Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Like dokumenter
VEDLEGG 2 Høgskolen i Oslo og Akershus Risikovurdering for HiOA. 1 Bakgrunn. 2 Innføring av risikostyring ved HiOA

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Retningslinje for risikostyring for informasjonssikkerhet

Styret ved Vestre Viken HF 015/

Rammeverk for risikostyring i Helse Midt-Norge

Direktør Marianne Andreassen

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Styret ved Vestre Viken HF 048/ Trykte vedlegg: 1. Risikovurdering i matrise (2) 2. Tiltaksplan

Risikostyring Intern veiledning

Veiledning- policy for internkontroll

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Aggregering av risiko - behov og utfordringer i risikostyringen

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Ny styringsmodell for informasjonssikkerhet og personvern

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Statens økonomistyring som middel til å hindre systemsvikt

VIRKSOMHETS- OG ØKONOMIINSTRUKS FOR STATENS LÅNEKASSE FOR UTDANNING. Gjelder fra

Gjelder fra: Godkjent av: Fylkesrådet

Hvor ligger Forsvarets utfordringer for å bli ledende i forvaltningen mht. økonomistyring

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikovurderinger fra departementets perspektiv

Risikostyring og intern kontroll i statlige virksomheter

Tabell: Ansvar, roller og oppgaver knyttet særlig til arbeid med kvalitetsrapport og kvalitetsutvikling

Retningslinjer for risikostyring i. Helse Nord. Versjon 1.0

GOD VIRKSOMHETSSTYRING. Helhetlig plan for virksomhetsstyring 2014

DET KONGELIGE KUNNSKAPSDEPARTEMENT

Risikostyringsprosessen

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Styringssystem og internkontroll i SSHF

Overordnete føringer for å ivareta kompetansestyringen må utarbeides.

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Saksframlegg. Styret Pasientreiser HF 30/10/2017. SAK NR Halvårlig risikovurdering, Pasientreiser HF per oktober 2017

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

VEDTAK: 1. Styret tar Oppdrags- og bestillingsdokumentet for 2011 til etterretning.

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet

Prinsipper for virksomhetsstyring i Oslo kommune

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for konsernrevisjonen Helse Sør-Øst

Hvordan sikre seg at man gjør det man skal?

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Styret i Sykehusinnkjøp HF 16.juni 2017

HELSE MIDT-NORGE RHF STYRET. Sak 22/11 Oppfølging og risikovurdering av eiers samlede styringsbudskap 2011

Saksframlegg Referanse

Helhetlig risikostyring i praksis

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

SIBA-seminar: Styring av ulykkesrisiko i BAprosjekter

Risikostyring i det offentlige Norge et bidrag til måloppnåelse og trygghet

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Statlig økonomistyring - styrket og forbedret. Direktør Marianne Andreassen

Egenevaluering av internkontrollen

RISIKOANALYSER Seniorrådgiver Arild Johansen Sola Strandhotell 30. mars 2011

R102 Retningslinjer for gjennomføring av risikovurderinger

Hva er risikostyring?

Saksdokumenter: KR 23.1/11 Årsplan KR sak doc. Årsplan 2011 for de sentralkirkelige råd

Integrering av IT i virksomhetens helhetlige risikostyring

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt. ANS til etterretning.

Styret ved Vestre Viken HF 052/

Internkontroll i Gjerdrum kommune

Risiko og sårbarhetsanalyser

AMBULANSE MIDT-NORGE HF STYRET. Sak 43/13 Statusrapportering styringsdokument og foretaksprotokoll 2.tertial 2013

Fra sikkerhetsledelse til handling ambisjoner og forventninger

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Styrende dokumenter for internkontroll og risikostyring i Sykehusinnkjøp

Avito Bridging the gap

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Instruks om økonomi- og virksomhetsstyring for Vitenskapskomiteen for mattrygghet

VIRKSOMHETS OG ØKONOMIINSTRUKS FOR METEOROLOGISK INSTITUTT. i Oslo ( " Åm?

Oslo universitetssykehus HF

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Styresak GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF

Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Rådmannens internkontroll - hva kan kontrollutvalgene forvente?

Årsplan for de de sentralkirkelige råd KR, MKR og SKR

Risikostyring i staten

Underveisevalueringen Orientering i LAMU 10.juni 2015

Ansvaret for NTNU har et overordnet system for virksomhetsstyring (strukturer, prosesser og verktøy).

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Instruks for administrerende direktør. Akershus universitetssykehus HF. Vedtatt i styremøte

Instruks for økonomi- og virksomhetsstyringen i. Likestillings- og diskrimineringsombudet

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Internrevisjonsrapport 01/2017. Risikostyring i Helse Nord

Instruks. Økonomi- og virksomhetsstyring i Norges vassdrags- og energidirektorat

Transkript:

Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere, vurdere og håndtere risikoer som kan hindre virksomheten i å nå sine mål. Retningslinjene beskriver et rammeverk for risikostyringen med prosesser så vel som roller og ansvar for gjennomføring. Krav og føringer for risikostyringen følger av Økonomiregelverket i staten som inneholder gjennomgående krav om at all styring, oppfølging, kontroll og forvaltning i staten skal tilpasses virksomhetens egenart samt risiko og vesentlighet 1. Videre skal Kunnskapsdepartementet sikre at underliggende virksomheter har etablert en forsvarlig risikostyring og internkontroll, og Kunnskapsdepartementet fastslår også at risikostyring skal være en integrert del av mål- og resultatstyringen 2. Styret, som øverste organ ved HiOA, har ansvar for at institusjonen drives i overensstemmelse med de lover, forskrifter og regler som gjelder 3. Virksomhetens ledelse skal sørge for at det er etablert en forsvarlig risikostyring og internkontroll i virksomheten, og påse at den fungerer på en tilfredsstillende måte. Risikostyring er et verktøy som skal bidra til å: forebygge og begrense uønskede hendelser fokusere virksomhetsstyringen mot vesentlige risikoområder som kan hindre måloppnåelse effektivisere og spisse styringsdialogen tilfredsstille krav i økonomiregelverket Risikostyringen skal hjelpe ledelsen til å ta bedre beslutninger gjennom blant annet å synligjøre usikkerheter og svakheter samt tydeliggjøre hvilke risikoer som må/bør reduseres/styres og hvilke risikoer som kan aksepteres. 2 Risikostyring som del av virksomhetsstyringen ved HiOA Risikostyring inngår som en del av virksomhetsstyringen og de ordinære styringsprosessene ved HiOA. Risikovurderinger skal inngå i grunnlaget for plan- og budsjettprosesser både på HiOA-nivå og på enhetsnivå. Vesentlige risikoer blir adressert gjennom vurdering og prioritering av risikoreduserende tiltak i planprosessen. Midler til nødvendige risikoreduserende tiltak må vurderes i budsjettet og ved fordeling av strategimidler. Risikostyring er også en viktig del av styringsdialogene med enhetene. 1 Reglement for økonomistyring i staten. Bestemmelser om økonomistyring i staten. Fastsatt 12. desember 2003 med endringer, senest 5. november 2015 2 Orientering om statsbudsjettet 2017 for universitet og høgskolar 3 Lov om universiteter og høyskoler. Kapittel 9. Styret 1

Risikostyring skal ikke kun være knyttet opp mot oppnåelse av strategiske mål for HiOA, men skal også ivareta risikoer knyttet til driftsfunksjoner. Dette kan omfatte evne til effektiv ressursbruk, etterlevelse av lover og regler, sikkerhet for virksomhetens eiendeler, HMS, informasjonssikkerhet og styringsevne. 3 Prosess for risikostyring i HiOA HiOA har etablert en modell for risikostyring som viser hvordan risikostyring og risikoreduserende tiltak skal følges opp som en del av eksisterende virksomhetsrapportering. Nedenfor presenteres modellen i form av et årshjul for risikostyring. Figur 1: Årshjul for risikostyring Som modellen viser gjennomføres risikostyringen ved HiOA i fire faser gjennom året. Nedenfor beskrives kort hovedaktivitetene i hver fase. Det vises til «Rutine for gjennomføring av risikostyring» for nærmere beskrivelser av aktiviteter og leveranser i hver fase. 3.1 Risikovurderinger Seksjon for økonomi- og virksomhetsstyring vurderer ved årets begynnelse hvorvidt det er behov for endringer i metodeverk for risikostyring 4. Eventuelle endringer skal godkjennes av direktør for organisasjon og virksomhetsstyring, og besluttede endringer kommuniseres ut til relevante enheter. Gjennom vårhalvåret skal det gjennomføres identifisering og vurdering av vesentlige risikoer på alle fakultet og senter, prorektor for forskning og utviklingsarbeid, prorektor for utdanning, samt 4 5 Vedlegg metodeverk for risikostyring 2

avdelinger for digitalisering og infrastruktur og organisasjon og virksomhetsstyring (enheter). Ledere for disse enhetene er ledere nivå 2 i virksomheten. Resultatene inkludert risikobilde fra gjennomgangene i hver enhet sendes til seksjon for økonomi- og virksomhetsstyring. Risikobilde behandles som tema i vårens styringsdialog med enhetene. En grundig evaluering av effekten av iverksatte tiltak skal gjennomføres hvert tredje år. Evalueringen skal gjennomføres på enhetsnivå og presenteres i forbindelse med styringsdialogen. 3.2 Overordnet risikobilde Basert på risikovurderingene fra enhetene foretar seksjon for økonomi- og virksomhetsstyring en sammenstilling og aggregering av vesentlige risikoer på virksomhetsnivå. Risikobilde på virksomhetsnivå presenteres for institusjonsledelsen for drøfting. Etter rektors godkjennelse av risikobilde, får styret overordnet risikovurdering til orientering i vedlegg til styresaken om foreløpige rammer for langtidsplan og budsjett i juni. 3.3 Vurderinger og prioriteringer av tiltak Basert på enhetenes risikokart, HiOAs risikobilde og eventuelle føringer fra rektor og styret, vurderes og prioriteres tiltak for alle røde og gule risikoer som del av plan- og budsjettprosessene. Virksomhetsomfattende risikoer koordineres og følges opp av risikoeier 5. Leder på nivå 2 er ansvarlig for oppfølging av risikoer som gjelder for enkeltenheter. Vurderinger og prioriteringer av tiltak behandles som tema i høstens styringsdialogmøter. Dersom det besluttes å ikke sette inn konkrete tiltak for en rød risiko, må dette godkjennes av rektor. 3.4 Tiltaksplan Seksjon for økonomi- og virksomhetsstyring registrerer planlagte risikoreduserende tiltak og foretar en helhetlig vurdering av behov for ytterligere koordinering av tiltak på tvers av enhetene. Rektor godkjenner overordnet tiltaksplan for HiOA. Oversikt over vesentlige tiltak for håndtering av risikoene på HiOA-nivå legges ved langtidsplan og budsjett som presenteres for styret i desember. Besluttede tiltak gjennomføres over ulike tidsrom (gjerne over flere år) og skjer løpende gjennom året. Status for gjennomføring av risikoreduserende tiltak vil følges opp gjennom styringsdialog, tertial- og årsrapportering og vil være viktig input for neste års risikovurderinger. 3.5 Andre aktiviteter for risikostyring I tillegg til de årlige prosessene beskrevet i dette dokumentet gjennomføres også andre prosesser for identifisering, vurdering og håndtering av risikoer gjennom året. Det er egne prosesser for risikostyring knyttet til Informasjonssikkerhet, Helse, miljø og sikkerhet (HMS) og i prosjektgjennomføring. Det foretas også risikovurderinger innenfor spesifikke områder etter behov som oppstår i virksomheten (ROS analyser etc.). Systematiske og vesentlige risikoer som fremkommer i disse underliggende prosessene kan bli vurdert til å inkluderes i HiOAs risikobilde. 4 Roller og ansvar 5 4 Roller og ansvar 3

Styret får rektors overordnede risikovurdering til orientering i vedlegg til styresaken om foreløpige rammer for langtidsplan og budsjett i juni. Styret får også oversikt over vesentlige risikoreduserende tiltak til orientering i saken om langtidsplan og -budsjett i desember. Rektor har ansvar for at organisasjonen har et rammeverk for helhetlig risikostyring, og er eier av rammeverket som beskrevet i retningslinjene. Rektor godkjenner årlig aggregert risikobilde på HiOA nivå og beslutter overordnet tiltaksplan. Rektor har et særlig ansvar for å følge opp tiltak rettet mot de alvorligste risikoene. Kun rektor har myndighet til å godkjenne tilfeller der en enhet foreslår å ikke sette inn risikoreduserende tiltak for røde risikoer i enhetens risikokart. Risikoeier har ansvar for beslutning og oppfølging av tiltak. Ledere på nivå 2 er risikoeiere for risikoer på enhetsnivå. For risikoområder i virksomhetsomfattende risikobilde beslutter rektor hvem som er risikoeier. Risikoeier har ansvar for at det foretas årlig identifisering og vurdering av vesentlige risikoene for sin enhet i henhold til etablert rammeverk for risikostyring. Risikoeier er også ansvarlig for at risikoreduserende tiltak vurderes, prioriteres og besluttes som del av årlig plan- og budsjettprosesser, samt at risikoene følges opp gjennom handlingsplaner og lederoppfølging. Direktør for organisasjon og virksomhetsstyring har ansvaret for forvaltning av rammeverket for risikostyring ved HiOA, og herunder metodeverk samt å påse at prosesser i årshjulet for risikostyring gjennomføres. Seksjon for økonomi- og virksomhetsstyring bistår virksomheten med å fasilitere prosessen for risikostyring i enhetene i henhold til rammeverket. Hovedoppgaver inkluderer å følge opp at enhetene gjennomfører årlige risikovurderinger og fasilitere dette etter ønsker fra enhetene, forberede og fasilitere gjennomgang av aggregert risikokart med institusjonsledelsen, forberede input til årlige plan- og budsjettprosesser, samt følge opp at tiltak vurderes for alle røde og gule risikoer i forbindelse med plan- og budsjettprosessene. Seksjonen er også eier og forvalter av HiOAs risikoregister, hvor identifiserte risikoer fra nivå 2 enhetene og på virksomhetsnivå skal dokumenteres med vurderinger, risikokart og tiltak. 4

5 Vedlegg metodeverk for risikostyring Risiko betyr i denne sammenheng usikkerhet, utfordringer eller potensielle hendelser som kan true måloppnåelse eller omdømme. På enhetsnivå er risikoene mer detaljerte og presise, mens de på aggregert nivå er samlet under bredere hovedtemaer. Med enheter menes alle fakultet og senter, prorektor for forskning og utviklingsarbeid, prorektor for utdanning, samt avdelinger for digitalisering og infrastruktur og organisasjon og virksomhetsstyring. Risikovurderinger på enhetsnivå På enhetsnivå blir risikoer vurdert i forhold til sannsynlighet og konsekvens. Risikoer vurderes ut fra skalaer fra 1 til 3 for sannsynlighet for at hendelsen/utfordringen oppstår og konsekvensen dersom hendelsen/utfordringen skulle oppstå. Risikoens kritikalitet bestemmes ut fra plassering i en risikomatrise ved bruk av tre ulike fargekoder for grønt, gult og rødt. Skala for å vurdere sannsynlighet: Sannsynlighet Frekvens 3 Høy sannsynlighet Skjer i dag eller vil trolig inntreffe i løpet av neste 2 Middels sannsynlighet Vil kanskje inntreffe i løpet av neste 1 Lav sannsynlighet Vil trolig ikke inntreffe i løpet av neste Skala for å vurdere konsekvenser: Mulige konsekvenser dersom en hendelse/utfordring skulle oppstå vurderes ut fra graden av negativ påvirkningen det kan få for oppnåelse av virksomhetens mål og/eller graden av negativ påvirkning det kan få på omdømmet til HiOA. 5

Konsekvens Måloppnåelse og omdømme 3 Svært alvorlig konsekvens Vil i stor grad påvirke evne til Vil kunne føre til stort omdømmetap i lengre tid 2 Betydelig konsekvens Vil i betydelig grad påvirke evne til Vil kunne føre til betydelig omdømmetap i en periode 1 Liten konsekvens Vil i liten grad påvirke evne til Vil i liten grad kunne påvirke omdømmet til HiOA negativt Risikomatrise for plassering av risikoer ut fra vurderinger av sannsynlighet og konsekvens: Høy sannsynlighet Skjer i dag eller vil trolig inntreffe i løpet av neste Middels sannsynlighet Vil kanskje inntreffe i løpet av neste Lav sannsynlighet Vil trolig ikke inntreffe i løpet av neste Liten konsekvens - Vil i liten grad påvirke evne til - Vil i liten grad kunne påvirke omdømmet til HiOA negativt Betydelig konsekvens - Vil i betydelig grad påvirke evne til - Vil kunne føre til betydelig omdømmetap i en periode Svært alvorlig konsekvens - Vil i stor grad påvirke evne til - Vil kunne føre til stort omdømmetap i lengre tid Risikomatrisen har tre fargekoder som indikerer risikotoleranse og gir føringer for risikohåndtering. Følgende behandlingsregler for håndtering av risikoer er gjeldende på enhetsnivå: Høyt risikonivå Risikoreduserende tiltak må iverksettes. Rektor har adgang til å akseptere rød risiko uten tiltak. Moderat risikonivå Risikoen er i utgangspunktet ikke akseptabel, men tiltak må vurderes ut fra en kost-nytte betraktning. Risikoeier kan akseptere gul risiko uten tiltak. Lavt risikonivå. Risikoen er akseptabel og anses håndterbar. Nye tiltak er ikke påkrevet. 6

Risikovurderinger på virksomhetsnivå I forbindelse med vurderinger av risikoer på virksomhetsnivå blir de vesentlige risikoene på enhetsnivå aggregert til bredere og mer overordnede risikoområder som hver dekker mange underliggende enkeltrisikoer. Av den grunn har HiOA valgt en justert skala for sannsynlighet, der «sannsynlighet» er erstattet av «aktualitet». Graden av aktualitet angir i hvilken grad risikoområdet forventes å være et vesentlig risikotema for ledelsens oppfølging av virksomheten i løpet av neste. Risikomatrisen som brukes ved risikovurderinger på HiOA-nivå blir dermed som vist nedenfor. Høy aktualitet Skjer i dag eller vil trolig bli en aktuell utfordring/situasjon i løpet av neste Middels aktualitet Vil kanskje bli en aktuell utfordring/ situasjon i løpet av neste Lav aktualitet Vil trolig ikke bli en aktuell utfordring/ situasjon i løpet av neste Liten konsekvens - Vil i liten grad påvirke evne til - Vil i liten grad kunne påvirke omdømmet til HiOA negativt Betydelig konsekvens - Vil i betydelig grad påvirke evne til - Vil kunne føre til betydelig omdømmetap i en periode Svært alvorlig konsekvens - Vil i stor grad påvirke evne til - Vil kunne føre til stort omdømmetap i lengre tid Risikoområder på HiOA-nivå dekker ofte risikoer som er relevante i flere enheter eller på tvers av alle enhetene, og håndtering av risikoområdene bør derfor i større grad koordineres på virksomhetsnivå. Følgende behandlingsregler for håndtering av risikoer er gjeldende på HiOA-nivå: Høyt risikonivå Moderat risikonivå Lavt risikonivå Risikotema det må tas tak i. Rektor må akseptere og følge opp tiltakene. Risikoer det bør tas tak i. Ledere i rektors ledergruppe må akseptere og følge opp tiltakene innenfor sine respektive områder. Risikoen er tilfredsstillende håndtert eller ikke vesentlig på virksomhetsnivå. Eventuelle tiltak og tilhørende oppfølging gjøres på enhetsnivå. 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding