Risikoevaluering

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 Money in hand

ERM-Prosess – Risikoevaluering

 

 

ERM-Prosess 

 

Konteksten

chicagoCN_2773_150

Konteksten er både det interne og eksterne miljøet som ERM-prosessen er avhengig av for at organisasjonens skal oppnå suksess.

Identifisering

PIC108528256835_150

Risikoidentifering er prosessen som definerer de hendelser eller utfall som kan ha en målbar påvirkning på organisasjonens suksess.

Analysering

Money_Burning_03_150

Risikoanalyse bestemmer hvor stor virkningen av risiko kan være og hvor stor sannsynlighet det er for at denne virkningen inntreffer.

Evaluering

cohdra_100_5160_150

Risikoevaluering bestemmer hvilke risikoer skal håndteres først (propritering) ved å sammenligne nivået på risiko mot organisasjonens mål.

Risikoprioritering er et mål på hvor betydlig en risiko er.

Tiltak

P9231837_150

Risiko tiltak er den aksjon som tas som et resultat av at en risiko har blitt identifisert og vurdert/bedømt til å være uaksebtabel for organisasjonen.

Rapportering

UFFICIO_02_150

Risikorapportering er å dokumentere hvert trinn i ERM-prosessen fotrinnvis skriftlig, men også eventuelt muntlig.

Håndtering og overvåking

Money

Regelmessig overvåking og vurdering av risikoer er en viktig del av iverksettelsen. Den sikrer at nye risikoer oppdages og håndteres og at tiltaksplaner iverksettes og tilnærmes effektivt.

 

ERM-Prosess – Risikoevaluering

 

cohdra_100_5160

 

Risikoevaluering bestemmer hvilke risikoer skal håndteres først (propritering) ved å sammenligne nivået på risiko mot organisasjonens mål.

Risikoprioritering er et mål på hvor betydlig en risiko er.

 

Formålet med risikoevalueringen er i første rekke å skaffe oss best mulig oversikt over den enkelte risikos innvirkning på de ulike målsetninger organisasjonen har definert under etableringen av kontekst (strategi og policy).

 

Spesielt gjelder dette:

  • Identifisere potensiell akkumulering og diversifiseringseffekter på forskjellige organisasjonsenheter.
  • Prioritere de identifiserte risikoene for å allokere begrensede ressurser til nøkkel risikoene.
  • Bestemme om en risiko kan aksepteres eller krever øyeblikkelig handling.

 

For å sammenligne risikoer fra forskjellige organisasjonsenheter eller for forskjellige risikokategorier, må evalueringen og prioriteringen gjennomføres med utgangspunkt i en standardisert tilnærming på tvers av alle risikokategorier.  For å kunne foreta slike sammenligninger og prioriteringer må vi finne fellesnevnere for de viktigste faktorene, mens ”støy” i form av detaljer knyttet til den enkelte risiko må filtreres bort.  Dette oppnår vi i stor grad ved å benytte et aggregert analyseskjema fra analysefasen som grunnlag for evalueringen.

 

Fig_DelII_08_010a

Kvalitativ risikomatrise

 


  • Risikoer evalueres og prioriteres i første rekke på basis av deres forventete sannsynlighet og deres potensielle konsekvens i form av virkning på EBIT (”Earning Before Interest and Tax”), hvis disse skulle inntreffe.  Disse to faktorene bestemmer risikonivået og betydningen for organisasjonen.

    Utelukkende kvalitative målinger med gradering lav, medium og høy er et vanskelig utgangspunkt, da de gjør en sammenligning av forskjellige organisasjonsenheter vanskeligere, og bidrar ikke til å bestemme prioriteringer og akkumuleringer.  Bruken av kvantitative målinger, muliggjør derimot de relative posisjonene av en risiko i relasjon til en annen.

  • Risikoer evalueres før og etter risikotiltak. Sammen med en evaluering av planlagte og igangsatte tiltak, i det vi kaller kontrollmatrisen, kan vi danne oss et bilde av i hvilken grad det er nødvendig å forsere tiltakene, eller iverksette ytterligere tiltak.  Vi omtaler gjerne dette som ”kontrollgapet”.  Kontrollgapet kjennetegnes generelt ved at vi har identifisert en ”høy risiko”, som vi har liten ”kontroll” over.

 

 

kontrollkap

 

Rammen for ”kontrollgapet” bør defineres under kontekst.  Det vil si at organisasjon-en gir utrykk for hvor stor risiko og lav iverksettelsesgrad vi generelt aksepterer, uten å forsere planlagte tiltak eller iverksette nye.

Kombinasjonen av høy risiko og lav iverksettelsesgrad av tiltak, kan indikere behov for å forsere iverksettelsen av planlagte tiltak eller iverksette nye tiltak.

Den grunnleggende oppgaven under evalueringen er med andre ord å vurdere de funn vi har gjort under identifikasjon, kvantifisering, og analyse av en risiko opp mot eksterne, eller interne føringer.  Herunder selvfølgelig også de føringene vi har lagt under kontekst.

I sin enkleste form vil en risikoevaluering kun skille en risiko, som krever tiltak fra en annen som ikke krever det.  Dette ville være behagelig ukomplisert, men vi vil likevel sitte igjen med en rekke spørsmål som ”hva slags tiltak” og ”hvor mye er det verd å satse på disse tiltakene og lignende eksempler.  Evalueringen er i så måte ikke ferdigstilt.

En måte å visualiser dette på, er å benytte ALARP-modellen som beskriver risiko i form av en trekant, der det horisontale plan
(trekantens bredde) illustrerer risikoens størrelse eller bekymringen for denne.

Modellen bygger på antagelsen om at det til enhver risiko finnes en grense for hvor mye innsats det er verdt å sette inn som tiltak mot en risiko, før ulempene ved tiltakene overskrider en eventuell gevinst.  Teorien er altså at risikoen skal være så lav som praktisk mulig (As Low As Reasonable Practicable).  Likeledes vil det finnes en grense for hvor stor risikoen kan aksepters å bli, før det vil være fornuftig å iverksette ekstraordinære tiltak.  Mellom disse grensene ligger ALARP toleransesonen som definerer området for ordinære tiltak mot risiko.

 

ALARP modellen

 

Risikoevaluering bestemmer hvilke risikoer som kan passere uten ytterligere tiltak.  Hvilke vi må utarbeide tiltak mot, og den innbyrdes prioriteringen av disse, samt hvilke risikoer som må rapporteres øyeblikkelig til styret og ledelsen. 

Risikoprioritering er en indikasjon på hvor betydelig en risiko er, og kan avleses gjennom kontrollmatrisen.  Den fremstilles her som en funksjon av risikoens størrelse og manglende iverksettelse av tiltak.

 

 

Formål: Risikoevaluering er prosessen med å synliggjøre aggregeringer på tvers av organisasjonen, og å skille oppside/nedside risikoer vi etter hvert har kontroll over, fra de oppside/nedside risikoer der vi må forsere planlagte tiltak eller iverksette nye. Dens hensikt er videre å utvikle enighet om nødvendig rapportering til styret, og de prioriteringer som er nødvendig for de videre ressursdisponeringer knyttet til tiltakene. Enighet om prioriteringer brukes til å bestemme organisasjonens fokus og anstrengelser mht. å behandle de identifiserte oppside/nedside risikoene. Det bestemmes strukturerte aksjonsplaner og ressursfordeling. 
Input: De identifiserte oppside/nedside risikoene som kvantifiseres ut ifra beregnet sannsynlighet og konsekvens under identifiserings- og analysefasen. Informasjon som er brukt og som omfatter normalt alle oppside/nedside risikoer kan innholde historiske data, teoretiske analyser, empiriske data og analyser, informerte meninger fra eksperter eller som organisasjonens interessenter vurderer som bekymringsfulle
Metode:

Aggregere risikokategoriene på tvers av organisasjonen og vurdere ”kontrollgap”. oppside/nedside risikoene etter tiltak i forhold til tiltakenes iverksettelsesgrad) og foreta en prioritering.

KRIer (Key Risk Indicators) identifiseres.
Output:
  • Omforent oversikt over oppside/nedside risikoer, der tiltak anses unødvendig.
  • Omforent oversikt over oppside/nedside risikoer, der planlagte og iverksatte tiltak anses tilstrekkelige.
  • En omforent prioritert oversikt over oppside/nedside risikoene som krever forsering av planlagte tiltak eller iverksettelse av nye.
  • Rapport til styret og ledelse med hensyn til oppside/nedside risikoer som kvalifiserer til ”øyeblikkelig rapportering.
  • Omforent risikoprioriterings- og nivåliste.

 

 

 

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

 Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg		 Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

Gravatar
WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Avbryt

Kobler til %s

%d bloggere liker dette: