22. juni 2018

 

I 2009 kom ISO 31000:2009 standarden for Enterprise Risk Management (ERM). Efter 10 års venten er der endelig kommet en opdatering af standarden – ISO 31000:2018, som forsøger at inkorporere en del af ERM-udviklingen.

Den nye standard sætter bl.a. øget fokus på kobling mellem risk management og virksomhedens mål, behov for topledelsens engagement i risikostyring og de mere kulturelle faktorer. Nedenfor gennemgås en række af de nye elementer i ISO-standarden.

Den nye standard er generelt gjort mindre teknisk og mere læsbar. Antallet af tekniske termer og definitioner er nedbragt væsentligt. Dette bør gøre standarden lettere tilgængelig, også for læsere uden dybdegående forud kendskab til risk management. De grundlæggende definitioner af risikohændelser, risikokilder, konsekvens og sandsynlighed står kort og skarpt beskrevet i standarden.

Standarden er nu udover principper, rammeværk og processer for risikostyring også udvidet med en skarpere formålsparagraf for risikostyring, som kan anvendes og oversættes til den specifikkere organisatoriske kontekst, hvor ERM skal implementeres.

Formålet med risk management er, ifølge standarden, at understøtte og beskytte værdiskabelsen i virksomheden.

Nedenfor gennemgås indholdet i den nye/opdaterede standard: Principperne i standarden, rammeværket for at implementere risk management i organisationen samt standardens ramme for selve risikostyringsprocessen.

 

8 principper

Omdrejningspunktet for den nye standard er 8 principper, som understøtter værdiskabende risk management:

  1. Integrér risk management i alle organisationens aktiviteter og beslutningstagning
  2. Anlæg en struktureret og ambitiøs tilgang til risk management med henblik på at opnå konsistente og sammenlignelige resultater
  3. Tilpas risk management til organisationens interne og eksterne kontekst og mål
  4. Inkludér interessentperspektivet i risk management
  5. Risk management skal være dynamisk og responsiv ift. ændringer i organisationen og dens omgivelser
  6. Risk management bør tage udgangspunkt i den bedst mulige information i organisationen om historiske, nuværende og forventninger til fremtidige hændelser
  7. Menneskelige og organisationskulturelle faktorer påvirker risk management på alle niveauer og dette skal der tages højde for
  8. Risk management skal være lærende og adapterende ift. kontinuerte forbedringer af processer

Nedenfor gennemgås, hvorledes principperne er omsat i standardens rammeværk til at implementere risk management i organisationen.

 

Rammeværk

Formålet med rammeværket i standarden er at sætte organisationen i stand til at opfylde princip 1, at integrere risk management i alle signifikante aktiviteter og funktioner i organisationen. Dette forudsætter først og fremmest commitment og lederskab hos organisationens topledelse. Netop dette commitment og risikolederskab er omdrejningspunktet for hele rammeværket.

Ud fra bl.a. princip nr. 2, risk management implementeres og evalueres og endelig ses der på, hvordan risk management løbende kan forbedres, tilskriver rammeværket en cyklisk integrationsproces.

 

Lederskab og commitment

Den opdaterede standard sætter som nævnt fokus på topledelsens ansvar for at sikre, at princip 1 vedrørende integration af risk management opfyldes. Topledelsen i organisationen skal bl.a. demonstrere dette commitment og lederskab ved at:

  • Sikre tilpasning og implementering af alle komponenter i rammeværket
  • Etablere en risk management politik, som udtrykker et risk management approach
  • Sikre at de nødvendige ressourcer allokeres til risk management
  • Tilknyttet beslutningsmandat til de relevante risikostyringsniveauer i organisationen

Topledelsens fokus skal ifølge standarden bl.a. være med til at sikre, at risk management er alignet med organisationens mål, strategi og kultur.

 

Integration

Risiko skal ifølge standarden styres i hver enkelt del af organisationen og således har alle i organisationen et ansvar ift. risk management. Indlejring af roller og ansvar for risk management i organisationens governance er en central del af det at integrere risk management i organisationen. Herudover præcisere det at integration af risk management bør være en dynamisk og iterativ proces.

 

Design

Standarden angiver, hvilke faktorer en organisation skal overveje, når designet af risk management skal fastlægges. Her forudsættes det, at organisationen undersøger og forstår en række interne og eksterne faktorer, som har betydning for risk management. Som en del af design-processen indgår også en tydeliggørelse af hvordan organisationens ledelse vil udtrykke sit commitment til risk management.

 

Implementering

Implementering er fortsat meget kortfattet beskrevet i standarden, og et område, hvor brugerne har behov for at hente inspiration og bistand andetsteds fra. Dog foreskriver standarden, at den baseres på en implementeringsplan, som præciserer tidsrammer, ressourcer og nødvendige beslutningsprocesser i organisationen for at få implementeret risk management.

 

Evaluering

Standarden beskriver meget kortfattet, hvordan risk management bør evalueres. Risk management bør med en fast kadence performancemåles ift. formålet med risk management, den opstillede implementeringsplan, opstillede indikatorer for effektivitet af risk management og forventet risk management adfærd i organisationen.

 

Løbende forbedringer af implementeringen

I det sidste procestrin berører standarden kortfattet, hvordan organisationen løbende skal foretage forbedringer af risk management implementeringen.

Som princip 5 foreskriver, skal risk management være en dynamisk proces. Disse løbende forbedringer tager bl.a. udgangspunkt i evt. ændringer i de interne og eksterne faktorer og organisationens kontekst, som standardens princip 2 rammesætter.

 

Risk management processen

Udover principper og framework indeholder standarden, som tidligere, en gennemgang af selve risk management processen, som er en cyklisk proces, som netop applicerer politikker, procedurer og bedste praksis jf. rammeværket ovenfor til konkrete risikostyringsaktiviteter. Der er ikke de store ændring i procesmodellen ift. den tidligere udgave af standarden. Procesmodellen kan anvendes på strategisk, taktisk og operationelt niveau.

Udover principper og framework indeholder standarden, som tidligere, en gennemgang af selve risk management processen, som er en cyklisk proces, som netop applicerer politikker, procedurer og bedste praksis jf. rammeværket ovenfor til konkrete risikostyringsaktiviteter ift.:

  • Kommunikation af risici
  • Mulighed for konsultering vedr. risk management
  • Etablering af scope, kontekst og kriterier for risikostyring på et konkret organisatorisk niveau/initiativ
  • Ramme for identifikation, analyse og evaluering, vurdering
  • Håndtering af risici
  • Overvågning af effekt af håndtering og mitigering
  • Review af håndtering og mitigering
  • Registrere og rapportere på risiko

 

ISO 31000:2018 er med sine 26 sider en overskuelig ramme for den, som står overfor at skulle implementere eller vedligeholde risk management i en organisation. Standardens principper, rammeværk og proces er det helt fundamentale greb på risk management og brugbart for enhver virksomhed, uanset størrelse og type. Standarden er ikke anvisende i konkrete metoder og teknikker, som skal tages i brug for at gennemføre risk management på fx projekt- eller porteføljeniveau.

 

Læs hele artiklen i Risk Management Håndbogen kapitel 5.1

Hvis du vil høre mere om den nye standard, kontakt da Partner Anders Find, +45 23364753.