ERM–guiden

Praktisk Enterprise Risk Management(ERM)

Helhetlig og Integrert RisikoLedelse(HIRL) = ERM

 

 

 

 

ERM-Praksis – Andre praktiske moduler-
Modul verktøy og teknologi

 

 

 

 

 

ERM-Praksis

 

Proaktiv ERM For mer om proaktiv risikostyring trykk linken. ERM og organisasjonen For mer om ERM og organisasjonen trykk linken. Mål og strategier For mer om mål og strategier trykk linken. ERM-plan For mer om ERM-planen trykk linken. ERM-kontekst For mer om ERMkonteksten trykk linken. ERM-kategorier For mer om Risikokategorier trykk linken. ERM og overvåking For mer om ERM og overvåking trykk linken. ERM og kommunikasjon For mer om ERM og kommunikasjon trykk linken. ERM-iverksettelsestips For mer om ERM-iverksettelsestips trykk linken.   Forskjellige praktiske moduler/guider For mer om de forskjellige modulene trykk linken.

ERM-Praksis –
Forskjellige praktiske ERM-moduler/-guider

 

 

 

Modul Business Intelligence  Modul ERM-Benchmarking    Modul interessentanalyse    Modul KPIer og KRIer    Modul roller og ansvar   Modul verktøy og teknologi    Modul ERM-sjekkliste    Modul ISO 31000:2009 RisikoLedelse – prinsipper og retningslinjer

 

ERM-Praksis – Andre praktiske moduler –
Modul verktøy og bruk av teknologi

 

 

Innholdsfortegnelse:

 

1. Hvordan planlegge og gjennomføre en workshop 2. Brainstorming 3. Intervjuer 4. Sjekklister 5. Spørreskjemaer og undersøkelser 6. Teknologier

 

Elementer som bør være på plass. Vi har her kun tatt med de enkleste og de vi mener er de viktigste.

 

 

1

Workshop

1.1 Hvordan planlegge og gjennomføre en workshop

 

1.1.1. Hva er en oppside/nedside risiko workshop?

 

En workshop er strukturert for å oppnå spesifikke resultater innen en spesifikk agenda. Det tas bestemte beslutninger der, det er en læringsarena og det fattes konkrete tiltak i den. Den blir ledet av en tilrettelegger (fasilitator) som er ansvarlig for å sikre at kommunikasjonen er i tråd med workshopens mål.

 

Workshop involverer en større gruppe, dvs. mer enn syv deltakere. Dette pga. at det dreier seg om et komplekst emne – usikkerhet og oppside/nedside risikoer forbundet med dette, som krever kunnskap og erfaring fra flere disipliner. Dessuten kreves det lederskap og coaching for å oppnå et ønsket resultat.

 

I en workshop handler det først og fremst om kommunikasjon. Vektleggingen er å få til en åpen og klar diskusjon blant deltakerne med kunnskap eller autoritet på området Enterprise Risk Management, og stimulere til differensierte meninger og perspektiver.

 

En workshop dreier seg forøvrig om fremtiden. Det dreier seg om fremtidige hendelser og usikkerhet. Den prøver å samle inn alle kjente, relevante fakta, antagelser, forutsetninger og usikkerheter om et fremtidig sett av hendelser eller situasjoner og forutser hvordan disse hendelsene eller situasjonene kan ha en effekt på organisasjonens felles mål, og forutser hvordan organisasjonen vil eller bør møte dette scenariet.

1.1.2     Hvordan bruke en workshop?

 

Det er fristende å tenke på en workshop som kun en øvelse i å samle inn data ut i fra perspektivet til en ERM-leder, da workshopen gir tilgang til en rekke eksperter for en viss tid. Den får mye raskere resultater enn datamining og er adskillig raskere enn spørreundersøkelser eller individuelle intervjuer.

 

Imidlertid går fordelene av en workshop langt utover ERM-lederens bekvemmelighet.

 

Mulighet for læring. En godt strukturert workshop tillater alle parter å undersøke oppside/nedside risikoer fra en rekke perspektiver, og lære fra andre eksperter og ledere der og da. Deltakerne vil uunngåelig komme ut av workshopen med en bedre forståelse av forretningsvirksomheten og med økt oppmerksomhet om organisasjonens forretningsmålsettinger og risikounivers.

Hvis workshop agendaen inkluderer aktuelle, veloverveide og målrettede diskusjoner, vil deltakerne også få en bedre forståelse av hvordan andre deler av organisasjonen treffer tiltak mht. oppside/nedside risikoer, og hvordan disse tiltakene passer sammen.

 

Teamarbeid. En workshop er et utmerket verktøy for å promotere teambygging. En workshop er et ”trygt” sted for å dele perspektiver og ideer og sikre lik mulighet for deltakelse.

 

Effektiv bruk av tid. En workshop kan være en effektiv vei for et lederteam til å dekke et større område meget hurtig. Fokuset på en definert agenda og bruk av tilretteleggingsteknikker og ERM-verktøy sikrer at diskusjonen konsentrerer seg om de spørsmål som har størst betydning og dermed prioritet for organisasjonen.

 

ERM-utdanning. En workshop demonstrerer der og da ERM-teknikker og tilnærminger. Som sådan er den et utmerkede verktøy for å utdanne deltakerne om teori og praksis innen ERM for spesifikke forretningsproblemer.

 

Kontinuerlig forbedring. En workshop gir ERM-omgivelser for kontinuerlig å forbedre kvaliteten på verktøy og teknikker. Ved gjentatte eksponeringer og bruk av ledere fra forskjellige nivåer og med forskjellig bakgrunn vil et program av workshoper effektivt gi gyldighet for slike verktøy som risikotoleranser og ratingsguider.

 

1.1.3    Målene med en oppside/nedside risiko workshop

Et vanlig problem når oppside/nedside risikoer identifiseres er at noen risikoer kan gå på tvers av hele verdiskapningskjeden til en organisasjonsenhet eller at effekten av en oppside/nedside risiko kan utkrystallisere seg et annet sted enn dennes årsak. F.eks. noen risikoer har sine årsaker innen forskning og utvikling, innkjøp eller produksjon mens deres innvirkning er målt innen salgsavdelingen.

 

Basert på denne situasjonen er metoden med oppside/nedside risiko workshop utviklet, der identifisering, analyse og evalueringen av oppside/nedside risikoer blir gjennomført i felleskap av en gruppe deltakere fra forskjellige funksjoner innen en forretningsenhet eller på tvers av forretningsenheter. Deltakerne har derfor dyp kunnskap om forretningssituasjonen og verdiskapningskjedens prosesser.

 

Hovedmålene med en oppside/nedside risiko workshop er: Forbedre informasjonsflyten og promovere en felles forståelse av oppside/nedside risikoer. Identifisere og fange opp nøkkelrisikoer sammen med alle deltakerne fra alle nøkkel funksjoner og risikoansvarlige fra den (de) respektive forretningsenheten (e). Vurdere betydningen av disse oppside/nedside risikoene for å nå forretningsmålene, spesielt EBIT. Identifisere og evaluere eksisterende/planlagte risiko håndteringsmålinger og utvikle nye målinger. Generere den relevante informasjonen for rapportering av oppside/nedside risikoer.

 

 

I særdeleshet kan en forbedring av informasjonsflyten og en felles forståelse for oppside/nedside risikoer innen forretningsenheten eller på tvers av forretningsenheter bare oppnås ved en workshop og aktiv deltagelse av alle relevante funksjonsledere I en forretningsenhet eller flere forretningsenheter.

 

En oppside/nedside risiko workshop imøtekommer også de legale krav fra ekstern revisjon for en “bottom-up” prosess for en vurdering av oppside/nedside risiko.

 

1.1.4    Prosedyren innen en oppside/nedside risikoworkshop

 

Risikoanalyse prosedyren innen en oppside/nedside risikoworkshop inneholder to trinn:

 

Trinn 1: Utvelgelse av oppside/nedside risikoer ved hjelp av risiko-spørreskjemaer.

I det første trinnet av risikoanalysene hjelper risikospørreskjemaet til med å identifisere relevante risikoer I forretningsenheten(e). Derfor blir risikospørreskjemaene sent til forskjellige deltakere i den (de) respektive forretningsenheten(e) og besvart individuelt av forskjellige deltakere. Deltakerne skal/bør komme fra forskjellige funksjoner og sammen skal de dekke alle viktige områder av forretningsenheten(e).

For å oppnå en metodisk sunn risikoevaluering er det tilrådelig å ha et “kick off “ møte for å introdusere deltakerne til målene, prosedyrene og evalueringskonseptet for risiko- spørreskjemaene og oppside/nedside risikoworkshopen.

På basis av risikospørreskjemaene som returneres kan forskjellige analyser bli utført. Nøkkelrisikoene så vel som de oppside/nedside risikoene med mest ulik vurdering blant deltakerne kan bli filtrert bort.

 

Disse risikoene, inkludert forretningsmessige spesifikke beskrivelser av oppside/nedside risikoer og målinger fra deltakerne, er del av en risikoworkshop. På denne måten er ikke risikospørreskjemaet bare en rettesnor for systematisk identifisering, analyse og evaluering av oppside/nedside risikoer, men også et filter for å identifisere nøkkelrisikoer som dernest eller senere blir diskutert og analysert mer detaljert i risikoworkshopen med de relevante forretnings- og prosessdeltakere. Derfor kan en risikoworkshop bli utført på kort tid uten å miste relevant informasjon

 

Trinn 2: Gjennomføre en oppside/nedside risikoworkshop

På basis av analysene av risikospørreskjemaene blir en oppside/nedside risikoworkshop gjennomført. Generelt involverer risikoworkshopen deltakerne som svarer på spørreskjemaene, dvs. representantene fra alle essensielle funksjoner og relevante forretningsenheter og eventuelle representanter fra spesialistavdelinger.

I vurderingsworkshopen, blir de individuelle vurderingene sammenlignet, potensielle forskjeller diskuteres og nøkkelrisikoene blir I felleskap kvantifisert og definert spesifikt for forretningsenheten(e). I tillegg beskrives håndteringsmålinger for de identifiserte oppside/nedside risikoene vurdert iht. deres effektivitet og implementeringsstatus. Alternative håndteringsmekanismer for oppside/nedside risikoer betraktes som del av denne prosessen.

 

 

1.1.5    Å tilrettelegge en workshop

En workshop bringer vanligvis sammen tverrfaglig og forskjellig nivåmessig kompetanse for å trekke på organisasjonens samlede kunnskap. Disse utvikler en liste med hendelser med relevanse for eksempel til organisasjonens strategiske målsettinger, forretningsmålsettinger eller prosessmålsettinger. Resultatet av en workshop avhenger som regel av dybden og bredden av den informasjonen deltakerne bringer med seg.
Noen organisasjoner inviterer til en workshop for toppledere i forbindelse med fastsettelse av strategi for å identifisere hendelser som kan påvirke oppnåelse av organisasjonens strategiske målsettinger negativt/positivt.

 

1.1.6    Et utkast til tilrettelegging av en workshop

 

Før workshopen

Identifisere erfaren tilrettelegger (fasilitator) til å lede økten, lede gruppedynamikken, og planlegge hvordan en på best mulig måte fanger opp de ideene som genereres i brukbar form. Etablere og bli enige om spillereglene ved begynnelsen av workshopen. Gjenkjenne de forskjellige stiler og personlighetstyper blant deltakerne, vurdere hvordan en best mulig kan optimalisere deres bidrag. Identifisere hvilke mål, kategorier av målsettinger, og kategorier av hendelser som det skal fokuseres på. Invitere et passende antall kursdeltagere – normalt avgrenser til 15 eller færre. På forhånd sette realistiske forventninger med hensyn til hva workshopen skal oppnå.

 

 

 

Agenda Innledning Forklar bakgrunnen for workshopen og hvorfor hver deltaker har blitt invitert. Forklar grunnregler. Forklar workshop prosessen Hendelser skal vurderes mot bedriftens mål for hver forretningsplan. For hver målsetting, vil tilretteleggeren starte diskusjonen om hendelser som kommer fra følgende faktorer, og deres relaterte effekter: Ekstern – Økonomisk. – Naturlig miljø. – Politisk. – Sosialt. – Teknologisk. Intern – Infrastruktur. – Personell.- Prosess. – Teknologi. Beskriv hvordan og når stemmegivningsverktøy og verbale input vil bli brukt. Forklar hvordan ideer, konklusjoner vil bli dokumentert.   Utforske målsettinger Identifisere målsettingen, og de relaterte målene som er etablert. Få konsensus om risikotoleranse – graden av akseptabel variasjon. Diskuter interne og eksterne faktorer som driver potensielle hendelser i forhold til målsettingene. Bestem hvilke hendelser som representerer trusler for å oppnå formålet, og hvilke hendelser som representerer muligheter. Tenk over hvordan flere oppside/nedside risikoer som påvirker dette målet forholder seg til hverandre. Neste trinn og avslutning Fordel resultatene av workshopen i skriftlig form til alle deltakerne innen 48 timer, med handlingsplan for de neste trinnene.

 

1.1.7    Resultater av en risiko workshop

 

Resultatene av en risiko workshop er identifiseringen av essensielle oppside/nedside risikoer før og etter målinger, en spesifikk beskrivelse av disse risikoene så vel som en beskrivelse av evalueringen av nøkkelrisikoenes målinger. På denne måten er en risiko workshop en sunn basis for rapporteringen av oppside/nedside risiko. Figuren nedenfor demonstrerer resultatet (output) av en risiko workshop.

 

Gjennomføringen av risikoworkshop

Vi vurderer konsekvensene av en risiko både som positiv (mulighet) og negativ (trussel).

 

Fasene i kjerneprosessen Trinnene i Work-shopen Arbeidsform/Prosedyre – Oppgaver trinn 1-7.   Forberedelser til workshop Trinn 1  WORKSHOP Målene med en risikoworkshop Prosedyre innen risikoworkshop(trinnene) Forberedelse til Workshoper (trinn 1)·Samle inn all tilgjengelig og relevant informasjon.·          Risikokategoriseringsmodellen evt. tilpasning.·          Vurderingskriterier evt. modifikasjoner.·          Forberede hjelpemidler, skjematur, eventuelle elektroniske systemer. Trinn 2 Oppstartsmøte (trinn2)·          Forklaring av ERM-systemet og vurderingskriterier·          Råd mht. utfylling av risikospørreskjemaet.·          Presentasjon av workshopagenda/ gjennomføringen av workshoper.·          Opplæring i bruk av hjelpemidler og eventuelle systemer.·          Etablere enighet mht. deadline (returnering av risiko- spørreskjemaene, tid og sted for risikoworkshop). 2 Identifisering ogKvantifisering (Sansynlighet>0 ogKonsekvens < 0) Trinn 3 Gjennomføring av risikoworkshoper (trinn 3) – Risikoidentifisering·          Vurdere mulige risikoer ved hjelp av risikospørreskjemao    Sannsynlighet >0o    Kvantifisere virkning på EBIT < 0o    Virkning av iverksatte tiltako    Mulige nye tiltak·          Registrering via skjematur eller elektroniske systemer 3 Analyse (av enkeltrisikoer) Trinn 4 Gjennomføring av risikoworkshoper (trinn 4) – Analyse·          Aggregerer data fra risikorapportørene basert på skjematur eller elektroniske systemer.·          Supplerende/korrigerende vurdering av kvantifisert konsekvens og sannsynlighet av risikoer, før og etter risikotiltak fra risikorapportørene.·          Foretar en foreløpig analyse av enkeltrisikoer.·          Rangering av de risikoene som skal diskuteres i workshopene.  4 Evaluering (og prioritering) Trinn 5 Gjennomføring av risikoworkshop’er (trinn 5) – Evaluering·          Vurdere aggregerte sammenhenger mellom ulike risikoer.·          Vurdere aggregerte risikoer på tvers av organisasjon.·          Vurdere utvikling av tidligere identifiserte risikoer.·          Vurdere etablerte tiltaks/kontrollers tilstrekkelighet.·          Vurdere akseptabilitet / Behov for nye tiltak.·          Vurdere behov for øyeblikkelig rapportering av store risikoer.·          Identifisere nye KRI’er.Prioritering av de vesentligst risikoer.  5 Tiltak Trinn 6 Gjennomføring av risikoworkshoper (trinn 6) – Tiltak·  Utarbeidelse av forslag til ytterligere tiltak til risikoer der tidligere tiltak har vist seg utilstrekkelig.·          Utarbeidelse av forlag til tiltak til nye risikoer. 6 Rapportering Trinn 7 Gjennomføring av risikoworkshoper (trinn 7) – Rapportering·Aggregering og rapportering av oppdatert materiale.·          Oppsummering av workshop.o    Møterapporto    Resultateneo    Erfaringene·          Distribusjon og arkivering av rapporter.

Skjema 1-1 – Eksempel på gjennomføringen av risikoworkshop 

 

Den særskilte verdien av risikoworkshop ligger i diskusjonene på tvers av funksjoner om oppside/nedside risikoer og målinger av håndteringen av oppside/nedside risikoer. I det henseende er dette et felles bilde av situasjonen av oppside/nedside risiko for forretningsenheten(e), der klare prioriteringer kan settes opp og en tilnærming på tvers av funksjoner for å håndtere oppside/nedside risikoer kan adopteres. Som et resultat forbedres årvåkenheten og informasjonsflyten for oppside/nedside risikoer i en stor grad.

 

1.1.8    Støtte for oppside/nedside risikoworkshop ved å bruke nettbaserte analyse workshop verktøy

 

For å lette analysene av risikospørreskjemaene og forberedelsen av en risikoworkshop, kan det benyttes nettbaserte verktøy.

 

Slike verktøyer har følgende hoveddeler: Automatisk import av risikospørreskjemaer inkludert identifisering, analyse, evaluering av oppside/nedside risiko, forretningsmessig spesifikke risiko-beskrivelser så vel som beskrivelse av målinger av håndtering av oppside/nedside risikoer som basis for analysen. Analyser av risikospørreskjemaer bruker standardanalyser, dvs. f.eks. topp fem oppside/nedside risikoer over alle risikokategorier, topp fem oppside/nedside risikoer innen risikokategorier så vel som den individuelle risikovurderingen per risiko. Visualisering av resultatene som en basis for diskusjon i risikoworkshopen. Dataregistrering av nye risikoevalueringer det er blitt enighet om i risikoworkshopen.

 

Fordelen med et nettbasert verktøy er derfor dennes assistanse i å analysere risiko- spørreskjemaene og i å gjennomføre risikoworkshopen selv.

 

Nettbasert verktøy bør være fleksibelt nok til å bli brukt på forskjellige forretnings-enheter. Derfor kan risikospørreskjemaene og intervallene tilpasses for hver forretningsenhet.

 

Forskjellige språk bør også kunne bli valgt. F.eks. (Norsk/Tysk/Engelsk).

 

1.1.9 Gruppetenkning og farer

Når grupper tar beslutninger kan det være at de tar flere risikoer enn den enkelte ville tatt alene. Dette er gruppetenkning. Gruppetenkning tenderer til å oppstå når gruppen streber etter å oppnå enighet til tross for at enkeltindividene er bekymret.

 

Symptomer på gruppetenkning: Illusjonen av uangripelighet skaper overdreven optimisme og oppmuntrer til å ta risikoer. Ignorerer advarsler som kan utfordre gruppe antagelsene. Stiller ikke spørsmålstegn ved troen på gruppens moral, noe som forårsaker medlemmene til å ignorere konsekvensene av tiltakene. Vurdering av de som har motsatt mening til gruppen som svak, ond, partisk, ondskapsfull, udugelig eller dum. Direkte press på ethvert gruppemedlem som setter spørsmålstegn ved gruppens beslutninger, ved å stemple dem som illojale. Selvsensur av ideer som avviker fra tilsynelatende gruppeenighet. Illusjon av enstemmighet blant gruppemedlemmene, det og ikke si noe blir betraktet som å være enig. Gruppevoktere som anser seg selv som utpekt til å beskytte gruppen fra avvikende informasjon.

 

 

 

Hvis disse ikke blir adressert kan disse symptomene lede til: Ufullstendig undersøkelse av mål. Ufullstendig vurdering av alternativer. Svikt i å undersøke oppside/nedsiderisikoene ved de foretrukne valgene. Svikt i å evaluere på nytt tidligere avviste alternativer. Dårlig informasjonsinnhenting/research. Utvalgsfordommer mht. valg av informasjon som hentes inn. En svikt mht. å utarbeide kontinuitetsplaner.

 

 

 

Nylige eksempler på katastrofer av forretningsmessige gruppetenkning er f.eks. Enron og Lehman Brothers.

 

1.1.10 Hvordan skal en så unngå gruppetenkning

 

Det er et antall relativt enkle men effektive grep organisasjonen kan ta for å unngå gruppetenkning. Bruke eksterne eksperter til å utfordre gruppens tenkning. Sette opp flere grupper for å arbeide med samme problemstilling. Utnevne en djevelens advokat på viktige møter for å teste konklusjoner. Forsikre seg om at toppledelsen unngår å utrykke meninger før viktige møter.

 

Organisasjonen bør i identifiseringsfasen av oppside/nedside risiko bruke individuelle intervjuer og sjekklister for å få individers individuelle mening før en workshop. En workshop er en dårlig måte å få identifisert oppside/nedside risikoer på grunn av gruppedynamikken som tillater visse individualister å dominere diskusjonene, mens andre forblir rolige. Intervjuer eller sjekklister der individene selv kan komme opp med trusler/muligheter sikrer at alle stemmer blir hørt likt og er betydelig mer nyttige enn en workshop når det gjelder identifisering av oppside/nedside risiko. Men det er også klart at hvis møtelederen i brainstormingen eller i andre faser av worshopen er klar på ”hvilken hatt”( se boken til de Bono: ”six thinking hats”: hvit, rød, svart,gul, grønn og blå) ”alle skal ha på samtidig, kan worrkshopen styres bedre. Dessuten må møtelederen klare åoppmuntre og skape kreativitet og åpenhet.

 

Ved å fokusere på positive antagelser (oppside risikoer) istedenfor nedside risikoer blir alle aspekter for organisasjonen vurdert på en positiv og systematisk måte og det blir oppmuntret til åpenhet. Folk blir ledet til å tenke/konsentrere seg om hva som trengs for å lykkes heller enn å bli tvunget til å se etter svikt/feil (f.eks. nedside risikoer), som er psykologisk unaturlig.

 

 

1.1.11 Praktisk Workshop eksempel for risikovurderings(risk assessment) prosessen (identifisering, analyse og   evaluering)

 

A. Forberedelser til workshopen

 

Selv om det er erkjent at alternative tilnærminger for identifisering, analyse og evaluering av risiko kan benyttes, er en workshop den metoden som oftest foretrekkes mht. risikovurderinger, fordi det engasjerer interessentene og gir dem eierskap. Imidlertid er grundige forberedelser avgjørende for å lykkes med vurderingen (identifisering, analyse og evaluering av oppside/nedside risiko og skal initieres av eierne av ERM-prosessen, når ERM-konteksten av undersøkelsen er etablert).

 

Workshop forberedelse innebærer en rekke skrivebordsaktiviteter. Blant de viktigste spørsmålene er utvalget av risikoundersøkelsesteamet og gjennomgang og samling av spesifikke data for muligheter og trusler for å utvikle konsekvenspotensialene. Her bør det omsorgsfullt involvere folk som kan gi informasjon om aktuelle hendelser og/eller sårbarhet både internt som eksternt.

 

Det anbefales også at teamets medlemmer velges utifra enheter som kan bli berørt, for eksempel ved et jordskjelv som det i Japan, eiere av kritisk infrastruktur og tilhørende tjenester. Videre bør fagfolk og profesjonelle krefter som er erfarne og kjenner til både trusler, muligheter og konsekvenser være en del av teamet.

 

Generelt, bør alle de viktigste interessentene være representert på workshopen.
Ved innsamling av spesifikke data om muligheter og trusler, kan det være nyttig å
identifisere, analysere og evaluere aktuelle historiske hendelser, som kan indikere hendelsens trender og (tidligere) sårbarheter, og også scenarioanalyser. Dette oppnås ved hjelp av risikokriterier for prioriteringer av risikoer som ble realisert gjennom disse hendelsene og plotte risikokurver mot den kvalitative risikomatrisen.

 

Tips for Workshop forberedelser:Ingredienser for en effektiv workshop inkluderer: Kompetent tilrettelegger og skriftlig dyktig. Definerte leveranser og metode for hva workshopen skal lever. levering. Kreativ tenkning for å identifisere oppside/nedside risikoer. Metodisk struktur for å identifisere og analysere oppside/nedside risiko (f.eks. sentrale elementer eller vesentlige identifiserte oppside/nedside risikoer som tas opp). Lett tilgjengelige data. Systematisk nedtegning og saker som tas opp, avtaler etc.. Synlighet av saksbehandlingen (f.eks. skjermbasert presentasjonsverktøy som viser gangen i flytdiagram f.eks.) Teameierskap til ERM-prosessen og konsensus output. Tidsstyring, herunder tilstrekkelig buffersoner.

 

 

 

De sentrale spørsmål for workshop forberedelser: Etablere vurderingskonteksten og tilordne en teamleder for risikoundersøkels-en. Utarbeide en realistisk implementeringsplan og tidsplan. Sette opp en pålitelig kommunikasjonsprogram /-plan. Oppnevne en tilrettelegger. Velge ut og varsle risikoundersøkelsens team-medlemmer. Distribuere relevant informasjon, som for eksempel konteksten for vurderingen og rollene som skal spilles av individuelle team-medlemmer. Samle inn og gjennomgå relevant informasjon og data om relevante trusler og muligheter. Utvikle konsekvenspotensialer og utkast for en eller flere hendelser. Utarbeide og justere vurderingsverktøy (f.eks. oppside/nedside risikoregister). Utkast til et workshop program og tidsplan (f.eks. en eller flere sesjoner, muligens parallelt). Sørge for at nødvendige ressurser (f.eks. rom, prosjektor, filmopptak etc.). Utarbeide og distribuere en informasjonsbrosjyre i god tid før workshopen. Utarbeide en sammendragspresentasjon for å sette agendaen i utgangspunktet for workshopen. Dokumentere prosessen.

 

Avhengig av omfanget av vurderingen, bør det vurderes å dele workshopen inn i flere, muligens parallelle, sesjoner.
Dette er nyttig ved vurdering av en eller flere hendelser med flere trusler/muligheter for å håndtere hver trussel/mulighet for seg. Det er også ofte nyttig å splitte opp ERM-prosessen i henhold til de viktigste elementene – risikoidentifisering, risikoanalyse og risikoevaluering.

 

Tips mht. tilretteleggeren (fasilitatoren)Når organisasjonen velger en tilrettelegger, bør følgende prinsipper tas med i betraktningen: Uavhengighet. Direkte kommunikasjons og kontaktmyndighet. Tilgang til kompetanse. Evne til å engasjere seg med arbeidsgruppen. Tildeling av tilstrekkelig ressurser (tid/andre).

 

B. Gjennomføringen av selve workshopen

Når teamet er samlet og workshopen har startet, er den formelle risikovurderingsprosessen i gang. Strukturen for workshopen for vurdering (identifisering, analyse og evaluering) er drevet av ERM-prosessen, og består vanligvis av fire faser: innledning, identifisering analysering og evaluering av oppside/nedside risikoer.

 

Innledning Oppsummere og drøfte mål, omfang, interessenter, risikokriterier, og sentrale elementer av risikoundersøkelsen. Oppsummere informasjon og data gjennomgått og presentere konsekvens-potensialer. Presentere workshoptilnærming og definere rollene til de enkelte team-medlemmene.

 

 

 

Identifisering av oppside/nedside risiko Beskrive aktuelle enkle/flere hendelser som kan forårsake trusler eller muligheter. Beskrive aktuelle konsekvenser som en trussel eller mulighet kan forårsake. Drøfte dynamikken i beredskapsscenarioer f.eks.. Oppsummere oppside/nedside risikoer knyttet til konsekvenser i lys av relevant hendelse(r). Oppsummere eksisterende forebygging og beredskapsfaktorer. Oppsummere eksisterende tiltak og gjennopprettingsfaktorer.

 

 

 

Analyse av oppside/nedside risiko Gjennomgå risikoregister/risikokategoriseringsmatrise for å bekrefte identifiserte oppside/nedside risikoer. Vurder eksisterende kontroller. Tildel konsekvens- og sannsynlighetskarakterer til hver oppside/nedside risiko og bestemme risikonivået. Bestemme tillit til prosessen.

 

 

 

Evaluering av oppside/nedside risiko Gjennomgå risikoregisteret for å bekrefte analysene av oppside/nedside risikoer. Anvend ALARP-modellen for å fastslå hva som er tolererbart. Avgjøre om behovet for videre analyse eller (umiddelbare) tiltak før overvåking og gjennomgang.

 

Workshopen skal generere en omfattende liste av oppside/nedside risikoer forbundet med de aktuelle og fremtidige hendelser for å sikre at ingen større utfordringer overses.

Denne listen trenger å omfatte eksisterende kontrollere og å gi en samlet vurdering av hver oppside/nedside risiko, basert på sannsynligheten for bestemte konsekvenser. I tillegg bør viktige områder og muligheter for håndtering av oppside/nedside risiko identifiseres ved å vurdere nivået på eksisterende kontroller og dynamikken i ”føre-var” scenarioer.

 

Tips for gjennomføringen
Tilretteleggeren (fasilitatoren) bør sørge for at alle workshop deltakerne har en klar forståelse av konteksten og får muligheten til å komme med innspill. Konteksten kan eventuell trenge å endres tilsvarende.
Generelt må tilretteleggere være omsorgsfull med den tiden som er beregnet for workshopen og sikre at hver av de tre viktigste elementene i prosessen, identifiseringen, analysereringen og evalueringen, er gitt fornuftig vurdering. Dette er viktig, fordi ønsket tid ofte ikke er tilgjengelig på grunn av ressursbegrensninger. Omfattende planlegging og forberedelser til workshopen og fokusert tilrettelegging er derfor avgjørende for å lykkes med vurderingen.

 

C. Etter workshopen

 

Vurderingen forventes å gi output som prioriterer identifiserte oppside/nedside risikoer og indikerer viktige områder og muligheter for risikotiltak. Hvis workshopen konkluderer med at videre analyse er nødvendig, vil vurderingen av de relevante oppside/nedside risikoene fortsette, fordi disse risikoene må analyseres i mer detalj og deretter revurderes. Derimot, hvis workshopen konkluderer med at ingen ytterligere analyse er nødvendig, er vurderingen av de aktuelle oppside/nedside risikoene fullført. Disse risikoene vil da bli gjenstand for tiltak, overvåking og gjennomgang.
I begge tilfeller, til konkrete tiltak skal gjennomføres vil dette avhenge av utfallet av risikoen evaluering.

 

 

AnsvarAlle interessentene i risikoundersøkelsen må ta ansvar for sitt engasjement. Sentrale medlemmer vil være en eier/sponsoren av risikoundersøkelsen, teamleder, profesjonelle eksperter, tilrettelegger og deltaker. Eier/sponsor Initiere og overvåke risikoundersøkelsen. Gi tilstrekkelig med ressurser (økonomiske, ikke-finansielle). Sikre realistisk tidshorisont.   Teamleder Administrere implementeringen av risikoundersøkelsen.   Profesjonell ekspert Gi relevant informasjon, data og ekspertråd om den oppside/nedside risikoen som skal vurderes.   Tilrettelegger Gi råd om utarbeidelse av risikovurderingen. Forbli uavhengig av risikovurderingsemnet. Tilrettelegge for risikovurderingsworkshopen.   Deltaker Engasjere seg aktivt i prosessen. Sikre å være tilgjengelig gjennom hele varigheten av undersøkelsen, etter behov.

 

Tips vedrørende ansvar

Alle medlemmene av risikoundersøkelsesteamet bør være oppmerksom på at informasjon innhentet for undersøkelsen kan brukes fritt eller de bør søke om tillatelse til å bruke disse. Juridisk rådgivning kan være nødvendig i noen tilfeller før undersøkelsen begynner. Det kan kreves at deltakerne underskriver på at konfidensiell informasjon ikke skal formidles videre, utenom gruppen. Dette er spesielt viktig med detaljerte analyser der metoder og output kan være rettighetsbeskyttet.

 

 

2	Brainstorming

 

 

2.1 Generelt

Brainstorming innebærer å stimulere og oppmuntre til en fritt flytende samtale blant en gruppe kunnskapsrike mennesker for å identifisere potensielle muligheter og trusler, kriterier for beslutninger og/eller alternativer for tiltak. Begrepet «brainstorming» er ofte brukt veldig løst til å bety alle typer gruppediskusjon. Men sann brainstorming innebærer spesielle teknikker for å prøve å sikre at folks fantasi utløses av tanker og uttalelser fra andre i gruppen. Effektiv tilrettelegging er svært viktig i denne teknikken og omfatter stimulering av diskusjonen.

 

Brainstorming kan brukes sammen med andre vurderingsmetoder for oppside/nedside risiko eller kan stå alene som en teknikk for å oppmuntre til fantasifull tenkning på ethvert stadium av ERM-prosessen og ethvert stadium i livssyklusen til et system. Den kan brukes til diskusjoner på et høyt nivå der problemene er identifisert, for mer detaljert gjennomgang, eller på et detaljert nivået for spesielle problemer.
Brainstorming legger stor vekt på fantasien. Det er derfor spesielt nyttig når organisasjonen identifiserer oppside/nedside risikoer for ny teknologi, der det ikke er data eller hvor nye løsninger til problemer er nødvendig.

 

2.2 Brainstormingsprosessen

 

Brainstorming kan være formell eller uformell. Formell brainstorming er mer strukturert med deltakerne som er forberedt på forhånd, og økten har et definert formål og utfallet av de ideer som kommer opp evalueres. Uformell brainstorming er mindre strukturert og ofte mer ad-hoc preget.

I en formell prosess: Tilretteleggeren (fasilitatoren) forbereder spørsmål og triggere som passer i konteksten før brainstormingsøkten. Målet av for økten er definert og reglene forklart. Tilretteleggeren (fasilitatoren) starter en tankegang og alle utforsker ideer og identifiserer så mange saker som mulig. Det er ingen diskusjon på dette punktet om hvorvidt ting bør eller ikke bør være på listen eller hva som menes med spesielle uttalelser fordi dette har en tendens til å hemme frittflytende tanker. Alle innspill er akseptert og ingen blir kritisert og gruppen aksepterer raskt ideer for å utløse lateral tenkning. Tilretteleggeren kan stimulere deltakerne til å tenke i ny retning når en tankeretning er ”uttømt” eller diskusjonen går for langt i en ”gal” retning. Tanken er imidlertid å samle så mange ulike ideer som mulig for senere analyser.

 

 

 

2.3 Noen styrker og begrensninger

 

Sterke sider ved brainstorming omfatter: Den oppmuntrer til fantasi som hjelper til å identifisere nye trusler og nye løsninger/muligheter. Den involverer viktige interessenter og er dermed et hjelpemiddel i kommunikasjons-prosessen generelt. Den er relativt rask og enkel å sette opp.

 

Begrensninger inkluderer: Deltakerne kan mangle ferdigheter og kunnskap for å være effektive bidragsytere. Siden brainstorming er relativt ustrukturert, er det vanskelig å vise at prosessen har vært omfattende, f.eks. at ”alle” potensielle oppside/nedside risikoer er identifisert. Det kan være en bestemt gruppe dynamikk der enkelte mennesker med verdifulle ideer tier, mens andre dominerer diskusjonen. Dette kan løses ved hjelp av PC brainstorming, ved hjelp av et ”chat forum” eller gruppeteknikk. Computer brainstorming kan settes opp til være anonym, og dermed unngås personlige og politiske forhold som kan hindre fri flyt av ideer. I gruppeteknikk blir ideer sendt inn anonymt til en moderator og diskuteres deretter av gruppen.

 

 

3	Intervjuer

 

Intervjuer foregår vanligvis i en til en setting, eller noen ganger i en setting to til en, der
intervjueren er ledsaget av en kollega som tar notater. Hensikten er å fastslå enkeltes oppriktige synspunkter og kunnskap om faktiske tidligere hendelser og potensielle hendelser. En intervjuagenda som brukes i å fokusere på forretningsområdets målsettinger vises i 7.3.3.

 

3.1 Strukturerte eller halvstrukturerte intervjuer

I et strukturert intervju, blir individuelle intervjuobjektene spurt et sett med forberedte spørsmål fra et spørreskjema som oppmuntrer intervjuobjektet til å se en situasjon fra et annet perspektiv og dermed identifisere oppside/nedside risiko utifra dette perspektivet. Et halvstrukturert intervju er på samme måte, men gir mer frihet til en samtale for å utforske problemstillinger som oppstår.

 

Strukturerte og halvstrukturerte intervjuer er nyttig der det er vanskelig å få folk sammen til en idédugnad eller der frittflytende diskusjoner i en gruppe ikke er hensiktsmessig for situasjonen eller for personene som er involvert. De er som oftest brukt til å identifisere oppside/nedside risiko, eller å vurdere effektiviteten av eksisterende kontroller som en del av analysen av oppside/nedside risiko. De kan brukes på ethvert trinn i et prosjekt eller en prosess. De er en måte å gi interessentenes innspill til vurderingen av muligheter/trusler.

 

Før intervjuet bør det være: En klar definisjon av målsettingene med intervjuene. En liste over intervjuobjekter valgt ut fra relevante interessenter. En forberedt sett med spørsmål.

 

 

3.2 Intervjuprosessen

Et relevant spørsmålsett kan lages for å lede intervjueren. Det bør være åpne spørsmål der det er mulig, de bør være enkle, språket bør være tilpasset intervjuobjektet og dekke et problem/en sak. Mulige oppfølgingsspørsmål som søkes avklart kan også forberedes. Spørsmål blir da stilt til den personen som blir intervjuet. Når en søker utdypning, bør spørsmålene være åpne. Forsiktighet bør utvises for ikke å «lede» intervjuobjektet. Svar bør vurderes med en grad av fleksibilitet for å gi mulighet til å utforske områder som  intervjuobjektet ønsker å utdype. Forøvrig vises til R. Kipling: Jeg har seks ærlige tjenere. De har lært meg alt jeg vet. Deres navn er Hva, Hvorfor og Når, Hvordan, Hvor og Hvem.”

 

3.3 Intervju agenda

 

Agenda Innledning. Gi bakgrunnsinformasjon om prosjektet, og intervjuprosessen. Bekreft personens stilling, bakgrunn, og nåværende ansvarsområder. Bekreft om mottatt og eventuelt bakgrunnsstoff som er gitt på forhånd er lest.

 

 

Strategier og mål Identifiser de viktigste målsettingene i intervjuobjektet organisasjonsenhet/avdeling. Bestem hvordan målene samstemmes med og støtter organisasjonens strategier og målsettinger. Identifiser måling for hver målsetting og de tilhørende etablerte mål. Bestem risikotoleranser som er etablert. Diskuter forhold knyttet til potensielle hendelser i forhold til målsettingen. Identifisere potensielle hendelser som skaper trusler for målsettingen, og de som representerer muligheter. Tenk hvordan intervjuobjektet prioriterer disse hendelsene, vurderer sannsynlighet og konsekvensen. Identifisere hendelser som har skjedd i de siste 12 månedene som påvirket organisasjonens som ikke var identifisert av ledelsen og ansatte. Vurder om identifiseringsmekanismer for oppside/nedside risiko må styrkes.

 

 

3.4 Noen styrker og begrensninger med intervju

 

Styrkene med strukturerte intervjuer er som følger: Strukturerte intervjuer gir folk tid til reflekterte betraktninger om et problem; En-til-en-kommunikasjon kan gi mer inngående vurdering av saker. Strukturerte intervjuer gir involvering av et større antall interessenter enn brainstorming som bruker en relativt liten gruppe.

 

 

Begrensningene er som følger: Det er tidkrevende for tilretteleggeren å få flere meninger på denne måten. Bias vurderingsskjevhet er tolerert og fjernes ikke gjennom gruppediskusjon. Stimulering av fantasien som er en funksjon av brainstorming kan ikke oppnås.

 

 

4	Sjekklister

 

4.1 Generelt

 

Sjekklister er lister over muligheter/trusler eller kontrollfeil som har blitt utviklet som regel utifra erfaring, enten som følge av en tidligere vurdering av oppside/nedside risiko eller som følge av tidligere feil.

 

En sjekkliste kan brukes til å identifisere muligheter/trusler eller for å vurdere effektiviteten av kontroller. De kan brukes på ethvert stadium i livsløpet til et produkt, prosess eller system.

 

De kan brukes som del av andre vurderingsteknikker for oppside/nedside risiko, men er mest nyttig når de brukes for å sjekke at alt har vært dekket etter en mer fantasifull teknikk som identifiserer nye problemer har blitt anvendt.

 

4.2 Sjekklisteprosessen

 

Fremgangsmåten er som følger: Omfanget av aktiviteten er definert. En sjekkliste er valgt som i tilstrekkelig grad dekker omfanget. Sjekklister må være nøye utvalgt til formålet. For eksempel en sjekkliste over standard kontroller kan ikke brukes til å identifisere nye farer eller oppside/nedside risikoer. Den personen eller teamet som bruker sjekklistens trinn gjennom hver del av prosessen eller systemet og gjennomgår om elementene i sjekklisten er fulgt eller ikke.

 

 

 

4.3 Styrker og begrensninger

 

Sterke sider ved sjekklister er: De kan brukes av ikke-eksperter. Når de er godt utformet, kombinerer de bred kompetanse i et brukervennlig system. De kan bidra til at vanlige problemer ikke blir glemt.

 

 

 

Begrensninger inkluderer: De har en tendens til å hemme fantasien ved identifisering av oppside/nedside risiko. De adresserer kjente saker, ikke ukjente saker eller ”svarte svaner”. De oppfordrer til en atferd med å hake av i ”bokser”. De har en tendens til å være observasjonbasert, slik at problemer ”mistes” som ikke er så lett å se.

 

 

 

5	Spørreskjemaer og undersøkelser

 

5.1 Generelt

Spørreskjemaer adresser en rekke spørsmål som skal vurderes av deltakerne, som skal fokuserer sin tenkning på interne og eksterne faktorer som har gitt opphav, eller kan gi opphav til hendelser. Spørsmålene kan være åpne eller lukkede, avhengig av målet. De kan rettes til ett eller noen få individer, eller brukt i forbindelse med en bredere undersøkelse, enten innen en organisasjon eller rettet mot kunder, leverandører eller andre eksterne parter. Bruk av disse teknikkene er illustrert nedenfor.

 

 

5.2 Målrettet spørreskjema

En organisasjon krever av en forretningsenhet at de ansatte besvarer et spørreskjema før den godtar en ny leverandør.

 

Spørreskjemaet krever at personalet vurderer en rekke spørsmål som utforsker potensielle leverandører: Kvalitetsprosesser. ERM-prosess og ORM-prosesser. Forsikringsdekning. Vilkår og betingelser.

 

Ved vurderingen av spørsmålene, identifiserte den ansatte følgende mulige hendelser som organisasjonen ville bli utsatt hvis den skulle gjøre forretninger med leverandøren:

 

Leverandøren historie med inkonsekvent levering utgjør en risiko for forsyningskjedeavbrudd. Leverandøren er ikke sertifisert iht. en passende kvalitetsstandard. En risiko foreligger for at materialet som leveres kanskje ikke oppfyller organisasjonens kvalitetskrav, som resulterer i produksjonsproblemer, tap av kunder, og omdømmemessige skade. Leverandøren har mangelfull forsikringsdekning for produktmangler. Det eksisterer en risiko for at organisasjonen ikke vil være i stand til å gjenopprette tapet assosiert med dette. Leverandørens vilkår krever to-års engasjement fra organisasjonen, med tilhørende risiko for skiftende behov og tilhørende økonomisk tap.

 

 

6	Bruk av teknologi

 

En del av ERM-systemet/-rammeverket inkluderer intelligent bruk av hensiktsmessig informasjonsteknologi som tillater organisasjonen å helautomatisere. eller halvautomatisere administrative aktiviter slik at det blir frigjort tid til å fokusere på å håndtere oppside/nedside risikoer og motivere organisasjonens ansatte til å være oppmerksomme og proaktive mht. muligheter/trusler.

 

6.1 Hvorfor bør teknologi vurderes?

ERM er en av de aktivitetene i organisasjonen som kan akkumulere en mengde data. Mens dette er nyttig for revisjons- og etterlevelsesformål, er det ikke hensiktsmessig for  å håndtere oppside/nedside risikoer, uten at dataene er gjort om til informasjon som er tilgjengelig, synlig og effektivt kommunisert.

 

En kritisk suksessfaktor i ERM er faktisk å sikre at informasjon på bakgrunn av data blir effektivt kommunisert til forskjellige interessentgrupper. Med en gang interessentene blir fullt ut klar over antagelser som blir truffet og de omfattende oppside/nedside risikoer vedrørende disse antagelsene, er det en god mulighet for at oppside/nedside risikoene vil bli håndtert og alle nedside risikoene unngått.

 

Essensen er at bruken av teknologi handler om å styrke synligheten og kontrollen. Synlighet vil si å få frem antagelsene og oppside/nedside risikoene til de folkene som trenger å vite om dem. Kontroll vil si å gi mekanismer til å planlegge og håndtere oppside/nedside risiko og sikre gjennomføring av tiltak.

 

6.2 Hvordan bør organisasjonen bruke informasjonsteknologien?

Organisasjonen bør tenke nøye igjennom hvordan den vil bruke teknologien og å forsikre seg om at den knyttes til det organisasjonen søker å oppnå. Kanskje er startpunktet det å se på hele ERM-rammeverket og se etter muligheter for å gjøre hvert element raskere, enklere og muligens bedre.

 

Noen aspekter av ERM-rammeverket/-systemet vil være brukbare for bruk av teknologier, mens andre ”bløtere” områder som f.eks. lederskap og kultur vil tilby færre muligheter.

 

Organisasjonen bør forsikre seg om at den informasjonen som blir gitt er nøyaktig og aktuell slik at organisasjonen kan stole på den for handling. Tenk nøye over sikkerheten. Hvem vil benytte teknologien, hvilken informasjon vil den inneholde og hvor sensitiv er dataene? De fleste teknologier blir mer og mer sikker, men organisasjonen trenger å bruke tid på å forsikre seg om i første omgang at de er satt opp korrekt, og at det finnes hensiktsmessige nivåer av sikkerhet.

 

6.3 Hvordan vet organisasjonen hvilken teknologi som eksisterer?

Etter å ha forstått behovet for teknologi, systemer og automatisering og hvor organisasjonen har tenkt å distribuere teknologien for å få best mulig effekt, hvordan finner så organisasjonen ut hva som er tilgjengelig?

 

Organisasjonen bør ha vanen med å scanne for teknologitrender på internett, i bransjetidsskrifter eller på messer og utstillinger. Se etter hva andre folk i andre organisasjoner leser, spesielt opinionsfigurer. Hvor får de informasjonen sin ifra? Organisasjon bør ta seg tid til å finne ut hva andre organisasjoner, muligens konkurrentene eller leverandørene buker.

 

Imidlertid selv om organisasjonen vet at det er en mengde informasjon tilgjengelig og det stadig dukker opp nye teknologier, hvordan beslutter organisasjonen hva som er relevant og hva som er nyttig? En organisasjon bør starte med å være skeptisk på et fornuftig vis. Undersøk teknologien, men spør så ” ja hva så” spørsmål: Er dette relevant for organisasjon, for ansatte og hvordan vil dette virke inn på prestasjonen til de ansatte?

 

6.4 Hvilke verktøy vil støtte opp om en bærekraftig tilnærming til ERM?

 

Erkjenn at utviklingen av teknologier flytter så raskt at listen over hva som er tilgjengelig for organisasjonen alltid vil være dynamisk. Organisasjonen kan bruke følgende liste som en utfordring på hva som i dag er mulig, men det er kun et kort resyme av hva som hender i dag. Nøkkelen er å bli vant til kontinuerlig å scanne dette området på jakt etter nye ideer for å forbedre effektiviten og effesiensen av ERM-systemet. Søk f.eks. på internett etter ”Enterprise Risk Management Software” eller ”Risk Management Software” for potensielle kilder. Nedenfor er et resyme av en del muligheter som er tilgjengelig i dag og hva som taler for og imot.

 

 

Et excel regneark med et register eller kategoriseringsmodell for oppside/nedside risiko Hva det er? De fleste vil gjenkjenne dette som et ”standard” verktøy for å organisere og sortere data. For Relativt enkelt å få tilgang til og konfigurere. Hvis organisasjonen allerede har Microsoft Office som Excel er en del av. Dette er en enkel løsning for en liten organisasjon. Imot Det rekonfigurative aspektet gjør det nesten umulig å pålegge enhver standard – folk ønsker å tilføye nye felter. Dette gjør aggregeringen av informasjon meget vanskelig. Effektiv kommunikasjon er ekstremt vanskelig ettersom organisasjonen enten vil bli nødt til å sende rundt et ”master” regneark eller ”sperre” inne masteren i et e-rom som sjelden blir besøkt. Suksessfaktorer For små organisasjoner eller prosjekter gir regnearket en lett og effektiv løsning. Regneark er ikke egnet for større prosjekter, programmer og organisasjoner.

 

 

 

 

 

 

Database for oppside/nedside risiko Hva det er? Et formelt software verktøy som tillater input og  output av data som er holdt i forhåndsinnstilte felter. For Relativt lett å sette opp. En typisk database pakke som Microsoft Access gjør jobben og er relativ billig. Imot Må bli holdt som en sentralisert ressurs på et lukket nettverk som reduserer kommunikasjonen. Det trengs kunnskap fra spesialister på databaser for å rekonfigurere og forandre rapporter. Suksessfaktorer Bruke en lett tilgjengelig database (ideell på en organisasjons intranett) for relativ små organisa-sjoner/prosjekter. Er ikke virkelig egnet for større organisasjoner, prosjekter, programmer.

 

 

 

 

Nettbasert verktøy for oppside/nedside risiko Hva det er? Et internett basert verktøy som tillater input og output via en browser For Input og output tilgjengelig overalt hvor det finnes en internett forbindelse (via en passord kontroll). Felles online arbeid mulig. Lett tilgjengelighet tenderer til å oppmuntre kommunikasjonen. Fleksibel sikkerhets- løsninger mulig. Skalerbar for enhver organisasjons-størrelse. Imot Sannsynligvis den dyreste løsningen Suksessfaktorer Beste løsningen for større prosjekter, programmer og ERM-løsninger.

 

 

Blogg Hva det er? Personlige kontoer av prosesser, erfaring, referanser etc.. For Nyttig for å holde seg oppdatert om det siste om ERM. Av og til kan det finnes gratis verktøy for oppside/nedside risiko for å laste ned. Imot Som oftest knyttet opp mot kommersielle organisasjoner, slik at anbefalingene sannsynligvis vil være farget mot deres produkter. Gratis verktøy er sannsynligvis overforenklet eller ”enkel” versjon av produktet som du må betale for. Suksessfaktorer Nyttig for aktuell tenkning/læring. Enkle verktøy vil være passende for enkle prosjekter.

 

 

Sosiale media Hva det er? Internett basert nettverkssider som LinkedIn, Facebook, Twitter, etc.. For Nyttig for å knytte seg opp til profesjonelle likesinnede og holde seg oppdatert om det siste innen ”faget”. Sosiale media brukes mer og mer av organisasjoner. Det er også et potensial i Twitter til å lage et ”lukket” system for å kommunisere rundt forretningsområder. Imot Kan ta mye tid å skille ”klinten fra hveten”, dvs. å finne det verdifulle. Suksessfaktorer Nyttig for det siste innen faget. Det er et betraktelig forretningsmessig potensial i sosiale media som sannsynligvis kommer til å bli vanlig i løpet av de neste årene.

 

Det er sannsynligvis ikke noen ide å investere i et sofistikert nettbasert verktøy for å håndtere oppside/nedside risiko på et lite prosjekt der et regneark vil være tilstrekkelig. Imidlertid, i en større organisasjon, prosjekt eller program vil sannsynligvis et nettbasert verktøy være begrunnet og kan ved effektiv kommunikasjon med og blant interessentene hindre alt fra ulemper til katastrofer eller tap av muligheter.

 

Du kan ikke drive en ERM-prosess i en stor organisasjon, et stort prosjekt eller program med et regneark. Mange har prøvd og mange har feilet. Et nettbasert system letter både input og output.

 

6.5 Vurderinger for nettbasert verktøy

 

Ikke alle nettbaserte verktøy er bygd opp på samme måte. Den ene tingen som alle gjør er å tillate øyeblikkelig tilgang til aktuelle data via internett, samme hvor personen befinner seg. Det er flere andre aspekter som organisasjonen bør vurdere når den er i markedet for nettbaserte verktøy for RM eller ERM.

 

Sikkerhet. Hvis organisasjonen foretar en felles ERM-prosess med sine kunder/leverandører er det sannsynlig at organisasjonen ønsker å kontrollere tilgangen til data, slik at noen blir delt og andre er private. De fleste verktøy har i det minste to nivåer av sikkerhet. Den første er å logge inn på nettsiden og det andre er å logge inn som en spesifikk bruker. Brukerens profil bør automatisk begrense brukeren til data som de skal være i stand til å lese og forandre. Kompleksitet. Verktøy kan ha veldig kompleks funksjonalitet, men dette bør kun være synlig for de som trenger å være oppmerksom på det, som f.eks. administratorer. Den gjennomsnittlige bruker vil ikke trenge å ha tilgang til all funksjonalitet, og for stor kompleksitet kan være avskrekkende å bruke ettersom folk kan føle seg skremt av teknologien. Effektive nettbaserte verktøy har ofte anlegg for å styre brukerne til forskjellige personlige sider, avhengig av deres profil. Dette vil si at administratorene får full funksjonalitet, mens toppledere, ved å gå til sine ”personlige” sider, kun får begrensede valg (f.eks. kun å ha tilgang til sine oppside/nedside risikoer og få printet ut sitt oppside/nedside risikoregister/sin risikokategoriseringsmodell). Fleksibilitet. Noen verktøy kommer til å være generelle og komplekse slik at den enkelte i organisasjonen kan velge hva han/hun ønsker å bruke og ignorere de som personen ikke ønsker. Dette gir en tilnærming til et valg, men kan være begrensende, spesielt med hensyn til rapportering. Alternativ tilnærming er å skreddersy verktøyet til organisasjonens krav. For å være i stand til det må verktøyet være fleksibelt ellers vil kostnadene og tidsskalaen for skreddersøm være uoverkommelig. Rapporter. Alle verktøy vil komme med et sett med standardrapporter (f.eks. et oppside/nedside risikoregister/en risikokategoriseringsmodell). I noen av verktøyene kan det spesifiseres tilleggsrapporter og det kan betales for forespørsler om forandringer. De beste verktøyene har rapporteringsfunksjonalitet som kan bli konfigurert ved å trene opp administratorene eller til og med brukerne, uten behovet for noe detaljert teknisk know how. Skalerbarhet. Prosjekter krever typisk en enkel database med oppside/nedside risiko- data. Programmer for avhengige prosjekter krever lagdelt informasjon på program og prosjektnivå og kanskje til og med på delprosjektsnivå. Enterprise Risk Management (ERM) krever en mye mer sofistikert struktur og lagdeling med muligheten til å filtrere og sortere ut hensiktsmessig informasjon. Opptrapping. Knyttet opp imot skalering er evnen til å trappe opp hensiktsmessigheten mellom nivåene i programmene eller organisasjonen. Dette kan bli automatisert (å sette felter forårsaker umiddelbar opptrapping), halvveis automatisering (sette felter alarmerer administratorene at opptrapping forlanges) eller helt manuelt (administratorene beslutter hva som skal opptrappes og når). Erfaring har vist at en halvveis automatiseringsopptrapping sannsynligvis virker best på de fleste organisasjoner av en viss størrelse. Utløsere. Knyttet opp imot opptrapping er evnen til å løse ut ”alarmer” om betydelige forandringer i status. F.eks. hvis et tiltak i en ERM-plan ikke blir gjennomført til avtalt tid, kan tiltaket automatisk bli satt til å være ”forfalt” og kanskje en email eller SMS automatisk blir sent til eieren av oppside/nedside risiko. Utløsere kan være veldig viktige i å forandre og drive atferd relatert til å gjennomføre tiltak. Styringspanel. En eller annen mulighet til å få et overblikk over statusen på oppside/nedside risiko er veldig viktig for å se ”skogen for bare trær”. Dette kan være alt fra å bryte ned et antall oppside/nedside risikoer på hvert prosjekt eller aggregering til en automatisk generering av noen grafiske oversikter/f.eks. en matrise med de viktigste oppside/nedside risikoene ut ifra prioritering og nivå. Prosess. Sist men ikke minst er det faktum at verktøyet vil være ineffektivt hvis ERM-prosessen som er basisen er utilstrekkelig. Det er trist at mange nettbaserte verktøy har overforenklet prosesser som tillater dårlige kvalitetsdata som input og til analyse. Dette leder effektivt til ”søppel inn, søppel ut”, der samme hvor sofistikert verktøyet er, blir virkningen på virkelig ERM minimal.

 

 

6.6 Noen viktige vurderinger

Før organisasjonen går ut og investerer i det siste og beste i software verktøy, bør organisasjonen huske at teknologi kun er en tilrettelegger. Suksessen vil til slutt være avhengig av topplederens evne til å lede andre, topplederens atferd og hvordan det kommuniseres i organisasjonen.

Organisasjonen bør være skeptisk til å bli dratt inn i ny teknolog for raskt – la noen andre gjøre feilene, men lær raskt.

Tilslutt hvis organisasjonen beslutter å introdusere nye IT-systemer tenk nøye over mulige trusler og ikke kun muligheter. Hvilke antagelser gjør organisasjonen og hva kan gå galt?

 

Organisasjonen bør spørre seg selv følgende spørsmål: Hva bør vi gjøre? Hvilke teknologier er tilgjengelige som vil hjelpe oss til å forbedre effektiviteten og effesiensen? Hvem trenger vi å involvere? Hvem vil høste fordeler og hvorfor? Hvilke ressurser vil vi trenge? Hvilke investeringer vil vi trenge? Hvilket tidspunkt? Når vil det være et gunstig tidspunkt/mulighet å introdusere den nye teknologien?

 

Vår ERM-modell/ Vårt ERM-system/ Vårt ERM-rammeverk i tråd med ISO 31000:2009 Risk Management – Principles and Guidelines 

 

Kursguidene A og B

 

 

 

Guide A Bakgrunn, behov, ERM-systemet og – prosesser Antall sider: 322 inklusiv 57 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Organisering av ERM-guidene Risiko Enterprise Risk Management (ERM) Organisasjonen og behovet for Enterprise Risk Management Systemet og prosesser Bedriftsmiljøet Etablering av-kontekst for ERM ERM-kjerneprosess Håndtering og overvåking av risiko ERM-systemevaluering og gjennomgang Vedleggsoversikt

Guide B Gjennomføring og praktisk iverksettelse Antall sider: 258 inklusiv 152 sider vedlegg Forord ERM- håndbøkenes hensikt og målgruppe Hva er forskjellen på risikoledelse og risikostyring? Den nye ISO:3100:2009 standarden Problemet med tradisjonell Risk Management (RM) Fordelene med iverksettelsen av ERM Hva er utfordringene med ERM? Organisering av ERM-guidene Innledning Etablering av kontekst ERM-Kjerneprosessen Håndtering og overvåking Systemevaluering og godkjenning Kommunikasjon og konsultasjon Vedlikehold av kontekst Skjemaer og sjekklister Vedleggsoversikt

 

 

Kursguidene kan bestilles fra www.RisikoLedelse.com
eller e-mail: ja-vig@online.no

 

PRIS:

Guide A: Kr. 430 322 rikt illustrerte A4-sider, hvorav 57 siders vedlegg

Guide B: Kr. 480 258 rikt illustrerte A4-sider , hvorav 152 siders vedlegg

 

Hvis du har noen spørsmål eller ønsker å vite mer om kursguidene Praktisk Enterprise Management (ERM) kan du bruke kontaktmulighetene nedenfor:

 

VIG CONSULTING
ORG.NR: 977 505 992
Jan Vig
Daglig leder
__________________
Kirkeveien 35, NO-1710, SARPSBORG
Mobile : +47 414 43 727
e-mail: ja-vig@online.no
Web: www.slowdown.no ,www.intelligence.no , www.risikoledelse.com

Copyright © 2000-2015 VIG CONSULTING

Del på bloggen