Modenhetsmodell som grunnlag for internrevisors overordnede uttalelse

Transkript

1 NIRFs årskonferanse 2014 Modenhetsmodell som grunnlag for internrevisors overordnede uttalelse Frank Alvern, Forsvarsdepartementets Internrevisjon

2 Disposisjon 1. Overordnet uttalelse fra internrevisor? 2. Modenhetsmodell? 3. Vårt arbeid med dette så langt 4. Veien videre 2

3 Dette produktet fra IIA globalt ble utviklet ifm den nye strategien som kom i Ut kom IIAs såkalte Value Proposition. 3

4 Verdierklæringen fra NIRF 4

5 Fra UK: Internrevisjonen sett fra kundens perspektiv A high performing internal audit service which adds value: 1. Meets quality standards and performance targets and seeks continuous improvement 2. Focus on the areas of greatest importance 3. Minimises duplication and makes best use of resources 4. Acts as a trusted advisor and a critical friend, improving public service delivery 5

6 Ny obligatorisk standard 2450 kom i januar Januar 2009: ingenting i standardverket Januar 2011: standard 2450 med tolkning kommer. MEN: «kvasikrav» - dersom IR leverer overordnede uttalelser, så 6

7 Hva gjorde så IIA med dette temaet i denne perioden? 7

8 IIA/NIRF: ERM-roller og -ansvar 8

9 9

10 Overgangen fra definisjonen til en praktisk tilnærmingsmåte Med andre ord: internrevisjonens samlede innsikt, basert på alle relevante kilder treforsvarslinjemodellen! 10

11 Treforsvarslinjemodellen Royal Ministry of Defence 11

12 I norsk språkdrakt fra NIRF 12

13 UK desember 2012: modell med «tre forsvarslinjer» «There are significant benefits to improved co-ordination of assurance» Legg merke til sluttproduktet «Annual Governance Statement» 13

14 UK offentlig sektor, april 2013: krav om overordnede uttalelser 14

15 15

16

17 Disposisjon 1. Overordnet uttalelse fra internrevisor? 2. Modenhetsmodell? 3. Vårt arbeid med dette så langt 4. Veien videre 17

18 18 18

19 19

20 Internal Audit Capability Model Matrix Royal Ministry of Defence Services and Role of IA People Management Professional Practices Performance Management and Accountability Organizational Relationships and Culture Governance Structures Level 5 Optimizing IA Recognized as Key Agent of Change Leadership Involvement with Professional Bodies Workforce Projection Continuous Improvement in Professional Practices Strategic IA Planning Public Reporting of IA Effectiveness Effective and Ongoing Relationships Independence, Power, and Authority of the IA Activity Level 4 Managed Overall Assurance on Governance, Risk Management, and Control IA Contributes to Management Development IA Activity Supports Professional Bodies Audit Strategy Leverages Organization s Management of Risk Integration of Qualitative and Quantitative Performance Measures CAE Advises and Influences Top-level Management Independent Oversight of the IA Activity CAE Reports to Toplevel Authority Workforce Planning Level 3 Integrated Advisory Services Performance/Value-for- Money Audits Team Building and Competency Professionally Qualified Staff Workforce Coordination Quality Management Framework Risk-based Audit Plans Performance Measures Cost Information IA Management Reports Coordination with Other Review Groups Integral Component of Management Team Management Oversight of the IA Activity Funding Mechanisms Level 2 Infrastructure Compliance Auditing Individual Professional Development Skilled People Identified and Recruited Professional Practices and Processes Framework Audit Plan Based on Management/ Stakeholder Priorities IA Operating Budget IA Business Plan Managing within the IA Activity Full Access to the Organization s Information, Assets, and People Reporting Relationship Established Level 1 Initial Ad hoc and unstructured; isolated single audits or reviews of documents and transactions for accuracy and compliance; outputs dependent upon the skills of specific individuals holding the position; no specific professional practices established other than those provided by professional associations; funding approved by management, as needed; absence of infrastructure; auditors likely part of a larger organizational unit; no established capabilities; therefore, no specific key process areas 20

21 Executive Summary Maturity models establish a systematic basis of measurement for describing the as is state of a process. A process s maturity can then be compared to management s expectations or contrasted with the maturity of other similar processes for benchmarking purposes. Insights also can be derived from the model for determining improvement options that help a process to satisfy its intended objectives over time. 21

22 Executive Summary (cont.) A maturity model describes process components that are believed to lead to better outputs and better outcomes. A low level of maturity implies a lower probability of success in consistently meeting an objective while a higher level of maturity implies a higher probability of success. The organization s risk tolerance should be considered when determining the level of maturity that management expects to have in place. Executive Summary (cont.) Auditors may want to use maturity models as criteria to assess business processes as part of assurance engagements, thus providing an easy-to-communicate understanding of the governance, risk, or control environment under review. In the absence of defined criteria for a process, the auditor can work with management to define adequate criteria using a maturity model. 22

23 Ett av eksemplene fra IIA Royal Ministry of Defence 23

24 Disposisjon 1. Overordnet uttalelse fra internrevisor? 2. Modenhetsmodell? 3. Vårt arbeid med dette så langt 4. Veien videre 24

25 Spesifikke evalueringer fra mange kilder Etatsinterne og FDs vurderinger + interne (herunder IR) og eksterne bekreftelsesfunksjoner fra mange kilder (herunder Riksrevisjonen) gir innsikt i sektorens måloppnåelse. + Overordnede uttalelser fra IR Gir innsikt i nåsituasjon og skaper grunnlag for kontinuerlig forbedring av «GRUNNMUREN» «Et forsvar for vår tid» Internrevisjonen i forsvarssektoren et effektivt bidrag til måloppnåelse og kontinuerlig forbedring slik dette Forsvarssektorens er bestemt i IR-strategien strategiske for målbilde forsvarssektoren. Virksomhetsstyring Risikostyring Internkontroll «Styring og kontroll» 25

26 Erfaringene etter årsrapporteringen for 2012 Oppsummeringen etter årsrapporteringen for 2012: Våre oppdragsgiver trenger noe mer enn denne verbale fremstillingen. Den gir ikke detaljert nok innsikt i hvor organisasjonen er meget bra, bra eller mindre bra. Trenger å utvikle noe som gir innsikt i nåsituasjonen over tid slik at organisasjonen får kontinuerlig forbedring i ryggmargen. Videre noe som gir grunnlag for ledelsen til å sette ambisjonsnivået (les: risikoappetitt). Vårt svar: modenhetsmodell (MoMo) 26

27 Utviklingen av modenhetsmodellen Mange kilder ble vurdert i vårt utviklingsarbeid, og særlig ble CoCo-rapporten benyttet. Andre viktige kilder har vært (og er) DFØ, COSO, OCEG, COBIT, King III samt internrevisjonsprofesjonen (IIA) selv. Endelig analyserte vi praksis fra virksomheter og konsulentbransjen. 27

28 28

29 Hvordan vurderer vi? Femtrinnsskala. Fargekodene i stikkordsform: Rødt Fraværende / Reaktiv Oransje Enkelte steder / Fragmentert Gult Formalisert / Dokumenterbart Lysegrønt Dokumenterbart og systematisert Mørkegrønt Beste praksis Totalt 21 kriterier* innenfor de fire hovedkategoriene. Igjen: det er generelle styrings- og kontrollprosesser som vurderes ikke oppnåelsen av målene ved bruk av disse! * = i tillegg kommer 6 kriterier som Internrevisjonsprofesjonen har definert for Internrevisjonen selv 29

30 Hva er det vi vurderer? Hensikt Vet hva som skal gjøres (Purpose) Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) Handling (Action) Dyktighet/evne - Klarer å gjøre det (Capability) 30

31 Hovedkategori 1: Hensikt (Purpose) Målsettinger 1. Visjon 2. Strategi 3. Etablering av målsettinger 4. Resultatmåling Risikostyring 5. Internt miljø 6. Identifisering av risikoer og mulige tiltak 7. Vurdere og prioritere risikoer 8. Etablere tiltak 9. Rapportering og oppfølging Planlegging og budsjettering 10. Fordeling av ressurser Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 31

32 Hovedkategori 2: Engasjement og forpliktelse (Commitment) Overordnede retningslinjer (policier) 11. Skriftlige retningslinjer Etiske verdier, herunder integritet 12. Etablering, formidling og praktisering av felles verdier Personalpolitikk 13. Personalpolitikken er i samsvar med organisasjonens etiske verdier Myndighet, ansvar og det man blir holdt ansvarlig for 14. Klar ansvarsfordeling som samsvarer med organisasjonens målsettinger Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 32

33 Hovedkategori 3: Dyktighet og evne (Capability) Kunnskap, ferdigheter og hjelpemidler 15. Ansattes og ledelsens kunnskaper, ferdigheter og hjelpemidler bidrar kontinuerlig til oppnåelse av organisasjonens målsettinger Kommunikasjonsprosesser 16. Kommunikasjonsprosessene støtter opp om organisasjonens verdier og bidrar til måloppnåelse Integrering av kontrollaktiviteter 17. Kontrollaktiviteter skal sikre måloppnåelse og etterlevelse av lover og regler Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 33

34 Forutsetninger for målsetninger 18. Revurderingen av målsettinger Royal Ministry of Defence Hovedkategori 4: Ledelsesoppfølging og læring Informasjonssystemer / IT-governance 19. Endringsfleksibilitet i systemer 20. IT-styring Evaluering av kontrollsystemet 21. Kvaliteten i kontrollsystemet Internrevisjon ( = Pre-definerte kategorier fra IIA) (Monitoring and Learning) Overvåking, oppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 34

35 Modenhetsmodellen oversiktsbilde regnearket 3 1 Hensikt (Vet hva som skal gjøres) 3 1 Målsettinger (COCO IK - A1) 3 1 Visjon 3 1 Reflekterer ikke en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer til en viss grad en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer stort sett en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer mer eller mindre en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer en fremtidig situasjon organisasjonen ønsker å nå. 3 1 Anvender ikke en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i deler av organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i mange steder i organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i de fleste steder i organisasjoenn en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i hele organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. 3 1 Kommuniserer ikke strategien til relevante interessenter. Kommuniserer strategien til noen relevante interessenter. Kommuniserer strategien til mange relevante interessenter. Kommuniserer strategien til de fleste relevante interessenter. Kommuniserer strategien effektivt til alle relevante interessenter. 3 1 Strategi 3 1 Viser ikke hvordan organisasjonens visjon skal realiseres. Viser til en viss grad hvordan organisasjonens visjon skal realiseres. Viser formelt hvordan organisasjonens visjon skal realiseres. Vises systematisk hvordan organisasjonens visjon skal realiseres. Viser effektivt og hensiktsmessig hvordan organisasjonens visjon skal realiseres. 3 1 Har ikke strategiske mål. Har noen strategiske mål. Har formelle strategiske mål på mange områder. Har gjennomtenkte strategiske mål på de fleste enheter i organisasjonen. Har effektive og hensiktsmessige strategiske mål som sikrer behovene til alle relevante interessenter over tid. 3 1 Langsiktige mål 3 1 Har ikke mål for målrettet og effektiv drift. Har noen mål for målrettet og effektiv drift. Har formelle mål for målrettet og effektiv drift. Har systematiserte mål for målrettet og effektiv drift på de fleste enheter o organisasjonen. Har mål for målrettet og effektiv drift i hele organisasjonen. 3 1 Har ikke mål som sikrer at den formelle eksterne rapporteringen følger prinsippene i "Integrated Reporting". Har mål som bidrar til å sikre at den formelle eksterne rapporteringen i enkelte enheter følger prinsippene i "Integrated Reporting". Har mål som sikrer at den formelle eksterne rapporteringen i mange enheter følger prinsippene i "Integrated Reporting". Har mål som sikrer at den formelle eksterne rapporteringen i de fleste enheter følger prinsippene i "Integrated Reporting". Har hensiktsmessige mål som sikrer at den formelle eksterne rapporteringen i hele organisasjonen følger prinsippene i "Integrated Reporting". 3 1 Har ikke mål som sikrer etterlevelse av lover og regler. Har mål som sikrer etterlevelse av lover og regler i enkelte enheter. Har formaliserte mål som sikrer etterlevelse av lover og regler i mange enheter. Har mål som systematisk sikrer etterlevelse av lover og regler på de fleste enheter i organisasjonen. Har mål som sikrer etterlevelse av lover og regler i hele organisasjonen. 3 1 Kortsiktige mål 3 1 Har ikke konkretisert den kortsiktige delen av strategiske mål. Har konkretisert den kortsiktige delen av strategiske mål i enkelte enheter. Har formalisert den kortsiktige delen av strategiske mål i mange enheter. Har systematisert den kortsiktige delen av strategiske mål på de fleste enheter i organisasjonen. Har konkretisert den kortsiktige delen av strategiske mål i hele organisasjonen. 3 1 Har ikke mål for målrettet og effektiv drift. Har mål for målrettet og effektiv drift i enkelte enheter. Har mål for målrettet og effektiv drift i mange enheter. Har mål for målrettet og effektiv drift på de fleste enheter i organisasjonen. Har mål for målrettet og effektiv drift i hele organisasjonen. 3 1 Har ikke mål som sikrer pålitelig rapportering, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i enkelte enheter, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i mange enheter, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering på de fleste enheter i organisasjoen, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i hele organisasjonen, herunder eventuelt "Integrated Reporting". 3 1 Har ikke mål som sikrer etterlevelse av lover og regler. Har mål som sikrer etterlevelse av lover og regler i enkelte enheter. Har formaliserte mål som sikrer etterlevelse av lover og regler i mange enheter. Har mål som systematisk sikrer etterlevelse av lover og regler på de fleste enheter i organisasjonen. Har mål som sikrer etterlevelse av lover og regler i hele organisasjonen. 3 1 Risikostyring (DFØs verktøy / ((COCO A2) og ERM) 3 1 Internt miljø 3 1 Ansattes holdning til risiko vurderes ikke. Ansattes holdning til risiko vurderes i enkelte steder. Ansattes holdning til risiko vurderes i mange steder. Ansattes holdning til risiko vurderes systematisk. Ansattes holdning til risiko vurderes effektiv og henisktsmessig i hele organisasjonen. 3 1 Ansattes filosofi for risikostyring og risikoappetitt vurderes ikke. Ansattes filosofi for risikostyring og risikoappetitt vurderes i enkelte steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes og filosofien etterleves i mange steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes systematisk i de fleste steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes effektivt og hensiktmessig i hele organisasjonen. 3 1 Ansattes integritet vurderes ikke. Ansattes integritet vurderes i enkelte steder. Ansattes integritet vurderes og reglene rundt integritet etterleves i mange steder. Ansattes integritet vurderes i de fleste steder. Ansattes integritet vurderes effektivt og hensiktsmessig i hele organisasjonen. 3 1 Ansattes etterlevelse av organisasjonens etiske verdier vurderes ikke. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i enkelte steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i mange steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i de fleste steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes effektivt og henisktsmessig i hele organisasjonen. 3 1 Miljøet delkriteriene i "Internt miljø" opererer i vurderes ikke. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i enkelte steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i mange steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i de fleste steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes effektivt og henisktsmessig i hele organisasjonen. 3 1 Identifisere mål/ krav 3 1 Det eksisterer ikke en prosess for måletablering. Det eksisterer en prosess for måletablering i enkelte enheter. Det eksisterer en formalisert prosess for måletablering,og prossessen etterleves i mange steder i organisasjonen. Det eksisterer en systematisk prosess for måletablering og prosessen etterleves i de fleste steder i organisasjonen. Det eksisterer en effektiv og hensiktsmessig prosess for måletablering som etterleves i hele organisasjonen. 3 1 Målsettingene støtter ikke virksomhetens formål (= strategi). Målsettingene støtter virksomhetens formål (= strategi) i enkelte enheter. Målsettingene støtter virksomhetens formål (= strategi) og gir en forventet måloppnåelse i mange steder. Målsettingene støtter systematisk virksomhetens formål (= strategi) og gir en forventet måloppnåelse i de fleste steder. Målsettingene støtter effektivt og hensiktsmessig virksomhetens formål (= strategi) og gir en forventet måloppnåelse i hele organisasjonen. 3 1 Målsettingene avspeiler ikke virksomhetens risikoappetitt. Målsettingene avspeiler virksomhetens risikoappetitt i enkelte enheter. Målsettingene avspeiler formelt virksomhetens risikoappetitt og reduserer gjenværende risikonivå i mange enheter. Målsettingene avspeiler systematisk virksomhetens risikoappetitt og reduserer gjenværende risikonivå i de fleste enheter. Målsettingene avspeiler effektivt og hensiktsmessig virksomhetens risikoappetitt og reduserer gjenværende risikonivå i hele organisasjonen. 3 1 Identifisere risikoer og tiltak 3 1 Det identifiseres ikke risikoer som påvirker interne hendelser. Det identifiseres risikoer i enkelte enheter som påvirker interne hendelser. Det er etablert formelle prosesser for å identifisere risikoer som påvirker interne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere risikoer som påvirker interne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere risikoer som påvirker interne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke risikoer som påvirker eksterne hendelser. Det identifiseres risikoer i enkelte enheter som påvirker eksterne hendelser. Det er etablert formelle prosesser for å identifisere risikoer som påvirker eksterne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere risikoer som påvirker eksterne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere risikoer som påvirker eksteerne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke muligheter som påvirker interne hendelser. Det identifiseres muligheter i enkelte enheter som påvirker interne hendelser. Det er etablert formelle prosesser for å identifisere muligheter som påvirker interne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere muligheter som påvirker interne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere muligheter som påvirker interne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke muligheter som påvirker eksterne hendelser. Det identifiseres muligheter i enkelte enheter som påvirker eksterne hendelser. Det er etablert formelle prosesser for å identifisere muligheter som påvirker eksterne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere muligheter som påvirker eksterne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere muligheter som påvirker eksterne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å kanalisere muligheter til toppledelsen. Det er etablert prosesser i enkelte enheter for å kanalisere muligheter til toppledelsen. Det er etablert formelle prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i hele organisasjonen. 3 1 Vurdere og prioritere risikoer 3 1 Det er ikke etablert prosesser for å vurdere risikoenes sannsynlighet. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes sannsynlighet. Det er etablert formelle prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes konsekvens. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes konsekvens. Det er etablert formelle prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes gjenværende sannsynlighet. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes gjenværende sannsynlighet. Det er etablert formelle prosesser for å vurdere risikoenes gjenværende sannsynlighet og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes gjenværende sannsynlighet og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes gjenværende sannsynlighet, og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes gjenværende konsekvens. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes gjenværende konsekvens. Det er etablert formelle prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i hele organisasjonen. 3 1 Etablere tiltak 3 1 Ledelsen har ikke en tilnærming til hvordan identifiserte risikoer håndteres. Ledelsen har en tilnærming til hvordan identifiserte risikoer håndteres. Ledelsen har formelle prosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i mange steder. Ledelsen har systematiske prosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i de fleste steder. Ledelsen har en effektive og henisktsmessigeprosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i hele organisasjonen. 3 1 Ledelsen har ikke etablert prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Ledelsen har etablert prosesser i enkelte enheter som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt Ledelsen har etablert formelle prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i mange steder i organisasjonen. Ledelsen har etablert systematiske prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i de fleste steder i organisasjonen. Ledelsen har etablert effektive og hensiktsmessige prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i hele organisasjonen. 3 1 Rapportering og oppfølging 3 1 Ledelsen har ikke etablert kontrollrutiner for risikohåndtering. Ledelsen har etablert kontrollrutiner for risikohåndtering i enkelte steder. Ledelsen har etablert formelle kontrollrutiner for risikohåndtering og rutinene etterleves i mange steder i organisasjonen. Ledelsen har etablert systematiske kontrollrutiner for risikohåndtering, og rutinene etterleves i de fleste steder i organisa sjonen. Ledelsen har etablert hensiktsmessige og effektive kontrollrutiner for risikohåndtering., og rutinene etterleves i hele organisasjonen. 3 1 Ledelsen har ikke implementert kontrollrutiner for effektiv risikohåndtering. Ledelsen har til en viss grad implementert kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert formelle kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert systematiske kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert hensiktsmessige og effektive kontrollrutiner for risikohåndtering. 3 1 Det er ikke etablert rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsst edsnivå. Det er etablert rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Det er etablert formelle rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i mange steder. Det er etablert systematiske rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i de fleste organisasjoner. Det er etablert effektive og hensiktsmessige rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i hele organisasjonen. 3 1 Risikostyringsprosessen følges ikke opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Risikostyringsprosessen følges opp i enkelte enheter gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Risikostyringsprosessen følges formelt opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Aktivitene kan dokumenteres. Risikostyringsprosessen følges systematisk opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Aktivitene kan dokumenteres. Risikostyringsprosessen følges effektivt og hensiktsmessig opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer i hele organisajsonen. 3 1 Overordnede retningslinjer (policies) (COCO - A3) 3 1 Skriftlige retningslinjer 3 1 Ledelsens forventninger er ikke avklart. Ledelsens forventninger er avklart i enkelte enheter. Ledelsens forventninger er formelt avklart og etterleves i mange steder i organisasjonen. Ledelsens forventninger er systematisk avklart og etterleves i de fleste steder i organisasjonen. Ledelsens forventninger er avklart effektivt og hensiktsmessig og etterleves av hele organisasjonen. 3 1 Graden av ansattes handlefrihet er ikke avklart. Graden av ansattes handlefrihet er avklart i noen stillinger. Graden av ansattes handlefrihet er avklart i mange stillinger og fungerer i mange steder. Graden av ansattes handlefrihet er avklart systematisk og fungerer i de fleste steder. Graden av ansattes handlefrihet er avklart effektivt og hensiktsmessig og etterleves av alle ledd i hele organisasjonen. 3 1 Opplæring av skriftlige retningslinjer 3 1 Det er ikke etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer i enkelte enheter. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves i mange steder Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves i de fleste steder. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves av hele organisasjonen. 3 1 Oppdatering av skriftlige retningslinjer 3 1 Skriftlige retningslinjer følges ikke opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres ikke fortløpende. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i enkelte enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i mange enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i de fleste enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i hele organisasjonen. 3 1 Planlegging / budsjettering (COCO IK - A4) 3 1 Fordeling av økonomiske ressurser 3 1 Organisasjonens økonomiske minimumsbehov fastsettes ikke. Organisasjonens økonomiske minimumsbehov fastsettes i enkelte enheter. Organisasjonens økonomiske minimumsbehov fastsettes i mange enheter. Det er høy budsjettdisiplin i mange enheter. Organisasjonens økonomiske minimumsbehov fastsettes i de fleste enheter. Det er høy budsjettdisiplin i de fleste enheter. Organisasjonens økonomiske minimumsbehov fastsettes effektivt og hensiktsmessig. Det er høy budsjettdisiplin i hele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. I enkelte enheter fordeles ressurser i samsvar med overordnede planer. I mange enheter fordeles ressurser i samsvar med overordnede planer. I de fleste enheter fordeles ressurser i samsvar med overordnede planer. Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Fordeling av menneskelige ressurser 3 1 Organisasjonens menneskelige minimumsbehov fastsettes ikke. Organisasjonens menneskelige minimumsbehov fastsettes i enkelte enheter. Organisasjonens menneskelige minimumsbehov fastsettes i mange enheter. Organisasjonens menneskelige minimumsbehov fastsettes i de fleste enheter. Organisasjonens menneskelige minimumsbehov fastsettes effektivt og hensiktmessig ihele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. Ressurser fordeles i enkelte enheter i samsvar med overordnede planer. Ressurser fordeles i mange enheter i samsvar med overordnede planer. Ressurser fordeles i de fleste enheter i samsvar med overordnede planer Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Fordeling av fysiske ressurser 3 1 Organisasjonens fysiske minimumsbehov fastsettes ikke. Organisasjonens fysiske minimumsbehov fastsettes i enkelte enheter. Organisasjonens fysiske minimumsbehov fastsettes i mange enheter. Organisasjonens fysiske minimumsbehov fastsettes i de fleste enheter. Organisasjonens fysiske minimumsbehov fastsettes effektivt og hensiktsmessig i hele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. Ressurser fordeles i enkelte enheter i samsvar med overordnede planer. Ressurser fordeles i mange enheter i samsvar med overordnede planer. Ressurser fordeles i de fleste enheter i samsvar med overordnede planer Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Resultatmål og -indikatorer (COCO IK - A5) 3 1 Bruk av kvantitative resultatmål 3 1 Organisasjonens kvantitative resultatmål er ikke målbare. Organisasjonens kvantitative resultatmål er målbare i deler av organisasjonen. Organisasjonens kvantitative resultatmål er målbare på mange enheter i organisasjonen. Organisasjonens kvantitative resultatmål er målbare i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er målbare i hele organisasjonen. 3 1 Organisasjonens kvantitative resultatmål er ikke hensiktsmessige. Organisasjonens kvantitative resultatmål er hensiktsmessige i deler av organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige på mange enheter i organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige i hele organisasjonen. 3 1 Organisasjonens kvantitative resultatmål er ikke likeverdige eller med beste praksis. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i enkelte enheter. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis på mange enheter. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i hele organisasjonen. 3 1 Bruk av kvalitative resultatmål 3 1 Organisasjonens kvalitative resultatmål er ikke målbare. Organisasjonens kvalitative resultatmål er målbare i deler av organisasjonen. Organisasjonens kvalitative resultatmål er målbare på mange enheter i organisasjonen. Organisasjonens kvalitative resultatmål er målbare i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er målbare i hele organisasjonen. 3 1 Organisasjonens kvalitative resultatmål er ikke hensiktsmessige. Organisasjonens kvalitative resultatmål er hensiktsmessige i deler av organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige på mange enheter i organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige i hele organisasjonen. 3 1 Organisasjonens kvalitative resultatmål er ikke likeverdige eller med beste praksis. Organisasjonens kvalitative resultatmål er likeverdige med beste praksisi enkelte enheter. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis på mange enheter. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis i hele organisasjonen. 3 1 Bruk av resultatindikatorer 3 1 Resultatindikatorer gir ikke tidlig beskjed. Resultatindikatorer gir enkelte ganger tidlig beskjed til relevante beslutningstagere. Resultatindikatorer gir ofte tidlig beskjed til relevante belsutningstagere. Resultatindikatorer gir i de fleste tilfeller tidlig beskjed til relevante beslutningstagere. Resultatindikatorer gir tidlig beskjed til relevante beslutningstagere. 3 1 Resultatindikatorer anvendes ikke objektivt eller på en fornuftig måte. Resultatindikatorer anvendes i enkelte enheter objektivt og på en fornuftig måte. Resultatindikatorer anvendes i mange enheter objektivt og på en fornuftig måte. Resultatindikatorer anvendes i de fleste enheter objektivt og på en fornuftig måte Resultatindikatorer anvendes objektivt og på en fornuftig måte i hele organisasjonen. 3 1,75 Engasjement og forpliktelse(v ilje til å gjøre det) 3 1 Etiske verdier, herunder integritet (COCO IK - B1) 3 1 Etablering, formidling og praktisering av felles verdier 3 1 Virksomheten har en kultur der de ansatte ikke tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i enkelte enheter tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i mange steder tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i de fleste steder tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i hele organisasjonen tar ansvar for sine avgjørelser og handlinger (> 90%). 3 1 Organisasjonens prosesser for å etablere felles etiske verdier tar ikke hensyn til forskjeller i ansattes personlige verdier. Organisasjonens prosesser for å etablere felles etiske verdier tar i enkelte steder hensyn til forskjeller i ansattes personlige verdier. Organisasjonens prosesser for å etablere felles etiske verdier tar formelt hensyn til forskjeller i ansattes personlige verdier. Prosessen etterleves i mange steder. Organisasjonens prosesser for å etablere felles etiske verdier tar systematisk hensyn til forskjeller i ansattes personlige v erdier. Prosessn etterleves i de fleste steder. Organisasjonens prosesser for å etablere felles etiske verdier tar effektivt og hensiktsmessig hensyn til forskjeller i ansattes personlige verdier. Prosessen etterleves i hele organiisasjonen. 3 1 Felles verdier utgjør ikke sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør i enkelte steder sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør formelt sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør systematisk sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør effektivt og hensiktsmessig sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. 3 1 Verdiene og preferansene til toppledelsen påvirker ikke på organisasjonens målsettinger og systemer. Verdiene og preferansene til toppledelsen påvirker på organisasjonens målsettinger og systemer i enkelte enheter. Verdiene og preferansene til toppledelsen påvirker på organisasjonens målsettinger og systemer i mange steder. Verdiene og preferansene til toppledelsen påvirker systematisk på organisasjonens målsettinger og systemer i de fleste steder. Verdiene og preferansene til toppledelsen påvirker effektivt og hensiktsmessig på organisasjonens målsettinger og systemer i hele organisasjonen. 3 1 Ledelsens forventninger til atferd forstås ikke. Ledelsens forventninger til atferd forstås i enklete enheter. Ledelsens forventninger til atferd er formalisert og forstås av mange (cirka 50%) ansatte. Ledelsens forventninger til atferd forstås av de fleste ansatte. Ledelsens forventninger til atferd forstås i hele organisasjonen. 3 1 Ansattes faktiske atferd vurderes ikke av ledelsen og eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes i enkelte enheter av ledelsen men eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes formelt av ledelsen men eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes systematisk av ledelsen og eventuelle avvik håndteres korrekt. Ansattes faktiske atferd vurderes effektivt og hensiktsmessig av ledelsen og eventuelle avvik håndteres i tåd med beste praksis. 3 1 Det er ikke etablert rutiner for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Det er etablert rutiner i enkelte enheter for effektiv kommunikasjon om etiske dilemmaer og usikkerhet i enkelte steder. Det er etablert formelle rutiner i mange steder for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves. Det er etablert systematiske rutiner for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige rutiner for kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves i hele organisasjonen. 3 1 Det eksisterer ikke en støttende miljø for å diskutere etiske dilemmaer. Det eksisterer forståelse for å diskutere etiske dilemmaer i enkelte enheter. Det eksisterer formelle rutiner i mange enheter som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves. Det eksisterer systematiske rutiner som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves i de fleste steder. Det eksisterer effektive og systematiske rutiner som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves i hele organisasjonen. 3 1 Etiske verdier gir ikke uskrevne moralske atferdsregler som faktisk atferd måles mot. Etiske verdier gir uskrevne moralske atferdsregler i enkelte enheter som faktisk atferd måles mot. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd formelt måles mot. Verdiene etterleves i mange enheter. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd systematisk måles mot. Verdiene etterleves i de fleste enheter. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd effektivt og systematisk måles mot. Veridene etterleves i hele organisasjonen. 3 2 Personalpolitikk (COCO IK - B2) 3 2 Personalpolitikken er i samsvar med organisasjonens etiske verdier 3 2 Organisasjonens prestasjons- og belønningsystemer er ikke i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er til en viss grad i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er formelt i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er systematisert og i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er helt i samsvar med organisasjonens etiske verdier. 3 2 Organisasjonens prestasjons- og belønningsystemer bidrar ikke til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar til en viss grad til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar formelt til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar systematisk til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar effektivt og hensiktsmessig til måloppnåelse. 3 2 Organisasjonens prestasjons- og belønningsystemer formidles ikke til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles til en viss grad til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles på en formell måte til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles systematisk til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles "på en skikkelig måte" til medarbeiderne. 3 2 Organisasjonens prestasjons- og belønningsystemer inkluderer ikke økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer inkluderer til en viss grad økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er formalisert og inkluderer økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er systematisert og inkluderer s økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er effektivt og hensiktsmessig og inkluderer økonomiske og ikke-økonomiske insentiver og sanksjoner. 3 2 Organisasjonens prestasjonsmåling sikrer ikke en ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer til en viss grad ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer ofte ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer ensartet praksis ved belønning. 3 2 Organisasjonens prestasjonsmåling sikrer ikke balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer til en viss grad balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer ofte balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller balanse mellom kort - og langsiktige mål. Organisasjonens prestasjonsmåling sikrer balanse mellom kort- og langsiktige mål. 3 2 Organisasjonens prestasjonsmåling medfører at enkeltpersoner anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ikke alltid anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ofte ikke anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører i de fleste tilfeller at enkeltpersoner ikke anklages for problemer som skyldes or ganisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ikke anklages for problemer som skyldes organisasjonen. 3 2 Organisasjonens prestasjonsmåling kan gi belønninger itil den som ikke bør belønnes. Organisasjonens prestasjonsmåling sikrer til en viss grad at belønninger tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer at belønninger ofte tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller at belønninger tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer at belønninger tilbys til den som bør belønnes. 3 2 Myndighet, ansvar og den man blir holdt ansvarlig for (COCO IK - B3) 3 2 Klar ansvarsdefinering som samsvarer med organisasjonens målsettinger 3 2 Organisasjonen har ikke klart definert myndighet og ansvar i ulike roller. Organisasjonen har til definert myndighet og ansvar i noen roller. Organisasjonen har klart definert myndighet og ansvar i mange roller. Organisasjonen har klart definert myndighet og ansvar i de fleste roller. Organisasjonen har klart definert myndighet og ansvar i ulike roller. 3 2 Myndighet og ansvar er ikke definert gjennom arbeidsinstrukser. Myndighet og ansvar er defineret gjennom arbeidsinstrukser til enkelte ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til mange ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til de fleste ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til alle ansatte. 3 2 Organisasjonen har ikke synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har til en viss grad synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand t il å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har synligjort en klar forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har systematisk synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så respekterer de aller fleste av organisasjonens ansatte at så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. 3 2 Gjensidig tillit (COCO IK - B4) 3 2 Klima av gjensidig tillit 3 2 Organisasjonen har en klima hvor "uskyldige" feil ikke deles åpent. Organisasjonen har en viss bevissthet om at "uskyldige" feil deles åpent. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent i mange tilfeller. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent i de fleste tilfeller. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent. 3 2 Dyktighet og evne (Klarer å gjøre det) 3 2 Kunnskap, ferdigheter og hjelpemidler (COCO IK - C1) 3 2 Ansattes kunnskap, ferdigheter og hjelpemidler bidrar kontinuerlig til oppnåelse av organisasjonens målsettinger 3 2 Personalpolitikken sikrer ikke at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Personalpolitikken sikrer til en vissi grad at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Virksomhetens personalpolicy inneholder formelle rutiner som sikrer at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Virksomhetens personalpolicy inneholder formellle rutiner som sikrer at det ansettes systematisk personer med nødvendige ferdigheter, dyktighet og evner. Virksomhetens personalpolicy inneholder formelle rutiner som sikrer effektivt og hensiktsmessig at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. 3 2 Det evalueres ikke at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. Det evalueres til en viss grad at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. Det evalueres formelt at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov Det evalueressystematisk at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov Det evaluereseffektivt og hensiktsmessig at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. 3 2 Opplæringen fokuserer ikke på forbedringen av individuelle prestasjoner og mellommenneskelige evner. Opplæringen fokuserer til en viss grad på forbedringen av individuelle prestasjoner og mellommenneskelige evner. Det er etablert formelle prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelige evner Det er etablert systematiske prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelig evner Det er etablert effektive og hensiktmessige prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelig evner. 3 2 Det vurderes ikke kontinuerlig at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det gjøres visse vurderinger at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert formelle prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert systematiske prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert effektive og hensiktsmessige prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. 3 2 Kommunikasjonsprosesser (COCO IK - C2 / King III) 3 2 Kommunikasjonsprosessene støtter opp om organisasjonens verdier og bidrar til måloppnåelse 3 2 Organisasjonen har ikke kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har kommunikasjonsprosesser som til en viss grad støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har formelle kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har systematiske kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har effektive og hensiktsmessige kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. 3 2 Organisasjonen har ikke etablert hensiktsmessige kommunikasjonsprosesser mot strategiske interessenter. Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot enkelte strategiske interessenter. Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot de fleste strategiske interessenter Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot alle strategiske interessenter Organisasjonen har etablert effektive og hensiktsmessige kommunikasjonsprosesser mot alle strategiske interessenter. 3 2 Informasjonsformidling (COCO IK - C3) 3 2 Identifisering og formidling av informasjon 3 2 Det er ikke etablert rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert noen rutiner som bidrar til en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert formelle rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert systematiske rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert effektive og henisktsmesisige rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. 3 2 Samlet informasjon er ikke relevant, pålitelig, og tilgjengelig for organisasjonens beslutningstagere og samles ikke inn rask t. Samlet informasjon er til en viss grad relevant, pålitelig, og tilgjengelig for noen av organisasjonens beslutningstagere men samles ikke inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for organisasjonens noen beslutningstagere men samles ikke inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for de fleste av organisasjonens beslutningstagere men samles ikk e inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for alle organisasjonens beslutningstagere og samles inn raskt. 3 2 Koordinering (COCO IK - C4) 3 2 Koordinering av avgjørelser 3 2 Det er ikke etablert koordineringsaktiviteter som sikrer at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert noen koordineringsaktiviteter som medvirker til at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert formelle koordineringsaktiviteter som medvirker til er at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert systematiske koordineringsaktiviteter som medvirker til at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablerteffektive og hensiktsmessige koordineringsaktiviteter som sikrer at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Kontrollaktiviteter (COCO IK - C5) 3 2 Integrering av kontrollaktiviteter 3 2 Organisasjonens kontrollaktiviteter hensyntar ikke organisasjonens langsiktige og kortsiktige mål. Organisasjonens kontrollaktiviteter hensyntar til en viss grad organisasjonens langsiktige og kortsiktige mål. Organisasjonens kontrollaktiviteter hensyntar formelt organisasjonens langsiktige og kortsiktige mål Organisasjonens kontrollaktiviteter hensyntar systematisk organisasjonens langsiktige og kortsiktige mål Organisasjonens kontrollaktiviteter hensyntar effektivt og hensiktsmessig organisasjonens langsiktige og kortsiktige mål. 3 2 Organisasjonens kontrollaktiviteter hensyntar ikke risikoen til å oppnå organisasjonens målsettinger. Organisasjonens kontrollaktiviteter hensyntar til en viss grad risikoen til å oppnå organisasjonens målsettinger. Organisasjonens kontrollaktiviteter hensyntar formelt risikoen til å oppnå organisasjonens målsettinger Organisasjonens kontrollaktiviteter hensyntar systematisk risikoen til å oppnå organisasjonens målsettinger Organisasjonens kontrollaktiviteter hensyntar effektivt og hensiktsmessig risikoen til å oppnå organisasjonens målsettinger. 3 2 Organisasjonens kontrollaktiviteter tar ikke hensyn til kontrollelementenes innbyrdes forhold. Organisasjonens kontrollaktiviteter tar til en viss grad hensyn til kontrollelementenes innbyrdes forhold. Organisasjonens kontrollaktiviteter tar formelt hensyn til kontrollelementenes innbyrdes forhold Organisasjonens kontrollaktiviteter tar systematisk hensyn til kontrollelementenes innbyrdes forhold Organisasjonens kontrollaktiviteter tar effektivt og hensiktsmessig hensyn til kontrollelementenes innbyrdes forhold. Lederskap (OCEG) 3 2 Ledelseskapasitet 3 2 Organisasjonen har ikke beslutningsprosesser som også fungerer under usikkerhet. Noen av organisasjonens beslutningsprosesser fungerer også under usikkerhet. Organisasjonen har effektive beslutningsprosesser som også fungerer under usikkerhet Organisasjonen harsystematiske beslutningsprosesser som også fungerer under usikkerhet Organisasjonen har effektive og henisktsmessige beslutningsprosesser som også fungerer under usikkerhet. 3 2 Overvåking, oppfølging og læring (For å forbedre seg) 3 2 Overvåking av det interne og eksterne miljøet (COCO - D1) 3 2 Justering av styringssignaler 3 2 Organisasjonen har ikke etablert aktiviteter som sikrer at eksterne og interne endringer gir effekt i organisasjonens styring ssignaler. Organisasjonen har etablert noen aktiviteter som bidrar til å sikre at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert formelle aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert systematiske aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert effekive og hensiktsmesisge aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler. 3 2 Overvåking av prestasjoner (COCO - D2) 3 2 Oppfølging av mål og indikatorer 3 2 Organisasjonen har ikke etablert aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert noen aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert formelle aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert systematiske aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert effektive og hensiktsmessige aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. 3 2 Forutsetninger for målsettinger (COCO - D3) 3 2 Revurderingen av målsettinger 3 2 Organisasjonen har ikke etablert rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. Organisasjonen har etablert noen rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. Organisasjonen har etablert formelle rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert Organisasjonen har etablert systematiske rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens bli r jevnlig revurdert Organisasjonen har etablert effektive og hensiktsmessige rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. 3 2 Informasjonssystemer / IT governance (COCO - D4) 3 2 Endringsfleksibilitet i systemer 3 2 Organisasjonen har ikke etablert rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle int eressenter og i systemene. Organisasjonen har etablert noen rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert formelle rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert systematiske rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert effektive og hensiktsmessige rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. 3 2 IT styring (King III) 3 2 Virksomheten mangler en IT strategi som støtter organisasjonens IT styring. Virksomheten har en IT strategi som støtter virksomhetens IIT relaterte prioriteringer. Virksomhetens IT strategi er tilpasset til virksomhetens behov og bidrar til å fastsette de årlige ressursmessige prioriteringene. Virksomhetens IT strategi brukes til å styre virksomhetens IT behov systematisk over flere år innen fastsatte budsjettrammer. Virksomhetens IT strategi støtter effektivt og hensiktsmessig organisasjonens IT behov i henhold til beste praksis. COBIT 5 rammeverk 3 2 COBIT 5 prinsipper etterleves ikke, prosessene er ikke aktivert eller implementert COBIT 5 prinsippene etterleves, men prosessene er ikke aktivert eller implementert COBIT 5 prinsippene etterleves, prosessene er aktivert, men ikke implementert. COBIT 5 prinsippeme etterleves, prosessene er aktivert og implementert COBIT5 prinsipper etterleves, prosessene er aktivert og implementert effektivt og hensiktsmessig. 3 2 Oppfølgingsrutiner (COCO - D5) 3 2 Kvaliteten i oppfølgingsrutiner 3 2 Organisasjonen har ikke etablert aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. Organisasjonen har etablert noen aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres Organisasjonen har etablert formelle aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. Organisasjonen har etablert systematiske aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres Organisasjonen har etablert effektive og henisiktsmessige aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. 3 2 Evaluering av kontrollsystemet (COCO - D6) 3 2 Kvaliteten i kontrollsystemet 3 2 Organisasjonen har ikke etablert aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optima lt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert noen aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert formelle aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert systematiske aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov Organisasjonen har etablert effektive og hensiktsmessige aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale k ontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. 3 2 Internrevisjon (IA -CM) 3 2 Internrevisjonens tjenester og rolle (King III) 3 2 Ustrukturert. Isolert enkeltstående revisjonshandlinger. Etterlevelsesrevisjon. Rådgivningstjenester. Ytelse og "verdi for pengen" revisjoner. Samlet bekreftelse på styring, risikostyring og kontroll. Internrevisjonen er anerkjent som en viktig agent for endring og er styrets verktøy for å bli et effektivt virkemiddel til organisasjonens måloppnåelse i etater med egen styre. Styring av mennesker og ressurser 3 2 Kvaliteten av leveranser avhengig av enklet menneskers ferdigheter som utfører arbeidet. Individuell faglig utvikling. Dyktige folk er identifisert og rekruttert. Teambygging og kompetanse. Faglig kvalifisert personale. Arbeidsstyrken koordineres. IR bidrar til lederutvikling. IR støtter aktivt fagmiljøer. Bemanningsplanlegging. Lederskapengasjement med profesjonelle organer. Arbeidsstyrke prosjeksjon. Profesjonell utøvelse 3 2 Ingen konkret faglig praksis implementert unntatt det som er fastsatt av profesjonelle foreninger. Ingen krav til kompetanse. Profesjonell prkaiss og prosess rammeverk. Revisjonsplan er basert på interessenters prioriteringer. Kvalitetsstyringsrammeverk på plass. Risikobaserte revisjonsplaner. Revisjonsstrategien utnytter organisasjonens styring av risiko. Kontinuerlig forbedring i praksis. Strategisk planlegging i IR. Prestasjonsledelse og ansvarliggjøring 3 2 Budsjett godkjent av ledelsen i henhold til ledelsens behovsvurdering. IR har driftsbudsjett og forretningsplan. Prestasjonsmål og risikovurderinger. Kostnadsinformasjon. Ledelsessrapporter. Integrering av kvalitative og kvantitative prestasjonsmål og resultatmålinger. Offentlig rapportering av IRs effektivitet. Organisatoriske relasjoner og kultur 3 2 Revisorer er trolig en del av en annen organisatorisk enhet. Aktiviitetene til IR administreres innenfor IR funksjonen. Samordning av IRs aktiviteter med andre fagenheter som fortear vurderinger. Integrert del av ledelsen. Sjef for internrevisjonen gir råd og influerer toppledelsen. Effektive og kontinuerlige relasjoner. Styringsstrukturer 3 2 Fravæer av infrastruktur Full tilgang til organisasjonens informasjon, eiendeler og folk. Etablerte rapproteringsrelasjoner. Ledelsesovervåking av IR aktiviteter. Finansieringsmekanismer. Uavhengig tilsyn med ir aktiviteten. Sjef for IR rapporterer til øverste myndighetsnivå. Internrevisjonaktiviteten har uavhengighet, makt og myndighet. 35

36 36

37 37

38 Fra UK: overordnede uttalelser forutsetter planlegging! På vårt språk kaller vi dette KROM Kontinuerlig RisikoOppfølging og Modenhetsvurdering 38

39 39

40 KROM står sentralt i vår metodikk (DefenceWay) 1. Revisjonsinstruks 2. Strategi 4. Kontinuerlig risikooppfølging og modenhetsvurdering (KROM) 3. Overordnet planlegging Oppdragsplanlegging Oppdragsgjennomføring Oppdragsrapportering 8. Overordnet rapportering 5.1 Bekr. 6.1 Rådg. 5.2 Bekr. 6.2 Rådg. 5.3 Bekr. 6.3 Rådg. 7. Forvaltning av varslingskanalen 9. Ledelse og administrasjon 4. Kontinuerlig risikooppfølging og modenhetsvurdering (KROM) 4.1 Hva er KROM? 4.2 KRO i praksis 4.3 M i praksis 4.4 KROMrapportering 40

41 KROM står sentralt i vår metodikk (DefenceWay) 41

42 Planlagt ressursbruk i 2014 Royal Ministry of Defence Total tidsfordeling Tidsfordeling på type kjerneleveranse 42

43 Disposisjon 1. Overordnet uttalelse fra internrevisor? 2. Modenhetsmodell? 3. Vårt arbeid med dette så langt 4. Veien videre 43

44 Modenhetsmodellen vil ikke være statisk Forenkling er fortsatt et ønske: hvor går minimumsgrensen i forhold til antall underkategorier? Hva må faktisk vurderes før linjen og internrevisjonen kan si at nå har vi dekket generiske prosesser for styring og kontroll? «Kundetilpasning» har også positive sider ved seg, men hvor går grensen i forhold til kunne sammenligne / benchmarke modenhetsvurderinger opp mot andre områder/enheter? Hva med vektingsproblematikken? Er det i realiteten faktorer/ kategorier som er viktigere enn andre selv i en slik helhetstankegang som CoCo forfekter? I så fall hvordan gjøre det i praksis? I alle fall to mulige forbedringsområder identifisert 44

45 a) Integrert rapportering inn i modellen? 45