Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Transkript

1 DS/ISO Risikoledelse

2 ISO Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede ledelse strategi og planlægning ledelse fra top til bund rapporteringsprocesser politikker værdier kultur.

3 ISO Risikoledelse Risikoledelse kan anvendes: i alle virksomheder og organisationer i hele virksomheden på alle områder på alle niveauer til enhver tid til specifikke funktioner til projekter til aktiviteter.

4 ISO Risikoledelse ISO giver en generel tilgang til risikoledelse er kun vejledning giver en systematisk tilgang medfører gennemsigtighed bringer troværdighed kan benyttes inden for et hvert område og alle rammer skaber ensartethed vil være global relevant.

5 ISO Risikoledelse Risikoledelse: skaber og beskytter værdier, aktiver er en integreret del af alle virksomhedens processer er en del af beslutningsgrundlaget vedrører kun det uvisse er systematisk, struktureret og i rette tid baseres på bedst tilgængelige information skræddersys tager menneskelige og kulturelle hensyn er gennemsigtig og involverende er dynamisk og iterativ giver løbende forbedringer kan integreres i ledelsessystemer.

6 Det integrerede ledelsessystem Andre ledelsessystemer indeholder komponenter af risikoledelse, fx: ISO for miljøledelse OHSAS for arbejdsmiljøledelse ISO for fødevaresikkerhed ISO serien for IT-sikkerhed ISO serien for transportkæden De kan og bør - alle integreres i ét system

7 Konceptet for risikoledelse ISO Rammerne Forbedring af rammerne Ledelsens engagement og ansvar Design rammerne for Risk M Implementer risikoledelse 4.6 Måling og 4.4 granskning af rammerne 4.5 Processen Kommunikation og konsultation Etabler rammerne 5.3 Risikovurde ring 5.4 Risiko identifikation Risikoanalyse Risikoevaluering Risikohåndtering 5.5 Måling og granskning

8 Rammerne Forstå virksomheden og de eksterne rammer ledelse, struktur, roller, politikker, teknologier, viden etc. love, konkurrenter, kultur, trends, relationer etc. Uudarbejdelse af politikken bl.a. konfliktende interesser Troværdighed risiko-ejere, system-ejere, ansvar og pligter etc. Integration i virksomhedens processer en indarbejdet del af ledelse og beslutningsprocesser Ressourcer personer, kompetencer, træning etc. Rapportering relevant information til intern og ekstern brug Kommunikation med ansatte og interessenter/stakeholdere..

9 Processen Processen: være en integreret del af ledelsen fungere i kulturen og traditionen skræddersys til virksomhedens processer og organisering Kommunikation og konsultation på alle stader af risikoledelsesprocessen planer skal udarbejdes tage højde for forskellige syn skabe forståelse både internt og eksternt.

10 Processen Etablering af rammerne for processen udgør en mere detaljeret vurdering af, hvordan virksomheden vil relatere sig til indholdet og omfanget af den egentlige risikoledelsesproces: definere målsætninger og mål definere ansvar definere indhold og omfang i bredde og dybde definere processer, aktiviteter, projekter, produkter, service definere relationer definere risikovurderingsmetodik definere evalueringsmetoder identificere beslutninger, rammestudier definere risikokriterier (fx definition af sandsynlighed).

11 Risikovurdering (identifikation) Identificering af risici: kilder til risici områder, der er udsatte potentielle hændelser og deres potentielle konsekvens er kritisk, idet uidentificerede risici ikke vurderes efterfølgende også risici uden for virksomhedens kontrol også risici, der ikke har en kendt årsag risici, der kan eskalere teknikker og kompetencer skal være tilstede.

12 Risikovurdering (analyse) Analyse: udvikling af forståelse for risikoen vurdering af årsag og kilde vurdering af negativ/positiv karakter vurdering af konsekvens og sandsynlighed vurdering af evt. sammenhæng mellem risici forskellige opfattelser, usikkerheder, kvaliteten af informationer etc. vurderes kan udføres på meget forskelligt niveau forsøg, ekstrapolation etc. kan benyttes.

13 Risikovurdering (evaluering) Evaluering: beslutningstagning på basis af analysen vurdering af risici op imod risikokriterier hvilke risici kræver håndtering prioritering af risikohåndteringen vurdering af andres risikopådragelse overholdelse af myndighedsregler om nye analyser kræves om intet skal foretages ud over eksisterende praksis.

14 Risikohåndtering Håndtering: valg af en eller flere muligheder for at ændre risici iværksættelse af disse valg gentagen proces med risikovurdering, vurdering af risikotolerance alternative muligheder for at undgå risici, fx undlade processer balancering af omkostninger mod fordele vurdering af indflydelsen på interessenter risikohåndteringsplaner bør udarbejdes.

15 Overvågning og granskning Overvågning og granskning: planlægges og afholdes med jævne mellemrum ansvaret herfor placeres sikre at styringen er omkostningseffektiv og resultatorienteret opnå læring og viden fra hændelser og drift af systemet afsøge ændringer i de eksterne og interne rammer identificere snigende risici dokumenter processen.

16 Opmærksomhedspunkter ISO er meget generisk mere vejledning på vej fra ISO ISO/IEC giver vejledning i risikovurderinger (= DS/EN 31010) Risikovurdering er ikke kun for enkeltstående hændelser også forløb Fokus er ikke kun på negative hændelser også på positive Risikoledelse er ikke en selvstændig aktivitet er integreret i ledelse Risikoledelsesprocesser skal indgå som element i de forretningsmæssige beslutninger og processer Principperne fra systemledelsesstandarderne kan anvendes, såsom dokumentation, træning, uddannelse, audit, ledelsens evaluering,.