Modul ERM-sjekkliste

 

 

ERMguiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

 

114220852422

 

 

ERM-Praksis – Andre praktiske moduler
Modul ERM-sjekkliste

 

 

chicagoCN_90895

 

 

ERM-Praksis

 

Proaktiv ERM

548_150

For mer om proaktiv risikostyring trykk linken.


ERM og organisasjonen

Drawings__26_150

For mer om ERM og organisasjonen trykk linken.


Mål og strategier

Sharp_Psyklus_snipped_150

For mer om mål og strategier trykk linken.


ERM-plan

DSC_0283_Aj_150

For mer om ERM-planen trykk linken.


ERM-kontekst

kr061008_095_150

For mer om ERMkonteksten trykk linken.


ERM-kategorier

cohdra_100_4813_150

For mer om Risikokategorier trykk linken.


ERM og overvåking

DSC_3838_150

For mer om ERM og overvåking trykk linken.


ERM og kommunikasjon

nokia_y_150

For mer om ERM og kommunikasjon trykk linken.


ERM-iverksettelsestips

GraniteCompass_022_150

For mer om ERM-iverksettelsestips trykk linken.

 

Forskjellige praktiske moduler/guider

JGS_TimeAndMoney

For mer om de forskjellige modulene trykk linken.

ERM-Praksis –
Forskjellige praktiske ERM-moduler/-guider

 

 

JGS_TimeAndMoney

_3076180 Modul Business Intelligence

100_4337_150 Modul ERM-Benchmarking

 

425_150 Modul interessentanalyse

 

114297685111_150 Modul KPIer og KRIer

 

cohdra_100_7937_150 Modul roller og ansvar

 

7-15-05_013_150Modul verktøy og teknologi

 

20060318-2_019_250 Modul ERM-sjekkliste

 

DSC03215_150 Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

ERM-Praksis – Andre praktiske moduler –
Modul ERM-sjekkliste

 

20060318-2_019_250

Innholdsfortegnelse:

 

1. Sjekkliste for å identifisere muligheter/trusler 
2. Sjekkliste og relevante spørsmål 
3. Generell sjekkliste for ledelsen
4. Sjekkliste og nøkkelspørsmål for styret og toppledelsen (S&P)
5. Sjekkliste og spørsmål til ERM-kulturen
6. Sjekkliste i etableringen av kontekstfasen
7.  Sjekkliste for den sykliske kjerneprosessen
7.1 Generel sjekkliste 7.2 Sjekklister risikoidentifiseringsfasen
7.2.1 Nøkkelstrategier for effektiv identifisering av muligheter og trusler
7.2.2 Mulige metoder for å identifisere muligheter/trusler
7.2.3 Mulige kilder til muligheter/trusler
7.2.4 Mulige områder som kan påvirkes 
7.2.5 Sjekkliste identifisering og kvantifisering 
7.3 Sjekklister analysefasen 
7.3.1 Mulige metoder for å analysere muligheter/trusler 
7.3.2 Mulige kilder til muligheter/trusler 
7.3.3 Sjekkliste analysering 
7.4 Sjekkliste evaluerings- og prioriteringsfasen 
7.4.1 Å evaluere muligheter/trusler 
7.4.2 Sjekkliste evaluering 
7.5 Sjekkliste tiltaksfasen 
7.5.1 Implementere tiltaksplaner 
7.5.2 Sjekkliste tiltak 
7.6 Sjekkliste rapporterings- og dokumenteringsfasen 
7.6.1 Forberede rapporterings- og dokumentasjonsplaner 
7.6.2 Implementere rapporterings- og dokumentasjonsplaner 
7.6.3 Sjekkliste for rapportering og dokumentasjon 
8. Sjekkliste håndterings- og overvåkingsfasen
8.1 Mulige metoder for overvåking av muligheter/trusler
8. 2 Sjekkliste for håndtering og overvåking 
9. Sjekkliste systemevaluerings og gjennomgangsfasen
9.1 Sjekkliste systemevaluering og gjennomgang 

 

 

1

Sjekkliste for å identifisere muligheter/trusler

 

1.1 Følgende nøkkelspørsmålene vil hjelpe organisasjonen med å identifisere /mulighetene/truslene:

  • Hvilke kilder er det for hver oppside/nedside risiko?
  • Når, hvor, hvorfor og hvordan oppstår oppside/nedside risikoene?
  • Hvor pålitelig er informasjonen?
  • Hvor ofte kan mulighetene/truslene oppstå?
  • Hva er konsekvensene av hver oppside/nedside risiko?
  • Hva er potensielle kostnader i tid, penger og ressurser?
  • Hvem kan bli involvert?
  • Hva er ansvarsmekanismene, internt og eksternt?
  • Hvilke kontroller eksisterer i dag for å vurdere mulighetene/truslene?
  • Er det nødvendig å undersøke spesifikke muligheter/trusler, eller søke annen og utdypende informasjon?
  • Hvordanpåvirkerendring mulighetene/truslenevi står overfor ogdenrisikoenvihar valgt åta (dette fordiendringsområdeneofte er der de største mulighetene/truslene oppstår)?
  • Hva vil organisasjonen være tilbakeholdne med å se rapportert i pressen?
  • Hvilke problemer eller tilløp har allerede skjedd med organisasjonen eller organisasjonens konkurrenter de siste årene?
  • Hvilke typer svindel og problemstillinger mht. næringslivets redelighet kan organisasjonen være spesielt utsatt for?
  • Hva er de viktigste regulatoriske og juridiske muligheter/trusler som virksomheten er utsatt for?
  • Hvilke muligheter/trusler oppstår fra organisasjonens prosesser?

 

2

Sjekkliste og relevante spørsmål

 

2.1 Identifisering av muligheter/trusler begynner med å stille de riktige spørsmålene. For eksempel:

  • Bruker organisasjonen et felles språk, eller sett av begreper, til å beskrive de ulike muligheter/trusler organisasjonen står overfor?
  • Bruker alle som har lederansvardette språket?
  • Er det effektivt i å tilrettelegge og opprettholde enløpende dialog om organisasjonens muligheter/trusler?
  • Hvordan påvirker nåværende forretningsmessige realiteter i det eksterne miljøet organisasjonens muligheter/trusler?
  • Er vår forretningsmodell effektiv i å skape og beskytte organisasjon- ens verdi? Hvordan vet organisasjonen det?
  • Overtreffer organisasjonen eller møter organisasjonen kundenes forventninger og behov? Hvordan vet organisasjonen det?
  • Har organisasjonen et forsprang på sine konkurrenter, eller har de et forsprang på organisasjonen? Opererer organisasjonen bedre, raskere og med lavere kostnader? Vinner eller taper organisasjonen markedsandeler?  Hvordan vet organisasjonen det? Handler organisasjonen i samsvar med gjeldende lover og forskrifter? Hvordan vet organisasjonen det?
  • Hva er organisasjonens viktigste muligheter/trusler?
    • Er organisasjonens muligheter/trusler skrevet ned og prioritert? Er det enighet blant toppledelsen?
    • Er organisasjonen involvert i eller opererer organisasjonen i ulike forretningsvirksomheterslik at organisasjonen muligheter/trusler bør identifiseresseparat for hver virksomhet?
    • Er det noen overordnede muligheter/trusler som erdelt og felles mellom alle forretningsenheterog geografiske områder? Burde disse mulighetene/truslene evalueres ogkoordineres for organisasjonen som helhet?
    • Er det kompliserte eller unike muligheter/trusler innen forretnings-enheter eller geografiske områder som krever spesialisertkunnskap og kompetanse for å evalueres?
      • Hvordan måler organisasjonen kvaliteten, påliteligheten og relevansen avorganisasjonens rapportering av muligheter/trusler?
  • Intern ledelsesrapportering?
  • Ekstern finansiell rapportering?
  • Er organisasjonens identifisering og prioritering av muligheter/trusler aktuell?
  • Har nye fakta og forhold dukket opp siden organisasjonensforrige vurdering?
  • Har organisasjonen i tilstrekkelig grad vurdert alle forretnings-risikoer (oppside/nedside), og ikke bare de finansielle (dvs. også strategiske-,drifts- og informasjons- muligheter/trusler)?
  • «Gjenidentifiserer» og «gjenprioriterer» organisasjonen regelmessig sine forretningsmessige oppside/nedside risikoer og holder dem oppdatert i forhold tildagens forretnings- og markedsrealiteter?

 

 

3

Generell sjekkliste for ledelsen

Denne sjekklisten identifiserer viktige spørsmål, og kan brukes til å introdusere og forbedre ERM i organisasjonen. Disse anbefaler vi å videreutvikle etter som organisasjonen høster mer og mer erfaring.

 

3.1 Nøkkelspørsmål som ledelsen bør stille

Styremedlemmer

  • Harledelseninvolvertstyrettidligistrategiutviklingsprosessen, herundernår den tarbeslutninger om åakseptereelleravvisemuligheter/trusler?
  • Harstyretforståttprioriterteforretningsrisikoer (oppside/nedside)oghvordandisseerhåndtert? Harstyretmed periodiskegjennomganger av muligheter/truslerogmulig»worst case» scenarier?Ermulighetene/truslenedokumentert? Er dettilstrekkeligtidi styremøtenetil ådiskuteredem? Erstyretfornøyd med atledelsenharpåplasseneffektivprosessfor kontinuerlig åidentifiseremuligheter/trusler, målevirkningeneogvurdererisikoreduserendekapabilitet?
  • Erstyrettilfredsmed sin overvåking avERM i organisasjonen?
    Er rapporteringen til styret tilstrekkelig?
  • Tarorganisasjonenbetydeligrisiko som styretikkeforstår? Foreksempel, hvisendriftsenhetellerproduktgruppegenerereroverlegenavkastningi forholdtilkonkurrentene, er dette etresultatavå tavesentligstørrerisikoennkonkurrentene?
  • Erstyrettilfreds med beredskapsplanene, itilfelleenkrise?

 

Toppledelsen

  • Erbådeet fellesrisikospråkogenorganisasjonsomspennendeprosess på plassfor åidentifisereogprioriteremuligheter/trusler? Er betydeligusikkerhet, ellermykeflekker,som ligger iorganisasjonensstrategierforå oppnåorganisasjonens forretningsmessigemålogresultatmålgodtforstått? Harorganisasjonenkommunisertdisseusikkerhetenetilstyret?
  • Harroller, ansvar, myndighetogansvarsområdermedhensyntilERM i organisasjonen blittavklartinternt? Eierenperson, gruppeellerenhet(risikoeierne) hverprioritertoppside/nedside risiko?
  • Ereninfrastrukturpå plassfor ågipåliteligERM-rapportering? Harorganisasjonen den nødvendige informasjonfor åovervåke risikoeiernes prestasjon angående vesentligemuligheter/trusler? Erdettilstrekkeligbekreftelse vedrørendepålitelighetenavdenneinformasjonen?
  • Hvor tryggerorganisasjonenpå atallepotensieltbetydeligeforretningsrisikoer (oppside/nedside)harblitt identifisert ogblitthåndtertavorganisasjonen? Harorganisasjonenmed jevnemellomromvurdert på nytt for åfastslåommuligheten/trusselenharendret segelleromdeternyemuligheter/trusler?

 

3.2 ERM-policy og ledere

  • Har organisasjonen en dokumentert policy for ERM, herunder mål for, og engasjement for ERM?
  • Har det blitt etablert risikohåndteringsstrategier og planer?
  • Er organisasjonens policy, strategier og planer i samsvar med ISO 31000:2009 og tas det hensyn til denne standarden?
  • Har ERM støtte fra administrerende direktør og toppledelsen?
  • Finnes det en ERM-komite på seniornivå? Alternativt, blir ERM-saker diskutert som et vanlig dagsordenpunkt på organisasjonens ledermøter?
  • Finnes det en godkjent «mester/champion» (eller team) på overordnet nivå for å støtte opp om ERM?
  • Er det et opplærings-, utdannings- eller briefing program for å utvikle en ERM-filosofi på alle ledelsesnivåer?

3.3 Planlegging, forskning og evaluering

  • I utviklingen av sine ERM-planer, har organisasjonen tatt hensyn til sine politiske, sosiale, økonomiske, juridiske, teknologiske og fysiske miljøer, inkludert slike interessenter som statsråder og kunder?
  • Har organisasjonen etablert risikokriterier, f.eks. risikoer som den er rede til å akseptere ut ifra ulike aspekter av sine omgivelser? Er risiko- kriteriene dokumentert?
  • Har organisasjonen systematisk identifisert hele spekteret av muligheter/trusler den står overfor, og kildene og konsekvenser av disse risikoene? Har dette blitt dokumentert?
  • Har organisasjonen identifisert mulighetene som følge av identifiseringen?
  • Har organisasjonen analysert sannsynligheten og konsekvensen av hver risiko? Er dette dokumentert?
  • Der hvor risikoer har blitt identifisert, men vurdert som akseptabel, har begrunnelsen vært dokumentert?
  • Har uakseptable risikoer blitt oppført i prioritert rekkefølge etter sannsynlighet og konsekvens?
  • Har organisasjonen vurdert hele spekteret av alternativer for håndtering av uakseptable risikoer?
  • Har organisasjonen utviklet tiltaksplaner som dokumenterer hvordan de valgte alternativene vil bli gjennomført, ansvar, tidsplaner, utfall, budsjettering, prestasjonsmålinger og utredningsprosessen? Dekker disse planene risikoen ved hver beslutning, prosjekt eller team?
  • Er organisasjonens ERM-plan og ORM-planer knyttet til bedriftens strategiske plan?

3.4 Implementering og overvåking

  • Har organisasjonen et effektivt kritisk hendelses-, eksponerings-, ulykkes- og skaderapporteringssystem, herunder undersøkelser av viktige hendelser, eksponeringer, ulykker og skader?
  • Har tiltaksplanene blitt implementert effektivt og som planlagt?
  • Har organisasjonen et ERM-system?
  • Er gjennomføringen av håndteringen av muligheter/trusler rapportert til ledelsen for gjennomgang?
  • Har organisasjonen dokumentert sin ERM-praksis?
  • Har organisasjonen effektive prosesser og mekanismer på plass for å sikre løpende gjennomgang av ERM-implementeringen?
  • Tar den interne gjennomgangen og evalueringsprosesser, herunder medarbeidersamtaler og interne revisjoner, hensyn til organisasjonens ERM-filosofi ved vurdering av prestasjon?
  • Overvåker organisasjonen jevnlig muligheter/truslerr og effektiviteten av planer, strategier og håndterings- og overvåkingssystemer?

3.5 Menneskelige ressurser og kompetanse

  • Har ansvar blitt etablert og kommunisert på alle nivåer i organisasjonen for håndtering av muligheter/trusler?
  • Er det forlangt av ledere at de formelt må erkjenne sitt ansvar med å handle i overensstemmelse med ERM-policyer og prosedyrer, herunder dokumentere etterlevelse?
  • Er ledere kompetente til å håndtere muligheter/trusler effektivt?
  • Inkluderer organisasjonen i jobbbeskrivelser og systemer for belønninger til ansatte, anerkjennelsen og sanksjoner ERM?
  • Har organisasjonen kunnskap og ferdigheter for å håndtere muligheter/trusler? Hvis ikke, hvilke strategier er på plass (inkludert utdanning og opplæring)?
  • Er det gitt tilstrekkelig støtte og kompetanse til de som er ansvarlige for å håndtere muligheter/trusler (f.eks. en Chief Risk Officer)?

 

3.6 Spørsmål spesielt for det offentlige

  • Har risikoer som bæres av eller involverer en rekke offentlige instanser vært identifisert? Har håndteringen av disse mulighetene/truslene vært koordinert på tvers av relevante etater?
  • Har muligheter for å oppnå besparelser av tverretatlig samarbeid (f.eks. kostnadsdeling) vært identifisert og gjennomført gjennom ERM?
  • Har tverretatlig strategier for håndtering av muligheter/trusler blitt evaluert?
  • Er organisasjonens håndtering av mulighets-/trusselstilnærming i samsvar med spørsmål knyttet til statlig offentlig sektor, herunder corporate governance og ansvarlighet til både statsråder og sentrale interessenter?

 

4

Sjekkliste og nøkkelspørsmål for styret og toppledeldsen (S&P)

 

4.1 Nøkkelspørsmål for styret:

 

  • Harledelsenrapporterttilstyretom statusfororganisasjonensERM-prosess ved å benytte gjeldenderatingbyråersevalueringskriterier? Foreksempel:
  • Fungerer organisasjonens ERM-kultur og styresett effektivt? Er det tilstrekkelig klarhet rundt roller, ansvar og ansvarsområder for de som er ansvarlige for håndtering av muligheter/trusler, og er de plassert hensiktsmessig i organisasjonen for å influere på organisasjonens beslutningsprosesser?
  • Dekker ERM-policyen og ORM-policyene slike faktorer som risiko-
    toleranse, organisasjonens interne og eksterne rapportering, og prosesser, personell og teknologi for vurdering av kritiske finansielle og ikke finansielle muligheter/trusler? Støtter ERM-infrastruktur opp om kommunikasjonen om muligheter/trusler på alle nivåer?
  • Er ERM effektivt integrert med strategisetting og forretnings-planlegging?
  • Gir ERM-metodikken hensiktsmessige målinger/beregninger for vurdering og kvantifisering av betydelige målbare muligheter/trusler og innlemmes muligheter/trusler i organisasjonens beslutnings-prosesser?

4.2 Nøkkelspørsmål for toppledelsen:

  • HarorganisasjonenselvvurdertorganisasjonensERM-kvalitet ved å benytte gjeldenderatingbyråerskriterier(eks. S&P’skomponenter) for åavklare omeventuellegapeksisterer? Hvisgaplfinnes, harorganisasjonenutvikletenhandlingsplan for åforbedreevnen til håndtering av muligheter/truslerregelmessig?
  • Vetorganisasjonenhvaorganisasjonensprioriterte muligheter/trusler er? Harorganisasjonensammenliknetlistenovermuligheter/ truslermotde viktigste som S&P har identifisert forbransjen? Harorganisasjonenvurdertnyemuligheter/truslerogorganisasjonensevnetil å unngåtaputoveretablertetoleranser?
  • Harorganisasjonenvurdertbådedesignogdriftseffektivitetenavpolicyer, infrastrukturogmetodikksom er basisen forERM-prosessen? Hvis ja, harorganisasjonendeltresultatenemedstyret?
  • Medhensyntilprioritertemuligheter/trusler, erde eidavnoenellerenkomité, funksjonellerenhet som har myndighettil åopptremedklartansvarforresultater? Erdisse mulighetene/truslene håndtertmotetablerte risikotoleransermeddenhensiktå redusere eksponeringen foruventedetap?

 

5

Sjekkliste og spørsmål til ERM-kulturen

Etter finanskrisen stiller S & P (ratingbyrået Standard & Poor) spørsmål om ERM i forhold til ERM- kultur og strategisk risikohåndtering. Disse spørsmålene utformes slik at S & P får utviklet bransje benchmarks. Se forøvrig enhet 3.7 (S & P) i Guide A.

 

5.1 På ERM-kulturområdet, fokuserer S & P sine analytikere på:

  • ERM-rammeverk/-system) eller strukturer som er i bruk i dag.
  • Rollene til ansatte som er ansvarlige for å håndtere og rapportere muligheter/trusler.
  • Intern og ekstern ERM-kommunikasjon og konsultasjon.
  • Generelle policyer og målinger/beregninger for vellykket ERM.
  • Innflytelsen av ERM på budsjettering og lederlønninger.

 

5.2 S & P spør f.eks. slike spørsmål i forbindelse med ERM:

  • Harorganisasjonenet ERM-program (en ERM-plan)?
  • Erdeten erklæringomrisikoviljeog/ellertoleranse?
  • Hvilkeansatte eransvarlige?
  • Hvaerrapporteringsrelasjonene?
  • Hvilkerapporterersettavtopplederen/revisjonskomité/styret?
  • Hvordanmålerorganisasjonen ERM-programmets suksess?
  • HvordanerERMintegrerti resultaterogbudsjettprosessen?
  • Hvordan virker risikorelaterte målinger/beregninger inn på ledelsens belønning?

 

 

 

6

Sjekkliste i etableringen av kontekstfasen

 

6.1 Viktige spørsmål i etableringen av kontekst

  • Hva er ERM-policyen, ERM-funksjon, ERM-prosess eller ERM-aktivitet?
  • Hva er kontekstens styrker og svakheter?
  • Hva er de viktigste utfallene som forventes?
  • Hva er de viktigste muligheter/trusler som organisasjonen står overfor?
  • Hvem er interessentene, både de eksterne og de interne?
  • Hvordan er organisasjonen ansvarlig overfor interessentene?
  • Hva er de vesentlige faktorene i organisasjonens indre og ytre miljø?
  • Hvilke muligheter/trusler har blitt identifisert i tidligere gjennomganger?
  • Hvilke kriterier for risiko bør etableres?

 

7

Sjekkliste for den sykliske kjerneprosessen

7.1 Generelt 

 

7.2 Risikoidentifiseringsfasen

 

7.2.1 Nøkkelstrategier for effektiv identifisering av muligheter og trusler

Dette trinnet krever identifisering av muligheter/trusler som ikke kun oppstår fra det ytre miljøet men også fra interne kilder. Uidentifiserte muligheter/trusler kan utgjøre en stor risiko for organisasjonen. Det er derfor viktig å sikre at hele spekteret av muligheter/trusler er identifisert.

 

Viktige strategier for effektiv identifisering er som følger.

  1. Organisasjonen bør undersøke alle kilder til oppside/nedside risiko ut ifra perspektivet til alle interessenter, eksterne og interne. Ved å identifisere hver kilde kan organisasjonen vurdere bidraget som hver av dem gjør i forhold til sannsynligheten og konsekvensene av risiko.
  2. Organisasjonen bør fokusere på nye prosjekter og på områder i endring. Identifiser og undersøk eksterne og/eller interne risikoer som ikke kan forsikres. Dette ville hjelpe med å identifisere risikoer som enten er nye eller ikke har vært tidligere identifisert og eventuelle muligheter som kan utvikles ut i fra dette.
  3. Organisasjonen bør skaffe seg tilgang til god kvalitetsinformasjon for å identifisere muligheter/trusler og forstå deres sannsynlighet og konsekvens. Informasjonen bør være så relevant, omfattende, presis og tidsriktig som ressursene tillater. Eksisterendeinformasjonsressurser bør brukes og, om nødvendig bør ny informasjon utvikles.
  4. Organisasjonen bør forsikre seg om at ledere og ansatte som identifiserer mulighetene/truslene er kunnskapsrike om policy, prosjekt, funksjon eller aktivitet som er til vurdering/gjennomgang. Det kan være nødvendig å trekke inn erfaring, kunnskap og kompetanseutenfra, så vel som internt i organisasjonen.

7.2.2 Mulige metoder for å identifisere muligheter/trusler

  • Intervju/fokusgruppediskusjon.
  • Revisjon eller fysiske inspeksjoner.
  • Brainstorming.
  • Undersøkelse, spørreskjema, delphi teknikken.
  • Undersøkelse av erfaringer/praksis internt og eksternt.
  • Sjekklister.
  • Gap analyser.
  • PEST analyse (politikk, økonomi, sosialt, teknologisk).
  • Vurderingsworkshoper.
  • Nettverk med konkurrenter, bransjer og bransjeorganisasjoner historie, feilanalyser.
  • Undersøkelse av personlig erfaring eller tidligere organisasjonserfaringer.
  • Forretningsundersøkelser som ser på hver forretningsprosess og beskrive både interne prosesser og eksterne faktorer som kan påvirke disse prosess-ene.
  • Hendelse, ulykke og skade undersøkelse og etterforskning.
  • Bransje Benchmarking.
  • Databank av risikohendelser som har inntruffet.
  • Scenario analyse.
  • Beslutningstrær.
  • Styrker, svakheter, muligheter, trusler (SWOT-analyse).
  • Flow kartlegging, system design vurderinger/gjennomgang, systemanalyse, systems engineering teknikker.
  • Prosjektstruktur analyse (analyse av arbeidsskritt).
  • Operasjonell modellering.

 

7.2.3    Mulige kilder til muligheter/trusler

 

  • Nye aktiviteter og tjenester.
  • Disponering eller opphør av virksomheten.
  • Outsourcing.
  • Kommersielle/legale.
  • Økonomiske.
  • Sosio-politiske.
  • Nasjonale og internasjonale hendelser.
  • Personell/menneskelig atferd.
  • Atferden til entreprenører/private leverandører.
  • Finansielle/finansmarkedet.
  • Ledelsesaktiviteter og kontroll.
  • Feilinformasjon.
  • Teknologi/tekniske.
  • Operative (selve aktiviteten).
  • Forretningsavbrudd/-avbrytelser.
  • Helse, miljø og sikkerhet.
  • Eiendom/eiendeler.
  • Sikkerhet (inkludert tyveri/svindel/etterligning).
  • Naturlige hendelser.
  • Offentlige/profesjonelle/produktansvar.

 

7.2.4 Mulige områder som kan påvirkes

En risikoidentifisering bør konsentrere seg om alle vesentlige mulige områder av betydning relevante for organisasjonen eller aktivitet, og kan omfatte:

 

  • Eiendeler og ressurser, inkludert menneskelige, fysiske, økonomiske, tekniske og informasjon.
  • Kostnader, både direkte (herunder budsjett virkninger) og indirekte
  • Personer.
  • Samfunnsgrupper.
  • Offentlige instanser.
  • Utførelse av aktiviteter (hvor godt aktiviteten utføres).
  • Aktualitet av aktiviteter, inkludert starttid, nedstrøms eller oppfølging konsekvenser.
  • Organisatorisk atferd.
  • Endringer i organisasjonens roller.
  • Miljø.
  • Immaterielle eiendeler.

 

 

 

7.2.5    Sjekkliste identifisering og kvantifisering

Viktige spørsmål ved identifisering av oppside/nedside risiko

  • Hva, når, hvor, hvorfor og hvordan er det sannsynlig at muligheter/ trusler oppstår, og hvem kan bli involvert?
  • Hva er kilden til hver mulighet/trussel?
  • Hva er konsekvensene av hver mulighet/trussel?
  • Hvilke kontroller finnes i dag for å redusere hver nedside risiko?
  • Hvilke alternative, egnede kontroller er tilgjengelige?
  • Hvilke forpliktelser har organisasjonen – eksterne og interne?
  • Hva er behovet for undersøkelser av spesifikke muligheter/trusler?
  • Hva er omfanget av disse undersøkelsene, og hvilke ressurser kreves?
  • Hvordan er påliteligheten av informasjonen?
  • Er det rom for sammenligning med andre beste praksis organisasjoner?

 

7.3    Analyse

 

7.3.1    Mulige metoder for å analysere muligheter/trusler

Det er tre kategorier av metoder brukt for å bestemme nivået på oppside/nedside risiko: kvalitative, semikvantitative og kvantitative. Hvis informasjonen kan brukes til å kvantifisere sannsynligheten for og oppstått og konsekvenser, er kvantitative prosesser å foretrekke fordi vurdering, intuisjon og ikke-kvantitative erfaring har vist seg å være mindre pålitelige, spesielt i analysen av sannsynligheten. Siden noen av anslagene gjort i kvantitativ analyse er upresise, bør en sensitivitetsanalyse utføres for å teste effekten av endringer i forutsetninger og data.

 

Semi-kvantitative tilnærminger tildeler nummer til kvalitative ord rangeringer som høy, middels eller lav, eller til mer detaljerte beskrivelser for sannsynlighet og konsekvens. Disse rangeringer vises mot en hensiktsmessig numerisk skala for å beregne nivået påoppside/nedside risiko. Informasjon kan da bli bearbeidet for analyse ved bruk av kvantitative metoder. Hvis organisasjonen bruker en semi-kvantitativ tilnærming, er det viktig ikke å tolke resultatene til et finere nivå av presisjon enn det som faktisk finnes i den opprinneligeord rangeringen. Det bør ikke gis inntrykk av presisjon på tall, der disse ikke finnes.

 

Tilnærmingen som er mest brukt, tender til å være kvalitativ, spesielt i offentlig sektor der spørsmål om ansvarlighet og påvirkning på samfunnet er svært relevant. Men den er generelt umulig eller for dyr. Beslutninger blir derfor gjort på bakgrunn av lederes erfaring,dømmekraft og intuisjon. Detaljer om en bestemt metode ses nedenfor.

 

Kvalitativ analyse er brukt:

  • Som en innledende screening aktivitet for å identifisere muligheter/trusler som krever mer detaljert analyse.
  • Der nivået på oppside/nedside risiko ikke rettferdiggjør den tid og krefter
    som er nødvendig for en fyldigere analyse,
  • Der numeriske data er utilstrekkelig for en kvantitativ analyse.

 

Kvalitative metoder er:

  • Kvalitativ kartlegging.
  • Brainstorming
  • Strukturerte intervjuer/spørreskjemaer.
  • Evaluering ved hjelp av tverrfaglig grupper.
  • Spesialist og ekspert vurdering, Delphi teknikken.
  • Benchmarking.
  • Diskusjon eller vurdering sammen med andre ansatte (workshop).
  • Strukturerte intervjuer med eksperter på området av interesse.
  • Nettverksbygging med bransjen og profesjonelle
    foreninger.

 

Semikvantitative analyserI semi-kvantitative analyser, blir kvalitative skalaer som de som beskrives ovenfor gitt verdier. Antallet som fordeles på hver beskrivelse behøver ikke å bære et nøyaktig forhold til den faktiske størrelsen på konsekvenser eller sannsynlighet. Tallene kan kombineres med noen av en rekke formler forutsatt at systemet brukes til prioritering samsvarer med systemet valgt for tildeling av numre og kombinere dem. Målet er å produsere en mer detaljert prioritering enn det som normalt oppnås i kvalitativ analyse, ikke å foreslå noen realistisk verdier foroppside/nedside risiko som er forsøkt i kvantitativ analyse.Det må ved bruk av semi-kvantitativ analyse tas hensyn at de valgte tallene kanskje ikke riktig gjenspeile relasjonstallene noe som kan føre til inkonsistente resultater. Semi-kvantitativ analyse kan ikke differensiere skikkelig mellom oppside/nedside risiko, spesielt når entenkonsekvenser, eller sannsynligvis er ekstreme.

 

Noen ganger er det hensiktsmessig å vurdere sannsynligheten for å være sammensatt av to elementer, vanligvis omtalt som hyppighet av eksponering og sannsynlighet.

 

Frekvens av eksponering er i hvilken grad en kilde til oppside/nedside risiko finnes, og sannsynlighet er sjansen for at når kilden til oppside/nedside risiko finnes, vil konsekvenser følge. Forsiktighet må utvises i situasjoner der forholdet mellom de to elementene ikke er helt uavhengige, dvs. hvor deter en sterk sammenheng mellom hyppighet av eksponering og sannsynlighet. Denne tilnærmingen kan brukes i semi-kvantitative og kvantitative analyse.

 

Kvantitativ analyse

 

Kvantitativ analyse bruker numeriske verdier (istedenfor beskrivende skalaer som brukes i kvalitative og semi-kvantitativ analyse) for både konsekvenser og sannsynligheten ved å bruke data fra en rekke kilder.  Kvaliteten på analysen avhenger av nøyaktighet og fullstendigheten av numeriskeverdier som benyttes.

 

Konsekvenser kan estimeres ved å modellere resultatene av en hendelse eller ett sett av hendelser, eller ved ekstrapolering fra eksperimentelle studier eller tidligere data. Konsekvenser kan uttrykkes i form av penge, tekniske eller menneskelige kriterier, eller noen andre kriterier.. I noen tilfellerkreves mer enn en numerisk verdi for å angi konsekvenser for ulike tider, steder, grupper eller situasjoner.

 

Sannsynligheten er vanligvis uttrykt som enten en sannsynlighet, en frekvens, eller en kombinasjon av eksponering og sannsynlighet. Måten sannsynlighet og konsekvens er uttrykt på og måtene de er kombinert, for å gi et nivå av oppside/nedside risiko vil variere i henhold til type oppside/nedside risiko og i hvilken sammenheng nivået på risiko skal brukes.

 

Kvantitative metoder er:

  • Sannsynlighetsanalyser.
  • Konsekvensanalyser.
  • Simulering/datamodellering.
  • Statistiske/numeriske analyser.
  • Nettverksanalyser.
  • Levetidskostnadsanalyser.
  • Beslutningstrær.
  • Feiltre og hendelsestre analyser.
  • Inflytelsesdiagrammer.
  • Bruk av grupper og eksperter som er satt sammen av et bredt spekter av funksjoner, avdelinger.

 

En annen måte å dele inn metodene for å analysere risikoer og muligheter på er å dele inn i

  • Oppside risiko (mulighet).
  • Begge (oppside/nedside risiko).
  • Nedside risiko (trussel).

 

Metoder for oppside risiko (mulighet)

  • Markedsundersøkelse.
  • Prospecting.
  • Test marketing.
  • Forskning og utvikling.
  • Forretnings konsekvensanalyse.

 

Metoder for begge

  • Avhengighetsmodellering.
  • SWOT-analyse (Styrker, Svakheter, Muligheter, Trusler).
  • Hendelsestre analyse.
  • Business kontinuitetsplanlegging.
  • BPEST (Business, Politisk, Økonomiske, Sosial, Teknologisk) analyse.
  • Real Option Modellering.
  • Beslutning tatt under forhold med risiko og usikkerhet.
  • Statistisk inferens.
  • PESTLE (Politisk. Economic (økonomisk). Sosiale, Teknisk. Legal (juridisk). Environmental (miljø)).

 

Metoder for nedside risiko (trussel)

  • Trussel analyse.
  • Feiltre analyse.
  • FMEA (Failure Mode og Effekt Analyse).

 

 

7.3.2    Mulige kilder til muligheter/trusler

 

7.3.2    Mulige kilder til muligheter/trusler

  • Tidligere dokumentasjon, inkludert etterforskningsrapporter.
  • Relevant erfaring.
  • Bransje praksis og erfaring.
  • Relevant offentlig litteratur.
  • Pilotprosjekter, eksperimenter og prototyper.
  • Test markedsføring og markedsundersøkelser.
  • Økonomiske, tekniske eller andre modeller.
  • Spesialist og ekspertvurderinger.

 

7.3.3    Sjekkliste analysering

Viktige spørsmål ved analysering av oppside/nedside risiko

  • Har organisasjonen vurdert sannsynligheten for de muligheter/trusler som oppstår?
  • Har organisasjonen vurdert potensielle konsekvenser av muligheter/trusler som oppstår?
  • Har organisasjonen kvantifisert de muligheter/trusler som oppstår?
  • For hver risiko som har blitt vurdert som høy er det her også skrevet spesifikt en skriftlig vurdering av disse?
  • Har spesifikke muligheter/trusler blitt organisert i kategorier som støtter opp om analysen av sannsynlighet, konsekvens og utvikling av tiltak?
  • Har mulighetene/truslene blitt vurdert for å bestemme hvilke som krever videre analyser?
  • Har risikonivået (= sannsynlighet x konsekvens) blitt kalkulert for hver oppside/nedside risiko?
  • Har CRO og risikorapportørene vurdert og integrert kommentarene fra interessegruppene/samarbeidspartnerne i workshopen?
  • Hersker det tilstrekkelig forpliktelse på alle nivåer til prosessen med å analysere mulighetene/truslene?
  • Er prosessen med å analysere mulighetene/truslene fleksible nok til å være i stand til å respondere på hurtige forandringer?  F.eks. IT løsninger som utvikles for raskt og som ikke er modne.
  • Har organisasjon tilstrekkelig kunnskap, og besitter den de nødvendige ferdigheter for å gjennomføre de nødvendige analyser som er aktuelle?

 

7.4       Evaluering og prioritering

 

 

 

7.4.1    Å evaluere muligheter/trusler

“Risk evaluation involves comparing the level of risk found during the analy-sis process with previously established risk criteria. Risk analysis and the criteria against which risks are compared in risk evaluation should be considered on the same basis. Thus qualitative evaluation involves comparison of a qualitative level of risk against qualitative criteria, and quantitative evaluation involves comparison of numerical levels of risk against criteria which may be expressed as a specific number, such as fatality, frequency or monetary value. The output of a risk evaluation is a prioritised list of risks for further action.”

Source: AS/NZS 

 

Fritt oversatt der mulighetene også er tatt med 

«Evaluering av muligheter/trusler innebærer å sammenligne nivået på muligheter/trusler funnet under analyseprosessen med tidligere etablert kriterier for oppside/nedside risikoer. Analyse og kriterier som muligheter/ trusler blir sammenlignet mot i evalueringen bør vurderes på samme grunnlag. Dermed vil en kvalitativ evaluering innebære sammenligning av en kvalitativ oppside/nedside risiko mot kvalitative kriterier, og kvantitativ evaluering involverer sammenligningav numeriske nivåer av oppside/ nedside risiko mot kriterier som kan uttrykkessom et spesifikt nummer, slik som dødsfall, frekvens eller pengeverdien.Resultatet av en evaluering av risiko er en prioritert liste over muligheter/truslerfor videre oppfølging. «

Kilde: AS/NZ

 

7.4.2    Sjekkliste evaluering

Viktige spørsmål ved evaluering og prioritering av oppside/nedside risiko

  • Har følgende interessegrupper blitt involvert når organisasjonen står ovenfor å evaluere muligheter/trusler?
    • Kunde
    • Leverandør
    • Bransje
    • Finansielle institusjoner
    • Andre (spesifiser)
  • Finner organisasjonen det vanskelig å prioritere sine viktigste muligheter/trusler?
  • Hersker det enighet om nivået på evalueringsanalysene som kreves for å støtte opp om beslutningsprosessen?
  • Er det en korrelasjon mellom tidsbruken, anstrengelser og kostnader brukt på å identifisere, analysere og evaluere oppside/nedside risikoer til vanskelighetene med å ta beslutninger, og finansieringen av tiltak?
  • Er nivået på evalueringsanalysene, der det er mulig, i overensstemmelse med nivået på risikoer? eks. blir ofte detaljerte vurderinger av sannsynligheter gjennomført for trusler som en vet har liten eller ingen innvirkning.
  • Blir det tatt en konsekvent tilnærming for å vurdere potensiell konsekvens og sannsynlighet?
  • Er det god forståelse om relasjonen mellom potensiell konsekvens og sannsynlighet for at muligheten/trusselen inntreffer?
  • Er den informasjonen om muligheter/trusler som kreves kommunisert effektivt for å støtte opp om den nødvendige beslutningsprosessen på en tidsmessig og kostnadseffektiv måte?
  • Er det en klar forståelse av forskjellen mellom et problem i håndteringsprosessen og vurderingsprosessen (identifisering, analysering og evaluering) og sikring av en fornuftig måte å transferere fra den ene til den andre?
  • Er det en forståelse og forpliktelse angående nivået for akseptabel risiko, dvs. risikotoleranse og villighet til å ta på seg risiko, og egnetheten til å kommunisere dette? Reflekterer dette potensielle fordeler?
  • Har organisasjon tilstrekkelig kunnskap, og besitter den de nødvendige ferdigheter for å gjennomføre de nødvendige evalueringsanalyser som er aktuelle?
  • Har det vært fokusert ekstra på muligheter/trusler pga. kommersielle, politiske eller individuelle grunner?
  • Hersker det tilstrekkelig forpliktelse på alle nivåer til prosessen med å evaluere og prioritere mulighetene/truslene?
  • Er prosessen med å evaluere og prioritere mulighetene/truslene fleksible nok til å være i stand til å respondere på hurtige forandringer? eks. IT løsninger som utvikles for raskt og som ikke er modne.
  • Er oppside/nedside risiko prioritert etter viktighet, og konsensus oppnådd i en workshop?
  • Hvis dette er tilfelle, er det tatt hensyn til:
    • Finansiell konsekvens.
    • Sannsynligheten for å inntreffe?
    • Konsekvensene hvis hendelsen inntreffer?
    • Timing” virkning (umiddelbart, på mellomlang eller lengre sikt)?
    • Potensiell verdi (pengemessig eller ikke pengemessig)?
    • (Alt dette bør vurderes før tiltak settes inn.)
  • Har samarbeidspartnere/interessegrupper blitt involvert for å kommentere listen?
  • Har organisasjonen prioritert sine viktigste oppside/nedside risikoer på strategisk nivå?
  • Prioriterer og måler organisasjonen sine oppside/nedside risikoer mht:
    • Finansiell konsekvens.
    • Konsekvens på image og rykte.
    • Sannsynlighet for å inntreffe.
    • Oppnåelse av målsetting

 

7.5 Tiltak

7.5.4 Implementere tiltaksplaner

 

Ansvar for tiltak skal bæres av de som er best i stand til å håndtere muligheter/ trusler. Den vellykkete implementering av tiltaksplanen krever et effektivt håndteringssystem som angir metodevalg, tildeler ansvar og individuelle ansvarsområder for handlinger, og skjermer dem mot angitte kriterier.

 

7.5.1    Sjekkliste tiltak

Viktige spørsmål ved tiltak for oppside/nedside risiko 

  • Hvilke prosesser og kontroller eksisterer, eller er nødvendig, for å minimere risikoen og maksimere muligheten?
  • Hvilke prestasjonsindikatorer eksisterer, eller er nødvendige, for å overvåke nivået på risikoen, utførelsen av kontrolltiltak og risikohåndtering?
  • Hvem har ansvar for å iverksette planen for håndtering av risikoer (oppside/nedside)?
  • Hvilke ressurser er nødvendige (penger, mennesker, informasjon, teknologi)?
  • Har det blitt utført en kost-nytte-analyse med hensyn til risikotiltaksplaner?
  • Hvilken jobbutforming og arbeidsorganisering er hensiktsmessige for ansatte som håndterer muligheter/trusler?

7.6 Rapportering og dokumentering

 

 

7.6.1 Forberede rapporterings- og dokumentasjonsplaner

 

Dokumentering av ERM er avgjørende for håndtering av muligheter/trusler og for å møte relaterte ansvarlighetskrav. Det bør være prosedyrer på plass for den periodiske ERM-prosessen (identifisering, analysering, evaluering, tiltak og rapportering) av muligheter/trusler forbundet med driften av avdelingen eller til lovbestemte myndigheter, sammen med passende overvåking og håndtering og praksis.

 

Organisasjoner bør opprettholde et passende nivå og standard for dokumentasjon som del av prosessen med å:

  • Kommunisere policy forventninger.
  • Gi riktig forståelse av ERM-prosessen og relevant input for opplæring.
  • Sikre at prosessen blir gjort riktig.
  • Gjøre det mulig å ta beslutninger, gjennomgå prosesser og handlingsplaner.
  • Vise ansvarlighet og gi en revisjonslog.
  • Oppfylle eksterne krav.
  • Oppfylle interne krav.

 

 

Dokumentasjon for håndtering av muligheter/trusler bør ikke pålegge organisasjonen et annet lag med papirarbeid for organisasjonen. Beslutninger og prosesser som involverer ERM bør dokumenteres i den grad det er hensiktsmessig under omstendighetene, men ikke noe mer.

 

7.6.2 Implementere rapporterings- og dokumentasjonsplaner

 

Hvor organisasjon bør inkluderer ERM i sine strategisk og operativ planlegging, ERM-planer kan integreres i eksisterende plan-og rammeverk.

Notatene nedenfor gir en trinn-for-trinn beskrivelse av dokumentasjonen som følge av ERM-prosessen.

 

 

 

Dokumentasjonen oppsummerer et foreslått spekter av dokumentasjonen.Trinn 1: Opprette kontekstFor en større gjennomgang, bør dette trinnet dokumenteres for å vise at hele spekteret av miljø-og kontekstuelle faktorer har vært vurdert, for å sikre en konsekvent vurdering av muligheter/trusler ved hjelp av etablerte risikokriterier, og for å opprettholde profilen tilinteressenter og spørsmål om ansvarlighet. Dokumentasjonen skal identifisere funksjonen, tiltenkt utfall, relevant interessenter, faktorer i interne og eksterne miljø, kriterier for risiko, og nivået på dokumentasjon som kreves i senere stadier. For en aktivitet på et lavt nivå, kan det være hensiktsmessig med en kort oversikt over analysen. 

Trinn 2: Identifiser muligheter/trusler

List opp hver mulighet/trussel og identifiser kilden og konsekvenser. Klassifiser muligheter/trusler under funksjonelle grupper der det er hensiktsmessig. Identifiser hver kontroll prosess. Identifiser områder for videre undersøkelse om nødvendig. Vi mener at vår risikokategoriseringsmodell (risikoregister) er et nyttig verktøy for å utføre dette og de påfølgende trinnene, særlig i store og komplekse organisasjoner.

 

Trinn 3: Analyse av muligheter/trusler

Dokumenter begrunnelsen for utelukkelse av svært lave muligheter/trusler. For alle andre muligheter/trusler, dokumenter eksisterende kontroller, sannsynligheten for forekomst med eller uten kontroll, alvorlighetsgraden av konsekvensene med eller uten kontroll, og nivået på resultatet.Dokumentasjonen skal også forklare metoden som brukes i analysen.

 

Trinn 4: Evaluere og prioriter mulighetene/truslene

List opp akseptabel risiko og begrunn hvorfor de anses akseptable. List opp uaksep-tabel risiko i prioritert rekkefølge og de muligheter som her kan utledes.

 

Trinn 5: Tiltak muligheter/trusler

Dokumenter en liste over mulige alternativer for tiltak, handlingsplan for implementer-ing av tiltak og nivået på gjenværende risiko.

 

Trinn 6: Rapportering og dokumentasjon av muligheter/trusler

Dokumenter hvilke standardiserte dokumenter for ERM organisasjonen trenger internt og eksternt.

 

Trinn 7: Overvåking og håndtering

Dokumenter implementeringsovervåkings- og håndteringsplanen.

7.6.3 Sjekkliste for rapportering og dokumentasjon

 

Dokumentasjon bør inneholde følgende.

 

Organisasjonens ERM-policy:

  • Målsettingene i ERM-policyen og begrunnelsen for ERM.
  • Koblingene mellom policyen og organisasjonens strategiske/ forretningsmessige plan.
  • Omfanget eller utvalg av saker som gjelder policyen.
  • Veiledning om hva som kan anses som akseptabel risiko.
  • Hvem som er ansvarlig for å håndtere muligheter/trusler.
  • Støtte/erfaring til hjelp for de som er ansvarlige for å håndtere muligheter/trusler.
  • Nivået på dokumentasjonen som kreves.
  • Plan for gjennomgang av organisasjonens prestasjon i forhold til policyen.

 

Risikokategoriseringsmodellen (hos andre kalt risikoregister)

, som skal registrere for hver oppside/nedside risiko som er identifisert:

  • Kilden til risiko.
  • Arten av risiko.
  • Eksisterende kontroller.
  • Sannsynlighet og konsekvenser.
  • Innledende rating/vurdering.
  • Sårbarhet til eksterne/interne faktorer.

Ut ifra nedside risikoene(truslene) utledes så eventuelle oppside risikoer(muligheter).

 

Tiltaksplanlegg og handlingsplan,

som skal dokumentere hvilke ledelseskontroller som har blitt vedtatt, og som lister opp følgende informasjon:

  • Hvem som har ansvaret for gjennomføring/implementering av planen.
  • Hvem som skal være involvert – interessenter, personell, deltakere, kontakter etc..
  • Hvilke ressurser som skal benyttes.
  • Budsjett tildeling.
  • Tidsplan for gjennomføring/implementering.
  • Detaljer om mekanismen og hyppigheten av gjennomgangen av etterlevelse av tiltaksplanen.

 

Erklæring om etterlevelse av krav (compliance),

som i noen tilfeller kan være et krav, slik at ledere formelt erkjenner sitt ansvar for å overholde ERM-policyen og ERM-prosedyrer. Slike uttalelser bør henvise til relevante resultatavtaler, og helst gjenspeile alle påstander i organisasjonens årligerapport, spesielt erklæringen om organisasjonens etterlevelse av offentlige krav.

 

Overvåking og håndtering,

som skal dokumentere:

  • Detaljer om mekanismen og hyppigheten av gjennomgang av mulighet/trussel og ERM-prosessen som helhet.
  • Resultatet av håndteringer og andre overvåkningsprosedyrer.
  • Detaljer om hvordan vurderingsanbefalingene blir fulgt opp og implementert.

 

 

 

Viktige spørsmål ved rapportering av muligheter/trusler

  • Har organisasjonen prosedyrer for rapportering av muligheter/ trusler?
  • Er forandringer mht. organisasjonens muligheter/trusler identifisert, analysert. evaluert, vurdert og rapportert på kontinuerlig basis og likeledes mht. deres virkning på målsettingene.
  • Har organisasjonen en klart definert policy og prosess for rapporteringen av forandringer, uhell og manglende kontroll når de oppstår.
  • Gir rapporteringsprosessen styret, ledelsen, CRO, risikorapportører, internrevisjon, andre ansatte og interessegruppene nok informasjon om muligheter/trusler og kontroll til å være i stand til å gjøre de nødvendige beretninger i det årlige regnskapet?
  • Finnes det formelle rapporteringsprosedyrer/retningslinjer for muligheter/trusler?:
    • For styringsgrupper og intern revisjon?
    • For ledelsen?:

           Er disse hensiktsmessige?

  • Er muligheter/trusler og håndtering av disse adressert på en hensiktsmessig måte?
    • Styringsgrupperapporter fra internrevisjon
    • Ledelsesrapporter?
  • Blir ”topprisikolisten (både oppsiden/nedsiden)” spredd til de riktige folkene i organisasjonen?
  • Blir ”topprisikolisten (både oppsiden/nedsiden)” vurdert og oppdatert regelmessig?
  • Vurderes og oppdateres oppsiden/nedsiden av vanlige og vesentlige risikoer regelmessig for å forsikre seg om at disse er under kontroll?
  • For hver nedside risiko som går ut over definerte verdier, har her det riktige ledelsesnivået godkjent iverksettelsen av kontinuitetsplanen,(”Business Continuity” planen, kriseplanen, katastrofeplanen)
  • Har det blitt forberedt en statusrapport for oppside/nedside risiko for å få spredd avanserte informasjonsvurderinger (og andre som er hensiktsmessige)?
  • Har prosesser for å akseptere og rapportere tilleggsrisikoer (oppside/nedside) i organisasjonen blitt fulgt?
  • Der det er hensiktsmessig, har det blitt rapportert “føre var”(proaktive) indikatorer til ledelsen?:
    • Innenfor regulære ledelses- og informasjonsrapporter?
    • Tilstrekkelig ofte?
  •  Er det på plass hensiktsmessige rapporteringsrutiner med ansvarlighet (dvs. hvordan disse skal brukes, når og av hvem som eier av prosessen)?
  • Er nivået på forpliktelse mht. rapporteringsprosessen, tilstrekkelig eller er det mangel på forpliktelse?
  • Når det vurderes og rapporteres brukbarhet og effektivitet, er vurderingene bygget mer på fakta enn spekulative?
  • Kan vi stole på nøyaktigheten av rapporteringen?
  • Er det oppnådd hensiktsmessig eierskap til statusrapporterings-mekanismer (dvs., hvordan de vil bli brukt, når og av hvem som eiere av prosessen)?

 

8

Sjekkliste for håndterings- og overvåkingsfasen

8.1       Mulige metoder for overvåking av muligheter/trusler

 

  • Intern kontroll.
  • Internrevisjon.
  • Ekstern revisjon av risikostyring konsulent eller evaluator.
  • Ekstern gransking, f.eks. av komiteer.
  • Fysiske inspeksjoner.
  • Program-/plan evaluering.
  • Interne evalueringer.
  • Vurderinger av organisatoriske retningslinjer, strategier og prosesser.
  • Gjennomgang av ansatte utenom enheten.

 

 

 

8.2       Sjekkliste for håndtering og overvåking

 

Viktige spørsmål i håndteringen og overvåkingen av risikoer og muligheter

  • Adresserer prestasjonsindikatorer nøkkelsuksess elementene?
  • Er forutsetninger, inkludert de som er laget i forhold til miljø, teknologi og ressurser, fortsatt gyldige?
  • Er risikotiltakene effektive i å minimere risikoene?
  • Er tiltakskostnadene minimale i å minimere truslene og maksimere mulighetene?
  • Er ledelsen og regnskapskontrollene tilstrekkelige?
  • Er tiltak iht. juridiske krav, det offentliges og organisatorisk policy, inkludert tilgang, egenkapital, etikk og ansvarlighet?
  • Er risikerende som tas urettferdig for kunder og/eller eksterne tjenesteleverandører?
  • Hvordan kan forbedringer gjøres?

 

9

Sjekkliste for systemevaluerings- og gjennomgangsfasen

 

Mulig metoder for gjennomgang

  • Intern kontroll
  • Intern revisjon
  • Eksternrevisjonved en ERM-konsulenteller
  • Eksterngransking.
  • Fysiske
  • ERM-program/-plan
  • Inter-organisatoriske
  • Vurderingeravorganisatoriskepolicyer/retningslinjer, strategierogprosesser
  • Gjennomgang av kollegaer fra andre avdelinger.
  • Analyse av data og historie

 

 

Her er noen viktige spørsmål som kan stilles i fasen system-evaluering og gjennomgang:

  • Er ERM-systemet og dens enkeltelementer dokumentert?
  • Er undersystemene ORM og dens enkeltelementer dokumentert?
  • Virker ERM-systemet slikt det er tenkt og planlagt?
  • Er ERM-prosessen og dens enkelte faser dokumentert?
  • Er fasene i ORM-prosessene dokumentert?
  • Virker ERM-prosessen slik det er tenkt og planlagt? Konkrete guider for dette?
  • Virker ORM-prosessene slikt det er tenkt og planlagt?
  • Må noe gjøres med kategoriseringsmodellen?
  • Fungerer IT-systemet for ERM etter intensjonene og er det integrert med de andre IT systemene i organisasjonen?
  • Fungerer ansvar og ansvarlighet slik som tenkt og planlagt?
  • Får styret og toppledelsen informasjon om vesentlige muligheter/trusler slik det er tenkt og planlagt?
  • Er ERM integrert med organisasjonens strategiske prosess og budsjetteringsprosess?
  • Blir ERM brukt proaktiv for muligheter/trusler?
  • Tar organisasjonen kommunikasjonen med interne og eksterne interessenter alvorlig, og har en skikkelig dialog med disse, der deres råd blir integrert i organisasjonens beslutninger? Hvordan foregår dette konkret?
  • Overholdes etterlevelse av krav fra omverdenen?
  • Har organisasjonen den ERM-kulturen den tilstreber i å følge sine offisielle policyer?
  • Følges ERM-policyen i organisasjonen? Er ERM integrert med organisasjonens Corporate Governance?

 Her er noen viktige spørsmål som kan stilles i fasen system-evaluering og gjennomgang: ·         Er ERM-systemet og dens enkeltelementer dokumentert?·         Er undersystemene ORM og dens enkeltelementer dokumentert?·         Virker ERM-systemet slikt det er tenkt og planlagt?·         Er ERM-prosessen og dens enkelte faser dokumentert?·         Er fasene i ORM-prosessene dokumentert?·         Virker ERM-prosessen slik det er tenkt og planlagt? Konkrete guider for dette?·         Virker ORM-prosessene slikt det er tenkt og planlagt?

·         Må noe gjøres med kategoriseringsmodellen?

·         Fungerer IT-systemet for ERM etter intensjonene og er det integrert med de andre IT systemene i organisasjonen?

·         Fungerer ansvar og ansvarlighet slik som tenkt og planlagt?

·         Får styret og toppledelsen informasjon om vesentlige muligheter/trusler slik det er tenkt og planlagt?

·         Er ERM integrert med organisasjonens strategiske prosess og budsjetteringsprosess?

·         Blir ERM brukt proaktiv for muligheter/trusler?

·         Tar organisasjonen kommunikasjonen med interne og eksterne interessenter alvorlig, og har en skikkelig dialog med disse, der deres råd blir integrert i organisasjonens beslutninger? Hvordan foregår dette konkret?

·         Overholdes etterlevelse av krav fra omverdenen?

·         Har organisasjonen den ERM-kulturen den tilstreber i å følge sine offisielle policyer?

·         Følges ERM-policyen i organisasjonen?

·         Er ERM integrert med organisasjonens Corporate Governance?

 

 

 

modellen2web

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

Forside-GUIDE-AAwebForside-GUIDE-B-web

Guide A Bakgrunn, behov, ERM-systemet og – prosesser
Antall sider: 322 inklusiv 57 sider vedlegg

Guide B Gjennomføring og praktisk iverksettelse
Antall sider: 258 inklusiv 152 sider vedlegg

 

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430
322 rikt illustrerte A4-sider,
hvorav 57 siders vedlegg
Guide B: Kr. 480
258 rikt illustrerte A4-sider ,
hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992

Jan Vig
Daglig leder

__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen

Bookmark and Share

Advertisements

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s

%d bloggers like this: