Enhet B1.8 ERM-prosjektet, realisering av styrevedtak

ERM–guiden

Praktisk Enterprise Risk Management(ERM)

100_4274

Guide B – Gjennomføring og praktisk

iverksettelse

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines

october_27_048

Modul B1 Etablering av kontekst

ENHET B1.8 ERM-prosjektet, realisering av styrevedtak:

forklarer hensiktmessigheten av at innføringen av ERM i organisasjonen bør gjennomføres som et prosjekt.

Videre beskrives en rekke oppgaver som må vurderes av prosjektgruppen.

Å realisere styrevedtaket om etablering av ERM-systemet er som oftest mest praktisk å gjennomføre som en prosjektoppgave, noe som vi har poengtert ovenfor.

Figur A1-4 Innføringen av ERM i organisasjonen bør gjennomføres som et prosjekt.

Normalt vil det også være mest hensiktsmessig, at dette omfatter etablering av kontekst, første gangs gjennomføring av den indre kjerneprosessen og av den organisasjonsavhengige rapporteringssyklus. Det betyr, med andre ord, at prosjektgruppen ikke får slippe oppgaven før organisasjonen har gjennomkjørt ERM-systemet en gang, erfaringer har blitt høstet og nødvendige justeringer er foretatt. Senere justeringer vil da i større grad kunne løpe av seg selv som daglig/regelmessig vedlikehold.

Som vi etter hvert vil komme innpå vil det være en rekke oppgaver som må vurderes av prosjektgruppen, bla.:

Eierskapet til oppside/nedside risikoer (risikoeierskap).
Organisasjonens kultur og verdier.
Organisasjonsstruktur og ressurser.
Kommunikasjon, informasjon og konsultasjon med interessegruppene (eksterne og interne).
KPIer (Key Performance Indicators og KRIer (Key Risk Indicators).
Etablering av hensiktsmessig kompetanse og atferd.
Guider og støttemateriell for opplæring.
Kommunikasjonsstrategier internt og eksternt.
Sammenhengen med andre prosesser i organisasjonen.
Opplæring og utvikling.
Bruk av metoder og verktøy.
Dagens styrende dokumenter/retningslinjer/policyer, eventuelt nye.

B1.8.1 Etablering av operativ organisasjonsstruktur.

Noe av det første ERM-prosjektet vil måtte se på er de føringer som måtte ligge i styrevedtaket eller prosjektmandatet, mht. hvordan styret har tenkt at ERM-arbeidet skal organiseres. I vår modell deler vi arbeidet med ERM-systemet inn i tre ”forsvarslinjer”.

Vi forutsetter i våre videre eksempler at det er denne modellen styret har ”vedtatt””Førstelinjeforsvaret” bestående av linjeavdelinger og spesialistavdelinger.”Andrelinjeforsvaret” bestående av ”CRM” (Corporate Risk Management).”Tredjelinjeforsvaret ”bestående av internrevisjon og eksternrevisjon. (Se Guide A Enhet A 6.5)

Figur B1-5 Eksempel på organisering av risikorapportører.

Når vi har valgt å legge denne delen av konteksten så tidlig i prosjektet, så er det for å sikre at prosjektet har nødvendig tid til å kartlegge, legge til rette for, og få aksept for en hensiktsmessig organisasjonsstruktur frem til ERM-systemet skal begynne å løpe.

Dette kan være en tidkrevende prosess som sannsynligvis må løpe parallelt med andre oppgaver i prosjektet, helt frem til ERM-systemet skal gjennomkjøres første gang. På den ene siden vil prosjektet på dette stadiet være lite kjent i organisasjonen og dennes ”forståelse eller støtte” til prosjektet kan være begrenset. Samtidig vil det være hensiktsmessig at enkelte nøkkelpersoner, som for eksempel internrevisor og evt. CRM/CRO, trekkes inn i prosjektet så tidlig som mulig. Dette vil kunne gi prosjektet bedre tid, og CRM/CRO mulighet til å påvirke hvordan informasjonen fra førstelinjeforsvaret skal innhentes og organiseres.

B1.8.2 ERM-funksjonens binding til linje

Et sentralt spørsmål er hvor tett vi ønsker å knytte opp ERM-funksjonen til linjen. Her står to motstridende interesser mot hverandre og det kan være vanskelig å finne den riktige balansegangen.

For det første har CRM/CRO behov for integritet og uavhengighet i forhold til operative beslutninger. Likeledes har funksjonen behov for uavhengighet i admin-istrative spørsmål, som for eksempel i forhold til ressursanvendelse etc..

På den annen side er vi svært avhengig av relevant informasjon om hva som foregår i det daglige, i de respektive organisasjonsenheter.

For å få til denne kombinasjonen synes det derfor mest hensiktsmessig, at CRM/CRO i faglige spørsmål og spørsmål om utøvelse av sin funksjon rapporterer til styret, men i det daglige (ansettelsesforhold etc.) sorterer under den daglige ledels-en.

Risikorapportørene derimot bør ha god faglig innsikt og rekrutteres fra det operative miljø, med det vesentlige av sin arbeidsdag knyttet til dette. Som vi senere skal komme nærmere inn på kan dette selvfølgelig åpne for en rekke utfordringer, men vi tror likevel ikke disse er større enn at de fleste organisasjoner makter å overkomme disse.

System- ansvar	Små organisa-sjoner	Middels store organisa-sjoner	Store organisa-sjoner	Store komplekse organisasjon-er/konsern
CRO: Administrasjon og rapportering fra ERM-system	”Deltids” – eller innleid CRO.	”Fulltids/ deltids” CRO, alternativt innleid.	CRM bestående av CRO + medarbeidere.	CRM bestående av CRO + medarbeidere.
Risiko-rapportør: Innsamling og rapportering av detalj-informasjon.	Utvalgte medar-beidere fra linjen med faglig og operativ innsikt sender rapporter til CRO.	Utvalgte medar-beidere fra linjen med faglig og operativ innsikt, arbeider i en eller flere grupper som sender aggregert informasjon til CRO.	Utvalgte medar-beidere fra linjen, med faglig og operativ innsikt, arbeider i flere grupper som sender aggregert informasjon til CRO.	Utvalgte medarbeidere fra linjen, med faglig og operativ innsikt, arbeider i flere grupper admini-strert av en ”Risk Champion” som sender aggregert informasjon til CRO.

Tabell B1-2 Tabellen viser hvordan man kan variere kapasiteten til ERM-arbeidet avhengig av organisasjonens størrelse.

B1.8.3 Personellbehov

Hvilke direkte personellmessige konsekvenser innføringen av ERM-systemet måtte få, vil i utgangspunktet både være avhenge av organisasjonens størrelse, og de ambisjoner styret har tilkjennegitt. Omorganisering, eller nye ansettelser, kan derfor være nødvendig for å bemanne posisjoner som for eksempel funksjonen som internrevisor og CRO/CRM. Dersom dette er nødvendig, må de interne prosesser for dette startes raskest mulig. For mindre og mellomstore organisasjoner kan disse funksjonene også tilrettelegges, slik at de kun periodevis krever oppmerksomhet eller ressurser. Det kan da være aktuelt å leie inn kompetanse og kapasitet i de periodene behovet oppstår.

B1.8.3.1 Krav til innleide konsulenter eller CRO

I de tilfeller vi velger å leie inn kapasitet og kompetanse, for eksempelvis periodevis, for å kunne dekke CRO funksjonen, må det utarbeides en oppdragsspesifikasjon som både omfatter ovennevnte forhold, samt de forhold som følger av forretningsforholdet til en ekstern leverandør.

Det er ellers en rekke andre krav vi må kunne stille:

Objektivitet: En innleid konsulent må være helt åpen og uavhengig, både når det gjelder personlig innstilling og økonomiske bånd. I forhold til oppdraget må vedkommende ikke være underlagt instruksjon eller påvirkning av andre. Verken direkte eller indirekte, gjennom finansielle gevinster eller tap som resultat av sine anbefalinger eller utøvelse av oppdraget for øvrig.
Kompetanse: Ved siden av sin utdannelse og generelle administrative erfaring, bør vedkommende kunne vise til kunnskaper og erfaring fra praktisk arbeide fra lignende oppdrag.

B1.8.3.2 Krav til risikorapportørene

ERM-systemets behov for ressurser fra linjeorganisasjonen består i første rekke av personer som periodevis medvirker, eksempelvis i arbeidsgrupper/workshoper, eller rapporterer oppside/nedside risikoer på vegne av sine organisasjonsenheter. Med mindre disse enhetene er svært store vil dette i liten grad medføre behov for bemanningsøkning eller reorganisering. Det er her først og fremst behov for å sette av en nøkkelpersons tid til å løse denne oppgaven.

Risikorapportørene bør representere alle viktige funksjoner i organisasjonen, f.eks.:

Forskning og utvikling.
Produksjon.
Salg og markedsføring.
Service.
Logistikk/transport.
Prosjektledelse.
Strategi.
Økonomi/finans/controlling.
Kvalitetsledelse.
Sikkerhet.
Personalforvaltning.

B1.8.4 Deltakere på en workshop

Deltakerne til en eventuell workshop kan i prinsippet rekrutteres fra hele organisasjonen, og dens interessegrupper. Det vil likevel være hensiktsmessig å ha en klar strategi bak de kriterier som legges til grunn for deltakelse i workshopen.

Noe forenklet kan utvelgelse av deltakere til workshopen prinsipielt gjøres ut fra to ulike innfallsvinkler:

”Top Down”: Deltakelse etter dette prinsippet betyr at deltakerne velges blant sentrale ledere og interessenter med overordnet kjennskap til organisasjonen. Denne fremgangsmåten finner for eksempel sin støtte i COSO’s rammerverk. Innvendingene mot denne innfalsvinkelen kan være at den tenderer til å bidra med mindre ny informasjon. Det som blir dokumentert i ERM-systemet blir ofte det som allerede er rapportert gjennom andre kanaler.
”Bottom up”: Etter dette prinsippet velges deltakerne blant et bredere lag av organisasjonens ansatte, blant fagpersonell og sentrale ansatte med stor innsikt i sine arbeidsområder. Denne innfallsvinkelen finner sin klare støtte i ISO’s rammeverk og AS/NZS’s rammeverk.

Argumentene bak en ”bottom up-prosess” synes såpass gjennomtenkte at det er den vi har lagt til grunn i vårt ”case”.

I mindre organisasjoner vil det ofte ikke være mulig å rendyrke den ene eller den andre innfallsvinkelen. ”Rekrutteringsgrunnlaget” kan rett og slett bli for lite. I så måte setter organisasjonen sammen en gruppe ut fra tilgjengelige ressurser og kompenserer for eventuelle mangler eller ulemper underveis, eller via måten organisasjonen leser rapportene på.

Risikorapportør = workshopdeltakerFor enkelhets skyld vil vi sette likhetstegn mellom det vi tidligere har omtalt som ” risikorapportører” og deltakere i workshopene. I praksis betyr det at rapportørene deltar i workshopene og kollektivt bearbeider oppside/nedside risikoer de har vært med på å identifisere. Det er imidlertid fullt mulig å tenke seg deling av disse rollene. Det kan tenkes situasjoner der det er praktisk å la rapportørenes rolle slutte med skriftlig rapportering av mulige muligheter/trusler, for deretter å la en selvstendig workshop bearbeide disse videre.Eksterne workshopdeltakereDet kan være fordeler ved å gjennomføre spesielle ”workshoper” med deltakelse fra eksterne interessegrupper som større strategiske samarbeidspartnere, leverandører, eksterne eksperter på sentrale emner, finansieringskilder etc.. Denne åpenheten:

Bygger tillit hos interessegruppene til den informasjon systemet avgir.
Skaper forståelse for prioriteringene av saker som vekker bekymring hos de involverte.
Hjelper på kommunikasjonen mellom partene.
Gir betydelig assistanse til lederne fra alle deler av organisasjonen til å tildele ressurser og håndtere muligheter/trusler mer effektivt.
Støtte fra ”nøytral” tredjepart kan bidra til at nye synspunkter slipper til.
Miljø og HMS.

B1.8.5 Tilpasse styrende dokumenter

De fleste organisasjoner av noe størrelse har organisasjonsbeskrivelser som definerer de enkelte organisasjonsenheters- og stillingers oppgaver og mandat. Disse må tilpasses og utvides til å dekke behovet fra ERM-systemet.

B1.8.5.1 Organisasjonsbeskrivelser (ulike avdelingers oppgaver)

Behovet for endringer i organisasjonsbeskrivelser vil kunne ligge på to nivåer.

Først og fremst er behovet knyttet til plassering av ansvaret for utførelsen av de oppgaver ERM-systemet krever utført, opp mot den enkelte organisasjonsenhet. I den grad ERM-systemet i vesentlig grad er avhengig av at en enhet utfører sin del av systemet bør organisasjonen derfor vurdere å inkludere/presisere dette i organisasjonsbeskrivelsen.
- Linje – og spesialavdelinger: Endringen i eventuelle funksjonsbeskrivelser for linje- og spesialavdelinger vil i første rekke knytte seg til hvordan disse avstår ressurser til å rapportere muligheter/trusler, og i liten grad ellers påvirke deres funksjoner. Det er derfor sannsynligvis normalt kun mindre justeringer som er nødvendig.
- ERM-funksjonen (CRM). ERM-funksjonen (som ofte kalles Corporate Risk Management) som i vårt ”case” her er en ny funksjon, vil trenge en ny funksjonsbeskrivelse. Avhengig av organisasjonens størrelse, kan CRM være alt fra en ”funksjon” en person periodisk trer inn i, til en gruppe personer som arbeider på full tid. CRM ledes av en CRO (Chief Risk Officer) og sorterer vanligvis administrativt under daglig leder/direktør eller økonomidirektør, men rapporterer faglig til styret.
- Et viktig aspekt ved organisasjonsbeskrivelsen er det mandat den gir CRM/CRO til å bryte inn i daglige gjøremål, i den hensikt å få gjennomført ERM-prosedyrer, eller få aksept for ressursavståelser og prioritet. Dessverre er ofte ulik prioritet på ERM-arbeidet kilden til konflikt, og fører ofte til at de ulike deler av organisasjonen kommer i utakt og får vanskeligheter med enhetlig rapportering. Hvor langt CRM/CRO kan gå i krav om ressursavståelse fra de operative avdelinger bør derfor fremgå tydeligst mulig i organisasjonsbeskrivelsen.
- For organisasjoner som har egen internrevisjon vil endringene som følger av ERM-innføringen ha liten innvirkning på utforming-en av en eventuell organisasjonsbeskrivelse for denne enheten. Snarere er det snakk om presisering av enhetens rolle i systemet, og dokumentasjon på utvidelse av de områder som må underlegges revisjon gjennom komplettering av revisjonsoversikter. Internrevisor må imidlertid være godt kjent med de krav ERM-systemet stiller, og ellers gjennomføre revisjonene i henhold til god revisjonsskikk. Dette er også en ”stadfestelse” av at disse revisjonene inngår i et større system og således bør tilpasses syklusen i dette.
En god organisasjonsbeskrivelse peker også på hvilke parameter (KPIer) organisasjonen måler effektiviteten eller resultatene i en enhet etter. Innføringen av et ERM-system vil derfor nødvendigvis medføre at organi-sasjonen inkluderer ”Key Risk Indicators” (KRIer) blant disse kriteriene. En viktig del av prosjektet blir derfor å identifisere de KRIer som er sentrale for den enkelte organisasjonsenhet, og inkludere disse på en hensiktsmessig måte.

B1.8.5.2 Stillingsinstrukser

Sentrale stillinger innen de ulike organisasjonsenheter er vanligvis beskrevet med stillingsinstrukser som bygger opp under organisasjonsbeskrivelsen og den enkelte organisasjonsenhets oppgaver. Stillingsinstruksen skal først og fremst virke avklarende, både for den enkelte stillingsinnehaver og dennes omgivelser, mht. hvilke oppgaver og fullmakter stillingen omfatter. Dernest vil også en god stillingsinstruks peke på de av vedkommendes organisasjonsenhets «Key Performance Indicators»(KPIer) som i vesentlig grad er underlagt stillingens ansvar.

I likhet med organisasjonsbeskrivelsene, vil innføringen av et ERM-system også kunne medføre behov for gjennomgang av stillingsbeskrivelsene, både i forhold til stillingens innhold/oppgaver og hvordan den måles:

1. Stillingens innhold

CRO (Chief Risk Officer): CRO er i vårt ”case” en ny funksjon med behov for en godt fundert stillingsbeskrivelse. Denne må inneholde:

Hvem denne administrativt rapporterer til.
Hvem denne faglig rapporterer til.
Hvilke ressurser vedkommende har tilgang til.
Hvilke hovedoppgaver vedkommende har, og hvordan disse måles.
Hvilke oppgaver og ansvar vedkommende har i det daglige.

Intern revisor: Internrevisors stilling eller funksjon blir normalt ikke endret med innføringen av ERM, slik vi ser for oss vårt ”case”. Det avhenger imidlertid sterk av hvordan vi løser bemanningsspørsmålet med hensyn til CRO og internrevisorstillingen. Det har vært organisasjoner som har valgt å slå sammen disse stillingene, der oppgavene hver for seg ikke ble ansett å være omfattende nok til å fylle to stillinger. Dette ble også av mange innen revisjonsmiljøet en periode imøtesett med glede, da det ga internrevisorfaget nye utfordringer og anseelse. Etter hvert har flere organisasjoner blitt mer oppmerksom på ulempene, og at løsningen i beste fall kan benyttes midlertidig i en overgangsperiode. Argumentasjonen bak dette, er først og fremst at rollen som CRO prinsipielt bryter med internrevisorsrollens objektivitetsbehov, og behovet for uavhengighet fra ansvaret for de funksjoner som skal revideres. Som CRO vil man klart være ansvarlig både for utforming og gjennomføring av en rekke oppgaver og rutiner opp mot ERM-systemet, som senere må underlegges revisjon. Som internrevisor vil man da komme opp i den situasjon at man vil måtte ”revidere seg selv”, – noe som er revisjonsfagets ”kardinalsynd”. Vi anbefaler derfor at organisasjonen løser problemet på andre måter. Eventuelt ved å leie inn kompetanse og kapasitet til den ene eller den andre stillingen.

Linje- og spesialavdelinger: Det bør utarbeides en ”funksjonsinstruks” for risikorapportørene fra linje og spesialavdelinger for å hindre at disse kommer i ”klem” mellom sin rolle som rapportør av risiko og sine roller og oppgaver i de operative avdelingene.

Det er viktig at rapportørenes operative avdelinger er kjent med, og planlegger at rapportørene periodevis har andre og høyt prioriterte oppgaver, som må gå foran andre daglige gjøremål.

Vi bør ellers også være forberedt på at det i visse miljøer med prestasjonsbasert avlønning, kan representere en utfordring å være risikorapportør. Først og fremst ovenfor ens egen integritet, men også sekundært at miljøet en omgåes, i ytterste konsekvens kan betrakte funksjonen som ”brønnpissing”.

Risikorapportørene bør ellers velges bland medarbeider med god innsikt i sine respektive enheters virksomhetsområde, med en erfaringsbakgrunn som også gir evne til å skue litt lenger frem i tid.

2. Oppfølging av stillingens mål.

En stillingsinstruks bør inneholde pekere mot vesenlige KPIer for vedkommende stillings- og organisasjonsenhet. Det vil si at de KPIer som i særlig grad ventes å bli påvirket, gjennom utøvelsen av stillingens ansvar og fullmaker, klart fremgår av stillingsbeskrivelsen. Spesielt gjelder dette dersom det også knytter seg ytelsesbasert avlønning til disse «Key Performance Inicators» (KPIer). Iverksettelsen av et ERM-system vil da i prinsippet medføre behov for gjennomgang av alle stillingsinstrukser, med sikte på å komplettere disse med eventuelle KRIer (Key Risk Indicators), identifisert gjennom iverksettelsen av ERM-systemet.

B1.8.6 Valg av verktøy og metoder

En systematisk og metodisk tilnærming til ERM vil nødvendigvis medføre innsamling og behandling av en større mengde informasjon, som skal analyseres og kommuniseres til en rekke interessenter både internt i organisasjonen og eksternt. De hjelpemidler vi har til rådighet, kan derfor både ha stor betydning for hvilke ressurser vi må anvende, og i hvilken grad vi evner å kommunisere resultatene fra ERM-systemet til alle interessenter.

B1.8.6.1 Metodikk

Valg av metodikk er på den ene siden et spørsmål om arbeidsform og hvordan vi praktisk går frem for å samle inn, analysere og kommunisere informasjonen fra systemet. På den andre siden har valg av metodikk betydning for omgivelsenes (for eksempel offentlige myndigheters og investorers) forståelse av systemet, og tiltro til den informasjonen som kommer ut fra det. Det kan ha stor betydning for organisasjons interessegrupper. Mange organisasjoner har derfor måttet spørre seg hvor mye funksjonalitet skal vi bygge inn i ERM-systemet, og hvordan skal vi kommunisere dette omfanget? Omfanget av funksjonalitet omtales gjerne som ERM-rammeverk/-system, mens vi her med begrepet arbeidsform mener måten vi arbeider på innen ERM-rammeverket/-systemet.

ERM-rammeverk/-system

I prinsippet kan vi velge en metodikk som er svært effektiv under innsamling og analyse av informasjonen om muligheter/trusler, men som ikke evner å kommunisere eller skape den nødvendige tiltro til resultatet, uten stor innsats fra organisasjonens side, fordi interessentene ikke har kjent til metodikken. Det er denne problemstillingen, blant annet organisasjoner som ISO har tatt tak i. ISO forsøker å etablere en standard eller ”kollektiv forståelse” av hva et system/rammeverk skal inneholde. Organisasjoner som retter sitt arbeid med oppside/nedside risikoer etter ISO’s systemmessige krav og anbefalinger, vil dermed også ha lettere for å kommunisere disse kvalitetene ut til sine omgivelser.

Når vi skal velge metodikk, bør derfor organisasjonen ta utgangspunkt i situasjonene som ledet til beslutningen om å etablere et ERM-system. Var situasjonen avledet av generelle kommersielle krav, kan valgfriheten være noe større enn om organisasjonen må tilfredsstille direkte juridiske eller andre eksterne krav. Har organisasjonen ressurser til det, kan den utvikle og vedlikeholde sin egen metodikk rettet inn mot egen organisasjon og dennes særegne krav. Juridisk drevne krav, skaper derimot gjerne et behov for at organisasjonen kan redegjøre for hvordan disse kravene tilfredstilles. Organisasjoner som skal drive internasjonal virksomhet vil derfor normalt være best tjent med å ”seile under et kjent flagg”. Vi har i vår fremgangsmåte lagt vekt på å komme frem til en metodikk som favner først og fremst ISOs /AS/NZSs rammeverk/system på den ene siden og de anbefalinger som ligger i disse , men også enkelte vesentlige deler fra COSO.

Arbeidsform

Innen det enkelte ERM-rammeverk/-system har vi en viss frihet til å organisere arbeidet slik at dette er best mulig tilpasset rammeverkets/systemets overordnede målsetninger og forutsetningene i den enkelte organisasjon. Begrepet er temmelig ”rommelig” og vil kunne omfatte en rekke forhold som ikke er presisert i anbefalingene, men som organisasjonen likevel vil måtte ta standpunkt til.

Eksempler på dette kan være:

Hvor plasserer vi ansvar for ERM-prosessen som helhet eller delprosesser (ORM) og deres respektive faser?
Hvor/hvem henter vi informasjon fra og ”spredningen”/ulikhetene vi tillater av dette innen en og samme organisasjon?
Hvor mye informasjon skal vi forlange for å kunne forvente at den er representativ?
Hva slags hjelpemidler har vi til rådighet, og hvordan utnyttes disse i ERM-prosessen?
Hvem har ansvar for gjennomføring av tiltak?

I vårt ”case” har vi har plassert det faglige ansvaret for ERM, og administrasjon av prosessen som helhet hos CRO. CRO har imidlertid ikke ansvar for realisering av de respektive forslag til tiltak som ERM- prosessen måtte foreslå bør realiseres.

Vi har videre forutsatt en ”bottom up”-prosess på de fasene i ERM-prosessen som omfatter innsamling av informasjon og analyse av denne. I praksis betyr dette at ERM-prosessens faser 2 – 6 utføres av risikorapportører delvis selvstendig og delvis i arbeidsgrupper/workshoper. Det vil også si at linjeledelsen i liten grad er engasjert i disse fasene. Dette er en anbefaling vi også finner igjen i ISO/AS/NZS. Avslutningsvis aggregerer CRO alle workshopene i rapporter.

Vi har videre forutsatt at hver organisasjonsenhet er representert med et antall risikorapportører, tilstrekkelig til at resultatene ikke reflekter ”en persons subjektive skjønn”, men i størst mulig grad tilfredsstiller ”de store talls lov”.

ystemet

COSO	ISOISO AS/NZS	”Vårt rammeverk”
		Fase i ERM-prosessen		Utføres av:
«Internal Environment»	«Establish Context»	0	Bedriftsinternt Miljø	Organisasjonen
«Objective settings»		1	Etablering av Kontekst	Etablering av kontekst: ERM-prosjekt
				Vedlikehold av kontekst: CRO
Event Identification	«Identify risks»	2	Identifisering og Kvantifisering	Risiko- rapportører i Workshoper (”Bottom up”)	1. I. Forberedel -ser 2. II. Oppstarts møte workshop 3. III. Risik0-rapportør- ene arbeider med spørre-skjemaet 4. IV. Analyse av spørre-skjemaene 5. V. Gjennom-føring av workshoper 6. VI. Opp-summering av resultater.7.
«Risk assessment»	«Analyze risks» likelihood consequence	3	Analyse (av enkeltrisikoer)(Sansynlighet>0 ogKonsekvens > 0)
	«Evaluate risks»	4	Evaluering (og prioritering)
«Risk response»	«Treat risks»	5	Tiltak
		6	Rapportering	Aggregering og rapportering ved CRO
«Control activities»		7	Håndtering og overvåkning av risikoer.	Linjen
«Monitoring»	«Monitor and review»	8	SystemEvaluering og godkjenning	CRO/ledelsen + Intern Revisjon (ERMSE + revisjoner)
«Information and communication»	«Communicate and consult»		Kommunikasjon og konsultasjon	Organisasjonen

Tabell B1-3 Tabellen viser fasene i de ulike rammeverk/system og hvem som er ansvarlig for disse i vårt «case».

B1.8.6.2 Risikokategoriseringsverktøy

Basisen for identifiseringen av oppside/nedside risiko er en organisasjonsmessig overordnet kategoriseringsmodell. Dette sikrer at alle muligheter/ trusler kan bli vurdert mest mulig enhetlig, og at den samme systematiske tilnærmingen blir brukt i hele organisasjonen. Dette forbedrer kommunikasjonen vedrørende risiko i organisasjonen, og muliggjør samtidig identifisering av akkumulerte effekter mellom forskjellige forretningsenheter.

Den standardiserte kategoriseringsmodellen må være tilstrekkelig ”artsorientert” til å kunne omfatte alle de forskjellige organisasjonsenheter innen en organisasjon. Den kan brukes som en ”mal” for utviklingen av spesifikke kategoriseringsmodeller, som passer presist inn i organisasjonen til de ulike forretningsenheter og den omverden de opererer i.

Vi minner om at konsekvensene av en risiko både har en oppside(mulighet) som en nedsiden (trussel).

Risikokategorier nivå 1 og 2	Forklaring
1. Forretningsrisikoer 1.1 Eksterne risikoer (globale, politiske, sosiale, naturkatastrofer) 1.2 Corporate Governance risikoer 1.3 Eksterne strategiske markeds/bransjerisikoer1.4 Andre eksterne strategisk risikoer 1.5 Forretnings håndterings risikoer	Forandringer i enten eksterne omgivelser, eller i den forretningsmessig strategi som følge av slike forandringer, og som kan virke forstyrrende på evnen til fortsatt å arbeide målrettet. F.eks. kon-kurrenters atferd.
2. Operasjonelle-, – administr2.1 Teknologi og produktutviklingsrisikoer2.2 Produksjons-, og distribusjonsrisikoer2.3 Strategi, markedsføring og salgsrisikoer2.4 Organisasjon og ledelse2.5 Prosjektrisikoer	Risikoer innen verdikjedeprosessen eller støtteprosesser. F.eks. stabil produksjonsprosess.
3. Juridisk- og etterlevelsesrisikoer	Sviktende evne til å forstå eller effektivt ta i bruk/etterleve lover, reguleringer, bokholderi/skattemessige krav eller offentlige standarder og /eller kontrakter og /eller prinsipper og praksis. F.eks. produktsikkerhet.
4. Finansielle risikoer	Risikoer relatert til finansielle transak-sjoner. F.eks. valutarisikoer, kreditt-risikoer, landsrisikoer.
5. IT-risikoer	Svikt/unnlatelse i å skaffe stabilitet, sikkerhet, funksjonalitet, tilgjengelighet, pålitelighet. Fleksibilitet og støtte til informasjonssystemer og databanker. F.eks. misbruk av informasjons system-er.
6. Personalrisikoer	Svikt/unnlatelse i å rekruttere, belønne, utvikle, forsvare eller beholde ansatte eller utvikle gode relasjoner med de ansatte. F.eks. rekruttering av nøkkelpersonell.
7. Innkjøpsrisikoer	Risikoer som oppstår i innkjøps-prosessen, innkjøpslogistikk eller kjøpte varer/tjenester mht. tilgjengelighet, kvalitet og /eller priser. F.eks. avhengig-het av leverandører.

Tabell B1-4 Tabellen viser et eksempel på risikokategorisering på to detaljeringsnivåer.

Når standard kategoriseringen modifiseres, bør/skal ikke risikokategoriene og den generelle strukturen mht. ”risikotypene” (inklusiv nummereringen) forandres, men risikoer kan tilføyes. Modifikasjonene skal/bør gjøres på overordnet nivå i organisasjonen og ikke individuelt for hver organisasjonsenhet for å tillate en felles analyse av risiko. Se tab. 1-4 ovenfor for et eksempel på en kategoriseringsmodell.

Avhengig av den enkelte organisasjons, og de ulike enheters modenhet, vil det finnes ORM-systemer (”Operative Risk Management” systemer) som kan tilordnes den enkelte kategori og i større eller mindre grad støtter ERM-systemet. Gode ORM-systemer vil kunne gi svært viktige bidrag til ERM-prosessens identifisering av risikoer og kvantifisering av konsekvensene av disse.

Organisasjonens kategoriseringsmodell og definisjoner for typene av risiko som er inkludert er omhandlet i vår Guide B Enhet 8 vedlegg A ”Kategoriseringsmodellen” og består av:

Et forslag til risikokategorisering.
En definering av hver risiko.

B1.8.6.3 Systemer og elektroniske hjelpemidler

Det finnes i dag en rekke elektroniske systemer for ERM i markedet. Utviklingen går fort og det vil føre for langt å gå inn på hver av disse. Vi vil derfor nøye oss med å gjengi noen av de grunnleggende valg en organisasjon må foreta, og hovedtrekkene vi finner i systemene.

Systemene kan generelt sett deles i tre hovedgrupper:

Papirbasert skjematur

eller skjematur i form av enkle elektroniske formater er stort sett utviklet innen den enkelte organisasjon som benytter dem. Fordelene er først og fremst fleksibilitet og lave kostnader ved utvikling. Organisasjoner av noe størrelse vil likevel fort merke at det går med mye ressurser til innsamling av, – og bearbeiding av informasjon, og at ”gammel” informasjon ikke er så anvendelig fordi den er vanskeligere tilgjengelig. Løsningen har også den ulempe at ERM-prosessen har en tendens til å strekke seg ut i tid, som følge av den manuelle forsendelsen og bearbeidingen av informasjonen. Dette gjør det vanskeligere å holde fokus på prosessen, den tiden som er nødvendig for å få et godt resultat. Som langsiktig løsning er formularbaserte systemer mindre hensiktsmessige som annet enn overgangsløsninger for organisasjoner med et litt større antall rapportører.

Enbrukersystemer
a. Enbruker database, – eller regnearksystemer: Disse systemene baserer seg på at all informasjon registreres og aggregeres sentralt, for deretter å kunne distribuere rapporter i papirform eller i elektroniske formater til interessentene. Informasjonen fra rapportørene kommer gjerne inn i papirform, eller kan være basert på ”intervju”. Disse systemene er relativt rimelige, men egner seg best for små eller mellomstore organisasjoner med et begrenset antall rapportører.I bunnen av disse systemene ligger ofte en enkel database som for eksempel Microsoft Access som gir en viss fleksibilitet hva angår rapporter. I andre tilfeller er systemet basert på regneark. Fleksibiliteten hva angår rapporter blir da generelt noe begrenset.b. ”Semi enbrukersystemer”: Disse systemene skiller seg fra generelle enbruker systemer ved at rapportørene registrerer sin informasjon desentralt, i et eller annet elektronisk format. Dette skjer gjerne i form av et regneark som rapportøren sender inn for å leses og aggregeres automatisk av det sentrale enbrukersystemet. Den desentrale registreringen skjer derfor ikke i ”sanntid” og virkningen av de registrerte opplysningene kan derfor ikke avleses før filen/dataene er lest inn. Disse løsningene gjør det noe enklere for den sentrale instansen (CRO) å håndtere et større antall rapportører. Det blir imidlertid fort et stort antall ”filer” og problemer kan fort oppstå i forbindelse med versjonshåndtering og korreksjoner. Løsningene er i likhet med generelle enbrukersystemer relativt rimelige.

Flerbrukersystemer: Flerbrukersystemene tillater desentral registrering av risikorapportørenes informasjon om muligheter/trusler direkte i systemet for umiddelbar analyse og avlesing av rapporter. Et stort antall rapportører er her normalt ikke noe praktisk problem, men vil kunne bidra til å øke kvaliteten av informasjonsgrunnlaget.

De direkte kostnadene ved systemene kan grovt sett deles i den sentrale løsningen og kostnader knyttet til brukertilgang. Ofte ser vi at det investeres store beløp i sentrale løsninger med proprietære lisensbelagte brukeroverflater. Merkostnadene ved å gi flere brukere tilknytning til systemet hindrer da ofte den ønskede utbredelsen, og begrenser rentabiliteten av systemet. Det bør derfor legges stor vekt på en mest mulig ”åpen” brukeroverflat, med minst mulig tekniske eller økonomiske begrensninger på antallet brukere som skal legge inn eller hente ut informasjon av systemet. Systemet bør ellers bygge på de til enhver tid gjeldende, – og antatte fremtidige standarder.

Flere systemleverandører kan i dag levere systemer som baserer seg på en ”web”-basert brukeroverflate. Disse systemene er uavhengige av spesielle installasjoner på den enkelte brukers PC og derfor svært fleksible. Systemenes grunnleggende funksjonalitet installeres gjerne på organisasjonens server (intranett), men kan ofte også kjøres som leide løsninger på leverandørens server via internett.

Disse systemene gir ofte flere fordeler som for eksempel:

Automatisk import av spørreskjemaer (inkludert evaluering, organisasjonsmessig spesifikke beskrivelser av risiko, så vel som beskrivelse av evalueringer av tiltak som basis for analysen av oppside/nedside risiko).
Analyser av spørreskjemaer bruker standardanalyser, dvs. topprisikoer over alle kategorier, topprisikoer innen hver risikokategori, så vel som den individuelle vurdering pr. risiko.
Visualisering av resultatene som en basis for diskusjon i workshopen.
Registrering av nye evalueringer av oppside/nedside risiko som det er enighet om i workshopen.

I forholdet til valg av hjelpemidler er det som oftest ikke spørsmål om, – men hvilken løsning organisasjonen vil gå for.

Noen av de spørsmål organisasjonen må stille seg før dette valget kan være som følger:

Hvor mange rapportører planlegger vi å involvere i ERM-kjerneprosessen?
Hvor mange personer ønsker vi å gi tilgang til informasjonen?
Hvor kompleks er organisasjonen (rapporteringsnivåer)?
Hvilke tekniske ressurser disponerer organisasjonen fra før, og i hvilken grad har disse ledig kapasitet?
Hvilken kapasitet planlegger vi hos CRM/CRO og hvordan ønsker vi at denne kapasiteten skal anvendes (manuell innsamling og beregning av informasjon, eller etablering av effektive rutiner og tiltak)?
Ønsker vi at organisasjonens ERM-kultur skal komme til syne i systemlandskapet?

B1.8.7 Fastlegge rapporteringsterskler(-toleranse) i risikopolicyen

Det er vel ingen overdrivelse å påstå et de fleste risikopolicyer, eller den måten organisasjoner gjenspeiler sin ”risikoappetitt” på, og som er i anvendelse i dag, oftest er på et relativt generelt og overordnet nivå. De er på nivå med det vi har beskrevet i Guide A Enhet 1.6. De konkrete mål og hvordan vi mener det er best å nå dem, er stort sett beskrevet i tekst og generelle vendinger. Dette overlater svært mye til den enkelte medarbeider, både med hensyn til å vurdere den til en hver tid gjeldende situasjonsanalyse, og om de enkelte forhold til risikopolicyen er relevante. En målsetning med ERM-systemet er derfor å komme frem til metoder som åpner for større grad av ”automatisering” og bruk av hjelpemidler. Dette vil også i større gjøre det mulig å plasser ansvar med større presisjon, enn hva tilfellet i hovedsak er i dag.

I praksis betyr dette at vi på de ulike organisasjons- eller forretningsnivå tallfester de verdier vi har som mål for vår risikopolicy (”appetitt”) iht. kategoriseringsmodellen, og hvilke verdier vi kan akseptere før vi ønsker en eller annen form for spesialrapportering. Vi omtaler ofte dette som ”terskelverdie/toleransegrenserr”. Hvor detaljert vi skal gå frem, vil både kunne avhenge av ambisjoner, og ellers variere fra den ene organisasjonsenheten til den andre, eller fra den ene risikokategorien til den andre. Detaljeringsbehovet kan variere sterkt, og en differensiering i form av prioritert detaljeringsgrad kan derfor være hensiktsmessig for å spare tid og ressurser. Et minimumskrav bør imidlertid være at vi på alle organisasjons- eller forretningsnivåer har definert/tallfestet hvilken risiko vi er villig til å ta på det enkelte overordnede kategorinivå, samt hvilke grenseverdier som skal utløse rapportering oppover i organisasjonen.

Tabellarisk fremstilt vil verdiene i et minimumskrav for en enkelt organisasjonsenhet kunne fremstå som følger, nå fremstilt kun på den ene siden av mynten – nedside risiko:

Kategorier	Policy (”Appetitt”)	Policy (”Appetitt”)
Kategorier	Policy (”Appetitt”)	Enkelt risikoer	Aggregerte risikoer
Foretningsrisikoer	< 5’0	>0’5	=>Policy
Operasjonelle, administrasjons – og ledelsesrisikoer	<2’0	>0’3	=>Policy
Juridiske, – og konformitetsrisikoer	<0’1	>0’02	=>Policy
Finansielle risikoer	<3’0	>0’3	=>Policy
IT-risikoer	<1’5	>0’5	=>Policy
Personalrisikoer	<0’1	>0’05	=>Policy
Innkjøpsrisikoer	<1’0	>0’1	=>Policy

Tabell B1-5 Tabellen viser et eksempel på tallfesting av «risikoappetitt» i en risikopolicy relatert til nivå 1 i kategoriseringsmodellen.

Talleksemplet bygger på ”virkning på EBIT (”Earning Before Interest and Tax”) i mill. NOK”

Rapporteringstersklene/-toleransegrensene for enkeltrisikoer bør være vesentlig lavere enn for de aggregerte risikoene innen kategorien. Enkeltstående forhold som kan utgjøre en vesentlig del av bildet på risikoer innen den enkelte kategori, vil da bli tydeliggjort.

Både policy og rapporteringsterskler kan variere mellom de ulike organisasjons-områdene. En tilsvarende fremstilling på et overordnet organisasjonsnivå vil naturlig nok måtte bygge på tilgang til informasjon om alle enkeltrisikoene på de underliggende nivåene. risikopolicy på overordnet nivå vil da utgjøre summen av risikopolicyene på underliggende nivå.

Når risikopolicyen og rapporteringstersklene er tallfestet har vi mulighet til å sammenligne den til enhver tid gjeldede situasjonsanalyse, med ønsker og mål, for deretter å vite om en rapportering eller tiltak er nødvendig. Ikke minst har vi lettere for å tilordne ansvar ut fra viktighet.

B1.8.8 Opplæring

Ryggraden i et ERM-system er organisasjonens felles forståelse av systemet, forutsetningene for det og hva det skal gi som resultat. Alle som er involvert med å gi systemet informasjon, eller skal bruke informasjonen fra det, må derfor være god kjent med sine roller, systemets funksjonalitet og forutsetningene for det.

B1.8.8.1 Kurs og opplæring

En situasjon der en enkeltperson eller liten gruppe personer forutsettes å drive ERM-systemet alene, vil først og fremst isolere systemet ved at viktig og riktig informasjon aldri kommer inn i systemet. Dermed vil verdien av resultatet også reduseres.

En bred felles opplæring er også en viktig ”kulturbærer” for organisasjoner som har kommet så langt at de har besluttet å innføre et ERM-system.

Opplæringen bør likevel rettes inn mot de enkeltes behov i forhold til ERM-systemet.

Styret og ledelsen vil ha behov for å kjenne tilbakenforliggende lover og regler, samt ERM-systemets grunnleggende funksjonalitet og rammebetingelser. Det er også viktig at styret og ledelsen kjenner til hvordan ERM-systemet er organisert, og hvilke ressurser som medgår for å holde det i gang. Enda viktigere er det at styret og ledelsen kan tolke de rapporter systemet genererer(også begrensninger og mangler ”mellom linjene” ).

CRO må foruten å kjenne ”faget” ERM, ha detaljkjennskap til alle ERM-systemets områder og hvordan dette er forutsatt anvendt i organisasjonen. CRO må kunne forventes å være den som løser alle uforutsette problemer underveis, og tilpasser ERM-systemet til endrede betingelser etter at prosjektet er overlevert, og systemet etablert. Foruten å kjenne organisasjonen godt må vedkommende derfor ha fått god opplæring i hele ERM-systemet og hvordan organisasjonen administrerer og holder dette i gang.

Risikorapportørene må kjenne ERM-systemets grunnleggende funksjonalitet og rammebetingelser. Dernest må de ha fått grundig opplæring i de deler av systemet som omfattes av deres roller. Risikorapportørenes arbeidsform og hjelpemidler vil kunne variere fra organisasjon til organisasjon. Noen organisasjoner vil la rapportørene arbeide i arbeidsgrupper, mens andre baserer seg på individuelt arbeid under rapportering av oppside/nedside risikoer. Andre har kombinasjoner av begge. Valg av hjelpemidler som skjematur eller elektroniske systemer vil også påvirke rapportørenes opplæringsbehov.

Medarbeidere i linjen er en viktig kilde til informasjon for risikorapportørene, og bør således kjenne til hvordan informasjonen de avgir blir benyttet. Ellers er linjen ansvarlig for overvåking og utformingen av de tiltak som skal iverksettes for de respektive identifiserte og prioriterte oppside/nedside risikoene. Ved siden av å kjenne systemet i sin alminnelighet, vil det derfor være hensiktsmessig at linjemedarbeidere kjenner rapportene og tolkningen av disse i særdeleshet.

Ellers må vi også ha i tankene at personell skiftes ut over tid. Nye personer kommer til, eller får nye ansvarsområder og dermed behov for å sette seg inn i systemet. Svært ofte overlates disse nyankomne til seg selv og tilfeldighetene. Disse må derfor ha en stående mulighet til å sette seg inn i ERM-systemet, etter hvert som de får befatning med det.

B1.8.8.2 Retningslinjer, – ”guidelines”

En effektiv måte å bedre kjennskapen til ERM-systemet på, er å utarbeide et overordnet sett med retningslinjer eller ”guidelines” for ERM-systemet. Disse overordnede retningslinjene må fungere som rammeverk for alle som har befatning med systemet, og vedlikeholdes kontinuerlig av en sentral instans/CRO.

Retningslinjene bør inneholde veiledning om følgende:

Generelle bemerkninger.
Organisering og ansvaret for ERM-prosessen.
Policyprinsipper oppside/nedside risiko.
Eventuelle krav om at organisasjonsenheter og datterselskaper skal etablere sine egne retningslinjer for ERM-prosessen.
Andre retningslinjer for ERM-prosessen på spesielle risikoområder.
Målet med risikorapportering og overordnet tilnærming for risikoevaluering.
Rapporteringskrav.
- Målet med rapportering av muligheter/trusler.
- Overordnet tilnærming for evalueringen av oppside/nedside risikoer og målinger.
- Sentral-/stabsavdelingers forhold til oppside/nedside risiko.
- Rapportering til hovedkontoret fra divisjoner.
- Rapporteringsformat og innhold.
- Rapporteringsperioder.
- Rapporteringshorisont.
- Terskelverdier for rapportering.
- Forretningsårsevaluering av oppside/nedside risiko og målinger.
- Øyeblikkelig risikorapportering.
- Rapporteringsomfang av risikorapportering for divisjoner/organisa-sjonsenheter.
  - Årlig risikorapportering fra divisjonene/organisa-sjonsenhetene innen planleggingsrunder (strategi og budsjett).
  - Risikorapportering innen divisjonene/organisasjonsenhetene.
- Risikorapportering fra andre organisasjonsenheter og datterselskap til morselskap/hovedkontoret.
  - Generell regulering av risikorapporteringen fra organisasjons-enheter og datterselskap.
  - Årlig risikorapportering fra organisasjonsenheter og datter-selskap.
  - Risikorapportering i løpet av forretningsåret.
  - Øyeblikkelig rapportering av muligheter/trusler.

Retningslinjene bør være en del av det dokumentsett eller ”ERM-system” styret godkjenner og overtar når prosjektet er ferdig og ERM-systemet skal settes i aktiv drift.

B1.8.9 Kultur og ERM-miljø

Kultur og miljø er ikke noe vi kan ”slå av og på” eller kan påvirke gjennom et enkelt tiltak. Kultur er summen av det kollektive erfaringsgrunnlaget i organisasjonen og henger sammen med en rekke faktorer i, – og utenfor den enkelte organisasjon. Hver enkelt medarbeider bærer med seg erfaringer, om hva som har brakt suksess, og hva som har brakt fiasko, både for egen, og organisasjonens del. Hovedsakelig har dette opphav i linjeledelsens ulike valg opp gjennom tidene. Kultur er derfor i hovedsak historisk betinget og i liten grad noe et ERM-prosjekt kan påvirke gjennom en kort prosjektperiode. Kulturen i organisasjonen er likevel noe ERM-prosjektet må ta hensyn til under iverksettelsen. Dersom det blir for stor avstand mellom de ambisjoner prosjektet legger opp til og kulturen i organisasjonen, kan satsingen fort oppfattes som ”festtaler og luftslott” og miste troverdighet, eller sågar, møte aktiv motstand fra parter som kan tape på endringer som måtte komme.

Figur B1-6 Faktorer som påvirker bedriftskulturen.

I denne sammenhengen kan rollen rundt risikorapportørene være særlig utsatt. Vi kan i ytterliggående tilfeller risikere at utvelgelsen av risikorapportører er ”kulturelt påvirket” i negativ forstand. Det vil si personer med begrenset innsikt og mulighet til å tilføre systemet informasjon av verdi blir valgt ut som rapportører. Det kan også bli nødvendig å vurdere særlige ”vernetiltak” for rapportører som gjør jobben sin. I uheldige situasjoner kan rapportører fort blir missoppfattet som ”angivere og brønnpissere”. Dersom organisasjonen er forberedt på at dette kan skje, før situasjonen rent faktisk oppstår, må det kunne antas at sjansen for at det faktisk skjer blir mindre. Først og fremst fordi ingen har lyst til å være den som oppfyller en slik spådom. Dernest fordi eventuelle ”vernetiltak” kan bidra til å bekrefte for organisasjonen at organisasjonen mener alvor, og at systemet er gjennomtenkt. Det kan derfor være fornuftig å identifiser eventuelt gap så tidlig som mulig i prosessen med etablering av ERM-systemet.

Nå må det også sies at det er nok av praktiske eksempler på organisasjoner som har gode skriftlige instrukser og vernetiltak for såkalt ”varsling” eller ”whistle blowing”, men som likevel ikke klarer å utøve disse i praksis. Når denne oppfattningen fester seg som ”kultur” i organisasjonen, kanskje gjennom noen praktiske eksempler, har organisasjonen en ekstra lang vei å gå. Vi er da tilbake til det nevnte gapet mellom prosjektets ambisjoner og den enkeltes erfaringer. Dette gapet må da lukkes med særlig innsats i form av kulturpåvirkende tiltak. Noe forenklet kan vi si at nøkkelen til å lukke dette gapet ligger i ”tid” og ”lønnsomhet”. Det må være ”lønnsomt” å tenke risiko, og organisasjonen må få ”tid” til å erfare dette.

B1.8.10 Koordinering med andre prosesser

B1.8.10.1 Program management

I en organisasjon foregår det til en hver tid en rekke prosesser og rutiner, som har grensesnitt mot hverandre. Disse kan ha utspring i ulike miljøer, være etablert på ulike tidspunkt, eller ha ulike målsetninger og prioritet. Likevel kan mange av disse prosessene inneholder elementer av de samme oppgaver og funksjoner. En optimal utnyttelse av ressursene tilsier da at organisasjonen forsøker å utnytte disse felles elementene i størst mulig utstrekning, ved å la de ulike prosessene spille sammen. Når en prosess først er etablert viser det seg ofte at det oppstår motvilje mot å foreta endringer av denne. Det kan derfor være en stor utfordring å tilpasse de ulike prosessene til hverandre når de først er etablert. De ulike miljøene som er ansvarlig for prosessene vil da ofte vise seg mindre samarbeidsvillige, av frykt for at ”deres prosess” skal forstyrres, tape anseelse, eller prioriteres ned, eller rett og slett bli tatt opp i en annen prosess. Eventuelle felles grensesnitt eller interessefelleskap med andre prosesser kan derfor med fordel avklares så fort som mulig i prosjektet.

Figur B1-7 Koordinering av ulike beslektede prosesser.

I prosjektrettede miljøer eller ”flate” organisasjoner, der prosjektene ofte er sidestilte, kan viljen til å samarbeide sideveis sitte ekstra langt inne. Noen organisasjoner har derfor formalisert oppgaven med prosess-koordinering ved å etablere en funksjon som skal ta seg av samspillet mellom pro-sessene. Denne funksjonen kalles ofte ”Program Management” og arbeider normalt på tvers av organisatoriske skillelinjer.

Der denne funksjonen finnes, kan den være en nyttig alliansepartner for ledelsen av et ERM-prosjekt både med hensyn til å finne aktuelle prosesser som bør spille sammen, og å etablere rutiner for dette samspillet.

Typiske prosesser for nærmere samspill med en ERM-prosess vil kunne være kvalitetssikring (QA), Balanced Scorecard (BSC), Helse Miljø og Sikkerhet (HMS), miljørevisjoner, og for ikke å glemme strategi- og budsjettprosesser. Se forøvrig Guide A Enhet A5.6 for nærmere detaljer om ERM,QA og BSC.

Figur B1-8 Eksempel på samspill mellom kvalitetssikring og ERM.

B1.8.11 Styrebehandling og godkjenning av prosjekt

B1.8.11.1 Styrevedtak

Styrets endelige godkjenning av ERM-systemet representerer det endelige signalet, ovenfor organisasjonen og dens interessenter, om at ERM-systemet er en del av organisasjonens styringssystem. Således gir styrevedtaket ERM-systemet den nødvendige legitimitet og signaliserer krav til oppfølging og samspill med løpende rutiner.

B1.8.12 Grensesnitt mot hverdagen

B1.8.12.1 Tilpasse løpende rutiner

Når ERM-systemet er satt i drift må organisasjonen tilpasse sine løpende rutiner og systemer slik at disse støtter systemet best mulig. Ansvaret for ERM-systemet overføres dermed fra prosjektet til linjen som i vårt ”case” i første rekke vil være CRO. CRO overtar imidlertid først og fremst ansvaret for driften og administrasjonen av ERM-systemet i seg selv. At ERM-systemet får den nødvendige informasjon og at organisasjonen klarer å nyttegjøre seg resultatene fra dette, er i minst like stor grad et ansvar som påhviler den øvrige del av linjeledelsen.

Dette ansvaret omfatter eksempelvis:

Sikre at informasjon om nye og endrede oppside/nedside risikoer fanges opp av ERM-systemet.
Sikre at foreslåtte risikotiltak iverksettes.
Sikre overvåkning av identifiserte risikoer gjennom egnede KRIer (Key Risk Indicators) og overvåkning av disse.
Sikre nødvendige resurser til ERM-systemet.

B1.8.12.2 Identifikasjon av ”Key Risk Indictors” (KRIer)

De fleste organisasjoner har et sett med mer eller mindre velutviklede KPIer (”Key Performance Indicators”) som de styrer etter. KRI’ene (”Key Risk Indicators”) representerer den delen av KPI’ene som indikerer risikoene organisasjonen utsetter seg for. Disse har tradisjonelt vært gjenstand for langt mindre fokus enn de KPI’ene, som har indikert organisasjonens volumvekst og fortjeneste. Det har derfor ofte kunnet bygge seg opp en ”back logg” av risikoer i det stille, som først på et senere tidspunkt har slått til.

ERM-systemet stiller krav til at det utvikles indikatorer for nyoppdagede risikoer, og at disse indikatorene deretter overvåkes. Mange av disse indikatorene ligger kanskje allerede i underliggende ORM-systemer (”Operative Risk Management” systemer), og må bare tolkes eller tilpasses ERM-systemet. Dette må være et ansvar linjen ivaretar løpende.

Eksempel på indikatorer for kredittrisiko:

Kundereskontroens alderssammensetning.
Andel/verdi av kundereskontroen som ikke er sikret med pant/bankgaranti.
Kredittid.
Andel/verdi av reklamasjoner i kundereskontroen.

Kursguidene A og B

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg

Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

KURSDOKUMENTASJON INNHOLD GUIDE B

Gjennomføring og praktisk iverksettelse

FORORD iv
ERM- HÅNDBØKENES HENSIKT OG MÅLGRUPPE v
HVA ER FORSKJELLEN PÅ RISIKOLEDELSE OG RISIKOSTYRING? vi
DEN NYE ISO 31000:2009 STANDARDEN ix
PROBLEMET MED TRADISJONELL RISK MANAGEMENT (RM) xii
FORDELENE MED IVERKSETTELSEN AV ENTERPRISE RISK MANAGEMENT (ERM) xiii
HVA ER UTFORDRINGENE MED ERM xv
ORGANISERING AV ERM-HÅNDBØKENE xvii
INNLEDNING

1. ETABLERING AV KONTEKST 4

1.1 FRA TANKE TIL HANDLING 4
1.2 DE ULIKE ROLLENE I ERM-PROSJEKTET 5
1.2.1 STYRET 5
1.2.2 STYRINGSGRUPPEN 5
1.2.3 FORPROSJEKTGRUPPEN 6
1.2.4 PROSJEKTGRUPPEN 6
1.2.5 LINJEN 7
1.3 OVERBLIKK OVER ERM-PROSJEKTET 7
1.4 DEFINERE MANDAT OG MÅLSETNINGER 9
1.4.1 STYRET 9
1.4.2 STYRINGSGRUPPEN 10
1.4.3 FORPROSJEKTGRUPPEN 11
1.5 KARTLEGGE FUNDAMENTET FOR ET ERM-SYSTEM 12
1.5.1 STYRENDE DOKUMENTER (POLICYER) 12
1.5.2 KRAV OG FORVENTNINGER FRA INTERESSENTER 12
1.6 UTARBEIDE KONKRET FORSLAG TIL PROSJEKTMANDAT OG MÅLSETTINGER 13
1.7 STYRETS FORMALISERING AV PROSJEKTET 14
1.8 ERM-PROSJEKTET, REALISERING AV STYREVEDTAK 15
1.8.1 ETABLERING AV OPERATIV ORGANISASJONSSTRUKTUR. 16
1.8.2 ERM-FUNKSJONENS BINDING TIL LINJEN 16
1.8.3 PERSONELLBEHOV 17
1.8.4 DELTAKERE PÅ EN WORKSHOP 18
1.8.5 TILPASSE STYRENDE DOKUMENTER 19
1.8.6 VALG AV VERKTØY OG METODER 22
1.8.7 FASTLEGGE RAPPORTERINGSTERSKLER(-TOLERANSE) I RISIKOPOLICYEN 28
1.8.8 OPPLÆRING 29
1.8.9 KULTUR OG ERM-MILJØ 31
1.8.10 KOORDINERING MED ANDRE PROSESSER 32
1.8.11 STYREBEHANDLING OG GODKJENNING AV PROSJEKT 33
1.8.12 GRENSESNITT MOT HVERDAGEN 33
1.9 OPPSUMMERING 34

2. KJERNEPROSESSEN 37

2.1 ”WORKSHOP”-PROSEDYREN 37
2.1.1 GJENNOMFØRINGEN AV RISIKOWORKSHOP 38
2.2 IDENTIFISERING 41
2.2.1 RISIKOANALYSESKJEMA 43
2.2.2 VERKTØY OG TEKNIKKER FOR RISIKOIDENTIFISERING 46
2.2.3 OPPSUMMERING 47
2.3 ANALYSE 48
2.3.1 SAMLING OG KOMPLETTERING AV INFORMASJON FRA IDENTIFISERINGSFASEN 48
2.3.2 KONSEKVENS SOM OPPSIDE RISIKO (MULIGHET) 51
2.3.3 VERKTØY OG TEKNIKKER FOR RISIKOANALYSEN 53
2.3.4 OPPSUMMERING 55
2.4 EVALUERING 56
2.4.1 ØYEBLIKKELIG RAPPORTERING TIL STYRET OG DAGLIG LEDELSE 58
2.4.2 OPPSUMMERING 60
2.5 TILTAK 61
2.5.1 VALG AV TILTAKSSTRATEGI FOR NEDSIDE RISIKO 61
2.5.2 TILTAKSKOSTNADER 63
2.5.3 EVALUERING AV KONTROLL OG OVERVÅKNINGSMEKANISMER 64
2.5.4 OPPSUMMERING 65
2.6 RAPPORTERING 66
2.6.1 HVEM HAR RAPPORTERINGSANSVARET? 66
2.6.2 HVEM RAPPORTERES DET TIL? 66
2.6.3 HVA RAPPORTERES? 67
2.6.4 NÅR RAPPORTERES DET? 68
2.6.5 HVORDAN RAPPORTERS DET? 70
2.6.6 OPPSUMMERING 72
2.7 EKSEMPEL PÅ KJERNEPROSESSEN I EN WORKSHOP 73
2.8 OPPSUMMERING 75

3. HÅNDTERING OG OVERVÅKING 78

3.1 OVERVÅKING AV OPPSIDE/NEDSIDE RISIKO 78
3.2 PROAKTIV RISIKOHÅNDTERING 79
3.2.1 ANSVAR OG MYNDIGHET, – ”VETORETT” 79
3.2.2 PRIORITERING OG DELEGERING 80
3.3 REAKTIV RISIKOHÅNDTERING 81
3.4 OPPSUMMERING 82

4. SYSTEMEVALUERING OG GODKJENNING 84

4.1 CRO/CRM’S KONTROLLER 84
4.1.1 ERMSE – ENTERPRISE RISK MANAGEMENT SYSTEMEVALUERING 84
4.1.2 METODE FOR ERMSE 86
4.2 INTERNREVISJONENS KONTROLLER 94
4.2.1 FORMÅL 94
4.2.2 INTERNREVISJONENS VURDERING/BEKREFTELSE AV ERM-SYSTEMET 94
4.3 OPPSUMMERING 95

5. KOMMUNIKASJON OG KONSULTASJON 97

5.1 INFORMASJON TIL ERM-SYSTEMET 98
5.2 INFORMASJON FRA ERM-SYSTEMET 98
5.3 OPPSUMMERING 99

6. VEDLIKEHOLD AV KONTEKST 101

6.1 ERM-PLANEN/-PROGRAMMET 101
6.2 OPPSUMMERING 102

7. STIKKORDSREGISTER 104
8. VEDLEGGSOVERSIKT 106

Kursguidene kan bestilles fra www.RisikoLedelse.com eller e-mail: ja-vig@online.no