dk tips rismarisk 4 3

Tips til brug af RISMArisk Release 4.2

Risma Systems A/S

Lyskær 8

DK-2730 Herlev

Denmark

+45 70 25 47 00

[email protected]

Tips til brug af - RISMArisk November 2015

Copyright © 2015 Risma Systems A/S – All rights reserved

Indhold

1. Om at komme godt i gang ................................................................................... 3

1.1 Om administrators opgaver ............................................................................................. 3

1.2 Om risikoejers opgaver ..................................................................................................... 5

2. Om daglig brug .................................................................................................... 6

2.1 Om at lukke en risiko .......................................................................................................... 6

2.2 Om at oprette en ny periode ............................................................................................ 6

2.3 Om brug af RISMArisk under møder, workshops ................................................... 6

2.4 Om oprettelse af risiko mitigerende handlinger i RISMAexecution ................ 7

2.5 Om oprettelse af en løbende kontrol (kræver RISMAcontrols) ......................... 7

2.6 Om brug af Risma Board ................................................................................................... 7

2.7 Om at eksportere risici til Excel eller Word (rapportering) ............................... 7



1. Om at komme godt i gang Når man får en installation, vil der være oprettet adgang til den første administrator.

Det anbefales at der på enhver installation er oprettet mindst to administratorer, således at der ved sygdom og ferie altid er mindst en person, der kan tilgå administrationsafsnittet. Kun i administrationsafsnittet kan man eksempelvis tildele adgang til nye brugere eller give nye passwords til brugere, der har glemt deres password.

1.1 Om administrators opgaver

Administrator skal indledningsvis gennemføre fire opgaver:

Oprette organisatoriske enheder Oprette brugere

Herefter skal administrator eller superbruger

Oprette den første periode til risikostyring Der henvises til brugervejledningen, se afsnit ”1. General Administration (administrator)”, for at læse hvordan brugere, organisationer og risici rent praktisk oprettes i systemet. Når brugere oprettes, skal der for hver enkelt bruger tages stilling til, om denne bruger skal være almindelig bruger, privilegeret bruger, superbruger eller administrator. Desuden skal vælges, hvilke applikationer, brugeren skal have adgang til (hvis der er indkøbt flere moduler). Almindelige brugere har kun adgang til risici, som de er ansvarlige for. Privilegerede brugere har adgang til initiativer inden for den/de tilknyttede organisatoriske enheder. Privilegerede brugere har endvidere adgang til at trække rapporter på initiativer, som de har adgang til. Superbrugere har adgang til alle risici i systemet. Superbrugere har endvidere adgang til rapportafsnittet og administrationen for RISMArisk. Superbruger har ikke adgang til den generelle administration, hvor brugere oprettes.



Administratorer har adgang til alle dele af systemet og er den eneste brugertype med adgang til det generelle administrationsafsnit. Ledelsesmedlemmer oprettes typisk som superbrugere. På den måde har de adgang til alle risici. Hvis ikke administrator selv er et ledelsesmedlem, kan det være en god ide, at en administrator gennemgår brugerlisten, med de tilhørende brugerrettigheder, med et ledelsesmedlem for godkendelse. Når administrator har oprettet brugere og organisationer, er den sidste opgave, i forbindelse med opstarten at oprette den første periode for risikostyringen. Oprettelse af den første periode for risikostyring Gå til administrationsafsnittet for RISMArisk. Her ses to bokse, den ene boks kaldet Periode og den anden Risikotyper. Klik på plusset (+) i boksen Perioder, for at oprette en ny periode. Er der en åben periode i forvejen, vil oprettelsen af en ny periode lukke for den nuværende, åbne periode. Når en ny periode oprettes skal virksomhedens scoringsparametre indtastes. Her skal måles på to obligatoriske parametre, sandsynlighed og finansiel impact (konsekvens). Derudover kan virksomheden selv oprette to andre relevante parametre for impact. Dette kan være skade af omdømme, CSR, medarbejdersikkerhed eller lignende. Scoringsparametre Under overskriften Scoringsparametre skal der vælges Antal Score. Her kan der vælges mellem 5 eller 6 intervaller for sandsynlighed henholdsvis finansiel impact. Under Antal Score skal der vælges procentintervaller for sandsynlighed. Dette gøres ved at klikke på pilen i højre side af feltet. Nedenunder skal finansiel impact defineres. I feltet lige under overskriften Finansiel Impact skal valutaværdien defineres, eksempelvis Mio DKK. I felterne nedenfor skal intervallerne defineres. Det første interval er fra 0 og det først indtastede tal. Hvorefter de resterende intervaller defineres. Det sidste interval er mere end det højest indtastede tal. I nedenstående eksempel, er følgende tal indtastet for de to parametre: Sandsynlighsscore: 6 Impactscore: 5

Indtastning Sandsynlighed (%) Impact (”Mio. DKK”)

1 5 5 2 10 10

3 20 25 4 33 50 5 50 >50 (beregnet værdi) 6 >50 (beregnet værdi)



Under overskrifterne Andre Parametre 1 og 2 kan der tilføjes andre relevante parametre til perioden, som på tilsvarende måde kan vises i en risiko-matrix som den ovenfor. Oprettelse af risikotyper I den anden boks i administrationsafsnittet for RISMArisk er det muligt at oprette risikotyper ved at klikke på plusset i højre hjørne. Der er 5 risikotyper som default i systemet (fx Operational, Compliance, Finansiel, Strategic, Hazard). Disse kan benyttes til at gruppere konkrete risici, og det er nyttigt for dels at kunne trække rapporter på en bestemt type risiko, og dels til at foruddefinere bestemte klasser af risici, virksomheden ønsker afdækket i risikoanalysen. Det er muligt både at tilføje og fjerne risikotyper. Man kan også se på en risikotype som en slags ”root cause” for en konkret risiko. Administrationsafsnittet for RISMArisk viser, hvor mange risici, der er i hver kategori.

1.2 Om risikoejers opgaver Risikoejerne skal sikre at risikoen bliver udformet og holdt ajour. For en mere specifik gennemgang af udformningen af en risiko ”3. Overblik” i brugervejledningen. Beskrivelse, scoringsparametre og kommentarer bør holdes relativt kort – typisk ikke mere end fem til seks linjer. Risikoen skal have en primær risikoejer, som



typisk er den overordnet ansvarlige for det område, som risikoen kan ramme, mens den daglige risikoejer står for løbende at overvåge risikoen, evt. sikre initiativer og kontroller for risikoen. I boksen til højre kan der vælges mellem de oprettede risikotyper, samt hvorvidt risikoen hører til på bestyrelsesniveau, direktionsniveau eller på afdelingsniveau. Sidstnævnte giver mulighed for nemt at danne rapporter for disse niveauer.

2. Om daglig brug Nedenfor ses en række tips til daglig brug af systemet.

2.1 Om at lukke en risiko En risiko lukkes i systemet, når risikoen ikke længere er til stede. At lukke en risiko betyder, at den stadig vil være synlig i rapporter. En overstregning af teksten vil markere for læseren af rapporten, at risikoen er lukket/afsluttet. Når en risiko lukkes vil den ikke fremkomme som en aktiv risiko i den næste periode. En risiko kan genåbnes igen, hvis det igen bliver aktuelt.

2.2 Om at oprette en ny periode Når en ny periode oprettes er det muligt at definere nye scoringsparametre. De tidligere anvendte scoringsparametre vil stå som default. Hvis der oprettes nye scoringsparametre vil alle åbne risici flytte over i den nye periode, men opdaterede scoringsparametre. Dvs. at hvis det første sandsynlighedsinterval i perioden før var på <5, og det første sandsynlighedsinterval i den nye periode er <10 vil alle risici automatisk blive opdateret til scoren i det nye tilsvarende niveau. Når en ny periode oprettes vil alle åbne risici flytte med den nye periode, mens lukkede risici fjernes fra oversigten. Hvis man gerne vil finde en lukket risiko fra en tidligere periode, kan det gøres i rapportafsnittet. Vælg den tidligere periode i rapportkriterierne for at få en fuld liste over åbne og lukkede risici i en tidligere periode.

2.3 Om brug af RISMArisk under møder, workshops Systemet kan bruges til inspiration for diskussion under møder. Filtrene i rapportafsnittet giver mulighed for, at man kan trække data med speciel relevans. Dette kan eksempelvis være en risikodiskussion, diskussion af risici indenfor en bestemt afdeling, medarbejdersamtaler, statusmøde i en risikogruppe eller et ledergruppemøde, hvor status på samtlige risici gennemgås.



På disse møder kan der træffes beslutninger om yderligere tiltag på en risiko. Dette kan dokumenteres direkte i systemet på mødet. Hvordan dette rent praktisk gøres, kan ses i brugervejledningen afsnit ”5 Rapporter”. En anden mulighed er at bruge risiko-matrix til at bestemme sandsynlighed og impact af de individuelle risici, fx efter en risiko-identifikationsworkshop. Hver risiko-cirkel kan nemlig trækkes rundt i matricen, og trykker man ”Gem Score ændringer” (placeret under tabellen), så vil de bagvedliggende data opdateres.

2.4 Om oprettelse af risiko mitigerende handlinger i RISMAexecution

Hvis en risiko bedømmes at have en uacceptabel risikoværdi for virksomheden eller projektet, så bør der oprettes handlinger, som nedbringer impact eller sandsynlighed for, at risikoen indtræffer. Oprettes en eller flere initiativer i Execution modulet, kan der i Risk modulet henvises til disse efterfølgende. Der vil således være en kobling mellem den konkrete risiko og handlingen. Handlingerne vil stå opstillet under risikoen i Risk modulet. Såfremt en given handling konkret reducerer risikoens financielle impact, kan det anbefales, at dette angives i en dertil oprettet numerisk værdi, fx ”Post-initiativ impact, DKK”.

2.5 Om oprettelse af en løbende kontrol (kræver RISMAcontrols) Såfremt virksomheden også benytter Controls modulet, vil det være muligt at oprette en kontrol, som løbende checker risikoen efter en bestemt frekvens, og den givne risiko kan så kobles til denne kontrol. Når man klikker ind på en risiko, kan man se under hver risiko, hvilke initiativer eller kontroller ricikoen er tilknyttet.

2.6 Om brug af Risma Board

I inddateringsbilledet er Risma Board’et nederst i højre hjørne. Denne funktion kan bruges af alle brugere med adgang til det specifikke initiativ. Det som skrives på Board’et, bliver ikke medtaget i rapporter. Dette er derfor en uformel måde at kommunikere internt om risikoen.

2.7 Om at eksportere risici til Excel eller Word (rapportering) Eksport af risikomatrix og den tilhørende risiko-liste kan være relevant, hvis en risiko-rapport skal indarbejdes i månedsrapporter til direktion eller i bestyrelsesrapportering.



Eksport af risikoliste til Excel I Rapporter køres en rapport med Display valgt til Risiko-liste. Efter kørsel kan resultatet eksporteres til Excel, hvorfra man så kan arbejde videre med rapporten, og lægge den over i det relevante format eksempelvis Word eller PowerPoint. Læs evt. mere om eksport til Excel i brugervejledningen afsnit ”5.5 Eksport af rapporter til Excel”. Eksport af risiko matrix til Word Risiko-matrix kan eksporteres til Word i et billedformat, med tilhørende risikoliste under billedet i en Word tabel. Dette gør det nemt at kopiere over i Powerpoint eller et andet præsentationsværktøj, med henblik på videre formidling.

dk tips rismarisk 4 3

Documents