ERM–guiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

ERM-Prosess – Risikhåndtering  og -overvåking

 

 

ERM-Prosess 

 

Konteksten Konteksten er både det interne og eksterne miljøet som ERM-prosessen er avhengig av for at organisasjonens skal oppnå suksess. Identifisering Risikoidentifering er prosessen som definerer de hendelser eller utfall som kan ha en målbar påvirkning på organisasjonens suksess. Analysering Risikoanalyse bestemmer hvor stor virkningen av risiko kan være og hvor stor sannsynlighet det er for at denne virkningen inntreffer. Evaluering Risikoevaluering bestemmer hvilke risikoer skal håndteres først (propritering) ved å sammenligne nivået på risiko mot organisasjonens mål. Risikoprioritering er et mål på hvor betydlig en risiko er. Tiltak Risiko tiltak er den aksjon som tas som et resultat av at en risiko har blitt identifisert og vurdert/bedømt til å være uaksebtabel for organisasjonen. Rapportering Risikorapportering er å dokumentere hvert trinn i ERM-prosessen fotrinnvis skriftlig, men også eventuelt muntlig. Håndtering og overvåking Regelmessig overvåking og vurdering av risikoer er en viktig del av iverksettelsen. Den sikrer at nye risikoer oppdages og håndteres og at tiltaksplaner iverksettes og tilnærmes effektivt.

 

ERM-Prosess – Risikhåndtering  og -overvåking

 

 

Overvåking er å sjekke, observere kritisk, eller vurdere og nedtegne fremskritts av en aktivitet, aksjon eller system regelmessig for å identifisere forandring.

Vurdering er bevisst å stoppe opp og bedømme fremskritt mot planer.

 

 

Hensikt risikohåndteringen og overvåking er: Knytte ERM prosessen mot andre prosesser i oganisasjonen . Sørge for bedre risiko håndtering og kontinuerlig forbedring

 

 

Regelmessig overvåking og vurdering av risikoer er en viktig del av iverksettelsen.. Den sikrer at nye risikoer oppdages og håndteres og at tiltaksplaner iiverksettes og tilnærmes effektivt.

ERM må være et regelmessig tema på et hvert møte for ledelsen. Prosessen med å overvåke, håndtere og vurdere sikrer at risikohåndteringsstrategier forblir en vital del av organisasjonens forretningsprosesser. Informasjoner fra slike verktøy som «Risikokategoriregisteret» kan brukes til å sikre at alle viktige risikoer undersøkes. og kan assistere med å identifisere trender, spesielt kritiske risikoområder og andre forandringer som kan oppstå.

 

«Risikokategoriregisteret« er hovedverktøyet for å overvåke og vurdere risikoer. Det lister opp de prioriterete risikoene og refererer til de tiltak som assosieres med disse. Risikokategoriregisteret innholder navnene på individer ansvarlig for håndteringen av hver risiko. Å holde risikokategoriregisteret oppdatert er ansvaret til ledelsen i organisasjonen. I praksis vil denne oppgaven delegeres til topplededelsen eller eller den han utpeker som f.eks. CRO («Chief Risk Officer»).

Risikoer som har blitt håndtert, unngått eller som ikke lengre er relevant kan fjernes fra risikokategoriregisteret sammen med de assosierte risikotiltaksplaner.

Dette er det syvende trinnet i vårt ERM-system som generelt omfatter håndtering og overvåking av den enkelte risiko i organisasjonens daglige virke.

 

Mer presist mener vi med dette: Iverksettelsen og integrering av de foreslåtte risikokorrigerende tiltak foreslått i kjerneprosessen. Måling og overvåkning av den konsekvens tiltakene har på risikoene på kort og lang sikt.

 

 

Figur Funksjonelle roller og ansvar.

 

Hovedformålet med «Håndtering og overvåking av risikoer» er å iverksette resultatene fra ERM-kjerneprosessen i organisasjonenes operative virksomhet, øvrige «Corporate Governance»-, og «internal control»-strukturer.  Dersom vi ikke lykkes med dette elementet i ERM-prosessen, står hele prosessen i fare for å bli en «papirtiger» uten annet resultat enn rapporter.  Dette elementet i prosessen kan derfor på mange måter sies å være prosessens viktigste «grensesnitt» mot de øvrige prosessene i organisasjonen, og er derfor svært avgjørende for hvorvidt prosessen oppfyller sin hensikt.
All tvil om ansvaret for dette elementet i prosessen må derfor ryddes av veien umiddelbart.

Likevel opplever vi ofte ansvarsfraskrivelser forårsaket av «støy» i denne sammenhengen.

 

Dette kan eksempelvis ha bakgrunn i at: Det ikke alltid er samsvar mellom synspunkter og konklusjoner som kommer frem gjennom kjerneprosessens analyser og evalueringer, og de synspunkter vi måtte ha som ansvarlig for prosessområdet i det daglige (ansvar og myndighet). Det ikke alltid er resultatmessig samsvar mellom de enheter som bærer byrdene ved iverksettelsen av tiltakene, og de enhetene som høster gevinstene av disse.

 

 

 

Formål:	Regelmessig overvåking og håndtering av oppside/nedside risikoer organisasjonen står ovenfor. Dette sikrer at nye risikoer oppdages og håndteres, og at enhver forandring mht. eksisterende risikoer oppdages og håndteres, og at tiltak iverksettes og fremgangen overvåkes effektivt. Dessuten knytte ERM-prosessen opp mot andre prosesser i organisasjonen, og forbedre håndteringen av oppside/nedside risiko og kontinuerlig forbedre overvåkingen.
Input:	Hovedinput i dette trinnet er hovedrisikoer som har blitt identifisert i tiltaksfasen  som der tiltakene for nedside risiko er sortert og prioritert etter nivåene i ALARP-modellen.mens tiltakene for muligheten er sortert og prioritert etter andre modeller :Etter nivåene i ALARP-modellen: ·         Ikke tolererbare risikoer. ·         Tolererbare ubetingede risikoer. ·         Tolererbare betingede risikoer. ·         Akseptable risikoer.
Metode:	Iverksette en håndterings- og overvåkingsprosess som del av hvert ledermøte på linje med andre viktige emner. Foreta håndtering og over-våking kontinuerlig, og til fastlagte kritiske datoer, og som del av den årlige budsjettforberedelsen.
Output:	De iverksatte tiltakene på bakgrunn av tiltakene i tiltaksfasen, sortert og prioritert for nedside risiko etter nivåene i ALARP-modellen, mens tiltakene for muligheten er sortert og prioritert etter andre modeller: Linjen overtar ansvaret for å følge med i endringer i bildet av oppside/nedside risikoer, og rapportere disse over tid.Rapporter/skjemaer og eventuelle ERM-IT-systemer som er blitt oppdatert som et resultat av håndterings- og overvåkingsstrategien.

 

 

 

ERM Systemevaluering og etterprøving

Både COSO og AS/NZS stiller i sine standarder klare krav i sine rammeverk med hensyn til prosedyrer for overvåkning av ERM-systemets helhetlige funksjonalitet og hensiktsmessighet.  Herunder de underliggende systemer (ORM) som bygger opp under det overordnede ERM-systemet.

Eksempler på disse undersystemene er f.eks. prosjektledelse, kvalitetsledelse, kredittstyring eller miljøledelse.

 

Figur Komponenter i et ERM-System.

 

Målene med «ERM-Systemevalueringen og etterprøvingen» er å sjekke og dokumentere ytelsen til ERM-systemet som helhet, samt interaksjon og integrasjon med undersystemer.

 

Dette gjøres i fra to vinkler: En strukturert prosess styrt av CRO/CRM hvor informasjon om systemet innhentes fra sentrale personer i organisasjonen.  Denne prosessen kaller vi ERMSE (ERM-SystemEvaluering). Internrevisjonens eller uavhengig tredjeparts kontroll («etterprøving») av systemet i sin helhet samt CRO/CRM’s anvendelse av dette. Det er viktig at den enkelte organisasjons ledelse og andre interessenter som tar beslutninger på basis av informasjon fra ERM-systemet, kan ha tillit til både systemet i seg selv og de systemer som mater det med informasjon.  Videre er det viktig å dokumentere det informasjonsgrunnlaget ledelsen tar sine beslutninger på.

 

 

 

Formål:	ERM-SystemEvaluering og godkjenning skal forsikre ledelsen om at ERM-systemet fungerer slik det er planlagt og forutsatt. Dette er viktig for å sikre at organisasjonen og de ansvarlige for ERM-prosessen og ERM-systemet, og alle interessegruppene som er/kan bli påvirket, er klar over og forstår hvordan ERM-systemet fungerer, i forhold til det som er tilsiktet. Dessuten skal ERMSE og internrevisjonens eller eksterne kontroller gi føringer for hvordan ERM-systemet kan forbedres.
Input:	Kategoriseringsmodellen, spørreksjemaet, sjekklister, workshoper, ERM-konteksten, ERM-kjerneprosessen gir grunnlaget for ERMSE og godkjenningen.
Metode:	ERM-rapporter sendes styret når ERMSE og godkjenninger har funnet sted, og diskuteres på avtalte tidspunkter som del av organisasjonens rapportering. En gang i året rapporteres resultatet av evalueringen av ERM-systemet til toppledelsen og styret.
Output:	Rapportene fra analysen og godkjenningen av ERM-systemet gir en oppsummering av risikoaktiviteter, status på tiltak, håndtering og overvåking av tiltak og av ERMSE. Dessuten funn fra internrevisjonen eller eventuelt funn fra en tredjepart. Alle linjeledere må gi fra seg en oppsummert ERMSE- rapport. Disse informasjonene aggregeres og samles inn av CRO/Risk Champion og sammenfattes og presenteres for toppledelsen og styret.

 

 

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang VedleggsoversiktVedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2006-2015 VIG CONSULTING

Del på bloggen