Retningslinjer for risikostyring ved HiOA Dato siste revisjon: 28.11.2017 1 Hensikt, bakgrunn og mål Hensikten med dette dokumentet er å bidra til at HiOA har en strukturert tilnærming for å identifisere, vurdere og håndtere risikoer som kan hindre virksomheten i å nå sine mål. Retningslinjene beskriver et rammeverk for risikostyringen med prosesser så vel som roller og ansvar for gjennomføring. Krav og føringer for risikostyringen følger av Økonomiregelverket i staten som inneholder gjennomgående krav om at all styring, oppfølging, kontroll og forvaltning i staten skal tilpasses virksomhetens egenart samt risiko og vesentlighet 1. Videre skal Kunnskapsdepartementet sikre at underliggende virksomheter har etablert en forsvarlig risikostyring og internkontroll, og Kunnskapsdepartementet fastslår også at risikostyring skal være en integrert del av mål- og resultatstyringen 2. Styret, som øverste organ ved HiOA, har ansvar for at institusjonen drives i overensstemmelse med de lover, forskrifter og regler som gjelder 3. Virksomhetens ledelse skal sørge for at det er etablert en forsvarlig risikostyring og internkontroll i virksomheten, og påse at den fungerer på en tilfredsstillende måte. Risikostyring er et verktøy som skal bidra til å: forebygge og begrense uønskede hendelser fokusere virksomhetsstyringen mot vesentlige risikoområder som kan hindre måloppnåelse effektivisere og spisse styringsdialogen tilfredsstille krav i økonomiregelverket Risikostyringen skal hjelpe ledelsen til å ta bedre beslutninger gjennom blant annet å synligjøre usikkerheter og svakheter samt tydeliggjøre hvilke risikoer som må/bør reduseres/styres og hvilke risikoer som kan aksepteres. 2 Risikostyring som del av virksomhetsstyringen ved HiOA Risikostyring inngår som en del av virksomhetsstyringen og de ordinære styringsprosessene ved HiOA. Risikovurderinger skal inngå i grunnlaget for plan- og budsjettprosesser både på HiOA-nivå og på enhetsnivå. Vesentlige risikoer blir adressert gjennom vurdering og prioritering av risikoreduserende tiltak i planprosessen. Midler til nødvendige risikoreduserende tiltak må vurderes i budsjettet og ved fordeling av strategimidler. Risikostyring er også en viktig del av styringsdialogene med enhetene. 1 Reglement for økonomistyring i staten. Bestemmelser om økonomistyring i staten. Fastsatt 12. desember 2003 med endringer, senest 5. november 2015 2 Orientering om statsbudsjettet 2017 for universitet og høgskolar 3 Lov om universiteter og høyskoler. Kapittel 9. Styret 1
Risikostyring skal ikke kun være knyttet opp mot oppnåelse av strategiske mål for HiOA, men skal også ivareta risikoer knyttet til driftsfunksjoner. Dette kan omfatte evne til effektiv ressursbruk, etterlevelse av lover og regler, sikkerhet for virksomhetens eiendeler, HMS, informasjonssikkerhet og styringsevne. 3 Prosess for risikostyring i HiOA HiOA har etablert en modell for risikostyring som viser hvordan risikostyring og risikoreduserende tiltak skal følges opp som en del av eksisterende virksomhetsrapportering. Nedenfor presenteres modellen i form av et årshjul for risikostyring. Figur 1: Årshjul for risikostyring Som modellen viser gjennomføres risikostyringen ved HiOA i fire faser gjennom året. Nedenfor beskrives kort hovedaktivitetene i hver fase. Det vises til «Rutine for gjennomføring av risikostyring» for nærmere beskrivelser av aktiviteter og leveranser i hver fase. 3.1 Risikovurderinger Seksjon for økonomi- og virksomhetsstyring vurderer ved årets begynnelse hvorvidt det er behov for endringer i metodeverk for risikostyring 4. Eventuelle endringer skal godkjennes av direktør for organisasjon og virksomhetsstyring, og besluttede endringer kommuniseres ut til relevante enheter. Gjennom vårhalvåret skal det gjennomføres identifisering og vurdering av vesentlige risikoer på alle fakultet og senter, prorektor for forskning og utviklingsarbeid, prorektor for utdanning, samt 4 5 Vedlegg metodeverk for risikostyring 2
avdelinger for digitalisering og infrastruktur og organisasjon og virksomhetsstyring (enheter). Ledere for disse enhetene er ledere nivå 2 i virksomheten. Resultatene inkludert risikobilde fra gjennomgangene i hver enhet sendes til seksjon for økonomi- og virksomhetsstyring. Risikobilde behandles som tema i vårens styringsdialog med enhetene. En grundig evaluering av effekten av iverksatte tiltak skal gjennomføres hvert tredje år. Evalueringen skal gjennomføres på enhetsnivå og presenteres i forbindelse med styringsdialogen. 3.2 Overordnet risikobilde Basert på risikovurderingene fra enhetene foretar seksjon for økonomi- og virksomhetsstyring en sammenstilling og aggregering av vesentlige risikoer på virksomhetsnivå. Risikobilde på virksomhetsnivå presenteres for institusjonsledelsen for drøfting. Etter rektors godkjennelse av risikobilde, får styret overordnet risikovurdering til orientering i vedlegg til styresaken om foreløpige rammer for langtidsplan og budsjett i juni. 3.3 Vurderinger og prioriteringer av tiltak Basert på enhetenes risikokart, HiOAs risikobilde og eventuelle føringer fra rektor og styret, vurderes og prioriteres tiltak for alle røde og gule risikoer som del av plan- og budsjettprosessene. Virksomhetsomfattende risikoer koordineres og følges opp av risikoeier 5. Leder på nivå 2 er ansvarlig for oppfølging av risikoer som gjelder for enkeltenheter. Vurderinger og prioriteringer av tiltak behandles som tema i høstens styringsdialogmøter. Dersom det besluttes å ikke sette inn konkrete tiltak for en rød risiko, må dette godkjennes av rektor. 3.4 Tiltaksplan Seksjon for økonomi- og virksomhetsstyring registrerer planlagte risikoreduserende tiltak og foretar en helhetlig vurdering av behov for ytterligere koordinering av tiltak på tvers av enhetene. Rektor godkjenner overordnet tiltaksplan for HiOA. Oversikt over vesentlige tiltak for håndtering av risikoene på HiOA-nivå legges ved langtidsplan og budsjett som presenteres for styret i desember. Besluttede tiltak gjennomføres over ulike tidsrom (gjerne over flere år) og skjer løpende gjennom året. Status for gjennomføring av risikoreduserende tiltak vil følges opp gjennom styringsdialog, tertial- og årsrapportering og vil være viktig input for neste års risikovurderinger. 3.5 Andre aktiviteter for risikostyring I tillegg til de årlige prosessene beskrevet i dette dokumentet gjennomføres også andre prosesser for identifisering, vurdering og håndtering av risikoer gjennom året. Det er egne prosesser for risikostyring knyttet til Informasjonssikkerhet, Helse, miljø og sikkerhet (HMS) og i prosjektgjennomføring. Det foretas også risikovurderinger innenfor spesifikke områder etter behov som oppstår i virksomheten (ROS analyser etc.). Systematiske og vesentlige risikoer som fremkommer i disse underliggende prosessene kan bli vurdert til å inkluderes i HiOAs risikobilde. 4 Roller og ansvar 5 4 Roller og ansvar 3
Styret får rektors overordnede risikovurdering til orientering i vedlegg til styresaken om foreløpige rammer for langtidsplan og budsjett i juni. Styret får også oversikt over vesentlige risikoreduserende tiltak til orientering i saken om langtidsplan og -budsjett i desember. Rektor har ansvar for at organisasjonen har et rammeverk for helhetlig risikostyring, og er eier av rammeverket som beskrevet i retningslinjene. Rektor godkjenner årlig aggregert risikobilde på HiOA nivå og beslutter overordnet tiltaksplan. Rektor har et særlig ansvar for å følge opp tiltak rettet mot de alvorligste risikoene. Kun rektor har myndighet til å godkjenne tilfeller der en enhet foreslår å ikke sette inn risikoreduserende tiltak for røde risikoer i enhetens risikokart. Risikoeier har ansvar for beslutning og oppfølging av tiltak. Ledere på nivå 2 er risikoeiere for risikoer på enhetsnivå. For risikoområder i virksomhetsomfattende risikobilde beslutter rektor hvem som er risikoeier. Risikoeier har ansvar for at det foretas årlig identifisering og vurdering av vesentlige risikoene for sin enhet i henhold til etablert rammeverk for risikostyring. Risikoeier er også ansvarlig for at risikoreduserende tiltak vurderes, prioriteres og besluttes som del av årlig plan- og budsjettprosesser, samt at risikoene følges opp gjennom handlingsplaner og lederoppfølging. Direktør for organisasjon og virksomhetsstyring har ansvaret for forvaltning av rammeverket for risikostyring ved HiOA, og herunder metodeverk samt å påse at prosesser i årshjulet for risikostyring gjennomføres. Seksjon for økonomi- og virksomhetsstyring bistår virksomheten med å fasilitere prosessen for risikostyring i enhetene i henhold til rammeverket. Hovedoppgaver inkluderer å følge opp at enhetene gjennomfører årlige risikovurderinger og fasilitere dette etter ønsker fra enhetene, forberede og fasilitere gjennomgang av aggregert risikokart med institusjonsledelsen, forberede input til årlige plan- og budsjettprosesser, samt følge opp at tiltak vurderes for alle røde og gule risikoer i forbindelse med plan- og budsjettprosessene. Seksjonen er også eier og forvalter av HiOAs risikoregister, hvor identifiserte risikoer fra nivå 2 enhetene og på virksomhetsnivå skal dokumenteres med vurderinger, risikokart og tiltak. 4
5 Vedlegg metodeverk for risikostyring Risiko betyr i denne sammenheng usikkerhet, utfordringer eller potensielle hendelser som kan true måloppnåelse eller omdømme. På enhetsnivå er risikoene mer detaljerte og presise, mens de på aggregert nivå er samlet under bredere hovedtemaer. Med enheter menes alle fakultet og senter, prorektor for forskning og utviklingsarbeid, prorektor for utdanning, samt avdelinger for digitalisering og infrastruktur og organisasjon og virksomhetsstyring. Risikovurderinger på enhetsnivå På enhetsnivå blir risikoer vurdert i forhold til sannsynlighet og konsekvens. Risikoer vurderes ut fra skalaer fra 1 til 3 for sannsynlighet for at hendelsen/utfordringen oppstår og konsekvensen dersom hendelsen/utfordringen skulle oppstå. Risikoens kritikalitet bestemmes ut fra plassering i en risikomatrise ved bruk av tre ulike fargekoder for grønt, gult og rødt. Skala for å vurdere sannsynlighet: Sannsynlighet Frekvens 3 Høy sannsynlighet Skjer i dag eller vil trolig inntreffe i løpet av neste 2 Middels sannsynlighet Vil kanskje inntreffe i løpet av neste 1 Lav sannsynlighet Vil trolig ikke inntreffe i løpet av neste Skala for å vurdere konsekvenser: Mulige konsekvenser dersom en hendelse/utfordring skulle oppstå vurderes ut fra graden av negativ påvirkningen det kan få for oppnåelse av virksomhetens mål og/eller graden av negativ påvirkning det kan få på omdømmet til HiOA. 5
Konsekvens Måloppnåelse og omdømme 3 Svært alvorlig konsekvens Vil i stor grad påvirke evne til Vil kunne føre til stort omdømmetap i lengre tid 2 Betydelig konsekvens Vil i betydelig grad påvirke evne til Vil kunne føre til betydelig omdømmetap i en periode 1 Liten konsekvens Vil i liten grad påvirke evne til Vil i liten grad kunne påvirke omdømmet til HiOA negativt Risikomatrise for plassering av risikoer ut fra vurderinger av sannsynlighet og konsekvens: Høy sannsynlighet Skjer i dag eller vil trolig inntreffe i løpet av neste Middels sannsynlighet Vil kanskje inntreffe i løpet av neste Lav sannsynlighet Vil trolig ikke inntreffe i løpet av neste Liten konsekvens - Vil i liten grad påvirke evne til - Vil i liten grad kunne påvirke omdømmet til HiOA negativt Betydelig konsekvens - Vil i betydelig grad påvirke evne til - Vil kunne føre til betydelig omdømmetap i en periode Svært alvorlig konsekvens - Vil i stor grad påvirke evne til - Vil kunne føre til stort omdømmetap i lengre tid Risikomatrisen har tre fargekoder som indikerer risikotoleranse og gir føringer for risikohåndtering. Følgende behandlingsregler for håndtering av risikoer er gjeldende på enhetsnivå: Høyt risikonivå Risikoreduserende tiltak må iverksettes. Rektor har adgang til å akseptere rød risiko uten tiltak. Moderat risikonivå Risikoen er i utgangspunktet ikke akseptabel, men tiltak må vurderes ut fra en kost-nytte betraktning. Risikoeier kan akseptere gul risiko uten tiltak. Lavt risikonivå. Risikoen er akseptabel og anses håndterbar. Nye tiltak er ikke påkrevet. 6
Risikovurderinger på virksomhetsnivå I forbindelse med vurderinger av risikoer på virksomhetsnivå blir de vesentlige risikoene på enhetsnivå aggregert til bredere og mer overordnede risikoområder som hver dekker mange underliggende enkeltrisikoer. Av den grunn har HiOA valgt en justert skala for sannsynlighet, der «sannsynlighet» er erstattet av «aktualitet». Graden av aktualitet angir i hvilken grad risikoområdet forventes å være et vesentlig risikotema for ledelsens oppfølging av virksomheten i løpet av neste. Risikomatrisen som brukes ved risikovurderinger på HiOA-nivå blir dermed som vist nedenfor. Høy aktualitet Skjer i dag eller vil trolig bli en aktuell utfordring/situasjon i løpet av neste Middels aktualitet Vil kanskje bli en aktuell utfordring/ situasjon i løpet av neste Lav aktualitet Vil trolig ikke bli en aktuell utfordring/ situasjon i løpet av neste Liten konsekvens - Vil i liten grad påvirke evne til - Vil i liten grad kunne påvirke omdømmet til HiOA negativt Betydelig konsekvens - Vil i betydelig grad påvirke evne til - Vil kunne føre til betydelig omdømmetap i en periode Svært alvorlig konsekvens - Vil i stor grad påvirke evne til - Vil kunne føre til stort omdømmetap i lengre tid Risikoområder på HiOA-nivå dekker ofte risikoer som er relevante i flere enheter eller på tvers av alle enhetene, og håndtering av risikoområdene bør derfor i større grad koordineres på virksomhetsnivå. Følgende behandlingsregler for håndtering av risikoer er gjeldende på HiOA-nivå: Høyt risikonivå Moderat risikonivå Lavt risikonivå Risikotema det må tas tak i. Rektor må akseptere og følge opp tiltakene. Risikoer det bør tas tak i. Ledere i rektors ledergruppe må akseptere og følge opp tiltakene innenfor sine respektive områder. Risikoen er tilfredsstillende håndtert eller ikke vesentlig på virksomhetsnivå. Eventuelle tiltak og tilhørende oppfølging gjøres på enhetsnivå. 7