroll etc.) og at beslutninger og forretningsprosesser faktisk henspeiler risikotenkningen i organisasjonen.
Det vil si :
|
H3.3.5 Overvåking og gjennomgang av rammeverket
Innebærer en bekreftelse på at de ulike risikoledelseselementer og -aktiviteter faktisk virker effektivt i tråd med forventningene. Eventuelle hull som identifiseres må dokumenteres og korrigeres:
Det vil si:
|
H3.3.6 Kontinuerlig forbedring
Dette handler om å finpusse og forsterke viktige elementer av RM-rammeverket til enten å forbedre eksisterende prosesser og/eller fremskritt mot et mer modent RM-rammeverk. En meget målrettet organisasjon vil forbedre sine prosesser og dermed modnes over tid.
H3.4 Punkt 5 RM-Prosessen
Figur 3-4: Prosessen
H3.4.1 Generelt
I følge ISO Guide 31000:2009 er RM-prosessen definert som systematisk bruk av policyer, prosedyrer og praksis til aktivitetene med å kommunisere og konsultere, etablere konteksten, og å identifisere, analysere, evaluere, treffe tiltak(håndtere), overvåke og gjennomgå risiko.
Videre beskrives det i ISO 31000:2009 at:” The risk management process should be:
Risikostyringsprosessen bør være:
|
ERM-prosessen i ISO 31000:2009 er identisk med AS/NZS 4360:2004 og den nyere AS/NZS ISO 31000:2009.
ISO 31000:2009 og AS/NZS ISO 31000:2009 inneholder begge fem prosesstrinn (hovedaktiviteter) samt to kontinuerlige prosesser, kommunikasjon og konsultering samt overvåking og gjennomgang. Selv om noen hevder det er nødvendig å starte med kommunisering- og konsultasjonsfasen, og andre med å etablere konteksten, er dette ikke et flytdiagram, eller en start- og- fullføringsprosess. Du kan starte hvor som helst og gå fremover og bakover. Men i våre bøker: ”Praktisk Enterprise Risk Management” starter vi med konteksten.
Konteksten som organisasjon opererer i kan betraktes som det generelle forretningsmiljøet, den består av ekstern og intern RM-kontekst. På dette stadiet blir kriterier for risikoevaluering utviklet og strukturen for resten av prosessen avtalt. De neste fasene/trinnene er, som en del av risikovurderingen: Risikoidentifisering, risikoanalyse og risikoevaluering.
Risikoidentifisering handler om å spørre hva som kan skje, når, hvordan, hvorfor og med hvem. En velkjent risiko vil gi mye av den informasjonen beslutningstakere trenger å vite. For eksempel: Den manglende evne til å rekruttere og beholde kompetente medarbeidere til å jobbe på et prosjekt vil virke inn på målet, et vellykket prosjekt som gir godt resultat.
I risikoanalysen blir omfanget av konsekvenser og sannsynligheten for hendelsen vurdert, og de nåværende kontrollene blir vurdert med hensyn til effektivitet. Det er også nyttig med en vurdering av konsekvenser og sannsynlighet hvis alle kontrollene svikter. Forskjellen mellom ukontrollert og kontrollert grad av risikokonsekvensene illustrerer hvor viktig kontrollene er.
Risikoevaluering innebærer å ta beslutninger om risikoer, hvilke som trenger håndtering, og hva er prioriteringene. Dette krever sammenligning av analysert risiko for risikokriterier utviklet i sammenheng med konteksten. Toleransen med hensyn til en risiko vurderes også her. Ytterligere analyser er ofte nødvendig før en tar beslutninger vedrørende håndteringen.
Standarden ISO 3100:2009 drøfter også vurderingen av muligheter for håndtering, det å utvikle håndteringsplaner, og behovet for nøye å overveie store/små hendelser med hensyn til sannsynlighet.
På hvert stadium i denne prosessen er det viktig å kommunisere og rådføre seg med interessenter, overvåke og gjennomgå hele prosessen.
H3.4.2 Den sentral rollen som interessenter har
Hvis man betrakter RM-prosessen i ISO 31000:2009 (Figur 1= se vanlig tegning for prosessen), ser vi at den anerkjenner betydningen av tilbakemelding i form av to mekanismer- to parallelle prosesser, nemlig av:
|
Men disse kan også betraktes som en del av ERM-rammeverket/ERM-systemet.
Et viktig trekk ved ISO 31000:2009 er at tilnærmingen til risikoledelse tydelig og klart orienterer seg etter Interessenter eller «grupper med krav”. Under interne interessenter forstås for eksempel medarbeidere, ledere og toppledere. Ved eksterne interessenter dreier det seg for eksempel om kunder, Investorer, konkurrenter, leverandører, myndigheter, samfunnet, frivillige organisasjoner og medier.
Figur 3-5: Prosessen – paralellprosessene-kommunisering og konsultasjon og overvåking og gjennomgang
Rapportering og offentliggjøring er bare veldig kort omtalt i ISO 31000 og de er ikke inkludert i prosessen som er vist i Figur 3. Heller ikke er overvåking og gjennomgangs- tilbakemeldingsaktiviteter beskrevet i ISO 31000. ISO 31000 nevner ikke eksplisitt oppgavene med å overvåke risikoprestasjonen og gjennomgår RM-rammeverket.
H3.4.3 Parallellprosessen kommunisering og konsultering
I ISO 31000:2009 blir interessenttilnærmingen forankret i en uavhengig parallellprosess, i kommunisering og konsultering. For å forstå de karakteristiske trekkene ved denne parallellprosessen, er følgende viktig: Å kommunisere med interessenter vil fremfor alt si å lytte oppmerksomt til hvilke spørsmål, behov, forventninger og også engstelser de har i forhold til risikoorienterte produkter og prosesser. Og først i annen instans går det om også å svare interessentene. På samme måte må også begrepet konsultasjon bli beskyttet imot en misforståelse: Konsultasjon har primær betydningen å lytte til en ekspert, søke råd, og først sekundært, selv gi en sakkyndig uttalelse. Denne dobbeltrollen av begrepene kommunisering og konsultering er sentral for å forstå ISO 31000:2009
Gjennom interessent tilnærmingen, i tillegg til informasjon fra eksperter (konsultering), som også involverer alle relevante interne og eksterne interessenter, er det klart at en kvalifisert risikodialog blir resultatet. Gjennom denne kommunikasjonen og konsultasjonen blir ERM-systemet/-rammeverket til et kommuniserende, proaktivt og lærende ledelsessystem.
Denne proaktive karakteristikken har tre store fordeler:
|
H3.4.4 Parallellprosessen overvåking og gjennomgang
Den andre parallelle prosessen overvåking og gjennomgang har en sentral støttefunksjon i RM-prosessen. Mens den første prosessen handler om en åpning av ERM-prosessen, muliggjør prosessen overvåking og gjennomgang en fokusering på nøkkeltall, sammenligningstall og andre indikatorer av RM-prosessen.
Dette fokuset blir implementert med en rekke forskjellige tiltak:
|
Det karakteristiske trekket ved disse inspeksjonsprosessene, er at disse ikke først finner sted til slutt etter at tiltakene for risikoene(risk treatment) har funnet sted, men som en parallell prosess som i identifisering av risikoene.
H3.4.5 Early Warning ( proaktive) indikatorer
Gjennom denne tette oppfølgingen av RM-prosessen resulterer det allerede på et tidlig stadium av ERM-prosessen viktige tilbakemeldinger.
To eksempler illustrerer dette:
|
4. Sluttbemerkninger
Første utkast av standarden var basert på mange kilder til informasjon. For eksempel risikoledelsesprosessen kom fra Australias og New Zealands Standard, AS/NZS 4360 som i løpet av de siste 20 årene og gjennom tre revisjoner og oppdateringer, hadde blitt den mest brukte standarden for risikoledelse i organisasjoner. I tillegg ble punkt 4 om implementering gjennom integrasjon basert på en elegant tilnærming, ved hjelp av organisatorisk forbedringssyklus i den østerrikske standard. Den endelige versjonen av ISO 31000 inneholder imidlertid svært lite av den opprinnelige teksten fra andre standarder. Den var omskrevet, gjennomgått og revidert så mange ganger at den nå virker helt homogen og selvbærende.
Selvfølgelig, til tross for anstrengelsene til så mange mennesker over så lang tidshorisont, er det alltid muligheter for forbedring og tillegg. Det mest presserende behovet, er imidlertid å utvikle en praktisk veiledning om implementeringen av standarden, noe ISO vurderer nå.
Arbeidet med å revidere standarden startet allerede i 2010.
Grant Purdy som er en av støttespillerne av ISO 31000:2009 mener at det på følgende områder trengs oppmerksomhet med hensyn til å forberede veiledningen:
|
Selv om det er alltid er rom for forbedring, representerer utgivelse av ISO 31000:2009 og ISO Guide 73:2009 en svært viktig milepæl for folk til å forstå og utnytte usikkerhet. Et enestående antall på 25 land stemte for standarden, der kun Italia stemte imot, og allerede har det formelt vært adoptert av mange land for å erstatte deres nasjonale standarder, noe som forårsaker at andre standardiseringsorganer reviderer sine dokumenter. Som et eksempel, har institutt for internrevisjon allerede publisert en guide til planlegging og gjennomføring av risikobasert revisjons- og bekreftelsesaktiviteter ved hjelp av ISO 31000 og sammenkalte i august 2010 et ”lederskapsforum” for å avgjøre sin framtidige policy med hensyn til risikoledelse.
Nye standarder starter på nytt med mål og måter å tenke på og det er utvilsomt at utgivelsen av ISO 31000 nå krever at alle risikoledelsesutøvere må undersøke sin nåværende måte å jobbe på og språket de bruker. Slik at deres kunder, som står overfor beslutninger, kan innhente enkel, konsekvent, nyttig og entydig informasjon. Større konsistens i definisjoner og prosess kan bare føre til større trygghet i beslutningsprosesser og til slutt til bedre beslutninger.
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE B
Gjennomføring og praktisk iverksettelse
|
FORORD iv 1.1 FRA TANKE TIL HANDLING 4 2.1 ”WORKSHOP”-PROSEDYREN 37 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 7. STIKKORDSREGISTER 104 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
| Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE B
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Guiden Enterprise Risk Management - ERM 
Legg igjen en kommentar