APENDICELE A

Prezentare generală companie

Compania A este o companie independentă de petrol și gaze. Compania A are o capitalizare de piață de 2-3 miliarde dolari și valoarea întreprinderii de
3-5 miliarde dolari. Compania A se concentrează pe atingerea valorii acționarilor, precum și pe operațiuni sigure și eficiente și pe administrarea
mediului.

Prezentare generală a funcției ERM ERM

La compania A, funcția ERM funcționează mai mult ca un program/inițiativă la nivel de companie decât ca un singur departament. Acesta este susținut
de un Senior Manager care acționează ca un expert de risc cu sprijinul unui analist care este mai familiarizat cu industria. Istoric, Senior Manager a
raportat la consiliul general și, prin urmare, a fost două niveluri eliminate de la CEO. În acest an Senior Manager a început de raportare la VP de
strategie pentru a extinde mai bine dreptul de proprietate de gestionare a riscurilor în întreaga lor organizație, în loc de locuințe într-un singur
departament. Ei consideră că, prin aducerea responsabilității pentru gestionarea riscurilor în grupul lor de strategie, vor încorpora conștientizarea
riscurilor în strategiile lor și vor ajuta fiecare lider să își asume responsabilitatea pentru rolul lor în managementul riscurilor.

Strategia și stabilirea obiectivelor

Anul acesta marchează începutul unei integrări deliberate a funcției ERM și a funcției de strategie într-un singur departament. Misiunea lor
departamentală comună este de a informa, ghida și proteja strategia companiei A și de a oferi sprijin decizional pentru a permite executarea efectivă
a acesteia. Acest departament are trei grupuri principale. Primul grup este responsabil pentru dezvoltarea strategiei și administrarea- menținerea
gradului de conștientizare a peisajului de risc și să afirme că deciziile strategice se aliniază cu obiectivele strategice corporative și apetitul pentru risc.
Cel de-al doilea grup se axează pe executarea strategiei- asigurarea faptului că mitigations/proiecte strategice sunt pe drumul cel bun și îndeplinirea
obiectivelor. Ambele grupuri se bazează pe un al treilea grup de modelare și analiză- pentru a dezvolta modele financiare și urmări indicatori-cheie de
risc (KRI) pentru a monitoriza riscurile în schimbare.

Pentru a utiliza riscurile întreprinderii pentru a informa strategia, calendarul evaluării anuale a riscurilor întreprinderii (ERA) este aliniat cu procesul de
stabilire a obiectivelor corporative. ERA este finalizată în luna mai, astfel încât informațiile să poată fi utilizate pentru a dezvolta obiectivele strategice
ale companiei. Pe parcursul verii, are loc o analiză a scenariilor la nivel înalt pe termen lung și stabilirea obiectivelor strategice. Stabilirea obiectivelor
strategice are loc în perioada iunie-septembrie, concluziile prezentate apoi consiliului de administrație în septembrie. În octombrie, obiectivele
strategice sunt împărtășite cu liderii de top ai companiei. În luna noiembrie, rolul fiecărui departament în îndeplinirea obiectivelor strategice este
dezvoltat, iar departamentul elaborează apoi un buget care sprijină aceste activități. Bugetele trec de obicei prin revizuiri înainte de a obține
aprobarea conducerii superioare și a Consiliului în ianuarie. Obiectivele individuale sunt stabilite în februarie și martie într-un efort de a împinge în
jos executarea strategiei companiei la toate nivelurile organizației.

Mai:

Evaluarea riscurilor

Octombrie: Obiectivul strategic este impartit cu primii 75 de lideri ai companiei

Ianuarie-februarie: Obiective individuale stabilite

Iunie- Septembrie

La nivel înalt scenerio planificare ans stabilirea obiectivului strategic

Noiembrie: Obiectivele și bugetele departamentului dezvoltate

Proba 1: Cronologia stabilirii strategice și obiective

Identificarea riscurilor și evaluarea riscurilor

În ceea ce privește identificarea riscurilor, echipa efectuează sondaje, interviuri (denumite "dialoguri") și ateliere de lucru. Anul trecut au intervievat
15% din organizație. Intervievații se întind în întreaga organizație, de la Consiliul de Administrație și de conducere a seniorilor tot drumul în jos prima
linie de angajați. Interviurile includ, de obicei, 4 întrebări deschise care au ca scop identificarea riscurilor care ar putea fi în detrimentul strategiei
entității în următorii cinci ani. În plus, consiliul lor de management al riscurilor (RMC) compus din 15 persoane care servesc ca VP sau directori în
domenii cheie ale organizației ajuta selectați cele mai bune persoane pentru un interviu. Management superior, precum și mâna selectate de oameni,
apoi interviuri complete. Aproximativ 15% din organizație a fost intervievată, inclusiv cele atât în roluri operaționale, cât și în roluri de management.
Întrebările sunt concepute pentru a fi foarte largi și apoi vor fi urmate cu întrebări mai specifice bazate pe răspunsurile respondentului.

O astfel de atingere organizațională grea nu este folosită în fiecare an. În acest an, echipa va face interviuri individuale de bord și de conducere
superioară, precum și unele interviuri selectați angajat. În acest an, echipa este, de asemenea, intervievarea unora dintre consultanții companiei lor
pentru a obține mai mult de o "vedere outsider" a riscurilor organizației lor. Compania A evaluează riscurile identificate prin utilizarea sondajelor,
dialogurilor și atelierelor de lucru în măsurarea probabilității și a impactului. Fiecare risc este evaluat pe o scară de 4 puncte în raport cu 5 dimensiuni
cheie de impact: mediu, sănătate și siguranță, reputație, juridic și conformitate, financiar și strategic. Scala de evaluare pentru impact merge de la 1 ca
minim, 2 ca majore, 3 ca critice și 4 fiind catastrofale. Fiecărui risc i se va acorda apoi un scor de impact total care ia în considerare evaluarea riscurilor
pentru toate cele cinci dimensiuni (a se vedea proba 1). Scala de evaluare a probabilității este similară, variind de la 1 la 4 la 4 la fel de frecventă.

Compania A nu dezvoltă hărți termice, ci vizualizează riscurile pe o matrice de răspuns la risc ca cea de mai jos pe care au adaptat-o de la compania
Lego. Axa X măsoară probabilitatea, iar axa Y măsoară impactul, ambele pe o scară de 4 puncte. Matricea creează 4 cuadranturi separate. Cuadrantul
din stânga sus caracterizat prin impact ridicat și probabilitate scăzută, este inventat zona "Pregătiți". Cuadrantul din dreapta sus caracterizat prin
probabilitate mare și impact ridicat, este zona "Act". Cuadrantul din dreapta jos, probabilitatea ridicată și impactul redus, este etichetat ca zona
"Adapt". Iar cuadrantul din stânga jos, cu probabilitate scăzută și cu impact redus, este etichetat ca zona "Park".

Proba 2: Matrice de răspuns la risc

Compania A își reevaluează riscurile anual în luna mai și o dată la doi ani se angajează într-o evaluare profundă prin utilizarea atelierelor. Evaluarea
completă implică interviuri cu 10-15% dintre angajații companiei. Evaluările intermediare implică lideri de rang înalt, cu un accent mai mare pe
riscurile-cheie. Evaluările profunde sunt de a monitoriza universul de risc și să se asigure că compania nu lipsește nici un risc emergente. Cu toate
acestea, procesul ERM are capacitatea de a adăuga noi riscuri pe măsură ce acestea apar sau sunt aduse la lumină în orice moment.

Răspuns la risc

La compania A un singur proprietar de risc, în general, un director sau VP, este atribuit pentru fiecare risc. Proprietarul de risc, care este de obicei pe
RMC, va împărtăși cu RMC modul în care riscul de declanșează s-au schimbat și actualizare cu privire la orice acțiuni noi care au fost luate pentru a
atenua riscul. În cazul în care RMC consideră că un risc a schimbat scorul, acestea vor escalada sau downgrade un risc. Orice escaladare a riscurilor
poate include posibile atenuări suplimentare pentru luarea în considerare a conducerii superioare. Toate riscurile escaladate sunt aduse în atenția
echipei de conducere de îndată ce este posibil. În general, riscurile sunt monitorizate trimestrial prin INTERMEDIUL CMR. Un rezumat al reuniunii este
discutat cu echipa de conducere în fiecare trimestru și apoi, de asemenea, discutate cu Comitetul de audit al Consiliului în fiecare trimestru. Consiliul
de administrație complet discută ERA o dată pe an. Proprietarii de risc înțeleg importanța riscului și recunosc că programul ERM este o resursă care
poate fi utilizată pentru a consolida gestionarea riscurilor în zona lor. Ca o companie mai mică, este destul de ușor pentru echipa să se angajeze într-o
conversație sincer, informale cu membrii organizației despre risc.

Comunicare și monitorizare

Rezultatele evaluării riscurilor pentru întreprinderi sunt comunicate, de obicei, numai RMC, conducerii superioare și Consiliului de administrație.
Echipa asamblează informațiile de risc într-o broșură care este distribuit la RMC, conducerea superioară, și Consiliul de Administrație. Proprietarii de
risc pot partaja informații în cadrul organizațiilor lor la discreția lor, dar matricele de risc formalizate și broșurile de risc nu sunt partajate mai larg.
Conducerea superioară și Comitetul de audit al Consiliului primesc rapoarte trimestriale privind cele mai critice riscuri strategice, în timp ce consiliul
complet primește un raport anual. Anul trecut, 10 riscuri au fost considerate critice pentru realizarea strategiei companiei, iar proprietarii de riscuri au
prezentat consiliului de administrație în cadrul reuniunii lor anuale de strategie.

Programul ERM nu a implementat încă urmărirea KRI. Cu toate acestea, proprietarii de riscuri urmează în mod individual valorile relevante pentru
riscurile din domeniul lor de responsabilitate. Schimbări semnificative sunt frecvent discutate cu echipa în afara procesului formal. Pe măsură ce
echipa de modelare și analiză se maturizează, intenționează să construiască urmărire kri formală.

Cultura riscurilor și leadership

Gestionarea eficientă a riscurilor pentru întreprinderi nu este urmărită și recompensată în mod specific prin intermediul planurilor de compensare; cu
toate acestea, gestionarea eficientă a riscurilor este recompensată indirect, deoarece ajută la realizarea obiectivelor corporative. La compania A, este
important să avem discuții deschise despre managementul riscurilor. Echipa de conducere superioară face un efort conștient pentru a încuraja
angajații să prezinte preocupările înainte. Printr-o evaluare internă online, compania analizează toți angajații în mod anonim în fiecare an și, deși
obiectivul principal este de a măsura satisfacția, sondajul întreabă, de asemenea, despre cultura riscurilor și dacă există riscuri-cheie care nu sunt
abordate. Există și alte canale, inclusiv o linie telefonică de denunțător care sunt disponibile pentru angajați pentru a exprima preocupările. Angajații
sunt, de asemenea, educați cu privire la rolul ERM prin intermediul site-ului intern, Prânz și învață, și "Roadshows." Scopul unui Roadshow este de a
permite echipei să predea despre principiile de bază de gestionare a riscurilor, precum și să ofere angajaților un punct de contact pentru probleme de
risc.

Conducerea companiei A este foarte de susținere și angajat cu procesul ERM. Președintele Consiliului de Administrație și CEO l-au intervievat pe
Senior Manager și se angajează să utilizeze ERM ca instrument strategic pentru luarea deciziilor. Senior Manager nu numai că se întâlnește în mod
oficial cu CEO-ul pe o bază lunară, dar ocupă, de asemenea, un birou în apropierea CEO, care oferă oportunități frecvente pentru conversație
informală. La începutul acestui an, întreaga echipă de conducere superioară, mai mulți membri ai Consiliului, unele VPs cheie și echipa de risc au
participat la o formare executivă de două zile pe ERM pentru a afla despre unele instrumente și tehnici pentru a "hack gândirea lor strategică." Senior
Manager este frecvent invitat la reuniuni la nivel înalt care implică tranzacții corporative semnificative sau decizii cheie. În general, Senior Manager
are o relație bună cu directori de top și directorii apreciază valoarea pe care ERM aduce companiei.

Proba 3: Scor de impact al riscului

Scorurile de risc pre-atenuare (inerente) și post-atenuare (reziduală)

◊ = Scor de pre-atenuare

● = Scor post-atenuare

Probabilitatea de risc

4 - Frecvente

12

16
3 - Probabil

12

2 - Posibil

1 - Rare

1 - Minim

2 - Maior
3 - Critic

4 - Catastrofale

Scorul de impact total al riscului

Impactul riscului în funcție de zonă

Zone de risc

Mediu

Sănătate, Siguranță

Reputaţia

Conformitate/

Juridice

financiare

Strategice
Scoruri de impact pe zonă (1-4)

Ponderile

Scoruri ponderate pe zonă

Scor de risc inerent (Scor de risc înainte de atenuare)

Impactul riscului

Scor

* Probabilitatea de risc

Scor

= Risc inerent

Scor
Impactul riscului în funcție de zonă

Zone de risc

Mediu

Sănătate, Siguranță

Reputaţia

Conformitate/

Juridice

financiare

Strategice

Scoruri de impact pe zonă (1-4)

Ponderile

Scoruri ponderate pe zonă

Scor risc rezidual (Scor de risc post-atenuare)

Post-atenuare

Scor de impact al riscului

* Post-

Scor de probabilitate de risc de atenuare

= Scorul riscului rezidual

Îmbunătățiri ERM

Compania A a suferit îmbunătățiri notabile ale procesului lor ERM pentru a furniza cele mai recente și relevante informații de risc pentru conducerea
companiei. Principalele îmbunătățiri remarcate de compania A gravitează în jurul integrării ERM cu strategia și procesele de identificare a riscurilor și
evaluare a riscurilor. Cu toate acestea, îmbunătățirile sunt aduse în mod continuu pe măsură ce sunt identificate și puse în aplicare cele mai bune
practici.
Îmbunătățirea procesului 1: Integrarea ERM cu Strategia

Una dintre principalele îmbunătățiri pe care compania A le-a suferit include interconectarea programului ERM cu strategia. Anterior, a existat o
integrare redusă între ERM și strategie. Auditul intern ar raporta informațiile privind riscurile echipei de conducere superioară o dată pe an în scopul
conformității, dar nu și din punctul de vedere al ofertei de informații valoroase privind riscurile la strategie. Președintele consiliului de administrație și
CEO-ul au văzut valoarea potențială a ERM și au cerut companiei să alinieze mai bine riscurile și strategia. CEO-ul a realizat acest lucru prin aprobarea
adăugării unei noi poziții de VP de Strategie și mutarea Senior Manager la raportarea în organizația de strategie. Vp de strategie rapoarte la numărul 2
în cadrul companiei, EVP de dezvoltare corporativă. Compania a beneficiat de un proces structurat pentru conectarea riscurilor și a strategiei și
facilitarea discuțiilor cu privire la principalele riscuri strategice. În plus, prin tratarea ERM ca un program la nivel de companie, Compania A a fost în
măsură să extindă proprietatea de gestionare a riscurilor în întreaga organizație.

Integrarea între ERM și strategie continuă să evolueze la Compania A. Anterior, Compania A a avut 3 grupuri care au fost compuse din ERM (1
manager & analist), Strategie (1 manager & 2 analiști) și Project Management (1 consultant). În prezent, angajații și contractanții care raportează VP-
ului de strategie vor trece la roluri manageriale cu roluri și responsabilități diferite. Noile titluri de poziție care raportează VP-ului de strategie includ
manager peste Planificarea și dezvoltarea strategiei, executarea strategiei și modelarea strategiei și analiza. Fiecare manager va avea, de asemenea,
un analist pentru a le sprijini. Toate cele trei grupuri au responsabilități ERM. Managerul Strategiei de Planificare și Dezvoltare este expertul inițial în
risc al companiei și acum acționează mai mult ca un "ERM Program Leader" în cazul în care programul include Consiliul de Management al Riscurilor,
care include membri în afara VP a organizației strategiei.

Un exemplu al modului în care responsabilitățile de risc acoperă noul grup de strategii ar putea include: Senior Manager of Strategy Planning &
Development identifică un risc și creează un scenariu despre modul în care riscul s-ar putea materializa. Senior Manager de Strategie Modeling &
Analytics ia scenariul și utilizează analiza Monte Carlo într-un model financiar pentru a evalua gama de posibile impacturi asupra companiei. Echipa ar
strat apoi în unele atenuări la riscul identificat. În cele din urmă, managerul de executare a strategiei se asigură că, pentru inițiativele puse în aplicare,
activitățile care sunt esențiale pentru atingerea obiectivelor, inclusiv atenuarea riscurilor, sunt pe calea cea bună.

Procesul de stabilire a unui program ERM aliniat cu strategia a fost considerat necesar pentru a extinde proprietatea de gestionare a riscurilor în
întreaga lor organizație, în loc de locuințe într-un singur departament. Aducerea responsabilității pentru gestionarea riscurilor în grupul lor de
strategie include conștientizarea riscurilor în strategiile lor și ajută fiecare lider să își asume responsabilitatea pentru rolul său în managementul
riscurilor.
Îmbunătățirea procesului 2: Identificarea riscurilor

A doua dintre principalele îmbunătățiri aduse programului ERM la compania A este restructurarea procesului de evaluare a riscurilor. Anterior, nu
exista o echipă ERM oficială, iar auditul intern desfășura o mare parte din procesul de gestionare a riscurilor. Atunci când auditul intern a efectuat
procesul de identificare a riscurilor, accentul a fost pus pe riscurile care erau de obicei mai legate de contabilitate și de natură internă. În consecință,
lista globală cu peste 100 de riscuri, precum și o "listă de top 10" nu au fost foarte utile pentru stabilirea strategiei și au fost predominant bazate pe
financiare. Sursa acestui proces limitat de identificare a riscurilor a fost cunoașterea limitată și utilizarea strategiei globale de afaceri a companiei ca
bază pentru identificarea riscurilor. Pe măsură ce compania s-a orientat mai mult către o abordare integrată a riscurilor și a strategiei, procesul de
identificare a riscurilor a înregistrat îmbunătățiri majore. Senior Manager a condus schimbările spre o abordare mai colaborativă a managementului
riscurilor. Îmbunătățirea a fost necesară pentru a crea riscuri

și să încurajeze oamenii din cadrul organizației să fie mai proactivi în ceea ce privește riscurile și să înțeleagă interconectarea riscurilor. Proprietarii
riscurilor individuale au acum o perspectivă mai largă asupra riscurilor emergente și au mai multă voce și implicare în procesul de identificare a
riscurilor.

Compania a fost afectată de o înțelegere mult mai mare a riscurilor la toate nivelurile pentru companie și modul în care acestea se deplasează. Anul
trecut au fost realizate 75 de interviuri pentru a compune un univers de risc pentru companie. Aceste interviuri conțin întrebări deschise pentru a
identifica riscurile care dăunează strategiei. Un Consiliu de Management al Riscurilor format din 15 persoane cartografiat și urmărește aceste riscuri.
Anterior, doar primele 10 riscuri urmau să fie identificate și evaluate. Cu toate acestea, amploarea identificării riscului a inclus doar 2 diapozitive pe un
PowerPoint în care riscurile au fost listate și li s-a dat un punct de marcator fiecare explicație. Acum, compania are o listă de supraveghere de
aproximativ 30 de riscuri care sunt monitorizate continuu. Compania a adăugat, de asemenea, mult mai multe detalii și definiții mai clare în spatele
fiecărui risc identificat. De exemplu, în loc ca un risc să fie identificat doar ca un "risc de reglementare", acesta poate fi identificat acum ca un "risc de
a nu anticipa schimbarea reglementărilor, lăsându-ne în imposibilitatea de a opera din cauza lipsei de conformitate sau a pierderilor financiare
cauzate de neconformitate". Fiind mai explicit cu privire la modul în care riscul ar putea apărea și impactul companiei, există o mai bună asumare și
înțelegere a necesității și a mijloacelor de gestionare a fiecărui risc. În general, îmbunătățirea identificării riscurilor a stabilit cu succes o cultură
eficientă a riscurilor și un dialog inventat "siguranță psihologică" în jurul riscului în cadrul organizației. Procesul continuă să evolueze. A fost nevoie de
6 luni pentru a proiecta și pune în aplicare pentru prima dată. După stabilirea unui cadru, riscurile sunt identificate și actualizate în permanență și
prezentate trimestrial Comitetului de audit al Comitetului de audit al Comitetului.

Tranziția a fost destul de lină pe măsură ce s-a petrecut timpul, asigurându-se că principalele părți interesate au înțeles scopul schimbării. Senior
Manager a elaborat un plan de comunicare și a petrecut timp angajarea părților interesate cheie și asigurarea campionilor în cadrul organizației.
Pentru unii, nu a fost până când a existat o producție tangibilă produse pe care le-ar putea înțelege pe deplin scopul și rezultatele. De-a lungul
timpului a existat un nivel mai mare de înțelegere și CEO spune că se poate concentra pe alte probleme știind că riscurile sunt identificate și au un
proces de atenuare în loc în cazul în care acestea au fost de a escalada.

Mergând mai departe, compania se străduiește în permanență să-și îmbunătățească maturitatea evaluării riscurilor. Compania depune eforturi pentru
cartografierea interconectării riscurilor și la elaborarea unor indicatori-cheie de risc cantitativi (KRI). Speranța este ca compania să continue să se
gândească mai proactiv la riscuri prin indicatori. În plus, obiectivul este de a colecta mai multe date pentru a sprijini identificarea riscurilor și evaluări
calitative mai puțin ad-hoc pentru a îmbunătăți în continuare procesul de identificare a riscurilor.

Îmbunătățirea procesului 3: Evaluarea riscurilor pentru întreprinderi

A treia îmbunătățire majoră pe care compania A a întreprins-o în cadrul programului ERM a fost o mai bună clasificare și evaluare a riscurilor. Senior
Manager a făcut această modificare deoarece programul ERM pregătea o listă de top 10 și crea vizualizări de hărți termice, dar nu a făcut legătura
între listele de risc și răspunsul la risc. Anterior, riscurile au fost evaluate pe o scară de 5 puncte, care nu a fost adecvată pentru evaluarea adecvată a
riscurilor. Ea a constatat că cele mai bune practici au fost de a evalua riscurile pe o scară de 4 puncte (1-minim 2-majore 3-critice 4-catastrofale) în
cinci dimensiuni de impact ale companiei (de mediu, sănătate și siguranță, reputație, juridice și de conformitate, financiare, strategice). O scară de 4
puncte nu are nici un "mijloc", prin urmare, aceasta obligă respondenții să aleagă o parte. Programul ERM s-a abătut de la o tehnică de clasificare
forțată, deoarece au văzut-o anterior, a dus la mai multă energie cheltuită pentru poziționarea riscurilor decât acțiunile de gestionare a riscurilor.
Îmbunătățirea evaluării riscurilor a fost necesară pentru a raționaliza riscurile și pentru a se asigura că există politici și proceduri adecvate pentru a
direcționa atenția și resursele către riscurile emergente.

Compania a beneficiat de consolidarea procesului de evaluare a riscurilor prin posibilitatea de a lega mai bine faza de identificare de faza de răspuns.
Mergând mai departe, compania va continua să beneficieze de această îmbunătățire, fiind mai bine echipată pentru a alege mecanismul de răspuns
adecvat. Matricea de răspuns la risc adoptată de companie care plasează riscurile în cele patru categorii de "pregătire, acțiune, parcare și adaptare"
pe baza rezultatelor riscului lor legate de impact și probabilitate. Matricea a furnizat organizației

pentru a se angaja mai bine într-un dialog privind riscurile. Îmbunătățirea va fi cea mai vizibilă în integrarea riscului cu strategia, deoarece compania
este mai în măsură să înțeleagă natura și expunerea riscurilor lor.
Tranziția pentru punerea în aplicare a acestui nou proces de evaluare a riscurilor a fost destul de lină, deoarece a fost o primă realizare tangibilă a
programului ERM care a fost deținută de Consiliul de Management al Riscurilor, nu de liderul ERM. În plus, s-a depus mult efort în comunicarea
intenționată și angajarea liderilor cheie ai companiei ca campioni. În general, oamenii au fost receptivi la schimbările făcute, deoarece au simțit că
schimbările au sens și au văzut evaluarea riscurilor i-ar putea ajuta să-și înțeleagă mai bine riscurile în contextul corporativ.