ERM–guiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

ERM-Praksis – Andre praktiske moduler-
Modul KPIer og KRIer

chicagoCN_90895

ERM-Praksis

Proaktiv ERM

For mer om proaktiv risikostyring trykk linken.

ERM og organisasjonen

For mer om ERM og organisasjonen trykk linken.

Mål og strategier

For mer om mål og strategier trykk linken.

ERM-kontekst

For mer om ERMkonteksten trykk linken.

ERM-kategorier

For mer om Risikokategorier trykk linken.

ERM og overvåking

For mer om ERM og overvåking trykk linken.

ERM og kommunikasjon

For mer om ERM og kommunikasjon trykk linken.

ERM-iverksettelsestips

For mer om ERM-iverksettelsestips trykk linken.

Forskjellige praktiske moduler/guider

For mer om de forskjellige modulene trykk linken.

ERM-Praksis –
Forskjellige praktiske ERM-moduler/-guider

Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

ERM-Praksis – Andre praktiske moduler –
Modul KPIer og KRIer

Innholdsfortegnelse:

1. Key Performance Indicators (KPIer)
1.1 Hva er en Key Performance Indicator?
1.2 Fordelene ved å måle Key Performance Indicators (KPIer)
1.3 Key Performance Indicators (KPIer) og Critical Sucess Factors (CSFer)
1.4 Å fastsette Key Performance Indicators (KPIer) og Critical Success Factors (CSFer)- kritiske suksessfaktorer
1.5 Visuelle Key Performance Indicators (KPIer)
1.6 Eksempler på Key Performance Indicators (KPIer)2. Key Risk Indicators (KRIer)
2.1 Hva er Key Risk Indicators (KRIer)?
2.2 Hva kjennetegner gode KRIer?
2.3 De viktigste typene av KRIer
2.4 Er KRIer et nytt konsept?
2.5 Hvordan differensieres KRIer fra KPIer?
2.6 Hvorfor bruke Key Risk Indicators (KRIer)?
2.7 Typer av Key risk indikatorer (KRIer)
2.8 Noen eksempler på Key Risk Indicators (KRIer)
2.8.1 Andre
2.9 Etablering av retningslinjer for KRIer
2.9.2 Hvilke utviklingshensyn?
2.10 Etablere et system for tidlig varsling
2.11 Nøkkel suksessfaktorer
2.12 Fordeler og ulemper
2.12.1 Fordeler
2.12.2 Ulemper
2.13 Oppsummering

3. Utvikle og implementere Key Risk Indicators og ERM-rapportering
3.1 Rollen til risikomåling og rapportering i ERM
3.1.1 Trinn 1: Å fastlegge ERM-konteksten
3.1.2 Trinn 2: Kjerneprosessen (risikoidentifisering, risikoanalyse, risikoevaluering, risikotiltak og risikorapportering)
3.1.3 Trinn 3: Risikoredusering – håndtering og overvåking
3.2 Kilder og karakteristika for effektive Key risk indicators (KRIer)
3.3 ERM-rapportering – viktige spørsmål og attributter/egenskaper
3.4 ERM- implementeringen – Unngå vanlige fallgruver
3.5 Sjekkliste for handling
3.6 Hva organisasjonen bør gjøre og ikke bør gjøre
3.6.1 Bør gjøre
3.6.2 Ikke bør gjøre
3.7 Rollen til KRIer i ERM
3.8 Forretningsverdien av KRIer

4. Hvordan Key Risk Indicators kan skjerpe fokuset
4.1 Innledning
4.2 Å skille Key Performance Indicators (KPIer) fra Key Risk Indicators (KRIer)
4.3 Utvikling av effektive Key Risk Indicators
4.4 KRIer gir muligheter for proaktiv strategisk ERM
4.5 Kilder til informasjon når organisasjonen utvikler KRIer
4.6 KRI kommunikasjon og rapportering: Rollen til styret, ledelsen og eierne av oppside/ nedside risiko
4.7 The Value Proposition (verdiøkningen) av Key Risk Indicators

Key Risk Indicators (KRIer) fungerer som ”føre var” signaler som angir hvordan risikoen sannsynligvis vil påvirke forretningsresultater.

Key Risk Indikators (KRIer) er beregninger som brukes av ledelsen til å vise hvor risikabel en aktivitet er. For eksempel et prosjekt eller en investering. De kalles nøkler fordi de advarer mot de mest åpenbare områdene der problemer kan oppstå. KRIer hjelper til med å flagge advarsler om en mulig negativ påvirkning som følge av en aktivitet i fremtiden.

I kontrast er Key Performance Indicators (KPIer) prestasjonsberegninger utformet for å rapportere resultater når hendelser allerede har skjedd.

Begge er kraftige verktøy, men KRIer har fordelen av å være mer fremtidsrettet og gir en indikasjon på handling som må tas.

KRIer og KPIer bør utfylle hverandre, men begge er justert etter den strategiske visjonen til organisasjonen og med KRIer samlet inn på et mer regelmessig grunnlag for å gi ledelsen varsler før noen risiko utvikler seg til å bli et problem.

1	Key Performance Indicators (KPIer)?

1.1 Hva er en Key Performance Indicator?

En nøkkelprestasjonsindikator er en finansiell og ikke-finansiell måling som brukes for å hjelpe en organisasjon til å måle fremgangen mot et stadfestet organisatorisk mål eller målsetting.

1.2 Fordelene ved å måle Key Performance Indicators (KPIer)

Kan tillate ledelsen å se organisasjonen eller avdelingens prestasjon på ett sted.
Et team kan arbeide sammen mot et felles sett av målbare mål.
Det kan være en veldig rask måte å se den faktiske prestasjonen til et mål eller strategisk målsetting.
Beslutninger kan gjøres mye raskere når det er nøyaktige og synlige tiltak for å bakke dem opp.

1.3 Key Performance Indicators (KPIer) og Critical Sucess Factors (CSFer)

Critical Success Factors (CSFer) – kritiske suksessfaktorer blir brukt i betydelig grad for å presentere eller identifisere viktige faktorer organisasjonen bør fokusere på for å være vellykket. Som en definisjon, refererer kritiske suksessfaktorer til «det begrensede antall områder hvor tilfredsstillende resultater vil sikre en vellykket konkurransedyktig prestasjon for den enkelte, en avdeling eller organisasjon».

CSFer er elementer som er avgjørende for om en gitt strategi er en suksess.
KPIer er tiltak som kvantifiserer mål og aktiverer måling av den strategiske prestasjonen.

En kritisk suksessfaktor (CSF) er noe som må være på plass for å oppnå dette målet, for eksempel lansering av et nytt produkt eller tjeneste.

For eksempel:
KPI = Antall nye kunder.
CSF = Installasjon av et callsenter for å håndtere kundene.

En plan skal være utformet og implementert på en måte som vurderer/måler et miljø for vekst og lønnsomhet, samt tar hensyn til følgende typiske kritiske suksessfaktorer:

Penger: Positiv kontantstrøm, omsetningsvekst, tilgang på kapital og profittmarginer
Fremtiden: Anskaffelsen av nye kunder og/eller distributører
Kundetilfredshet: Hvor fornøyd er de?
Kvalitet: Hvor god er organisasjons produkter og service?
Produkt- eller tjenesteutvikling: Hva er det som er nytt som vil øke handelen med eksisterende kunder og tiltrekke nye?
Intellektuell kapital: Øke det som organisasjonen vet er lønnsomt
Strategisk Relasjoner: Nye kilder til forretningsaktiviteter, produkter og inntekter
Attraksjon overfor arbeidstagere og beholde disse: Organisasjonens mulighet til å øke rekkevidden.
Bærekraft: Organisasjonens muligheter til å holde det hele i gang

1.4 Å fastsette Key Performance Indicators (KPIer) og Critical Success Factors (CSFer)- kritiske suksessfaktorer

Selv om det kan være mange kritiske suksessfaktorer i en organisasjon, er sjansene store for at det kun er en eller to i hver avdeling.
Antallet Key Performance Indicators (KRIer) kan konstant bli produsert i hele organisasjonen. De organisasjonene med størst suksess avgrenser KPIer til en håndfull.
KPIer er målbare prestasjonsmål. Dette innholder spørsmålet «Hvor mange mål bør en organisasjon ha?». Mens det er mye debatt om dette, er en ting kjent, enkeltpersoner synes å bli mindre effektive når de prøver å sjonglere med mer enn 10. Det er ofte sagt at 7 er optimalt. Så hvis syv er optimal, kan da en leder virkelig håndtere mer enn 20 KPIer?

Mange hevder at for å være effektive, bør ikke noen del av organisasjonen ha mer enn mellom 5 og 8 KPIer.

1.5 Visuelle Key Performance Indicators (KPIer)

En Key Performance Indicator (KPI) kan effektivt brukes som en visuell indikator som kommuniserer mengden av framgangen mot et mål. Bruk av instrumentbord, intranett sammendragssider og grafikk.
Ved å bruke grafiske fremstillinger av KPIer kan organisasjonen enkelt visualisere svarene på følgende typer spørsmål:

Hvilke mål er vi foran eller bak?
Hvor langt foran eller bak er vi?
Hva er minste vi har oppnådd hittil?

1.6 Eksempler på Key Performance Indicators (KPIer)

Typiske Key Performance Indicators inkluderer:

Antall aktive kunder
Antall nye kunder
Antall kunder som bytter fra en leverandør til en annen
Total omsetning.

Eksempel på personalavdelingens Key Performance Indicators (KPIer)

Prosentandel av nylig rekrutterte ansatte.
Prosentandel av ansatte som får regelmessige prestasjonsgjennomganger.
Gjennomsnittlig responstid for rutinemessig forespørsler om personal.
Prosentandel av nyansatte som blir i organisasjonen.
Prosentandel av jobbtilbud som aksepteres.
Gjennomsnittlig antall intervjuer ut ifra innsendte søknader.
Prosentandelen av ledige stillinger som er fylt innen x dager.

2	Key Risk Indicators (KRIer)

De fleste organisasjoner finner utviklingen av effektive KRI å være en sentral utfordring. I finansinstitusjoner finnes det mange kredittrisikoer- og markedsrisikoindikatorer, mange med rammer fastsatt innenfor eksisterende økonomiske lovgivning. Imidlertid å sammenfatte disse dataene og utvikle operasjonelle risikoindikatorer er ikke lett.

Omvendt kan andre organisasjoner fra andre bransjer være i besittelse av en masse forretningsmessig- og kvalitativ informasjon som de har fått gjennom balansert målstyring og kvalitetsinitiativer. Imidlertid ligger deres vanskeligheter i å utvikle KRIer for
finansiell eller teknologisk risiko.

Alle selskapene har den vanskelige oppgaven med å utvikle en KRI som kan gi effektiv og tidlig varsling om potensielle fremtidige problemer. Det er på området for prognostisering av tap som KRI mest sannsynlig kan gi fortjeneste, men de fleste organisasjoner har ennå ikke mestret teknikken med å sette opp effektive KRI systemer som kan gjøre dette.

KRIer forutser ikke bare dommedagsprofetier ved enhver anledning, men kan også gi tilbakemelding på områder for forbedring. Å ha nyttig og aktuell informasjon til rådighet kan gjøre underverk med å generere ideer om hvordan du kan forbedre organisasjonen og nå målsettingene.

2.1 Hva er Key Risk Indicators (KRIer)?

Et mål (eller triggerpunkt) av en bestemt risikofaktor
Viser (med en hvis pålitelighet):
– endringer i restrisikonivået
– effektiviteten av de eksisterende kontroller eller ekstrakontroller som er på plass for
å redusere risikoen
KRIer er et «tidlig varselssignal»
Hjelper til å skape en kultur for «ingen overraskelser»
Fokuser på «topp 10 risikoene» i organisasjonen

2.2 Hva kjennetegner gode KRIer?

Spesifikke og klare (hva som måles og hvorfor de måles)
Målbare enten gjennom kvantitative eller kvalitativ målehjelp (hvordan måles de og når – varigheten av målingen)
Nøyaktig og pålitelig vedrørende korrelasjonen med assosiert risikonivå (hvor ofte måles de og hvor ofte blir disse KRIer gjennomgått/vurdert?)
Bør være proaktiv i stedet for en reaktiv indikator
Bør være i stand til å aggregeres og sammenlignes mot et akseptabelt målbart risikonivå – dvs. en risikotoleransegrense.

2.3 De viktigste typene av KRIer

Proaktiv – de som måler risiko før de har oppstått.
Reaktiv – de som måler risikoen etter at hendelsen har inntruffet.
Kvalitativ – de som er basert på vurdering.
Kvantitativ – egner seg til mer konkrete handlinger som lett kan måles.

2.4 Er KRIer et nytt konsept?

Sannsynligvis brukt intuitivt på et visst nivå i de fleste organisasjoner – f.eks. overvåking av turnover og ferdighetsnivåer.
Brukt i en del bransjer i mange år -. F.eks. kjemibransjene, energibransjen, og olje-industrien.
Andre bransjer har utviklet og standardisert KRI –eks. banksektoren, som svar på Basel II og Basel III.
Å måle effektivitet, nøyaktighet og pålitelighet av en KRIer komplisert, men bør ikke bli oversett.

2.5 Hvordan differensieres KRIer fra KPIer?

KPIer måler faktiske prestasjoner/resultater og er utviklet som en del av organisa-sjonens planleggingssyklus.
KPIer er målbare og justert til et mål (og kritiske suksessfaktorer).
KRIer måler risikonivået som kan påvirke prestasjonen/resultatet (f.eks..manglende evne til å oppnå et mål).
KRI vil ikke fortelle om en KPI vil, eller ikke vil bli oppnådd.
KRI er mer dynamiske.
KPI alene kan ignorere en eneste tapshendelse, der KRI kan utløse aksjon fra ledelsen, fordi KPI fokusere mer på det aggregerte resultatet over lengre tid.

2.6 Hvorfor bruke Key Risk Indicators (KRIer)?

Hjelper til med å kvantifisere og styre risiko i sanntid, på daglig basis eller i en bestemt kortere periode og er lett tilgjengelig og lett å beregne.
Flagger hendelser, hva som ligger bak og gjør ledelsen i stand til å fokusere på de ”varme potetene”.
Fungere som en utløser til handling/aksjon.
Brukt til overvåking – verdier blir sporet over tid og vesentlige endringer blir oppfattet som indikatorer for en endring i det underliggende nivået av risiko.
Brukt for kontroll – grenser blir plassert på indikatorverdier, med aktiviteter
begrenset for ikke å bryte grensene

2.7 Typer av Key risk indikatorer (KRIer)

Key risk indikatorer omfatter forskjellige typer målinger.

KRIer kan deles inn i seks ulike kategorier:

Sammenfallende indikatorer kan bli betraktet som å oppstå på samme tid som hendelsen oppstår. For eksempel en økonomisk faktor som varierer direkte og samtidig med konjunkturene, og dermed indikerer den nåværende tilstanden i økonomien.
Noen eksempler er sysselsetting i visse bransjer, personlig inntekt og industriell produksjon. Eller for eksempel et trafikklys som viser grønt, er sammenfallende med at det signaliserer til forgjengeren at han/hun kan krysse veien. Heller enn å forutsi fremtidige hendelser, skifter denne type indikatorer på samme tid som økonomien eller aksjemarkedet. Personlig inntekt er sammenfallende indikator med økonomien, høy personlig inntekt kan sammenfalle med sterk økonomi.

Årsakssammenhengende indikatorer er beregninger som er i samsvar med de grunnleggende årsakene til risikohendelsen, for eksempel nedetid i et IT system eller antall forsinkede bestillinger.

Kontroll-effektivitetsindikatorer sørger for kontinuerlig overvåking av effektiviteten/ resultatet av kontrollene. Beregninger kan omfatte effektivitetskontroll, for eksempel prosenten av leverandørbasen som brukes, eller kroner som er brukt på leverandører som ikke er godkjent.

Volumindikatorer (noen ganger kalt iboende risikoindikatorer) kan spores som Key Performance Indicators (KPIer), imidlertid kan de også kan tjene som en KRI. Som volumindikatorer (forandring av antall online-konto programmer), kan øke sannsynligheten (muligheten) og/eller konsekvensen av en assosiert risikohendelse (for eksempel tap trigget av svindel). Volum indikatorer assosieres ofte med flere risikotyper i en prosess eller forretningsenhet.

Proaktive indikatorer er en målbar økonomisk faktor som endres før økonomien begynner å følge et bestemt mønster eller en trend. Proaktive indikatorer brukes til å forutsi endringer i økonomien, men er ikke alltid nøyaktige.

Reaktive indikatorer er en målbar økonomisk faktor som endres etter at økonomien allerede har begynt å følge et bestemt mønster eller trend.

2.8 Noen eksempler på Key Risk Indicators (KRIer)

Kundetrofasthet.
Leveringstid kontra tidsplan.
Levering fra leverandør til rett tid.
Ansattes omløpshastighet (turnover).
Ulykkestall på arbeidsplassen.

2.8.1 Andre

Revisjonssaker. Antall og alvorlighetsgraden av saker som ikke er blitt løst i rett tid.
Forretningsmessig kontinuitet. Sårbarhet, hvor kritisk det er. Prosesser, kvalitet på kontinuitetsplanen, hyppigheten/frekvensen og tilstrekkeligheten av praksis og tester.
Mislykkede kundeinteraksjoner. Antall, varighet og alvorlighetsgraden av feil med
å gi kundene rask, pålitelig og effektiv hjelp.
Informasjonssikkerhet. Antall og alvorlighetsgrad av virusangrep, kritisk sårbarhet som var uavklart i en periode, og sikkerhetshendelser som hadde effekt på kundene.
Informasjonsteknologi. Tilgjengeligheten av teknologi i kritiske perioder for kritiske formål
Operasjonelle tap. Verdien av tap.
Prosessavbrytelser. Art, alvorlighetsgrad, og størrelse på avbrytelsen. Klarering, forbedring og innflytelse på organisasjonens kunder.
Profitt. Antall, aktualitet, og alvorlighetsgraden av uventet høy fortjeneste eller
tap.
Policy unntak. Antall og betydelige policy unntak.
Lovmessige- og forskriftsmessige krav. Antall og alvorlighetsgrad av kommentarer og bøter fra domstolene.
Turnover ansatte. Fluktuasjonen.

2.9 Etablering av retningslinjer for KRIer

2.9.1 Hvordan utvikle KRIer?

Organisasjonen må forstå risikohendelsen eller problemet.
Organisasjonen må forstå årsaken til hendelsen.
Organisasjonen må identifisere problemområdene som påvirke risikoen.
Organisasjonen må utvikle KRIer.
Organisasjonen må vurdere å utvikle et sett av essensielle KRIer, de som medrimelig hyppighet kan bli:
– samlet inn
– aggregert
– sammenlignet
– rapportert

2.9.2 Hvilke utviklingshensyn?

Hvor mange KRIer? (Noen har mer enn et tusen i sitt rammeverk!)
Noen vil være proaktive og noen reaktive.
Å definere og aggregere KRIer lyder som en relativ grei prosess, men det vil være mer komplisert når organisasjonen dukker ned under overflaten.
Utviklingen av KRIer er delvis kunstnerisk og delvis vitenskapelig.
Risikoindikatorer kan brukes til alle typer risiko og på alle nivåer i organisasjon – de trenger ikke å være 100 % nøyaktige.

2.10 Etablere et system for tidlig varsling

Fange opp KRIer og:
– overvåke dem
– rapportere om dem
– følge opp tiltak/aksjoner
– gjennomgå KRIer regelmessig, for å sikre at de ikke stagnerer
Enkel organisasjon – enkle systemer.
Kompleks organisasjon og risiko – mer komplekse verktøy.
Se alltid etter kostnadseffektive løsninger.
Standard KRI overvåkingsverktøy for å redusere ineffektiviteten ved å ha ulike
avdelinger som overvåker samme KRIer.

2.11 Nøkkel suksessfaktorer

Kjøpt av seniorledelsen og delaktig i KRIers oppsett.
Godt definert risiko, identifiserer de grunnleggende årsakene.
Konstant gjentagende vurdering av egnethet.
Klarhet over hva som blir målt og hvorfor.
Tillit til dataintegritet.
Prosedyrer og disiplin til å holde data oppdatert.
Tidsmessig eskalering av saker drevet av triggerpunkter.
Riktige KPIer for riktig målgruppe.

2.12 Fordeler og ulemper

2.12.1 Fordeler

KRIer kan gi tidlig varsling om framtidige tap eller andre problemer.
De er nyttige i å støtte beslutninger og handlinger.
De kan bli testet både internt og eksternt.

2.12.2 Ulemper

Å mestre KRIer har vist seg vanskelig opp til i dag
Organisasjonen må tro på dem, selv om tidligere historikk ikke fullt ut støtter opp om verdien deres.

2.13 Oppsummering

Bruken er økende i alle bransjer.
Kan gi svært nyttige data for håndtering av risiko.
Støtter en kultur for «ingen overraskelser» gjennom tidlige varslingsmekanismer.
Sikrer at data har integritet.
KRIer må være meningsfulle tiltak – relevant, nøyaktig og logisk.
Skreddersydd for målgruppen.

Men fremfor alt:

KRIer kan ikke bygges ut over natten! Prøving og feiling vil forbedre KRIer.
Å ha god KRIer i et godt kulturelt miljø er bedre enn å ha de beste KRIer i et fattig og uetisk kulturmiljø.

3	Utvikle og implementere Key Risk Indicators og ERM-rapportering

Implementering av KRIer i organisasjonen krever noen refleksjoner for å gjøre prosessen meningsfull og bidra til suksess.

Nøkkelen er å identifisere, kontrollere, samle og, aller viktigst, koordinere det hele.

Identifisere: Hvilke strategier er justert etter organisasjonens mål og stimulerer organisasjonen videre? Hvilke økonomiske data har organisasjonen allerede som kan være sammenstilt og oppsummert. Hvilke data som ikke er av finansiell art kan høstes? Samle og bekrefte (verifisere): Hvor pålitelige er dataene? Trenger innsamlingsmekanismene å bli oppgradert eller bli håndhevet gjennom bedre IT- systemer eller bedre opplæring av de ansatte? Koordinere/sammenfatte: Hvilke data er mer meningsfulle når de kombineres med annen data? Kan disse samles i en enkel “trafikklys” (rød, gul, grønn) rapport som angir en oppfordring til at handling er nødvendig?
”Trafikklys” rapportering er en effektiv metode for KRI overvåking. Den gir sammenslåing av data i en nøkkelrapport til ledelsen.
KRIer blir flagget rødt, oransje eller grønt for å angi resultatene som er oppnådd/ikke oppnådd og/eller den tidsmessige respons som kreves. Kvaliteten på KRIer er også viktig. Risikoindikatorer er i sin natur indikatorer. De kan være proaktive tegn på potensielle problemer som krever undersøkelse, eller reaktive tegn på at risikoen er blitt virkelighet og bør bli håndtert umiddelbart.
KRIer kan bare være nyttige hvis de er presise og aktuelle. Tross alt er det ikke vits å følge
opp en risiko som egentlig ikke er der, eller når den har allerede har snudd fra å være en risiko til å bli et problem.

3.1 Rollen til risikomåling og rapportering i ERM

Et av de viktigste formålene med ERM er å fremme åpenhet om risikoer og muligheter, både i form av intern og ekstern rapportering. Å etablere et robust ERM-måle-og rapporteringssystem er derfor avgjørende for ERM-suksess. Det gamle ordtaket «det som blir målt blir administrert” gjelder også i ERM. Implementeringen av ERM som en prosess involverer kjerneprosessen:

3.1.1 Trinn 1: Å fastlegge ERM-konteksten

Først må organisasjonen etablere et sundt grunnlag for hele ERM-programmet:

ERM-rammeverket
ERM-policyen
Eierstyringsstruktur
Insentivsystemer
Ressursallokering (-tildeling)
Utdannelse og opplæring

Styret og ledelsen gir det som ofte omtales som «tonen fra toppen«. Dette inkluderer å utvikle et ERM rammeverket, tildeling av tilstrekkelige ressurser, og engasjere seg i risikopolicy diskusjoner. Organisasjonens risikoappetitt blir også klart definert i risikopolicyer og grenseverdier (toleransegrenser). Utdanning og læring er en annen viktig komponent, som inkluderer opplæringsprogrammer og organisatoriske prosesser som deler beste praksis og ”leksjoner lært”. For å motivere til ønsket atferd, bør insentivsystemer inneholde effektiviteten av ERM-programmet og risikojusterte lønnsomhetsberegninger.

3.1.2 Trinn 2: Kjerneprosessen (risikoidentifisering, risikoanalyse, risikoevaluering, risikotiltak og risikorapportering)

ERM-prosessen bør integrere ulike risikovurderinger for å utvikle en omfattende tilstand. ”Top-down” risikovurderinger av strategisk og forretningsmessig risiko. De kan bli hentet fra ledergruppen gjennom én-til-en intervjuer og/eller lettere gruppediskusjoner. ”Bottom-up” risikovurderinger av finansiell og operasjonell risiko kan utvikles gjennom standardiserte maler eller programmer. I tillegg bør risikovurderingene fra uavhengige kilder – revisorer og reguleringsmyndigheter – inngå i den samlede beholdningen. Merk at den informasjon som er utviklet i vurderingsfasen (risikoidentifisering, risikoanalysering og risikoevaluering og prioritering) i stor grad er subjektiv og kvalitativ av natur.

Når det gjelder risikotiltak, målinger, beregninger og rapportering så er det i disse trinnene mer objektiv og kvantitativ informasjon som blir utviklet. Informasjonen omfatter sentrale risikoindikatorer (KRIer) for forretningsmessig risiko, kredittrisiko, markedsrisiko og operasjonell risiko. For å vurdere trender og nivåer, blir disse KRIene sporet opp imot policygrenser (toleransegrenser). For eksempel innen markeds- og kredittrisikoeksponering, eller prestasjonskrav innen toleranse for feil, eller nedetid for IT- systemer. Eksterne data bør også være integrert for å gi ytterligere kontekst for interne KRIer. Eksterne data kan inkludere rentetrender, konkurrerende eller bransjesammenligningsdata Til slutt blir ERM-rapporteringen gitt til ledelsen og styret, samt eksterne interessenter gjennom regulatoriske registreringer og offentlige dokumenter.

3.1.3 Trinn 3: Risikoredusering – håndtering og overvåking

Den viktigste fasen av ERM er risikoredusering, dvs. håndtering og overvåking. Dette inkluderer løsningen på viktige problemer. Dessuten må ERM-programmet være verdiskapende for å ha innvirkning på beslutningsprosessen som øker den risikojusterte lønnsomheten i organisasjonen. ERM-programmet – inkludert produktenes prissetting, kundeadministrasjon, forretningsutvikling, forvaltning av kapital, og risikotransfer, integrerer ERM og sentrale pådrivere for organisasjonens prestasjon. Det overordnede målet er å ta mer informerte beslutninger basert på ERM. Disse beslutningene kan inkludere og redusere risikotoleransen (-grensen). Under vanskelige markedsforhold kan den implementere en exit- strategi for å minimalisere tap på en dårlig investering, eller bidra med mer kapital til en attraktiv organisasjon med attraktiv risikojustert lønnsomhet.

Disse tre stadiene av ERM-prosessen bør ikke settes i verk på en sekvensiell måte for hele organisasjonen. En sekvensiell tilnærming der et selskap bruker det første året til å etablere ERM grunnlaget (konteksten), andre året til å identifisere, analysere og evaluere risikoene, er både uproduktivt og uhåndterlig. For eksempel har noen organisasjoner brukt et år eller mer på å gjennomføre risikovurderinger (risk assesment; identifisering, analyse, evaluering og prioritering) før utviklingen av KRI. I mellomtiden kan de kvalitative risikovurderinger (risk assesment) ikke valideres med kvantitative data, og oppgaven med å utforme KRI for hundrevis av identifiserte risikoer og prosesser er skremmende. Ledelsen bør i stedet fokusere på organisasjonens mest kritiske risikofaktorer og anvende den generelle ERM-prosessen til dem. En annen tilnærming er å starte med slutten, og først bestemme hvilke typer beslutninger og handlinger som ERM-prosessen må støtte. Derfra kan ledelsen arbeide bakover og utvikle de aktuelle KRIer, ERM-konteksten, kjerneprosessen og risikoreduksjon, risikohåndtering og oppfølging.

3.2 Kilder og karakteristika for effektive Key risk indicators (KRIer)

Utviklingen av effektive KRIer er en viktig utfordring for de fleste organisasjoner. Finansinstitusjonene har som regel en overflod av kredittrisiko- og markedsrisikoindikatorer, men de blir utfordret i å aggregere disse dataene samt utvikle operasjonelle risikoindikatorer.

På den andre siden har ikke-finansielle institusjoner betydelige forretnings- og kvalitets- informasjon, hentet fra balansert målstyring og kvalitetsinitiativer, imidlertid har de store utfordringer med å utvikle KRIer for finansiell risiko eller teknologi risiko. Alle organisasjoner står overfor utfordringen med å utvikle nøkkelindikatorer som effektivt kan gi ”føre var” varsler om potensielle fremtidige tap Mens utviklingen av effektive KRIer er en betydelig utfordring, er det noen lett tilgjengelige kilder som KRIer kan utledes ifra.

Gitt de ulike kilder for KRIer bør målet være å utvikle et høy kvalitativt sett med KRIer, snarere enn et stort antall KRIer.

Disse kildene inkluderer:

Policyer og forskrifter. Regelverket som regulerer virksomheten i organisasjonen, samt organisasjonens policyer og begrensninger som er etablert av ledelsen og styret gir nyttig konform med(i samsvar med) med KRIer. Disse KRIene kan omfatte risikoeksponeringer mot toleransegrenser, eller etterlevelse av myndighetskrav og standarder.
Strategier og mål. Organisasjons- og forretningsstrategier opprettet av toppledelsen, og de prestasjonstall som er knyttet til disse er en annen god kilde. Merk at resultattallene er utformet for å måle forventede resultater, mens KRIer bør utformes for å måle ”nedsiderisiko” eller volatiliteten i prestasjonen.
Tidligere tap og hendelser. Mange organisasjoner har samlet database av tap/ hendelser som fanger opp historiske tap og hendelser. Disse databasene kan gi nyttige innspill om hvilke prosesser eller hendelser som kan føre til økonomiske eller omdømmemessige tap. KRIer kan deretter bli utviklet for disse prosessene og hendelsene.
Krav fra interessenter. Utover regulerende myndigheter kan forventninger og krav fra andre aktører – kunder, ratingbyråer, aksjeanalytikere, samarbeidspartnere bidra i utviklingen av KRIer basert på variabler som er viktige for disse nøkkelgruppene.
Risikovurderinger(risk assessment). Risikovurderinger utført av organisasjonen inkludert revisjonsvurderinger, kontroll selvvurderinger, og andre tester kan gi verdifulle innspill til forretningsenhetene, prosessene eller risikoene der KRIer er nødvendig.

Nedenfor er noen viktige kjennetegn ved effektive KRIer:

Basert på konsekvente metoder og standarder.
Innlemmer risiko drivere: eksponering, sannsynlighet, alvorlighetsgrad og korrelasjon.
Være kvantifiserbare: kroner, % etc..
Mulig å spore over tid mot standarder eller toleransegrenser.
Bundet til mål, risikoeiere, og standard risikokategorier.
Balanse av proaktive indikatorer og reaktive indikatorer.
Være nyttig i å støtte beslutninger og handlinger.
Kan sammenlignes internt og eksternt.
Aktuelle og kostnadseffektive.
Forenkle risiko, uten å være for enkle.

3.3 ERM-rapportering – viktige spørsmål og attributter/egenskaper

Over tid kan en organisasjon utvikle hundrevis eller kanskje tusenvis av KRIer og risikovurderinger. Da står organisasjonen overfor en annen utfordring – utvikling av et effektiv ERM-rapporingssystem. Ved utforming av format og innhold av en ERM-rapport, og funksjonaliteten til et ERM-rapporteringssystem, er det viktig å starte med å se på de fem grunnleggende spørsmålene som et ERM-rapporteringssystemet skal adresse:

Er noen av våre forretningsmål i fare?
Er vi i samsvar med policyer(retningslinjer) og regelverk?
Hvilke risikohendelser har blitt trappet opp?
Hvilke KRIer og trender krever umiddelbar oppmerksomhet?
Hvilke risikovurderinger(risk assessment) må vurderes?

For en typisk organisasjon, kan det ta dager, uker eller måneder å besvare disse spørsmålene for organisasjonen som helhet. Det grunnleggende problemet er at selv i 2015 er dagens tilnærminger til risikorapportering en «risikomåling av siloer«, der ledelsen er utstyrt med statiske rapporter som gir risikoinformasjon for ulike risikoer separat. Dessuten krever statiske rapporter betydelig manuelt arbeid, noe som resulterer i mer dataproblemer og mindre tid til risikoanalyse og håndtering og overvåking.

Med et effektivt og dynamisk ERM-rapporteringssystem, må ledelsen være i stand til å svare på alle fem av disse spørsmålene i løpet av femten minutter. Et ERM-rapporteringssystem bør gi ledelsen en rapportering om kritiske risikoer og muligheter for hele organisasjonen, og en detaljoversiktrapport slik at alle viktige risikoer og muligheter kan overvåkes samtidig.

De viktigste egenskapene til et ERM-rapporteringssystemet omfatter:

En enkel tilgang til all kritisk risikoinformasjon som kan ligge i ulike risikosystemer og datakilder.
Kombinert rapportering av risikoer for hele bedriften til toppledelsen med mulighet til mer detaljerte risikodata.
Levering av «just-in-time» risikoinformasjon, fra risikovarslinger i sann tid, til månedlig rapporter til kvartalsvise risikovurderinger.
Integrering av kvantitative KRIer, kvalitative risiko-vurderinger, policydokumenter, og eksterne markedsdata.
Tillatelse for brukere til å gi kommentarer eller analyser til den risikoinformasjonen som presenteres av ERM-rapporteringssystemet.

3.4 ERM- implementeringen – Unngå vanlige fallgruver

Tidligere begynte de viktigste spørsmålene som toppledere spurte vedrørende ERM med hva. Hva er ERM (helhetlig og integrert risikoledelse)? Hva er beste praksis? Hvilke spesifikke bransjekrav?

I dag begynner de viktigste spørsmålene med hvordan. Hvordan implementere et ERM-program? Hvordan utvikle konkrete ERM-verktøy? Hvordan integrere ERM i forretningsprosesser?

I ERM-implementeringen er det fem grunnleggende fallgruver som organisasjonene bør unngå.

Disse fallgruvene, og strategier for å overvinne dem, er som følger:

Ikke la regelverket bestemme. ERM handler om ledelse, ikke å handle i overensstemmelse med lovverket. Organisasjoner møter stadig en tilstrømning av krav via nye regelverk som de må overholde, for eksempel Sarbanes-Oxley for børsnoterte selskaper, Basel II og III for banker, og Solvens II for forsikrings-selskaper. Å handle i samsvar med disse og andre regelverk representerer en nødvendig, men ikke tilstrekkelig forutsetning for å lykkes. Organisasjoner bør gå utover det å handle i tråd med regelverket og utnytte sine ERM-programmer for å realisere konkrete målbare forretningsmessige fordeler.

Ikke bare integrer risikoer, bryt ned de organisatoriske siloene. ERM handler ikke bare om å integrere de viktigste risikoene – strategiske, forretningsmessige, kreditt, marked, og operasjonell risikoer – i et felles rammeverk. Det handler også om å bryte ned organisatoriske siloer for å identifisere avhengighetsforhold og foreta avveiende beslutninger. De fleste organisasjoner har etablert tilsynfunksjoner som en del av deres virksomhetsstyring, risiko og etterlevelsesaktiviteter. Disse funksjonene omfatter generelt risikoledelse, revisjon, overholdelse, juridiske, egne og andre tilsynsgrupper. Ledende organisasjoner har brutt ned disse siloene ved å etablere organisatoriske strukturer, prosesser og insentiver. Disse tiltakene omfatter etablering av risikokomiteer i styret og på toppledernivå, utnevne ”chief risk officer” (CRO), og justere interessene til individuelle tilsynsfunksjoner gjennom felles mål, prestasjonssmålinger og insentiver.

Fokuser ERM-prosessen på det som er viktigst. Gitt det store omfanget av ERM er mange organisasjoner overveldet over all risikoidentifiserings-, vurderingsdokumentasjon og rapporteringsprosesser. Målet med ERM bør ikke være å registrere alle de risikoer og mulighetene organisasjonen står overfor. Faktisk vil det være umulig å identifisere alle risikoene og mulighetene i organisasjonen, fordi den listen er uendelig. Målet med ERM bør være å støtte beslutninger på de kritiske risikoene og mulighetene for styret, ledelsen og de forretnings- og operative enhetene. Et effektiv ERM-program bør prioritere risikoer og muligheter for organisasjonens viktigste beslutningstakere. Dvs. at en indikasjon på ERM- suksess ikke er å si: «Vi har identifisert 720 truslerr og muligheter i hele selskapet, og fullt ut dokumentert disse, de tilhørende kontrollene og risikovurderingene,» men å si «vi har identifisert de største risikoer og muligheter som krever oppmerksomheten fra ulike ledergrupper, og støtter deres beslutninger vedrørende disse store risikoene og mulighetene. «Som et eksempel, noen organisasjoner finner det nyttig å opprettholde en» topp 10 trussel»-liste og ”en topp 10 mulighets”-liste for organisasjonen.

Ikke kun fortell meg, vis meg. Kvantifiser risiko gjennom effektive KRIer. Mange ERM-programmer produserer store volum av kvalitativ informasjon (f.eks., risiko- og kontrollvurderinger, prosesskart, policyer (retningslinjer) og prosedyrer), som ikke bidrar til å styre og ta toppledelsesbeslutninger. For å støtte policy og forretningsmessige beslutninger må kritiske risikofaktorer tallfestes og rapporteres på en kortfattet og effektiv måte. Det er ikke dermed sagt at kvantitativ informasjon er mer verdifullt enn kvalitative data, men det bør være en balanse i ERM-rapporteringen. For organisasjonens mest kritiske risikofaktorer, kan kvantitative analyser brukes for å vise trender, risikojusterte beregninger, overholdelse av toleransegrenser, og prestasjoner mot etablerte standarder. For samme risiko, kan kvalitative analyser brukes til å få risikovurderinger fra eksperter, finne alternative strategier og tiltak, få anbefalinger fra ledelsen, og få annen kontekstuell informasjon.

Ikke produserer mengder av data og rapporter. En ERM-rapport bør ikke være en 50-siders rapport som tar risikoeierne to timer å bare gå igjennom. En vanlig klage fra styremedlemmer og toppledere er at de ikke kan se ”skogen for bare trær”. Organisasjonene bør utvikle et ERM-sofwaresystem som gir rollebasert informasjon til viktige beslutningstakere. I løpet av et styre- eller toppledelsesmøte vil et ERM-softwaresystem gi styremedlemmer og toppledere først og fremst informasjon om kritiske risikoer og muligheter på et høyt nivå. I tillegg vil det tillate dem å få en mer detaljert oversiktsrapport med mer detaljerte data hvis de ønsker å se flere detaljer. En spennende mulighet er å utvikle et ERM-softwaresystem slik at det ikke bare gir dynamisk tilgang til risiko- og mulighetsinformasjon, men også til risiko- og mulighetsanalytiske modeller. Dermed vil det også aktivere styremedlemmene og ledende ansatte til å utføre i sann tid scenarioanalyser, for eksempel «Hvordan vil en 30 % økning i oljeprisen ha betydning for organisasjonens kvartalsvise inntekter, samt markedsrisiko og kredittrisiko eksponeringer?

3.5 Sjekkliste for handling

Noen av ressursene nedenfor kan være nyttige i å hjelpe til med å lage organisasjonens egen KRI liste.

Retningslinjer og regler. Spesielt de som er rettet mot å regulere organisasjonens aktiviteter. Slike KRIer kan omfatte risiko knyttet til etterlevelse av myndighetenes krav og standarder.
Strategier og mål. Organisasjonens forretningsmessige strategier som er fastsatt av toppledelsen er en god kilde.
Tidligere tap og hendelser. Databaser som inneholder historiske tap og hendelser kan gi nyttige innspill på hvilke prosesser eller hendelser som kan føre til tap.

3.6 Hva organisasjonen bør gjøre og ikke bør gjøre

3.6.1 Bør gjøre

Lag KRIer kvantifiserbare.
Baser KRIer på konsekvente metoder og standarder.
Spor dem langs en tidslinje mot standarder eller toleransegrenser.
Knytt KRIer til mål, risikoeiere, og standard risikokategorier.
Kjør regelmessige oversikter for å sjekke at formlene fortsatt er relevante og nøyaktige i å vurdere risiko.
Utvikle KRIer som er hensiktmessige elementer i den strategiske planen.
Undersøke og forbedre evnen til IT systemene med å samle og rapportere data kontinuerlig.
Utvikle mekanismer for å sjekke kvaliteten og nøyaktigheten av dataene.
Reagere på KRI budskap som signaliserer rødt flagg (eller ideer med grønt flagg) når disse dukker opp.
Gjennomgåelse av organisasjonens KRIer regelmessig og gi tilbakemelding for å forbedre programmet.

3.6.2 Ikke bør gjøre

Ikke kompliser risiko.
Ikke la KRIer bli for enkle.
Helt enkelt å benytte seg av generelle KRIer som ikke er hensiktmessig rettet mot risikoområder.
Å anta at organisasjonen vil ”akkurat vite det” når “tiden er aktuell”. Det kan være at organisasjonen ikke skjønner det før risikoen allerede har blitt et problem.
Tro at det er tid nok til å arbeide med dette senere. Da kan det være for sent..
Falle som offer for “AIAU (GIGO)” prinsippet – Avfall Inn, Avfall Ut (Garbage In, Garbage Out).
La være med KRI rapporteringen, fordi den ikke er relevant mer.

3.7 Rollen til KRIer i ERM

Key Risk Indicators (KRIer) spiller en avgjørende rolle i ethvert ERM- rammeverk. Et verktøy for å overvåke kontroller, risikodrivkrefter og eksponeringer kan gi innsikt i potensielle risikohendelser. For eksempel der egenvurderinger regelmessig blir benyttet til å identifisere risikoer og kontroller, kan KRIer overvåke dem i regelmessige intervaller. KRIer kan også være et middel til å uttrykke risikoappetitt. KRIers mest praktiske formål er i forbindelse med et system av toleranseterskler (toleransegrenser), når en KRI viser til brudd med den tilhørende toleranseterskelen (grenseverdien), og det utløser en gjennomgåelse, eskalering eller handling fra ledelsens sin side.

Som hovedregel bør KRIer overvåkes tettere i de daglige operasjonene enn i de høyere delene av ledelsen. I mangel av noen større risikoendringer kan månedlige sammendrag av de viktigste tiltakene være tilstrekkelig som en oppdatering av risikoprofilen til ledelsen. Dette er imidlertid lettere sagt enn gjort, og en av de aktuelle utfordringer for operasjonell risikoledelse er hvordan organisasjonen kan strukturere rapportering til ledelsen slik at den kan være så nyttig som mulig. Spesielt der KRIer er bekymringsfulle, er de fleste beregninger forretningsmessig spesifikke eller prosessorienterte og vanskelig å aggregere. Selv beregninger som er felles for mange områder i en organisasjon, for eksempel omsetning, opplæring og andre personalmessige beregninger, kan spore risiko bra i relativt små driftsenheter, men spores svært dårlig når det måles på organisasjonsnivå.

3.8 Forretningsverdien av KRIer

Ingen organisasjon vil gjøre en fremtidsrettet vurdering av sine kvartalsvise finansielle data ut ifra én dags omsetning. På samme måte må organisasjoner innse at spådommer om risiko ikke kan være basert på en enkelt statisk beregning. Organisasjonsenheter må forstå at beregning/måling av risiko er en langsiktig prosess, og at operasjonell risiko bare kan måles ved hjelp av et langsiktig perspektiv.

Å forsikre seg om at organisasjonsenheter forstår hvordan arbeid med KRIer foregår vil hjelpe dem med å ta en proaktiv tilnærming med håndteringen av risiko og mulighet samtidig som det gir bedre data til støtte i beslutningsprosessen. KRIer skal bistå organisasjonen i å identifisere hull i kontrollfunksjonene som ikke presterer som forventet, inkludert nødvendige tildeling av menneskelige og andre ressurser.

4	Hvordan Key Risk Indicators kan skjerpe fokuset

4.1 Innledning

Styrene har blitt mer bevisst på sitt ansvar knyttet til effektivt tilsyn av ledelsens gjennomføring av ERM-prosessen og ORM-prosessene. Dette skyldes delvis betydelig ytre press som nylig har utviklet seg, som presser på et ERM-system og tilsyn med oppside/ nedside risiko i forkant av mange styrers agenda og ledelsens handlingsplaner. For eksempel, New York Stock Exchange fattet i 2004 reglene for ledelsen som krevde revisjonskomiteer for børsnoterte bedrifter på New York børsen for å kontrollere ledelsens tilsynsprosesser med hensyn til oppside/nedside risiko.

I 2008 begynte Standard & Poor’s eksplisitt å vurdere organisasjonens ERM-system og ERM-prosess i sytten nye næringer, som en ekstra komponent av deres kredittverdighetsanalyse. I 2009 utvidet ”The Securities and Exchange Commission (SEC)” fullmakts- og åpenhetsplikter for å øke informasjonen til investorer om styrets rolle i tilsyn/oversyn med oppside/nedside risikoer.

Federal Financial Reform lover fra 2010 gir nå mandater til komiteer for oppside/nedside risiko for styrer av finansinstitusjoner og andre enheter overvåket av Federal Reserve.
Mange organisasjoner omfavner en ERM-tilnærming for å overvåke oppside/nedside risikoer og ledelsesteam leder denne innsatsen ved å bruke rammeverk som f.eks. ISO:31000:2009 og COSO’s 2004 Enterprise Risk Management – Integrated Framework (COSO ERM Framework), til å hjelpe dem i styrke sin ERM-prosess og sine ORM-prosesser

Mange organisasjoner søker å utvikle en ERM-prosess som gir ledelsen og styret rik informasjon om potensielle hendelser som kan påvirke organisasjonen, spesielt oppside/ nedside risikoer, som de kan overvåke fortløpende. Mens de fleste organisasjoner overvåker en rekke nøkkelindikatorer (KPIer), gir ofte disse indikatorene innsikt om hendelser som allerede har berørt organisasjonen. I økende grad ser styret og toppledelsen etter å utvikle beregninger eller indikatorer som bidrar til bedre å overvåke potensielle fremtidige endringer i forhold som påvirker risikoene/mulighetene eller nye framvoksende oppside/nedside risikoer, slik at ledelsen og styrene er i stand til mer proaktivt å identifisere potensielle konsekvenser for organisasjonens portefølje av oppside/nedside risiko. Ved å gjøre det slik, gjør dette ledelsen og styret i stand til å være i en bedre posisjon til å håndtere hendelser som kan oppstå i fremtiden på et mer betimelig og strategisk grunnlag. Denne sistnevnte type målinger eller indikator er ofte omtalt som Key Risk Indicators (KRI)

4.2 Å skille Key Performance Indicators (KPIer) fra Key Risk Indicators (KRIer)

Det er viktig å skille nøkkelprestasjonsindikatorer (KPIer) fra nøkkelrisikoindikatorer (KRIer). Både toppledelsen og styret gjennomgår regelmessig summerte data som inkluderer utvalgte nøkkelprestasjonstall utviklet for å få en overordnet oversikt over organisasjonens prestasjon og dens viktigste operasjonelle enheter. Disse rapportene er ofte nesten utelukkende fokusert på den historiske utviklingen av organisasjonen og dens sentrale enheter og operasjoner. For eksempel, rapporteres ofte månedlig, kvartalsvis, og oftere salgstrender, kundeforsendelser, feil, og andre prestasjonsparametre som er relevante for organisasjonen. Det er viktig å erkjenne at disse målingene ikke kan gi et tilstrekkelig ”føre var signal» av en oppside/ nedside risiko som utvikler seg fordi KPIene fokuser mest på resultater som allerede har oppstått.

Mens KPIer er viktig for vellykket styring av en organisasjon ved å identifisere dårlige sider ved virksomheten samt de deler av virksomheten som fortjener økte ressurser og energi, drar ledelse og styrer også nytte av et sett med KRIer som gir indikatorinformasjon til rett tid om nye oppside/ nedside risikoer.

Målinger av hendelser eller triggerpunkter som kan signalisere problemstillinger/muligheter som utvikles internt i driften av organisasjon eller potensiell oppside/ nedside risiko som vokser frem ifra eksterne hendelser, for eksempel makroøkonomiske endring som påvirker etterspørselen etter organisasjonens produkter eller tjenester, som kan gi omfattende informasjon til ledelsen og styrene for vurdering når de gjennomføre strategiene for organisasjonen.

Key Risk Indicators (KRIer) er beregninger/målinger brukt av organisasjoner for å gi et tidlig signal om økt risiko-/mulighetseksponering på ulike områder av organisasjonen. I noen tilfeller, kan de representere nøkkeltall som ledelsen på tvers av organisasjonen samler som indikatorer på utviklingen av risiko, og potensielle muligheter, noe som signaliserer behovet for tiltak som må tas. Andre kan være mer forseggjorte og innebærer aggregering av flere individuelle indikatorer for oppside/ nedside risiko til en multi-dimensjonal målestørrelse om kommende hendelser som kan føre til nye risikoer og muligheter. Et eksempel knyttet til tilsynet av kundefordringer hjelper til med og illustrerer forskjellen i KPIer og KRier.

En Key Performance Indicator (KPI) for kundekreditt vil trolig inkludere data om kundetap og avskrivninger. Denne KPIen, selv om den er viktig, gir innsikt om en hendelse som allerede har skjedd (f.eks., at en kunde ikke betaler i henhold til salgsavtalen eller kontrakten). En KRI kan utvikles til å hjelpe og forutse potensielle fremtidige kunderproblemer slik at kredittfunksjonen kunne være mer proaktiv i å adressere kundens betalingstrender før risikohendelser oppstår. En relevant KRI for dette eksemplet kan være analyse av rapporterte økonomiske resultater fra selskapets 25 største kunder eller generelle utfordringer innen industrien for å se hvilke trender som kan vokse frem blant kunder som kan signalisere utfordringer knyttet til å få inn penger fra kundene i fremtidige perioder.

Målsetting

Håndtere innsamlingen av kundefordringer for å redusere tap for avskrivninger.

Key Performance Indicator (KPI)	Key Risk Indicator (KRI)
Data om avskrivning av kontoer i de mest aktuelle måneder, kvartaler, år.	Analyser av rapporterte resultater for organisasjonens 25 største kunder eller generell innsamlings- utfordringer i hele næringen som viser trender som signaliserer fremtidige innsamlingsbekymringer.

4.3 Utvikling av effektive Key Risk Indicators

Et mål om å utvikle et effektivt sett med KRIer er å identifisere relevante beregninger/målinger som gir nyttig innsikt om potensielle oppside/ nedside risikoer som kan ha betydning for oppnåelse av organisasjonens mål. Derfor starter valget og utformingen av effektive KRIer med en god forståelse av organisasjonens mål og risiko-/mulighetsrelaterte hendelser som kan påvirke oppnåelse av disse målene. Kobling av topp oppside/ nedside risikoer mot kjernestrategier bidrar til å finne den mest relevante informasjonen som kan tjene som en effektiv ledende indikator for en oppside/ nedside risiko som øker.

I den enkle illustrasjonen nedenfor, har ledelsen en målsetting om å oppnå større lønnsomhet ved å øke inntekter og redusere kostnader. De har identifisert fire strategiske tiltak som er kritiske for å nå disse målsettingene. Flere potensielle oppside/ nedside risikoer er identifisert som kan ha en innvirkning på ett eller flere av fire sentrale strategiske tiltak. Å kartlegge hovedrisikofaktorer for strategiske kjernetiltak setter ledelsen i en posisjon til å begynne å identifisere de mest kritiske beregninger/målinger som kan fungere som ledende KRIer for å hjelpe dem i å overvåke gjennomføringen av strategiske kjernetiltak. Som vist nedenfor, har KRIer blitt identifisert for hver kritisk oppside/ nedside risiko. Kartlegging av KRIer for kritiske risiko- /mulighetsfaktorer og kjernestrategier reduserer sannsynligheten for at ledelsen blir distrahert av andre opplysninger som kan være mindre relevant til oppnåelsen av organisasjonens målsetting.

Målsetting	Strategisk initiativ	Potensielle risikoer	Key Risk Indicator	Strategisk tiltak

En effektiv metode for å utvikle KRIer begynner med å analysere en risiko-/ mulighetshendelse som har påvirket organisasjonen i fortiden (eller i dag) og deretter jobbe bakover for å finne mellomliggende og bakenforliggende årsakshendelser som førte til tapet eller tapt mulighet. Målet er å utvikle sentrale KRIer som gir verdifull ledende indikasjoner på at risikoene/mulighetene kan være økende. Jo nærmere KRIen er til årsakssammenhengen til risiko-/mulighetshendelsen, desto mer sannsynlig vil KRIen gi ledelsen tid til proaktivt å iverksette tiltak for å svare på risiko-/ mulighetshendelsen. Denne prosessen kan fremstilles visuelt på følgende måte.

4.4 KRIer gir muligheter for proaktiv strategisk ERM

Et godt utformet ERM-system gir informasjon som tillater ledelsen å forstå om sentrale strategiske målsettinger blir nådd og for å identifisere muligheter for å tilpasse strategier
og taktikk for å dra nytte av endringene i omgivelsene som kan utnyttes til fordel for organisasjonen og dens interessenter.

Ledelsen velger innledende strategier på et tidspunkt. Ettersom tiden går, begynner utvalget av usikkerhet å øke, noe som truer en vellykket gjennomføring av disse strategiene.

For å hjelpe til med å overvåke oppside/ nedside risikoer som utspiller seg på grunn av denne usikkerheten, har ledelsen identifisert ulike KRIer som de overvåker ettersom de utøver de utvalgte strategiske tiltakene. På forhånd har ledelsen forhåndsbestemt visse nivåer eller terskler for hver KRI som vil utløse tiltak av ledelsen for å justere sine strategier proaktivt for å håndtere risikoen/muligheten tilsvarende. Når strategiene er revidert, etableres nye KRI triggerpunkter med handlingsplaner utpekt på forhånd.

Denne strategisk bruk av KRIer øker sannsynligheten for at målene og målsettingene fastsatt av ledelsen oppnås på grunn av at oppside/ nedside risikoer og de relaterte strategiene håndteres mer proaktivt når relevante KRIer har blitt identifisert.

4.5 Kilder til informasjon når organisasjonen utvikler KRIer

Nesten alle organisasjoner besitter eksisterende beregninger/målinger av oppside/ nedside risiko som har utviklet seg over tid. Disse beregningene/målingene bør være nøye evaluert vedrørende effekten og fortsette å være bli brukt hvis de viser seg å være verdifulle i å synliggjøre potensielle nye oppside/ nedside risikoer. Imidlertid vil det trolig være nødvendig å forsterke disse eksisterende KRIer med nye beregningene.

KRI identifiseringsprosessen kan dra nytte av eksperter på forskjellige områder i organisasjonen, ettersom disse personene kan være i den beste posisjonen til å vite hvor det finnes stresspunkter (Dvs. roten til årsakshendelser og moderate hendelser) i enhetene de leder eller prosesser de fører tilsyn med. Deres innspill bidrar til å sikre at viktige risiker/muligheter ikke blir oversett og at KRIer som blir utformet for å fremheve disse risikoene/mulighetene eller trender er mest sannsynlig å være effektive i å kommunisere en tidlig indikasjon på nødvendige tiltak. En advarsel å merke seg er at disse personene kan være forutinntatt mot eksisterende risiko-/mulighetsberegninger /-målinger som allerede er i bruk, og at de er komfortable med, på bekostning av eventuelle forbedrede målinger/beregninger som krever ytterligere analyser og validering før de blir adoptert.

Et annet viktig element i å utforme effektive KRIer innebærer bekreftelse at alle parter som er involvert i innsamling og aggregering av KRI data er klare på definisjoner av individuelle dataelementer samles inn og enhver konvertering eller standardiseringsmetodikk som skal benyttes. Uten tillit til homogeniteten/likheten av KRI målingstilnærmingen, vil den aggregerte informasjonen mangle robusthet og føre med seg støy i den betydelige beslutningsprosessen. For eksempel, hvis kundens økonomiske betingelser skal bli samlet inn på tvers av forretningsenhetene som en KRI, vil det være viktig å definere nøye hvordan dette skal måles/beregnes. I dette scenariet må følgende spørsmål adresseres. Bør alle kunder bli likt vektet? Bør kundestørrelse/-volum av forretningsvirksomheten være en faktor? Hvor mye tid må det gå før en kunde anses å være i en vanskelig finansielle tilstand? Deles noen kunder av mer enn én forretningsenhet? I så fall, hvilken enhet treffer avgjørelsen?

Et viktig element i enhver KRI er kvaliteten på tilgjengelige data som brukes til å overvåke en spesifikk oppside/ nedside risiko. Oppmerksomhet må vies kilden til informasjonen, enten internt til organisasjonen eller fra en ekstern part. Kilder til informasjon eksisterer sannsynlig som kan hjelpe til med et informert valg av hvilken KRIer som velges. For eksempel kan interne data bli tilgjengelig fra tidligere hendelser (både positive og negative) som kan være informative om potensielle fremtidige eksponeringer. Imidlertid er interne data vanligvis ikke tilgjengelig for mange oppside/ nedside risikoer, spesielt de som ikke har vært et tema tidligere. Og ofte har risikoer sannsynligvis en betydelig effekt som kan oppstå fra eksterne kilder, som f.eks. endringer i økonomiske forhold, rentefot som endres, eller nye regulatoriske krav eller lovverk. Dermed oppdager mange organisasjoner at relevante KRIer ofte er basert på eksterne data, gitt at mange bakenforliggende årsakshendelser og moderate hendelser som påvirker strategier oppstår utenfor organisasjonen.

Eksterne kilder som handelspublikasjoner og tapsregistre utarbeidet av uavhengige informasjonsleverandører kan være nyttige for å identifisere potensielle oppside/ nedside risikoer som ennå ikke har vært opplevd av organisasjonen. Diskusjoner med nøkkelinteressenter som kunder, ansatte og leverandører kan gi viktig innsikt i risikoen/muligheten de står overfor som til slutt kan skape oppside/ nedside risiko for organisasjonen. En forsiktig forståelse av regulatoriske og juridiske krav som må være oppfylt er sannsynligvis nyttig i påvente av potensielle oppside/ nedside risikoer og hendelser som var forut for dem.

KRI data hentet fra eksterne og/eller uavhengige parter gir fordelen av objektivitet. Eksterne/uavhengige parter er ikke nødvendigvis ikke tilknyttet organisasjonen, men er fjernet fra organisasjonens enhet som KRI er målt i. Nesten helt sikkert, vil ”trade-offs” være nødvendig på dette området. De personer som har ansvaret for løpende håndtering av en spesiell oppside/ nedside risiko er den minst objektive kilden (men noen ganger kan være den eneste tilgjengelige kilden for data som kreves for å produsere KRI det dreier seg om).

En forsiktig validering av eksterne kilder er ønskelig for å styrke tilliten til den endelige effektiviteten av KRI bygget på disse dataene. Det er usannsynlig at en enkelt KRI i tilstrekkelig grad vil fanger opp alle fasetter av en utviklende oppside/ nedside risiko eller trend. Av denne grunn er det nyttig å analysere en samling av KRIer samtidig for å hjelpe til med å danne en bedre forståelse av risikoen/muligheten som overvåkes. Når det er sagt, vil sannsynligvis noen KRIer trolig ha en overlegen prognostisert makt over andre beregninger/målinger av oppside/ nedside risiko og det vil være viktig å veie hver bit av informasjon for å gjenspeile prestasjonen i fortiden for å prognostisere en hendelse (både positiv og negativ).

Noen har nevnt denne prosessen som en aggregering av en mosaikk med informasjon som kollektivt best kan gi tidlig varsling av potensielle utviklinger av trusler/muligheter over tid. Realistisk, må betydelige skjønn og erfaring bringes på banen for denne prosessen for å trekke ut de mest meningsfulle slutninger. Ettersom bruken av KRIer utvikler seg i en organisasjon, vil muligheter for gjør disse vurderingene trolig gi forbedringer i KRI prestasjonen.

De følgende punkter oppsummerer sentrale elementer av godt utformede KRIer.

Basert på etablert praksis eller benchmark.
Utviklet konsekvent på tvers av organisasjonen.
Gir en entydig og intuitivt syn på den oppside/ nedside risiko som står i rampelyset.
Tillater målbare sammenligninger på tvers av tid og forretningsenheter.
Gir muligheter for å vurdere prestasjonen til eierne av oppside/ nedside risiko til rett tid.
Forbruker ressurser effektivt.

En effektiv måte å komme i gang er å ta de øverste 5-10 mest vesentlige oppside/ nedside risikoer som organisasjonen står overfor, og gi hver eier av oppside/ nedside risiko (personen med primære håndteringssansvar for en gitt risiko) i oppgave å identifisere én eller to KRIer Ofte vil det i begynnelsen være forvirring om forskjellen mellom Key Performance indikatorer som i dag måles og KRIer. Det vil være viktig å gi et eksempel eller to for å hjelpe eiere av oppside/ nedside risiko å gjøre/forstå dette skillet.

4.6 KRI kommunikasjon og rapportering: Rollen til styret, ledelsen og eierne av oppside/ nedside risiko

Det som er vesentlig i en iverksettelse av ERM-prosessen, er utviklingen og implementering av et sett med KRIer som det kreves følsomhet for organisasjonens kultur og et sterkt budskap om betydningen av denne oppgaven fra toppledelsen og styret. Det er nødvendig at disse individene selger dette inn til de som har den daglige ledelsen og ansvaret for ulike oppside/ nedside risikoer.

Den primært begunstigede av KRIer vil være eierne av oppside/ nedside risiko selv. De vil ha et sett med prognostiserte verktøy som bør tillate dem bedre å håndtere sine forretningsenheter for å møte mål og målsettingene for den aktuelle enheten. Toppledelse og styrene trenger ikke å vite, heller ikke er de nødvendigvis i en posisjon til å sette pris på, alle KRIer som benyttes i organisasjonen, men det bør forventes at de forstår og blir holdt oppdatert på KRIer knyttet til organisasjonens viktigste oppside/ nedside risikoer. Personen som er ansvarlig med tilsynet av ERM-prosessen kan arbeide nært sammen med eierne til risikoene/mulighetene for å identifisere hensiktsmessig triggerpunkter og tiltak eller tiltaksplaner som bør bli igangsatt i tilfelle disse punktene er nådd. Unntaksrapporter kan utvikles på regelmessig basis, der tidspunktet trolig vil variere som en funksjon av nivået mottakeren i organisasjonen er på.

Toppledelsen må kanskje gjennomgå KRI data for risikoer og muligheter med betydelig potensial for påvirkning på organisasjon. Likeledes kan styrene kun kreve oppdateringer av de mest betydelige KRI data for å være sikre på at ERM-prosessenn fungerer slik den er utviklet og godkjent. Rapporter fra kontrollpanelet som visuelt viser KRI data som overstiger etablerte terskler/toleransegrenser kan både gi en intuitiv og effektiv tilnærming for å gi denne informasjonen til styrer. I tillegg kan den enkle bruken av farger som viser statusen på visse KRIer raskt gi viktige signaler om hvilke KRIer som krever ledelsen oppmerksomhet. Grønn, gul og rød er felles valg for å vise forhold knyttet til å møte planlagte mål, henholdsvis faren for ikke å ha møtt planlagte mål, og ikke møte planlagte mål.

Det er også viktig å vurdere hyppigheten av rapportering av KRIer. Den aktuelle tidshorisont er avhengig av primære brukere av en bestemt KRIer. For operative ledere, er”real-time” rapportering attraktiv. For toppledelsen kan f.eks., en mindre hyppig (f.eks.. månedlig) statusrapport å være tilstrekkelig, der en samling av KRIer som fremhever potensielle avvik fra målene til enheten/organisasjonsnivået være et sannsynlig mål.

På styrenivå, er rapporteringen ofte aggregert for å tillate en mer strategisk vurdering av data. Det er viktig å huske at en KRI ikke håndterer oppside/ nedside risiko, og det kan føre til en falsk følelse av sikkerhet hvis den er dårlig utformet. Ideelt sett, er en aktiv vurdering av «intelligensevnen» av hver KRI en fortfarende fasett av organisasjonens ERM- prosess.
Når det første settet av KRIer har blitt utformet og tatt i bruk, er det avgjørende at overvåkingen skjer for å validere effektivitet av disse. Selv godt utformet og effektive KRIer kan miste verdi ettersom organisasjonens mål og strategier tilpasser seg stadig skiftende omgivelser. Det er en veldig reell fare, når et nettverk av KRIer er blitt etablert, at ledelsen vier sine ressurser andre steder i organisasjonen og ignorerer behovet for å raffinere og erstatte eksisterende beregninger/målinger for oppside/ nedside risiko for bedre å fange opp relevante data for det nye miljøet. Som en del av den første utviklingen og posisjoneringsfase, bør oppmerksomheten være på prosessen som vil følge til kontinuerlig å følge opp KRIers ytelse/bidrag.

4.7 The Value Proposition (verdiøkningen) av Key Risk Indicators

Utviklingen av KRIer kan gi relevant og tidsriktig informasjon til både styret og toppledelsen, som er vesentlig for effektiv tilsyn med mulighet/trussel. Effektive KRIer blir oftest funnet når de er utviklet av team som inkluderer profesjonelt personal som forstår muligheter/trusler og forretningsenheters ledere med en dyp forståelse av kjernevirksomheten og strategier for forretningsvirksomheten til potensiell oppside/ nedside risiko. Ideelt sett blir KRIer utviklet i samspill med strategiske planer for de enkelte forretningsenhetene og innlemmer akseptabelt avvik fra planen som faller innenfor den samlede. risikoappetitten i organisasjonen.

Effektive KRIer kan gi verdi for organisasjonen på forskjellige måter.

Potensiell verdi kan utledes fra hver av de følgende bidrag:Appetitt:KRIer krever bestemmelse av egnede terskler/toleransegrenser for tiltak på ulike nivåer innenfor organisasjonen. I dagligvarekjede for eksempel kan arbeidsledighets KRIen ha et forhåndsbestemt nivå som organisasjonens appetitt for risiko er assosiert til utvidelses- strategien når den blir overskredet. Ved å kartlegge KRI målinger/beregninger for identifisert risikoappetitt og toleranse nivåer, kan KRIer være et nyttig verktøy for bedre artikulering av risikoappetitten som best representerer organisasjonens tenkemåte. Identifisering: KRIer kan være utformet for å varsle ledelsen om utviklingstrekk/trender som kan påvirke oppnåelse av organisasjonens målsettinger eller kan indikere tilstedeværelsen av nye muligheter. I dagligvarekjeden, hvis detaljhandelsbelegget øker betraktelig, kan det tyde på en mulighet for mer utbygging.

Tiltak:

KRIer kan iverksette tiltak for å redusere utviklingen av risiko ved å fungere som utløsermekanismer for organisasjonens enheter som overvåker bestemte KRIer. I tillegg, kan KRIer tjene som kontroller ved å definere toleransegrenser for visse handlinger. I dagligvarekjeden kan det være et punkt der ledigheten når et slik høyt nivå at risikoen for å ekspandere overskrider organisasjonens appetitt, og at KRI nivået derfor vil utløse en revisjon av strategien for butikkekspansjon.

Rapportering:

Ved utformingen, kan KRIer gi målbare data som bidrar til aggregering. Sammendragsrapporter kan raskt formidles til aktuelle toppledere og styremedlemmer med tilsynsansvar.

Compliance (etterlevelse av krav) anstrengelser:

For organisasjoner underlagt regulatorisk tilsyn, kan KRIer være nyttig i å demonstrere samsvar med etablerte krav på områder som kapitaldekning eller reservernivåer. KRIer utviklet for å bistå styret og toppledelsen i å møte trender i potensielle risikorelaterte hendelser kan tilføre stor verdi for hele organisasjonens tilsynsinnsats ved å posisjonere styret og ledelse slik at de proaktivt kan justere strategier i forkant av eller som svar på hendelser (både positive som negative). Det finnes flere eksempler på fordeler som kan oppnås:

Bedre ytelse:

Bruken av KRIer til å forutse nye oppside/ nedside risikoer og endringer i risiko 7 mulighet over tid kan redusere tap, identifisere muligheter for strategiske utnytting, og potensielt redusere kapitalkostnadene ved redusere oppfatninger av risiko hos kapitaltilbydere.

Bedre Prosesser:

KRier holder løftet med å hjelpe til med å redusere driftsforstyrrelser, forsyningskjedestyring, og forbedrer kundens opplevelser ved potensielt å unngå visse beslutninger som uventet skaper risiko knyttet til disse prosessene.

Bedre arbeidsmiljø:

Bruken av KRIer kan føre til færre episoder av krisehåndtering, der vanlige oppgaver må settes til side for fulltidsbruk på saker som utvikler seg. Dette åpner for en mer stabil og velfungerende organisasjon. Sagt annerledes, et robust sett med KRIer bør bidra til å redusere sannsynligheten for overraskelser og posisjonere ledelsen og styrer til en proaktiv versus reaktiv holdning.

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines

Kursguidene A og B

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg

Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com