Intern styrning och kontroll
Riskanalys i praktiken
Agenda
Intern styrning och kontroll• Intern miljö
Anvisningar för intern styrning och kontroll Planerings- och uppföljningsprocess inom KI Riskanalys
• Identifiera risker• Värdera risker• Hantera risker
Kontrollåtgärder Uppföljning
Intern styrning och kontroll -en process
Fast
stäl
la m
ål
Kontrollmiljö
Kontroll-åtgärder
Information
och kommunikationUppföljning
Risk-
hantering
Obligatoriska moment enligt FISK:en Riskanalys, §3 Kontrollåtgärder, §4 Uppföljning, §5 Dokumentation, §6
En god intern miljö
Information och kommunikation
Planerings- och uppföljnings-
processen
Myndighetens interna miljö formas av människor och är
därför i hög grad en föränderlig miljö
… är en förutsättning för att andra delar av den interna styrning och kontrollen ska
fungera
Organisation och ansvarsfördelning
• De anställda är väl förtrogna med målen för verksamheten,
• Skapa goda arbetsförhållanden• Ta till vara och utveckla de
anställdas kompetens och erfarenhet
Det finns inte något krav på en viss utformning av den interna
miljön i förordningen om intern styrning och kontroll. Däremot
se till att…
Kultur och värderingar
Anvisningar för intern styrning och kontrollFastställda av rektor den 29 maj 2012
Arbetet med intern styrning och kontroll vid KI sker enligt regler och riktlinjer fastställda av konsistoriet 2009.
Processen för intern styrning och kontroll ingå som en del i verksamhetsplanering och uppföljning som genomförs vid respektive institution och styrelse.
Respektive institution och styrelse ska genomföra och fastställa riskanalyser i enlighet med anvisningarna. Vart tredje år görs fördjupade riskanalyser
De fem högst värderade riskerna med tillhörande kontrollåtgärder ska ingå i verksamhetsplanen och följas upp i verksamhetsberättelsen.
Därutöver ska de fem högst värderade riskerna som kräver KI övergripande ställningstaganden lämnas till ledningskansliet
Varje institution och styrelse bör ha en kontaktperson som ansvarar för och samordnar arbetet.
Vad är en risk?
”En verksamhetsrisk är hotet att en händelse negativt påverkar en organisations möjlighet att uppnå sina verksamhetsmål och genomföra sina strategier”
Endast en organisation som är medveten om sina risker kan hantera dem effektivt!
Målen med riskhantering
Intern kontroll• Öka förståelse för hur enskilt risktagande motverkar/
förstärker verksamhetens totala exponering • Säkerställa att organisationens riskerna hanteras i
enlighet med beslutad riskaptit
Verksamhets-beslut
• Information gällande organisationens riskexponering• Från operativt ansvariga till ledning och styrelse• Från ledning och styrelse till externa intressenter
Kommunikation
• Identifiera risk i relation till verksamhetens mål• Skapa en gemensam syn på vilka risker som är
väsentliga för organisationen• Prioritera vilka åtgärder som ska vidtas för att nå
önskad riskexponeringen
Olika stadier av riskhantering
Proaktiv
Reaktiv
Förebyggande
• Egna verksamhetskriser
• Andra verksamhetskriser
• Regelefterlevnad
• Undvikande av personliga ansvar
• Medvetenhet om ALLA typer av risker som kan påverka verksamhetsmålen
• Bedömning och hantering av strategiska risker
• Skyddande av myndighetens rykte
• Förbättrad resursallokering
• Förbättrat beslutsunderlag för investeringar – strategiska initiativ
1. Mål
2. Identifiera
3. Värdera
4. Hantera
5. Riskanalys
• Institutioner och styrelser ska anpassa målformuleringarna inför riskanalysen utifrån KI:s övergripande mål.
• Identifiera risker för att verksamhetens mål ej uppnås.
• Utförs utifrån ett strukturerat arbetssätt med fördefinierade riskområden och riskdrivare.
• Värdera risker utifrån sannolikhet och påverkan
• Prioritering av risker för att hantera risker - acceptera /övervaka- begränsa- dela- eliminera
• Riskanalys på institutions/styrelse nivå samt aggregerad nivå.
• Integrera i verksam-hetsplanering , budgetarbete och uppföljning
Riskanalys
Riskanalys
”Riskidentifiering görs genom att en inventering görs av vilka händelser som negativt kan påverka möjligheterna att uppnå målen för verksamheten. Institutionens och styrelsernas mål ska utgå från KI:s övergripande mål”
Identifiera riskerAnvisningar för intern styrning och kontroll
Vilka ska delta Lednings- och nyckelpersoner för att säker-
ställa att risker i hela institutionens eller styrelsens verksamhet beaktas
Hur Intervjua samtliga ovan identifierade personer Intervjua några av dessa och komplettera med
enkät till övriga alternativt enkät till samtliga Workshop
Identifiera risker - Hur och vem
Identifiera riskerRiskträd
OmvärldExterna beslutMakroekonomiDemografiAndra aktörer, t.ex. forsknings-finansiär, SLLVarumärke/goodwillMediaRykteÖvrigtKris och katastroferExtern brottslighetHot
Ledning och styrningOrganisationsstrukturAnsvar och befogenheterVerksamhetsplaneringBudget och resursallokeringUppföljningProjektKommunikation och informationSamverkanKultur – värderingarVerksamhetsprocesserUtbildning (grund och avancerad)ForskningForskarutbildningPersonalKompetensförsörjningKompetensutvecklingNyckelpersonerArbetsmiljö InformationssäkerhetOrganisation och styrningForskningsdokumentationLadokIT -säkerhet- Systemutveckling och förvaltning- Drift och systemsäkerhet- Åtkomstskydd och behörighetshantering- Backup och kontinuitetsrutiner
ÖvrigtInfrastrukturLokaler
Redovisning och rapporteringLöpande redovisning/kvalitetBokslutsprocessNya regelverk/kravKapitalFinansiering (anslag/bidrag/avgifter)LikviditetFondförvaltningenÖvrigtKI HoldingLöneprocess, utlägg, pensionerFakturahantering
Lagar och förordningarFörvaltningHögskolespecifika förordningarUpphandlingÖvrigt (ex bisysslor, skatter och avgifter)ÖvrigtRegler och riktlinjerEtikBedrägeri
Externa faktorer Operationell effektivitet Redovisning och rapportering Regelefterlevnad
“Riskträdet är ett sättatt strukturera och synlig-göra inom vilka olika områden risker kan finnas”
Identifiera riskerFormulera risker
Riskerna bör formuleras så att det tydligt framgår att det är en händelse; • Händelse x inträffar p g a orsaken Y• Förhållandet Y leder till att händelse x inträffar
"Bristande informationssäkerhet inklusive rutiner för back up och behörighetshantering kan leda till brister i kvaliteten“
"Otydlighet i ansvar och befogenheter mellan beställare och utförare avseende utbildning på grundnivå och avancerad nivå vilket kan påverka kvaliteten negativt“
"Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling”
"Bristande helhetsperspektiv när verk-samhetsstyrelserna fattar beslut vilket kan påverka måluppfyllelsen negativt“
"KIs organisationsstruktur leder till otydlighet i ansvar och befogenheter vilket kan leda till ineffektivitet”
"Bristande systematik avseende hur forsknings-
data dokumenteras och sparas vilket kan påverka
KIs anseende“
"Förekomst av oredlighet i forskningen vilket kan påverka
måluppfyllelsen och förtroendet för KI negativt“
"Verksamhetskritiska system riskerar att haverera vilket kan leda
till ineffektivitet“
"Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet“
Exempel på risker från 2009:
Identifiera riskerDokumentera Risk Mål
Riskområde Risktyp På grund av Risk Leder till Enhet Påverkan (1-4)
Sannolikhet (1-4)
1 Externa Omvärld
Risk för att…
2 Externa Omvärld
Risk för att…
3
Externa Varumärke/ Goodwill
Risk för att…
4 Externa Övrigt
Risk för att…
5
Operationell effektivitet Styrmodell
Risk för att…
6
Operationell effektivitet Styrmodell
Risk för att…
7
Operationell effektivitet
Verksamhets-processer
Risk för att…
8
Operationell effektivitet
Verksamhets-processer
Risk för att…
9
Operationell effektivitet Personal
Risk för att…
10
Operationell effektivitet
Informations-säkerhet
Risk för att…
11
Rapportering Redovsining & rapportering
Risk för att…
12 Rapportering Finansiering
Risk för att…
13 Rapportering Finansiering
Risk för att…
14
Regel-efterlevnad
Lagar & Förordningar
Risk för att…
15
Regel-efterlevnad
Lagar & Förordningar
Risk för att…
16
Regel-efterlevnad Övrigt
Risk för att…
Riskvärdering innebär att göra bedömningar av dels sannolikheten för att enhändelse, som definieras som en risk, inträffar samt konsekvenserna avinträffandet.
För att uppskatta sannolikheten kan antingen så kallade objektivaeller subjektiva sannolikheter användas.
• Objektiva sannolikheter - ur historiska data kan härleda sannolikheten för att en händelse ska inträffa
• Subjektiva sannolikheter - bedömningarna utgörs av skattningar utifrån kända och okända faktorer och påverkas av bedömarens bakgrund, erfarenheter och attityder.
För den typ av händelser som identifieras som risker i detta sammanhang är det för flertalet inte möjligt att ta fram den typ av historiska data som skulle behövas för en objektiv sannolikhetsbedömning.
Därför blir rekommendationen att värderingen görs utifrån subjektiva sannolikhetsbedömningar.
Värdera riskerAnvisningar för intern styrning och kontroll
Värdera risken
Hur stor är sannolikheten att händelsen inträffar?
Beakta tidshorisonten; är målet på ett års sikt ska sannolikheten att risken faller ut beaktas på
motsvarande tid
1. LÅG 2. MEDEL 3. HÖG 4. MYCKET HÖG
Värdera riskenHur stor är påverkan om händelsen inträffar?
1. LÅG: Risken har obetydlig påverkan på möjligheterna att nå verksamhetens mål. Möjligen viss skada på anseendet men konsekvenserna kan hanteras inom ramen för den löpande verksamheten
2. MEDEL: Risken har påverkan som t ex kan ge begränsad försämring på måluppfyllelsen, ekono-misk skada eller viss påverkan på anseende. Kort-varig skada på varumärke. Konsekvenserna kräver åtgärd från den operativa ledningen och övriga chefer
3. HÖG: Risken har påverkan som är allvarlig och äventyrar delar av, eller ger kännbar försämring i måluppfyllelsen. Stor skada på KI:s anseende. Händelserna kräver åtgärd från styrelse och/eller operativ ledning
4. MYCKET HÖG: Risken kan ge mycket negativa effekter eller helt förhindra att målen för verksamheten nås. Händelserna gör det mycket svårt för styrelse och operativ ledning att hantera situationen. Händelserna kräver åtgärd från styrelse och operativ ledning
Exempel: • Oönskade förändringar av KI:s intäkter uppgående till 1-5%, • Verksamhetskritiska IT-system kräver underhåll/ utbyte, • Allvarligt kritik av utbildningen• Personal bryter oavsiktligt och undantagsvis mot KI:s regelverk eller
lagar och förordningar
Exempel: • Oönskade förändringar av KI:s intäkter som överstiger 40%, • Verksamhetskritiska IT-system är utslagna/ oanvändbara, • KI förlorar sin universitetsstatus• Personal bryter avsiktligt och regelmässigt mot KI:s regelverk eller
lagar och förordningar eller myndighetsutövning.
Exempel: • Oönskade förändringar av KIs intäkter uppgående till 15-40%,• Intrång i verksamhetskritiska IT-system alt system är otillförlitliga, • Förlust av examensrätt för ett utbildningsprogram • Personal bryter avsiktligt mot KI:s regelverk eller lagar och
förordningar eller oavsiktligt i sin myndighetsutövning.
Exempel: • Oönskade förändringar av KIs intäkter uppgående till 5-15%,• Driftsstörningar i verksamhetskritiska IT-system, • Ifrågasatt examinationsrätt • Personal bryter avsiktligt men undantagsvis mot KI:s regelverk eller
lagar och förordningar.
Värdera riskMetoder för värdering
Mentometrar ”Gula lappar” Röstkort Diskussion
Värdera riskerMentometer
Viktigt att värdering av respektive riskdiskuteras löpande under värderingen;
- om bedömer att riskvärderingen inte stämmer kan röstningen för enskild risk nollställas och röstningen göras om
Viktigt att sammanställning av samtliga risker i riskkartan diskuteras för att bedöma hur riskerna ”förhåller sig till varandra” - bedömer gruppen riskvärderingen som rimlig? - behöver omvärdering göras av någon risk?
Värdera riskerMentometer
Endast värde1-4 registreras i värderingen Går att följa om alla har ”röstat” F2 – för att skifta resultat mellan antal och procent F4 - om nollställa röstning avseende en röst (måste stå i den bilden
som röstning avser) SPARA!
”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ”
Exempel : Risk 1: Sannolikhet
1. 2. 3. 4.
0% 0%0%0%
1. Låg2. Medel3. Hög4. Mycket hög
Sannolikhet Mean =
RISKOMRÅDE
”Bristande informationssäkerhet inklusive rutiner för back up och behörighets-hantering kan leda till brister i kvaliteten ”
Exempel: Risk 1: Påverkan
1. 2. 3. 4.
0% 0%0%0%
1. Låg2. Medel3. Hög4. Mycket hög
Påverkan Mean =
RISKOMRÅDE
Länk riskkarta
Värdera riskerRisk Riskområde Risktyp Risk Påverkan
(1-4)Sannolikhet
(1-4)P*S Hantering
1 Externa Omvärld Risk för att…2,3 2,86 6,6
2 Externa Omvärld Risk för att…1,8 2,66 4,8
3 Externa Varumärke/ Goodwill
Risk för att…4 3,2 12,8
4 Externa Övrigt Risk för att…3,5 3,1 10,9
5 Operationell effektivitet
Styrmodell Risk för att…2,2 2,48 5,5
6 Operationell effektivitet
Styrmodell Risk för att…2,43 2,99 7,3
7 Operationell effektivitet
Verksamhets-processer
Risk för att…2,87 2,69 7,7
8 Operationell effektivitet
Verksamhets-processer
Risk för att…1,98 2,75 5,4
9 Operationell effektivitet
Personal Risk för att…1,2 1,98 2,4
10 Operationell effektivitet
Informations-säkerhet
Risk för att…1 3,65 3,7
11 Rapportering Redovsining & rapportering
Risk för att…2,22 2,65 5,9
12 Rapportering Finansiering Risk för att…3,25 2,76 9,0
13 Rapportering Finansiering Risk för att…3,1 3,4 10,5
14 Regel-efterlevnad
Lagar & Förordningar
Risk för att…2,87 2,87 8,2
15 Regel-efterlevnad
Lagar & Förordningar
Risk för att…2,67 1,9 5,1
16 Regel-efterlevnad
Övrigt Risk för att…2,1 2,2 4,6
Riskkarta
0.0 1.0 2.0 3.0 4.00.0
1.0
2.0
3.0
4.0
6968676665646362616059585756555453525150494847464544434241403938373635343332313029282726252423222120191817
16
15
14
1312
11
10
9
8
7
6
5
4
3
2
1
Sannolikhet
Påve
rkan
Hantera riskerAnvisningar för intern styrning och kontroll
Ledningen för institutionen och styrelsen ska ta ställning till hur de högstvärderade riskerna ska hanteras vilket avgörs bl. a. av vilken så kallad riskacceptans verksamheten har.
Riskacceptansen kan vara olika inom olika verksamhets- områden och exempelvis högre för forsknings- verksamheten än för ekonomiadministrationen.
Beslut ska fattas om hur de högst värderade riskerna ska hanteras utifrån fyra typer av åtgärder: acceptera, begränsa, dela eller eliminera.
De fem högst värderade riskerna som kräver KI övergripande ställningstaganden ska lämnas till ledningskansliet.
Hantera riskerBeslut om hantering av risker Acceptera risken
innebär att inte vidta åtgärder men att risken dock övervakas
Begränsa risken innebär att tillföra resurser och konkreta åtgärder för att minska sannolikheten och/eller konsekvensen av att en händelse inträffar till en acceptabel nivå.
Dela risk innebär inom staten främst genom skadereglering via Kammarkollegiet
Eliminera risken innebär att vidta konkreta åtgärder för att undvika de aktiviteter som ger upphov till risken.
”De olika handlingsalternativen måste förstås också ställas mot kostnaden för att genomföra dem.”
Hantera riskerDokumentera
Risk Riskområde Risktyp Risk Påverkan (1-4)
Sannolikhet (1-4)
P*S Hantering
1 Externa Omvärld Risk för att…2,3 2,86 6,6
2 Externa Omvärld Risk för att…1,8 2,66 4,8
3 Externa Varumärke/ Goodwill
Risk för att…4 3,2 12,8
4 Externa Övrigt Risk för att…3,5 3,1 10,9
5 Operationell effektivitet
Styrmodell Risk för att…2,2 2,48 5,5
6 Operationell effektivitet
Styrmodell Risk för att…2,43 2,99 7,3
7 Operationell effektivitet
Verksamhets-processer
Risk för att…2,87 2,69 7,7
8 Operationell effektivitet
Verksamhets-processer
Risk för att…1,98 2,75 5,4
9 Operationell effektivitet
Personal Risk för att…1,2 1,98 2,4
10 Operationell effektivitet
Informations-säkerhet
Risk för att…1 3,65 3,7
11 Rapportering Redovsining & rapportering
Risk för att…2,22 2,65 5,9
12 Rapportering Finansiering Risk för att…3,25 2,76 9,0
13 Rapportering Finansiering Risk för att…3,1 3,4 10,5
14 Regel-efterlevnad
Lagar & Förordningar
Risk för att…2,87 2,87 8,2
15 Regel-efterlevnad
Lagar & Förordningar
Risk för att…2,67 1,9 5,1
16 Regel-efterlevnad
Övrigt Risk för att…2,1 2,2 4,6
Riskkarta – prioriterade risker
Nr Risktyp Benämning
6 Effektivitet Organisationsstruktur
7 Effektvitet Otillräcklig prioritering av utbildning
13 Effektivitet Bristande internt informations- och kommunikationssystem
9 Effektivitet Bristande systematik avseende hur forskningsdata dokumenteras och sparas
14 Effektivitet Bristande uppföljning
10 Effektivitet Alltför många små utbildningsprogram
1 Extern XXX
2 Extern XXX
8 Effektivitet XXX
15 Effektivitet XXX
Sannolikhet
Påve
rkan
4
3
2
1
1 2 3 4
9
8
1015 14
2
76
113
KontrollåtgärderAnvisningar för intern styrning och kontroll
Kontrollåtgärder är åtgärder som leder till att risker förebyggs eller minskas. De accepterade riskerna medför inte några direkta kontrollåtgärder alls medan övriga risker kräver åtgärder.
Åtgärderna som vidtas kan vara av olika karaktär, alltifrån förändringar i arbetsrutiner, regler och riktlinjer till informationsinsatser och avstämningar.
Kontrollåtgärderna ska vara integrerade i myndighetens verksamhet är det respektive chef inom verksamheten som är ansvarig för och har befogenhet att utforma kontroll- åtgärderna.
Kontrollåtgärder för de fem högsta riskerna ska finnas med i verksamhetsplanen och följas upp i verksamhetsberättelsen.
Kontrollåtgärder
Koppling mellan kontrollåtgärden och risken för att säkerställa attrisken hanteras på rätt sätt, utifrån om risken ska:
’
• Accepteras• Begränsas• Delas• Elimineras
Konkreta kontrollåtgärder • Kontrollägare• Tidsatta
Kontrollåtgärdernas effekt på risken• Hur är kontrollen utformad?• Fungerar den i praktiken?
Kontrollåtgärder Baserat på beslut om hantering av riskerna utformas
kontrollåtgärder vilka hanterar riskerna så att organisationen uppnår önskad riskexponering
• Ändamålsenlig utformning av kontrollåtgärder• Analys av föreslagna kontrollåtgärder utifrån ett kostnads- och
nyttoperspektiv
Aktiv
itete
rDo
kum
ent Enhet:
Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/Åter-stående risk
Regel-efterlevnad
Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom
upphandling
Reducera
- Öka antalet utbildningsinsatser för verksamheten- Tillsätta två tjänster inom upphandling- Tillsätta ett projekt för införande av elektroniskt inköpssystem
Upphandlings-chef
2010-XX-XX
UppföljningAnvisningar för intern styrning och kontroll
Uppföljning bör genomföras löpande några gånger under verksamhetsåret (2-4 ggr). I uppföljningen ingår att bedöma om de beslutade kontrollåtgärderna har genomförts och fungerat på det sätt som var avsett.
Utifrån genomförd uppföljning kan institutionen eller styrelsen bedöma om risknivån sänkts till en acceptabel nivå.
Uppföljning och status på planerade kontrollåtgärder
Månatlig/kvartalsvis uppföljning av status på planerade åtgärder.
Åtgärd genomfördEnligt tidschemaFörsening enligt tidplanKraftig försening enligt tidplan
Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/ Återstående risk
Regel-efterlevnad
Bristande efterlevnad av rutiner, bristande
kompetens och bristande kontroll inom upphandling
Reducera - Öka antalet utbildningsinsatser för verksamheten
Upphandlings-chef
20xx-xx-xx Ex: Åtgärd slutförd. Risken bedöms ha minskat
Regel-efterlevnad
Bristande efterlevnad av rutiner, bristande
kompetens och bristande kontroll inom upphandling
Reducera -Tillsätta två tjänster inom upphandling
Upphandlings-chef
20xx-xx-xx Ex: Tjänster tillsatta, men personerna har ännu ej påbörjat sin anställning. Risken bedöms vara oförändrad
Regel-efterlevnad
Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling
Reducera -Tillsätta ett projekt för införande av elektroniskt inköpssystem
Upphandlings-chef
20xx-xx-xx Ex: Åtgärd påbörjad, men ligger efter tidplan. Risken bedöms vara oförändrad