390 likes | 638 Views
Risikostyring - Hva forventer Riksrevisjonen?. Stig J. Sunde, seniorrådgiver, Riksrevisjonen. Tre hovedpunkter. Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer. Litt om Riksrevisjonen.
E N D
Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen
Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer
Litt om Riksrevisjonen 500 dyktige medarbeidere • Forvaltningsrevisjon • Regnskapsrevisjon • Selskapskontroll (Statsselskaper med privat revisjon) • Internasjonalt aktive i IFAC, INTO-/EUROSAI,IIA • Internasjonale revisjonsoppdrag: OSCE, IOM, ESA, EFTA BoA, EUMETSAT, EUROCONTROL, IPU. www.Riksrevisjonen.no Jobb i Riksrevisjonen? www.Riksrevisjonen.no/jobbiriksrevisjonen/
Riksrevisjonen – vårt mandat Lov om Riksrevisjonen, 2004 • Riksrevisjonen skal gjennom revisjon, kontroll og veiledning bidra til at statens inntekter blir innbetalt som forutsatt og at statens midler og verdier blir brukt og forvaltet på en økonomisk forsvarlig måte, og i samsvar med Stortingets vedtak og forutsetninger.
Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer
Riksrevisjonens forventninger (”krav”) 1 • Krav til rød tråd i mål- og resultatstyring:Storting Departement Virksomhet – lover & forskrifter, tildelingsbrev, rundskriv mv.
Riksrevisjonens forventninger (”krav”) 2 • Målstyring – risikostyring – intern kontroll • Målnedbryting – målhierarki • Resultatmåling
Riksrevisjonens forventninger (”krav”) 3 • Mål- og resultatstyring, risikostyring og internkontroll – integrerte prosesser! • Integrert del av virksomhetsstyringen! • Dokumenterte prosesser!
Utfordringer ved god styring og kontroll • Bryte visjonsaktige mål (politiske mål) ned i målbare størrelser (målindikatorer) • Finne gode (riktige) indikatorer • Faktisk klare å måle på disse indikatorene (resultatmåling) • Kunne stole på rapporteringen (kvaliteten på styringsinformasjonen)
Utfordringer ved god styring og kontroll Eksempel på politisk mål for AID: • Det overordnede målet for politikken på Arbeids- og inkluderingsdepartementets ansvarsområde er at den skal bidra til arbeid, velferd og et inkluderende samfunn gjennom å ta i bruk og utvikle de virkemidler en samlet sosialpolitikk, arbeidsmarkedspolitikk og innvandrings- og integreringspolitikk gir. Departementet skal også ivareta urbefolkningens og de nasjonale minoritetenes rettigheter.
Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer
Praktisk risikostyring – detaljering av mål • Konkrete mål på ulike nivåer og på tvers • Risikoer for ikke å nå målet • Tiltak for å kontrollere risikoen (kost/nytte) • Risikoen redusert til akseptabelt nivå? • Se risikoer i sammenheng!!!
Praktisk intern kontroll – dokumentere arbeidsprosesser • Beskrive arbeidsflyten i en prosess • Hvilke funksjoner er involvert • Hvilke kontrolltiltak/nøkkelkontroller skal være på plass (krav) • Hvilke kontrolltiltak/nøkkelkontroller er faktisk på plass (implementert) => Risikoen redusert til akseptabelt nivå ift kontrollmålet (-ene)?
SSØs Veileder i risikostyring En god mål- og resultatstyring forutsetter at virksomhetsledelsen kjenner og håndterer de utfordringer eller usikkerheter som kan påvirke måloppnåelse negativt. Senter for statlig økonomistyring (SSØ) har utarbeidet et metodedokument om risikostyring i staten. Metodedokumentet gir deg en veiledning i hvordan din virksomhet kan benytte risikostyring som et verktøy for å oppnå fastsatte mål. + Veileder i Mål- & Resultatstyring – Må sees i sammenheng!!!
Internkontroll og risikostyring Oppsummert • Krav stilt i bevilgnings- og økonomireglementet • Internkontroll viktig fundament for å styre og nå mål • Risikostyring viktig for å balansere intern kontroll-tiltak ift mål og ressursinnsats – være bevisst hvilke risikoer man tar!
Kilder til mer informasjon • www.NIRF.org – www.TheIIA.org • www.ISACA.no – www.ISACA.org – www.ITGI.org • www.Riksrevisjonen.no Samling av dokumenter kan lastes ned her: • www.briskeby.no/KAN2007.zip
IT-revisor i metodeseksjonen for regnskaps- og IT-revisjon, Riksrevisjonen • Aktiv i IT-revisorforeningen ISACA Norwaywww.ISACA.nowww.ISACA.org • Medlem i IIAs Advanced Technology Committeewww.TheIIA.org • Leder for NIRFs Nettverksgruppen IT-revisjon www.NIRF.org stig.sunde@riksrevisjonen.no
Stortinget og Riksrevisjonen Stortinget (Grunnloven § 75) • Lovgivende myndighet (rammer) • Bevilgende myndighet (ressurser) • Kontrollerende myndighet (følge opp)
Stortinget og Riksrevisjonen Riksrevisjonen • Stortingets kontrollorgan • Uavhengig av regjering og forvaltning • Følger opp at Stortingets vedtak og forutsetninger implementeres av regjeringen og forvaltningen => Riksrevisjonen rapporterer til Stortinget
Risikostyring – Hva forventer Riksrevisjonen? • Krav til internkontroll og risikostyring • Risiko rundt IT-systemer og hvordan dette påvirker praktisk risikostyring • Hva forventer Riksrevisjonen av virksomhetsstyring? Stig J. Sunde, seniorrådgiver, Riksrevisjonen
Riksrevisjonens oppgaver (1) • Riksrevisjonen skal foreta revisjon av statsregnskapet og alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, herunder forvaltningsbedrifter, forvaltningsorganer med særskilte fullmakter, statlige fond og andre organer eller virksomheter der dette er fastsatt i særlig lov (regnskapsrevisjon). • Riksrevisjonen skal kontrollere forvaltningen av statens interesser i selskaper m.m. (selskapskontroll).
Riksrevisjonens oppgaver (2) • Riksrevisjonen skal gjennomføre systematiske undersøkelser av økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger (forvaltningsrevisjon). • Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil.
Riksrevisjonens oppgaver (3) • Riksrevisjonen kanveilede forvaltningen for å forebygge framtidige feil og mangler. • Riksrevisjonen kan påta seg revisjons-, kontroll- eller bistandsoppdrag internasjonalt. • Stortinget i plenum kan pålegge Riksrevisjonen å sette i gang særlige undersøkelser. Stortinget kan ikke instruere Riksrevisjonen om hvordan eller etter hvilke kriterier revisjons- og kontrollarbeidet skal utføres, jf. § 2.
Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer
Risikoer - IT • 80% av IT-risikoer defineres av IT-ledelsen, og ikke av forretningsledelsen • Mindre enn én fjerdedel vurderer eksterne risikoer og trusler regelmessig Kilde: IT Governance Institute – www.ITGI.org
Viktigste risikoer for IT-ledere • Sikkerhet (beskyttelse) – 87% • Tilgjengelighet – 85% • Infrastruktur – 81% • Integritet (informasjonskvalitet) – 81% • Prosjekter – 72% • Investeringer – 71% Kilde: IT Governance Institute – www.ITGI.org
Risikoer i og rundt IT Mer automatiserte og integrerte systemer Finansielle risikoer: fullstendige, gyldige ognøyaktige transaksjoner fra kilde til hovedbok? Operasjonelle risikoer: interne kontroller i og rundt IT-systemer velfungerende?
Strategisk tilpasning Verdi-skaping IT Governance IT-styring Risiko- Styring Prestasjons-måling Ressurs- styring COSO ERM og COBIT 4.1 COSO ERM (2004) COBIT 4.1 (2005-2007) Kilde: www.NIRF.org og www.ISACA.org / www.ITGI.org
Kilde: www.ITGI.org – IT Control Objectives for Sarbanes-Oxley
IT Governance Institute Intern kontroll over finansiell rapportering
GTAG-serien - Teknologiveiledninger Alle GTAG’er på engelsk (pdf) fra www.TheIIA.org og www.NIRF.org GTAG 1: IT Controls GTAG 2: Change and Patch Mgmt Controls GTAG 3: Continuous Auditing GTAG 4: Management of IT Auditing GTAG 5: Privacy risks (personvern) GTAG 6: IT Vulnerabilities GTAG 7: IT Outsourcing GTAG 8: Application Controls (Juni 2007) GTAG nr 1 pånorsk i pdf
Internkontroll og risikovurdering i teori og praksis • Hvilke metoder finnes for å kartlegge internkontroll? • Tiltak for å bedre internkontrollen • Risikovurdering i praksis • Hvordan kan du som controller bidra til å bedre internkontrollen og risikostyringen i din virksomhet?