Risikostyring i statenHndtering av risiko i ml- og resultatstyringen

Met

oded

okum

ent

Side 2 av 51

FORORD Kan du som leder svare p flgende sprsml:

Hvilke faktorer er avgjrende for mloppnelse i min virksomhet? Hvordan kan jeg identifisere nye og endrede risikoer? Hvilke av disse risikoene er vurdert som vesentlige i forhold til mloppnelse for min

virksomhet? Hvordan kan jeg etablere hensiktsmessige styrings- og kontrollmekanismer som

balanserer risiko, kontroll og kost/nytte ved ulike tiltak og kontrollaktiviteter? Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og

som forutsatt? Dette metodedokumentet har til hensikt gjre deg bedre i stand til svare p disse sprsmlene. Det beskriver en metode for hvordan du p en strukturert mte kan benytte risikostyring og intern kontroll som et verkty for gi rimelig sikkerhet for at virksomheten oppnr sine mlsettinger. Regelverket for konomistyring i staten stiller krav om risikostyring og intern kontroll i statlige virksomheter. I regelverket gis det ikke nrmere anvisning om hvordan dette skal utformes eller gjennomfres i virksomhetene. Senter for statlig konomistyring (SS) har derfor utarbeidet et metodedokument for risikostyring og intern kontroll i staten. Dokumentet skal bidra til veilede virksomhetene i hvordan dette kan gjennomfres innenfor de rammer som regelverket for konomistyring i staten setter. Utarbeidelsen har skjedd i form av et prosjekt ledet av seniorrdgiver Bente Nyrud Gobel (SS). Partner Stein-Ragnar Noreng (KPMG) har bisttt prosjektleder under hele utarbeidelsen. I tillegg har flgende eksterne rdgivere bidratt i prosessen: Manager Lars-Erik Fjrtoft (Deloitte), senior manager Gunnar Hoff (Deloitte), statsautorisert revisor Knut Lken, professor og statsautorisert revisor Flemming Ruud, PhD (Handelshyskolen BI, Universitet Zurich og Universitet St. Gallen) og manager Stein-Ove Songstad (Deloitte). I tillegg har en referansegruppe vrt en viktig del av prosjektet. Den har besttt av flgende representanter fra statlige virksomheter: Seniorrdgiver Nils Hjelle (Skattedirektoratet), revisjonsdirektr Ingjerd Juel Ingeborgrud (Rikstrygdeverket), seniorrdgiver Sverre Lunde (UIO, fra 1. august 2005 Helse- og omsorgsdepartementet), avdelingsdirektr Internrevisjonen Ingrid Nicolic (Aetat), revisjonsdirektr Teis Stokka (Skattedirektoratet), revisjonssjef Sveinung Svanberg (UIO) og leder av internrevisjonsenheten Trine Tengbom (Forskningsrdet). Styringsgruppen for prosjektet har besttt av Marianne Andreassen (direktr SS) og seniorrdgiver Emma C. Jensen Stenseth (Finansdepartementet). Riksrevisjonen har vrt observatr bde i styringsgruppen og referansegruppen med henholdsvis ekspedisjonssjef Hans Conrad Hansen og avdelingsdirektr Ola Hollum. Med dette metodedokumentet nsker vi framheve de positive verdiene i arbeidet med risikostyring og intern kontroll og betydningen av dette for bedret mlstyring og resultatoppnelse. SS vil videreutvikle metodikken basert p de erfaringer som gjres i virksomhetene. P vre nettsider (www.sfso.no) vil du finne ytterligere informasjon om og eksempler i tilknytning til risikostyring og intern kontroll. Oslo, 8. desember 2005

Side 3 av 51

INNHOLDSFORTEGNELSE

INNHOLDSFORTEGNELSE .............................................................................. 3 SAMMENDRAG .................................................................................................. 4 1 Innledning..................................................................................................... 10

1.1 Ansvar for risikostyring og intern kontroll .............................................................. 12 1.1.1 Virksomhetens interne styring ......................................................................... 12 1.1.2 Departementets styring av virksomheter.......................................................... 13

1.2 Formlet med metodedokumentet ............................................................................ 13 2 Hndtering av risiko i ml- og resultatstyringen.......................................... 14

2.1 Tre kategorier av mlsettinger.................................................................................. 15 2.2 Risikostyring og intern kontroll en prosess........................................................... 15 2.3 Dokumentasjon......................................................................................................... 17

3 Metode for hndtering av risiko i ml- og resultatstyringen........................ 18 3.1 Formlet med dokumentasjon av risikostyringen .................................................... 20 3.2 Strategi for integrering av risikostyring i ml- og resultatstyringen ........................ 21 3.3 Prosess for risikostyring integrert i ml- og resultatstyringen ................................. 22 3.4 Prosess for risikostyring p overordnet niv ............................................................ 23

3.4.1 Identifisering av virksomhetens overordnede ml ........................................... 24 3.4.2 Identifisering av kritiske suksessfaktorer......................................................... 25 3.4.3 Identifisering av risikoer .................................................................................. 26 3.4.4 Vurdering og prioritering av risikoer ............................................................... 29

3.4.4.1 Nrmere om vurdering av sannsynlighet og konsekvens............................ 29 3.4.4.2 Vurdering og prioritering av risikoene p overordnet niv.......................... 32

3.5 Prosess for utarbeidelse av risikokart p lavere organisasjonsniver ...................... 35 3.6 Risikoanalyse av operative prosesser....................................................................... 36 3.7 Risikoanalyse av prosjekter...................................................................................... 38 3.8 Tiltak og kontrollaktiviteter som flge av vurderingene.......................................... 38 3.9 Oppflging av risikoene ........................................................................................... 45

3.9.1 Hensikten med oppflging av risikoene........................................................... 45 3.9.2 Praktiske mter flge opp risikoer p............................................................ 45 3.9.3 Bruk av controllere og internrevisjon............................................................... 46

3.10 Risikostyringens begrensninger ............................................................................... 47 Stikkordregister ................................................................................................... 48 Vedlegg A - Bestemmelser om intern kontroll i konomiregelverket................ 50

Side 4 av 51

SAMMENDRAG Kan du som leder svare p flgende sprsml:

Hvilke faktorer er avgjrende for mloppnelse i min virksomhet? Hvordan kan jeg identifisere nye og endrede risikoer? Hvilke av disse risikoene er vurdert som vesentlige i forhold til mloppnelse for min

virksomhet? Hvordan kan jeg etablere hensiktsmessige styrings- og kontrollmekanismer som

balanserer risiko, kontroll og kost/nytte ved ulike tiltak og kontrollaktiviteter? Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og

som forutsatt? Dette metodedokumentet har til hensikt gjre deg bedre i stand til svare p disse sprsmlene. Det beskriver en metode for hvordan du p en strukturert mte kan benytte risikostyring og intern kontroll som et verkty for gi rimelig sikkerhet for at virksomheten oppnr sine mlsettinger. I arbeidet med metodedokumentet er det tatt utgangspunkt i et anerkjent internasjonalt rammeverk (COSO ERM, 2004). Den framgangsmten som skisseres er tilpasset det statlige konomiregelverket og statlige behov. Virksomheten kan likevel velge bruke andre framgangsmter som ivaretar konomiregelverkets krav. HNDTERING AV RISIKO I ML- OG RESULTATSTYRINGEN Ml- og resultatstyring er det overordnede styringsprinsipp i statlig forvaltning. En god ml- og resultatstyring forutsetter at virksomhetsledelsen kjenner og aktivt hndterer de utfordringer eller usikkerheter som kan pvirke mloppnelse negativt. konomiregelverket inneholder gjennomgende krav om at all styring, oppflging, kontroll og forvaltning i staten skal tilpasses virksomhetens egenart samt risiko og vesentlighet. I tillegg er kravene til intern kontroll i konomiregelverket ogs krav til risikostyring. I dokumentet benyttes primrt betegnelsen risikostyring og ikke risikostyring og intern kontroll om denne prosessen. I etatstyringen skal departementet sikre at underliggende virksomheter har etablert en forsvarlig risikostyring og intern kontroll. Virksomhetens ledelse skal srge for at det er etablert en forsvarlig risikostyring og intern kontroll i virksomheten, og pse at den fungerer p en tilfredsstillende mte. Grunntanken i dokumentet er at metodikken og begrepsapparatet skal kunne benyttes av alle statlige virksomheter, bde i departementenes styring av underliggende virksomheter og i den enkelte virksomhets interne styring, ogs departementenes interne styring. Metodedokumentet konsentrerer seg imidlertid hovedsakelig om den interne styringen. I henhold til konomiregelverket skal alle virksomheter sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsunderlag tilpasset virksomhetens egenart og risiko og vesentlighet. Regelverket inneholder i tillegg flere eksplisitte dokumentasjonskrav med relevans for dokumentasjon av risikostyring og intern kontroll som en integrert del av ml- og resultatstyringen. God dokumentasjon vil normalt ogs vre et viktig bidrag i en kontinuerlig forbedring av risikostyringen og dermed av ml- og resultatstyringen som h