Revisors rolle i å vurdere kvaliteten på virksomhetsstyringen Frank Alvern, Forsvarsdepartementets Internrevisjon

Transkript

1 Nasjonal fagkonferanse i offentlig revisjon, oktober 2014 Revisors rolle i å vurdere kvaliteten på virksomhetsstyringen Frank Alvern, Forsvarsdepartementets Internrevisjon

2 to år er gått

3 Royal Ministry of Defence Verdierklæringen fra NIRF 3

4 Del 1 - om internrevisjon som en del av virksomhetsstyringen i staten 4

5 5

6 6

7 7

8

9

10 10

11 FOTNOTE 8: Ledelsens årlige gjennomgang av etablerte rutiner og prosesser, av involvering og dokumentasjon og av faktiske støttesystemer for styring og for internkontroll i Senteret. Gjennomgangen er bekreftet av ledelsen og av internkontrollansvarlige i avdelingene ved signatur. 11

12 Del 2 - med utgangspunkt i blant annet IIAs standarder og praksisveiledninger, eksemplifisere hvordan revisor kan vurdere kvaliteten på virksomhetsstyringen 12

13 Spesifikke evalueringer fra mange kilder Etatsinterne og FDs vurderinger + interne (herunder IR) og eksterne bekreftelsesfunksjoner fra mange kilder (herunder Riksrevisjonen) gir innsikt i sektorens måloppnåelse. + Overordnede uttalelser fra IR Gir innsikt i nåsituasjon og skaper grunnlag for kontinuerlig forbedring av «GRUNNMUREN» «Et forsvar for vår tid» Internrevisjonen i forsvarssektoren et effektivt bidrag til måloppnåelse og kontinuerlig forbedring slik dette Forsvarssektorens er bestemt i IR-strategien strategiske for målbilde forsvarssektoren. Virksomhetsstyring Risikostyring Internkontroll «Styring og kontroll» 13

14 Royal Ministry of Defence Hva er det vi vurderer? Hensikt Vet hva som skal gjøres (Purpose) Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) Handling (Action) Dyktighet/evne - Klarer å gjøre det (Capability) 14

15 Royal Ministry of Defence Hovedkategori 1: Hensikt (Purpose) Målsettinger 1. Visjon 2. Strategi 3. Etablering av målsettinger 4. Resultatmåling Risikostyring 5. Internt miljø 6. Identifisering av risikoer og mulige tiltak 7. Vurdere og prioritere risikoer 8. Etablere tiltak 9. Rapportering og oppfølging Planlegging og budsjettering 10. Fordeling av ressurser Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 15

16 Royal Ministry of Defence Hovedkategori 2: Engasjement og forpliktelse (Commitment) Overordnede retningslinjer (policier) 11. Skriftlige retningslinjer Etiske verdier, herunder integritet 12. Etablering, formidling og praktisering av felles verdier Personalpolitikk 13. Personalpolitikken er i samsvar med organisasjonens etiske verdier Myndighet, ansvar og det man blir holdt ansvarlig for 14. Klar ansvarsfordeling som samsvarer med organisasjonens målsettinger Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 16

17 Royal Ministry of Defence Hovedkategori 3: Dyktighet og evne (Capability) Kunnskap, ferdigheter og hjelpemidler 15. Ansattes og ledelsens kunnskaper, ferdigheter og hjelpemidler bidrar kontinuerlig til oppnåelse av organisasjonens målsettinger Kommunikasjonsprosesser 16. Kommunikasjonsprosessene støtter opp om organisasjonens verdier og bidrar til måloppnåelse Integrering av kontrollaktiviteter 17. Kontrollaktiviteter skal sikre måloppnåelse og etterlevelse av lover og regler Ledelsesoppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) 17

18 Royal Ministry of Defence Hovedkategori 4: Ledelsesoppfølging og læring Forutsetninger for målsetninger 18. Revurderingen av målsettinger Informasjonssystemer / IT-governance 19. Endringsfleksibilitet i systemer 20. IT-styring (Monitoring and Learning) Overvåking, oppfølging og læring For å forbedre seg (Monitoring and Learning) Handling (Action) Hensikt Vet hva som skal gjøres (Purpose) Dyktighet/evne - Klarer å gjøre det (Capability) Engasjement og forpliktelse Vilje til å gjøre det (Commitment) Evaluering av kontrollsystemet 21. Kvaliteten i kontrollsystemet Internrevisjon = Pre-definerte kategorier fra IIA 18

19 Royal Ministry of Defence Hvordan vurderer vi? Femtrinnsskala. Fargekodene i stikkordsform: Rødt Fraværende / Reaktiv Oransje Enkelte steder / Fragmentert Gult Formalisert / Dokumenterbart Lysegrønt Dokumenterbart og systematisert Mørkegrønt Beste praksis Totalt 21 kriterier* innenfor de fire hovedkategoriene. Igjen: det er generelle styrings- og kontrollprosesser som vurderes ikke oppnåelsen av målene ved bruk av disse! * = i tillegg kommer 6 kriterier som Internrevisjonsprofesjonen har definert for Internrevisjonen selv 19

20 Royal Ministry of Defence Modenhetsmodellen oversiktsbilde regnearket 3 1 Hensikt (Vet hva som skal gjøres) 3 1 Målsettinger (COCO IK - A1) 3 1 Visjon 3 1 Reflekterer ikke en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer til en viss grad en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer stort sett en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer mer eller mindre en fremtidig situasjon organisasjonen ønsker å nå. Reflekterer en fremtidig situasjon organisasjonen ønsker å nå. 3 1 Anvender ikke en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i deler av organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i mange steder i organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i de fleste steder i organisasjoenn en anerkjent metode for strategisk analyse som er integrert i styringssystemet. Anvender i hele organisasjonen en anerkjent metode for strategisk analyse som er integrert i styringssystemet. 3 1 Kommuniserer ikke strategien til relevante interessenter. Kommuniserer strategien til noen relevante interessenter. Kommuniserer strategien til mange relevante interessenter. Kommuniserer strategien til de fleste relevante interessenter. Kommuniserer strategien effektivt til alle relevante interessenter. 3 1 Strategi 3 1 Viser ikke hvordan organisasjonens visjon skal realiseres. Viser til en viss grad hvordan organisasjonens visjon skal realiseres. Viser formelt hvordan organisasjonens visjon skal realiseres. Vises systematisk hvordan organisasjonens visjon skal realiseres. Viser effektivt og hensiktsmessig hvordan organisasjonens visjon skal realiseres. 3 1 Har ikke strategiske mål. Har noen strategiske mål. Har formelle strategiske mål på mange områder. Har gjennomtenkte strategiske mål på de fleste enheter i organisasjonen. Har effektive og hensiktsmessige strategiske mål som sikrer behovene til alle relevante interessenter over tid. 3 1 Langsiktige mål 3 1 Har ikke mål for målrettet og effektiv drift. Har noen mål for målrettet og effektiv drift. Har formelle mål for målrettet og effektiv drift. Har systematiserte mål for målrettet og effektiv drift på de fleste enheter o organisasjonen. Har mål for målrettet og effektiv drift i hele organisasjonen. 3 1 Har ikke mål som sikrer at den formelle eksterne rapporteringen følger prinsippene i "Integrated Reporting". Har mål som bidrar til å sikre at den formelle eksterne rapporteringen i enkelte enheter følger prinsippene i "Integrated Reporting". Har mål som sikrer at den formelle eksterne rapporteringen i mange enheter følger prinsippene i "Integrated Reporting". Har mål som sikrer at den formelle eksterne rapporteringen i de fleste enheter følger prinsippene i "Integrated Reporting". Har hensiktsmessige mål som sikrer at den formelle eksterne rapporteringen i hele organisasjonen følger prinsippene i "Integrated Reporting". 3 1 Har ikke mål som sikrer etterlevelse av lover og regler. Har mål som sikrer etterlevelse av lover og regler i enkelte enheter. Har formaliserte mål som sikrer etterlevelse av lover og regler i mange enheter. Har mål som systematisk sikrer etterlevelse av lover og regler på de fleste enheter i organisasjonen. Har mål som sikrer etterlevelse av lover og regler i hele organisasjonen. 3 1 Kortsiktige mål 3 1 Har ikke konkretisert den kortsiktige delen av strategiske mål. Har konkretisert den kortsiktige delen av strategiske mål i enkelte enheter. Har formalisert den kortsiktige delen av strategiske mål i mange enheter. Har systematisert den kortsiktige delen av strategiske mål på de fleste enheter i organisasjonen. Har konkretisert den kortsiktige delen av strategiske mål i hele organisasjonen. 3 1 Har ikke mål for målrettet og effektiv drift. Har mål for målrettet og effektiv drift i enkelte enheter. Har mål for målrettet og effektiv drift i mange enheter. Har mål for målrettet og effektiv drift på de fleste enheter i organisasjonen. Har mål for målrettet og effektiv drift i hele organisasjonen. 3 1 Har ikke mål som sikrer pålitelig rapportering, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i enkelte enheter, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i mange enheter, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering på de fleste enheter i organisasjoen, herunder eventuelt "Integrated Reporting". Har mål som sikrer pålitelig rapportering i hele organisasjonen, herunder eventuelt "Integrated Reporting". 3 1 Har ikke mål som sikrer etterlevelse av lover og regler. Har mål som sikrer etterlevelse av lover og regler i enkelte enheter. Har formaliserte mål som sikrer etterlevelse av lover og regler i mange enheter. Har mål som systematisk sikrer etterlevelse av lover og regler på de fleste enheter i organisasjonen. Har mål som sikrer etterlevelse av lover og regler i hele organisasjonen. 3 1 Risikostyring (DFØs verktøy / ((COCO A2) og ERM) 3 1 Internt miljø 3 1 Ansattes holdning til risiko vurderes ikke. Ansattes holdning til risiko vurderes i enkelte steder. Ansattes holdning til risiko vurderes i mange steder. Ansattes holdning til risiko vurderes systematisk. Ansattes holdning til risiko vurderes effektiv og henisktsmessig i hele organisasjonen. 3 1 Ansattes filosofi for risikostyring og risikoappetitt vurderes ikke. Ansattes filosofi for risikostyring og risikoappetitt vurderes i enkelte steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes og filosofien etterleves i mange steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes systematisk i de fleste steder. Ansattes filosofi for risikostyring og risikoappetitt vurderes effektivt og hensiktmessig i hele organisasjonen. 3 1 Ansattes integritet vurderes ikke. Ansattes integritet vurderes i enkelte steder. Ansattes integritet vurderes og reglene rundt integritet etterleves i mange steder. Ansattes integritet vurderes i de fleste steder. Ansattes integritet vurderes effektivt og hensiktsmessig i hele organisasjonen. 3 1 Ansattes etterlevelse av organisasjonens etiske verdier vurderes ikke. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i enkelte steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i mange steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes i de fleste steder. Ansattes etterlevelse av organisasjonens etiske verdier vurderes effektivt og henisktsmessig i hele organisasjonen. 3 1 Miljøet delkriteriene i "Internt miljø" opererer i vurderes ikke. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i enkelte steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i mange steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes i de fleste steder. Miljøet delkriteriene i "Internt miljø" opererer i vurderes effektivt og henisktsmessig i hele organisasjonen. 3 1 Identifisere mål/ krav 3 1 Det eksisterer ikke en prosess for måletablering. Det eksisterer en prosess for måletablering i enkelte enheter. Det eksisterer en formalisert prosess for måletablering,og prossessen etterleves i mange steder i organisasjonen. Det eksisterer en systematisk prosess for måletablering og prosessen etterleves i de fleste steder i organisasjonen. Det eksisterer en effektiv og hensiktsmessig prosess for måletablering som etterleves i hele organisasjonen. 3 1 Målsettingene støtter ikke virksomhetens formål (= strategi). Målsettingene støtter virksomhetens formål (= strategi) i enkelte enheter. Målsettingene støtter virksomhetens formål (= strategi) og gir en forventet måloppnåelse i mange steder. Målsettingene støtter systematisk virksomhetens formål (= strategi) og gir en forventet måloppnåelse i de fleste steder. Målsettingene støtter effektivt og hensiktsmessig virksomhetens formål (= strategi) og gir en forventet måloppnåelse i hele organisasjonen. 3 1 Målsettingene avspeiler ikke virksomhetens risikoappetitt. Målsettingene avspeiler virksomhetens risikoappetitt i enkelte enheter. Målsettingene avspeiler formelt virksomhetens risikoappetitt og reduserer gjenværende risikonivå i mange enheter. Målsettingene avspeiler systematisk virksomhetens risikoappetitt og reduserer gjenværende risikonivå i de fleste enheter. Målsettingene avspeiler effektivt og hensiktsmessig virksomhetens risikoappetitt og reduserer gjenværende risikonivå i hele organisasjonen. 3 1 Identifisere risikoer og tiltak 3 1 Det identifiseres ikke risikoer som påvirker interne hendelser. Det identifiseres risikoer i enkelte enheter som påvirker interne hendelser. Det er etablert formelle prosesser for å identifisere risikoer som påvirker interne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere risikoer som påvirker interne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere risikoer som påvirker interne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke risikoer som påvirker eksterne hendelser. Det identifiseres risikoer i enkelte enheter som påvirker eksterne hendelser. Det er etablert formelle prosesser for å identifisere risikoer som påvirker eksterne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere risikoer som påvirker eksterne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere risikoer som påvirker eksteerne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke muligheter som påvirker interne hendelser. Det identifiseres muligheter i enkelte enheter som påvirker interne hendelser. Det er etablert formelle prosesser for å identifisere muligheter som påvirker interne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere muligheter som påvirker interne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere muligheter som påvirker interne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det identifiseres ikke muligheter som påvirker eksterne hendelser. Det identifiseres muligheter i enkelte enheter som påvirker eksterne hendelser. Det er etablert formelle prosesser for å identifisere muligheter som påvirker eksterne hendelser og prosessen etterleves i mange enheter. Det er etablert systematiske prosesser for å identifisere muligheter som påvirker eksterne hendelser og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å identifisere muligheter som påvirker eksterne hendelser. Prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å kanalisere muligheter til toppledelsen. Det er etablert prosesser i enkelte enheter for å kanalisere muligheter til toppledelsen. Det er etablert formelle prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å kanalisere muligheter til toppledelsen og prosessen etterleves i hele organisasjonen. 3 1 Vurdere og prioritere risikoer 3 1 Det er ikke etablert prosesser for å vurdere risikoenes sannsynlighet. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes sannsynlighet. Det er etablert formelle prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes sannsynlighet og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes konsekvens. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes konsekvens. Det er etablert formelle prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes konsekvens og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes gjenværende sannsynlighet. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes gjenværende sannsynlighet. Det er etablert formelle prosesser for å vurdere risikoenes gjenværende sannsynlighet og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes gjenværende sannsynlighet og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes gjenværende sannsynlighet, og prosessen etterleves i hele organisasjonen. 3 1 Det er ikke etablert prosesser for å vurdere risikoenes gjenværende konsekvens. Det er etablert prosesser i enkelte enheter for å vurdere risikoenes gjenværende konsekvens. Det er etablert formelle prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i mange steder. Det er etablert systematiske prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige prosesser for å vurdere risikoenes gjenværende konsekvens og prosessen etterleves i hele organisasjonen. 3 1 Etablere tiltak 3 1 Ledelsen har ikke en tilnærming til hvordan identifiserte risikoer håndteres. Ledelsen har en tilnærming til hvordan identifiserte risikoer håndteres. Ledelsen har formelle prosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i mange steder. Ledelsen har systematiske prosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i de fleste steder. Ledelsen har en effektive og henisktsmessigeprosesser til hvordan identifiserte risikoer håndteres og prosessen etterleves i hele organisasjonen. 3 1 Ledelsen har ikke etablert prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Ledelsen har etablert prosesser i enkelte enheter som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt Ledelsen har etablert formelle prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i mange steder i organisasjonen. Ledelsen har etablert systematiske prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i de fleste steder i organisasjonen. Ledelsen har etablert effektive og hensiktsmessige prosesser som bringer den identifiserte risikoen i samsvar med virksomhetens risikotoleranse og appetitt. Prosessen etterleves i hele organisasjonen. 3 1 Rapportering og oppfølging 3 1 Ledelsen har ikke etablert kontrollrutiner for risikohåndtering. Ledelsen har etablert kontrollrutiner for risikohåndtering i enkelte steder. Ledelsen har etablert formelle kontrollrutiner for risikohåndtering og rutinene etterleves i mange steder i organisasjonen. Ledelsen har etablert systematiske kontrollrutiner for risikohåndtering, og rutinene etterleves i de fleste steder i organisasjonen. Ledelsen har etablert hensiktsmessige og effektive kontrollrutiner for risikohåndtering., og rutinene etterleves i hele organisasjonen. 3 1 Ledelsen har ikke implementert kontrollrutiner for effektiv risikohåndtering. Ledelsen har til en viss grad implementert kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert formelle kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert systematiske kontrollrutiner for effektiv risikohåndtering. Ledelsen har implementert hensiktsmessige og effektive kontrollrutiner for risikohåndtering. 3 1 Det er ikke etablert rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsst edsnivå. Det er etablert rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Det er etablert formelle rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i mange steder. Det er etablert systematiske rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i de fleste organisasjoner. Det er etablert effektive og hensiktsmessige rutiner som sikrer at relevant risikoinformasjon identifiseres, fanges opp og kommuniseres på kostnadsstedsnivå. Rutinene etterleves i hele organisasjonen. 3 1 Risikostyringsprosessen følges ikke opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Risikostyringsprosessen følges opp i enkelte enheter gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Risikostyringsprosessen følges formelt opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Aktivitene kan dokumenteres. Risikostyringsprosessen følges systematisk opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer. Aktivitene kan dokumenteres. Risikostyringsprosessen følges effektivt og hensiktsmessig opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer i hele organisajsonen. 3 1 Overordnede retningslinjer (policies) (COCO - A3) 3 1 Skriftlige retningslinjer 3 1 Ledelsens forventninger er ikke avklart. Ledelsens forventninger er avklart i enkelte enheter. Ledelsens forventninger er formelt avklart og etterleves i mange steder i organisasjonen. Ledelsens forventninger er systematisk avklart og etterleves i de fleste steder i organisasjonen. Ledelsens forventninger er avklart effektivt og hensiktsmessig og etterleves av hele organisasjonen. 3 1 Graden av ansattes handlefrihet er ikke avklart. Graden av ansattes handlefrihet er avklart i noen stillinger. Graden av ansattes handlefrihet er avklart i mange stillinger og fungerer i mange steder. Graden av ansattes handlefrihet er avklart systematisk og fungerer i de fleste steder. Graden av ansattes handlefrihet er avklart effektivt og hensiktsmessig og etterleves av alle ledd i hele organisasjonen. 3 1 Opplæring av skriftlige retningslinjer 3 1 Det er ikke etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer i enkelte enheter. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves i mange steder Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves i de fleste steder. Det er etablert en rullerende opplæringsplan ihht skriftlige retningslinjer. Planen etterleves av hele organisasjonen. 3 1 Oppdatering av skriftlige retningslinjer 3 1 Skriftlige retningslinjer følges ikke opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres ikke fortløpende. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i enkelte enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i mange enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i de fleste enheter. Skriftlige retningslinjer følges opp gjennom løpende ledelsesaktiviteter og frittstående evalueringer og oppdateres fortløpende i hele organisasjonen. 3 1 Planlegging / budsjettering (COCO IK - A4) 3 1 Fordeling av økonomiske ressurser 3 1 Organisasjonens økonomiske minimumsbehov fastsettes ikke. Organisasjonens økonomiske minimumsbehov fastsettes i enkelte enheter. Organisasjonens økonomiske minimumsbehov fastsettes i mange enheter. Det er høy budsjettdisiplin i mange enheter. Organisasjonens økonomiske minimumsbehov fastsettes i de fleste enheter. Det er høy budsjettdisiplin i de fleste enheter. Organisasjonens økonomiske minimumsbehov fastsettes effektivt og hensiktsmessig. Det er høy budsjettdisiplin i hele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. I enkelte enheter fordeles ressurser i samsvar med overordnede planer. I mange enheter fordeles ressurser i samsvar med overordnede planer. I de fleste enheter fordeles ressurser i samsvar med overordnede planer. Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Fordeling av menneskelige ressurser 3 1 Organisasjonens menneskelige minimumsbehov fastsettes ikke. Organisasjonens menneskelige minimumsbehov fastsettes i enkelte enheter. Organisasjonens menneskelige minimumsbehov fastsettes i mange enheter. Organisasjonens menneskelige minimumsbehov fastsettes i de fleste enheter. Organisasjonens menneskelige minimumsbehov fastsettes effektivt og hensiktmessig ihele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. Ressurser fordeles i enkelte enheter i samsvar med overordnede planer. Ressurser fordeles i mange enheter i samsvar med overordnede planer. Ressurser fordeles i de fleste enheter i samsvar med overordnede planer Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Fordeling av fysiske ressurser 3 1 Organisasjonens fysiske minimumsbehov fastsettes ikke. Organisasjonens fysiske minimumsbehov fastsettes i enkelte enheter. Organisasjonens fysiske minimumsbehov fastsettes i mange enheter. Organisasjonens fysiske minimumsbehov fastsettes i de fleste enheter. Organisasjonens fysiske minimumsbehov fastsettes effektivt og hensiktsmessig i hele organisasjonen. 3 1 Ressurser fordeles ikke i samsvar med overordnede planer. Ressurser fordeles i enkelte enheter i samsvar med overordnede planer. Ressurser fordeles i mange enheter i samsvar med overordnede planer. Ressurser fordeles i de fleste enheter i samsvar med overordnede planer Ressurser fordeles effektivt og hensiktsmessig i samsvar med overordnede planer i hele organisasjonen. 3 1 Resultatmål og -indikatorer (COCO IK - A5) 3 1 Bruk av kvantitative resultatmål 3 1 Organisasjonens kvantitative resultatmål er ikke målbare. Organisasjonens kvantitative resultatmål er målbare i deler av organisasjonen. Organisasjonens kvantitative resultatmål er målbare på mange enheter i organisasjonen. Organisasjonens kvantitative resultatmål er målbare i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er målbare i hele organisasjonen. 3 1 Organisasjonens kvantitative resultatmål er ikke hensiktsmessige. Organisasjonens kvantitative resultatmål er hensiktsmessige i deler av organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige på mange enheter i organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er hensiktsmessige i hele organisasjonen. 3 1 Organisasjonens kvantitative resultatmål er ikke likeverdige eller med beste praksis. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i enkelte enheter. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis på mange enheter. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i de fleste enheter i organisasjonen. Organisasjonens kvantitative resultatmål er likeverdige med beste praksis i hele organisasjonen. 3 1 Bruk av kvalitative resultatmål 3 1 Organisasjonens kvalitative resultatmål er ikke målbare. Organisasjonens kvalitative resultatmål er målbare i deler av organisasjonen. Organisasjonens kvalitative resultatmål er målbare på mange enheter i organisasjonen. Organisasjonens kvalitative resultatmål er målbare i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er målbare i hele organisasjonen. 3 1 Organisasjonens kvalitative resultatmål er ikke hensiktsmessige. Organisasjonens kvalitative resultatmål er hensiktsmessige i deler av organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige på mange enheter i organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er hensiktsmessige i hele organisasjonen. 3 1 Organisasjonens kvalitative resultatmål er ikke likeverdige eller med beste praksis. Organisasjonens kvalitative resultatmål er likeverdige med beste praksisi enkelte enheter. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis på mange enheter. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis i de fleste enheter i organisasjonen. Organisasjonens kvalitative resultatmål er likeverdige med beste praksis i hele organisasjonen. 3 1 Bruk av resultatindikatorer 3 1 Resultatindikatorer gir ikke tidlig beskjed. Resultatindikatorer gir enkelte ganger tidlig beskjed til relevante beslutningstagere. Resultatindikatorer gir ofte tidlig beskjed til relevante belsutningstagere. Resultatindikatorer gir i de fleste tilfeller tidlig beskjed til relevante beslutningstagere. Resultatindikatorer gir tidlig beskjed til relevante beslutningstagere. 3 1 Resultatindikatorer anvendes ikke objektivt eller på en fornuftig måte. Resultatindikatorer anvendes i enkelte enheter objektivt og på en fornuftig måte. Resultatindikatorer anvendes i mange enheter objektivt og på en fornuftig måte. Resultatindikatorer anvendes i de fleste enheter objektivt og på en fornuftig måte Resultatindikatorer anvendes objektivt og på en fornuftig måte i hele organisasjonen. 3 1,75 Engasjement og forpliktelse(v ilje til å gjøre det) 3 1 Etiske verdier, herunder integritet (COCO IK - B1) 3 1 Etablering, formidling og praktisering av felles verdier 3 1 Virksomheten har en kultur der de ansatte ikke tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i enkelte enheter tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i mange steder tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i de fleste steder tar ansvar for sine avgjørelser og handlinger. Det er etablert en kultur der de ansatte i hele organisasjonen tar ansvar for sine avgjørelser og handlinger (> 90%). 3 1 Organisasjonens prosesser for å etablere felles etiske verdier tar ikke hensyn til forskjeller i ansattes personlige verdier. Organisasjonens prosesser for å etablere felles etiske verdier tar i enkelte steder hensyn til forskjeller i ansattes personlige verdier. Organisasjonens prosesser for å etablere felles etiske verdier tar formelt hensyn til forskjeller i ansattes personlige verdier. Prosessen etterleves i mange steder. Organisasjonens prosesser for å etablere felles etiske verdier tar systematisk hensyn til forskjeller i ansattes personlige v erdier. Prosessn etterleves i de fleste steder. Organisasjonens prosesser for å etablere felles etiske verdier tar effektivt og hensiktsmessig hensyn til forskjeller i ansattes personlige verdier. Prosessen etterleves i hele organiisasjonen. 3 1 Felles verdier utgjør ikke sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør i enkelte steder sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør formelt sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør systematisk sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. Felles verdier utgjør effektivt og hensiktsmessig sammen med organisasjonens formål og visjoner organisasjonens grunnleggende identitet som former ledelsens og ansattes handlinger. 3 1 Verdiene og preferansene til toppledelsen påvirker ikke på organisasjonens målsettinger og systemer. Verdiene og preferansene til toppledelsen påvirker på organisasjonens målsettinger og systemer i enkelte enheter. Verdiene og preferansene til toppledelsen påvirker på organisasjonens målsettinger og systemer i mange steder. Verdiene og preferansene til toppledelsen påvirker systematisk på organisasjonens målsettinger og systemer i de fleste steder. Verdiene og preferansene til toppledelsen påvirker effektivt og hensiktsmessig på organisasjonens målsettinger og systemer i hele organisasjonen. 3 1 Ledelsens forventninger til atferd forstås ikke. Ledelsens forventninger til atferd forstås i enklete enheter. Ledelsens forventninger til atferd er formalisert og forstås av mange (cirka 50%) ansatte. Ledelsens forventninger til atferd forstås av de fleste ansatte. Ledelsens forventninger til atferd forstås i hele organisasjonen. 3 1 Ansattes faktiske atferd vurderes ikke av ledelsen og eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes i enkelte enheter av ledelsen men eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes formelt av ledelsen men eventuelle avvik håndteres ikke hensiktsmessig. Ansattes faktiske atferd vurderes systematisk av ledelsen og eventuelle avvik håndteres korrekt. Ansattes faktiske atferd vurderes effektivt og hensiktsmessig av ledelsen og eventuelle avvik håndteres i tåd med beste praksis. 3 1 Det er ikke etablert rutiner for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Det er etablert rutiner i enkelte enheter for effektiv kommunikasjon om etiske dilemmaer og usikkerhet i enkelte steder. Det er etablert formelle rutiner i mange steder for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves. Det er etablert systematiske rutiner for effektiv kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves i de fleste steder. Det er etablert effektive og hensiktsmessige rutiner for kommunikasjon om etiske dilemmaer og usikkerhet. Rutinene etterleves i hele organisasjonen. 3 1 Det eksisterer ikke en støttende miljø for å diskutere etiske dilemmaer. Det eksisterer forståelse for å diskutere etiske dilemmaer i enkelte enheter. Det eksisterer formelle rutiner i mange enheter som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves. Det eksisterer systematiske rutiner som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves i de fleste steder. Det eksisterer effektive og systematiske rutiner som støtter diskusjoner om etiske dilemmaer. Rutinene etterleves i hele organisasjonen. 3 1 Etiske verdier gir ikke uskrevne moralske atferdsregler som faktisk atferd måles mot. Etiske verdier gir uskrevne moralske atferdsregler i enkelte enheter som faktisk atferd måles mot. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd formelt måles mot. Verdiene etterleves i mange enheter. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd systematisk måles mot. Verdiene etterleves i de fleste enheter. Etiske verdier gir uskrevne moralske atferdsregler som faktisk atferd effektivt og systematisk måles mot. Veridene etterleves i hele organisasjonen. Personalpolitikk (COCO IK - B2) Personalpolitikken er i samsvar med organisasjonens etiske verdier Organisasjonens prestasjons- og belønningsystemer er ikke i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er til en viss grad i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er formelt i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er systematisert og i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer er helt i samsvar med organisasjonens etiske verdier. Organisasjonens prestasjons- og belønningsystemer bidrar ikke til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar til en viss grad til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar formelt til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar systematisk til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer bidrar effektivt og hensiktsmessig til måloppnåelse. Organisasjonens prestasjons- og belønningsystemer formidles ikke til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles til en viss grad til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles på en formell måte til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles systematisk til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer formidles "på en skikkelig måte" til medarbeiderne. Organisasjonens prestasjons- og belønningsystemer inkluderer ikke økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer inkluderer til en viss grad økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er formalisert og inkluderer økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er systematisert og inkluderer s økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjons- og belønningsystemer er effektivt og hensiktsmessig og inkluderer økonomiske og ikke-økonomiske insentiver og sanksjoner. Organisasjonens prestasjonsmåling sikrer ikke en ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer til en viss grad ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer ofte ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer ensartet praksis ved belønning. Organisasjonens prestasjonsmåling sikrer ikke balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer til en viss grad balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer ofte balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling sikrer balanse mellom kort- og langsiktige mål. Organisasjonens prestasjonsmåling medfører at enkeltpersoner anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ikke alltid anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ofte ikke anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører i de fleste tilfeller at enkeltpersoner ikke anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling medfører at enkeltpersoner ikke anklages for problemer som skyldes organisasjonen. Organisasjonens prestasjonsmåling kan gi belønninger itil den som ikke bør belønnes. Organisasjonens prestasjonsmåling sikrer til en viss grad at belønninger tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer at belønninger ofte tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer i de fleste tilfeller at belønninger tilbys til den som bør belønnes. Organisasjonens prestasjonsmåling sikrer at belønninger tilbys til den som bør belønnes. Myndighet, ansvar og den man blir holdt ansvarlig for (COCO IK - B3) Klar ansvarsdefinering som samsvarer med organisasjonens målsettinger Organisasjonen har ikke klart definert myndighet og ansvar i ulike roller. Organisasjonen har til definert myndighet og ansvar i noen roller. Organisasjonen har klart definert myndighet og ansvar i mange roller. Organisasjonen har klart definert myndighet og ansvar i de fleste roller. Organisasjonen har klart definert myndighet og ansvar i ulike roller. Myndighet og ansvar er ikke definert gjennom arbeidsinstrukser. Myndighet og ansvar er defineret gjennom arbeidsinstrukser til enkelte ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til mange ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til de fleste ansatte. Myndighet og ansvar er definert gjennom arbeidsinstrukser til alle ansatte. Organisasjonen har ikke synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse pr oblemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har til en viss grad synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand t il å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har synligjort en klar forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse pr oblemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Organisasjonen har systematisk synligjort en forventning om at dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Dersom en ansatt ikke føler at han eller hun er i stand til å løse problemet, så respekterer de aller fleste av organisasjonens ansatte at så er det hans eller hennes oppgave å finne en som har nødvendig kunnskap, ekspertise og myndighet til å koordinere oppgaven. Gjensidig tillit (COCO IK - B4) Klima av gjensidig tillit Organisasjonen har en klima hvor "uskyldige" feil ikke deles åpent. Organisasjonen har en viss bevissthet om at "uskyldige" feil deles åpent. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent i mange tilfeller. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent i de fleste tilfeller. Organisasjonen har etablert en klima hvor "uskyldige" feil deles åpent. Dyktighet og evne (Klarer å gjøre det) Kunnskap, ferdigheter og hjelpemidler (COCO IK - C1) Ansattes kunnskap, ferdigheter og hjelpemidler bidrar kontinuerlig til oppnåelse av organisasjonens målsettinger Personalpolitikken sikrer ikke at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Personalpolitikken sikrer til en vissi grad at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Virksomhetens personalpolicy inneholder formelle rutiner som sikrer at det ansettes personer med nødvendige ferdigheter, dyk tighet og evner. Virksomhetens personalpolicy inneholder formellle rutiner som sikrer at det ansettes systematisk personer med nødvendige ferdigheter, dyktighet og evner. Virksomhetens personalpolicy inneholder formelle rutiner som sikrer effektivt og hensiktsmessig at det ansettes personer med nødvendige ferdigheter, dyktighet og evner. Det evalueres ikke at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. Det evalueres til en viss grad at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. Det evalueres formelt at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov Det evalueressystematisk at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov Det evaluereseffektivt og hensiktsmessig at organisasjonens krav og tilgjengelige ressurser er i samsvar med organisasjonens behov. Opplæringen fokuserer ikke på forbedringen av individuelle prestasjoner og mellommenneskelige evner. Opplæringen fokuserer til en viss grad på forbedringen av individuelle prestasjoner og mellommenneskelige evner. Det er etablert formelle prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelige evner Det er etablert systematiske prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelig evner Det er etablert effektive og hensiktmessige prosesser som sikrer at opplæringen fokuserer på forbedringen av individuelle prestasjoner og mellommenneskelig evner. Det vurderes ikke kontinuerlig at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det gjøres visse vurderinger at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert formelle prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert systematiske prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Det er etablert effektive og hensiktsmessige prosesser som sikrer at de ansatte har tilgang til hensiktmessige og relevante hjelpemidler. Kommunikasjonsprosesser (COCO IK - C2 / King III) Kommunikasjonsprosessene støtter opp om organisasjonens verdier og bidrar til måloppnåelse Organisasjonen har ikke kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har kommunikasjonsprosesser som til en viss grad støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har formelle kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har systematiske kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har effektive og hensiktsmessige kommunikasjonsprosesser som støtter opp om en toveis, åpen kommunikasjon av relevant og pålitelig informasjon til rett tid. Organisasjonen har ikke etablert hensiktsmessige kommunikasjonsprosesser mot strategiske interessenter. Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot enkelte strategiske interessenter. Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot de fleste strategiske interessenter Organisasjonen har etablert hensiktsmessige kommunikasjonsprosesser mot alle strategiske interessenter Organisasjonen har etablert effektive og hensiktsmessige kommunikasjonsprosesser mot alle strategiske interessenter. Informasjonsformidling (COCO IK - C3) Identifisering og formidling av informasjon Det er ikke etablert rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert noen rutiner som bidrar til en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert formelle rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert systematiske rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Det er etablert effektive og henisktsmesisige rutiner som sikrer en åpen strøm av informasjon til rett tid både fra organisasjonen og utenfra. Samlet informasjon er ikke relevant, pålitelig, og tilgjengelig for organisasjonens beslutningstagere og samles ikke inn rask t. Samlet informasjon er til en viss grad relevant, pålitelig, og tilgjengelig for noen av organisasjonens beslutningstagere men samles ikke inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for organisasjonens noen beslutningstagere men samles ikke inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for de fleste av organisasjonens beslutningstagere men samles ikk e inn raskt. Samlet informasjon er relevant, pålitelig, og tilgjengelig for alle organisasjonens beslutningstagere og samles inn raskt. Koordinering (COCO IK - C4) Koordinering av avgjørelser Det er ikke etablert koordineringsaktiviteter som sikrer at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert noen koordineringsaktiviteter som medvirker til at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert formelle koordineringsaktiviteter som medvirker til er at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablert systematiske koordineringsaktiviteter som medvirker til at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Det er etablerteffektive og hensiktsmessige koordineringsaktiviteter som sikrer at graden av måloppnåelsen for lokale mål reduseres for å bidra til at organisasjonens overordnede målsettinger nås. Kontrollaktiviteter (COCO IK - C5) Integrering av kontrollaktiviteter Organisasjonens kontrollaktiviteter hensyntar ikke organisasjonens langsiktige og kortsiktige mål. Organisasjonens kontrollaktiviteter hensyntar til en viss grad organisasjonens langsiktige og kortsiktige mål. Organisasjonens kontrollaktiviteter hensyntar formelt organisasjonens langsiktige og kortsiktige mål Organisasjonens kontrollaktiviteter hensyntar systematisk organisasjonens langsiktige og kortsiktige mål Organisasjonens kontrollaktiviteter hensyntar effektivt og hensiktsmessig organisasjonens langsiktige og kortsiktige mål. Organisasjonens kontrollaktiviteter hensyntar ikke risikoen til å oppnå organisasjonens målsettinger. Organisasjonens kontrollaktiviteter hensyntar til en viss grad risikoen til å oppnå organisasjonens målsettinger. Organisasjonens kontrollaktiviteter hensyntar formelt risikoen til å oppnå organisasjonens målsettinger Organisasjonens kontrollaktiviteter hensyntar systematisk risikoen til å oppnå organisasjonens målsettinger Organisasjonens kontrollaktiviteter hensyntar effektivt og hensiktsmessig risikoen til å oppnå organisasjonens målsettinger. Organisasjonens kontrollaktiviteter tar ikke hensyn til kontrollelementenes innbyrdes forhold. Organisasjonens kontrollaktiviteter tar til en viss grad hensyn til kontrollelementenes innbyrdes forhold. Organisasjonens kontrollaktiviteter tar formelt hensyn til kontrollelementenes innbyrdes forhold Organisasjonens kontrollaktiviteter tar systematisk hensyn til kontrollelementenes innbyrdes forhold Organisasjonens kontrollaktiviteter tar effektivt og hensiktsmessig hensyn til kontrollelementenes innbyrdes forhold. Lederskap (OCEG) Ledelseskapasitet Organisasjonen har ikke beslutningsprosesser som også fungerer under usikkerhet. Noen av organisasjonens beslutningsprosesser fungerer også under usikkerhet. Organisasjonen har effektive beslutningsprosesser som også fungerer under usikkerhet Organisasjonen harsystematiske beslutningsprosesser som også fungerer under usikkerhet Organisasjonen har effektive og henisktsmessige beslutningsprosesser som også fungerer under usikkerhet. Overvåking, oppfølging og læring (For å forbedre seg) Overvåking av det interne og eksterne miljøet (COCO - D1) Justering av styringssignaler Organisasjonen har ikke etablert aktiviteter som sikrer at eksterne og interne endringer gir effekt i organisasjonens styring ssignaler. Organisasjonen har etablert noen aktiviteter som bidrar til å sikre at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert formelle aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert systematiske aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler Organisasjonen har etablert effekive og hensiktsmesisge aktiviteter som sikrer at eksterne eller interne endringer gir effekt i organisasjonens styringssignaler. Overvåking av prestasjoner (COCO - D2) Oppfølging av mål og indikatorer Organisasjonen har ikke etablert aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert noen aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert formelle aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til for tløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert systematiske aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Organisasjonen har etablert effektive og hensiktsmessige aktiviteter som sikrer at mål og indikatorer følges opp slik at det gir grunnlag til fortløpende og nødvendige tilpasninger i driften. Forutsetninger for målsettinger (COCO - D3) Revurderingen av målsettinger Organisasjonen har ikke etablert rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. Organisasjonen har etablert noen rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. Organisasjonen har etablert formelle rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert Organisasjonen har etablert systematiske rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert Organisasjonen har etablert effektive og hensiktsmessige rutiner som sikrer at grunnleggende forutsetninger til organisasjonens eksistens blir jevnlig revurdert. Informasjonssystemer / IT governance (COCO - D4) Endringsfleksibilitet i systemer Organisasjonen har ikke etablert rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle int eressenter og i systemene. Organisasjonen har etablert noen rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert formelle rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert systematiske rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. Organisasjonen har etablert effektive og hensiktsmessige rutiner som sikrer at endringer i målsettinger endrer informasjonsstrømmene til aktuelle interessenter og i systemene. IT styring (King III) Virksomheten mangler en IT strategi som støtter organisasjonens IT styring. Virksomheten har en IT strategi som støtter virksomhetens IIT relaterte prioriteringer. Virksomhetens IT strategi er tilpasset til virksomhetens behov og bidrar til å fastsette de årlige ressursmessige prioriteringene. Virksomhetens IT strategi brukes til å styre virksomhetens IT behov systematisk over flere år innen fastsatte budsjettrammer. Virksomhetens IT strategi støtter effektivt og hensiktsmessig organisasjonens IT behov i henhold til beste praksis. COBIT 5 rammeverk COBIT 5 prinsipper etterleves ikke, prosessene er ikke aktivert eller implementert COBIT 5 prinsippene etterleves, men prosessene er ikke aktivert eller implementert COBIT 5 prinsippene etterleves, prosessene er aktivert, men ikke implementert. COBIT 5 prinsippeme etterleves, prosessene er aktivert og implementert COBIT5 prinsipper etterleves, prosessene er aktivert og implementert effektivt og hensiktsmessig. Oppfølgingsrutiner (COCO - D5) Kvaliteten i oppfølgingsrutiner Organisasjonen har ikke etablert aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. Organisasjonen har etablert noen aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres Organisasjonen har etablert formelle aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. Organisasjonen har etablert systematiske aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres Organisasjonen har etablert effektive og henisiktsmessige aktiviteter som bekrefter at nødvendige endringer og handlinger implementeres. Evaluering av kontrollsystemet (COCO - D6) Kvaliteten i kontrollsystemet Organisasjonen har ikke etablert aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optima lt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert noen aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert formelle aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. Organisasjonen har etablert systematiske aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale kontrollsystemet er optimalt tilpasset til organisasjonens reelle behov Organisasjonen har etablert effektive og hensiktsmessige aktiviteter som kontinuerlig bekrefter at kvaliteten i det totale k ontrollsystemet er optimalt tilpasset til organisasjonens reelle behov. Internrevisjon (IA -CM) Internrevisjonens tjenester og rolle (King III) Ustrukturert. Isolert enkeltstående revisjonshandlinger. Etterlevelsesrevisjon. Rådgivningstjenester. Ytelse og "verdi for pengen" revisjoner. Samlet bekreftelse på styring, risikostyring og kontroll. Internrevisjonen er anerkjent som en viktig agent for endring og er styrets verktøy for å bli et effektivt virkemiddel til organisasjonens måloppnåelse i etater med egen styre. Styring av mennesker og ressurser Kvaliteten av leveranser avhengig av enklet menneskers ferdigheter som utfører arbeidet. Individuell faglig utvikling. Dyktige folk er identifisert og rekruttert. Teambygging og kompetanse. Faglig kvalifisert personale. Arbeidsstyrken koordineres. IR bidrar til lederutvikling. IR støtter aktivt fagmiljøer. Bemanningsplanlegging. Lederskapengasjement med profesjonelle organer. Arbeidsstyrke prosjeksjon. Profesjonell utøvelse Ingen konkret faglig praksis implementert unntatt det som er fastsatt av profesjonelle foreninger. Ingen krav til kompetanse. Profesjonell prkaiss og prosess rammeverk. Revisjonsplan er basert på interessenters prioriteringer. Kvalitetsstyringsrammeverk på plass. Risikobaserte revisjonsplaner. Revisjonsstrategien utnytter organisasjonens styring av risiko. Kontinuerlig forbedring i praksis. Strategisk planlegging i IR. Prestasjonsledelse og ansvarliggjøring Budsjett godkjent av ledelsen i henhold til ledelsens behovsvurdering. IR har driftsbudsjett og forretningsplan. Prestasjonsmål og risikovurderinger. Kostnadsinformasjon. Ledelsessrapporter. Integrering av kvalitative og kvantitative prestasjonsmål og resultatmålinger. Offentlig rapportering av IRs effektivitet. Organisatoriske relasjoner og kultur Revisorer er trolig en del av en annen organisatorisk enhet. Aktiviitetene til IR administreres innenfor IR funksjonen. Samordning av IRs aktiviteter med andre fagenheter som fortear vurderinger. Integrert del av ledelsen. Sjef for internrevisjonen gir råd og influerer toppledelsen. Effektive og kontinuerlige relasjoner. Styringsstrukturer Fravæer av infrastruktur Full tilgang til organisasjonens informasjon, eiendeler og folk. Etablerte rapproteringsrelasjoner. Ledelsesovervåking av IR aktiviteter. Finansieringsmekanismer. Uavhengig tilsyn med ir aktiviteten. Sjef for IR rapporterer til øverste myndighetsnivå. Internrevisjonaktiviteten har uavhengighet, makt og myndighet. 20

21 Presentasjonsmuligheter til ledelsen; egenvurdering i blått, og Internrevisjonens vurderinger i rødt 21

22 Royal Ministry of Defence 22

23 Del 3 - hvordan effektiv revisjon kan bygge på arbeid utført i linjen, av ekstern revisor og andre bekreftelsesfunksjoner. 23

24 UK desember 2012: modell med «tre forsvarslinjer» «There are significant benefits to improved co-ordination of assurance» Legg merke til sluttproduktet «Annual Governance Statement» 24

25 UK offentlig sektor, april 2013: krav om overordnede uttalelser 25

26 26

27 27

28 Royal Ministry of Defence Treforsvarslinjemodellen 28

29 29

30 2050 Samordning For å sikre nødvendig dekning og minst mulig dobbeltarbeid bør internrevisjonssjefen dele informasjon og samordne aktiviteter med andre interne og eksterne leverandører av bekreftelses- og rådgivningstjenester.

31 Royal Ministry of Defence 31

32 KROM står sentralt i vår metodikk (DefenceWay) 1. Revisjonsinstruks 2. Strategi 4. Kontinuerlig risikooppfølging og modenhetsvurdering (KROM) 3. Overordnet planlegging Oppdragsplanlegging Oppdragsgjennomføring Oppdragsrapportering 8. Overordnet rapportering 5.1 Bekr. 6.1 Rådg. 5.2 Bekr. 6.2 Rådg. 5.3 Bekr. 6.3 Rådg. 7. Forvaltning av varslingskanalen 9. Ledelse og administrasjon 4. Kontinuerlig risikooppfølging og modenhetsvurdering (KROM) 4.1 Hva er KROM? 4.2 KRO i praksis 4.3 M i praksis 4.4 KROMrapportering 32

33 KROM står sentralt i vår metodikk (DefenceWay) 33

34 Planlagt ressursbruk i 2014 Royal Ministry of Defence Total tidsfordeling Tidsfordeling på type kjerneleveranse 34

35 Royal Ministry of Defence Oppsummering 1. Internrevisjonen bør definitivt være en del virksomhetsstyringen i staten og vi kommer etter (saaaaaakte, men sikkert?) 2. Internrevisjonen er bare et av flere styringsverktøy. Vår profesjon har omfavnet treforsvarslinjekonseptet, og vi mener at det er mye å hente på en bedre koordinering av den samlede «kontrollinnsatsen» 3. Vår erfaring så langt er at vurdering av modenhet innenfor styring og kontroll gir det beste grunnlaget for kontinuerlig forbedring i virksomheten. Årsrapportene skal nå omtale styring og kontroll 4. I Storbritannia har staten valgt å kjøre et tøft løp med spesifikke krav og bygging av sentraliserte enheter, bl.a. av internrevisjonsverktøyet. Selv om modellen ikke passer hos oss så er det interessante vurderinger her 5. En optimalisering av samfunnets samlede kontrollinnsats inkluderer Riksrevisjonen. Vi er nå i sluttfasen på å formalisere dette i forsvarssektorens revisjonsstrategi jfr. den tidligere internrevisjonsstrategien 35