Risikoledelse Flashcards
Forklar begrebet “Top Down”
Det er ledelsen i toppen (det strategiske niveau), der giver beskeder til medarbejderne på andre niveauer beskeder.
Forklar hvad PACED er, samt hvad det bruges til
PACED står for Principles of risk manangement. Det bruges til at opdele, hvad der SKAL gøres i risk management. Den beskriver, hvad riskmanagement skal være, og hvad den skal kunne levere. Fx. Bronuts.
Porportionate: Risk management aktiviteter skal være proportionelle med den risikoorganisation, som den står overfor. Altså brug den lille hammer før den store hammer.
Aligned: ERM skal være justeret til andre aktiviteter i organisationen.
Comprehensive: Risk management skal være omfattende for at være effektivt. Holistisk.
Embedded: Risk management aktiviteter skal være indlejret i organisationen.
Dynamic: Risk management-aktiviteter skal være dynamiske ved at kunne reagere på nye og pludseligt opståede risici.
Hvad er operational risk
Kan forstyrre eller standse den normale drift i en organisation. Den kan ofte påvirke infrstructure (FIRM).
Hvad er en risiko?
En mulig hændelse der kan påvirke (hæmme, forstærke eller skabe tvivl om) målopfyldelsen og effektiviteten af organisationens kerneproces. Risiko er altså alt det, der kan påvirke de opstillede mål.
Sandsynlighed x Konsekvens.
Hvad er et risikoklassifikationssystem?
STOC, FIRM, 4P osv.
Forklar STOC
Det er core process.
Strategy → Opportunity → Embrace
Tactics → Control → Manage
Operations → Hazard → Mitigate
Compliance → Compliance → Minimize
Forklar FIRM
Nøgleafhængigheder/Key dependencies:
Finance (intern)
Infrastructure (intern)
Reputation (ekstern)
Marketplace (ekstern)
En risiko kan ramme organisationens nøgleafhængigheder
Forklar begrebet “outsource”
En ekstern tredjepart i en virksomhed, der får overdraget nogle specifikke arbejdsopgaver. Dette indebærer normalt, at en virksomhed eller organisation beslutter at få udført visse opgaver eller processer af en ekstern leverandør i stedet for at håndtere dem internt. FX. hvis man har et eksternt rengøringsfirma, der er tilknyttet organisationen. Det er ikke problemfrit at have outsources, og ofte er der visse standarder som fx. ISO, som begge parter skal leve op til for at kunne samarbejde.
Hvad er business proces?
Business processes er de opgaver der udføres på de forskellige niveauer i STOC.
Der er fire grundlæggende typer businessprocesser. Disse er processer, der er designet, implementeret og styret for at sikre de fire gaps.
En business proces, også kendt som en forretningsprocedure eller arbejdsproces, er en struktureret række af aktiviteter eller handlinger, der udføres i en organisation for at opnå et specifikt mål eller resultat. Forretningsprocesser er grundlæggende for en organisations drift, da de styrer, hvordan arbejde udføres, hvordan opgaver koordineres, og hvordan beslutninger træffes.
Hvilke gaps er der i business proces?
Gaps:
Leadership gap: Deres ledelsesinitiativ kan risikere at gå tabt. Omdømme kan blive sat på spidsen, hvis lederne ikke kan klare opgaven.
Competion gap - Konkurrence-gap fx Kunderne mister troværdigheden hos virksomheden, og går over til konkurrenten i stedet. Hvis en forretning ikke lykkedes, vil det være godt for konkurrenterne.
Effency gap: At gøre noget effektivt. Fx hvis man læser hver dag, får er chancen for at få 12 til eksamen stor.
Complience gap Effency - Man gør tingene på en smart og begavet måde. Man har en drift på en smart måde.
Hvad er magnitute?
Det fortæller, hvor hårdt en hændelse rammer Fx. hvad et jordskælv er på richterskalaen.
Hvad er impact?
Påvirkning af en kritisk hændelse og de efterfølgende konsekvenser. Fx. kan forskringer mitigere omkostninger.
Hvad betyder “attachement of risk”?
Attachment of risks:
Disse kan identificeres, når man undersøger organisationens nøgleafhængigheder, mål eller interessenter.
Man bør overveje alternative veje for at gennemføre risikovurdering. Fx ved at spørge sig selv: “Hvad forventer interessenterne af os?” og “Hvilke risici kan påvirke opfyldelsen af disse interessenters forventninger?”
Nøgleafhængighederne går i stykker, hvis man ikke tager højde for de risks, der følger med. Det kan også være, hvis man ikke har en online shop, og corona dukker op. Her vil finance, infrastructure og marketplace i hvert fald ikke fungere.
Det er ikke kun hazard, men også oportunity risks, hvis man bliver nødt til at ændre taktik. Man skal altså finde på noget nyt, hvis fx ens butik ikke fungerer fysisk. Evt. en online shop.
Hvilket akronym forbindes oftest/typisk med ”Source” i en bow-tie model?
STOC.
Forklar “threat” i 4T
Hvis der er en risiko for noget, skal det behandles. Dette gøres ved at sætte forhindringer op for, at hændelsen ikke opstår Bow tie.
Hvad bruges 4T til?
For hazard risks beskrives udvalget af tilgængelige reaktioner ofte som de 4T’er (tolerate/tolerere, treat/behandle, transfer/overføre og terminate/afslutte). Det er altså her, de 4T’er kommer i brug. Man bruger dem til at undvige en risici. Tænker, at man bruger ca. en af dem pr. risici.
Hvad bruges Benchmark-testen til?
Den bruges til at identificere, hvad der har betydelig påvirkning for en organisation. Her bruges modellen om FIRM. Organisationen skal derefter gennemgå de eksisterende kontroller og beslutte, om der er behov for yderligere handlinger for de risici.
Hvad er “Tolerate” i de 4 T’er?
Kontroller der kan opdage, når en hazard er sket. F.eks. en røgalarm, der alarmerer, når der er brand (se figur (1.1)
Hvad er risk transfer i de 4 T’er?
Hvis man fx forsikrer sit hus, og huset brænder ned, har man transfered risikoen til sit forsikringsselskab, eller hvis man fx deler en virksomhed med en, der er part i virksomheden, kan man også transfer risikoen til sin partner. Man kan også transfer risici til andre samarbejdspartnere (interessenter) omkring virksomheden.
Hvad er terminate i de 4 T’er?
Man opsiger nogle samarbejdspartnere, som man har, fordi de fx ikke behandler deres medarbejdere ordentligt. Det kan være outsources, som er en tredjepart i en virksomhed. Jeg tænker fx når McDonalds hovedkontor vælger ikke at samarbejde med Rusland mere. Det kostede dem selvfølgelig penge, men de valgte alligevel at sige deres tredjepart op.
Hvad er “signifikante risici”?
De signifikante risici er dem som er er udvalgt til at skulle have opmærksomhed fra organisationen. Det er normalt at man kan identificere mere end 100 potentielle risici ift. FIRM, men ikke alle sammen er nødvendige at have fokus på, da det vil koste ressourcer.
Man snakker om forskellige slags risici, og det er normalt at have forskellige signifikante risici i forskellige dele af sin organisation.
Forklar RASP
RASP er rammen for risiko management.
RASP giver detaljer om organisationens risikostyringsramme og hjælper med at definere konteksten for risikostyring
R: Risk
A: Architecture (roller, bygningen, skelettet)
S: Strategy (appetite m.m.)
P: Protocols (guidelines, SOP)
Hvad er ERM?
ERM tilgang: strategisk, holistisk (helhedsorienteret), integreret risikostyring. ERM giver organisationen et overblik over de risici, den står overfor, så risici kan håndteres.
For at opnå en vellykket ERM, er der 5 principper, som indebærer bl.a. kultur, strategi, performance og kommunikation (se s. 89).
Her er der fokus på alle niveauer, og der er fokus på RASP som er rammerne omkring hele organisationen.
ERM foregår på et højt niveau. Det omfavner alt det relevante.
Strategiske beslutninger er altid under ERM og RM.
Enterprise kigger på potentielle risici, samt hvordan man identificerer det. ERM er altså mere dybdegående og analyserende. RM fokuserer kun på, hvordan man undgår risici.
ERM er det hele, hvor RM og BCM hører under.
Forklar hvad “disruptive events” er.
En forstyrrelse eller risiko, der påvirker virksomheden (f.eks. 4P’er, FIRM) . Hører sammen med bow-tie.
Vi har haft om det i BCM.
Hvad er risikostyring? (Risk governance)
Risikostyring er processen med at identificere, vurdere, forstå, håndtere og minimere risici for at opnå organisationens mål og målsætninger på en mere sikker og effektiv måde. Det er en afgørende del af enhver organisations ledelsesproces og forretningsstrategi, da det hjælper med at forstå og håndtere usikkerheder og potentielle trusler, der kan påvirke organisationens succes.
Hvad er “Short-term risks”?
Det er de risici, der har deres impact umiddelbart efter de træffer organisationen. Ofte vil disse ramme det operationelle niveau, og derfor typisk være hazard risks. Det kunne fx være risici der omhandler arbejdsmiljøet, en trafikulykke, eller en brand på et lagerhus.
Nævn 4E’er
4E
Der er et tæt forhold mellem de 4Es og organisationens status, som illustreret i figur 15.2. En opstartsvirksomhed vil stå over for et højere risikoniveau og lavt potentiale for belønning.
Explore: Udforsk muligheden
Expand: Brug ressourcerne, hvis du har dem.
Exploit: Udnyt muligheden.
Exist: Eksister i det modne marked.
- Exit: Hvis risikoappetitten er overskredet. Dette sker efter expand.
Hvad er up-site risks?
Bruges som definition på, hvad der er gået godt i en organisation fx siden vi gjorde det her, er der kommet disse upsides.
man får noget positivt ud af en negativ situation.
Bruges under opportunity risks, og måske også hazard risks?
Hvad er risk governance?
Risk governance, eller på dansk “risikostyring og -ledelse,” refererer til den strukturerede proces, politikker og praksis, der er på plads i en organisation for at styre og tage beslutninger om risici. Det involverer den overordnede styring og ledelse af risikostyringsaktiviteter i en virksomhed eller organisation for at sikre, at risici håndteres på en effektiv måde i overensstemmelse med organisationens mål og værdier.
Her er nogle centrale elementer i risk governance:
Struktur og ansvar: Risk governance definerer, hvordan ansvaret for risikostyring er fordelt i organisationen. Dette inkluderer at identificere ansvarlige for at identificere, evaluere og håndtere risici på tværs af forskellige niveauer og funktioner.
Politikker og procedurer: Det indebærer også udvikling og implementering af risikopolitikker og procedurer, der fastlægger retningslinjer for, hvordan risici skal håndteres og rapporteres.
Kommunikation: Risk governance fremmer åben og effektiv kommunikation om risici på tværs af organisationen. Dette omfatter rapportering til ledelsen, bestyrelsen og andre interessenter om status for risikostyring og identificerede risici.
Overvågning og rapportering: Det indebærer løbende overvågning af risici og rapportering om resultaterne. Dette gør det muligt for organisationen at reagere på ændringer i risikobilledet og tage nødvendige handlinger.
Kultur og værdier: Risk governance fremmer en risikobevist kultur inden for organisationen, hvor alle medarbejdere forstår vigtigheden af at identificere og håndtere risici i overensstemmelse med organisationens værdier og mål.
Compliance og regulering: Risk governance tager højde for overholdelse af lovgivning og regulering, der er relevant for organisationens aktiviteter. Dette inkluderer at sikre, at organisationen opfylder alle krav og rapporteringsforpligtelser.
Effektiv risk governance er afgørende for at beskytte organisationen mod potentielle trusler og uforudsete begivenheder samt for at maksimere mulighederne for vækst og succes. Det spiller en central rolle i at sikre, at risikostyring er en integreret del af organisationens strategi og beslutningsproces på alle niveauer.
Hvad er LILAC?
Organisationens kultur bestemmer, hvordan enkeltpersoner vil opføre sig i bestemte omstændigheder. Den definerer, hvordan en person føler sig forpligtet til at opføre sig under alle omstændigheder.
Hvordan opnår man Risk Aware Culture i en organisation (LILAC)
Leadership/lederskab
Involvement/involvering
Learning/læring
Accountability/ansvarlighed
Communication/kommunikation
At opbygge, integrere og implementere risikokultur i en organisation.
Forklar FOIL
FOIL (beskriver handlingen, processen)
Fragmented (fragmenteret)
Risikostyrings Aktiviteter er fragmenterede (opsplittet).
________________
Organized (organiserede)
Der er planlagt tiltag for at koordinere risikostyrings aktiviteter
Planen er ikke fuldt ud implementeret
________________
Influential (indflydelsesrige)
________________
Leading (førende/ledende)
Der bliver taget højde for risici er med i ledelsens strategier og beslutninger
Forklar 4N
4 N’er Beskriver modenhed i en organisation (status/niveau af modenhed)
Naive (naiv)
Uvidende om risici
Uvidende om BCM-fordele
________________
Novice (nybegynder)
Opmærksom på BC-fordele
Start fase af ERM implementering
________________
Normalized (normaliseret)
ERM er blevet inkorporeret
Stadig behov for flere ERM tiltag
________________
Natural (naturlig)
Etableret risikobevidst kultur
Hvad er risikomodenhed?
En er organisation er moden i måden, den udfører sine risikostyringsaktiviteter på.
Hvor moden en organisation er. FX. hvis det er en ældre organisation, vil den typisk have nogle helt klare procedurer for, hvad der skal ske. Den er dermed præget af den moderne tilgang. En ny organisation vil mere være præget af den postmoderne tilgang.
Hvad er risikoappetit?
Risikoappetitten er den restrisiko, virksomheden kan/vil acceptere. En meget risikoavers virksomhed har en lille appetit og omvendt.
Hvordan hænger risikoattitude og risikoappetit sammen?
Risk attitude: Blødt formuleret. Det er hele firmaets abstrakte attitude. Det er en vejledning til den, der er projektleder i fx når der skal åbne en butik i USA. Den bruges til at konkretisere risikoappetitten.
Risk appetite: Produkt som fungerer godt. Sælges i EU og Asien, nu skal det sælges i USA.
Hvad er risk accept?
Hvilke risici en organisation accepterer. Det kan være meget forskelligt. Hvor langt vil en organisation gå? Hvad har de kapacitet til?
Hvad er 4C?
Farverne i risk matrixen. Der er critical zone, concerned zone cautious zone og comfort zone. De visualiserer, i hvilken zone risikoappetitten eller risikoattituden befinder sig.
Hvad er risikokapacitet?
Man er forskellig fra menneske til menneske. Mennesker har forskellige evner til at stå imod. Fx Nogle mennesker bliver nemmere syge end andre. Det er den samlede sum af kapaciteten.
Fx lufthavnen har meget mere sikkerhed end Netto. Alligevel er begge steder udsat for terror, men lufthavnen har altså bedre kapacitet i forhold til sikkerhed.
Kapacitet har også ofte noget at gøre med penge. Det så man også meget under corona-krisen.
Hvad er risk exposure?
Det man bliver udsat for. Man leger med ilden. Man er ude et sted, hvor økonomien ikke kan redde dig. Man tager summen af alle hazard risks, der ligger i risk exposure. Den totale amount of risks.
Hvad er Risk Management Sophistication?
Jo højere et sophistication niveau organisationen er på, jo mere avanceret og forbedret bliver deres risikostyring.
Sofistikeringsniveauer:
Inform: uvidenhed om forpligtelser; (Compliance)
Reform: bevidsthed om ikke-overensstemmelse; (Hazard)
Conform: handlinger for at sikre overholdelse. Man overholder regler og krav. (control)
Perform: opnå forretningsmuligheder; (opportunity)
Deform: inaktivitet forårsaget af besættelse.
Der er høj sophistication, når der er styr på RASP. Jo mere holistisk (helhedsorienteret) man tænker, jo mere sofistikeret er organisationen. Jo mere sofistikeret en organisation er, jo mere PACED og MADE2 er det også.
