Proaktiv ERM

For mer om proaktiv risikostyring trykk linken.

ERM og organisasjonen

For mer om ERM og organisasjonen trykk linken.

Mål og strategier

For mer om mål og strategier trykk linken.

ERM-plan

For mer om ERM-planen trykk linken.

ERM-kontekst

For mer om ERMkonteksten trykk linken.

ERM-kategorier

For mer om Risikokategorier trykk linken.

ERM og overvåking

For mer om ERM og overvåking trykk linken.

ERM og kommunikasjon

For mer om ERM og kommunikasjon trykk linken.

ERM-iverksettelsestips

For mer om ERM-iverksettelsestips trykk linken.

Forskjellige praktiske moduler/guider

For mer om de forskjellige modulene trykk linken.

 Modul Business Intelligence

 Modul ERM-Benchmarking

 Modul interessentanalyse

 Modul KPIer og KRIer

 Modul roller og ansvar

Modul verktøy og teknologi

 Modul ERM-sjekkliste

 Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

1

Roller og ansvar

• Styringsordninger for toppledelse, styret, utøvende komiteer og revisjonsutvalg, for vurdering av muligheter/trusler i organisasjonens løpende operative aktiviteter.
• Fremme aktiv deltakelse i ERM fra alle ansatte.
• Topp- og seniorledelsens støtte i etableringen av aktuelle prosesser og praksiser, for å håndtere alle muligheter/trusler forbundet med en organisasjons virksomhet.

• Organisasjonens ERM-policy bør klart skille mellom linjer med ansvar for overordnet ERM-resultater, og ansvaret for implementering av ERM-rammeverket, ERM-prosessen og ORM-prosessene.
• Ansvarlighet og  ansvar for håndtering av risiko kan være reflektert i et organisasjonskart og i individuelle ”stillingsbeskrivelser” og prestasjonsavtaler.
• Organisasjonen bør forsikre seg om at ”ansvarskartet” til topplederteamet og styret klart formulerer deres ansvar, for å føre tilsyn med organisasjonens viktigste strategiske risikoer, muligheter og deres relaterte håndteringsstrategier.
• For å vise ansvarlighet for organisasjonens ERM-praksis, få toppledelsen eller styret  til å godkjenne organisasjonens ERM-policy og nøkkelprosedyrer
• Organisasjonen må forsikre seg om at topplederne forstår strategiske nøkkelrisikoer, –muligheter som organisasjonen står overfor, og hvem som er ansvarlig for å håndtere disse.  Dessuten forsikre seg om at mellomledere og linjeledere forstår sine forretningsmessige risikoer og muligheter og sitt ansvar for å forvalte disse
• Gjenkjenne  ERM som en sentral ferdighet og ansvar til alle ansatte. Innlemm dette i arbeidserklæringer, prestasjonsavtaler og diskuter dette som en del av den årlige utviklingssamtalen (medarbeidersamtalen).

2

Guide for rolle, ansvar og myndighet for Chief Risk Offiver (CRO) 

• En ansatt ansvarlig for å muliggjøre en effektiv håndtering av vesentlige risikoer, og relaterte muligheter i organisasjonen og dens ulike avdelinger og segmenter;
• En ansatt med betegnelsen CRO, og/eller
• En ansatt med delegert ansvar til en CRO

• Gi CRO informasjon for å få han/henne til fullt og helt og å forstå sin rolle og ansvar for ERM
• Gi en mal for å hjelpe CRO til effektivt å ivareta rollen og ansvaret.

• Juridisk mandat
• Strategisk verdi av CRO i ERM
• ERM-arkitektur og ansvaret CRO har
• Evalueringskriterier

• Arbeid med toppledelsen for å utvikle en samlende ERM-visjon, ERM-strategi, ERM-politikk, samt risikovilje(-appetitt) og toleransenivåer for godkjenning fra toppledelsen/styret
• Å kommunisere ERM-policy, ERM-strategi og ERM-implementeringsplan til alle interessenter i organisasjonen
• Å sette opp ERM-struktur og ERM-rapporteringslinjer i organisasjonen
• Kontinuerlig drive ERM-prosessen mot beste praksis
• Å utvikle en felles risikovurderingsmetodikk som er på linje med organisasjonens mål på et strategisk, taktisk og operasjonelt nivå for godkjenning av toppledelsen/styret
• Koordinere risikovurderinger innenfor organisasjon/avdeling/divisjon/forretningsenhet på regelmessig basis
• Sensibilisere ledelsen til proaktivt å forstå behovet for å utføre risikovurderinger ved alle store forandringer, investeringer, prosjekter, organisasjonsmessige omstillinger og lignende arrangementer, og bistå med å sikre at ledsagende prosesser, spesielt rapportering gjennomføres effektivt og proaktivt
• Bistå ledelsen i utvikling og implementering av risikotiltak (treatment) for hver identifisert og vesentlig risiko
• Delta i utviklingen av en kombinert plan for overvåking og gjennomgang i organisasjonen i samarbeid med intern revisjon og ledelsen;
• Å sikre at effektive informasjonssystemer finnes for å forenkle ERM-forbedringer innenfor organisasjonen
• Kontinuerlig overføre ERM-prinsipper og praksis, gjennom trening og opplæring, til alle interessenter innen organisasjonen
• Gi råd til ledelsen/styret i utviklingen av finansieringsstrukturer for ERM

• Utføre en PEST analyse for å identifisere nye risikoer og muligheter som organisasjonen står overfor for videre handling og intervensjon
• Sortere og konsolidere resultatene av de ulike risikovurderingene innenfor organisasjonen
• Analysere resultatene av risikovurderingsprosessen for å identifisere trender innenfor risiko og kontroll, og utvikle den nødvendige nivåkontrolltiltak for å håndtere disse trendene
• Sette sammen nødvendige rapporterer til risikoledelses-utvalg/toppledelsen/styret
• Å gi innspill til utviklingen og påfølgende gjennomgang av strategien for å forebygge svindel, kontinuitetsplaner, helse, miljø og sikkerhetsretningslinjer og praksis og katastrofehåndteringsplaner.

• Kontroll og etterlevelse av krav
• Strategisk og forretningsmessig partnerrolle

CRO som modellekspert:

Generelt spiller CRO en betydelig rolle i å velge folk, prosesser og systemer som definerer omfanget av risikomålinger og kontroll i sine organisasjoner. Infrastrukturen til de fleste moderne risikoledelsesfunksjoner innholder en rekke risikomodeller, prosesser og informasjonssystemer, der utkastet krever at CRO spiller rollen som modellekspert.

CRO som strategisk overvåker:

Evolusjonen av det aggregerte synet har banet vei for CROs rolle som strategisk overvåker. Denne rollen antar at risikofunksjonen har bygget inn helhetlige og integrerte risikomodeller som tillater organisasjonen å håndtere et formelt risikojustert prestasjonsledelsessystem. Chief Risk Officer har med denne rollen autoritet over den nære integrasjonen av muligheter/trusler, prestasjonsmålinger og sikre at risikojusterte beregninger anses som pålitelige og til å stole på. CRO gir råd til toppledelsen om absolutte og relative kost-nytte prestasjoner i forskjellige forretningsmessige settinger og har innflytelse på kapital- og investeringsforpliktelser.

CRO som strategisk rådgiver:

I rollen som strategisk rådgiver hjelper CRO til med styrets synlighet og innflytelse, overveiende som et resultat av sitt grep om (fremvoksende risikoer, ikke kvantifiserbare, strategiske og operasjonelle) usikkerheter og muligheter. De bringer bedømminger inn i viktige risiko- og mulighetsbeslutninger, utfordrer antagelser/ forutsetninger som forretningsplanene bygger på, bruker tradisjonelle risiko- og mulighetskontroller og viser til begrensninger med å endre risikoprofiler i bestemte forretningssegmenter.CRO har som en strategisk rådgiver flotte muligheter til å utvikle sin egen rolle og med ”riktig” kunnskap utvikle sin rolle med å påvirke toppledelsen og styret til å fokusere mer på muligheter enn trusler.Dessuten påvirke toppledelsen og styret til å se den verdiskapning ERM-systemet representerer istedenfor å betrakte ERM først og fremst som ett pålegg om å etterleve krav.

• Modenhet i implementeringen av ERM-rammeverket
• ERM-strukturer, aktive og troverdige
• Realistisk ERM-implementeringsplan oppnådd
• Proaktiv identifisering av nye og alvorlige risikoer
• Proaktiv identifisering av nye muligheter
• Implementeringsframskritt oppnådd for programmer for å hindre tap
• Mangel på overraskelser
• Oppdatert risikoprofil for organisasjonen
• Oppdaterte handlingsplaner for alle vesentlige risikoer
• Oppdaterte handlingsplaner for alle potensielle muligheter
• Redusert avhengighet av konsulenter for tildeling av ERM-oppgaver

• ERM erfaring (minimum tre år) inklusiv evnen til å identifisere nye muligheter/trusler som organisasjonen står overfor
• Erfaring med betydelig lederansvar
• Erfaring i implementering av et ERM-rammeverk/-system og ERM-metodikk
• Erfaring i strategisk planlegging og forretningsplanlegging
• Erfaring med verktøy og teknikker for evaluering, presentasjon og vedlikehold av strategiske og operasjonelle risikoworkshops og intervjuer.

• Evnen til å tenke strategisk for å overvåke og støtte linjeledelsen i saker av betydning for organisasjonen som helhet
• Utmerket verbal, skriftlig og tilretteleggingsferdigheter sammen med velutviklede presentasjonsferdigheter
• Evnen til å organisere og motivere andre, der noen kan være i topplederstillinger. Dette inkluderer muligheten til å styre og holde møter
• Evnen til å tolke og effektivt samle betydelige mengder data og informasjon. Trekke ut de viktigste konklusjonene, for å bistå ledelsen med fullt ut å forstå risikobildet
• Evnen til å bygge effektive relasjoner med andre funksjoner som utfører ERM lignende saker, for eksempel funksjonene innenfor: Katastrofehåndtering, business continuity, helse, miljø og sikkerhet, forsikring, overholdelse av lover og regler, svindelforebygging og liknende
• Energi og driv nok til å generere verdi for organisasjonen gjennom ERM-funksjonen
• Gode datakunnskaper og evnen til å bruke ERM-programvare
• Sterke nok ledelsesmessige ferdigheter til å lede en effektiv ERM-enhet.

• God forståelse/kunnskap om governance praksis (styringspraksis), interne kontrollsystemer og evne til å overvåke ERM-aktiviteter, -programmer (og implementering av disse)
• Kunnskap om corporate governance krav (virksomhetsstyringskrav)
• Intern revisjon og overvåkingspraksis
• ERM-konsepter, -rammeverk og -metodikk (ISO 31000:2009 – ERM-ramme verk)
• Bevissthet om risikofinansiering og risikokontrollkonsepter.

• Energisk og egenmotivert
• Resultatorientert/outputorientert/”deadline” orientert;
• Lederskap
• Teamorientert
• Endringsorientert
• Beslutningstaker
• Til å stole på, selvsikker
• Presentabel, profesjonell og trygg
• Gode mellommenneskelige ferdigheter
• God kommunikator

3

En guide for rolle, ansvar og myndighet for Risk Champion

• Et eksisterende medlem av toppledelsen innen organisasjonen. Risk Champion støtter opp om ERM-prosessen i bestemte tildelte områder eller funksjoner. En Risk Champion har tilstrekkelig myndighet til å drive igjennom ERM som kreves av organisasjonens ERM-policy og ERM-strategi.

• Gi Risk Champion informasjon til fullt og helt forstå hvilken rolle og ansvar den har i ERMA
• Gi maler for å hjelpe Risk Champion til effektivt å ivareta rollen og ansvaret

• Juridiske mandat
• Strategisk verdi av Risk Champion i ERM
• ERM-arkitektur og ansvaret Risk Champion har
• Evalueringskriterier

• Ha god forståelse av ERM-konsepter, ERM-prinsipper, ERM-prosessen og ORM-prosesser.
• Ha gode analytiske evner (for å hjelpe til med analysen av de grunnleggende årsakene til risikoproblemene).
• Utvise godt lederskap og motiverende egenskaper.
• Ha gode kommunikasjonsevner.

Løsninger på konsekvenser av risikoer, både når det gjelder oppsiden (muligheter) og nedsiden (trusler) som er identifisere.

4

Guide for lederens roll, ansvar og myndighet

• Seniorledere
• Divisjonsdirektører
• Prosesseiere
• Avdelingsledere
• Enhver ansatt i lederposisjon

• Gi lederne informasjon til å forstå sin rolle, ansvar og myndighet i ERM
• Gi rettesnorer for å hjelpe lederne til effektivt ivareta rollen og ansvaret.

• Juridiske mandat
• Strategisk verdi av ledelse i ERM
• ERM-arkitektur og ansvaret lederne har
• Evalueringskriterier

• Anerkjenne «eierskap» til risikoene og mulighetene innen sine ansvars- og funksjonsområder og alle ansvarsområder knyttet til håndteringen av disse risikoene og mulighetene
• Delegere risiko- og mulighetshåndtering til de respektive funksjonelle ansvars-områder
• Gi ansatte makt og myndighet til å utøve sitt ansvar i tilstrekkelig grad, gjennom riktig kommunikasjon om ansvar, omfattende orientering og kontinuerlig muligheter for kompetanseutvikling
• Holde de ansatte ansvarlig for deres spesifikke ERM-ansvar
• Opprettholde den funksjonsmessige risikoprofil innenfor organisasjonens risikotoleranse og risikoappetitt
• Lage rapporter om de funksjonsmessige ERM-aktiviteter er i samsvar med organisasjonens rapporteringsprosedyrer (inkludert de som skal leveres til bestemte utvalg/komiteer)
• Justere de operasjonelle metodene og organisasjonens ERM-metoder, ERM-prosess og ORM-prosesser
• Implementere direktivene i lovverket vedrørende ERM
• Opprettholde et harmonisk gjensidig samarbeid med CRO og støtte CRO i saker som angår funksjoner vedrørende risikoledelse
• Opprettholde et harmonisk gjensidig samarbeid med Risk Champion og støtte Risk Champion i saker som angår funksjonens risikoledelse
• Fokusere på vesentlige risikoer og muligheter i avdelingen/funksjonen på ledermøter, og vie personlig oppmerksomhet i å overvåke håndteringen av disse risikoene og mulighetene.

• Forretningsenhetens prestasjon mot KPI for levering av tjenester og produkter, herunder sammenligning mot tidligere års ytelser
• Implementeringsnivået av ERM-rammeverket innen deres forretningsenhet

• Implementering av troverdige ERM-strukturer innen deres forretningsenhet.
• Proaktiv identifisering av nye/alvorlige risikoer for å unngå overraskelser.
• Nulltoleranse til merknader gitt av myndighetene.
• Prestasjonen på leveringen av tjenester, produkter og forbedring.
• Forbedring i forholdstall på effektiviteten av levering av tjenester og produkter.
• Prosentvis oppnåelse av KPI.
• Oppdatert risikoregistre (risikokategoriseringsmodellen).

• Oppdaterte handlingsplaner.
• Faktisk effektivitet av bekreftede kontroller.

• År-til-års reduksjon i negative hendelser/tap.
• Implementeringsframskritt som er oppnådd i programmer for å forhindre tap.
• Reduksjon i bedrageri.
• Reduksjon i aksjonærers klager.
• Oppnådde mål I forhold til nye muligheter.

5

KGuide for rolle, ansvar og myndighet for annet personell

• Ansatte innen organisasjonen som ikke har et spesielt ERM-ansvar
• Alle ansatte ved organisasjonen, inkludert generelle ansatte, interessenter og entreprenører som ikke har et spesielt ERM-ansvar.

• Gi annet personell nok informasjon slik at de fullt og helt forstår sin rolle,ansvarog myndighet innen ERM
• Gi maler for å hjelpe annet personell til effektivt å ivareta rollen og ansvaret.

• Juridiske mandat
• Strategisk verdi av annet personell i ERM
• ERM-arkitektur og ansvaret annet personell har
• Evalueringskriterier

• Kjennskap til ERM-visjon, ERM-strategi, ERM-mislighetspolicy og ERM-policy
• Handle i henhold til det som er nevnt ovenfor.
• Anvende ERM-prosessen i samsvar med sine respektive roller.
• Fokusere på å identifisere risikoer og muligheter, og å rapportere disse til relevant risikoeier. Der det er mulig og hensiktsmessig, håndtere disse risikoene og mulighetene.
• Handle innenfor risikoappetitt- og risikotoleransenivåer fastsatt av organisasjonen/ avdelingen/forretningsenheten.
• Følge de etiske retningslinjene for organisasjonen.
• Vedlikeholde fungerende kontrollmiljø, informasjon og kommunikasjon samt overvåkingssystemer innenfor sitt delegerte ansvar.
• Gi informasjon og samarbeide med andre aktører.
• Deltakelse i identifisering, analyse og evaluering (vurdering) av risikoer og muligheter innenfor sin forretningsenhet.
• Implementering av risikotiltak (risk treatment) for å håndtere de identifiserte risikoene.
• Alt personell som mistenker at en eller annen form for svindel har blitt forsøkt eller begått, rapporterer umiddelbart mistanken til sine respektive enheter.
• Dersom den ansatte ønsker å forbli anonym, kan de kontakte eksterne eller interne mislighetsenheter for å rapportere saken.

6

KGuide for rolle, ansvar og myndighet for internrevisjon

• Internrevisjonen i oganisasjonen – som er en fullt ut etablert internrevisjon innen organisasjonen;
• En samarbeidsorientert internrevisjon – der det er etablert en internrevisjon som besitter en kjernekapasitet innen organisasjonen, som blir supplert med tjenester fra en ekstern tjenesteleverandør;
• Outsourcet internrevisjonsfunksjon – der internerevisjonen i en organisasjon fullstendig er satt bort til en ekstern tjenesteleverandør;
• Felles internrevisjon – der mer enn én organisasjon, f.eks. datterselskaper deler på felles internrevisjonsressurser;

• Gi internrevisjonen informasjon for å få den til fullt og helt og å forstå sin rolle og ansvar mht. ERM;
• Gi maler for å hjelpe internrevisjonen til å effektivt ivareta rollen og ansvaret.

• Juridiske mandat
• Strategisk verdi av internrevisjonen i ERM
• ERM-arkitektur og ansvaret internrevisjonen har
• Evalueringskriterier

• Gjennomgå risikofilosofien i organisasjonen. Dette omfatter ERM-policy, ERM-strategi, forebyggingsplan vedrørende svindel, ERM-rapporteringslinjer, de verdier som er utviklet for organisasjonen;
• Gjennomgå hensiktsmessigheten av risikotoleransenivåer fastsatt av organisasjonen, ved å ta hensyn til risikoprofilen til organisasjonen;
• Gi bekreftelse på utformingen og hvordan kontrollmiljø, informasjons- og kommunikasjonssystemer og overvåkingssystemer fungerer;
• Gi bekreftelse på organisasjonens identifiserings-, analyserings- og evalueringsprosesser for risikoer og muligheter;
• Utnytting av resultatene av risikovurderingen(Risk Assessment) til å utvikle langsiktige revisjonsårsplaner for internrevisjonen;
• Gi uavhengig bekreftelse på om ERM-strategi, ERM-implementeringsplan og forebyggende plan for svindel har blitt effektivt implementert innen organisasjonen;
• Gi uavhengig bekreftelse på tilstrekkeligheten av kontrollmiljøet. Dette inkluderer å gi bekreftelse på effektiviteten av interne kontroller iverksatt for å redusere de identifisertetrusler og se om mulighetene har blitt ivaretatt.

Integrator:

Intern revisjon kan bistå med

• innsamling, analyse og syntese av relaterte ridiko- og mulighetsdata samlet inn og bearbeidet fra flere kilder på tvers av organisasjonen og
• rapportering av eksponeringer og revisjonsresultater på en aggregert organisasjons-omspennende basis.

Evaluator:

Internrevisjonen kan bruke ERM-rammeverket, f.eks ISO 31000:2009 for å vurdere håndteringen av risikoer og muligheter, enten for organisasjonen som helhet eller for en avdeling, datterselskap eller enhet. I tillegg kan internrevisjonen vurdere:

• Effektiviteten av internt og eksternt kontekst og ERM-konteksten
• Effektiviteten av vurderingsprosessen mht. risikoer og muligheter, ved å ta hensyn til elementene i ERM-rammeverket og ERM-prosessen og ORM-prosessene
• Effektiviteten av kontrollretningslinjer og prosedyrer knyttet til spesifikke risikotiltak,
• Kvaliteten og påliteligheten av informasjonen og kommunikasjonen som støtter organisasjonens valgte håndtering av risikoer og muligheter
• Effektiviteten av overvåking og gjennomgang

Ovennevnte roller er konsistente med bekreftelses og konsulentaktivitetene som The Institute of Internal Revisor (The IIA) har med i sin definisjon av internrevisjonen.

The IIA har viser til følgende synspunkt: ”Organisasjoner bør fullt ut forstå at ledelsen er ansvarlig for ERM. Interne revisorer skal gi råd og utfordre eller støtte ledelsens beslutninger, som å ta risikohåndteringsbeslutninger. Internrevisjonens ansvarsområder bør
dokumenteres i revisjonen charter og godkjennes av revisjonskomiteen.”
I samsvar med ovennevnte synspunkter, har IIA identifisert kjerneroller for internrevisjon i ERM-implementering, samt roller som ikke er egnet for internrevisjon.

• Gi bekreftelse på prosesser for håndtering av risikoer og muligheter.
• Gi bekreftelse på at risikoen og muligheten er korrekt vurdert.
• Evaluering av ERM-prosessen og ORM-prosesser.
• Vurdere rapporteringen av viktige muligheter/trusler.
• Gjennomgå håndteringen av viktige muligheter/trusler.

• Å sette risikoappetitt.
• Å godkjenne og diktere implementering av ERM-prosessen og OMR-prosesser.
• Å tillate lederrollen å gi bekreftelse på muligheter/trusler og prestasjonen av håndteringen av muligheter/trusler.
• Å treffe avgjørelser om håndtering av muligheter/trusler.
• Å implementere risikotiltak på ledelsens vegne.
• Å akseptere ansvar for ERM.

• Å tilrettelegge identifisering, analyse og evaluering av risikoer og muligheter
• Å coache ledelsen i å respondere på risikoer og muligheter
• Å koordinere ERM-aktiviteter
• Å konsolidering rapportering om risikoer og muligheter
• Å vedlikeholde og utvikle ERM-rammeverket
• Å være forkjemper for etablering av ERM
• Å utvikle ERM-strategi for styrets godkjenning

• Effektivitet, aktualitet og kvalitet på bekreftelse og anbefalinger for å forbedre ERM;
• Effektivitet, aktualitet og kvalitet på rapportering om kontrollmiljøet for vesentlige risikoer og muligheter i organisasjonen;
• Effektivitet, aktualitet og kvalitet på konsulenttjenester i forbindelse med ERM.

7

KGuide for rolle, ansvar og myndighet for ERM-utvalg (komité)

• En tilsynkomité ansvarlig overfor toppledelsen/styret for overvåking av ERM-systemet (dvs. å bistå i å utforme, implementere og koordinere ERM-initiativer). Dens basis består både av uavhengige medlemmer og ledelsen.

• Gi ERM-komitéen informasjon for å få den til fullt og helt og å forstå sin rolle og ansvar mht. ERM;
• Gi maler for å hjelpe ERM-komitéen til å effektivt ivareta rollen og ansvaret.

• Juridiske mandat
• Strategisk verdi av ERM-komitéen i ERM
• ERM-arkitektur og ansvaret ERM-komitéen har
• Evalueringskriterier

• Gjennomgå ERM-policy og ERM-strategi, å anbefale for godkjenning av toppledelsen/styret;
• Gjennomgå risikoappetitt og risikotoleranse og anbefale for godkjenning av toppledelsen/styret;
• Gjennomgå organisasjonens identifiserings, analyserings- og evalueringsmetoder for risikoer og muligheter for å oppnå betryggende bekreftelse for fullstendigheten og nøyaktigheten av risikoregisteret;
• Evaluere effektiviteten av reduseringsstrategier for å håndtere risikoene i organisasjonen;
• Rapportere til toppledelsen/styret vesentlige endringer i risikoprofilen i organisasjonen;
• Gjennomgå forebyggende arbeid vedrørende svindel/bedrageri, å anbefale for godkjenning av toppledelsen/styret;
• Vurdere effektiviteten i implementeringen av forebyggende policy for bedrageri/svindel;
• Gjennomgå vesentlige funn og anbefalinger fra bekreftelseskilder(risikorapportører) om ERM- systemet og overvåke at nødvendige tiltak er iverksatt for å løse de identifiserte svakhetene;
• Utvikle mål, målsettinger og key performance indicators(KRIer) for komiteen til godkjenning av toppledelsen/styret;
• Utvikle mål, målsettinger og key performance indicators for å måle effektiviteten av ERM-aktivitetene;
• Definere roller, ansvar og myndighet i ERM-funksjonen innen organisasjonen for godkjenning av toppledelsen/styret, og overvåkeprestasjonen til ERM-systemet;
• Sørge for riktig rapportering til rett tid til toppledelsen/styret om tilstanden til ERM-systemet, sammen med aspekter som krever forbedring ledsaget av utvalgets anbefalinger for å løse slike spørsmål.

• økonomisk-og forretningsmessig risiko;
• business continuity planer, herunder testing av katastrofegjenopprettingsplaner;
• helse, miljø og sikkerhetsplaner;
• kontrollplaner for bedrageri, og
• miljømessige planer.

• Resultatene av ERM-komitéens 360 graders vurdering;
• Prosentandel i implementeringen av ERM-rammeverket;
• Troverdighet av de implementerte ERM-strukturer.