ERM–guiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

 

 

 

ERM-Praksis –  Andre praktiske moduler –
Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

 

 

 

ERM-Praksis

 

Proaktiv ERM For mer om proaktiv risikostyring trykk linken. ERM og organisasjonen For mer om ERM og organisasjonen trykk linken. Mål og strategier For mer om mål og strategier trykk linken. ERM-plan For mer om ERM-planen trykk linken. ERM-kontekst For mer om ERMkonteksten trykk linken. ERM-kategorier For mer om Risikokategorier trykk linken. ERM og overvåking For mer om ERM og overvåking trykk linken. ERM og kommunikasjon For mer om ERM og kommunikasjon trykk linken. ERM-iverksettelsestips For mer om ERM-iverksettelsestips trykk linken.   Forskjellige praktiske moduler/guider For mer om de forskjellige modulene trykk linken.

 

Modul Business Intelligence  Modul ERM-Benchmarking    Modul interessentanalyse    Modul KPIer og KRIer    Modul roller og ansvar   Modul verktøy og teknologi    Modul ERM-sjekkliste    Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

ERM-Praksis – Andre praktiske moduler –
Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

 

 

 

 

Innholdsfortegnelse 1. Rolle og funksjon for standarder for ledelsessystemer 1.1 Internasjonale standarder for organisasjonen 1.1.1 Standarder for ledelsessystemer 1.1.2 Den internasjonale Standarden ISO 31000:2009 2. Generelt om ISO:31000:2009 2.1 Hva kan en organisasjon oppnå med denne standarden: 2.2 Proaktiv og praktisk risikoledelse 2.3 Hensikten med den nye standarden 2.4 Definisjonen på risiko og RM i den nye standarden 2.5 Konsekvenser for organisasjoner 2.6 Overgangstips 2.7 Hva bidrar ISO 31000:2009 til?  2.8 Fremtiden og ISO 3100:2009  3. Relasjonen mellom RM-prinsipper/RM-rammeverk/ RM-prosess  3.1 Punkt 3 – Prinsipper for risikoledelse og – styring/ Punkt Prinsippene for å håndtere risiko/ Prinsippene for effektiv RM  3.2 Attributter/egenskaper ved forbedret håndtering av risiko  3.2 Punkt 4 RM-rammeverket/systemet  3.2.1 Generelt 3.2.2 Mandat og engasjement 3.2.3 Utforming av rammeverket 3.2.4 Implementering av risikoledelse 3.2.5 Overvåking og gjennomgang av rammeverket 3.2.6 Kontinuerlig forbedring  3.3 Punkt 5 RM-Prosessen  3.3.1 Generelt  3.3.2 Den sentral rollen som interessenter har 3.3.3 Parallellprosessen kommunisering og konsultering 3.3.4 Parallellprosessen overvåking og gjennomgang 3.3.5 Early Warning ( proaktive) indikatorer 4. Sluttbemerkninger

 

 

 

 

H1. Rolle og funksjon for standarder for ledelsessystemer

 

H1.1 Internasjonale standarder for organisasjonen

Standarder er godt for en misforståelse og dårlig for en forståelse. For å gi dette ordspillet et konkret innhold er to teser sitert:

 

 

Misforståelsen av standarder: Fordi det finnes en standard for et sakskompleks, blir dette sakskomplekset behandlet i henhold til standarden.

• En standard forstås som ”må” i den forstand at det er en juridisk forpliktelse.

Forståelsen av standarder:

Hvis det for et sakskompleks finnes en standard, skal eller kan dette bli behandlet iht. standarden.

• En standard blir forstått som ”skal” i den forstand at det er anbefaling.
• En standard blir forstått som ”kan” i den forstand at det et forslag/en impuls.

 

Forståelsen og misforståelsen av standarder sagt med andre ord: En standard må ikke bli implementert selv om den er en standard (formål i seg selv), men fordi det finnes viktige grunner, skal eller kan et sakskompleks i henhold til en standard bli implementert (andre formål). Grunnen kan være en fordel, men grunnen er ikke standarden i seg selv.

Et populært eksempel på forståelse og misforståelse av standarder: Den internasjonale standarden ISO 9001:2008 for kvalitetssikringssystemer. Det vil ikke si noe annet enn at det må finne en god grunn å håndtere kvaliteten i organisasjonen med et kvalitetssikringssystem i henhold til kravene i den internasjonale standarden ISO 9001:2008. Kvalitet blir gjennom implementeringen sikret, hvis det er hensiktsmessig å handle etter denne standarden. Finnes det ikke noen viktig grunn for organisasjonen for å implementere standarden ISO 9001:2008, da trenger ikke kvalitet å bli håndtert etter denne standarden. Kvalitet kan absolutt også bli håndtert uten standarden, Dette glemmes ofte.

Standarder av betydning er overalt i organisasjonen. Fra den norske NS standarden videre til den internasjonale standarden ISO 1000 til ISO 9000 (med ISO 9004) til ISO 80000.

En organisasjon som benytter ISO blir ofte vurdert av vanlige folk som ikke kjenner til standarder, og som tror dette borger for kvalitet og dermed har alt i orden. Vanlige folk ser denne kvaliteten i forbindelse med organisasjonens produkter og tjenester. Vanlige folk ser ikke denne kvaliteten i forbindelse med de ukjente prosessene i organisasjonen. Vanlige folk kjenner muligens ikke definisjonen på kvalitet som en relativ vurdering som korrelasjon på kundens krav.

En organisasjon som er ”ISO sertifisert” får et sertifikat fra en akkreditert sertifiserer som bevis på implementeringen av et kvalitetssystem, der kravene fra standarden ISO 9001:2008 er oppfylt. Ekspertene er de som har grunnleggende og grundig kjennskap til prosessorientering, kundeorientering og risiko.

 

H1.1.1 Standarder for ledelsessystemer

Vi henviser i første rekke her til http://www.standard.no/no/Standardisering/ for videre lesning eller http://www.iso.org/iso/home.html.

 

 

H1.1.1.1 Hvorfor ledelsessystemer?

Ledelsessystemer i organisasjonen er infrastrukturen for verdiskapning. Ledelsessystemer sørger for at ideer blir skapt og verdier utvinnes. Et ledelsessystem har en ledelsesprosess i kjernen. Et ledelsessystem strukturer ”alt” som er nødvendig for å skape bestemte verdier med en ledelsesprosess. Dette ”alt” er i hovedsak grunnelementene i ledelse.

 

Tre prominente eksempler på ledelsessystemer har verdier, kvalitet og risiko som innhold.

• Verdiledelsessystemet i organisasjonen er systemet for håndtering av verdier. I kjernen inneholder det en verdihåndteringsprosess, det skaper finansielle og ikke- finansielle, eller materielle og ikke-materielle verdier. Verdiledelse betegner det som en vanligvis forstår som verdiskapingen i organisasjonen. Denne betegnelsen står dermed i formell analogi til betegnelsen kvalitetsledelsessystem og risikoledelsessystem. I snever forstand er verdier finansiell og materiell art.
  – I videre forstand er verdier ikke finansiell og ikke materiell art.

• Kvalitetsledelsessystemet i organisasjonen er systemet for å håndtere kvalitet. I kjernen inneholder den kvalitetshåndteringsprosessen og skaper kvalitet som verdi.- Kvalitet er den kvaliteten som er forbundet med verdiskaping.
  – Kvalitet blir konkret med produkt- og prestasjonskvalitet.

• Risikoledelsessystemet i organisasjonen er systemet for å håndtere oppside/ nedside risikoer. I kjernen inneholder den risikohåndteringsprosessen og skaper visshet og sikkerhet som verdier.- Oppside/nedside risikoen er risikoen som er forbundet med verdiskaping.
  – Oppside/nedside risikoen blir konkret med risikoen for å nå mål i verdiskapingsprosessen.

 

Ledelsessystem gjør det mulig for lederen i organisasjonen, i sin rolle som direktør eller styremedlem – og dermed som organ i samfunnet – å etterkomme sine fire grunnleggende plikter som leder:

 

Organisere. Delegere. Kontrollere. Dokumentere.

 

Som grunnplikter blir disse fire nevnt, de er definert gjennom juridisk praksis og språkbruk. Disse fire grunnleggende plikter inneholder eksplisitt videre handlinger som planlegging, kommunisering etc.. Grunnpliktene er ikke noe annet enn plikten til å lede organisasjonen.

 

Disse fire grunnleggende plikter til ledelsen dekker syv grunnelementer av ledelse: Verdier. Mål. Prosesser. Resultater. Ressurser. Potensial. Medarbeidere.

 

Driften av et egnet ledelsessystem i en organisasjon er allerede et tiltak fra risikoledelsessystemet.

 

H1.1.1.2 Hva er en standard for ledelsessystemer?

 

 

En standard stiller krav eller gir anbefalinger, i enkelttilfeller er dette følgende: Standarden setter tiltak, som det blir målt eller vurdert etter. Standarden fastlegger grunnleggende funksjoner og egenskaper. Standarden skaper likhet og sammenlignbarhet. Standarden skaper grensesnitt. Standarden skaper fellesskap i funksjoner og egenskaper. Standarden reduserer kostnader. Standarden øker kommunikasjon og dokumentasjon.

 

H1.1.2 Den internasjonale Standarden ISO 31000:2009

 

 

Ledelsessystem for å håndtere oppside/nedside risiko finnes det mange av. Hvis en ved siden av muligheter/trusler betrakter sikkerhet, finnes det veldig mange ledelsessystem som håndterer muligheter/trusler og sikkerhet, og dermed styrer organisasjen.

Standarden ISO 31000:2009 er posisjonert på samme nivå som den før nevnte standarden for kvalitet- og HMS-ledelse. Den er tydelig forskjellig fra disse kjente klassiske standardene. ISO 31000:2009 er den første representanten for den nye generasjonen av standarder for ledelsessystemer. Den er den generelle normen for håndtering av muligheter/trusler. I seg selv er den igjen kun en delvis norm for å håndtere perspektivet oppside/nedside risiko i håndteringen av verdiskapingen. Den har eksplisitt i normteksten formulert krav, at den skal integreres i organisasjonens prosesser. Den virker først når den er integrert og er ikke alene bestemt for implementering og kan heller ikke alene bringe nytte.

 

H1.1.2.1 Oversikt

 

Den nye standardgruppen fra ISO/IEC fra 2009 til risikoledelse omfatter følgende tre standarder: Den internasjonale standarden ISO 31000:2009; Risk Management – Principles   and Guidelines. Den internasjonale standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques. (blir referert til av standarden ISO: 31000:2009) Den internasjonale guiden ISO 73:2009; Risk Management – Vocabulary. ( blir referert og fullt ut tatt med i standarden ISO 31000:2009)

 

Disse tre standardene lar seg gjengi i korthet som følger:

 

 

Standarden ISO 31000:2009; Risk Management – Principles and Guidelines. Topp nivå standarden for risikoledelse. Den generelle definisjonen av risiko med hensyn til mål. Åpningen av perspektivene av sjanser/muligheter. Den forretningsmessige standarden for risikoledelse. Den tverrfaglige standarden for risikoledelse. Grunnprinsippene for risikoledelse. Den generelle risikoledelsesprosessen. Integratoren for alle aktiviteter innen risikoledelse. Tilnærming til risikoledelse på tvers av hele organisasjonen. Grunnprinsippene og retningslinjene”for risikoledelse Tilnærmingen for et integrert ledelsessystem. Anbefalinger for risikoledelse av alle typer.

 

 

Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques Verktøykiste for risikoledelse. Standardisering av metoder for risikoledelse. Ufullstendig, men relevant samling av teknikker.

 

 

Standarden IEC/ISO 31010:2009; Risk Management – Risk Management Techniques Verktøykiste for risikoledelse. Standardisering av metoder for risikoledelse. Ufullstendig, men relevant samling av teknikker.

 

 

Guiden ISO 73:2009; Risk Management – Vocabulary. Ordboken for risikoledelse. Semantikken for risiko. Tverrfaglig forståelse av risiko og risikoledelse. Grunnlag for kommunikasjon om risiko.

 

 

 

 H2. Generelt om ISO:31000:2009

I år 2009 ble ISO:31000 standarden offentliggjort, en ny globalt akseptert standard for risikoledelse – prinsipper og retningslinjer sammen med den nye ISO Guide 73:2009 som definerer det nye vokabularet. Disse ble utviklet gjennom en konsensusdrevet prosess over fire år, gjennom syv utkast, og involverte input fra hundrevis av fagfolk innen risikoledelse rundt om i verden. Den nye standarden støtter en ny, enkel måte å tenke risiko og risikoledelse på, og er ment å starte prosessen med å løse de mange inkonsekvenser og tvetydigheter som eksisterer mellom mange ulike tilnærminger og definisjoner.

Det er 17 år siden den første versjonen av Australia og New Zealand RM -standard, AS/NZS 4360:1995, ble publisert og deretter fornyet i 2004.  Denne standarden dannet grunnlaget for ISO 3100:2009. Den nye internasjonale standarden blir nå i Australia kalt AS/NZS ISO 31000:2009.

Mange organisasjoner har generelt funnet at standarden som bygger på 17 års erfaring fra mange bedrifter rundt omkring i verden gir en veldig praktisk tilnærming til håndtering av risiko som kan bli brukt i bred forstand.

ISO 31000:2009 krever at organisasjonen justerer håndteringen av risiko mot oppnåelsen av organisasjonens mål.

Standarden er støttet av Guiden ISO 73:2009, som gir definisjoner av begreper knyttet til RM, samt ISO/IEC 31010:2009 vurderingsteknikker som gir en oversikt over risikovurderingsteknikker. Sammen støtter disse to dokumentene opp om ISO:31000:2009 og gir organisasjonen en beskrivelse av aktiviteter relatert til håndteringen av risiko, og en konsekvent tilnærming til bruk av RM-terminologien i prosesser og system/rammeverk som omhandler håndtering av risiko.

Guiden ISO 73:2009 gir en grunnleggende ordforråd på definisjonene på generelle begrep knyttet til RM.

ISO Guide 31000:2009 har som mål å fremme en gjensidig og konsekvent forståelse, en helhetlig tilnærming til beskrivelsen av aktiviteter knyttet til håndtering av risiko, og bruk av RM-terminologi i prosesser og rammeverk som omhandler håndtering av risiko.

 

 

Guiden ISO 73:2009: Er tenkt som et globalt vokabular av RM-begreper og er skrevet om av samme arbeidsgrupper, parallelt med ISO 31000:2009 Gir prinsipper og generelle retningslinjer om prinsipper og implementering av RM. Kan brukes i enhver form for organisasjoner, og er ikke spesifikk for noen bransje eller sektor. Den er ikke ment å bli brukt til sertifisering.

 

ISO:31000:2009 innebærer ikke en sertifiseringsprosess for organisasjoner. På samme måte som ledelsen i en organisasjon ikke kan bli sertifisert mot en standard, er RM utformet i form av prinsipper og retningslinjer for implementeringen, men ikke for sertifisering. Hvordan hver organisasjon driver RM er opp til dem. Sertifisering er ikke standardens hensikt. Det første prinsippet for god RM i den nye standarden stadfester at RM skal tilføre verdi. RM er konstruert med hensyn til prinsipper, attributter (elementer) og retningslinjer for implementering, men ikke for sertifisering. Prosessen med sertifisering kan føre til en etterlevelses- og kulturell holdning til RM som kan redusere eierskapet og ansvarligheten for RM-rammeverket/systemet i organisasjonen.

 

H2.1 Hva kan en organisasjon oppnå med denne standarden:

 

 

Høyne sannsynligheten for å nå mål. Fremme en proaktiv ledelse. Skape bevissthet for nødvendigheten av å gjenkjenne oppside/nedside risikoer og håndtere de. Gjenkjenne sjanser/muligheter og farer/trusler. Handle i overenstemmelse med lovmessige og regulatoriske krav og internasjonale normer/standarder. Forbedre finansiell rapportering. Forbedre ledelse. Forbedre tillit og troverdighet ovenfor interessentene. Skape et pålitelig grunnlag for beslutninger og planlegging. Forbedre kontrollen (med organisasjonen). Tilordne og bruke ressursene for håndtering av oppside/nedside risiko effektivt. Forbedre effektiviteten (gjøre tingene bedre) og effisiensen (gjøre de riktige tingene) i organisasjonen. Forbedre helse-, miljø- og sikkerhetsstandarden. Unngå tap og forbedre håndteringen av forstyrrelser, negative hendelser og katastrofer. Minske tap. Forbedre læringen i organisasjonen. Forbedre belastbarheten i organisasjonen.

 

H2.2 Proaktiv og praktisk risikoledelse

Den nye standarden ISO 31000:2009, gir et viktig bidrag til styrking av den proaktive tilnærmingen til ERM. Dens føre var (heretter kalt ”Early Warning”- proaktive) funksjon, bidrar til å oppdage muligheter/trusler før de oppstår og håndtere dem effektivt og vellykket.

ERM er alltid stilt overfor et dilemma:

På den ene siden, er det nødvendig at ERM bygger på solid erfaring, på den annen side er det ofte de nye, ukjente risikoene som kan true eksistensen til organisasjonen.

Stilt overfor dette dilemmaet blir det raskt klart at det er ingen løsning kun å fokusere på de nye risikoene: Enhver vellykket ERM er basert på erfaringsverdier. Denne reaktive tilnærmingen må imidlertid kompletteres med en proaktiv tilnærming. Kun i denne kombinasjonen er ERM på lengre sikt vellykket.

 

 

Standarden ISO 31000:2009 vil sannsynligvis styrke spesielt denne proaktive tilnærmingen. Siden den proaktive karakteren allerede er opprettet i strukturen i den nye normen, er det mye enklere å implementere denne proaktive tilnærmingen i risikohåndteringen.

 

H2.3 Hensikten med den nye standarden

Beslutningstakere er ukomfortable med løse biter av tilsynelatende samme, men fundamentalt forskjellig informasjon, hentet fra ulike prosesser og med ulike forutsetninger, som er beskrevet ved hjelp av de samme ordene, men som har ulike betydninger. Ut ifra disse grunnene fikk ISO, det internasjonale organ for standardisering i oppdrag, å sørge for konsistens og pålitelighet i risikoledelse ved å lage en standard som vil være gjeldende for alle former for risiko. Dette vil si:

 

 

Et felles begrepsapparat; Et sett av prestasjonskriterier; En felles overordnet ERM- prosess for å identifisere, analysere, evaluere, treffe tiltak og håndtere risiko; Veiledning om hvordan ERM-prosessen skal bli integrert i beslutningsprosesser i forskjellige og ulike organisasjoner.

 

 

H2.4 Definisjonen på risiko og RM i den nye standarden

Under AS/NZS 4360:2004, var definisjonen av risiko «muligheten for noe som skjer som vil få innvirkning på mål«. I ISO 31000:2009 er definisjonen av risiko «effekten av usikkerhet på mål«.
Det vil si ISO 31000:2009 beholder «mål» som et sentralt element i definisjonen og stadfester at risikoledelse fokuserer på strategiske kontroller og organisasjonens prestasjoner. Imidlertid skifter definisjonen fokus fra «hendelsen» (noe som skjer) til «effekten» som er effekten av hendelsen på målene (enten det er å oppnå organisasjonens mål, eller mål i individuelle prosjekter). Definisjonen er ganske enkel og svært relevant for organisasjon som prøver å definere mulighetene/truslene som kan få betydning for oppnåelsen av deres organisasjonsmessige mål. Det innebærer en «top-down» tilnærming der risikoledelse blir et sentralt fokus, og en prosess for å aktivere organisasjonen til å definere og oppnå sine mål.

ISO 31000 kan brukes på alle typer risikoer – med noen forbehold:For det første er den nye definisjonen av risiko: «Effekten av usikkerhet på mål». Merknadene til definisjonen inkluderer: «Mål kan ha ulike aspekter, som for eksempel økonomiske, helse- og sikkerhetmessige, og miljømessige mål, og kan anvendes på ulike nivåer slik som strategisk, hele organisasjonen, prosjekt, produkt og prosess.» Altså må en organisasjon sette mål som er relevante for sin risikoprofil.For det andre må vi forstå hva som menes med usikkerhet. Den femte merknaden til definisjonen av risiko sier: «Usikkerheten er tilstanden, selv delvis, av mangel på informasjon relatert til, forståelse eller kunnskap om en hendelse, dens konsekvens eller sannsynlighet.» Med andre ord, kan usikkerheten være: mangel på informasjon, forståelse, eller kunnskap om den begynnende hendelsen,  endringen i omstendighetene, eller konsekvensene, sannsynligheten for hendelsen, eller flere av disse. Ordet «kultur» har blitt innbefattet i veiledning med å etablere den interne kontekst, men er også nevnt i den eksterne konteksten.   For det tredje må derfor effektiv risikoledelse være et mandat og komme fra toppledelsen hvis det skal være «koordinerte aktiviteter for å lede og styre en organisasjon med hensyn til risiko» (den nye definisjonen av risikoledelse).

 

Risiko har inntil for kort tid siden vært ansett utelukkende som et negativt begrep som organisasjonene bør prøve å unngå eller overføre til andre. Imidlertid er det i dag erkjent at risikoen er et faktum i livet som ikke kan unngås eller fornektes. Hvis vi forstår risiko, og hvordan den er forårsaket og påvirket, kan vi endre den (vi kaller dette risikohåndtering) slik at vi mer sannsynlig oppnår våre mål og kanskje gjennomfører dem raskere, mer effektivt og med bedre resultater.

Risiko er innbefattet i alle valg vi gjør. Hvordan vi gjør disse beslutningene vil påvirke hvordan vi lykkes i å oppnå våre mål. Beslutningsprosesser er en integrert del av hverdagen og ingensteds mer fremtredende enn i en organisasjon i forandring og utvikling. Dette er grunnen til at risikoledelse er så nært knyttet til håndtering av endring og til det å ta beslutninger.

 

 

H2.5 Konsekvenser for organisasjoner

Organisasjoner som ennå ikke har implementert et formelt, proaktivt, strukturert ERM-rammeverk eller sliter med å implementere et, vil finne ISO 31000:2009 som en meget nyttig guide. Selv om den ikke er en omfattende arbeidsbok, gir den likevel tilstrekkelig trinn-for-trinn veiledning. Men bruken av ISO 31000:2009 vil kreve endringer i prosesser, redefinerte ansvarsområder osv..

Organisasjoner med et relativt modent ERM-rammeverk og som allerede utnytter AS/NZS 4360 trenger kun å gjøre mindre endringer i regler eller definisjoner, i hovedsak kosmetiske endringer. Det anbefales ERM-ledere å foreta en gjennomgang av deres nåværende ERM-rammeverk/-system og gjøre en «benchmarking» (sammenligning) mot ISO 31000:2009.
Spesielt vil ISO 31000:2009 gi ERM-lederne, internrevisjonen en mulighet til samsvar og styringstiltak i sine organisasjoner. Til å revurdere sine nåværende ERM-rammeverk idet de introduserer de nye begrepene, prinsippene og attributtene (egenskapene) for å revitalisere sine ERM-program/-planer.
Mens ISO 31000:2009 ifølge ekspertene har et par hull, markerer den imidlertid en betydelig milepæl med å harmonisere risikoledelsespraksisen globalt. ISO arbeidsgruppen som utviklet ISO 31000 bør roses for arbeidet med å standardisere området risikoledelse, der det dessverre har vært altfor mye silotekning og silodefinerte begreper, slik at veldig mange har hatt problemer med å kommunisere innenfor området risikoledelse, da mange har snakket ”forbi” hverandre.

 

H2.6 Overgangstips

 

ISO 31000:2009 vil påvirke hver organisasjon på forskjellig måte. Som et utgangspunkt, her er et forslag til en ”to do” liste for en myk overgang til ISO-31000:2009: Gjennomgå eksisterende ERM-rammeverk og sammenlign det med de ulike elementer i ISO 31000:2009. Husk å ta vare på dokumenterte forbedringer som bevis på kontinuerlig forbedring. Oppdater ulike dokumentasjoner for ERM-rammeverk: – Referanser til standarder bør endres til ISO 31000:2009. – Oppdater viktige begreper og definisjoner. – Juster dokumentasjon med andre gjeldende RM-krav Utform ERM-praksiser og ansvar på nytt, og i samsvar med ISO 31000:2009. Kommuniser tillegg og viktige endringer i dokumentasjonen til hele organisasjon. Marker til alle ansatte at organisasjonen nå følger en internasjonal ERM-standard. Engasjer interessenter og spesielt risikoeiere ved å tilby ERM-oppfriskningstrening. Opplæringen skal: – Markere de viktigste endringene i ISO 31000:2009, inkludert nye vilkår, de 11 prinsippene og egenskapene/attributtene for forbedret RM. – Utheve viktige endringer/foreslåtte endringer i organisasjonens RM-praksis og RM-rammeverk. Anvend repetisjonsøvelser. Risikoeiere burde føle seg positiv til ERM, og risikoledere bør oppmuntre risikoeiere å foreta en gjennomgang av oppside/nedside risikoer og oppdatere sine risikoregistre.

 

 

H2.7 Hva bidrar ISO 31000:2009 til?

 

 

ISO 31000:2009 oppmuntrer til Enterprise Risk Management (ERM) ISO guide 73:2009 definerer vokabularet brukt i ISO:31000:2009 og dette gjør at det globalt blir brukt et enhetlig vokabular istedenfor ”risikobegreper” som brukes av ”silotenkerne”, som det dessverre de er for mange av. ISO 31000:2009 vil erstatte nasjonale RM standarder. ISO 31000:2009 vil guide alle andre ISO/IEC-standarder med hensyn til RM-prosessen. ISO 31000:2009 er en overordnet standard i likhet med ISO 9000 og ISO 14000. ISO 31000:2009 gir prinsipper og retningslinjer for implementering, men ikke for sertifisering. ISO 31000:2009 er en fleksibel veiledning. Hvordan hver organisasjon gjennomfører helhetlig og integrert risikoledelse (ERM) er opp til den enkelte organisasjon. ISO 31000:2009 kan brukes på alle typer risikoer, enten de har positive eller negative konsekvenser. Å følge ISO 31000:2009 vil gi lavere kostnad og større sjanse for å lykkes med ERM. ISO 31000:2009 sine prinsipper og attributter (egenskaper) bør brukes som en «helsesjekk» med hensyn til modenhet av ERM-rammeverket og ERM-prosessen. ISO 31000:2009 tilfører verdi og reduserer risikoene. Tar hensyn til utvikling og forbedring av ERM-rammeverket, samt ERM-prosessen med å håndtere risiko. ISO 31000:2009 kan brukes kontinuerlig i en organisasjon, og i et bredt spekter av aktiviteter, inkludert strategier, beslutninger, operasjoner, prosesser, funksjoner, prosjekter, produkter, tjenester og eiendeler.

 

 

H2.8 Fremtiden og ISO 3100:2009

ISO 31000:2009 redefinerer ”beste-praksis” tilnærming til RM. RM forstås som del av et integrert ledelsessystem, fokusert på prosesser og interessenter. Dermed sikres det, at informasjonsflyten mellom risiko-, kvalitet-, miljø- og IT-ledelse (for å nevne noen av de viktigste) blir forbedret.

Gjennom denne optimaliseringen av informasjonsflyten vil RM vinne stadig mer oppmerksomhet også som en overvåkingsfunksjon, som viser en nøyaktig og aktuelt bilde av organisasjonen.

 

Standarden vil sannsynlig bli mye brukt og være innflytelsesrik i en rekke nasjonale og internasjonale settinger. Organisasjonens ledelse bør derfor tilbringe tid til å lese den og absorbere betydningen av det som skrives.

 

En rekke interessenter vil etter all sannsynlighet bruke ISO 31000:2009 og ISO Guide 31000:2009, inkludert: De som er ansvarlige for å implementere RM innenfor organisasjonen. De som trenger å forsikre seg om at organisasjonen håndterer oppside/nedside risiko. De som trenger å håndtere risiko for organisasjonen som helhet eller innenfor et bestemt område eller en aktivitet. De som trenger å evaluere en organisasjons praksis innen håndtering av risiko. De som utvikler standarder, guider, prosedyrer og regler for praksisen, og som helt eller delvis vurderer hvordan risikoen skal håndteres innenfor den spesifikke konteksten av disse dokumentene.

 

Ansatte som er opptatt av den nye standarden bør snakke med toppledelse om fordelene ved effektiv RM – det handler ikke bare om forebygging av skade! (Dette er også nedfelt i ISO 31000:2009). Tilby å utvikle ideer til etablering av et RM-rammeverk. Dette krever arbeid på tvers av organisasjonen.
Hold utkikk etter og spør om usikkerhet og effekten det kan ha på målene. En reaksjon på usikkerhet er rask bedring (tilpasningskapasiteten til en organisasjon i et kompleks og skiftende miljø). Organisasjoner som raskt restituerer seg vet ikke hva som kommer som det neste, men er i stand til å svare på usikkerheter som livet byr på og tilpasse seg endringer.
Den proaktive karakteren til ISO 31000:2009 gjør at RM stadig mer overtar en ”Early Warning” ( proaktiv) funksjon. De velkjente forebyggende tiltakene som risiko normalt blir håndtert med, som å unngå (eliminering, substitusjon) henholdsvis minsking (reduksjon) blir på en hensiktsmessig måte supplementært med å være en proaktiv ”Early Warning” funksjon. Dette betyr at risikoen kan registreres før de oppstår, og også bli håndtert med suksess.

 

 

H3. Relasjonen mellom RM-prinsipper/RM-rammeverk/ RM-prosess

 

 

 

 

 

 

 

Figur H3-1: Forholdet  mellom ulike deler  av RM-rammeverket

 

 

H3.1 Punkt 3 – Prinsipper for risikoledelse og – styring/ Punkt 3 Prinsippene for å håndtere risiko/ Prinsippene for effektiv RM

 

Risikoledelse er en prosess som er understøttet av et sett prinsipper. Risikoledelse må være støttet av en struktur som er tilpasset organisasjonen og dens eksterne omgivelser eller kontekst. Et vellykket risikoledelsesinitiativ bør stå i forhold til risikonivået i organisasjonen (relatert til størrelse, art og kompleksitet) og i relasjon til andre aktiviteter. Den bør være omfattende i sitt omfang, innebygd i rutinemessige aktiviteter og dynamisk ved å være lydhør overfor skiftende omstendigheter.

Denne tilnærmingen vil muliggjøre et risikoledelsesinitiativ som leverer”verdi””, inkludert etterlevelse (compliance) i forhold til gjeldende styringskrav, bekreftelse til interessenter med hensyn til håndteringen av oppside/nedside risikoer og bedre beslutningsgrunnlag.
Virkningen eller fordeler knyttet til “output” omfatter mer effektiv drift, effektive taktikker og effektiv strategi. Disse fordelene må være målbare og bærekraftig.

En stor forbedring i ISO 31000:2009 er tillegget med elleve klare og tydelige utsagn som guide i RM-praktiseringen. Disse er forklart i forhold til prestasjonskriterier og bør følges på alle nivåer i organisasjonen, hvis risikoledelse skal praktiseres effektivt i organisasjonen. I AS/NZS 4360:2004 var disse kun indirekte nevnt.

Disse prinsippene er i praksis de «essensielle kvalitetene« som er nødvendige for at håndteringen av risiko skal være effektivt. Selv om de ikke er «nye», i og med at mange organisasjoner allerede aksepterer og praktiserer disse prinsippene, er den formelle anerkjennelsen i ISO 31000:2009 verdifull.

 

Risikoledelse (RM) skaper og beskytter verdier En av de største utfordringene for RM-ledelsen er å vise at RM tilfører verdi. Dette prinsippet anerkjenner at RM hjelper organisasjonen til å nå sine mål.  Når en organisasjon som har satt mål og etablert retningslinjer og prosesser, bruker RM-tenkning vil dette bidra til å maksimere oppsiden (muligheter) og redusere nedsiden (trusler). Fordelene kan for eksempel være økt sannsynlighet for å oppnå mål, forbedret tillitt fra aksjonærer, minimalisere tap, forbedre operasjonell effektivitet og etablere et pålitelig grunnlag for beslutningstaking og planlegging. Risikoledelse (RM) er en integrert del av organisatoriske prosesser RM-aktiviteter skal ikke være atskilt fra de viktigste aktivitetene og prosessene i organisasjon. RM-aktiviteter bør være integrert i virksomheten, prosesser og i kontroller på alle nivåer i organisasjonen, og bør være en del av ledelsens ansvar. Risikoledelse (RM) er en del av det å ta beslutninger Hver gang en leder tar en beslutning, er beslutningen eksponert for risiko. Dette prinsippet anerkjenner at god RM, får lederne til å ta bedre beslutninger og dermed minimere truslene og optimalisere mulighetene. Risikoledelse (RM) adresser klart og tydelig usikkerhet Usikkerheten ligger latent i alle organisasjoner, ved å identifisere, analysere og evaluere en rekke farer, er risikoeierne bedre i stand til å implementere kontroller og håndteringer for å redusere sannsynligheten og/eller konsekvensene av usikkerhet, og etablere en mer robust organisasjon. Risikoledelse (RM) er systematisk, strukturert og aktuell I likhet med andre ledelsessystemer, bør RM være planlagt og kontrollert for å sikre effektivitet.  Standarden i seg selv fremmer en strukturert og systematisk RM-prosess og RM-rammeverk for å oppnå konsistente og pålitelige resultater. Risikoledelse (RM) er basert på best tilgjengelig informasjon Nært knyttet til prinsippet for adresseringen av usikkerhet, kan dette prinsippet interpreteres litt som en ansvarsfraskrivelse. Det anerkjenner det faktum at informasjonen ofte er begrenset, kostbart og ufullkomment. Imidlertid vil god RM vurdere informasjon fra mange kilder inkludert observasjoner, erfaringer, prognoser, historiske data, tilbakemeldinger og råd fra eksperter. Risikoledelse (RM) er skreddersydd Mens organisasjoner i en bransje har lignende trusler og muligheter, anerkjenner dette prinsippet at enhver organisasjon er unik, at RM ikke er bestemmende, men må ”passe til” organisasjonen. RM bør vurdere organisasjonens interessenter, kontekst og risikoprofil. Risikoledelse (RM) tar hensyn til menneskelige og kulturelle faktorer Dette prinsippet er nært knyttet til prinsippet om at RM er skreddersydd, der organisasjonens RM-rammeverk bør vurdere kulturelle elementer, internt og eksternt hos interessentene og risikoeiere. Spesielt deres ferdigheter, evner, oppfatninger og intensjoner. Dette prinsippet handler derfor først og fremst om interessenter og risikoeiere, med spørsmålet: Hva innebærer dette for meg? Dette sikrer at RM-aktivitetene er hensiktsmessige. Risikoledelse (RM) er transparent (innlysende, lett å se, forstå, eller gjenkjenne), og inkluderende Interne og eksterne interessenter kan ha en stor innvirkning på organisasjonen. Dette prinsippet anerkjenner behovet for å inkludere interessentene og beslutningstakerne i hele RM-prosessen, og involverer disse allerede når konteksten etableres og risikokriteriene bestemmes. Risikoledelse (RM) er dynamisk, iterativ (gjentagende) og responsiv I en verden som alltid er i forandring, vil en organisasjon ha behov for å reagere på endringer i de interne og ytre omgivelsene. Endring av forretningsstrategi, ledelsens planer, økonomiske disposisjoner og organisatoriske strukturer er viktige. Likeledes må organisasjonens RM-rammeverk og RM-prosesser reflektere disse endringene. Risikoledelse (RM) muliggjør kontinuerlig forbedring og videreutvikling av organisasjonen Dette prinsippet bygger på det siste prinsippet om at RM er dynamisk og gjentagende (heretter kalt iterativ). Det oppmuntrer organisasjoner til å være fleksible og kontinuerlig forbedre RM-rammeverkets modenhet sammen med andre elementer i sine organisasjon for å bygge motstandsdyktighet og kapasitetsmessig maksimere muligheter.

 

 

 

Figur 3-2: Prinsipper

 

Se forøvrig hvilke attributter (egenskaper) organisasjonene som ønsker en effektiv RM bør konsentrere seg om.

 

H3.2 Attributter/egenskaper ved forbedret håndtering av risiko

 

“All organizations should aim at the appropriate level of performance of their risk management framework in line with the criticality of the decisions that are to be made. The list of attributes below represents a high level of performance in managing risk. To assist organizations in measuring their own performance against these criteria, some tangible indicators are given for each attribute.” ISO 3100:2009”Alle organisasjoner bør ha som målsetting å ha et hensiktsmessig prestasjonsnivå på sitt RM-rammeverk på linje med viktigheten av de beslutninger som skal gjøres. Listen over attributter nedenfor representerer et høyt nivå på prestasjonen med å håndtere risiko. For å hjelpe organisasjoner i å måle sine egne prestasjoner mot disse kriteriene, er noen konkrete indikatorer gitt for hver attributt”. ISO 3100:2009

 

Som i AS/NZS 4360, anerkjenner ISO 31000:2009 behovet for kontinuerlig å forbedre RM-rammeverket. Imidlertid går den nye standarden videre og lister opp fem nøkkelattributter for et forbedret RM-rammeverk, dette for å hjelpe organisasjoner i å måle sin egen innsats mot disse.

 

Listen over attributter nedenfor representerer en høy grad av forbedringer i prestasjonen av RM.Kontinuerlig forbedring. Det legges vekt på kontinuerlig forbedring av RM gjennom å sette organisatoriske resultatmål, målinger, regelmessig tilbakeblikk og påfølgende endring av prosesser, systemer, ressurser, evner og ferdigheter.’Full ansvarlighet for risiko. Forbedret RM inkluderer omfattende, fullt ut definerte og fullt ut akseptert ansvarlighet for risiko, risikokontroller og oppgaven med å håndtere risikoene. Gjennomført av dedikerte risikoeiere som fullt ut aksepterer ansvarligheten, som er tilstrekkelig opplært og kompetent i RM. Ansvaret bør være klart definert og kommunisert via en jobb beskrivelse. De har tilstrekkelig ressurser og myndighet til å sjekke kontroller, overvåke risikoene, bedre kontrollene og kommunisere effektivt med interne og eksterne interessenter om risikoer og deres håndtering.RM-program for alle beslutningsprosesser. Alle beslutningsprosesser i organisasjonen, (uansett graden av betydning og viktighet) innebærer eksplisitt vurdering av risikoer og vurdering om RM-programmet er korrekt.Kontinuerlig kommunikasjon. Organisasjonen bør ha formelle RM-rapporteringsprosesser på plass. Forbedret RM omfatter kontinuerlig kommunikasjon med eksterne og interne interessenter, inkludert omfattende og hyppig rapportering av betydelig risiko og risikohåndtering, som del av god virksomhetsstyring.Full integrasjon med organisasjonens styringsstruktur. RM blir sett på som sentral i organisasjonens ledelsesprosess, slik at risiko vurderes i forhold til den effekten usikkerhet har på mål. Organisasjonens styringsstruktur og prosess er basert på styring og håndtering av risiko. Effektiv RM regnes av ledere som avgjørende for å nå organisasjonens mål.Mens ISO 31000 ikke kan benyttes for sertifiseringsformål, oppmuntrer den organisasjonene til «benchmarking»(sammenligning) med sin nåværende RM-praksis i henhold til prinsippene, de fem attributtene og prosessene i ISO 31000, og dermed identifisere områder for forbedring og utvikle strategier for forbedringer.

 

 

H3.3 Punkt 4 RM-rammeverket/systemet

 

H3.3.1 Generelt

 

 

 

 

Figur 3-3: Rammeverket/systemet

 

I følge ISO Guide 31000:2009 er ERM-rammeverket definert som et sett av komponenter som gir grunnlaget/fundamentet og organisatoriske ordninger for utforming, implementering, overvåking, gjennomgang og kontinuerlig forbedring av risikoledelse i hele organisasjonen.

 

Merknad 1: Fundamentet inkluderer policy, mål, mandat og forpliktelse til å håndtere risiko.Merknad 2: De organisatoriske ordningene omfatter planer, relasjoner, ansvarsområder, ressurser, prosesser og aktiviteter.Merknad 3: ERM-rammeverket/systemet er integrert i organisasjonens overordnede strategiske og operative policyer og praksis.

 

 

“The framework assists in managing risks effectively through the application of the risk management process at varying levels and within specific contexts of the organization. The framework ensures that information about risk derived from the risk management process is adequately reported and used as a basis for decision making and accountability at all relevant organizational levels.” ISO 31000:2009”Rammeverket bistår i å håndtere risiko effektivt gjennom anvendelse av ERM-prosessen på varierende nivåer og innen spesifikke sammenhenger i organisasjonen. Rammeverket sikrer at informasjon om risiko avledet fra ERM-prosessen er tilstrekkelig rapportert og brukt som grunnlag for å ta beslutninger og for ansvarlighet på alle relevante nivåer i organisasjonen.” ISO 31000:2009

 

I AS/NSZ 4360:2004 var RM-rammeverkets forskjellige komponenter/elementer delvis dekket i seksjonen ”Å etablere effektiv risikoledelse”

Det er viktig å påpeke at ERM-systemet/rammeverket ikke er ment å forskrive et ledelsessystem, men heller å hjelpe organisasjonen å integrere risikoledelse i sitt totale ledelsessystem. Derfor bør organisasjoner tilpasse komponentene/elementene i rammeverket til sine spesifikke behov.

ERM-rammeverket beskrevet i ISO 31000:2009 kan også tilpasses og brukes for å håndtere risiko knyttet til prosjekter. Selv om prosjekter ofte krever en annen tidshorisont og spesialiserte kriterier, er de en kilde til risiko for organisasjonens målsettinger og denne risikoen må håndteres for å sikre at prosjekter leverer verdien som de ble planlagt for.

Et effektiv, strukturert, proaktivt og holistisk orientert ERM-rammeverk er noe som det må jobbes med. Det er ikke noe som ”kun” skjer. Det rette fundamentet må etableres og komponentene/elementene som det består av må justeres etter hvert..
Relasjonene og forholdet mellom de ulike komponentene/elementene i et RM-rammeverk godt belyst og illustrert i ISO 31000:2009 som vist i figuren nedenfor.

 

H3.3.2 Mandat og engasjement

RM er ikke et enkeltstående prosjekt, men en pågående aktivitet/prosess som krever kontinuerlig forpliktelse. Det må være mandat fra styret (eller tilsvarende), gjennomført av toppledelsen og støttes av alle ledelsesnivåer og risikoeiere for å være bærekraftig.

 

Ledelsen må: Formulere og gi sin tilslutning til RM policyen. Bbestemme RM resultatmål/indikatorer som er i tråd med organisatoriske resultatmål. Sørge for justering av RM-mål, med mål og strategier i organisasjonen. Sikre at juridiske og lovpålagte krav ivaretas. Tildele ledelsen ansvarsområder og oppgaver på riktig nivå i organisasjonen. Sikre at nødvendige ressurser er allokert/tildelt til RM. Formidle fordelene med RM til alle interessenter. Sørge for at RM-rammeverket/-systemet fortsetter å være aktuelt

 

 

H3.3.3 Utforming av rammeverket

Som alle gode prosjekter, prosesser og strategier, må RM-prosesser være godt utformet for effektivt å støtte implementeringen. Det vil si: Definering av konteksten for RM-rammeverket, formulere RM-policy, integrere prosesser i praksis, tildele ressurser og bestemme ansvar. Dette er viktige elementer i utformingen av et effektivt rammeverk for å håndtere risiko.

 

 

Godt utformet periodisk rapportering til interessenter og effektiv kommunikasjonsmekanismer vil støtte effektiv implementering: Forstå organisasjonen og dens kontekst. RM-policy. Integrering i organisatoriske prosesser. Ansvarlighet. Ressurser. Etablering av intern kommunikasjon og rapporteringsmekanismer. Etablering av ekstern kommunikasjon og rapporteringsmekanismer.

 

H3.3.3.1 Kontekst

For å lykkes med implementering, støtte og opprettholde risikoledelsesprosessen, er en struktur påkrevd. ISO 31000 refererer til denne strukturen som konteksten for risikoledelse.

 

“Before starting the design and implementation of the framework for managing risk, it is important to evaluate and understand both the external and internal context of the organization, since these can significantly influence the design of the framework.” ISO 31000:2009”Før du starter utformingen og implementeringen av ERM-rammeverket, er det viktig å evaluere og forstå både den eksterne og interne kontekst for organisasjonen, siden disse kan ha betydelig innflytelse på utformingen av rammeverket.» ISO 31000:2009

 

 

Evaluering av organisasjonens eksterne kontekst kan inkludere, men er ikke begrenset til: De sosiale og kulturelle, politiske, juridiske, regulatoriske, finansielle, teknologiske, økonomiske, naturlig og konkurransemessige omgivelser, enten internasjonalt, nasjonalt, regionalt eller lokalt. Sentrale drivere og trender som har innvirkning på målene i organisasjonen. Relasjoner med og oppfatninger og verdier eksterne interessenter.

 

 

Evaluering av organisasjonens interne kontekst kan inkludere, men er ikke begrenset til: Styring, organisering, roller og ansvarsområder. Retningslinjer, mål og strategier som er på plass for å nå de. Evner, forstått i form av ressurser og kunnskap (f.eks. kapital, tid, mennesker, prosesser, systemer og teknologier). Informasjonssystemer, informasjonsflyt og beslutnings-prosesser (både formelle og uformelle). Relasjoner med, oppfatninger, verdier og interne interessenter. Organisasjonens kultur. Standarder, retningslinjer og modeller vedtatt av organisasjonen. Formen og omfanget av kontraktsmessige forhold.

 

H3.3.3.2 Policy

Se Guide B8 vedlegg B og Guidene A og B ”Praktisk Enterprise Risk Managements” innhold.

 

H3.3.3.3 integrering i organisatoriske prosesser

Se Guidene A og B  ”Praktisk Enterprise Risk Managements” innhold.

 

H3.3.3.4 Ansvarighet

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

H3.3.3.5 Ressurser

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

3.3.3.6 Intern Kommunikasjon

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

3.3.3.7 Ekstern Kommunikasjon

Se guidene A og B  ”Praktisk Enterprise Risk Managements” innhold

 

H3.3.4 Implementering av risikoledelse

Når ERM-rammeverket er utformet, handler implementeringen om å gjennomføre teorien i praksis og faktisk realisere RM-rammeverket. Konkret handler dette om å sikre at ERM-prosessen er forstått av risikoeierne (gjennom god kommunikasjon og opplæring), og at risikoledelsesaktiviteter faktisk finner sted (gjennom risikovurderinger, risikoworkshop, internkontroll etc.) og at beslutninger og forretningsprosesser faktisk henspeiler risikotenkningen i organisasjonen.

 

 

Det vil si : Å definere en passende timing og strategi for gjennomføring av rammeverket/systemet. Å bruke RM-policy og RM-prosess til den organisatoriske prosessen. Å overholder lover og regler. Dokumentert begrunnete beslutningsprosesser, herunder utvikling og fastsettelse av mål som er justert i forhold til utfallet av ERM-prosessen. Å holde informasjons- og opplæringsseminarer. Å kommunisere og rådføre seg med interessenter for å sikre at ERM-rammeverket/ systemet fortsatt er aktuelt.

 

 

H3.3.5 Overvåking og gjennomgang av rammeverket

Innebærer en bekreftelse på at de ulike risikoledelseselementer og -aktiviteter faktisk virker effektivt i tråd med forventningene.  Eventuelle hull som identifiseres må dokumenteres og korrigeres:

 

Det vil si: Å etablere resultatmål. Periodisk å måle framgang mot, og avvik fra RM-planen. Periodisk å vurdere om RM rammeverket/-systemet, RM-policyen og RM-planen fortsatt er tatt hensyn til. Regelmessig å vurdere om organisasjonens interne og eksterne kontekst er tatt hensyn til. Å rapportere om risiko, fremdrift i henhold til RM-planen og undersøke hvor godt RM-policyen blir fulgt. Å gjennomgå effektiviteten av RM- rammeverket.

 

 

H3.3.6 Kontinuerlig forbedring

Dette handler om å finpusse og forsterke viktige elementer av RM-rammeverket til enten å forbedre eksisterende prosesser og/eller fremskritt mot et mer modent RM-rammeverk. En meget målrettet organisasjon vil forbedre sine prosesser og dermed modnes over tid.

 

H3.4 Punkt 5 RM-Prosessen

 

Figur 3-4: Prosessen

 

H3.4.1 Generelt

 

I følge ISO Guide 31000:2009 er RM-prosessen definert som systematisk bruk av policyer, prosedyrer og praksis til aktivitetene med å kommunisere og konsultere, etablere konteksten, og å identifisere, analysere, evaluere, treffe tiltak(håndtere), overvåke og gjennomgå risiko.

 

 

Videre beskrives det i ISO 31000:2009 at:” The risk management process should be: an integral part of management, embedded in the culture and practices, and tailored to the business processes of the organization.” Risikostyringsprosessen bør være: en integrert del av ledelse, innebygd i kulturen og praksis, og skreddersydd til forretningsprosessene i organisasjonen.

 

ERM-prosessen i ISO 31000:2009 er identisk med AS/NZS 4360:2004 og den nyere AS/NZS ISO 31000:2009.

 

ISO 31000:2009 og AS/NZS ISO 31000:2009 inneholder begge fem prosesstrinn (hovedaktiviteter) samt to kontinuerlige prosesser, kommunikasjon og konsultering samt overvåking og gjennomgang. Selv om noen hevder det er nødvendig å starte med kommunisering- og konsultasjonsfasen, og andre med å etablere konteksten, er dette ikke et flytdiagram, eller en start- og- fullføringsprosess. Du kan starte hvor som helst og gå fremover og bakover. Men i våre bøker: ”Praktisk Enterprise Risk Management” starter vi med konteksten.

Konteksten som organisasjon opererer i kan betraktes som det generelle forretningsmiljøet, den består av ekstern og intern RM-kontekst. På dette stadiet blir kriterier for risikoevaluering utviklet og strukturen for resten av prosessen avtalt. De neste fasene/trinnene er, som en del av risikovurderingen: Risikoidentifisering, risikoanalyse og risikoevaluering.

Risikoidentifisering handler om å spørre hva som kan skje, når, hvordan, hvorfor og med hvem. En velkjent risiko vil gi mye av den informasjonen beslutningstakere trenger å vite. For eksempel: Den manglende evne til å rekruttere og beholde kompetente medarbeidere til å jobbe på et prosjekt vil virke inn på målet,  et vellykket prosjekt som gir godt resultat.

I risikoanalysen blir omfanget av konsekvenser og sannsynligheten for hendelsen vurdert, og de nåværende kontrollene blir vurdert med hensyn til effektivitet. Det er også nyttig med en vurdering av konsekvenser og sannsynlighet hvis alle kontrollene svikter. Forskjellen mellom ukontrollert og kontrollert grad av risikokonsekvensene illustrerer hvor viktig kontrollene er.
Risikoevaluering innebærer å ta beslutninger om risikoer, hvilke som trenger håndtering, og hva er prioriteringene. Dette krever sammenligning av analysert risiko for risikokriterier utviklet i sammenheng med konteksten. Toleransen med hensyn til en risiko vurderes også her. Ytterligere analyser er ofte nødvendig før en tar beslutninger vedrørende håndteringen.
Standarden ISO 3100:2009 drøfter også vurderingen av muligheter for håndtering, det å utvikle håndteringsplaner, og behovet for nøye å overveie store/små hendelser med hensyn til sannsynlighet.
På hvert stadium i denne prosessen er det viktig å kommunisere og rådføre seg med interessenter, overvåke og gjennomgå hele prosessen.

 

H3.4.2 Den sentral rollen som interessenter har

 

Hvis man betrakter RM-prosessen i ISO 31000:2009 (Figur 1= se vanlig tegning for prosessen), ser vi at den anerkjenner betydningen av tilbakemelding i form av to mekanismer- to parallelle prosesser, nemlig av: Kommunisering og konsultasjon Overvåking og gjennomgang

 

Men disse kan også betraktes som en del av ERM-rammeverket/ERM-systemet.

 

Et viktig trekk ved ISO 31000:2009 er at tilnærmingen til risikoledelse tydelig og klart orienterer seg etter Interessenter eller «grupper med krav”. Under interne interessenter forstås for eksempel medarbeidere, ledere og toppledere. Ved eksterne interessenter dreier det seg for eksempel  om kunder, Investorer, konkurrenter, leverandører, myndigheter, samfunnet, frivillige organisasjoner og medier.

 

 

Figur 3-5: Prosessen – paralellprosessene-kommunisering og konsultasjon og overvåking og gjennomgang

 

Rapportering og offentliggjøring er bare veldig kort omtalt i ISO 31000 og de er ikke inkludert i prosessen som er vist i Figur 3. Heller ikke er overvåking og gjennomgangs- tilbakemeldingsaktiviteter beskrevet i ISO 31000. ISO 31000 nevner ikke eksplisitt oppgavene med å overvåke risikoprestasjonen og gjennomgår RM-rammeverket.

 

H3.4.3 Parallellprosessen kommunisering og konsultering

I ISO 31000:2009 blir interessenttilnærmingen forankret i en uavhengig parallellprosess, i kommunisering og konsultering. For å forstå de karakteristiske trekkene ved denne parallellprosessen, er følgende viktig: Å kommunisere med interessenter vil fremfor alt si å lytte oppmerksomt til hvilke spørsmål, behov, forventninger og også engstelser de har i forhold til risikoorienterte produkter og prosesser. Og først i annen instans går det om også å svare interessentene. På samme måte må også begrepet konsultasjon bli beskyttet imot en misforståelse: Konsultasjon har primær betydningen å lytte til en ekspert, søke råd, og først sekundært, selv gi en sakkyndig uttalelse. Denne dobbeltrollen av begrepene kommunisering og konsultering er sentral for å forstå ISO 31000:2009

 

 

Gjennom interessent tilnærmingen, i tillegg til informasjon fra eksperter (konsultering), som også involverer alle relevante interne og eksterne interessenter, er det klart at en kvalifisert risikodialog blir resultatet. Gjennom denne kommunikasjonen og konsultasjonen blir ERM-systemet/-rammeverket til et kommuniserende, proaktivt og lærende ledelsessystem.

 

Denne proaktive karakteristikken har tre store fordeler: Interne interessenter: Medarbeidere har muligheten for i tilstrekkelig grad å kommunisere sine erfaringer, observasjoner og refleksjoner innen RM-prosesser. På denne måten blir de til reflekterte og bevistenkende medarbeidere. De ansvarlige risikoeierne blir vel informert mht. de reelle risikoene som eksisterer. Gjennom en slik proaktiv tilnærming kan en omfattende ”sikkerhet og risikokultur” over tid bli utviklet og fremmet. Eksterne interessenter: Gjennom den proaktive tilnærmingen beskytter organisasjonen seg ·mot mange negative overraskelser. I dagens informasjonssamfunn er en viktig suksessfaktor for organisasjonen, at det implementerte ERM-systemet/-rammeverket støtter seg på et solid informasjons-fundament.  Kun de informasjoner kan behandles som også blir registrert. Selvfølgelig er det viktig, at denne informasjonen er analysert og evaluert med hensyn til sin relevans. På grunnlag av en slik strukturert informasjons-bearbeiding oppstår et ERM-systems sterke proaktive funksjoner, som ikke minst ofte oppfyller funksjonen med ”early-warning”.

 

 

H3.4.4 Parallellprosessen overvåking og gjennomgang

Den andre parallelle prosessen overvåking og gjennomgang har en sentral støttefunksjon i RM-prosessen. Mens den første prosessen handler om en åpning av ERM-prosessen, muliggjør prosessen overvåking og gjennomgang en fokusering på nøkkeltall, sammenligningstall og andre indikatorer av RM-prosessen.

 

Dette fokuset blir implementert med en rekke forskjellige tiltak: RM-prosesser baserer, som alle ledelsesprosesser på¨ en kontinuerlig forbedringsprosess. Risikoledelse kontrolleres jevnlig, for eksempel om den valgte tilnærmingen og risikopolicyen er avstemt med de interne og eksterne kravene som organisasjonen står ovenfor. Sist men ikke minst, blir også effektiviteten av RM-prosesser og tilstrekkeligheten av kontrollprosessene gjennomgått.

 

Det karakteristiske trekket ved disse inspeksjonsprosessene, er at disse ikke først finner sted til slutt etter at tiltakene for risikoene(risk treatment) har funnet sted, men som en parallell prosess som i identifisering av risikoene.

 

H3.4.5 Early Warning ( proaktive) indikatorer

Gjennom denne tette oppfølgingen av RM-prosessen resulterer det allerede på et tidlig stadium av ERM-prosessen viktige tilbakemeldinger.

 

To eksempler illustrerer dette: En organisasjon kan merke en økt grad av kritiske artikler om et av dens produkter i media.  Denne kritiske rapporteringen kan føre til at, selskapets omdømme/image på mellomlang og lang sikt vil lide. Et slikt omdømmetap kan ha en direkte innvirkning på salgstallene. Selv om det er vanskelig på forhånd økonomisk å fastslå hva omdømmetapet koster, så vil det på bakgrunn av de to parallellprosessene i ISO 31000:2009 være galt å ignorere denne risikoen.  I stedet vil en interesseanalyse ved hjelp av indikatorer bedre være i stand til å få oversikt over omdømmerisikoen. Slike refleksjoner burde med fordel allerede være en del av risikoidentifiseringen. Hvis et leverandørselskap til bilindustrien innen kort tid holder tilbake et visst antall styringskomponenter, er ikke dette kun et kvalitetsproblem som isolert kan løses. Svært ofte er det også et Early Warning signal for RM-systemet/-rammeverket. Det bør vurderes om en tilbakekalling av et produkt er nødvendig. Spesielt ved en tilbakekalling av et produkt er faktoren tid viktig: Tid er penger, derfor har Early Warning indikatorer en viktig rolle innen risikoledelse.

 

 

 

4. Sluttbemerkninger

Første utkast av standarden var basert på mange kilder til informasjon. For eksempel risikoledelsesprosessen kom fra Australias og New Zealands Standard, AS/NZS 4360 som i løpet av de siste 20 årene og gjennom tre revisjoner og oppdateringer, hadde blitt den mest brukte standarden for risikoledelse i organisasjoner. I tillegg ble punkt 4 om implementering gjennom integrasjon basert på en elegant tilnærming, ved hjelp av organisatorisk forbedringssyklus i den østerrikske standard. Den endelige versjonen av ISO 31000 inneholder imidlertid svært lite av den opprinnelige teksten fra andre standarder. Den var omskrevet, gjennomgått og revidert så mange ganger at den nå virker helt homogen og selvbærende.

Selvfølgelig, til tross for anstrengelsene til så mange mennesker over så lang tidshorisont, er det alltid muligheter for forbedring og tillegg. Det mest presserende behovet, er imidlertid å utvikle en praktisk veiledning om implementeringen av standarden, noe ISO vurderer nå.

Arbeidet med å revidere standarden startet allerede i 2010.

 

Grant Purdy som er en av støttespillerne av ISO 31000:2009 mener at det på følgende områder trengs oppmerksomhet med hensyn til å forberede veiledningen: Arbeidsgruppen må unngå å bli få fanget i debatten om risikoappetitt og risikotoleranse. Disse to misbrukte terminologiene reflekterer forvirrende konsepter og dårlig argumentasjon som er sponset av det dårlig funderte COSO ERM-rammeverket.  Selv en fersk gjennomgang av corporate governance (virksomhetsstyring) i finansiell sektor av Baselkomiteen for banktilsyn sier at det er ingen konsensus i den sektoren på hva de betyr, og forskjellen mellom dem. ISO 31000:2009 har vedtatt en mer pragmatisk tilnærming som krever at organisasjonen utleder og angir eller adopterer risikokriterier som grunnlag for sine beslutninger. Det er imidlertid ytterligere et klart råd å fjerne all tvetydighet om dette konseptet. Arbeidsgruppen lot være uløst spørsmålet om risikohåndtering/risikotiltak burde fortsette inntil et eller annet risikokriterium var nådd eller om, selv for lav risiko, hvis kost-nytte fordel var ønskelig, om ytterligere risikohåndtering/risikotiltak bør finne sted. Den tidligere tilnærmingen oppstår i helse-, sikkerhet-, og miljølovgivning, og sistnevnte fra virksomhetens forbedringsprosesser. Disse to tilnærmingene er ikke nødvendigvis uforenlige, men kan bli smidigere avstemt. Selv om beskrivelsen av ERM-rammeverket i punkt 4 i standarden er ganske kortfattet, er det likevel fortsatt noen elementer som kan forenkles, slik at rammeverket og implementeringen blir mer forståelig og mindre byrdefull for mindre, enklere organisasjoner.

 

Selv om det er alltid er rom for forbedring, representerer utgivelse av ISO 31000:2009 og ISO Guide 73:2009 en svært viktig milepæl for folk til å forstå og utnytte usikkerhet. Et enestående antall på 25 land stemte for standarden, der kun Italia stemte imot, og allerede har det formelt vært adoptert av mange land for å erstatte deres nasjonale standarder, noe som forårsaker at andre standardiseringsorganer reviderer sine dokumenter. Som et eksempel, har institutt for internrevisjon allerede publisert en guide til planlegging og gjennomføring av risikobasert revisjons- og bekreftelsesaktiviteter ved hjelp av ISO 31000 og sammenkalte i august 2010 et ”lederskapsforum” for å avgjøre sin framtidige policy med hensyn til risikoledelse.

Nye standarder starter på nytt med mål og måter å tenke på og det er utvilsomt at utgivelsen av ISO 31000 nå krever at alle risikoledelsesutøvere må undersøke sin nåværende måte å jobbe på og språket de bruker. Slik at deres kunder, som står overfor beslutninger, kan innhente enkel, konsekvent, nyttig og entydig informasjon. Større konsistens i definisjoner og prosess kan bare føre til større trygghet i beslutningsprosesser og til slutt til bedre beslutninger.

 

 

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen