360 likes | 798 Views
Intern styrning och kontroll. Riskanalys i praktiken. Agenda. Intern styrning och kontroll Intern miljö Anvisningar för intern styrning och kontroll Planerings- och uppföljningsprocess inom KI Riskanalys Identifiera risker Värdera risker Hantera risker Kontrollåtgärder Uppföljning.
E N D
Intern styrning och kontroll Riskanalys i praktiken
Agenda • Intern styrning och kontroll • Intern miljö • Anvisningar för intern styrning och kontroll • Planerings- och uppföljningsprocess inom KI • Riskanalys • Identifiera risker • Värdera risker • Hantera risker • Kontrollåtgärder • Uppföljning
Fastställa mål Kontrollmiljö Risk-hantering Kontroll-åtgärder Informationoch kommunikation Uppföljning Intern styrning och kontroll -en process • Obligatoriska moment enligt FISK:en • Riskanalys, §3 • Kontrollåtgärder, §4 • Uppföljning, §5 • Dokumentation, §6
En god intern miljö Det finns inte något krav på en viss utformning av den interna miljön i förordningen om intern styrning och kontroll. Däremot se till att… … är en förutsättning för att andra delar av den interna styrning och kontrollen ska fungera • De anställda är väl förtrogna med målen för verksamheten, • Skapa goda arbetsförhållanden • Ta till vara och utveckla de anställdas kompetens och erfarenhet Myndighetens interna miljö formas av människor och är därför i hög grad en föränderlig miljö Organisation och ansvarsfördelning Information och kommunikation Planerings- och uppföljnings-processen Kultur och värderingar
Anvisningar för intern styrning och kontrollFastställda av rektor den 29 maj 2012 • Arbetet med intern styrning och kontroll vid KI sker enligt regler och riktlinjer fastställda av konsistoriet 2009. • Processen för intern styrning och kontroll ingå som en del i verksamhetsplanering och uppföljning som genomförs vid respektive institution och styrelse. • Respektive institution och styrelse ska genomföra och fastställa riskanalyser i enlighet med anvisningarna. Vart tredje år görs fördjupade riskanalyser • De fem högst värderade riskerna med tillhörande kontrollåtgärder ska ingå i verksamhetsplanen och följas upp i verksamhetsberättelsen. • Därutöver ska de fem högst värderade riskerna som kräver KI övergripande ställningstaganden lämnas till ledningskansliet • Varje institution och styrelse bör ha en kontaktperson som ansvarar för och samordnar arbetet.
Vad är en risk? ”En verksamhetsrisk är hotet att en händelse negativt påverkar en organisations möjlighet att uppnå sina verksamhetsmål och genomföra sina strategier” Endast en organisation som är medveten om sina risker kan hantera dem effektivt!
Målen med riskhantering • Identifiera risk i relation till verksamhetens mål • Skapa en gemensam syn på vilka risker som är väsentliga för organisationen • Prioritera vilka åtgärder som ska vidtas för att nå önskad riskexponeringen • Verksamhets-beslut • Öka förståelse för hur enskilt risktagande motverkar/ förstärker verksamhetens totala exponering • Säkerställa att organisationens riskerna hanteras i enlighet med beslutad riskaptit • Intern kontroll • Information gällande organisationens riskexponering • Från operativt ansvariga till ledning och styrelse • Från ledning och styrelse till externa intressenter • Kommunikation
Olika stadier av riskhantering Proaktiv • Förbättrat beslutsunderlag för investeringar – strategiska initiativ Förebyggande • Förbättrad resursallokering • Skyddande av myndighetens rykte • Bedömning och hantering av strategiska risker • Medvetenhet om ALLA typer av risker som kan påverka verksamhetsmålen Reaktiv • Undvikande av personliga ansvar • Regelefterlevnad • Andra verksamhetskriser • Egna verksamhetskriser
Riskanalys Riskanalys • 3. Värdera • 5. Riskanalys • 1. Mål • 2.Identifiera • 4. Hantera • Riskanalys på institutions/styrelse nivå samt aggregerad nivå. • Integrera i verksam-hetsplanering, budgetarbete och uppföljning • Institutioner och styrelser ska anpassa målformuleringarna inför riskanalysen utifrån KI:s övergripande mål. • Värdera risker utifrån sannolikhet och påverkan • Identifiera risker för att verksamhetens mål ej uppnås. • Utförs utifrån ett strukturerat arbetssätt med fördefinierade riskområden och riskdrivare. • Prioritering av risker för att hantera risker - acceptera /övervaka- begränsa- dela- eliminera
Identifiera riskerAnvisningar för intern styrning och kontroll ”Riskidentifiering görs genom att en inventering görs av vilka händelser som negativt kan påverka möjligheterna att uppnå målen för verksamheten. Institutionens och styrelsernas mål ska utgå från KI:s övergripande mål”
Identifiera risker - Hur och vem Vilka ska delta • Lednings- och nyckelpersoner för att säker-ställa att risker i hela institutionens eller styrelsens verksamhet beaktas Hur • Intervjua samtliga ovan identifierade personer • Intervjua några av dessa och komplettera med enkät till övriga alternativt enkät till samtliga • Workshop
Externa faktorer Operationell effektivitet Redovisning och rapportering Regelefterlevnad Identifiera riskerRiskträd Redovisning och rapportering Löpande redovisning/kvalitet Bokslutsprocess Nya regelverk/krav Kapital Finansiering (anslag/bidrag/avgifter) Likviditet Fondförvaltningen Övrigt KI Holding Löneprocess, utlägg, pensioner Fakturahantering Omvärld Externa beslut Makroekonomi Demografi Andra aktörer, t.ex. forsknings-finansiär, SLL Varumärke/goodwill Media Rykte Övrigt Kris och katastrofer Extern brottslighet Hot Ledning och styrning Organisationsstruktur Ansvar och befogenheter Verksamhetsplanering Budget och resursallokering Uppföljning Projekt Kommunikation och information Samverkan Kultur – värderingar Verksamhetsprocesser Utbildning (grund och avancerad) Forskning Forskarutbildning Personal Kompetensförsörjning Kompetensutveckling Nyckelpersoner Arbetsmiljö Informationssäkerhet Organisation och styrning Forskningsdokumentation Ladok IT -säkerhet - Systemutveckling och förvaltning - Drift och systemsäkerhet - Åtkomstskydd och behörighetshantering - Backup och kontinuitetsrutiner Övrigt Infrastruktur Lokaler Lagar och förordningar Förvaltning Högskolespecifika förordningar Upphandling Övrigt (ex bisysslor, skatter och avgifter) Övrigt Regler och riktlinjer Etik Bedrägeri “Riskträdet är ett sätt att strukturera och synlig-göra inom vilka olika områden risker kan finnas”
Identifiera riskerFormulera risker • Riskerna bör formuleras så att det tydligt framgår att det är en händelse; • Händelse x inträffar p g a orsaken Y • Förhållandet Y leder till att händelse x inträffar Exempel på risker från 2009: "Bristande systematik avseende hur forsknings-data dokumenteras och sparas vilket kan påverka KIs anseende“ "Bristande helhetsperspektiv när verk-samhetsstyrelserna fattar beslut vilket kan påverka måluppfyllelsen negativt“ "Bristande informationssäkerhet inklusive rutiner för back up och behörighetshantering kan leda till brister i kvaliteten“ "Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet“ "Verksamhetskritiska system riskerar att haverera vilket kan leda till ineffektivitet“ "Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling” "Otydlighet i ansvar och befogenheter mellan beställare och utförare avseende utbildning på grundnivå och avancerad nivå vilket kan påverka kvaliteten negativt“ "Förekomst av oredlighet i forskningen vilket kan påverka måluppfyllelsen och förtroendet för KI negativt“ "KIs organisationsstruktur leder till otydlighet i ansvar och befogenheter vilket kan leda till ineffektivitet”
Värdera riskerAnvisningar för intern styrning och kontroll • Riskvärdering innebär att göra bedömningar av dels sannolikheten för att en händelse, som definieras som en risk, inträffar samt konsekvenserna av inträffandet. • För att uppskatta sannolikheten kan antingen så kallade objektiva eller subjektiva sannolikheter användas. • Objektiva sannolikheter - ur historiska data kan härleda sannolikheten för att en händelse ska inträffa • Subjektiva sannolikheter - bedömningarna utgörs av skattningar utifrån kända och okända faktorer och påverkas av bedömarens bakgrund, erfarenheter och attityder. • För den typ av händelser som identifieras som risker i detta sammanhang är det för flertalet inte möjligt att ta fram den typ av historiska data som skulle behövas för en objektiv sannolikhetsbedömning. • Därför blir rekommendationen att värderingen görs utifrån subjektiva sannolikhetsbedömningar.
Värdera risken Hur stor är sannolikheten att händelsen inträffar? Beakta tidshorisonten; är målet på ett års sikt ska sannolikheten att risken faller ut beaktas på motsvarande tid 3. HÖG 1. LÅG 2. MEDEL 4. MYCKET HÖG
Värdera risken Hur stor är påverkan om händelsen inträffar? 4. MYCKET HÖG: Risken kan ge mycket negativa effekter eller helt förhindra att målen för verksamheten nås. Händelserna gör det mycket svårt för styrelse och operativ ledning att hantera situationen. Händelserna kräver åtgärd från styrelse och operativ ledning • Exempel: • Oönskade förändringar av KI:s intäkter som överstiger 40%, • Verksamhetskritiska IT-system är utslagna/ oanvändbara, • KI förlorar sin universitetsstatus • Personal bryter avsiktligt och regelmässigt mot KI:s regelverk eller lagar och förordningar eller myndighetsutövning. • Exempel: • Oönskade förändringar av KIs intäkter uppgående till 15-40%, • Intrång i verksamhetskritiska IT-system alt system är otillförlitliga, • Förlust av examensrätt för ett utbildningsprogram • Personal bryter avsiktligt mot KI:s regelverk eller lagar och förordningar eller oavsiktligt i sin myndighetsutövning. • 3. HÖG: Risken har påverkan som är allvarlig och äventyrar delar av, eller ger kännbar försämring i måluppfyllelsen. Stor skada på KI:s anseende. Händelserna kräver åtgärd från styrelse och/eller operativ ledning • Exempel: • Oönskade förändringar av KIs intäkter uppgående till 5-15%, • Driftsstörningar i verksamhetskritiska IT-system, • Ifrågasatt examinationsrätt • Personal bryter avsiktligt men undantagsvis mot KI:s regelverk eller lagar och förordningar. 2. MEDEL: Risken har påverkan som t ex kan ge begränsad försämring på måluppfyllelsen, ekono-misk skada eller viss påverkan på anseende. Kort-varig skada på varumärke. Konsekvenserna kräver åtgärd från den operativa ledningen och övriga chefer 1. LÅG: Risken har obetydlig påverkan på möjligheterna att nå verksamhetens mål. Möjligen viss skada på anseendet men konsekvenserna kan hanteras inom ramen för den löpande verksamheten • Exempel: • Oönskade förändringar av KI:s intäkter uppgående till 1-5%, • Verksamhetskritiska IT-system kräver underhåll/ utbyte, • Allvarligt kritik av utbildningen • Personal bryter oavsiktligt och undantagsvis mot KI:s regelverk eller lagar och förordningar
Värdera riskMetoder för värdering • Mentometrar • ”Gula lappar” • Röstkort • Diskussion
Värdera riskerMentometer • Viktigt att värdering av respektive riskdiskuteras löpande under värderingen; - om bedömer att riskvärderingen inte stämmer kan röstningen för enskild risk nollställas och röstningen göras om • Viktigt att sammanställning av samtliga risker i riskkartan diskuteras för att bedöma hur riskerna ”förhåller sig till varandra” - bedömer gruppen riskvärderingen som rimlig? - behöver omvärdering göras av någon risk?
Värdera riskerMentometer • Endast värde1-4 registreras i värderingen • Går att följa om alla har ”röstat” • F2 – för att skifta resultat mellan antal och procent • F4 - om nollställa röstning avseende en röst (måste stå i den bilden som röstning avser) • SPARA!
RISKOMRÅDE Exempel : Risk 1: Sannolikhet ”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ” Mean = Sannolikhet Låg Medel Hög Mycket hög
RISKOMRÅDE Exempel: Risk 1: Påverkan ”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ” Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta
Hantera riskerAnvisningar för intern styrning och kontroll • Ledningen för institutionen och styrelsen ska ta ställning till hur de högstvärderade riskerna ska hanteras vilket avgörs bl. a. av vilken så kallad riskacceptans verksamheten har. • Riskacceptansen kan vara olika inom olika verksamhets- områden och exempelvis högre för forsknings- verksamheten än för ekonomiadministrationen. • Beslut ska fattas om hur de högst värderade riskerna ska hanteras utifrån fyra typer av åtgärder: acceptera, begränsa, dela eller eliminera. • De fem högstvärderaderiskernasomkräver KI övergripandeställningstagandenskalämnas till ledningskansliet.
Hantera riskerBeslut om hantering av risker • Acceptera risken innebär att inte vidta åtgärder men att risken dock övervakas • Begränsa risken innebär att tillföra resurser och konkreta åtgärder för att minska sannolikheten och/eller konsekvensen av att en händelse inträffar till en acceptabel nivå. • Dela risk innebär inom staten främst genom skadereglering via Kammarkollegiet • Eliminera risken innebär att vidta konkreta åtgärder för att undvika de aktiviteter som ger upphov till risken. ”De olika handlingsalternativen måste förstås också ställas mot kostnaden för att genomföra dem.”
Riskkarta – prioriterade risker 6 7 4 1 13 Påverkan 2 3 9 14 15 10 8 2 1 1 2 3 4 Sannolikhet
KontrollåtgärderAnvisningar för intern styrning och kontroll • Kontrollåtgärder är åtgärder som leder till att risker förebyggs eller minskas. De accepterade riskerna medför inte några direkta kontrollåtgärder alls medan övriga risker kräver åtgärder. • Åtgärderna som vidtas kan vara av olika karaktär, alltifrån förändringar i arbetsrutiner, regler och riktlinjer till informationsinsatser och avstämningar. • Kontrollåtgärderna ska vara integrerade i myndighetens verksamhet är det respektive chef inom verksamheten som är ansvarig för och har befogenhet att utforma kontroll- åtgärderna. • Kontrollåtgärder för de fem högsta riskerna ska finnas med i verksamhetsplanenochföljasuppiverksamhetsberättelsen.
Kontrollåtgärder • Koppling mellan kontrollåtgärden och risken för att säkerställa attrisken hanteras på rätt sätt, utifrån om risken ska: ’ • Accepteras • Begränsas • Delas • Elimineras • Konkreta kontrollåtgärder • Kontrollägare • Tidsatta • Kontrollåtgärdernas effekt på risken • Hur är kontrollen utformad? • Fungerar den i praktiken?
Kontrollåtgärder Aktiviteter • Baserat på beslut om hantering av riskerna utformas kontrollåtgärder vilka hanterar riskerna så att organisationen uppnår önskad riskexponering • Ändamålsenlig utformning av kontrollåtgärder • Analys av föreslagna kontrollåtgärder utifrån ett kostnads- och nyttoperspektiv Dokument
UppföljningAnvisningar för intern styrning och kontroll • Uppföljning bör genomföras löpande några gånger under verksamhetsåret (2-4 ggr). I uppföljningen ingår att bedöma om de beslutade kontrollåtgärderna har genomförts och fungerat på det sätt som var avsett. • Utifrån genomförd uppföljning kan institutionen eller styrelsen bedöma om risknivån sänkts till en acceptabel nivå.
Uppföljning och status på planerade kontrollåtgärder • Månatlig/kvartalsvis uppföljning av status på planerade åtgärder. Åtgärd genomförd Enligt tidschema Försening enligt tidplan Kraftig försening enligt tidplan