Risikoledelse Flashcards
(101 cards)
1
Q
Forklar begrebet “Top Down”
A
Det er ledelsen i toppen (det strategiske niveau), der giver beskeder til medarbejderne på andre niveauer beskeder.
2
Q
Forklar hvad PACED er, samt hvad det bruges til
A
PACED står for Principles of risk manangement. Det bruges til at opdele, hvad der SKAL gøres i risk management. Den beskriver, hvad riskmanagement skal være, og hvad den skal kunne levere. Fx. Bronuts.
Porportionate: Risk management aktiviteter skal være proportionelle med den risikoorganisation, som den står overfor. Altså brug den lille hammer før den store hammer.
Aligned: ERM skal være justeret til andre aktiviteter i organisationen.
Comprehensive: Risk management skal være omfattende for at være effektivt. Holistisk.
Embedded: Risk management aktiviteter skal være indlejret i organisationen.
Dynamic: Risk management-aktiviteter skal være dynamiske ved at kunne reagere på nye og pludseligt opståede risici.
3
Q
Hvad er operational risk
A
Kan forstyrre eller standse den normale drift i en organisation. Den kan ofte påvirke infrstructure (FIRM).
4
Q
Hvad er en risiko?
A
En mulig hændelse der kan påvirke (hæmme, forstærke eller skabe tvivl om) målopfyldelsen og effektiviteten af organisationens kerneproces. Risiko er altså alt det, der kan påvirke de opstillede mål.
Sandsynlighed x Konsekvens.
5
Q
Hvad er et risikoklassifikationssystem?
A
STOC, FIRM, 4P osv.
6
Q
Forklar STOC
A
Det er core process.
Strategy → Opportunity → Embrace
Tactics → Control → Manage
Operations → Hazard → Mitigate
Compliance → Compliance → Minimize
7
Q
Forklar FIRM
A
Nøgleafhængigheder/Key dependencies:
Finance (intern)
Infrastructure (intern)
Reputation (ekstern)
Marketplace (ekstern)
En risiko kan ramme organisationens nøgleafhængigheder
8
Q
Forklar begrebet “outsource”
A
En ekstern tredjepart i en virksomhed, der får overdraget nogle specifikke arbejdsopgaver. Dette indebærer normalt, at en virksomhed eller organisation beslutter at få udført visse opgaver eller processer af en ekstern leverandør i stedet for at håndtere dem internt. FX. hvis man har et eksternt rengøringsfirma, der er tilknyttet organisationen. Det er ikke problemfrit at have outsources, og ofte er der visse standarder som fx. ISO, som begge parter skal leve op til for at kunne samarbejde.
9
Q
Hvad er business proces?
A
Business processes er de opgaver der udføres på de forskellige niveauer i STOC.
Der er fire grundlæggende typer businessprocesser. Disse er processer, der er designet, implementeret og styret for at sikre de fire gaps.
En business proces, også kendt som en forretningsprocedure eller arbejdsproces, er en struktureret række af aktiviteter eller handlinger, der udføres i en organisation for at opnå et specifikt mål eller resultat. Forretningsprocesser er grundlæggende for en organisations drift, da de styrer, hvordan arbejde udføres, hvordan opgaver koordineres, og hvordan beslutninger træffes.
10
Q
Hvilke gaps er der i business proces?
A
Gaps:
Leadership gap: Deres ledelsesinitiativ kan risikere at gå tabt. Omdømme kan blive sat på spidsen, hvis lederne ikke kan klare opgaven.
Competion gap - Konkurrence-gap fx Kunderne mister troværdigheden hos virksomheden, og går over til konkurrenten i stedet. Hvis en forretning ikke lykkedes, vil det være godt for konkurrenterne.
Effency gap: At gøre noget effektivt. Fx hvis man læser hver dag, får er chancen for at få 12 til eksamen stor.
Complience gap Effency - Man gør tingene på en smart og begavet måde. Man har en drift på en smart måde.
11
Q
Hvad er magnitute?
A
Det fortæller, hvor hårdt en hændelse rammer Fx. hvad et jordskælv er på richterskalaen.
12
Q
Hvad er impact?
A
Påvirkning af en kritisk hændelse og de efterfølgende konsekvenser. Fx. kan forskringer mitigere omkostninger.
13
Q
Hvad betyder “attachement of risk”?
A
Attachment of risks:
Disse kan identificeres, når man undersøger organisationens nøgleafhængigheder, mål eller interessenter.
Man bør overveje alternative veje for at gennemføre risikovurdering. Fx ved at spørge sig selv: “Hvad forventer interessenterne af os?” og “Hvilke risici kan påvirke opfyldelsen af disse interessenters forventninger?”
Nøgleafhængighederne går i stykker, hvis man ikke tager højde for de risks, der følger med. Det kan også være, hvis man ikke har en online shop, og corona dukker op. Her vil finance, infrastructure og marketplace i hvert fald ikke fungere.
Det er ikke kun hazard, men også oportunity risks, hvis man bliver nødt til at ændre taktik. Man skal altså finde på noget nyt, hvis fx ens butik ikke fungerer fysisk. Evt. en online shop.
14
Q
Hvilket akronym forbindes oftest/typisk med ”Source” i en bow-tie model?
A
STOC.
15
Q
Forklar “threat” i 4T
A
Hvis der er en risiko for noget, skal det behandles. Dette gøres ved at sætte forhindringer op for, at hændelsen ikke opstår Bow tie.
16
Q
Hvad bruges 4T til?
A
For hazard risks beskrives udvalget af tilgængelige reaktioner ofte som de 4T’er (tolerate/tolerere, treat/behandle, transfer/overføre og terminate/afslutte). Det er altså her, de 4T’er kommer i brug. Man bruger dem til at undvige en risici. Tænker, at man bruger ca. en af dem pr. risici.
17
Q
Hvad bruges Benchmark-testen til?
A
Den bruges til at identificere, hvad der har betydelig påvirkning for en organisation. Her bruges modellen om FIRM. Organisationen skal derefter gennemgå de eksisterende kontroller og beslutte, om der er behov for yderligere handlinger for de risici.
18
Q
Hvad er “Tolerate” i de 4 T’er?
A
Kontroller der kan opdage, når en hazard er sket. F.eks. en røgalarm, der alarmerer, når der er brand (se figur (1.1)
19
Q
Hvad er risk transfer i de 4 T’er?
A
Hvis man fx forsikrer sit hus, og huset brænder ned, har man transfered risikoen til sit forsikringsselskab, eller hvis man fx deler en virksomhed med en, der er part i virksomheden, kan man også transfer risikoen til sin partner. Man kan også transfer risici til andre samarbejdspartnere (interessenter) omkring virksomheden.
20
Q
Hvad er terminate i de 4 T’er?
A
Man opsiger nogle samarbejdspartnere, som man har, fordi de fx ikke behandler deres medarbejdere ordentligt. Det kan være outsources, som er en tredjepart i en virksomhed. Jeg tænker fx når McDonalds hovedkontor vælger ikke at samarbejde med Rusland mere. Det kostede dem selvfølgelig penge, men de valgte alligevel at sige deres tredjepart op.
21
Q
Hvad er “signifikante risici”?
A
De signifikante risici er dem som er er udvalgt til at skulle have opmærksomhed fra organisationen. Det er normalt at man kan identificere mere end 100 potentielle risici ift. FIRM, men ikke alle sammen er nødvendige at have fokus på, da det vil koste ressourcer.
Man snakker om forskellige slags risici, og det er normalt at have forskellige signifikante risici i forskellige dele af sin organisation.
22
Q
Forklar RASP
A
RASP er rammen for risiko management.
RASP giver detaljer om organisationens risikostyringsramme og hjælper med at definere konteksten for risikostyring
R: Risk
A: Architecture (roller, bygningen, skelettet)
S: Strategy (appetite m.m.)
P: Protocols (guidelines, SOP)
23
Q
Hvad er ERM?
A
ERM tilgang: strategisk, holistisk (helhedsorienteret), integreret risikostyring. ERM giver organisationen et overblik over de risici, den står overfor, så risici kan håndteres.
For at opnå en vellykket ERM, er der 5 principper, som indebærer bl.a. kultur, strategi, performance og kommunikation (se s. 89).
Her er der fokus på alle niveauer, og der er fokus på RASP som er rammerne omkring hele organisationen.
ERM foregår på et højt niveau. Det omfavner alt det relevante.
Strategiske beslutninger er altid under ERM og RM.
Enterprise kigger på potentielle risici, samt hvordan man identificerer det. ERM er altså mere dybdegående og analyserende. RM fokuserer kun på, hvordan man undgår risici.
ERM er det hele, hvor RM og BCM hører under.
24
Q
Forklar hvad “disruptive events” er.
A
En forstyrrelse eller risiko, der påvirker virksomheden (f.eks. 4P’er, FIRM) . Hører sammen med bow-tie.
Vi har haft om det i BCM.
25
Hvad er risikostyring? (Risk governance)
Risikostyring er processen med at identificere, vurdere, forstå, håndtere og minimere risici for at opnå organisationens mål og målsætninger på en mere sikker og effektiv måde. Det er en afgørende del af enhver organisations ledelsesproces og forretningsstrategi, da det hjælper med at forstå og håndtere usikkerheder og potentielle trusler, der kan påvirke organisationens succes.
26
Hvad er "Short-term risks"?
Det er de risici, der har deres impact umiddelbart efter de træffer organisationen. Ofte vil disse ramme det operationelle niveau, og derfor typisk være hazard risks. Det kunne fx være risici der omhandler arbejdsmiljøet, en trafikulykke, eller en brand på et lagerhus.
27
Nævn 4E'er
4E
Der er et tæt forhold mellem de 4Es og organisationens status, som illustreret i figur 15.2. En opstartsvirksomhed vil stå over for et højere risikoniveau og lavt potentiale for belønning.
Explore: Udforsk muligheden
Expand: Brug ressourcerne, hvis du har dem.
Exploit: Udnyt muligheden.
Exist: Eksister i det modne marked.
5. Exit: Hvis risikoappetitten er overskredet. Dette sker efter expand.
28
Hvad er up-site risks?
Bruges som definition på, hvad der er gået godt i en organisation fx siden vi gjorde det her, er der kommet disse upsides.
man får noget positivt ud af en negativ situation.
Bruges under opportunity risks, og måske også hazard risks?
29
Hvad er risk governance?
Risk governance, eller på dansk "risikostyring og -ledelse," refererer til den strukturerede proces, politikker og praksis, der er på plads i en organisation for at styre og tage beslutninger om risici. Det involverer den overordnede styring og ledelse af risikostyringsaktiviteter i en virksomhed eller organisation for at sikre, at risici håndteres på en effektiv måde i overensstemmelse med organisationens mål og værdier.
Her er nogle centrale elementer i risk governance:
Struktur og ansvar: Risk governance definerer, hvordan ansvaret for risikostyring er fordelt i organisationen. Dette inkluderer at identificere ansvarlige for at identificere, evaluere og håndtere risici på tværs af forskellige niveauer og funktioner.
Politikker og procedurer: Det indebærer også udvikling og implementering af risikopolitikker og procedurer, der fastlægger retningslinjer for, hvordan risici skal håndteres og rapporteres.
Kommunikation: Risk governance fremmer åben og effektiv kommunikation om risici på tværs af organisationen. Dette omfatter rapportering til ledelsen, bestyrelsen og andre interessenter om status for risikostyring og identificerede risici.
Overvågning og rapportering: Det indebærer løbende overvågning af risici og rapportering om resultaterne. Dette gør det muligt for organisationen at reagere på ændringer i risikobilledet og tage nødvendige handlinger.
Kultur og værdier: Risk governance fremmer en risikobevist kultur inden for organisationen, hvor alle medarbejdere forstår vigtigheden af at identificere og håndtere risici i overensstemmelse med organisationens værdier og mål.
Compliance og regulering: Risk governance tager højde for overholdelse af lovgivning og regulering, der er relevant for organisationens aktiviteter. Dette inkluderer at sikre, at organisationen opfylder alle krav og rapporteringsforpligtelser.
Effektiv risk governance er afgørende for at beskytte organisationen mod potentielle trusler og uforudsete begivenheder samt for at maksimere mulighederne for vækst og succes. Det spiller en central rolle i at sikre, at risikostyring er en integreret del af organisationens strategi og beslutningsproces på alle niveauer.
30
Hvad er LILAC?
Organisationens kultur bestemmer, hvordan enkeltpersoner vil opføre sig i bestemte omstændigheder. Den definerer, hvordan en person føler sig forpligtet til at opføre sig under alle omstændigheder.
Hvordan opnår man Risk Aware Culture i en organisation (LILAC)
Leadership/lederskab
Involvement/involvering
Learning/læring
Accountability/ansvarlighed
Communication/kommunikation
At opbygge, integrere og implementere risikokultur i en organisation.
31
Forklar FOIL
FOIL (beskriver handlingen, processen)
Fragmented (fragmenteret)
Risikostyrings Aktiviteter er fragmenterede (opsplittet).
________________
Organized (organiserede)
Der er planlagt tiltag for at koordinere risikostyrings aktiviteter
Planen er ikke fuldt ud implementeret
________________
Influential (indflydelsesrige)
________________
Leading (førende/ledende)
Der bliver taget højde for risici er med i ledelsens strategier og beslutninger
32
Forklar 4N
4 N’er Beskriver modenhed i en organisation (status/niveau af modenhed)
Naive (naiv)
Uvidende om risici
Uvidende om BCM-fordele
________________
Novice (nybegynder)
Opmærksom på BC-fordele
Start fase af ERM implementering
________________
Normalized (normaliseret)
ERM er blevet inkorporeret
Stadig behov for flere ERM tiltag
________________
Natural (naturlig)
Etableret risikobevidst kultur
33
Hvad er risikomodenhed?
En er organisation er moden i måden, den udfører sine risikostyringsaktiviteter på.
Hvor moden en organisation er. FX. hvis det er en ældre organisation, vil den typisk have nogle helt klare procedurer for, hvad der skal ske. Den er dermed præget af den moderne tilgang. En ny organisation vil mere være præget af den postmoderne tilgang.
34
Hvad er risikoappetit?
Risikoappetitten er den restrisiko, virksomheden kan/vil acceptere. En meget risikoavers virksomhed har en lille appetit og omvendt.
35
Hvordan hænger risikoattitude og risikoappetit sammen?
Risk attitude: Blødt formuleret. Det er hele firmaets abstrakte attitude. Det er en vejledning til den, der er projektleder i fx når der skal åbne en butik i USA. Den bruges til at konkretisere risikoappetitten.
Risk appetite: Produkt som fungerer godt. Sælges i EU og Asien, nu skal det sælges i USA.
36
Hvad er risk accept?
Hvilke risici en organisation accepterer. Det kan være meget forskelligt. Hvor langt vil en organisation gå? Hvad har de kapacitet til?
37
Hvad er 4C?
Farverne i risk matrixen. Der er critical zone, concerned zone cautious zone og comfort zone. De visualiserer, i hvilken zone risikoappetitten eller risikoattituden befinder sig.
38
Hvad er risikokapacitet?
Man er forskellig fra menneske til menneske. Mennesker har forskellige evner til at stå imod. Fx Nogle mennesker bliver nemmere syge end andre. Det er den samlede sum af kapaciteten.
Fx lufthavnen har meget mere sikkerhed end Netto. Alligevel er begge steder udsat for terror, men lufthavnen har altså bedre kapacitet i forhold til sikkerhed.
Kapacitet har også ofte noget at gøre med penge. Det så man også meget under corona-krisen.
39
Hvad er risk exposure?
Det man bliver udsat for. Man leger med ilden. Man er ude et sted, hvor økonomien ikke kan redde dig. Man tager summen af alle hazard risks, der ligger i risk exposure. Den totale amount of risks.
40
Hvad er Risk Management Sophistication?
Jo højere et sophistication niveau organisationen er på, jo mere avanceret og forbedret bliver deres risikostyring.
Sofistikeringsniveauer:
Inform: uvidenhed om forpligtelser; (Compliance)
Reform: bevidsthed om ikke-overensstemmelse; (Hazard)
Conform: handlinger for at sikre overholdelse. Man overholder regler og krav. (control)
Perform: opnå forretningsmuligheder; (opportunity)
Deform: inaktivitet forårsaget af besættelse.
Der er høj sophistication, når der er styr på RASP. Jo mere holistisk (helhedsorienteret) man tænker, jo mere sofistikeret er organisationen. Jo mere sofistikeret en organisation er, jo mere PACED og MADE2 er det også.
41
Hvad er MADE2?
MADE2 er gode grunde til at påbegynde risk management initiativer.
Mandatory - mål med ERM er at sikre overenstemmelse med gældende regler, regulations og forpligtigelser (ISO + lovgivning).
Assurance- bestyrelsen vil kræve at RM-aktiviteter stemmer overens med PACED (generelle principper for RM) (Procedurer, retningslinjer, SOP).
Decisions- RM-aktiviteter skal sikre, at relevant risikobaseret information er tilgængeligt ift. beslutningstagning (Bestyrelsesmedlemmer).
Effective and efficient core process
RM-aktiviteter skal hjælpe med at opnå effective and efficient strategy, tactics, operations and compliance (STOC) for at sikre det bedste resultat, hvor omkostningerne af resultaterne minimeres, men uden at kvaliteten falder (Boing, da de fik ny chef).
42
Hvad er risikokultur?
Risikokultur er baseret på organisationens villighed til at tage risici (risikoappetit) samt organisationens kapacitet til at håndtere en hændelse (risikokapacitet). Alle i organisationen på alle niveauer skal have den samme forståelse af risiko og have det samme situationsbillede.
Perspektiver til LILAC.
43
Forklar begrebet "Loss control"
"Begrænsning af tab". Dette gør man ved først at definere en risikos sandsynlighed og omfang af konsekvenser (FIRM/STOC), for at kunne sætte ind med kontrolforanstaltninger. Disse sætter man ind enten ved at forebygge (Loss Prevention) (barrierer), for at begrænse selve skaden (Damage limitation) eller ved at begrænse omkostningerne (Cost containment) (Forsikringer)
44
Forklar de fire P'er
De fire P'ere:
People: fx Det kan være dødsfald, krænkelsessager osv.
Premises: fx Noget bliver forurenet, tyveri.
Processes: fx Dårlig vedligeholdelse
Product: fx Dårlige produkter og servicekvalitet.
De fire P'er bruges til at Identificere, hvilke mulige risici, der kan være. Man bruger dem, når noget bliver ramt, som giver en form for event, som giver en form for impact. Man kan placere de fire p'er som årsag til, at der sker et event, der fører til en effekt eller impact. Firm, Stoc og fire p'er kan anvendes som risikoklassifikation.
Fx. Me2 sag under omdømme i FIRM kan skyldes people.
45
Hvad er forskellen på Effenicency og effektivitet?
Effenciency: Man er mere strategisk, læser med andre, man får noter, og får 12 i sidste ende. Man er smart og strategisk.
Effektivitet: Fx man er effektiv og læser op til eksamen hver dag, og man får 12 i sidste ende.
46
Forklar de tre levels of risks i forhold til hazard risks.
Inherent level of risk: Hvis man ikke laver nogle kontrolforanstaltninger, er man på dette niveau. Hvor er acceptgrænsen?
Hvordan rammer denne risiko, hvis der ikke er nogen controls? Inherent er det, der er nu. Det hænger sammen med magnetute.
Current or residual level of risk: Nuværende hændelse. Man har besluttet, at det er blevet sådan. Det er en rest, som vi ikke kan komme af med, som man må acceptere. Det er restrisikoen. Bogen anbefaler, at man bruger ordet current, fordi det er det nuværende risiko i stedet for at bruge ordet residual.
Target level of risk: Et bestemt mål. Dette kan være svært at nå.
47
Hvad er forskellen på risk management og enterprise risk management?
Risk management: Overvejende risk assessment discipliner. Her ligger risikostyring.
Enterprise risk management: Man har nogle fælles måder at gøre noget på. Man har fælles protokoller, fælles mål, en fælles situationsforståelse. Der er fire forskellige modenhedsniveaer, der blandt andet beskæftiger sig med, hvilken filosofi, der er tale om.
Enterprise risk management:
Her prøver man at se, hvilke mål virksomheden gerne vil hen til. Man vil gerne have hele organisationen til at arbejde på samme måde helt fra det operative til det strategiske. Holistisk: Man arbejder i det samme klassifikationssystem. Fx alle arbejder i det samme uddannelsessystem, så de forstår hinanden bedre.
48
Hvad er risk architecture?
Rollefordeling i organisationen. Hvem gør hvad?
49
Hvad er ISO-standarder?
En virksomhed kan overveje at søge ISO-certificering, når den ønsker at demonstrere sin evne til at opfylde internationale standarder og opnå bestemte mål og målsætninger. ISO-certificering kan være relevant og gavnlig for en bred vifte af virksomheder og organisationer, uanset størrelse eller industri.
50
Approaches to risk management
Organisationer og deres definition af risk management.
Der er tre forskellige approaches (tilgange) i forskellige standarder:
● "risikostyring", som følges af ISO 31000;
● "intern kontrol", udviklet af COSO's interne kontrolrammeværk og af FRC's risikovejledning;
● "risikobevidst kultur", udviklet af Canadian Institute of Chartered Accountants, kendt som kriterierne for kontrol (CoCo) rammeværket.
ISO31000 er bl.a. en approach. Det er en form for guideline. Det samme gælder COSO og COCO.
Eksempel: man kan finde mange opskrifter på chokoladekage, hvor ingredienserne kan være forskellige i de forskellige opskrifter. Man ender dog med samme produkt (en chokoladekage).
51
Forklar hvad Audit er.
ISO laver audit, fordi de tjekker, om kvaliteten er god i en organisation.
Audit er, når der kommer nogen ud og tjekker kvalitetsmanualen i en organisation.
Kvalitetsmanualen er et vigtigt dokument, når man arbejder med fasen ”før projektet besluttes”.
52
Forklar hvad "Gross risks" er.
"Gross risk" refererer normalt til den samlede mængde risiko eller eksponering, som en organisation eller en investering står overfor, før nogen former for forsikring eller risikoreduktion er blevet anvendt. Det er den "rå" eller "uforarbejdede" risiko, før eventuelle risikostyringsforanstaltninger træder i kraft.
Det læner sig op af impact, der ikke er så højt, hvis man fx. er forsikret.
53
Hvad er effiency gap?
Efficiency gap kan opstå af flere årsager, herunder ineffektive processer, manglende udnyttelse af ressourcer, bureaukrati og andre faktorer, der hindrer en organisation eller økonomi i at opnå sit fulde potentiale. Det er en måde at identificere områder, hvor der er plads til forbedringer og øget produktivitet.
Efficiency gap kan måles på forskellige måder, afhængigt af den specifikke kontekst.
54
Hvad er formålet med et klassifikationssystem?
Formålet med et risikoklassifikationssystem er at hjælpe organisationer med at forstå, prioritere og håndtere de forskellige typer af risici, de står over for.
55
Hvad er risikoregister?
En oversigt over de identificerede risici (skal dokumenteres).
Et risikoregister har 3 funktioner:
at indsamle risikoinformation
at opretholde disse data
at levere kildemateriale
Er nyttigt ift. audits.
Et risikoregister, også kendt som et risikokort eller en risikodatabase, er et centralt værktøj inden for risikostyring, der bruges til at identificere, dokumentere, overvåge og administrere risici i en organisation eller et projekt. Det er en systematisk måde at organisere og vedligeholde oplysninger om potentielle risici, der kan påvirke organisationens mål og målsætninger.
Her er nogle nøgleelementer og formål med et risikoregister:
Identifikation af risici: Risikoregisteret tjener som en central database, hvor forskellige typer risici identificeres og dokumenteres. Dette inkluderer risikofaktorer, årsager, konsekvenser og andre relevante oplysninger.
Prioritering: Risikoregisteret hjælper med at prioritere risici baseret på deres potentielle indvirkning og sandsynlighed for forekomst. Dette gør det muligt for organisationen at fokusere på de mest kritiske risici.
Beskrivelse: For hver identificeret risiko indeholder registret en detaljeret beskrivelse, herunder information om, hvordan risikoen kan påvirke organisationen, og hvilke foranstaltninger der allerede er på plads for at håndtere den.
Ejer og ansvar: Hver risiko i registret tildeles normalt en ejer eller en person, der er ansvarlig for at overvåge og administrere risikoen. Dette sikrer ansvarlighed for risikostyring.
Overvågning og opdatering: Risikoregisteret opdateres regelmæssigt for at afspejle ændringer i risikobilledet. Dette kan omfatte tilføjelse af nye risici, opdatering af risikovurderinger og ændringer i risikostyringsstrategier.
Risikostyringsstrategier: For hver identificeret risiko kan risikoregisteret indeholde information om de specifikke risikostyringsforanstaltninger, der er planlagt eller implementeret for at håndtere risikoen.
Rapportering: Registret fungerer som et værdifuldt værktøj for at generere rapporter og præsentationer til interessenter, herunder ledelse og bestyrelse. Det giver en klar oversigt over organisationens risikoprofil.
Risikoregistre bruges i forskellige brancher og organisationstyper, herunder erhvervslivet, projektledelse, sundhedssektoren og offentlig forvaltning. De er afgørende for at opretholde gennemsigtighed og kontrol over organisationens risikobillede og hjælper med at træffe informerede beslutninger om risikostyring og planlægning.
56
Forklar Preventive, corrective, directive and detective (PCDD)
Preventive (terminate) kontroller er designet til at begrænse muligheden for, at en uønsket farehændelse opstår. Flertallet af de kontroller, der implementeres i organisationer som reaktion på fare-risici, er forebyggende kontroller. For sundheds- og sikkerhedsrisici inkluderer forebyggende kontroller at erstatte et mindre farligt materiale i aktiviteten eller indkapsle aktiviteten, så medarbejderes eksponering for støv eller dampe elimineres. Fx. man finder andre samarbejdspartnere, der kan levere noget mere sikkert.
Corrective (treat) kontroller er designet til at rette uønskede omstændigheder. Sådanne kontroller giver en central metode, hvor risikoen behandles, så den bliver mindre sandsynlig at opstå og/eller påvirkningen reduceres betydeligt. For eksempel er maskinværn korrektive kontroller. Fx. McDonalds giver handsker til, når medarbejderne skal håndtere friture og olie.
Directive (transfer) kontroller er designet til at sikre, at et bestemt resultat opnås. I sundheds- og sikkerhedsterminer vil direktive kontroller inkludere instruktioner/vejledninger givet til medarbejdere til at følge, for eksempel i brugen af personligt beskyttelsesudstyr. Træning i, hvordan man reagerer på en bestemt risikohændelse, og detaljerede instruktioner og procedurer er direktive kontroller. Direktive kontroller er også forbundet med handlinger, der skal udføres i tilfælde af tab for at begrænse skaden og indeholde omkostningerne. Fx. McDonalds anbefaler, at medarbejderne tager sikkerhedssko på. Det anbefaler de i deres overenskomst.
Detective (tolerate) kontroller er designet til at identificere situationer, hvor et uønsket udfald er indtruffet. Kontrollen har til formål at opdage, hvornår disse uønskede begivenheder er sket, for at sikre, at omstændighederne ikke forværres yderligere. Et eksempel på detektive kontroller i et projekt er at gennemføre en efter-hændelses evaluering. FX. evaluering hvis McDonalds vælger kun at sælge vegetarisk i en måned.
57
Hvad er EM3?
Embrace (opportunity), manage (control), mitigate (hazard) og minimize (compliance).
58
Hvad er BIA?
BIA (Business Impact Analyse): En analyse af de potentielle virkninger af en krise på organisationen, dens operationer, medarbejdere og interessenter. BIA hjælper organisationen med at identificere og prioritere de vigtigste funktioner og processer, der skal opretholdes i tilfælde af en krise.
Business Impact Analysis - BIA:
1. Definerer, hvad der skaber værdi
2. Definerer kritiske aktiviteter
3. Identificerer afhængigheder og processer
4. Definerer robusthed for hver aktivitet
5. Identificerer interne og eksterne ressourcer
6. Definerer Maximum Tolerable Downtime (MTD)
Definerer recovery time (RTO/RPO)
59
Hvad er MTD?
Maximum Tolerable Downtime (MTD), på dansk "Maksimal Tolerabel Nedetid," er en vigtig parameter inden for risikostyring og kontinuitetsplanlægning. MTD er den maksimale tidsperiode, som en organisation eller en virksomhed kan acceptere som nedetid eller afbrydelse af sine kritiske operationer, før det har alvorlige negative konsekvenser. FX. McDonalds smelteost kommer fra Tyskland, og sovser kommer fra England. Dette kunne evt. have været et problem under breaksit.
60
Hvad er BCI?
BCI (Business continuity institute) definerer 7 områder for sårbarhed i en virksomhed:
Reputation
Supply chain
Information and Communications
Sites and facilities
People
Finance
Customers
61
Hvornår optræder BCM?
BCM handler om efter krisestyringen. Hvordan genskaber man noget igen? Hvilke præventive tiltag skal der til?
62
Hvad er "Core-process"?
Sæt af koordinerede forretningsaktiviteter for at levere en
interessents forventninger, der kan være strategiske, taktiske, operationelle eller compliance (STOC).
Virksomhedens mål og interessenters forventninger hjælper med at definere organisationens kerneprocesser. Fx. er virksomhedens mål, at der er en god kundeservice.
Der er forskellige kerneprocesser, alt efter hvilket niveau i STOC, som vi er på. Fx. er der en kerneproces for kundeservice, som eksisterer på det operative niveau. (Ikke fra bogen).
63
Forklar begrebet "Target"
Current er det, som vi har lige nu, men "target" er det ønskede mål. Det er altså det mål, som vi gerne vil nå. Det er her, hvor vi gerne vil hen. Dette kan dog være svært.
64
Hvad vil det sige at "mappe" noget?
At mappe noget betyder, at man visualiserer noget via diagrammer, statestikker osv.
65
Kom med et eksempel på Risk Management Sophistication.
Som et simpelt eksempel kan en magasinudgiver måske indse, at den ikke fuldt ud overholdt lovgivningen om lige muligheder, fordi der ikke var repræsentation af etniske minoriteter inden for arbejdsstyrken (Information - Compliance).
Virksomheden vil identificere de nødvendige handlinger for at reformere sine procedurer, så den overholder lovgivningsmæssige krav. Når overensstemmelse er opnået, bør udgiveren søge at præstere bedre på markedet ved at udforske muligheder for at producere og udgive nye magasiner, der appellerer til en mere etnisk mangfoldig læserskare.
Reformstadiet for at overholde og præstere repræsenterer niveauer af risikostyringskompleksitet (Reform - Hazard).
Herefter få man andre til at acceptere og manage, at nye forandringer træder i kraft (Confrom - Control).
Til sidst embracer man muligheden Fx. man embracer at magasinet nu skal være for alle også med andre med anden etnisk baggrund (Perform - Opportunity).
Det kan også ske, at man ikke får embracet den nye mulighed, så vigtige beslutninger ikke bliver truffet. Her vil aktiviteten blive diakativeret i stedet for (Deform).
66
Hvilke kompetencer og træning er der indenfor risk management?
Hårde færdigheder: Tekniske færdigheder, regnskab, økonomi, compliance, HR.
Bløde færdigheder: Menneskelige værdier, kommunikation, relationer.
Risk management training: Man skal træne folk, når de er et nyt sted i livet fx. hvis de lige er blevet forfremmet eller har fået en ny rolle. Se. figur 27.1
67
Hvad er RTO (recovery time)?
Recovery Time, på dansk "gendannelsestid," er et vigtigt begreb inden for Business Continuity Management (BCM) og risikostyring. Det refererer til den tid, det tager at gendanne en bestemt operation, tjeneste eller system til fuld funktionalitet efter en nødsituation, en katastrofe eller en betydelig forstyrrelse.
Gendannelsestiden skal nøje overvejes, da den påvirker organisationens evne til at opfylde sine forretningsmæssige forpligtelser og minimere tab. For eksempel kan en bank have en meget kort gendannelsestid for at sikre, at dens ATM'er og online banktjenester er tilgængelige så hurtigt som muligt efter en katastrofe.
68
Hvad er RPO (Recovery point objective)?
Man håber på, at man kommer tilbage til niveauet på et bestemt tidspunkt.
69
Forklar up streams og down streams
Up streams: Op får man overblikket. Mod råvarer. Her kommer man tilbage på, hvor råvaren bliver produceret.
Down streams: Man går ned i detaljer. Mod kunder. Her kommer man tættere på, hvor kunderne er. Hvor ender dette?
70
Forklar risk management processen inde i RASP
1. Det strategiske mål
2. Risikovurdering
3. Risikorapportering - Trusler og muligheder
4. Decision
5. Risikobehandling
6. Resterende risikorapportering
7. Monitorering - Overvåge/tilse
Organisationer bør sikre, at risikostyringsprocessen gentages så ofte som
nødvendigt for at overvinde vanskeligheden ved et statisk øjebliksbillede af status for de risici, der står over for organisationen. Dette vil sikre, at risikostyring forbliver en dynamisk aktivitet.
71
Hvad er ERM-tilgang?
Når en organisation overvejer alle de risici, den står over for, og hvordan disse risici kunne påvirke dens strategi, projekter og drift, så er organisationen i gang med en ERM-tilgang.
72
Forklar Risk appetite statements:
For at lave et Risk Appetite Statement, er der fire trin:
1. Identificer interessenter og deres forventninger.
2. Definér virksomhedens samlede risikoeksponering gennem STOC.
3. Fastlæg det ønskede niveau af sandsynlighed, der vil føre til en Risk Appetite Statement.
4. Definér det acceptable interval af usikkerhed omkring hver af typerne af risici, hvilket fører til et statement om acceptable risikotolerancer.
73
Forklar Plan-Do-Check-Act
Det er kvalitetscirklen. Når man planlægger (plan), vælger man metode, man sætter mål osv. Efter udførelsen (do), må man se på resultatet: tjek: sammenligne resultatet med målene. Er der afvigelser, må vi forstå dem og lære af dem. Action: Hvis resultatet var godt, kræves ingen ændring (korrektion). Hvis det var dårligt, skal man undersøge, hvad der kan ændres.
74
Hvad er BCM-lifecycle?
BCM Lifecycle:
1. Planlægning/ Analysis: Denne fase fokuserer på at definere og identificere organisationens kritiske forretningsprocesser og ressourcer, risici og trusler mod organisationens aktiviteter, og identificere den nødvendige kapacitet og ressourcer for at opretholde driftskontinuitet i tilfælde af en krise. Analysen skal tage udgangspunkt i, hvem vi er, og hvad vi kan.
2. Implementering/ Design: I denne fase implementeres BCP-planen, og organisationen træffer beslutninger om, hvilke procedurer der skal følges, hvilke ressourcer der skal anvendes, og hvordan man vil kommunikere internt og eksternt i tilfælde af en krise. Fx laver man dokumenter om fx rejsesikkerhed på KP, hvis man skal til udlandet. Selvom der er meget at holde styr på, må det ikke blive for avanceret, for så kan modtageren ikke forstå, hvad de læser.
3. Test og evaluering/ Implement: I denne fase testes BCP'en for at sikre, at den fungerer effektivt, og at organisationen er i stand til at opretholde driftskontinuitet i tilfælde af en krise. Derudover evalueres BCP'en for at identificere og rette eventuelle mangler eller ineffektiviteter i planen.
Fx. bruger folk overhovedet handskerne på McDonalds, som er blevet implementeret?
4. Vedligeholdelse/ Improve: I denne fase opdateres og revideres BCP'en løbende for at sikre, at den er aktuel og effektiv. Det er også i denne fase, at organisationen træner medarbejdere og andre interessenter i BCP-procedurer og reviderer planen efter behov baseret på eventuelle ændringer i organisationen eller dens risikoprofil. Her laves der forbedringer ud fra det, der er mest kritisk.
5. Embed (indlejre): Træne medarbejderne, så man er sikker på, at de leverer det, de skal.
Sammensat udgør BCP-processen og BCP-livscyklussen en strategisk tilgang til at forberede sig på og håndtere kriser og forstyrrelser, så organisationer kan opretholde driftskontinuitet og fortsætte med at levere deres kerneydelser i tilfælde af en krise.
75
Hvad er APM?
APM refererer normalt til "Alternate Processing Mode" eller "Alternative Processing Mode." Dette begreb henviser til en forretningskontinuitetsstrategi, hvor en organisation har alternative måder at behandle data og udføre kritiske operationer, hvis den primære driftssted eller system bliver utilgængelig på grund af en nødsituation eller en katastrofe.
Fx. back-up systemer, alternative arbejdssteder osv.
76
Hvad er resiliens?
Modstandskraft. Det bruges til at genskabe drift.
77
Forklar Operational Risk Management (ORM) inkl. måling.
ORM er håndteringen af den type risiko, der vil forstyrre normale hverdagsaktiviteter, og som er indbygget i aktiviteterne, processerne og kontrollerne, som leverer organisationens ”main activities”.
Der er 12 principper i ORM, som bl.a. indebærer risikokultur, risikoappetit, overvågning og rapportering, control og mitigation, BCM osv.
Måling af operationel risiko kan involvere flere metoder – ofte baseret på historisk information, simuleret information eller en kombination af begge.
78
Hvad er long term risks?
Long term risk er relateret til strategi og er ofte opportunity risk, men ikke altid. Long term risk har potentialet til at påvirke strategien og implementeringen heraf. Da denne type risk er forbundet med opportunity risk vil man være nødt til at embrace den i et vidst omfang. (Figur 11.1 og afsnittene ovenfor).
79
Forklar komponenterne i “the business model”
Ved at kende en virksomheds business model, kan man analysere den og finde risici ud fra de forskellige komponenter.
CORR-komponenter
Customer:
Distributionskanaler
Kunde-delen
Aktiviteter ifm. marketing og salg
Offering:
Tilpasning af tilgængelige ressourcer og kapaciteter, der leverer den intenderede kunde et værdigt tilbud med relaterede fordele.
Resources:
Data, muliggørelse, aktiver
Partnere og netværk
Organisatorisk struktur (arkitektur)
Aktiviteter og kerneprocesser
Resilience:
Mennesker, forpligtelser, formål, kultur, lederskab, styring
Etos, troværdig, etik, omdømme,
Udgifter relateret til infrastruktur, udvikling, forsyningskæde,
Indtægter relateret til salg, profit, pengestrøm
80
Hvorfor er Preventive, corrective, directive and detective (PCDD) et risikoklassifikationssystem?
Fordi det kategoriserer måder hvorpå, man kan kontrollere en risici. Det er altid en god idé at evaluere, efter man har indsat en kontrolforanstalt.
81
Forklar Blue ocean og red ocean.
Blue ocean er alene med markedet og har et unikt produkt. Det er derfor, det altid går godt.
Red ocean: Fx at lave burgere. Det er et hårdt marked, fordi andre har det samme slags marked.
82
Hvad er risk assurance?
De signifikante risici bliver kontrolleret. Man har audits til at kontrollere det. Det er de foranstaltninger, som man sætter i værk for at have en god selskabsledelse.
Kontrolforanstaltninger holder øje. Fx. KP holder øje med, hvor mange der må få 12 til eksamen.
Assurance: Sikring af, at vi overholder vores egne interne og eksterne regler.
83
Intern kontrol
Har til formål at sikre organisationens værdier
- Overholdelse af politikker og procedurer
- Overholdelse af gældende love og bestemmelser.
- Drifteffektivitet og effektivitet.
- Interessenternes interesse (Dette er et meget vigtigt element til eksamen).
- m.m.
En organisation udvikler interne kontroller, bør den se på foranstaltninger, der i forvejen er implementeret.
84
Hvad er Control environment?
En person udfører en opgave, der er styret af en underliggende forståelse af opgavens formål og med den rådige hjælp.
Hvordan laver vi kontroller? Hvordan gør vi? Man tager hensyn til medarbejderne i forhold til assurance, så medarbejderne ved, hvorfor denne opgave udføres.
85
Hvad er Good Governance?
Governance: Styring og ledelsesværktøjer Fx forretningsplan kan have indvirksning på businessplan.
Good governance gælder både offentlige og private virksomheder. Man forsøger at undgå, at der kommer dårlig stemning fx hvis nogen i boardet begynder at blive uprofessionelle og onde ved hinanden. Det er også vigtigt at undersøge, om alle boardmedlemmer forstår mission og vision.
86
Hvad er KPI?
Du måler på, om du gør tingene godt nok. Key performance.
87
Hvorfor er "S" i RASP vigtigt?
Det er i S i RASP, at man finder risk attitude. Risk attitude er langsigtet. Her undersøger man fx hvor meget investorerne sætter på spil? De langsigtede mål?
88
Forklar noget om scope indenfor BCM
Definition af scope - Organisationens prioriteter - Vi kigger på mission og vision. Hvis man ved, hvad ledelsen vil, er det nemmere at finde ud af, hvad mellemlederen skal beskæftige sig med.
89
Forklar Intern kontrol
Det hører under control environment.
Intern kontrol er alle elementerne i en organisation, der, når de tages i betragtning samlet, støtter mennesker i opnåelsen af organisationens mål. Elementerne inkluderer ressourcer, systemer, processer, kultur, struktur og opgaver.
90
Hvad er ISO31000?
Det er en retningsstandard, der fastlægger retningslinjer og principper for risikostyringen (Risk management proces). Det er ikke en certificeringsstandard som f.eks. ISO 9001 (kvalitetsstyring)
91
Forklar hvad CSFSRS er.
Rækken af interessenter i en organisation vil omfatte kunder, medarbejdere, finansiører, leverandører, reguleringsmyndigheder og samfundet (CSFSRS).
92
Hvad er ALARP?
ALARP = As Low As Reasonably Practicable – not necessary to eliminate risk. Formålet med ALARP-princippet er at minimere risikoen for skader eller uheld til det lavest mulige niveau, som det rimeligt er muligt at opnå, uden at det indebærer uforholdsmæssige omkostninger eller besvær. Ligesom current vel.
For eksempel, hvis du har en arbejdsplads med en lille risiko for, at medarbejdere kan glide på et vådt gulv, kan du træffe rimelige foranstaltninger som at placere advarselsskilte og installere skridsikre måtter for at reducere risikoen til et acceptabelt niveau. Men at dække hele gulvet med et dyrt og uoverkommeligt skridsikkert materiale ville ikke være rimeligt.
Så ALARP handler om at bruge sund fornuft og økonomisk realisme i risikostyring, hvor målet er at minimere risici til et niveau, der er praktisk og rimeligt, uden at overdrive det med unødvendige omkostninger eller besvær.
93
Forklar Audit committees.
Dem der kontrollerer, om proceduren for risikoforsikring er passende, de bekræfter om betydningsfulde risici er korrekt identificeret, og om de er betydningfulde nok. Samtidig undersøger de, om kritiske kontroller er blevet korrekt implementeret.
De har mulighed for, at evaluere alle aktiviteter i organisationen. Også bestyrelsens aktiviteter.
94
Uddyb Control enviroment
Control environment handler om den måde, en virksomhed eller organisation sætter tonen for, hvordan de håndterer regler, sikkerhed og kvalitet i deres arbejde. Det er som reglerne og kulturen i et hold eller et team.
Forestil dig et fodboldhold. Control environment svarer til holdets regler og spillernes holdning:
Regler: Holdet har regler om fair play, f.eks. ingen skubben eller snyd. Disse regler hjælper med at skabe orden og retfærdighed i spillet.
Holdning: Spillerne har en positiv indstilling. De er dedikerede, samarbejder og respekterer hinanden. Dette skaber et sundt og effektivt holdmiljø.
På samme måde skaber control environment i en virksomhed rammerne for, hvordan de overholder love og regler, sikrer kvalitet og håndterer risici. Det handler om at have de rigtige regler og den rigtige holdning for at sikre, at virksomheden fungerer godt og ansvarligt.
95
Internal control
Der er de SOPPER, guidelines og politikker, som virksomheden har valgt at følge. Det er som at følge en opskrift.
96
Hvad laver internal audits?
Deres hovedopgave er at undersøge assurance og evaluere. Det er nogle revisorer.
97
Hvordan hænger COSO sammen med risikokultur?
COSO hjælper virksomheder med at udvikle en sund risikokultur ved at give dem rammer og retningslinjer for, hvordan de skal identificere, vurdere og håndtere risici. Det opfordrer også til åbenhed og kommunikation omkring risici og opmuntrer medarbejdere til at være opmærksomme på potentielle problemer.
98
Hvad er en værdikæde?
Værdikæden viser, hvordan hver aktivitet i virksomheden bidrager til at øge værdien af det endelige produkt eller tjeneste. Det hjælper virksomheder med at forstå, hvor de kan forbedre deres processer for at levere bedre produkter til lavere omkostninger eller forbedre kundetilfredshed.
99
Hvad er BCP?
Forberedelse til det Uventede: BCP handler om at tænke på, hvad der kan gå galt, f.eks. naturkatastrofer, it-fejl, personaleproblemer eller andre kriser. Organisationer udvikler planer og procedurer for at imødegå disse udfordringer.
100
Hvad er Katastrofeberedskabsplaner/disaster recovery plans (DRP)?
Hvis noget ikke virker, vil virksomheden have brug for alternative systemer, og her er det godt have en katastrofeberedskabsplan.
101
Forklar three lines of defence
Først er der den daglige operation og risk management. Herefter er der overvågning og evaluering. Til sidst er der intern audits. Altså de interne protokoller, SOP osv. Disse bliver tjekket af ledelse, (bestyrelse) og komiteen, der sidder med bestyrelsen.
