Risikoanalyse

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

Money in hand

 

ERM-Prosess– Risikoanalyse

ERM-Prosess 

 

Konteksten

chicagoCN_2773_150

Konteksten er både det interne og eksterne miljøet som ERM-prosessen er avhengig av for at organisasjonens skal oppnå suksess.

Identifisering

PIC108528256835_150

Risikoidentifering er prosessen som definerer de hendelser eller utfall som kan ha en målbar påvirkning på organisasjonens suksess.

Analysering

Money_Burning_03_150

Risikoanalyse bestemmer hvor stor virkningen av risiko kan være og hvor stor sannsynlighet det er for at denne virkningen inntreffer.

Evaluering

cohdra_100_5160_150

Risikoevaluering bestemmer hvilke risikoer skal håndteres først (propritering) ved å sammenligne nivået på risiko mot organisasjonens mål.

Risikoprioritering er et mål på hvor betydlig en risiko er.

Tiltak

P9231837_150

Risiko tiltak er den aksjon som tas som et resultat av at en risiko har blitt identifisert og vurdert/bedømt til å være uaksebtabel for organisasjonen.

Rapportering

UFFICIO_02_150

Risikorapportering er å dokumentere hvert trinn i ERM-prosessen fotrinnvis skriftlig, men også eventuelt muntlig.

Håndtering og overvåking

Money

Regelmessig overvåking og vurdering av risikoer er en viktig del av iverksettelsen. Den sikrer at nye risikoer oppdages og håndteres og at tiltaksplaner iverksettes og tilnærmes effektivt.

 

 

ERM-Prosess – Risikoanalyse

 

Money_Burning_03

 

 

Risikoanalyse bestemmer hvor stor virkningen av risiko kan være og hvor stor sannsynlighet det er for at denne virkningen inntreffer.

 

Fig_DelII_08_016a

 

Under den foregående identifiseringsfasen er det åpnet for i stor grad å arbeide på individuell basis når det gjelder identifisering og kvantifisering av enkeltrisikoer.  De enkelte risikorapportører kan imidlertid ha ulike tolkninger og måter å fremstille en risiko på.  Likedan kan fokuset ha vært begrenset til deler av organisasjonen slik at eventuell kvantifisering ikke er dekkende for hele organisasjonen.

Under analysefasen er målsetningen derfor å komme frem til en enhetlig kollektiv konsensus og forståelse omkring de respektive rapporterte risikoers sannsynlighet og konsekvens.

 

Gjennom en kollektiv analyse i workshopen bidrar vi til at de respektive risikoer:

  • Knyttes til riktig risikokategori.
  • Blir sannsynlighetsvurdert på basis av et størst mulig informasjonsgrunnlag.
  • Blir kvantifisert med virkning for hele organisasjonen.
  • Ikke inngår i hverandre slik at vi får uriktige akkumuleringer.
  • Blir vurdert med sikte på kjente, planlagte og iverksatte tiltak og konsekvensen av disse.

 

Analysefasen skal bidra til at vi i størst mulig grad får en felles virkelighetsoppfatning før vi går i gang med å vurdere betydningen av de respektive risikoer og dermed tiltak og ressursforbruk knyttet til disse.  Likeledes er det viktig at eventuelle mangler i informasjonsgrunnlaget fra identifikasjonsfasen blir korrigert.  Skulle vi dra med oss feil eller uenigheter fra analysefasen inn i de etterfølgende fasene vil dette i beste fall føre til at disse fasene blir forsinket, eller disse blir unødvendig kompliserte.  I verste fall kan vi risikere feilaktive aggregeringer og dermed uriktige prioriteringer med hensyn til tiltak.

Utgangspunktet for analysefasen er den informasjon vi kan hente fra de respektive risikorapportørers rapporter, enten disse kommer gjennom et elektronisk system eller via skjematur.  Denne informasjonen vurderes med hensyn til kategoritilordning og aggregeres opp til et gjennomsnitt som vurderes kollektivt i workshopen etter de samme prinsippene vi benyttet i identifiseringsfasen.

 

Fig_DelII_08_011a

 

Figur  En felles forståelse av en risikos sannsynlighet og konsekvens er målet med analysefasen.

 

I den grad organisasjonen ikke har et elektronisk system som ivaretar dette, bør den under analysefasen fylle ut et nytt skjema tilsvarende det risikorapportørene anvendte under identifiseringen, men med den informasjon workshop-deltakerne er enige om skal inngå i den videre prosessen.

Nivået på risiko er definert som relasjonen mellom sannsynlighet og konsekvens.

Risikonivå = (Sannsynlighet >0) * (konsekvens < 0)

En risiko kan vurderes gjennom en kombinasjon av dens konsekvenser eller virkning på organisasjonens målsettinger, og sannsynligheten for at disse konsekvensene inntreffer.

Vi ville derfor ha kunnet klart oss med en kvalitativ tilnærming under identifikasjons-fasen.  Denne tilnærmingen har begrenset presisjonskrav hva angår kvantifisering av sannsynlighet og konsekvens (eksempelvis usannsynlig, sannsynlig og sikker).  Med et større antall risikoer vil vi imidlertid da fort få problemer med skjelne ulike risikoers betydning fra hverandre og kommunisere dette blant organisasjonens ansatte og interessenter.  Bruken av kvantitative verktøy fra begynnelsen av prosessen bidrar derimot sterkt til å lette senere kommunikasjon, prioritering og behandling av den enkelte risiko.

 

I denne fasen vil vi blant annet stille disse spørsmålene for å definere risikonivåer:

  • Hva er de potensielle konsekvenser for at hver av risikoene oppstår?
  • Hva er den potensielle sannsynlighet for at risiko oppstår?
  • Hvilke kontroller/oppfølginger eksisterer for å hindre eller oppdage risikoen?
  • Hvilke kontroller/oppfølginger eksisterer som vil minske konsekvensene eller sannsynlighetene av risikoen?
  • I hvilken grad er disse kontroller/oppfølginger iverksatt?

 

Kvantifisering og risikoanalyse bestemmer hvor stor konsekvensen av risiko kan være og hvor stor sannsynlighet det er for at denne konsekvensen inntreffer.

 

Formål: Avklare ulike tolkninger og situasjonsoppfatninger i organisasjonen.  Mest mulig korrekt informasjon og enighet om graden av sannsynlighet og konsekvens er en forutsetning for å bestemme hvor fokuset skal settes, før det er hensiktmessig å går videre med evaluering og prioritering i neste fase.
Input: De identifiserte risikoene fra fase 2 identifisering.  Informasjoner brukt i kvantifiseringen kan innholde historiske data, teoretiske analyser, empiriske data og analyser, informerte meninger fra eksperter eller interessegruppenes bekymring.
Metode: Avstemme informasjon fra hver av rapportørene.  Aggreger opp informasjonen.  Bestemme sannsynligheter og konsekvenser av hver av risikoene i de respektive kategoriene.
Output: En omforent oversikt over de respektive risikoer med konsekvens og sannsynlighet for hver risiko, der virkningen dette kan ha på organisasjonens suksess fremgår.Samlet omforent oversikt over alle identifiserte og analyserte risikoer i et elektronisk system, eller i form av formularer.  Oversikten må vise risikoenes omfang før og etter planlagte og iverksatte tiltak, samt ”kontrollgap”.

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

 Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Legg igjen en kommentar