ERM–guiden
Praktisk Enterprise Risk Management(ERM)
Guide B – Gjennomføring og praktisk
iverksettelse
Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines
Modul B1 Etablering av kontekst
ENHET B1.8 ERM-prosjektet, realisering av styrevedtak:forklarer hensiktmessigheten av at innføringen av ERM i organisasjonen bør gjennomføres som et prosjekt. Videre beskrives en rekke oppgaver som må vurderes av prosjektgruppen. |
Å realisere styrevedtaket om etablering av ERM-systemet er som oftest mest praktisk å gjennomføre som en prosjektoppgave, noe som vi har poengtert ovenfor.
Figur A1-4 Innføringen av ERM i organisasjonen bør gjennomføres som et prosjekt.
Normalt vil det også være mest hensiktsmessig, at dette omfatter etablering av kontekst, første gangs gjennomføring av den indre kjerneprosessen og av den organisasjonsavhengige rapporteringssyklus. Det betyr, med andre ord, at prosjektgruppen ikke får slippe oppgaven før organisasjonen har gjennomkjørt ERM-systemet en gang, erfaringer har blitt høstet og nødvendige justeringer er foretatt. Senere justeringer vil da i større grad kunne løpe av seg selv som daglig/regelmessig vedlikehold.
Som vi etter hvert vil komme innpå vil det være en rekke oppgaver som må vurderes av prosjektgruppen, bla.:
|
B1.8.1 Etablering av operativ organisasjonsstruktur.
Noe av det første ERM-prosjektet vil måtte se på er de føringer som måtte ligge i styrevedtaket eller prosjektmandatet, mht. hvordan styret har tenkt at ERM-arbeidet skal organiseres. I vår modell deler vi arbeidet med ERM-systemet inn i tre ”forsvarslinjer”.
Vi forutsetter i våre videre eksempler at det er denne modellen styret har ”vedtatt””Førstelinjeforsvaret” bestående av linjeavdelinger og spesialistavdelinger.”Andrelinjeforsvaret” bestående av ”CRM” (Corporate Risk Management).”Tredjelinjeforsvaret ”bestående av internrevisjon og eksternrevisjon. (Se Guide A Enhet A 6.5) |
Figur B1-5 Eksempel på organisering av risikorapportører.
Når vi har valgt å legge denne delen av konteksten så tidlig i prosjektet, så er det for å sikre at prosjektet har nødvendig tid til å kartlegge, legge til rette for, og få aksept for en hensiktsmessig organisasjonsstruktur frem til ERM-systemet skal begynne å løpe.
Dette kan være en tidkrevende prosess som sannsynligvis må løpe parallelt med andre oppgaver i prosjektet, helt frem til ERM-systemet skal gjennomkjøres første gang. På den ene siden vil prosjektet på dette stadiet være lite kjent i organisasjonen og dennes ”forståelse eller støtte” til prosjektet kan være begrenset. Samtidig vil det være hensiktsmessig at enkelte nøkkelpersoner, som for eksempel internrevisor og evt. CRM/CRO, trekkes inn i prosjektet så tidlig som mulig. Dette vil kunne gi prosjektet bedre tid, og CRM/CRO mulighet til å påvirke hvordan informasjonen fra førstelinjeforsvaret skal innhentes og organiseres.
B1.8.2 ERM-funksjonens binding til linje
Et sentralt spørsmål er hvor tett vi ønsker å knytte opp ERM-funksjonen til linjen. Her står to motstridende interesser mot hverandre og det kan være vanskelig å finne den riktige balansegangen.
For det første har CRM/CRO behov for integritet og uavhengighet i forhold til operative beslutninger. Likeledes har funksjonen behov for uavhengighet i admin-istrative spørsmål, som for eksempel i forhold til ressursanvendelse etc..
På den annen side er vi svært avhengig av relevant informasjon om hva som foregår i det daglige, i de respektive organisasjonsenheter.
For å få til denne kombinasjonen synes det derfor mest hensiktsmessig, at CRM/CRO i faglige spørsmål og spørsmål om utøvelse av sin funksjon rapporterer til styret, men i det daglige (ansettelsesforhold etc.) sorterer under den daglige ledels-en.
Risikorapportørene derimot bør ha god faglig innsikt og rekrutteres fra det operative miljø, med det vesentlige av sin arbeidsdag knyttet til dette. Som vi senere skal komme nærmere inn på kan dette selvfølgelig åpne for en rekke utfordringer, men vi tror likevel ikke disse er større enn at de fleste organisasjoner makter å overkomme disse.
System- ansvar |
Små organisa-sjoner | Middels store organisa-sjoner |
Store organisa-sjoner | Store komplekse organisasjon-er/konsern |
CRO: Administrasjon og rapportering fra ERM-system |
”Deltids” – eller innleid CRO. |
”Fulltids/ deltids” CRO, alternativt innleid. |
CRM bestående av CRO + medarbeidere. |
CRM bestående av CRO + medarbeidere. |
Risiko-rapportør: Innsamling og rapportering av detalj-informasjon. |
Utvalgte medar-beidere fra linjen med faglig og operativ innsikt sender rapporter til CRO. |
Utvalgte medar-beidere fra linjen med faglig og operativ innsikt, arbeider i en eller flere grupper som sender aggregert informasjon til CRO. | Utvalgte medar-beidere fra linjen, med faglig og operativ innsikt, arbeider i flere grupper som sender aggregert informasjon til CRO. |
Utvalgte medarbeidere fra linjen, med faglig og operativ innsikt, arbeider i flere grupper admini-strert av en ”Risk Champion” som sender aggregert informasjon til CRO. |
Tabell B1-2 Tabellen viser hvordan man kan variere kapasiteten til ERM-arbeidet avhengig av organisasjonens størrelse.
B1.8.3 Personellbehov
Hvilke direkte personellmessige konsekvenser innføringen av ERM-systemet måtte få, vil i utgangspunktet både være avhenge av organisasjonens størrelse, og de ambisjoner styret har tilkjennegitt. Omorganisering, eller nye ansettelser, kan derfor være nødvendig for å bemanne posisjoner som for eksempel funksjonen som internrevisor og CRO/CRM. Dersom dette er nødvendig, må de interne prosesser for dette startes raskest mulig. For mindre og mellomstore organisasjoner kan disse funksjonene også tilrettelegges, slik at de kun periodevis krever oppmerksomhet eller ressurser. Det kan da være aktuelt å leie inn kompetanse og kapasitet i de periodene behovet oppstår.
B1.8.3.1 Krav til innleide konsulenter eller CRO
I de tilfeller vi velger å leie inn kapasitet og kompetanse, for eksempelvis periodevis, for å kunne dekke CRO funksjonen, må det utarbeides en oppdragsspesifikasjon som både omfatter ovennevnte forhold, samt de forhold som følger av forretningsforholdet til en ekstern leverandør.
Det er ellers en rekke andre krav vi må kunne stille:
|
B1.8.3.2 Krav til risikorapportørene
ERM-systemets behov for ressurser fra linjeorganisasjonen består i første rekke av personer som periodevis medvirker, eksempelvis i arbeidsgrupper/workshoper, eller rapporterer oppside/nedside risikoer på vegne av sine organisasjonsenheter. Med mindre disse enhetene er svært store vil dette i liten grad medføre behov for bemanningsøkning eller reorganisering. Det er her først og fremst behov for å sette av en nøkkelpersons tid til å løse denne oppgaven.
Risikorapportørene bør representere alle viktige funksjoner i organisasjonen, f.eks.:
|
B1.8.4 Deltakere på en workshop
Deltakerne til en eventuell workshop kan i prinsippet rekrutteres fra hele organisasjonen, og dens interessegrupper. Det vil likevel være hensiktsmessig å ha en klar strategi bak de kriterier som legges til grunn for deltakelse i workshopen.
Noe forenklet kan utvelgelse av deltakere til workshopen prinsipielt gjøres ut fra to ulike innfallsvinkler:
|
Argumentene bak en ”bottom up-prosess” synes såpass gjennomtenkte at det er den vi har lagt til grunn i vårt ”case”.
I mindre organisasjoner vil det ofte ikke være mulig å rendyrke den ene eller den andre innfallsvinkelen. ”Rekrutteringsgrunnlaget” kan rett og slett bli for lite. I så måte setter organisasjonen sammen en gruppe ut fra tilgjengelige ressurser og kompenserer for eventuelle mangler eller ulemper underveis, eller via måten organisasjonen leser rapportene på.
Risikorapportør = workshopdeltakerFor enkelhets skyld vil vi sette likhetstegn mellom det vi tidligere har omtalt som ” risikorapportører” og deltakere i workshopene. I praksis betyr det at rapportørene deltar i workshopene og kollektivt bearbeider oppside/nedside risikoer de har vært med på å identifisere. Det er imidlertid fullt mulig å tenke seg deling av disse rollene. Det kan tenkes situasjoner der det er praktisk å la rapportørenes rolle slutte med skriftlig rapportering av mulige muligheter/trusler, for deretter å la en selvstendig workshop bearbeide disse videre.Eksterne workshopdeltakereDet kan være fordeler ved å gjennomføre spesielle ”workshoper” med deltakelse fra eksterne interessegrupper som større strategiske samarbeidspartnere, leverandører, eksterne eksperter på sentrale emner, finansieringskilder etc.. Denne åpenheten:
|
B1.8.5 Tilpasse styrende dokumenter
De fleste organisasjoner av noe størrelse har organisasjonsbeskrivelser som definerer de enkelte organisasjonsenheters- og stillingers oppgaver og mandat. Disse må tilpasses og utvides til å dekke behovet fra ERM-systemet.
B1.8.5.1 Organisasjonsbeskrivelser (ulike avdelingers oppgaver)
Behovet for endringer i organisasjonsbeskrivelser vil kunne ligge på to nivåer.
|
B1.8.5.2 Stillingsinstrukser
Sentrale stillinger innen de ulike organisasjonsenheter er vanligvis beskrevet med stillingsinstrukser som bygger opp under organisasjonsbeskrivelsen og den enkelte organisasjonsenhets oppgaver. Stillingsinstruksen skal først og fremst virke avklarende, både for den enkelte stillingsinnehaver og dennes omgivelser, mht. hvilke oppgaver og fullmakter stillingen omfatter. Dernest vil også en god stillingsinstruks peke på de av vedkommendes organisasjonsenhets «Key Performance Indicators»(KPIer) som i vesentlig grad er underlagt stillingens ansvar.
I likhet med organisasjonsbeskrivelsene, vil innføringen av et ERM-system også kunne medføre behov for gjennomgang av stillingsbeskrivelsene, både i forhold til stillingens innhold/oppgaver og hvordan den måles:
1. Stillingens innhold
2. Oppfølging av stillingens mål. En stillingsinstruks bør inneholde pekere mot vesenlige KPIer for vedkommende stillings- og organisasjonsenhet. Det vil si at de KPIer som i særlig grad ventes å bli påvirket, gjennom utøvelsen av stillingens ansvar og fullmaker, klart fremgår av stillingsbeskrivelsen. Spesielt gjelder dette dersom det også knytter seg ytelsesbasert avlønning til disse «Key Performance Inicators» (KPIer). Iverksettelsen av et ERM-system vil da i prinsippet medføre behov for gjennomgang av alle stillingsinstrukser, med sikte på å komplettere disse med eventuelle KRIer (Key Risk Indicators), identifisert gjennom iverksettelsen av ERM-systemet. |
B1.8.6 Valg av verktøy og metoder
En systematisk og metodisk tilnærming til ERM vil nødvendigvis medføre innsamling og behandling av en større mengde informasjon, som skal analyseres og kommuniseres til en rekke interessenter både internt i organisasjonen og eksternt. De hjelpemidler vi har til rådighet, kan derfor både ha stor betydning for hvilke ressurser vi må anvende, og i hvilken grad vi evner å kommunisere resultatene fra ERM-systemet til alle interessenter.
B1.8.6.1 Metodikk
Valg av metodikk er på den ene siden et spørsmål om arbeidsform og hvordan vi praktisk går frem for å samle inn, analysere og kommunisere informasjonen fra systemet. På den andre siden har valg av metodikk betydning for omgivelsenes (for eksempel offentlige myndigheters og investorers) forståelse av systemet, og tiltro til den informasjonen som kommer ut fra det. Det kan ha stor betydning for organisasjons interessegrupper. Mange organisasjoner har derfor måttet spørre seg hvor mye funksjonalitet skal vi bygge inn i ERM-systemet, og hvordan skal vi kommunisere dette omfanget? Omfanget av funksjonalitet omtales gjerne som ERM-rammeverk/-system, mens vi her med begrepet arbeidsform mener måten vi arbeider på innen ERM-rammeverket/-systemet.
ERM-rammeverk/-system
I prinsippet kan vi velge en metodikk som er svært effektiv under innsamling og analyse av informasjonen om muligheter/trusler, men som ikke evner å kommunisere eller skape den nødvendige tiltro til resultatet, uten stor innsats fra organisasjonens side, fordi interessentene ikke har kjent til metodikken. Det er denne problemstillingen, blant annet organisasjoner som ISO har tatt tak i. ISO forsøker å etablere en standard eller ”kollektiv forståelse” av hva et system/rammeverk skal inneholde. Organisasjoner som retter sitt arbeid med oppside/nedside risikoer etter ISO’s systemmessige krav og anbefalinger, vil dermed også ha lettere for å kommunisere disse kvalitetene ut til sine omgivelser.
Når vi skal velge metodikk, bør derfor organisasjonen ta utgangspunkt i situasjonene som ledet til beslutningen om å etablere et ERM-system. Var situasjonen avledet av generelle kommersielle krav, kan valgfriheten være noe større enn om organisasjonen må tilfredsstille direkte juridiske eller andre eksterne krav. Har organisasjonen ressurser til det, kan den utvikle og vedlikeholde sin egen metodikk rettet inn mot egen organisasjon og dennes særegne krav. Juridisk drevne krav, skaper derimot gjerne et behov for at organisasjonen kan redegjøre for hvordan disse kravene tilfredstilles. Organisasjoner som skal drive internasjonal virksomhet vil derfor normalt være best tjent med å ”seile under et kjent flagg”. Vi har i vår fremgangsmåte lagt vekt på å komme frem til en metodikk som favner først og fremst ISOs /AS/NZSs rammeverk/system på den ene siden og de anbefalinger som ligger i disse , men også enkelte vesentlige deler fra COSO.
Arbeidsform
Innen det enkelte ERM-rammeverk/-system har vi en viss frihet til å organisere arbeidet slik at dette er best mulig tilpasset rammeverkets/systemets overordnede målsetninger og forutsetningene i den enkelte organisasjon. Begrepet er temmelig ”rommelig” og vil kunne omfatte en rekke forhold som ikke er presisert i anbefalingene, men som organisasjonen likevel vil måtte ta standpunkt til.
Eksempler på dette kan være:
|
I vårt ”case” har vi har plassert det faglige ansvaret for ERM, og administrasjon av prosessen som helhet hos CRO. CRO har imidlertid ikke ansvar for realisering av de respektive forslag til tiltak som ERM- prosessen måtte foreslå bør realiseres.
Vi har videre forutsatt en ”bottom up”-prosess på de fasene i ERM-prosessen som omfatter innsamling av informasjon og analyse av denne. I praksis betyr dette at ERM-prosessens faser 2 – 6 utføres av risikorapportører delvis selvstendig og delvis i arbeidsgrupper/workshoper. Det vil også si at linjeledelsen i liten grad er engasjert i disse fasene. Dette er en anbefaling vi også finner igjen i ISO/AS/NZS. Avslutningsvis aggregerer CRO alle workshopene i rapporter.
Vi har videre forutsatt at hver organisasjonsenhet er representert med et antall risikorapportører, tilstrekkelig til at resultatene ikke reflekter ”en persons subjektive skjønn”, men i størst mulig grad tilfredsstiller ”de store talls lov”.
ystemet |
COSO | ISOISO AS/NZS | ”Vårt rammeverk” | |||
Fase i ERM-prosessen | Utføres av: | ||||
«Internal Environment» | «Establish Context» | 0 | Bedriftsinternt Miljø |
Organisasjonen | |
«Objective settings» | 1 | Etablering av Kontekst |
Etablering av kontekst: ERM-prosjekt |
||
Vedlikehold av kontekst: CRO |
|||||
Event Identification | «Identify risks» | 2 | Identifisering og Kvantifisering | Risiko- rapportører i Workshoper (”Bottom up”) |
1. I. Forberedel -ser 2. II. Oppstarts møte workshop 3. III. Risik0-rapportør- ene arbeider med spørre-skjemaet 4. IV. Analyse av spørre-skjemaene 5. V. Gjennom-føring av workshoper 6. VI. Opp-summering av resultater.7. |
«Risk assessment» | «Analyze risks» *likelihood *consequence | 3 | Analyse (av enkeltrisikoer)(Sansynlighet>0 ogKonsekvens > 0) |
||
«Evaluate risks» | 4 | Evaluering (og prioritering) |
|||
«Risk response» | «Treat risks» | 5 | Tiltak | ||
6 | Rapportering | Aggregering og rapportering ved CRO |
|||
«Control activities» | 7 | Håndtering og overvåkning av risikoer. |
Linjen | ||
«Monitoring» | «Monitor and review» | 8 | SystemEvaluering og godkjenning |
CRO/ledelsen + Intern Revisjon (ERMSE + revisjoner) |
|
«Information and communication» | «Communicate and consult» | Kommunikasjon og konsultasjon | Organisasjonen |
Tabell B1-3 Tabellen viser fasene i de ulike rammeverk/system og hvem som er ansvarlig for disse i vårt «case».
B1.8.6.2 Risikokategoriseringsverktøy
Basisen for identifiseringen av oppside/nedside risiko er en organisasjonsmessig overordnet kategoriseringsmodell. Dette sikrer at alle muligheter/ trusler kan bli vurdert mest mulig enhetlig, og at den samme systematiske tilnærmingen blir brukt i hele organisasjonen. Dette forbedrer kommunikasjonen vedrørende risiko i organisasjonen, og muliggjør samtidig identifisering av akkumulerte effekter mellom forskjellige forretningsenheter.
Den standardiserte kategoriseringsmodellen må være tilstrekkelig ”artsorientert” til å kunne omfatte alle de forskjellige organisasjonsenheter innen en organisasjon. Den kan brukes som en ”mal” for utviklingen av spesifikke kategoriseringsmodeller, som passer presist inn i organisasjonen til de ulike forretningsenheter og den omverden de opererer i.
Vi minner om at konsekvensene av en risiko både har en oppside(mulighet) som en nedsiden (trussel).
Risikokategorier nivå 1 og 2 | Forklaring |
1. Forretningsrisikoer 1.1 Eksterne risikoer (globale, politiske, sosiale, naturkatastrofer) 1.2 Corporate Governance risikoer 1.3 Eksterne strategiske markeds/bransjerisikoer1.4 Andre eksterne strategisk risikoer 1.5 Forretnings håndterings risikoer |
Forandringer i enten eksterne omgivelser, eller i den forretningsmessig strategi som følge av slike forandringer, og som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet. F.eks. kon-kurrenters atferd. |
2. Operasjonelle-, – administr2.1 Teknologi og produktutviklingsrisikoer2.2 Produksjons-, og distribusjonsrisikoer2.3 Strategi, markedsføring og salgsrisikoer2.4 Organisasjon og ledelse2.5 Prosjektrisikoer | Risikoer innen verdikjedeprosessen eller støtteprosesser. F.eks. stabil produksjonsprosess. |
3. Juridisk- og etterlevelsesrisikoer | Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis. F.eks. produktsikkerhet. |
4. Finansielle risikoer | Risikoer relatert til finansielle transak-sjoner. F.eks. valutarisikoer, kreditt-risikoer, landsrisikoer. |
5. IT-risikoer | Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet. Fleksibilitet og støtte til informasjonssystemer og databanker. F.eks. misbruk av informasjons system-er. |
6. Personalrisikoer | Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte. F.eks. rekruttering av nøkkelpersonell. |
7. Innkjøpsrisikoer | Risikoer som oppstår i innkjøps-prosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og /eller priser. F.eks. avhengig-het av leverandører. |
Tabell B1-4 Tabellen viser et eksempel på risikokategorisering på to detaljeringsnivåer.
Når standard kategoriseringen modifiseres, bør/skal ikke risikokategoriene og den generelle strukturen mht. ”risikotypene” (inklusiv nummereringen) forandres, men risikoer kan tilføyes. Modifikasjonene skal/bør gjøres på overordnet nivå i organisasjonen og ikke individuelt for hver organisasjonsenhet for å tillate en felles analyse av risiko. Se tab. 1-4 ovenfor for et eksempel på en kategoriseringsmodell.
Avhengig av den enkelte organisasjons, og de ulike enheters modenhet, vil det finnes ORM-systemer (”Operative Risk Management” systemer) som kan tilordnes den enkelte kategori og i større eller mindre grad støtter ERM-systemet. Gode ORM-systemer vil kunne gi svært viktige bidrag til ERM-prosessens identifisering av risikoer og kvantifisering av konsekvensene av disse.
Organisasjonens kategoriseringsmodell og definisjoner for typene av risiko som er inkludert er omhandlet i vår Guide B Enhet 8 vedlegg A ”Kategoriseringsmodellen” og består av:
|
B1.8.6.3 Systemer og elektroniske hjelpemidler
Det finnes i dag en rekke elektroniske systemer for ERM i markedet. Utviklingen går fort og det vil føre for langt å gå inn på hver av disse. Vi vil derfor nøye oss med å gjengi noen av de grunnleggende valg en organisasjon må foreta, og hovedtrekkene vi finner i systemene.
Systemene kan generelt sett deles i tre hovedgrupper:
eller skjematur i form av enkle elektroniske formater er stort sett utviklet innen den enkelte organisasjon som benytter dem. Fordelene er først og fremst fleksibilitet og lave kostnader ved utvikling. Organisasjoner av noe størrelse vil likevel fort merke at det går med mye ressurser til innsamling av, – og bearbeiding av informasjon, og at ”gammel” informasjon ikke er så anvendelig fordi den er vanskeligere tilgjengelig. Løsningen har også den ulempe at ERM-prosessen har en tendens til å strekke seg ut i tid, som følge av den manuelle forsendelsen og bearbeidingen av informasjonen. Dette gjør det vanskeligere å holde fokus på prosessen, den tiden som er nødvendig for å få et godt resultat. Som langsiktig løsning er formularbaserte systemer mindre hensiktsmessige som annet enn overgangsløsninger for organisasjoner med et litt større antall rapportører.
|
De direkte kostnadene ved systemene kan grovt sett deles i den sentrale løsningen og kostnader knyttet til brukertilgang. Ofte ser vi at det investeres store beløp i sentrale løsninger med proprietære lisensbelagte brukeroverflater. Merkostnadene ved å gi flere brukere tilknytning til systemet hindrer da ofte den ønskede utbredelsen, og begrenser rentabiliteten av systemet. Det bør derfor legges stor vekt på en mest mulig ”åpen” brukeroverflat, med minst mulig tekniske eller økonomiske begrensninger på antallet brukere som skal legge inn eller hente ut informasjon av systemet. Systemet bør ellers bygge på de til enhver tid gjeldende, – og antatte fremtidige standarder.
Flere systemleverandører kan i dag levere systemer som baserer seg på en ”web”-basert brukeroverflate. Disse systemene er uavhengige av spesielle installasjoner på den enkelte brukers PC og derfor svært fleksible. Systemenes grunnleggende funksjonalitet installeres gjerne på organisasjonens server (intranett), men kan ofte også kjøres som leide løsninger på leverandørens server via internett.
Disse systemene gir ofte flere fordeler som for eksempel:
|
I forholdet til valg av hjelpemidler er det som oftest ikke spørsmål om, – men hvilken løsning organisasjonen vil gå for.
Noen av de spørsmål organisasjonen må stille seg før dette valget kan være som følger:
|
B1.8.7 Fastlegge rapporteringsterskler(-toleranse) i risikopolicyen
Det er vel ingen overdrivelse å påstå et de fleste risikopolicyer, eller den måten organisasjoner gjenspeiler sin ”risikoappetitt” på, og som er i anvendelse i dag, oftest er på et relativt generelt og overordnet nivå. De er på nivå med det vi har beskrevet i Guide A Enhet 1.6. De konkrete mål og hvordan vi mener det er best å nå dem, er stort sett beskrevet i tekst og generelle vendinger. Dette overlater svært mye til den enkelte medarbeider, både med hensyn til å vurdere den til en hver tid gjeldende situasjonsanalyse, og om de enkelte forhold til risikopolicyen er relevante. En målsetning med ERM-systemet er derfor å komme frem til metoder som åpner for større grad av ”automatisering” og bruk av hjelpemidler. Dette vil også i større gjøre det mulig å plasser ansvar med større presisjon, enn hva tilfellet i hovedsak er i dag.
I praksis betyr dette at vi på de ulike organisasjons- eller forretningsnivå tallfester de verdier vi har som mål for vår risikopolicy (”appetitt”) iht. kategoriseringsmodellen, og hvilke verdier vi kan akseptere før vi ønsker en eller annen form for spesialrapportering. Vi omtaler ofte dette som ”terskelverdie/toleransegrenserr”. Hvor detaljert vi skal gå frem, vil både kunne avhenge av ambisjoner, og ellers variere fra den ene organisasjonsenheten til den andre, eller fra den ene risikokategorien til den andre. Detaljeringsbehovet kan variere sterkt, og en differensiering i form av prioritert detaljeringsgrad kan derfor være hensiktsmessig for å spare tid og ressurser. Et minimumskrav bør imidlertid være at vi på alle organisasjons- eller forretningsnivåer har definert/tallfestet hvilken risiko vi er villig til å ta på det enkelte overordnede kategorinivå, samt hvilke grenseverdier som skal utløse rapportering oppover i organisasjonen.
Tabellarisk fremstilt vil verdiene i et minimumskrav for en enkelt organisasjonsenhet kunne fremstå som følger, nå fremstilt kun på den ene siden av mynten – nedside risiko:
Kategorier | Policy (”Appetitt”) |
Policy (”Appetitt”) | |
Enkelt risikoer |
Aggregerte risikoer | ||
Foretningsrisikoer | < 5’0 | >0’5 | =>Policy |
Operasjonelle, administrasjons – og ledelsesrisikoer | <2’0 | >0’3 | =>Policy |
Juridiske, – og konformitetsrisikoer | <0’1 | >0’02 | =>Policy |
Finansielle risikoer | <3’0 | >0’3 | =>Policy |
IT-risikoer | <1’5 | >0’5 | =>Policy |
Personalrisikoer | <0’1 | >0’05 | =>Policy |
Innkjøpsrisikoer | <1’0 | >0’1 | =>Policy |
Tabell B1-5 Tabellen viser et eksempel på tallfesting av «risikoappetitt» i en risikopolicy relatert til nivå 1 i kategoriseringsmodellen.
Talleksemplet bygger på ”virkning på EBIT (”Earning Before Interest and Tax”) i mill. NOK”
Rapporteringstersklene/-toleransegrensene for enkeltrisikoer bør være vesentlig lavere enn for de aggregerte risikoene innen kategorien. Enkeltstående forhold som kan utgjøre en vesentlig del av bildet på risikoer innen den enkelte kategori, vil da bli tydeliggjort.
Både policy og rapporteringsterskler kan variere mellom de ulike organisasjons-områdene. En tilsvarende fremstilling på et overordnet organisasjonsnivå vil naturlig nok måtte bygge på tilgang til informasjon om alle enkeltrisikoene på de underliggende nivåene. risikopolicy på overordnet nivå vil da utgjøre summen av risikopolicyene på underliggende nivå.
Når risikopolicyen og rapporteringstersklene er tallfestet har vi mulighet til å sammenligne den til enhver tid gjeldede situasjonsanalyse, med ønsker og mål, for deretter å vite om en rapportering eller tiltak er nødvendig. Ikke minst har vi lettere for å tilordne ansvar ut fra viktighet.
B1.8.8 Opplæring
Ryggraden i et ERM-system er organisasjonens felles forståelse av systemet, forutsetningene for det og hva det skal gi som resultat. Alle som er involvert med å gi systemet informasjon, eller skal bruke informasjonen fra det, må derfor være god kjent med sine roller, systemets funksjonalitet og forutsetningene for det.
B1.8.8.1 Kurs og opplæring
En situasjon der en enkeltperson eller liten gruppe personer forutsettes å drive ERM-systemet alene, vil først og fremst isolere systemet ved at viktig og riktig informasjon aldri kommer inn i systemet. Dermed vil verdien av resultatet også reduseres.
En bred felles opplæring er også en viktig ”kulturbærer” for organisasjoner som har kommet så langt at de har besluttet å innføre et ERM-system.
Opplæringen bør likevel rettes inn mot de enkeltes behov i forhold til ERM-systemet.
|
Ellers må vi også ha i tankene at personell skiftes ut over tid. Nye personer kommer til, eller får nye ansvarsområder og dermed behov for å sette seg inn i systemet. Svært ofte overlates disse nyankomne til seg selv og tilfeldighetene. Disse må derfor ha en stående mulighet til å sette seg inn i ERM-systemet, etter hvert som de får befatning med det.
B1.8.8.2 Retningslinjer, – ”guidelines”
En effektiv måte å bedre kjennskapen til ERM-systemet på, er å utarbeide et overordnet sett med retningslinjer eller ”guidelines” for ERM-systemet. Disse overordnede retningslinjene må fungere som rammeverk for alle som har befatning med systemet, og vedlikeholdes kontinuerlig av en sentral instans/CRO.
Retningslinjene bør inneholde veiledning om følgende:
|
Retningslinjene bør være en del av det dokumentsett eller ”ERM-system” styret godkjenner og overtar når prosjektet er ferdig og ERM-systemet skal settes i aktiv drift.
B1.8.9 Kultur og ERM-miljø
Kultur og miljø er ikke noe vi kan ”slå av og på” eller kan påvirke gjennom et enkelt tiltak. Kultur er summen av det kollektive erfaringsgrunnlaget i organisasjonen og henger sammen med en rekke faktorer i, – og utenfor den enkelte organisasjon. Hver enkelt medarbeider bærer med seg erfaringer, om hva som har brakt suksess, og hva som har brakt fiasko, både for egen, og organisasjonens del. Hovedsakelig har dette opphav i linjeledelsens ulike valg opp gjennom tidene. Kultur er derfor i hovedsak historisk betinget og i liten grad noe et ERM-prosjekt kan påvirke gjennom en kort prosjektperiode. Kulturen i organisasjonen er likevel noe ERM-prosjektet må ta hensyn til under iverksettelsen. Dersom det blir for stor avstand mellom de ambisjoner prosjektet legger opp til og kulturen i organisasjonen, kan satsingen fort oppfattes som ”festtaler og luftslott” og miste troverdighet, eller sågar, møte aktiv motstand fra parter som kan tape på endringer som måtte komme.
Figur B1-6 Faktorer som påvirker bedriftskulturen.
I denne sammenhengen kan rollen rundt risikorapportørene være særlig utsatt. Vi kan i ytterliggående tilfeller risikere at utvelgelsen av risikorapportører er ”kulturelt påvirket” i negativ forstand. Det vil si personer med begrenset innsikt og mulighet til å tilføre systemet informasjon av verdi blir valgt ut som rapportører. Det kan også bli nødvendig å vurdere særlige ”vernetiltak” for rapportører som gjør jobben sin. I uheldige situasjoner kan rapportører fort blir missoppfattet som ”angivere og brønnpissere”. Dersom organisasjonen er forberedt på at dette kan skje, før situasjonen rent faktisk oppstår, må det kunne antas at sjansen for at det faktisk skjer blir mindre. Først og fremst fordi ingen har lyst til å være den som oppfyller en slik spådom. Dernest fordi eventuelle ”vernetiltak” kan bidra til å bekrefte for organisasjonen at organisasjonen mener alvor, og at systemet er gjennomtenkt. Det kan derfor være fornuftig å identifiser eventuelt gap så tidlig som mulig i prosessen med etablering av ERM-systemet.
Nå må det også sies at det er nok av praktiske eksempler på organisasjoner som har gode skriftlige instrukser og vernetiltak for såkalt ”varsling” eller ”whistle blowing”, men som likevel ikke klarer å utøve disse i praksis. Når denne oppfattningen fester seg som ”kultur” i organisasjonen, kanskje gjennom noen praktiske eksempler, har organisasjonen en ekstra lang vei å gå. Vi er da tilbake til det nevnte gapet mellom prosjektets ambisjoner og den enkeltes erfaringer. Dette gapet må da lukkes med særlig innsats i form av kulturpåvirkende tiltak. Noe forenklet kan vi si at nøkkelen til å lukke dette gapet ligger i ”tid” og ”lønnsomhet”. Det må være ”lønnsomt” å tenke risiko, og organisasjonen må få ”tid” til å erfare dette.
B1.8.10 Koordinering med andre prosesser
B1.8.10.1 Program management
I en organisasjon foregår det til en hver tid en rekke prosesser og rutiner, som har grensesnitt mot hverandre. Disse kan ha utspring i ulike miljøer, være etablert på ulike tidspunkt, eller ha ulike målsetninger og prioritet. Likevel kan mange av disse prosessene inneholder elementer av de samme oppgaver og funksjoner. En optimal utnyttelse av ressursene tilsier da at organisasjonen forsøker å utnytte disse felles elementene i størst mulig utstrekning, ved å la de ulike prosessene spille sammen. Når en prosess først er etablert viser det seg ofte at det oppstår motvilje mot å foreta endringer av denne. Det kan derfor være en stor utfordring å tilpasse de ulike prosessene til hverandre når de først er etablert. De ulike miljøene som er ansvarlig for prosessene vil da ofte vise seg mindre samarbeidsvillige, av frykt for at ”deres prosess” skal forstyrres, tape anseelse, eller prioriteres ned, eller rett og slett bli tatt opp i en annen prosess. Eventuelle felles grensesnitt eller interessefelleskap med andre prosesser kan derfor med fordel avklares så fort som mulig i prosjektet.
Figur B1-7 Koordinering av ulike beslektede prosesser.
I prosjektrettede miljøer eller ”flate” organisasjoner, der prosjektene ofte er sidestilte, kan viljen til å samarbeide sideveis sitte ekstra langt inne. Noen organisasjoner har derfor formalisert oppgaven med prosess-koordinering ved å etablere en funksjon som skal ta seg av samspillet mellom pro-sessene. Denne funksjonen kalles ofte ”Program Management” og arbeider normalt på tvers av organisatoriske skillelinjer.
Der denne funksjonen finnes, kan den være en nyttig alliansepartner for ledelsen av et ERM-prosjekt både med hensyn til å finne aktuelle prosesser som bør spille sammen, og å etablere rutiner for dette samspillet.
Typiske prosesser for nærmere samspill med en ERM-prosess vil kunne være kvalitetssikring (QA), Balanced Scorecard (BSC), Helse Miljø og Sikkerhet (HMS), miljørevisjoner, og for ikke å glemme strategi- og budsjettprosesser. Se forøvrig Guide A Enhet A5.6 for nærmere detaljer om ERM,QA og BSC.
Figur B1-8 Eksempel på samspill mellom kvalitetssikring og ERM.
B1.8.11 Styrebehandling og godkjenning av prosjekt
B1.8.11.1 Styrevedtak
Styrets endelige godkjenning av ERM-systemet representerer det endelige signalet, ovenfor organisasjonen og dens interessenter, om at ERM-systemet er en del av organisasjonens styringssystem. Således gir styrevedtaket ERM-systemet den nødvendige legitimitet og signaliserer krav til oppfølging og samspill med løpende rutiner.
B1.8.12 Grensesnitt mot hverdagen
B1.8.12.1 Tilpasse løpende rutiner
Når ERM-systemet er satt i drift må organisasjonen tilpasse sine løpende rutiner og systemer slik at disse støtter systemet best mulig. Ansvaret for ERM-systemet overføres dermed fra prosjektet til linjen som i vårt ”case” i første rekke vil være CRO. CRO overtar imidlertid først og fremst ansvaret for driften og administrasjonen av ERM-systemet i seg selv. At ERM-systemet får den nødvendige informasjon og at organisasjonen klarer å nyttegjøre seg resultatene fra dette, er i minst like stor grad et ansvar som påhviler den øvrige del av linjeledelsen.
Dette ansvaret omfatter eksempelvis:
|
B1.8.12.2 Identifikasjon av ”Key Risk Indictors” (KRIer)
De fleste organisasjoner har et sett med mer eller mindre velutviklede KPIer (”Key Performance Indicators”) som de styrer etter. KRI’ene (”Key Risk Indicators”) representerer den delen av KPI’ene som indikerer risikoene organisasjonen utsetter seg for. Disse har tradisjonelt vært gjenstand for langt mindre fokus enn de KPI’ene, som har indikert organisasjonens volumvekst og fortjeneste. Det har derfor ofte kunnet bygge seg opp en ”back logg” av risikoer i det stille, som først på et senere tidspunkt har slått til.
ERM-systemet stiller krav til at det utvikles indikatorer for nyoppdagede risikoer, og at disse indikatorene deretter overvåkes. Mange av disse indikatorene ligger kanskje allerede i underliggende ORM-systemer (”Operative Risk Management” systemer), og må bare tolkes eller tilpasses ERM-systemet. Dette må være et ansvar linjen ivaretar løpende.
Eksempel på indikatorer for kredittrisiko:
|
Kursguidene A og B
Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
KURSDOKUMENTASJON INNHOLD GUIDE B
Gjennomføring og praktisk iverksettelse
FORORD iv 1.1 FRA TANKE TIL HANDLING 4 2.1 ”WORKSHOP”-PROSEDYREN 37 3. HÅNDTERING OG OVERVÅKING 78 3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78 4. SYSTEMEVALUERING OG GODKJENNING 84 4.1 CRO/CRM’S KONTROLLER 84 5. KOMMUNIKASJON OG KONSULTASJON 97 5.1 INFORMASJON TIL ERM-SYSTEMET 98 6. VEDLIKEHOLD AV KONTEKST 101 6.1 ERM-PLANEN/-PROGRAMMET 101 7. STIKKORDSREGISTER 104 |
Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no
PRIS:
Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg |
Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg |
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VEDLEGGSOVERSIKT GUIDE B
Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:
VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com
Copyright © 2006-2015 VIG CONSULTING
Legg igjen en kommentar