Download pptx - Intern styrning och kontroll

Intern styrning och kontroll

Riskanalys i praktiken

Agenda

Intern styrning och kontroll• Intern miljö

Anvisningar för intern styrning och kontroll Planerings- och uppföljningsprocess inom KI Riskanalys

• Identifiera risker• Värdera risker• Hantera risker

Kontrollåtgärder Uppföljning

Intern styrning och kontroll -en process

Fast

stäl

la m

ål

Kontrollmiljö

Kontroll-åtgärder

Information

och kommunikationUppföljning

Risk-

hantering

Obligatoriska moment enligt FISK:en Riskanalys, §3 Kontrollåtgärder, §4 Uppföljning, §5 Dokumentation, §6

En god intern miljö

Information och kommunikation

Planerings- och uppföljnings-

processen

Myndighetens interna miljö formas av människor och är

därför i hög grad en föränderlig miljö

… är en förutsättning för att andra delar av den interna styrning och kontrollen ska

fungera

Organisation och ansvarsfördelning

• De anställda är väl förtrogna med målen för verksamheten,

• Skapa goda arbetsförhållanden• Ta till vara och utveckla de

anställdas kompetens och erfarenhet

Det finns inte något krav på en viss utformning av den interna

miljön i förordningen om intern styrning och kontroll. Däremot

se till att…

Kultur och värderingar

Anvisningar för intern styrning och kontrollFastställda av rektor den 29 maj 2012

Arbetet med intern styrning och kontroll vid KI sker enligt regler och riktlinjer fastställda av konsistoriet 2009.

Processen för intern styrning och kontroll ingå som en del i verksamhetsplanering och uppföljning som genomförs vid respektive institution och styrelse.

Respektive institution och styrelse ska genomföra och fastställa riskanalyser i enlighet med anvisningarna. Vart tredje år görs fördjupade riskanalyser

De fem högst värderade riskerna med tillhörande kontrollåtgärder ska ingå i verksamhetsplanen och följas upp i verksamhetsberättelsen.

Därutöver ska de fem högst värderade riskerna som kräver KI övergripande ställningstaganden lämnas till ledningskansliet

Varje institution och styrelse bör ha en kontaktperson som ansvarar för och samordnar arbetet.

Vad är en risk?

”En verksamhetsrisk är hotet att en händelse negativt påverkar en organisations möjlighet att uppnå sina verksamhetsmål och genomföra sina strategier”

Endast en organisation som är medveten om sina risker kan hantera dem effektivt!

Målen med riskhantering

Intern kontroll• Öka förståelse för hur enskilt risktagande motverkar/

förstärker verksamhetens totala exponering • Säkerställa att organisationens riskerna hanteras i

enlighet med beslutad riskaptit

Verksamhets-beslut

• Information gällande organisationens riskexponering• Från operativt ansvariga till ledning och styrelse• Från ledning och styrelse till externa intressenter

Kommunikation

• Identifiera risk i relation till verksamhetens mål• Skapa en gemensam syn på vilka risker som är

väsentliga för organisationen• Prioritera vilka åtgärder som ska vidtas för att nå

önskad riskexponeringen

Olika stadier av riskhantering

Proaktiv

Reaktiv

Förebyggande

• Egna verksamhetskriser

• Andra verksamhetskriser

• Regelefterlevnad

• Undvikande av personliga ansvar

• Medvetenhet om ALLA typer av risker som kan påverka verksamhetsmålen

• Bedömning och hantering av strategiska risker

• Skyddande av myndighetens rykte

• Förbättrad resursallokering

• Förbättrat beslutsunderlag för investeringar – strategiska initiativ

1. Mål

2. Identifiera

3. Värdera

4. Hantera

5. Riskanalys

• Institutioner och styrelser ska anpassa målformuleringarna inför riskanalysen utifrån KI:s övergripande mål.

• Identifiera risker för att verksamhetens mål ej uppnås.

• Utförs utifrån ett strukturerat arbetssätt med fördefinierade riskområden och riskdrivare.

• Värdera risker utifrån sannolikhet och påverkan

• Prioritering av risker för att hantera risker - acceptera /övervaka- begränsa- dela- eliminera

• Riskanalys på institutions/styrelse nivå samt aggregerad nivå.

• Integrera i verksam-hetsplanering , budgetarbete och uppföljning

Riskanalys

Riskanalys

”Riskidentifiering görs genom att en inventering görs av vilka händelser som negativt kan påverka möjligheterna att uppnå målen för verksamheten. Institutionens och styrelsernas mål ska utgå från KI:s övergripande mål”

Identifiera riskerAnvisningar för intern styrning och kontroll

Vilka ska delta Lednings- och nyckelpersoner för att säker-

ställa att risker i hela institutionens eller styrelsens verksamhet beaktas

Hur Intervjua samtliga ovan identifierade personer Intervjua några av dessa och komplettera med

enkät till övriga alternativt enkät till samtliga Workshop

Identifiera risker - Hur och vem

Identifiera riskerRiskträd

OmvärldExterna beslutMakroekonomiDemografiAndra aktörer, t.ex. forsknings-finansiär, SLLVarumärke/goodwillMediaRykteÖvrigtKris och katastroferExtern brottslighetHot

Ledning och styrningOrganisationsstrukturAnsvar och befogenheterVerksamhetsplaneringBudget och resursallokeringUppföljningProjektKommunikation och informationSamverkanKultur – värderingarVerksamhetsprocesserUtbildning (grund och avancerad)ForskningForskarutbildningPersonalKompetensförsörjningKompetensutvecklingNyckelpersonerArbetsmiljö InformationssäkerhetOrganisation och styrningForskningsdokumentationLadokIT -säkerhet- Systemutveckling och förvaltning- Drift och systemsäkerhet- Åtkomstskydd och behörighetshantering- Backup och kontinuitetsrutiner

ÖvrigtInfrastrukturLokaler

Redovisning och rapporteringLöpande redovisning/kvalitetBokslutsprocessNya regelverk/kravKapitalFinansiering (anslag/bidrag/avgifter)LikviditetFondförvaltningenÖvrigtKI HoldingLöneprocess, utlägg, pensionerFakturahantering

Lagar och förordningarFörvaltningHögskolespecifika förordningarUpphandlingÖvrigt (ex bisysslor, skatter och avgifter)ÖvrigtRegler och riktlinjerEtikBedrägeri

Externa faktorer Operationell effektivitet Redovisning och rapportering Regelefterlevnad

“Riskträdet är ett sättatt strukturera och synlig-göra inom vilka olika områden risker kan finnas”

Identifiera riskerFormulera risker

Riskerna bör formuleras så att det tydligt framgår att det är en händelse; • Händelse x inträffar p g a orsaken Y• Förhållandet Y leder till att händelse x inträffar

"Bristande informationssäkerhet inklusive rutiner för back up och behörighetshantering kan leda till brister i kvaliteten“

"Otydlighet i ansvar och befogenheter mellan beställare och utförare avseende utbildning på grundnivå och avancerad nivå vilket kan påverka kvaliteten negativt“

"Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling”

"Bristande helhetsperspektiv när verk-samhetsstyrelserna fattar beslut vilket kan påverka måluppfyllelsen negativt“

"KIs organisationsstruktur leder till otydlighet i ansvar och befogenheter vilket kan leda till ineffektivitet”

"Bristande systematik avseende hur forsknings-

data dokumenteras och sparas vilket kan påverka

KIs anseende“

"Förekomst av oredlighet i forskningen vilket kan påverka

måluppfyllelsen och förtroendet för KI negativt“

"Verksamhetskritiska system riskerar att haverera vilket kan leda

till ineffektivitet“

"Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet“

Exempel på risker från 2009:

Identifiera riskerDokumentera Risk Mål

Riskområde Risktyp På grund av Risk Leder till Enhet Påverkan (1-4)

Sannolikhet (1-4)

1 Externa Omvärld

Risk för att…

2 Externa Omvärld

Risk för att…

3

Externa Varumärke/ Goodwill

Risk för att…

4 Externa Övrigt

Risk för att…

5

Operationell effektivitet Styrmodell

Risk för att…

6

Operationell effektivitet Styrmodell

Risk för att…

7

Operationell effektivitet

Verksamhets-processer

Risk för att…

8



Risk för att…

9

Operationell effektivitet Personal

Risk för att…

10


Informations-säkerhet

Risk för att…

11

Rapportering Redovsining & rapportering

Risk för att…

12 Rapportering Finansiering

Risk för att…

13 Rapportering Finansiering

Risk för att…

14

Regel-efterlevnad

Lagar & Förordningar

Risk för att…

15

Regel-efterlevnad


Risk för att…

16

Regel-efterlevnad Övrigt

Risk för att…

Riskvärdering innebär att göra bedömningar av dels sannolikheten för att enhändelse, som definieras som en risk, inträffar samt konsekvenserna avinträffandet.

För att uppskatta sannolikheten kan antingen så kallade objektivaeller subjektiva sannolikheter användas.

• Objektiva sannolikheter - ur historiska data kan härleda sannolikheten för att en händelse ska inträffa

• Subjektiva sannolikheter - bedömningarna utgörs av skattningar utifrån kända och okända faktorer och påverkas av bedömarens bakgrund, erfarenheter och attityder.

För den typ av händelser som identifieras som risker i detta sammanhang är det för flertalet inte möjligt att ta fram den typ av historiska data som skulle behövas för en objektiv sannolikhetsbedömning.

Därför blir rekommendationen att värderingen görs utifrån subjektiva sannolikhetsbedömningar.

Värdera riskerAnvisningar för intern styrning och kontroll

Värdera risken

Hur stor är sannolikheten att händelsen inträffar?

Beakta tidshorisonten; är målet på ett års sikt ska sannolikheten att risken faller ut beaktas på

motsvarande tid

1. LÅG 2. MEDEL 3. HÖG 4. MYCKET HÖG

Värdera riskenHur stor är påverkan om händelsen inträffar?

1. LÅG: Risken har obetydlig påverkan på möjligheterna att nå verksamhetens mål. Möjligen viss skada på anseendet men konsekvenserna kan hanteras inom ramen för den löpande verksamheten

2. MEDEL: Risken har påverkan som t ex kan ge begränsad försämring på måluppfyllelsen, ekono-misk skada eller viss påverkan på anseende. Kort-varig skada på varumärke. Konsekvenserna kräver åtgärd från den operativa ledningen och övriga chefer

3. HÖG: Risken har påverkan som är allvarlig och äventyrar delar av, eller ger kännbar försämring i måluppfyllelsen. Stor skada på KI:s anseende. Händelserna kräver åtgärd från styrelse och/eller operativ ledning

4. MYCKET HÖG: Risken kan ge mycket negativa effekter eller helt förhindra att målen för verksamheten nås. Händelserna gör det mycket svårt för styrelse och operativ ledning att hantera situationen. Händelserna kräver åtgärd från styrelse och operativ ledning

Exempel: • Oönskade förändringar av KI:s intäkter uppgående till 1-5%, • Verksamhetskritiska IT-system kräver underhåll/ utbyte, • Allvarligt kritik av utbildningen• Personal bryter oavsiktligt och undantagsvis mot KI:s regelverk eller

lagar och förordningar

Exempel: • Oönskade förändringar av KI:s intäkter som överstiger 40%, • Verksamhetskritiska IT-system är utslagna/ oanvändbara, • KI förlorar sin universitetsstatus• Personal bryter avsiktligt och regelmässigt mot KI:s regelverk eller

lagar och förordningar eller myndighetsutövning.

Exempel: • Oönskade förändringar av KIs intäkter uppgående till 15-40%,• Intrång i verksamhetskritiska IT-system alt system är otillförlitliga, • Förlust av examensrätt för ett utbildningsprogram • Personal bryter avsiktligt mot KI:s regelverk eller lagar och

förordningar eller oavsiktligt i sin myndighetsutövning.

Exempel: • Oönskade förändringar av KIs intäkter uppgående till 5-15%,• Driftsstörningar i verksamhetskritiska IT-system, • Ifrågasatt examinationsrätt • Personal bryter avsiktligt men undantagsvis mot KI:s regelverk eller

lagar och förordningar.

Värdera riskMetoder för värdering

Mentometrar ”Gula lappar” Röstkort Diskussion

Värdera riskerMentometer

Viktigt att värdering av respektive riskdiskuteras löpande under värderingen;

- om bedömer att riskvärderingen inte stämmer kan röstningen för enskild risk nollställas och röstningen göras om

Viktigt att sammanställning av samtliga risker i riskkartan diskuteras för att bedöma hur riskerna ”förhåller sig till varandra” - bedömer gruppen riskvärderingen som rimlig? - behöver omvärdering göras av någon risk?

Värdera riskerMentometer

Endast värde1-4 registreras i värderingen Går att följa om alla har ”röstat” F2 – för att skifta resultat mellan antal och procent F4 - om nollställa röstning avseende en röst (måste stå i den bilden

som röstning avser) SPARA!

”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ”

Exempel : Risk 1: Sannolikhet

1. 2. 3. 4.

0% 0%0%0%

1. Låg2. Medel3. Hög4. Mycket hög

Sannolikhet Mean =

RISKOMRÅDE

”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ”

Exempel: Risk 1: Påverkan

1. 2. 3. 4.

0% 0%0%0%

1. Låg2. Medel3. Hög4. Mycket hög

Påverkan Mean =

RISKOMRÅDE

Länk riskkarta

Värdera riskerRisk Riskområde Risktyp Risk Påverkan

(1-4)Sannolikhet

(1-4)P*S Hantering

1 Externa Omvärld Risk för att…2,3 2,86 6,6


3 Externa Varumärke/ Goodwill

Risk för att…4 3,2 12,8

4 Externa Övrigt Risk för att…3,5 3,1 10,9

5 Operationell effektivitet

Styrmodell Risk för att…2,2 2,48 5,5





Risk för att…2,87 2,69 7,7



Risk för att…1,98 2,75 5,4


Personal Risk för att…1,2 1,98 2,4




11 Rapportering Redovsining & rapportering

Risk för att…2,22 2,65 5,9

12 Rapportering Finansiering Risk för att…3,25 2,76 9,0


14 Regel-efterlevnad


Risk för att…2,87 2,87 8,2



Risk för att…2,67 1,9 5,1


Övrigt Risk för att…2,1 2,2 4,6

Riskkarta

0.0 1.0 2.0 3.0 4.00.0

1.0

2.0

3.0

4.0

6968676665646362616059585756555453525150494847464544434241403938373635343332313029282726252423222120191817

16

15

14

1312

11

10

9

8

7

6

5

4

3

2

1

Sannolikhet

Påve

rkan

Hantera riskerAnvisningar för intern styrning och kontroll

Ledningen för institutionen och styrelsen ska ta ställning till hur de högstvärderade riskerna ska hanteras vilket avgörs bl. a. av vilken så kallad riskacceptans verksamheten har.

Riskacceptansen kan vara olika inom olika verksamhets- områden och exempelvis högre för forsknings- verksamheten än för ekonomiadministrationen.

Beslut ska fattas om hur de högst värderade riskerna ska hanteras utifrån fyra typer av åtgärder: acceptera, begränsa, dela eller eliminera.

De fem högst värderade riskerna som kräver KI övergripande ställningstaganden ska lämnas till ledningskansliet.

Hantera riskerBeslut om hantering av risker Acceptera risken

innebär att inte vidta åtgärder men att risken dock övervakas

Begränsa risken innebär att tillföra resurser och konkreta åtgärder för att minska sannolikheten och/eller konsekvensen av att en händelse inträffar till en acceptabel nivå.

Dela risk innebär inom staten främst genom skadereglering via Kammarkollegiet

Eliminera risken innebär att vidta konkreta åtgärder för att undvika de aktiviteter som ger upphov till risken.

”De olika handlingsalternativen måste förstås också ställas mot kostnaden för att genomföra dem.”

Hantera riskerDokumentera

Risk Riskområde Risktyp Risk Påverkan (1-4)

Sannolikhet (1-4)

P*S Hantering



3 Externa Varumärke/ Goodwill


4 Externa Övrigt Risk för att…3,5 3,1 10,9







Risk för att…2,87 2,69 7,7



Risk för att…1,98 2,75 5,4


Personal Risk för att…1,2 1,98 2,4




11 Rapportering Redovsining & rapportering

Risk för att…2,22 2,65 5,9





Risk för att…2,87 2,87 8,2



Risk för att…2,67 1,9 5,1


Övrigt Risk för att…2,1 2,2 4,6

Riskkarta – prioriterade risker

Nr Risktyp Benämning

6 Effektivitet Organisationsstruktur

7 Effektvitet Otillräcklig prioritering av utbildning

13 Effektivitet Bristande internt informations- och kommunikationssystem

9 Effektivitet Bristande systematik avseende hur forskningsdata dokumenteras och sparas

14 Effektivitet Bristande uppföljning

10 Effektivitet Alltför många små utbildningsprogram

1 Extern XXX

2 Extern XXX

8 Effektivitet XXX

15 Effektivitet XXX

Sannolikhet

Påve

rkan

4

3

2

1

1 2 3 4

9

8

1015 14

2

76

113

KontrollåtgärderAnvisningar för intern styrning och kontroll

Kontrollåtgärder är åtgärder som leder till att risker förebyggs eller minskas. De accepterade riskerna medför inte några direkta kontrollåtgärder alls medan övriga risker kräver åtgärder.

Åtgärderna som vidtas kan vara av olika karaktär, alltifrån förändringar i arbetsrutiner, regler och riktlinjer till informationsinsatser och avstämningar.

Kontrollåtgärderna ska vara integrerade i myndighetens verksamhet är det respektive chef inom verksamheten som är ansvarig för och har befogenhet att utforma kontroll- åtgärderna.

Kontrollåtgärder för de fem högsta riskerna ska finnas med i verksamhetsplanen och följas upp i verksamhetsberättelsen.

Kontrollåtgärder

Koppling mellan kontrollåtgärden och risken för att säkerställa attrisken hanteras på rätt sätt, utifrån om risken ska:

’

• Accepteras• Begränsas• Delas• Elimineras

Konkreta kontrollåtgärder • Kontrollägare• Tidsatta

Kontrollåtgärdernas effekt på risken• Hur är kontrollen utformad?• Fungerar den i praktiken?

Kontrollåtgärder Baserat på beslut om hantering av riskerna utformas

kontrollåtgärder vilka hanterar riskerna så att organisationen uppnår önskad riskexponering

• Ändamålsenlig utformning av kontrollåtgärder• Analys av föreslagna kontrollåtgärder utifrån ett kostnads- och

nyttoperspektiv

Aktiv

itete

rDo

kum

ent Enhet:

Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/Åter-stående risk

Regel-efterlevnad

Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom

upphandling

Reducera

- Öka antalet utbildningsinsatser för verksamheten- Tillsätta två tjänster inom upphandling- Tillsätta ett projekt för införande av elektroniskt inköpssystem

Upphandlings-chef

2010-XX-XX

UppföljningAnvisningar för intern styrning och kontroll

Uppföljning bör genomföras löpande några gånger under verksamhetsåret (2-4 ggr). I uppföljningen ingår att bedöma om de beslutade kontrollåtgärderna har genomförts och fungerat på det sätt som var avsett.

Utifrån genomförd uppföljning kan institutionen eller styrelsen bedöma om risknivån sänkts till en acceptabel nivå.

Uppföljning och status på planerade kontrollåtgärder

Månatlig/kvartalsvis uppföljning av status på planerade åtgärder.

Åtgärd genomfördEnligt tidschemaFörsening enligt tidplanKraftig försening enligt tidplan

Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/ Återstående risk

Regel-efterlevnad

Bristande efterlevnad av rutiner, bristande

kompetens och bristande kontroll inom upphandling

Reducera - Öka antalet utbildningsinsatser för verksamheten

Upphandlings-chef

20xx-xx-xx Ex: Åtgärd slutförd. Risken bedöms ha minskat

Regel-efterlevnad

Bristande efterlevnad av rutiner, bristande

kompetens och bristande kontroll inom upphandling

Reducera -Tillsätta två tjänster inom upphandling

Upphandlings-chef

20xx-xx-xx Ex: Tjänster tillsatta, men personerna har ännu ej påbörjat sin anställning. Risken bedöms vara oförändrad

Regel-efterlevnad

Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling

Reducera -Tillsätta ett projekt för införande av elektroniskt inköpssystem

Upphandlings-chef

20xx-xx-xx Ex: Åtgärd påbörjad, men ligger efter tidplan. Risken bedöms vara oförändrad