Modul roller og ansvar

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

 

114220852422

 

 

ERM-Praksis – Andre praktiske moduler-
Modul roller og ansvar

 

 

 

chicagoCN_90895

 

 

ERM-Praksis

 

Proaktiv ERM

548_150

For mer om proaktiv risikostyring trykk linken.


ERM og organisasjonen

Drawings__26_150

For mer om ERM og organisasjonen trykk linken.


Mål og strategier

Sharp_Psyklus_snipped_150

For mer om mål og strategier trykk linken.


ERM-plan

DSC_0283_Aj_150

For mer om ERM-planen trykk linken.


ERM-kontekst

kr061008_095_150

For mer om ERMkonteksten trykk linken.


ERM-kategorier

cohdra_100_4813_150

For mer om Risikokategorier trykk linken.


ERM og overvåking

DSC_3838_150

For mer om ERM og overvåking trykk linken.


ERM og kommunikasjon

nokia_y_150

For mer om ERM og kommunikasjon trykk linken.


ERM-iverksettelsestips

GraniteCompass_022_150

For mer om ERM-iverksettelsestips trykk linken.

 

Forskjellige praktiske moduler/guider

JGS_TimeAndMoney

For mer om de forskjellige modulene trykk linken.

ERM-Praksis –
Forskjellige praktiske ERM-moduler/-guider

 

 

JGS_TimeAndMoney

 

_3076180 Modul Business Intelligence

100_4337_150 Modul ERM-Benchmarking

 

425_150 Modul interessentanalyse

 

114297685111_150 Modul KPIer og KRIer

 

cohdra_100_7937_150 Modul roller og ansvar

 

7-15-05_013_150Modul verktøy og teknologi

 

20060318-2_019_250 Modul ERM-sjekkliste

 

DSC03215_150 Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

 PICT2791

ERM-Praksis – Andre praktiske moduler –
Modul roller og ansvar

 

cohdra_100_7937_250

Innholdsfortegnelse:

 


1. Roller og ansvar 
1.1 Ansvarlighet for ERM krever:
1.2 Eksempler på ansvar
1.3 Praktiske tips om ansvar
2. Guide for rolle, ansvar og myndighet for Chief Risk Officer (CRO)
2.1 Formål
2.2 Anvendelse
2.3 Juridisk mandat og corporate governance
2.3.1 Juridisk mandat
2.3.2 Corporate Governance
2.4 Strategisk verdi av CRO i ERM-systemet
2.5 ERM-rammeverk, -system, -arkitektur og ansvaret til CRO
2.6 Forskjellige roller som chief risk officer (CRO) har i ERM-implementeringen
2.7 Evaluering
2.8 Egenskapene til en Chief Risk Officer (CRO)
2.8.1 Kvalifikasjoner
2.8.2 Erfaring
2.8.3 Evner
2.8.4 Kunnskaper
2.8.5 Oppførsel
3. En guide for rolle, ansvar og myndighet for Risk Champion 
3.1 Formål
3.2 Anvendelse
3.3 Hvordan navigerer du i guiden
3.4 Juridisk mandat og corporate governance
3.5 Strategisk verdi av Risk Champion i ERM-systemet
3.6 ERM-rammeverk, -system, -arkitektur og ansvaret til Risk Champion
3.7 Evaluering
4. Guide for lederens rolle, ansvar og myndighet 
4.1 Formål
4.2 Anvendelse
4.3 Hvordan navigerer du i guiden
4.4 Juridisk mandat og corporate governance
4.5 Strategisk verdi av lederne i ERM-systemet
4.6 ERM-rammeverk, -system, -arkitektur og ansvaret til lederne
4.7 Evaluering
5. Guide for rolle, ansvar og myndighet for annet personell
5.1 Formål
5.2 Anvendelse
5.3 Hvordan navigerer du i guiden(retningslinjen)
5.4 Juridisk mandat og corporate governance
5.5 Strategisk verdi av annet personell i ERM-systemet
5.6 ERM-rammeverk, -system, -arkitektur og ansvaret til annet personell
5.7 Evaluering
6. Guide for rolle, ansvar og myndighet for internrevisjon 
6.1 Formål
6.2 Anvendelse
6.3 Hvordan navigerer du i guiden
6.4 Juridisk mandat og corporate governance
6.5 Strategisk verdi av internrevisjon i ERM-systemet
6.6 ERM-rammeverk/-system/-arkitektur og ansvaret til internrevisjon
6.7 Forskjellige roller som internrevisjonen har i ERM-implementeringen
6.8 Evaluering
7. Guide for rolle, ansvar og myndighet for ERM-utvalg (komité)
7.1 Formål
7.2 Anvendelse
7.3 Hvordan navigerer du i guiden(retningslinjen)
7.4 Juridisk mandat og corporate governance
7.5 Strategisk verdi av ERM-komitéen i ERM-systemet
7.6 ERM-rammeverk/-system/-arkitektur og ansvaret til ERM-komitéen
7.7 Evaluering

 

1

Roller og ansvar

 

Det ultimative ansvar for en organisasjons prestasjoner ligger hos toppledelsen eller styremedlemmene. Dette inkluderer ansvar for en organisasjons samlede håndtering av oppside/nedside risikoer, der oppside er muligheter og nedside trusler.

 

Mens toppledelsen og styret i siste instans er ansvarlige for ERMA (Enterprise Risk Management Authority?), er det et felles ansvar for alle ledere og medarbeidere, å håndtere risikoer og muligheter. Roller og ansvar for de som er involvert i implementering av ERM-funksjonen må være tydelig artikulert.

 

Vellykket integrering av ERM i organisasjonens corporate governance (virksomhetsstyring), er avhengig av klart definert ERM ansvar.

 

 

1.1  Ansvarlighet for ERM krever:

 

  • Styringsordninger for toppledelse, styret, utøvende komiteer og revisjonsutvalg, for vurdering av muligheter/trusler i organisasjonens løpende operative aktiviteter.
  • Fremme aktiv deltakelse i ERM fra alle ansatte.
  • Topp- og seniorledelsens støtte i etableringen av aktuelle prosesser og praksiser, for å håndtere alle muligheter/trusler forbundet med en organisasjons virksomhet.

 

Ansvaret for å håndtere spesifikke muligheter/trusler hviler generelt hos enkelte linjeledere på tvers av organisasjonen.
Ansvaret for implementeringen av organisasjonens ERM-rammeverk hviler hos risikoeierne, ERM-lederne eller ERM-team, som har blitt utnevnt til å fremme eller gi veiledning til andre om hvordan de kan håndtere konsekvensene av risiko på en effektiv måte.

 

1.2 Eksempler på ansvar

 

Gruppe Rolle i ERM 
Toppleder og toppledelsen
  • Champion for organisasjonens virksomhetsstyring i ERM-rammeverket.
  • Bestemme organisasjonens risikoappetitt.
  • Godta og sette organisasjonens strategiske risikoprofil.
  • Bekrefte at organisasjonens ERM-rammeverk kontinuerlig modnes for å reflektere det skiftende miljøet/endringene i omverdenen.
  • Gjennomgå anbefalinger fra organisasjonens revisjon og risikokomité(er), og bestemme fremtidige handlinger.
  • Sikre at ERM- rammeverket blir/er implementert og vedtatt.
  • Støtte gjeldende strategitilnærming med å håndtere betydelige og kritiske risiko-og mulighetsområder. Setter målsetninger og mål for ERM-programmet.
  • Rapportere om organisasjonens viktigste forretnings- og finansielle risikoer til ansvarlige i styret.
Seniorledelsen
  • Utvikle organisasjonens strategiske risikoprofil.
  • Gjennomgå organisasjonens helhetlige og forretnings-enhetlige risikoprofiler.
  • Gjennomgå og vurdere den nåværende og planlagte tilnærmingen med å håndtere betydelige og kritiske risiko- og mulighetsområder.
  • Gjennomgå og overvåke risikoprofiler og handlingsplaner.
  • Sikre at ERM-rammeverket er implementert i individuelle forretningsenheter.

 

Revisjon og risikokomiteer/
revisjonsutvalg
  • Føre tilsyn med ERM-rammeverket.
  • Gjennomgå og godkjenne risikoprofiler og handlingsplaner (kollektivt og for alle forretningsenhetene).
  • Overvåke implementeringen av ERM-programmet
    mot vedtatt implementeringsstrategi eller plan.

Avhengig av strukturen i organisasjonen, kan disse aktivitetene også bli foretatt av toppledelsen.

 

Ledere
  • Overvåke risikoene og mulighetene og risikoprofilene for sine ansvarsområder.
  • Forsikre seg om at personalet adopterer organisasjonens ERM-rammeverk som det er utviklet og vedtatt.
Risikoledere  
  • Koordinere implementeringen av ERM-rammeverket, risiko-profiler og handlingsplaner.
  • Vurdere ERM-planen for å sikre konsistens og nøyaktighet av praksis.
  • Tilrettelegge, utfordre og drive/stimulere ERM-utvikling
    innen organisasjonen.
  • Rapportere til seniorledelsen, operative ledere, revisjonen eller revisjonskomitéen eller toppledelsen med jevne mellomrom.

 

Individuellemedarbeidere
  • Erkjenne, kommunisere og reagere på forventet, fremvoksende
    eller skiftende risikoer.
  • Bidra til prosessen med å utvikle risikoprofiler for sin
    forretningsenhet eller bransje.
  • Gjennomføre risikoplaner innenfor sitt ansvarsområde.

 

 

Tabell 1: Ansvar for å håndtere risikoene og mulighetene i organisasjonen.

 

 

1.3 Praktiske tips om ansvar

 

  • Organisasjonens ERM-policy bør klart skille mellom linjer med ansvar for overordnet ERM-resultater, og ansvaret for implementering av ERM-rammeverket, ERM-prosessen og ORM-prosessene.
  • Ansvarlighet og  ansvar for håndtering av risiko kan være reflektert i et organisasjonskart og i individuelle ”stillingsbeskrivelser” og prestasjonsavtaler.
  • Organisasjonen bør forsikre seg om at ”ansvarskartet” til topplederteamet og styret klart formulerer deres ansvar, for å føre tilsyn med organisasjonens viktigste strategiske risikoer, muligheter og deres relaterte håndteringsstrategier.
  • For å vise ansvarlighet for organisasjonens ERM-praksis, få toppledelsen eller styret  til å godkjenne organisasjonens ERM-policy og nøkkelprosedyrer
  • Organisasjonen må forsikre seg om at topplederne forstår strategiske nøkkelrisikoer, –muligheter som organisasjonen står overfor, og hvem som er ansvarlig for å håndtere disse.  Dessuten forsikre seg om at mellomledere og linjeledere forstår sine forretningsmessige risikoer og muligheter og sitt ansvar for å forvalte disse
  • Gjenkjenne  ERM som en sentral ferdighet og ansvar til alle ansatte. Innlemm dette i arbeidserklæringer, prestasjonsavtaler og diskuter dette som en del av den årlige utviklingssamtalen (medarbeidersamtalen).

 

 

 

2

Guide for rolle, ansvar og myndighet for Chief Risk Offiver (CRO) 

 

2.1 Formål

Hensikten er å vise Chief Risk Officer(CRO) (risikokoordinatoren) hans/hennes rolle, ansvar og myndighet for ERM.

 

En Chief Risk Officer (CRO) kan defineres som:

  • En ansatt ansvarlig for å muliggjøre en effektiv håndtering av vesentlige risikoer, og relaterte muligheter i organisasjonen og dens ulike avdelinger og segmenter;
  • En ansatt med betegnelsen CRO, og/eller
  • En ansatt med delegert ansvar til en CRO

 

2.2 Anvendelse

 

Guiden er utformet for å:

  • Gi CRO informasjon for å få han/henne til fullt og helt og å forstå sin rolle og ansvar for ERM
  • Gi en mal for å hjelpe CRO til effektivt å ivareta rollen og ansvaret.

 

Hvordan navigerer du i guiden.

 

Guiden er strukturert i henhold til avsnittene nedenfor.

 

  • Juridisk mandat
  • Strategisk verdi av CRO i ERM
  • ERM-arkitektur og ansvaret CRO har
  • Evalueringskriterier

2.3 Juridisk mandat og corporate governance

 

2.3.1 Juridisk mandat

Lovgivning, gjeldende for implementeringen av ERM er del av en strategi for organisasjonen for å sikre oppnåelse av mål og målsettinger.
CRO er bundet av gjeldende lovgivning.

 

2.3.2 Corporate Governance

CRO bruker organisasjonens veiledning for eierstyring og selskapsledelse.

 

2.4 Strategisk verdi av CRO i ERM-systemet

Det primære ansvaret som CROen har er å bistå organisasjonen med hans/hennes spesial- kompetanse for å integrere og utnytte fordelene av ERM for å nå organisasjonens fastsatte mål. CRO bør være ansvarlig overfor styret for å aktivere organisasjonen til å balansere risiko og belønning, og er ansvarlig for å koordinere organisasjonens Enterprise Risk Management (ERM) – tilnærming.
CRO bør ikke være ansvarlig overfor noe nivå lavere enn toppledelsen i organisasjonen.

 

 

2.5 ERM-rammeverk, -system, -arkitektur og ansvaret til CRO

 

For å høste optimale fordeler bør ERM gjennomføres på en systematisk måte, ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk/-system på grunn av fordelene med en enhetlig tilnærming og felles vokabular.

Med fokus på helhetlig og integrert risikoledelse (ERM) og et felles ERM-rammeverk, er CRO oppgavene å effektivisere ERM-funksjonen. Dette innebærer integreringen av ERM-praksis og å fremme en risiko- og mulighetsbevisst kultur i organisasjonen.

CRO tar effektivt på seg rollen som organisasjonens talsmann for ERM, og bringer spesialistkompetanse for å bistå i å integrere ERM i hele organisasjonen.

 

Ansvaret for å oppnå dette inkluderer:

  • Arbeid med toppledelsen for å utvikle en samlende ERM-visjon, ERM-strategi, ERM-politikk, samt risikovilje(-appetitt) og toleransenivåer for godkjenning fra toppledelsen/styret
  • Å kommunisere ERM-policy, ERM-strategi og ERM-implementeringsplan til alle interessenter i organisasjonen
  • Å sette opp ERM-struktur og ERM-rapporteringslinjer i organisasjonen
  • Kontinuerlig drive ERM-prosessen mot beste praksis
  • Å utvikle en felles risikovurderingsmetodikk som er på linje med organisasjonens mål på et strategisk, taktisk og operasjonelt nivå for godkjenning av toppledelsen/styret
  • Koordinere risikovurderinger innenfor organisasjon/avdeling/divisjon/forretningsenhet på regelmessig basis
  • Sensibilisere ledelsen til proaktivt å forstå behovet for å utføre risikovurderinger ved alle store forandringer, investeringer, prosjekter, organisasjonsmessige omstillinger og lignende arrangementer, og bistå med å sikre at ledsagende prosesser, spesielt rapportering gjennomføres effektivt og proaktivt
  • Bistå ledelsen i utvikling og implementering av risikotiltak (treatment) for hver identifisert og vesentlig risiko
  • Delta i utviklingen av en kombinert plan for overvåking og gjennomgang i organisasjonen i samarbeid med intern revisjon og ledelsen;
  • Å sikre at effektive informasjonssystemer finnes for å forenkle ERM-forbedringer innenfor organisasjonen
  • Kontinuerlig overføre ERM-prinsipper og praksis, gjennom trening og opplæring, til alle interessenter innen organisasjonen
  • Gi råd til ledelsen/styret i utviklingen av finansieringsstrukturer for ERM
  • Utføre en PEST analyse for å identifisere nye risikoer og muligheter som organisasjonen står overfor for videre handling og intervensjon
  • Sortere og konsolidere resultatene av de ulike risikovurderingene innenfor organisasjonen
  • Analysere resultatene av risikovurderingsprosessen for å identifisere trender innenfor risiko og kontroll, og utvikle den nødvendige nivåkontrolltiltak for å håndtere disse trendene
  • Sette sammen nødvendige rapporterer til risikoledelses-utvalg/toppledelsen/styret
  • Å gi innspill til utviklingen og påfølgende gjennomgang av strategien for å forebygge svindel, kontinuitetsplaner, helse, miljø og sikkerhetsretningslinjer og praksis og katastrofehåndteringsplaner.

 

I tillegg til de ovennevnte ansvarsområder, må CRO ha visse egenskaper (se videre nedenfor) for å fungere effektivt.

 

 

2.6 Forskjellige roller som chief risk officer (CRO) har i ERM-implementeringen

 

Ikke overraskende kommer begrepet CRO fra mange forskjellige kilder, inkludert internrevisjonen, eksternrevisjonen, finansledelse, forretningsledelse og rådgivningsbransjen. Bransjeundrsøkelser som er foretatt av PwC 2007. Deloitte 2007, IBM 2005 viser at CRO fullfører roller innen to kategorier:

 

  • Kontroll og etterlevelse av krav
  • Strategisk og forretningsmessig partnerrolle

CRO må balansere disse rollene for å skape forståelse i organisasjonen om at rollene tilsammen skaper verdi og ikke utelukkende er en kostnad. Videre oppfattes CRO sin forretningsmessige partnerrolle forskjellig. CRO bør være proaktive med å peke på strategiske muligheter/trusler.

 

CRO som etterlevelsespartner: Rollen innebærer å være talsmann og ”politi” for etterlevelse av krav fra interessenter. Holde tritt med nye lover, regler og standarder som kan ha innvirkning på utkast og roller i risikoledelsesfunksjonen. Initiere en ERM-policy som utarbeides (i samarbeid med) og godkjennes av styret og toppleder. 

 

CRO som modellekspert:

Generelt spiller CRO en betydelig rolle i å velge folk, prosesser og systemer som definerer omfanget av risikomålinger og kontroll i sine organisasjoner. Infrastrukturen til de fleste moderne risikoledelsesfunksjoner innholder en rekke risikomodeller, prosesser og informasjonssystemer, der utkastet krever at CRO spiller rollen som modellekspert.

 

CRO som strategisk overvåker:

Evolusjonen av det aggregerte synet har banet vei for CROs rolle som strategisk overvåker. Denne rollen antar at risikofunksjonen har bygget inn helhetlige og integrerte risikomodeller som tillater organisasjonen å håndtere et formelt risikojustert prestasjonsledelsessystem. Chief Risk Officer har med denne rollen autoritet over den nære integrasjonen av muligheter/trusler, prestasjonsmålinger og sikre at risikojusterte beregninger anses som pålitelige og til å stole på. CRO gir råd til toppledelsen om absolutte og relative kost-nytte prestasjoner i forskjellige forretningsmessige settinger og har innflytelse på kapital- og investeringsforpliktelser.

 

CRO som strategisk rådgiver:

 

I rollen som strategisk rådgiver hjelper CRO til med styrets synlighet og innflytelse, overveiende som et resultat av sitt grep om (fremvoksende risikoer, ikke kvantifiserbare, strategiske og operasjonelle) usikkerheter og muligheter. De bringer bedømminger inn i viktige risiko- og mulighetsbeslutninger, utfordrer antagelser/ forutsetninger som forretningsplanene bygger på, bruker tradisjonelle risiko- og mulighetskontroller og viser til begrensninger med å endre risikoprofiler i bestemte forretningssegmenter.CRO har som en strategisk rådgiver flotte muligheter til å utvikle sin egen rolle og med ”riktig” kunnskap utvikle sin rolle med å påvirke toppledelsen og styret til å fokusere mer på muligheter enn trusler.Dessuten påvirke toppledelsen og styret til å se den verdiskapning ERM-systemet representerer istedenfor å betrakte ERM først og fremst som ett pålegg om å etterleve krav.

 

 

Med nye lover og regler, en langvarig og alvorlig finanskrise er CRO under press for å demonstrere hvordan de vil realisere potensialet med å overvåke risikoer og muligheter i sin funksjon. CRO må samarbeide med interessentene og ikke komme på kant med kravene deres. Som profesjonell må CRO ta hensyn til en rekke forskjellige interessenter (som inkluderer regulatorer, ledere, aksjeeier, debitorer, kreditorer og samfunnet). Dette krever at risikofunksjonen har en klar, veldefinert posisjon i den helhetlige og integrerte virksomhetsstyringen. CRO betrakter i økt grad styret og topplederen som sine primære kunder. Imidlertid har mange CROs blitt fanget av finanskrisen med i større grad å ta på seg rollen som etterlevelsespartner, mens andre har sett sine rolle i å forstå rollen som forretningspartner. Ideene og praktisering av ERM (ulik de til lenge etablerte profesjoner), har ennå ikke blitt kodifisert til et enhetlig domene, noe som etterlater CROs rolle i virksomhetsstyringen noe diffus.

 

2.7 Evaluering

Klare mål og key performance indicators (KPI) bør settes for CRO, med hensyn til ERM. Disse indikatorene må kunne måle CROs effektivitet i å lede organisasjonens ERM, og på hvilken måte dette bidrar til å nå organisasjonens mål og målsettinger.

 

Mulig KPI for CRO kan omfatte:

  • Modenhet i implementeringen av ERM-rammeverket
  • ERM-strukturer, aktive og troverdige
  • Realistisk ERM-implementeringsplan oppnådd
  • Proaktiv identifisering av nye og alvorlige risikoer
  • Proaktiv identifisering av nye muligheter
  • Implementeringsframskritt oppnådd for programmer for å hindre tap
  • Mangel på overraskelser
  • Oppdatert risikoprofil for organisasjonen
  • Oppdaterte handlingsplaner for alle vesentlige risikoer
  • Oppdaterte handlingsplaner for alle potensielle muligheter
  • Redusert avhengighet av konsulenter for tildeling av ERM-oppgaver

 

2.8 Egenskapene til en Chief Risk Officer (CRO)

2.8.1 Kvalifikasjoner

Universitetsgrad i business og/eller regnskap, revisjon og ERM (Ideelt også MBA, CIA, CA).

2.8.2 Erfaring

 

  • ERM erfaring (minimum tre år) inklusiv evnen til å identifisere nye muligheter/trusler som organisasjonen står overfor
  • Erfaring med betydelig lederansvar
  • Erfaring i implementering av et ERM-rammeverk/-system og ERM-metodikk
  • Erfaring i strategisk planlegging og forretningsplanlegging
  • Erfaring med verktøy og teknikker for evaluering, presentasjon og vedlikehold av strategiske og operasjonelle risikoworkshops og intervjuer.

2.8.3 Evner

 

  • Evnen til å tenke strategisk for å overvåke og støtte linjeledelsen i saker av betydning for organisasjonen som helhet
  • Utmerket verbal, skriftlig og tilretteleggingsferdigheter sammen med velutviklede presentasjonsferdigheter
  • Evnen til å organisere og motivere andre, der noen kan være i topplederstillinger. Dette inkluderer muligheten til å styre og holde møter
  • Evnen til å tolke og effektivt samle betydelige mengder data og informasjon. Trekke ut de viktigste konklusjonene, for å bistå ledelsen med fullt ut å forstå risikobildet
  • Evnen til å bygge effektive relasjoner med andre funksjoner som utfører ERM lignende saker, for eksempel funksjonene innenfor: Katastrofehåndtering, business continuity, helse, miljø og sikkerhet, forsikring, overholdelse av lover og regler, svindelforebygging og liknende
  • Energi og driv nok til å generere verdi for organisasjonen gjennom ERM-funksjonen
  • Gode datakunnskaper og evnen til å bruke ERM-programvare
  • Sterke nok ledelsesmessige ferdigheter til å lede en effektiv ERM-enhet.

2.8.4 Kunnskaper

 

  • God forståelse/kunnskap om governance praksis (styringspraksis), interne kontrollsystemer og evne til å overvåke ERM-aktiviteter, -programmer (og implementering av disse)
  • Kunnskap om corporate governance krav (virksomhetsstyringskrav)
  • Intern revisjon og overvåkingspraksis
  • ERM-konsepter, -rammeverk og -metodikk (ISO 31000:2009 – ERM-ramme verk)
  • Bevissthet om risikofinansiering og risikokontrollkonsepter.

2.8.5 Oppførsel

 

  • Energisk og egenmotivert
  • Resultatorientert/outputorientert/”deadline” orientert;
  • Lederskap
  • Teamorientert
  • Endringsorientert
  • Beslutningstaker
  • Til å stole på, selvsikker
  • Presentabel, profesjonell og trygg
  • Gode mellommenneskelige ferdigheter
  • God kommunikator

 

 

3

En guide for rolle, ansvar og myndighet for Risk Champion

 

3.1 Formål

Hensikten er å vise Risk Champion hans/hennes rolle, ansvar og myndighet for ERM.

 

En Risk Champion kan defineres som:

  • Et eksisterende medlem av toppledelsen innen organisasjonen. Risk Champion støtter opp om ERM-prosessen i bestemte tildelte områder eller funksjoner. En Risk Champion har tilstrekkelig myndighet til å drive igjennom ERM som kreves av organisasjonens ERM-policy og ERM-strategi.

 

 

3.2 Anvendelse

 

Guidens hensikt:

  • Gi Risk Champion informasjon til fullt og helt forstå hvilken rolle og ansvar den har i ERMA
  • Gi maler for å hjelpe Risk Champion til effektivt å ivareta rollen og ansvaret

 

3.3 Hvordan navigerer du i guiden

 

Guiden er strukturert i henhold til avsnittene nedenfor.

 

Hver av delene inneholder underliggende informasjon.

  • Juridiske mandat
  • Strategisk verdi av Risk Champion i ERM
  • ERM-arkitektur og ansvaret Risk Champion har
  • Evalueringskriterier

3.4 Juridisk mandat og corporate governance

 

3.4.1 Juridisk mandat

Lovgivning som er gjeldende i forskjellige land for implementering av ERM er del av strategien for organisasjonen for å sikre oppnåelse av mål og målsettinger. Risk Champion er bundet av gjeldende lovgivning. Her i Norge er i øyeblikket ikke ERM lovpålagt, slik som i en del andre land. Mens lovgivningen her i Norge f.eks stillerkrav om HMS i organisasjonene. I ERM-sammenheng er HMSkun en liten del av en større helhet som ERM representerer.

 

3.4.2 Corporate Governance

Risk Champion bruker organisasjonens veiledning for eierstyrings og selskapsledelse.

 

3.5 Strategisk verdi av Risk Champion i ERM-systemet

 

Risk Champion bør være en person med den ferdighet, kunnskap og lederskap som kreves for å støtte opp om ERM-håndteringer.
En viktig del av Risk Champions sitt ansvar innebærer å støtte opp om ERM-initiativet der ERM-innsatsen blir kvalt, for eksempel om enkelte prøver å blokkere ERM-initiativer.

Risk Champion tilfører også verdi til ERM-prosessen ved å gi veiledning og støtte til å håndtere «problematiske» risikoer og muligheter (eventuelt av tverrfaglig karakter).

 

 

3.6 ERM-rammeverk, -system, -arkitektur og ansvaret til Risk Champion

 

For å høste optimale fordeler, bør ERM gjennomføres på en systematisk måte, ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk, -system på grunn av fordelene med en enhetlig tilnærming og felles vokabular.

Risk Champion fungerer som en endringsagent i ERM-prosessen og skiller seg fra risikokoordinatorer ettersom de er problemløsere som forenkler løsningen av risikorelaterte problemer og muligheter.

 

For å være en effektiv og effisient Risk Champion, må han/hun:

  • Ha god forståelse av ERM-konsepter, ERM-prinsipper, ERM-prosessen og ORM-prosesser.
  • Ha gode analytiske evner (for å hjelpe til med analysen av de grunnleggende årsakene til risikoproblemene).
  • Utvise godt lederskap og motiverende egenskaper.
  • Ha gode kommunikasjonsevner.

 

 

3.7 Evaluering

 

Klare mål og key performance indicators bør settes for Risk Champion i forhold til ERM. Disse indikatorene må kunne måle Risk Champions effektivitet i forhold til å bidra med å nå organisasjonens mål og målsettinger for ERM. Mulig KPI for Risk Champion kan omfatte:

 

Løsninger på konsekvenser av risikoer, både når det gjelder oppsiden (muligheter) og nedsiden (trusler) som er identifisere.

 

 

4

Guide for lederens roll, ansvar og myndighet

4.1 Formål

Hensikten er å bistå lederne med å vise til hans/hennes rolle, ansvar og myndighet i ERM.

 

Ledere er definert som:

  • Seniorledere
  • Divisjonsdirektører
  • Prosesseiere
  • Avdelingsledere
  • Enhver ansatt i lederposisjon

 

4.2 Anvendelse

 

Guiden er utformet for å:

  • Gi lederne informasjon til å forstå sin rolle, ansvar og myndighet i ERM
  • Gi rettesnorer for å hjelpe lederne til effektivt ivareta rollen og ansvaret.

4.3 Hvordan navigerer du i guiden

Guiden er strukturert i henhold til avsnittene nedenfor.

 

Hver av delene inneholder underliggende informasjon.

  • Juridiske mandat
  • Strategisk verdi av ledelse i ERM
  • ERM-arkitektur og ansvaret lederne har
  • Evalueringskriterier

4.4 Juridisk mandat og corporate governance

 

4.4.1 Juridisk mandat

Lovgivning, gjeldende for implementeringen av ERM er del av strategien for organisasjonen for å sikre oppnåelse av mål og målsettinger. Lederne er bundet av gjeldende lovgivning.

 

4.4.2 Corporate Governance

 

Lederne bruker organisasjonens veiledning for eierstyring og selskapsledelse.

 

4.5 Strategisk verdi av lederne i ERM-systemet

 

Lederne er ansvarlig (overfor organisasjons toppledelse) for utforming, implementering og oppfølging av ERM, og integrere denne i de daglige operative aktiviteter i organisasjonen. Dette må gjøres på en slik måte at det sikres at ERM blir et verdifullt strategisk styringsverktøy for understøttelsen av effektiv levering av produkter og tjenester, som skaper verdi for organisasjonen.

 

 

4.6 ERM-rammeverk, -system, -arkitektur og ansvaret til lederne

For å høste optimale fordeler, bør ERM gjennomføres på en systematisk måte, ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk, -system på grunn av fordelene med en enhetlig tilnærming og felles vokabular.

 

 

For å kunne løse sitt ansvar knyttet til ERM må lederne:

  • Anerkjenne «eierskap» til risikoene og mulighetene innen sine ansvars- og funksjonsområder og alle ansvarsområder knyttet til håndteringen av disse risikoene og mulighetene
  • Delegere risiko- og mulighetshåndtering til de respektive funksjonelle ansvars-områder
  • Gi ansatte makt og myndighet til å utøve sitt ansvar i tilstrekkelig grad, gjennom riktig kommunikasjon om ansvar, omfattende orientering og kontinuerlig muligheter for kompetanseutvikling
  • Holde de ansatte ansvarlig for deres spesifikke ERM-ansvar
  • Opprettholde den funksjonsmessige risikoprofil innenfor organisasjonens risikotoleranse og risikoappetitt
  • Lage rapporter om de funksjonsmessige ERM-aktiviteter er i samsvar med organisasjonens rapporteringsprosedyrer (inkludert de som skal leveres til bestemte utvalg/komiteer)
  • Justere de operasjonelle metodene og organisasjonens ERM-metoder, ERM-prosess og ORM-prosesser
  • Implementere direktivene i lovverket vedrørende ERM
  • Opprettholde et harmonisk gjensidig samarbeid med CRO og støtte CRO i saker som angår funksjoner vedrørende risikoledelse
  • Opprettholde et harmonisk gjensidig samarbeid med Risk Champion og støtte Risk Champion i saker som angår funksjonens risikoledelse
  • Fokusere på vesentlige risikoer og muligheter i avdelingen/funksjonen på ledermøter, og vie personlig oppmerksomhet i å overvåke håndteringen av disse risikoene og mulighetene.

4.7 Evaluering

Klare mål og key performance indicators (KPI) bør settes for lederen i forhold til ERM. Disse indikatorene må kunne måle lederens effektivitet i forhold til å bidra til å nå organisasjonens mål og målsettinger for ERM.

 

Mulige key performance indicators for lederne kan omfatte:

  • Forretningsenhetens prestasjon mot KPI for levering av tjenester og produkter, herunder sammenligning mot tidligere års ytelser
  • Implementeringsnivået av ERM-rammeverket innen deres forretningsenhet
  • Implementering av troverdige ERM-strukturer innen deres forretningsenhet.
  • Proaktiv identifisering av nye/alvorlige risikoer for å unngå overraskelser.
  • Nulltoleranse til merknader gitt av myndighetene.
  • Prestasjonen på leveringen av tjenester, produkter og forbedring.
  • Forbedring i forholdstall på effektiviteten av levering av tjenester og produkter.
  • Prosentvis oppnåelse av KPI.
  • Oppdatert risikoregistre (risikokategoriseringsmodellen).
  • Oppdaterte handlingsplaner.
  • Faktisk effektivitet av bekreftede kontroller.
  • År-til-års reduksjon i negative hendelser/tap.
  • Implementeringsframskritt som er oppnådd i programmer for å forhindre tap.
  • Reduksjon i bedrageri.
  • Reduksjon i aksjonærers klager.
  • Oppnådde mål I forhold til nye muligheter.

 

5

KGuide for rolle, ansvar og myndighet for annet personell

 

5.1 Formål

Hensikten er å bistå annet personell i å vise til hans/hennes ansvar for ERM.

 

Annet personell er definert som:

  • Ansatte innen organisasjonen som ikke har et spesielt ERM-ansvar
  • Alle ansatte ved organisasjonen, inkludert generelle ansatte, interessenter og entreprenører som ikke har et spesielt ERM-ansvar.

5.2 Anvendelse

 

 

Guiden er utformet for å:

  • Gi annet personell nok informasjon slik at de fullt og helt forstår sin rolle,ansvarog myndighet innen ERM
  • Gi maler for å hjelpe annet personell til effektivt å ivareta rollen og ansvaret.

5.3 Hvordan navigerer du i guiden(retningslinjen)

Guiden er strukturert i henhold til avsnittene nedenfor.

 

Hver av delene inneholder underliggende informasjon.

  • Juridiske mandat
  • Strategisk verdi av annet personell i ERM
  • ERM-arkitektur og ansvaret annet personell har
  • Evalueringskriterier

 

5.4 Juridisk mandat og corporate governance

 

5.4.1 Juridisk mandat

Lovgivning, gjeldende for implementeringen av ERM er del av strategien for organisasjonen for å sikre oppnåelse av mål og målsettinger.
Annet personell er bundet av gjeldende lovgivning.

 

5.4.2 Corporate Governance

Annet personell bruker organisasjonens veiledning for eierstyrings og selskapsledelse.

 

5.5 Strategisk verdi av annet personell i ERM-systemet

Annet personell er ansvarlige overfor ledelsen, for implementering og oppfølging av ERM-prosessen og integrere den i sine daglige aktiviteter.

 

5.6 ERM-rammeverk, -system, -arkitektur og ansvaret til annet personell

 

For å høste optimale fordeler, bør ERM implementeres på en systematisk måte, ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk, -system og -arkitektur på grunn av fordelene med en enhetlig tilnærming og felles vokabular.

 

Annet personell er ansvarlig for å sikre at ERM-prosessen blir integrert i de daglige aktiviteter i organisasjonen.

 

Ansvarsområdene omfatter:

  • Kjennskap til ERM-visjon, ERM-strategi, ERM-mislighetspolicy og ERM-policy
  • Handle i henhold til det som er nevnt ovenfor.
  • Anvende ERM-prosessen i samsvar med sine respektive roller.
  • Fokusere på å identifisere risikoer og muligheter, og å rapportere disse til relevant risikoeier. Der det er mulig og hensiktsmessig, håndtere disse risikoene og mulighetene.
  • Handle innenfor risikoappetitt- og risikotoleransenivåer fastsatt av organisasjonen/ avdelingen/forretningsenheten.
  • Følge de etiske retningslinjene for organisasjonen.
  • Vedlikeholde fungerende kontrollmiljø, informasjon og kommunikasjon samt overvåkingssystemer innenfor sitt delegerte ansvar.
  • Gi informasjon og samarbeide med andre aktører.
  • Deltakelse i identifisering, analyse og evaluering (vurdering) av risikoer og muligheter innenfor sin forretningsenhet.
  • Implementering av risikotiltak (risk treatment) for å håndtere de identifiserte risikoene.
  • Alt personell som mistenker at en eller annen form for svindel har blitt forsøkt eller begått, rapporterer umiddelbart mistanken til sine respektive enheter.
  • Dersom den ansatte ønsker å forbli anonym, kan de kontakte eksterne eller interne mislighetsenheter for å rapportere saken.

 

5.7 Evaluering

Klare mål og key performance indicators (KRI) bør settes for annet personell i forhold til ERM.

Disse indikatorene må kunne måle effektivitet til annet personell med å delta i organisasjonens ERM med å bidra til organisasjonens mål og målsettinger.

Annet personell er ansvarlig for å prestere i form av han/hennes delegerte ansvar.

 

 

6

KGuide for rolle, ansvar og myndighet for internrevisjon

 

6.1 Formål

Hensikten med er å bistå internrevisjon i å vise til dens ansvar for ERM.

 

Denne guiden gjelder for følgende internrevisjonsfunksjoner:

  • Internrevisjonen i oganisasjonen – som er en fullt ut etablert internrevisjon innen organisasjonen;
  • En samarbeidsorientert internrevisjon – der det er etablert en internrevisjon som besitter en kjernekapasitet innen organisasjonen, som blir supplert med tjenester fra en ekstern tjenesteleverandør;
  • Outsourcet internrevisjonsfunksjon – der internerevisjonen i en organisasjon fullstendig er satt bort til en ekstern tjenesteleverandør;
  • Felles internrevisjon – der mer enn én organisasjon, f.eks. datterselskaper deler på felles internrevisjonsressurser;

6.2 Anvendelse

 

Guiden er utformet for å:

  • Gi internrevisjonen informasjon for å få den til fullt og helt og å forstå sin rolle og ansvar mht. ERM;
  • Gi maler for å hjelpe internrevisjonen til å effektivt ivareta rollen og ansvaret.

6.3 Hvordan navigerer du i guiden

Guiden er strukturert i henhold til avsnittene nedenfor.

 

Hver av delene inneholder underliggende informasjon

  • Juridiske mandat
  • Strategisk verdi av internrevisjonen i ERM
  • ERM-arkitektur og ansvaret internrevisjonen har
  • Evalueringskriterier

6.4 Juridisk mandat og corporate governance

 

6.4.1 Juridisk mandat

Lovgivning, gjeldende for implementeringen av ERM er del av strategien for organisasjonen for å sikre oppnåelse av mål og målsettinger. Internrevisjonen er bundet av gjeldende lovgivning.

 

6.4.2 Corporate Governance

Internrevisjonen bruker organisasjonens veiledning for eierstyrings og selskapsledelse.

 

6.5 Strategisk verdi av internrevisjon i ERM-systemet

 

Internrevisjonen er ansvarlig overfor toppledelsen eller styret for å gi uavhengig bekreftelse vedrørende ERM-aktivitetene i organisasjonen. Derfor er internrevisjonen ansvarlig for uavhengig bekreftelse på at ledelsen har identifisert organisasjonens risikoer og muligheter og har reagert effektivt. Internrevisjonen kan også spille en konsulentrolle og gi råd til ledelsen angående ERM-saker.

 

 

6.6 ERM-rammeverk/-system/-arkitektur og ansvaret til internrevisjon

 

For å høste optimale fordeler bør ERM gjennomføres på en systematisk måte ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk/-system/-arkitektur pga. av fordelene med en enhetlig tilnærming og felles vokabular.

Selv om, beste praksis indikerer at internrevisjonen ikke bør være i direkte kontroll av ERM-funksjonen, kan internrevisjonen utføre rådgivnings- og konsulentoppdrag om ERM i samsvar med gjeldende standarder (se internasjonale standarder for profesjonell utøvelse av internrevisjonen – Performance Standard 2110).

 

Ansvaret til internrevisjonen i ERM inkluderer:

  • Gjennomgå risikofilosofien i organisasjonen. Dette omfatter ERM-policy, ERM-strategi, forebyggingsplan vedrørende svindel, ERM-rapporteringslinjer, de verdier som er utviklet for organisasjonen;
  • Gjennomgå hensiktsmessigheten av risikotoleransenivåer fastsatt av organisasjonen, ved å ta hensyn til risikoprofilen til organisasjonen;
  • Gi bekreftelse på utformingen og hvordan kontrollmiljø, informasjons- og kommunikasjonssystemer og overvåkingssystemer fungerer;
  • Gi bekreftelse på organisasjonens identifiserings-, analyserings- og evalueringsprosesser for risikoer og muligheter;
  • Utnytting av resultatene av risikovurderingen(Risk Assessment) til å utvikle langsiktige revisjonsårsplaner for internrevisjonen;
  • Gi uavhengig bekreftelse på om ERM-strategi, ERM-implementeringsplan og forebyggende plan for svindel har blitt effektivt implementert innen organisasjonen;
  • Gi uavhengig bekreftelse på tilstrekkeligheten av kontrollmiljøet. Dette inkluderer å gi bekreftelse på effektiviteten av interne kontroller iverksatt for å redusere de identifisertetrusler og se om mulighetene har blitt ivaretatt.

6.7 Forskjellige roller som internrevisjonen har i ERM-implementeringen

 

Internrevisjonen kan spille en eller flere av følgende roller i forbindelse med implementering av ERM i en organisasjon:

 

Lærer: Mange ledere forstår ikke ERM. Internrevisjonen kan hjelpe dem til å forstå og bruke
ERM-rammeverket gjennom periodisk utdanning over tid. Dersom internrevisjonen fokuserer på ISO 31000:2009-rammeverket når den utvikler fokuserte revisjonsplaner, kommuniserer revisjonresultater og foretar presentasjoner, vil internrevisjonens medarbeidere kunne utdanne ledere og toppledere i de ulike delene av ERM. Coach/tilrettelegger: ERM krever kvalitativt gode vurderinger av risikoer og muligheter. Internrevisjonen kan spille en ledende rolle innenfor organisasjonen ved å legge til rette for vurderinger og utforming av tiltak mht. risikoer og muligheter. Internrevisjonen kan også spille en rådgivende rolle i å bistå organisasjonen i å oversette risikovurderinger i risikoreduserende strategier. Koordinator: I den grad at organisasjonens ERM- løsning utnytter et felles språk og et ERM-rammeverk f.eks ISO 31000:2009 kan internrevisjonen spille en verdiøkende samordningsrolle for å sikre konsistent bruk av ERM i hele organisasjonen. Internrevisjonen kan være en forkjemper for et felles risikospråk. 

Integrator:

Intern revisjon kan bistå med

  • innsamling, analyse og syntese av relaterte ridiko- og mulighetsdata samlet inn og bearbeidet fra flere kilder på tvers av organisasjonen og
  • rapportering av eksponeringer og revisjonsresultater på en aggregert organisasjons-omspennende basis.

 

Evaluator:

Internrevisjonen kan bruke ERM-rammeverket, f.eks ISO 31000:2009 for å vurdere håndteringen av risikoer og muligheter, enten for organisasjonen som helhet eller for en avdeling, datterselskap eller enhet. I tillegg kan internrevisjonen vurdere:

  • Effektiviteten av internt og eksternt kontekst og ERM-konteksten
  • Effektiviteten av vurderingsprosessen mht. risikoer og muligheter, ved å ta hensyn til elementene i ERM-rammeverket og ERM-prosessen og ORM-prosessene
  • Effektiviteten av kontrollretningslinjer og prosedyrer knyttet til spesifikke risikotiltak,
  • Kvaliteten og påliteligheten av informasjonen og kommunikasjonen som støtter organisasjonens valgte håndtering av risikoer og muligheter
  • Effektiviteten av overvåking og gjennomgang

Ovennevnte roller er konsistente med bekreftelses og konsulentaktivitetene som The Institute of Internal Revisor (The IIA) har med i sin definisjon av internrevisjonen.

The IIA har viser til følgende synspunkt: ”Organisasjoner bør fullt ut forstå at ledelsen er ansvarlig for ERM. Interne revisorer skal gi råd og utfordre eller støtte ledelsens beslutninger, som å ta risikohåndteringsbeslutninger. Internrevisjonens ansvarsområder bør
dokumenteres i revisjonen charter og godkjennes av revisjonskomiteen.”
I samsvar med ovennevnte synspunkter, har IIA identifisert kjerneroller for internrevisjon i ERM-implementering, samt roller som ikke er egnet for internrevisjon.

 

 

Eksempler på hovedroller for internrevisjonen i ERM inkluderer følgende:

  • Gi bekreftelse på prosesser for håndtering av risikoer og muligheter.
  • Gi bekreftelse på at risikoen og muligheten er korrekt vurdert.
  • Evaluering av ERM-prosessen og ORM-prosesser.
  • Vurdere rapporteringen av viktige muligheter/trusler.
  • Gjennomgå håndteringen av viktige muligheter/trusler.

 

 

Rollene IIA har indikert at internrevisjonen ikke bør påta seg er:

  • Å sette risikoappetitt.
  • Å godkjenne og diktere implementering av ERM-prosessen og OMR-prosesser.
  • Å tillate lederrollen å gi bekreftelse på muligheter/trusler og prestasjonen av håndteringen av muligheter/trusler.
  • Å treffe avgjørelser om håndtering av muligheter/trusler.
  • Å implementere risikotiltak på ledelsens vegne.
  • Å akseptere ansvar for ERM.

 

I tillegg, mellom disse to ytterpunktene, har IIA bemerket at det er andre «legitime roller for internrevisjonen,» gitt at det er hensiktsmessige sikkerhetstiltak på plass.

 

Disse rollene er:

  • Å tilrettelegge identifisering, analyse og evaluering av risikoer og muligheter
  • Å coache ledelsen i å respondere på risikoer og muligheter
  • Å koordinere ERM-aktiviteter
  • Å konsolidering rapportering om risikoer og muligheter
  • Å vedlikeholde og utvikle ERM-rammeverket
  • Å være forkjemper for etablering av ERM
  • Å utvikle ERM-strategi for styrets godkjenning

6.8 Evaluering

 

Klare mål og key performance indicators (KRIer) bør settes for internrevisjonen i forhold til ERM.

Disse indikatorene må kunne måle internrevisjonens effektivitet mht. organisasjonens ERM-bidrag til organisasjonens mål og målsettinger.

 

Mulige key performance indicators for internrevisjonen kan omfatte:

  • Effektivitet, aktualitet og kvalitet på bekreftelse og anbefalinger for å forbedre ERM;
  • Effektivitet, aktualitet og kvalitet på rapportering om kontrollmiljøet for vesentlige risikoer og muligheter i organisasjonen;
  • Effektivitet, aktualitet og kvalitet på konsulenttjenester i forbindelse med ERM.

 

7

KGuide for rolle, ansvar og myndighet for ERM-utvalg (komité)

 

7.1 Formål

 

Hensikten er å bistå ERM-komitéen/-utvalget med å vise til dens ansvar for ERM.

 

En ERM-komité er definert som:

  • En tilsynkomité ansvarlig overfor toppledelsen/styret for overvåking av ERM-systemet (dvs. å bistå i å utforme, implementere og koordinere ERM-initiativer). Dens basis består både av uavhengige medlemmer og ledelsen.

 

7.2 Anvendelse

 

Guiden er utformet for å:

  • Gi ERM-komitéen informasjon for å få den til fullt og helt og å forstå sin rolle og ansvar mht. ERM;
  • Gi maler for å hjelpe ERM-komitéen til å effektivt ivareta rollen og ansvaret.

7.3 Hvordan navigerer du i guiden(retningslinjen)

 

Guiden er strukturert i henhold til avsnittene nedenfor.

 

Hver av delene inneholder underliggende informasjon.

  • Juridiske mandat
  • Strategisk verdi av ERM-komitéen i ERM
  • ERM-arkitektur og ansvaret ERM-komitéen har
  • Evalueringskriterier

7.4 Juridisk mandat og corporate governance

 

7.4.1 Juridisk mandat

Lovgivning, gjeldende for implementeringen av ERM er del av strategien for organisasjonen for å sikre oppnåelse av mål og målsettinger. ·ERM-komitéen er bundet av gjeldende lovgivning.

 

7.4.2 Corporate Governance

 

ERM-komitéen bruker organisasjonens veiledning for eierstyrings og selskapsledelse.

 

7.5 Strategisk verdi av ERM-komitéen i ERM-systemet

 

ERM-komitéen har ansvar for å bistå toppledelsen/styret i å adressere overvåkingsansvaret for ERM og evaluere og overvåke organisasjonens ytelse med hensyn til ERM. Rollen til ERM-komitéen er å formulere, fremme og gjennomgå organisasjonens ERM-målsettinger, ERM-strategi og ERM-policy og overvåke ERM-prosessen på strategisk, ledelsesmessig og operasjonelt nivå.

 

7.6 ERM-rammeverk/-system/-arkitektur og ansvaret til ERM-komitéen

 

Rollen til et revisjonsutvalg i den totale ansvarsstrukturen for ERM er viktig. For å høste optimale fordeler, bør ERM gjennomføres på en systematisk måte, ved hjelp av utprøvde metoder, verktøy og teknikker. Alle organisasjoner oppfordres til å adoptere ISO: 31000:2009 og deres ERM-rammeverk/-system/-arkitektur pga. av fordelene med en enhetlig tilnærming og felles vokabular.

 

Det er dessuten klokt å vurdere fordelene med et inkluderende selvstendig medlemskap for revisjonsutvalget i en forrening.  Større uavhengighet kan bidra til å styrke revisjonsutvalgets evne til å søke forklaringer og informasjon, og objektivitet av forståelse av de ulike ansvarlighetsforholdene, spesielt når det gjelder økonomisk prestasjon, risiko, mulighet og kontroll.

 

I utøvelsen av sitt tilsynsansvar knyttet til ERM, har ERM-komitéen følgende ansvarsområder:

  • Gjennomgå ERM-policy og ERM-strategi, å anbefale for godkjenning av toppledelsen/styret;
  • Gjennomgå risikoappetitt og risikotoleranse og anbefale for godkjenning av toppledelsen/styret;
  • Gjennomgå organisasjonens identifiserings, analyserings- og evalueringsmetoder for risikoer og muligheter for å oppnå betryggende bekreftelse for fullstendigheten og nøyaktigheten av risikoregisteret;
  • Evaluere effektiviteten av reduseringsstrategier for å håndtere risikoene i organisasjonen;
  • Rapportere til toppledelsen/styret vesentlige endringer i risikoprofilen i organisasjonen;
  • Gjennomgå forebyggende arbeid vedrørende svindel/bedrageri, å anbefale for godkjenning av toppledelsen/styret;
  • Vurdere effektiviteten i implementeringen av forebyggende policy for bedrageri/svindel;
  • Gjennomgå vesentlige funn og anbefalinger fra bekreftelseskilder(risikorapportører) om ERM- systemet og overvåke at nødvendige tiltak er iverksatt for å løse de identifiserte svakhetene;
  • Utvikle mål, målsettinger og key performance indicators(KRIer) for komiteen til godkjenning av toppledelsen/styret;
  • Utvikle mål, målsettinger og key performance indicators for å måle effektiviteten av ERM-aktivitetene;
  • Definere roller, ansvar og myndighet i ERM-funksjonen innen organisasjonen for godkjenning av toppledelsen/styret, og overvåkeprestasjonen til ERM-systemet;
  • Sørge for riktig rapportering til rett tid til toppledelsen/styret om tilstanden til ERM-systemet, sammen med aspekter som krever forbedring ledsaget av utvalgets anbefalinger for å løse slike spørsmål.

 

 

Revisjonsutvalget kan også opprette separate sub-komitéer/-utvalg til å administrere spesifikk risikokategorier inkludert:

  • økonomisk-og forretningsmessig risiko;
  • business continuity planer, herunder testing av katastrofegjenopprettingsplaner;
  • helse, miljø og sikkerhetsplaner;
  • kontrollplaner for bedrageri, og
  • miljømessige planer.

 

7.7 Evaluering

Klare mål og key performance indicators (KPIer) bør settes for ERM-komitéen i forhold til ERM.

Disse indikatorene må kunne måle effektivitet til ERM-komitéen med å delta i organisasjonens ERM til å bidra til organisasjonens mål og målsettinger.

ERM-komitéen er ansvarlig for å prestere i form av dennes delegerte ansvar.

 

Mulig key performance indicators (KPIer)for ERM-komitéen kan omfatte:

  • Resultatene av ERM-komitéens 360 graders vurdering;
  • Prosentandel i implementeringen av ERM-rammeverket;
  • Troverdighet av de implementerte ERM-strukturer.

 

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: