ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide B – Gjennomføring og praktisk
iverksettelse
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul B4 SystemEvaluering og gjennomgang
ENHET B4.1 CRO/CRM’s kontroller:anbefaller at CRO’s/CRM også foretar en ERM-systemevaluering og leter etter forbedringsmuligheter. Introduserer ERMSE som en egen prosess innen ERM-systemet som skal kontrollere og dokumentere funksjonaliteten av de viktigste elementene i ERM-system som ERM-kulturen og kommunikasjonen, styrende dokumenter, organiseringen, kontroll og godkjenning og ERM-prosessen. |
Som nevnt stiller både ISO og AS/NZS krav om at ERM-systemet løpende skal vurderes. CRO’s/CRM’s systemevaluering er imidlertid også en naturlig følge av at enhver funksjon må kunne rapportere sine resultater, og lete etter forbedringsmuligheter. CRO/CRM vil i vårt ”case” ikke være en egen resultatenhet i regnskapsmessig forstand og må derfor rette seg mot andre målemetoder. En slik målemetode er det vi i det følgende vil kalle ERMSE (Enterprise Risk Management SystemEvaluering).
B4.1.1 ERMSE – Enterprise Risk Management SystemEvaluering
ERMSE er en egen prosess innen ERM-systemet som skal kontrollere og dokumentere funksjonaliteten av de viktigste elementene i ERM-systemet:
|
B4.1.1.1 ERMSE – informasjonsgrunnla
Figur B4-1 Elementene i ERM-systemet.
ERMSE-prosessen baseres på to hovedprinsipper for innsamling av informasjon om disse elementene
|
B4.1.2 Metode for ERMSE
Det er etter vår oppfatning viktig at den fremgangsmåten vi velger å følge under denne fasen av ERM-systemet er tett integrert i den systematikken ERM-systemet ellers følger, og de rammebetingelser vi har definert under etablering av kontekst. Ikke minst kan de tekniske hjelpemidler vi råder over ha betydning for hvordan vi praktisk går frem.
Vanligvis foregår innsamlingen av informasjon til analysen ved at sentrale personer besvarer spesielt utformede spørreskjemaer, gjerne i kombinasjon med intervjuer, med sikte på å fremskaffe et hensiktsmessig informasjonsgrunnlag. Vår beskrivelse av prosessen må imidlertid forståes som et generelt eksempel på hvordan ERMSE-prosessen kan gjennomføres og ikke som utfyllende for enhver organisasjon.
Vi bygger imidlertid vårt eksempel på følgende fundament:
|
ERMSE bør kunne konkludere med følgende:
|
Figur B4-2 Forenklet fremstilling av eksempel på ERMSE-prosess.
I vårt eksempel på fremgangsmåte har vi valgt å dele inn arbeidet med ERM SystemEvaluering (ERMSE) i følgende 5 faser:
|
B4.1.2.1 Fase 1: Forberedelse av ERM-SystemEvaluering (ERMSE)
Avhengig av ambisjonsnivå kan ERMSE være en belastende prosess for organisasjonen. Det er derfor viktig at denne forberedes godt slik at informasjonen vi får ut av analysen blir best mulig, mens vi på den andre siden belaster organisasjonen minst mulig. Ansvaret for dette, samt koordinering og avstemming med organisasjonens ledelse og evt. revisjon ligger vanligvis hos CRO.
Viktige oppgaver under forberedelsene er som følger:
|
B4.1.2.2 Fase 2: Arbeid med ERMSE-spørsmålene ved respondentene/de intervjuede
Ved hjelp av standardiserte spørreskjemaer kan vurderinger av kvaliteten og påliteligheten av ERM-systemet og interaksjon med undersystemer (ORM) samles inn fra ledelsen/prosesseiere og spesialistavdelinger. For å kunne sammenligne ulike personers synspunkter og bygge opp en helhetlig analyse er det viktig at disse i størst mulig grad bygger på det samme begrepsapparatet. Dette er lettest å oppnå dersom respondentene gjengir sine synspunkter iht. til en kvantitativ skala (f.eks. karakteren 1 – 5). I fig. B4-3 gjengies et eksempel på hvordan et slikt spørreskjema kan utformes for f.eks. finansielle risikoer.
Figur B4-3 Eksempel på spørreskjema for «finansielle risikoer (nedsiden)».
I dette eksemplet blir respondentene bedt om følgende:
|
Av praktiske grunner kan det være aktuelt å begrense kravet til at respondentene skal ta stilling til alle risikoene under hver kategori, til kun å be om karaktersetting (pkt 3 – 5) der ”mulig risiko” foreligger. Dette vil begrense belastningen på den enkelte respondent, men vil gjøre besvarelsene noe mer upresise. Betydningen av dette vil bli mindre i takt med økende antall respondenter.
Spørreskjemaene må følge samme struktur som risikokategoriseringsmodellen. Tilsvarende skjema må derfor også foreligge for de andre risikokategoriene. Når slike metoder benyttes må respondentene ha noenlunde samme forståelse av hvilke betingelser som skal være tilstede for at den enkelte karakter skal kunne gjelde.
Til hjelp under karaktersettingen (pkt. 3 og 4) bør det derfor foreligge et hjelpemiddel i form av en nærmere beskrivelse av forutsetningene bak den enkelte karakter (vurderingsskriterier).
Vurderings- kriterier |
Beskrivende forutsetninger for elementet: ”Risikopolicy/retningslinjer” |
5 |
|
4 |
|
3 |
|
2 |
|
1 |
|
Tabell B4-1 Eksempel på karakterskala (vurderingskriterier) for vurdering av «Risikopolicy og retningslinjer».
Tilsvarende definisjoner må også foreligge for ORM-interaksjonsstøtte, kjerneprosessen (roller og ansvar, prosess, identifisering, analyse etc.) og øvrige elementer i ERM-systemet.
Vi poengterer igjen at et lignende spørreskjema kan lages for oppside risikoer (muligheter).
Likedan bør det foreligge en standardisert oversikt over hvilke ansvarsområder organisasjonen ønsker å gruppere/identifiser for den enkelte risiko og/eller mulighet (Se nedre del av eksemplifisert spørreskjema).
Figur B4-4 Eksempel på utfylt spørreskjema for finansielle nedside risikoer.
B4.1.2.3 Fase 3: Aggregering og utarbeidelse av systemevaluerings- og ansvarsmatriser
For å lette det analysearbeide som må gjøres bør mest mulig av den innsamlede informasjonen fra enkeltpersoner aggregeres opp på de ulike ønskede nivåer. Avhengig av organisasjonenes størrelse vil vi her kunne ha god nytte av egnede elektroniske systemer til å utarbeide nødvendige rapporter som peker ut områder der ERM-systemet eller organisasjonen har svakheter eller mangelfull funksjonalitet.
Rapportene danner grunnlag for CRO’s og ledelsens videre analyser (fase 4), men bør også gå ubearbeidet men aggregert tilbake til linjeledelsen på de ulike organisatoriske nivå, og dermed direkte bidra som et viktig ”korrektiv” til disse. Rapportene vil på den måten også kunne inngå som en ”egenanalyse/selvangivelse” med sikte på videre vurdering/bekreftelse av intern-, eller ekstern revisjon.
Fra vårt skjemaeksempel for nedside risiko kan vi trekke ut tre hovedområder for aggregering:
|
B4.1.2.4 Fase 4: Analyser av svakheter og prioriteringer av forbedringstiltak av CRO/ledelsen
Til tross for at analysene under ERMSE i store trekk bygger på aggregerte kvantitative verdier (og er avhengig av antall respondenter, ”de store talls lov”), vil det meste måtte gjøres gjennom utøvelse av ”kvalifisert skjønn”. Det må derfor i stor grad tas hensyn til kvaliteten og måten bakenforliggende informasjon har fremkommet. Ofte vil det derfor være nødvendig å innhente tilleggsinformasjon og bekreftelser fra ulike kilder.
Blant de spørsmål vi ofte søker å få svar på er:
|
Figur 4-5 Manglende samsvar mellom identifiserte risikoer i ERM-kjerneprosessen og ERMSE må være gjenstand for nærmer analyse.
Figur B4-6 Forbedringsmuligheter i ERM-prosessen må utnyttes.
Figur B4-7 Tilpassninger må gjøres i organisasjon og ansvar der dette ikke synes tilfredsstillende.
B4.1.2.5 Fase 5: Iverksettelse av tiltak og dokumentasjon
Tiltakene kan grovt sett deles i tre hovedgrupper:
|
Tiltaks-/aksjonsplaner må prioriteres iht. den potensielle innvirkning enhver svakhet har på det nåværende ERM-system.
Dersom tiltaks-/aksjonsplanene har en lang iverksettelseshorisont bør det gis tid til å iverksette mellomløsninger.
Gjennom analysen er det også mulig å identifisere hvilke risikokategorier som i særlig grad har behov for bedre operativ risikoovervåkning. Vi kan eksempelvis tenke oss en kategori med relativt høyt risikonivå, men med et undersystem (ORM) med liten evne til løpende å følge utviklingen av en risiko.
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE B
Gjennomføring og praktisk iverksettelse
FORORD iv 1.1 FRA TANKE TIL HANDLING 4 2.1 ”WORKSHOP”-PROSEDYREN 37 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 7. STIKKORDSREGISTER 104 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE B
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Legg igjen en kommentar