Korleis få ein god start på risikostyring i statlege verksemder

Rettleiar Krleis få ein gd start på risikstyring i statlege verksemder

SSØ 12/2007 nynrsk utgåve

Risikstyring Kva risikstyring er: Eit verktøy fr praktiv styring. Eit ressurspririteringsverktøy. Eit avgjerdsverktøy fr leiinga. Kvifr innføre risikstyring: Førebyggje g avgrense negative hendingar. Tydeleggjere samanhengen mellm mål, risik g tiltak. Bidra til betre priritering g ressursstyring. Fastsetje meir realistiske mål g ambisjnsnivå fr det enkelte år. Effektivisere g spisse styringsdialgen. Tilfredsstille krav i øknmiregelverket 4. Krleis få ein gd start på risikstyringa: Frankring i leiing. Gd kmmunikasjn internt i verksemda. Gd plan fr innføring. Integrering i eksisterande styringsprsessar. Tilpassa eigenarten til verksemda. Realistisk ambisjnsnivå. Ressursbruk sm står i frhld til nytteverdien. Generelt råd til slutt: Tenk praktisk g enkelt. Frmålet er å effektivisere styringsprsessane, ikkje å gjere dei meir kmpliserte.

Frrd Metdedkumentet fr risikstyring i staten blei utgitt i desember 2005 på bakgrunn av at det reviderte øknmiregelverket stilte krav m heilskapleg risikstyring g intern kntrll ei klar utviding av dei tidlegare føresegnene m intern kntrll. Metdedkumentet gir rettleiing i krleis verksemdene på ein strukturert måte kan bruke risikstyring sm eit verktøy fr å gi rimeleg sikkerheit fr at dei når måla sine. Metdedkumentet er møtt med str interesse frå statlege verksemder, g Senter fr statleg øknmistyring (SSØ) har hatt ei rekkje kurs i risikstyring. Vi har òg presentert metden fr fleire statlege verksemder g gitt rettleiing m krleis dei skal kmme i gang med risikstyring. Gjennm dette arbeidet har vi bservert nkre utfrdringar sm dei statlege verksemdene står verfr når dei skal innføre risikstyring g tilpasse metden til si eiga verksemd. Denne rettleiaren er ei vidareføring av metdedkumentet. Han kan hjelpe verksemdene til å få ein gd start på arbeidet med risikstyring g utvikle det vidare, slik at det blir eit nyttig verktøy i verksemdsstyringa. Frskjellane er stre i nrsk statsfrvalting. Etablering av risikstyring g tilpassing av metde g verktøy må gjerast med utgangspunkt i eigenarten til den enkelte verksemda. Krleis, g kr mfattande arbeidet med risikstyring skal gjerast, kjem derfr an på m det er ei str eller lita verksemd, g m det er eit departement eller ein underliggjande etat. Denne rettleiaren tek utgangspunkt i g beskriv metdar g verktøy fr risikstyring av alle typar verksemder. Ved etablering av risikstyring i små g lite kmpliserte verksemder må bruken av innhaldet i rettleiaren tilpassast behv g ambisjn. Rettleiaren finn du på www.sfs.n. Vi er glade fr å få kmmentarar til denne versjnen, gjerne supplert med døme frå eigne verksemder. I staten er risikstyring i ein utviklingsfase, nk sm inneber at vi stadig vil gjere justeringar g tilpassingar i rettleiaren (i første mgang den elektrniske versjnen) etter kvart sm vi g verksemdene haustar fleire erfaringar. Rettleiaren er utarbeidd av Hans Petter Eide g Hallfrid Nagell-Erichsen. Desember 2007 Marianne Andreassen, direktør SSØ

Innhldsfrtegnelse Frrd........................................................... 4 1. Innleiing....................................................... 6 2. Kva er risikstyring?............................................ 8 3. Kvifr innføre risikstyring?..................................... 10 4. Krleis få ein gd start på risikstyringa?......................... 11 4.1 Planlegging av innføringsfasen.................................. 11 Steg 1 - Strategi fr integrering av risikstyring i mål- g resultatstyringa.... 12 Steg 2 - Prsess fr risikstyring integrert i mål- g resultatstyringa...... 16 4.2 Risikstyringsprsessen i praksis - steg 3 til 8:...................... 18 Steg 3 Identifisering av målsetjingar.............................. 19 Steg 4 g 5 Identifisere kritiske suksessfaktrar g risikar............ 20 Steg 6 Vurdere g priritere risik................................ 21 Steg 7 Tiltak g kntrllaktivitetar sm følgje av vurderingane.......... 23 Steg 8 Oppfølging av risikane.................................. 25 5. Risikstyring er effektiv ressursbruk.............................. 26

1 Innleiing Bakgrunnen fr at det i dei seinare åra er sett fkus på risikstyring i statlege verksemder, er behvet fr eit styringsverktøy sm kan bidra til ei meir praktiv styring g sikrare handtering av hendingar sm kan hindre målppnåing. I tillegg blir det stilt krav m etablering av risikstyring i det reviderte øknmiregelverket 1 ved at styring g kntrll skal tilpassast verksemda sin eigenart g risik g vesentlegheit. SSØ publiserte metdedkumentet fr risikstyring i staten i desember 2005. Figuren nedanfr illustrerer dei åtte stega i prsessen. Steg 1 g 2 viser innføringsaktivitetar knytte til planlegging g ppstart av risikarbeidet, mens steg 3 til 8 viser den løpande, repeterande risikstyringsprsessen. Figur 1: Metde fr risikstyring (SSØs metdedkument, 2005) STYRINGS- OG KONTROLLMILJØ Etablere strategi g prsess 1. Strategi fr integrering av risikstyring i mål- g resultatstyringa 2. Prsess fr risikstyring integrert i mål- g resultatstyringa Analyse, tiltak g ppfølging på fleire flere nivåer 3. Identifisere mål 7. Tiltak g kntrllaktivitetar sm 4. Identifisere kritiske suksessfaktrar følgje av vurderingane 5. Identifisere risikar 6. Vurdere g priritere risikane 8. Oppfølging av risikane Steg 3-8 blir gjennmførte både på verksemdsnivå g lågare rganisatriske nivå, inklusive perative prsessar g prsjekt STYRINGS- OG KONTROLLMILJØ I n f r m a s j n g k m m u n i k a s j n SSØs erfaringar så langt er at mange statlege verksemder møter utfrdringar knytte til krleis dei skal kmme i gang med risikstyring g få ein gd prsess, slik at verksemda ppnår gevinstar i frm av meir målretta g effektiv styring. Viktige utfrdringar er altså knytte til stega 1 g 2. 1 Øknmiregelverket er ei samlenemning på reglement fr øknmistyring i staten ( reglementet ) med dei tilhøyrande føresegner m øknmistyring i staten ( føresegnene ). Det reviderte øknmiregelverket blei fastsett 12. desember 2003.

Den gjennmgåande utfrdringa i statlege verksemder er å få ei gd frankring i leiinga. I mange verksemder er arbeidet med risikstyring delegert nedver i rganisasjnen. Det medfører at leiinga ikkje er invlvert i utvikling g tilpassing i risikstyring. Dei er heller ikkje dei første til å ta i bruk risikstyringsmetdikken i verksemdsstyringa. Den andre stre utfrdringa er å få integrert risikstyringa i styringsprsessar sm alt er etablerte, det vil seie plan- g ppfølgingsprsessar, sm er unike fr kvar verksemd. Mange verksemder undervurderer arbeidet med å tilpasse metdikken til eigne styringsprsessar. Det medfører at verksemdene ikkje får henta ut gevinstane ved risikstyring i str nk grad. Ei tredje utfrdring er målstrukturen i mange statlege verksemder. Fleire verksemder har gjennmført risikvurderingar av mange mål samtidig sm dei manglar system fr å handtere risikar sm er avdekte. Fr å utvikle gde prsessar sm legg til rette fr ei rbust risikstyring ver tid, vil ein meir frmålstenleg start vere å avgrense risikvurderingane til nkre få sentrale mål. På bakgrunn av desse utfrdringane har SSØ utarbeidd denne rettleiaren, sm gir nkre praktiske råd m krleis verksemda kan starte med risikstyring g utvikle den vidare, slik at det blir eit nyttig verktøy i verksemdsstyringa. Ein må sjå på rettleiaren sm eit supplement til metdedkumentet til SSØ, men han kan òg lesast sm eit sjølvstendig dkument. Rettleiaren er primært retta mt leiarar g medarbeidarar sm hjelper leiarar med innføring g tilrettelegging av risikstyring. Rettleiaren gir først ei krt beskriving av kva risikstyring er, g krleis den heng saman med prinsippet m mål- g resultatstyring g mgrepet intern kntrll (kapittel 2). Deretter går vi inn på kvifr statlege verksemder skal bruke risikstyring (kapittel 3). Hvuddelen av dkumentet handlar m krleis ein skal innføre risikstyring (kapittel 4). Vi vil her utdjupe g knkretisere frhld sm er tilknytte dei åtte stega sm er beskrivne i metdedkumentet. I kapittel 5 peiker vi på krleis risikstyring kan bli eit effektivt styringsverktøy.

2 Kva er risikstyring? I den statlege frvaltinga har mål- g resultatstyring vre det verrdna styringsprinsippet sidan midten av 1980-åra, g det blei innført fr å gjere staten meir effektiv g resultatrientert. Definisjn av mål- g resultatstyring: Å setje mål fr kva verksemda skal ppnå, å måle resultat g samanlikne dei med måla, g å bruke denne infrmasjnen til styring, kntrll g læring fr å utvikle g frbetre verksemda 2. Sm ein del av gd mål- g resultatstyring stiller øknmiregelverket krav til intern kntrll i verksemdene. Alle verksemder skal etablere system g rutinar sm har innebygd intern kntrll fr å sikre målppnåinga til verksemda. Intern kntrll skal òg frhindre styringssvikt, feil g manglar. Definisjn av intern kntrll: Prsessar, system g rutinar sm leiinga g dei tilsette har sett i gang fr å gi rimeleg sikkerheit fr målppnåinga til verksemda innanfr kategriane: Målretta g effektiv drift. Påliteleg rekneskapsrapprtering g øknmifrvalting. Etterleving av lver g reglar. Øknmiregelverket stiller vidare krav m at den interne kntrllen skal vere tilpassa eigenart, risik g vesentlegheit. Skal vi frstå mgrepet intern kntrll, må vi derfr frstå samanhengen mellm mål, risik g kntrlltiltak. Definisjn av risik: Frhld eller hendingar sm kan inntreffe g påverke målppnåinga negativt. Risik blir vurdert i frhld til kr sannsynleg det er at nk skjer, g den frventa knsekvensen det vil føre til fr målppnåinga til verksemda dersm det skjer. Innføring av risikstyring er ei praktisk tilrettelegging av ein metde fr å ta vare på føresegnene m intern kntrll i regelverket. 2 Mål- g resultatstyring i staten en veileder i resultatmåling, SSØ, nvember 2006.

Definisjn av risikstyring: Ein prsess sm er integrert i mål- g resultatstyringa, g sm: Er utfrma fr å kunne identifisere, vurdere g handtere g følgje pp risik, slik at risiken er innafr eit akseptert nivå. Skal gjennmførast av verksemdsleiinga g andre tilsette. Skal nyttast når ein skal fastsetje strategiar g planar, g på tvers av verksemda, fr å gi rimeleg grad av sikkerheit fr at verksemda skal nå måla sine. Risikstyring skal bidra til å skape betre balanse mellm mål, risik, styring g kntrlltiltak g skal dermed utnytte ressursane betre. På den måten kan risikstyring fungere sm eit ressurspririteringsverktøy. Risikstyring blir i aukande grad brukt sm ein del av den strategiske styringa til verksemdene g tilfører verksemder eit nytt g verdiskapande perspektiv på den samla styringa. Kravet m risikstyring gjeld på g mellm alle nivå i staten. Det inneber at det er dei same reglane fr risikstyring i departementa sm i underliggjande g tilknytte verksemder. Det er likevel viktig å understreke at det må tilpassast eigenarten til verksemdene. Risikstyringa skal òg knytast inn i etatsstyringa ved at risikvurderinga til departementet må vere reflektert i ppfølginga av underliggjande verksemder.

3 Kvifr innføre risikstyring? Eit viktig frhld sm påverkar styringsbehvet i statleg sektr, er krav til sikker drift i verksemdene. I tillegg til denne utfrdringa blir det stilt krav til effektiv ressursbruk g til kntinuerleg mstilling g utvikling. Ut ifrå dette må verksemdene heile tida yte dei tenestene sm samfunnet frventar. Risikstyring skal i den samanhengen bidra til å kartleggje faktrar sm kan true målppnåinga før avgjerder blir tekne g tiltak/aktivitetar blir valde. Ved sida av å sjå på kva sm kan true målppnåinga, er det viktig å vere klar ver at prsessen i seg sjølv vil bidra til at leiinga kan sjå nye alternativ fr verksemda. Gd risikstyring er å finne balansen mellm mål, risik g tiltak (det vil seie ressursbruk knytt til risikstyringa g kstnader knytte til tiltaka) g kstnader (tap/ulempe) i samband med eventuelle uønskte hendingar. I arbeidet med å nå måla i ei verksemd er det derfr viktig å skilje mellm viktige frhld (vesentlege risikar) g mindre viktige frhld (svært små risikar). Fr verksemdene inneber det ei ressurspriritering, det vil seie at ein må vere merksam på g styre ressursane inn mt tiltak sm handterer dei mest vesentlege risikane. Mens mål- g resultatstyring er eit styringsprinsipp, er risikstyring ein metde eller eit verktøy sm skal bidra til betre verksemdsstyring. Risikstyring inneber mellm anna ein systematisk g strukturert gjennmgang av måla verksemda blir styrt etter. Dermed vil risikstyringa òg bidra til å tydeleggjere g perasjnalisere måla g til å synleggjere g strukturere samanhengen mellm mål på ulike nivå. Heilskapleg risikstyring vil seie at ein òg identifiserer g handterer samansette risikar på tvers av verksemda. Risikstyring bidreg dermed til å frsterke mål- g resultatstyringa. Oppsummert kan vi seie at risikstyring er eit hjelpemiddel i arbeidet med å løyse styringsutfrdringane leiinga står verfr. H skal bidra til meir målretta styring g derfr òg enklare styring ved at leiinga bruker tid på dei viktigaste frhlda. 10

4 Krleis få ein gd start på risikstyring? Risikstyring må innførast med sikte på at h skal bli ein del av den styringa verksemda alt har etablert, samtidig sm h skal bidra til å vidareutvikle henne. Dersm ein ikkje etablerer risikstyring med dette utgangspunktet, vil risikstyring sm metde svært sannsynleg få eit krtvarig liv g berre medføre ekstra kstnader g ressursbruk fr verksemda. Utvikling av risikstyring er ein prsess sm går fr seg ver lengre tid, g sm påverkar alle delar av rganisasjnen. Det er derfr viktig å erkjenne at det er ein endringsprsess sm krev tid g ressursar, g ikkje minst merksemd frå leiinga. 4.1 Planlegging av innføringsfasen Vi vil i dette delkapitlet gå nærmare inn på nkre sentrale frhld sm ein må ta msyn til når ein planlegg krleis verksemda skal starte pp med risikstyring g integrere det i mål- g resultatstyringa (sjå figur 2)). Figur 2: Metde fr risikstyring. Raud ring markerer stega sm mhandlar innføringsfasen STYRINGS- OG KONTROLLMILJØ Etablere strategi g prsess 1. Strategi fr integrering av risikstyring i mål- g resultatstyringa 2. Prsess fr risikstyring integrert i mål- g resultatstyringa Analyse, tiltak g ppfølging på fleire flere nivåer 3. Identifisere mål 7. Tiltak g kntrllaktivitetar sm 4. Identifisere kritiske suksessfaktrar følgje av vurderingane 5. Identifisere risikar 6. Vurdere g priritere risikane 8. Oppfølging av risikane Steg 3-8 blir gjennmførte både på verksemdsnivå g lågare rganisatriske nivå, inklusive perative prsessar g prsjekt STYRINGS- OG KONTROLLMILJØ I n f r m a s j n g k m m u n i k a s j n 11

Steg 1 - Strategi fr integrering av risikstyring i mål- g resultatstyringa Dette steget tek fr seg krleis verksemda kan planleggje g førebu innføring av risikstyring. Ein tydeleg strategi g plan fr innføring vil bidra til at prsessen blir gjennmført innan fastsett tid g med gd kvalitet, g vil samtidig tene til å synleggjere kva risikstyring inneber fr ulike delar av verksemda. Kmpetanse- g ressursbehv Det må setjast av nk tid g ressursar til innføringsarbeidet. Ein må rekne med ein viss investeringskstnad, mellm anna med tanke på pplæring. Ressursbruken må likevel stå i frhld til nytteverdien. Arbeidet med risikstyring må gjerast praktisk g enkelt g tilpassast eigenarten til verksemda. Rller g ansvar Risikstyring må frankrast på leiarnivå. Det er verksemdsleiinga sm har ansvar fr at risikstyringa blir etablert, gjennmført, følgt pp g dkumentert på ein gd g effektiv måte. Leiinga set tnen fr krleis resten av rganisasjnen møter eit slikt nytt styringselement i mål- g resultatstyringa. I alle fasar av risikstyringsprsessen er det viktig at verksemdsleiinga set sitt preg på innhaldet. Det bør skje både gjennm å vere aktive bidragsytarar g ved å gi dei nødvendige premissar g føringar fr krleis prsessen skal gjennmførast, g kva sm er det venta resultatet. Verksemdsleiinga må i denne samanhengen: Sørgje fr at verksemda set i verk alle nødvendige aktivitetar fr å innføre risikstyring. Kmmunisere krava sm er knytte til risikstyring, til heile rganisasjnen, g gi merksemd, priritet g inspirasjn rundt emnet. Sikre at vesentlege risikar blir identifiserte g handterte. Setje risikstyring på dagsrdenen i leiarmøte. Gi dei nødvendige premissane g føringane fr krleis prsessen skal gjennmførast, g kva sm er det venta resultatet. Delegere makt g stille krav til risikhandtering på alle nivå. Sørgje fr at verrdna styresmakt har kjennskap til hvudtrekka i verksemdssystemet fr risikstyring. I større verksemder kan det vere nyttig å etablere ei rlle sm risikkrdinatr/fagleg ansvarleg. Denne funksjnen skal støtte leiargruppa g bidra til at risikstyringa blir krdinert på tvers av rganisasjnen, g til at risikstyringsprsessane til verksemda blir haldne ved like g ppdaterte. Ein funksjn sm risikkrdinatr/fagleg ansvarleg bør leggjast til eininga sm har ansvaret fr å leggje til rette plan- g ppfølgingsprsessane. I tillegg til kmpetanse m risikstyring bør dei invlverte ha kunnskap m g frståing fr rganisasjnsstrukturen g krleis verksemda blir styrt, g dei bør ha versikt ver viktige strategiske g perasjnelle prsessar. Oppgåver sm risikkrdinatren/den fagleg ansvarlege kan få: Frvalte systematikk fr risikstyring. Leggje til rette fr peridisk gjennmføring av risikvurderingar. Leggje til rette fr diskusjnar m risik. Krdinere risikhandtering på tvers i rganisasjnen. Samrdne verksemda si rapprtering av risikkart g status fr tiltak. 12

Sm ein del av innføringa må rller g ansvar fr resten av rganisasjnen beskrivast. Det vil mellm anna mfatte kva ansvar g ppgåver sm blir tildelte leiarar fr avdelingar/einingar g den enkelte medarbeidaren. Dersm verksemda har etablert ei eining fr internrevisjn, kan gså den ha ei rlle i arbeidet med risikstyring. Meir infrmasjn m rlla til internrevisjnen finn du mellm anna på Nrges Interne Revisrers Frening (NIRF), www.nirf.rg. Infrmasjn g kmmunikasjn Det er viktig at verksemda på eit tidleg tidspunkt infrmerer m innføring av risikstyring g m krleis det påverkar dei ulike funksjnane/einingane. Etter kvart sm det blir etablert eit system fr risikstyring, er det viktig å ha eit bevisst frhld til krleis infrmasjn m ulike risikar blir distribuert, fr det er pplysningar sm kan mistlkast g i enkelte tilfelle òg misbrukast. Etablering av verrdna retningslinjer fr risikstyring («risikplicy») Sm start på innføring av risikstyring bør leiinga, eventuelt med hjelp frå risikkrdinatr/fagleg ansvarleg, fastsetje retningslinjer fr risikstyring (risikplicy) fr å sikre at risikstyringa blir utøvd i samsvar med einsarta prinsipp g føringar. Ein risikplicy er verksemdsleiarens plikt g krav til krleis verksemda skal stille seg til risik. Ein plicy kan innarbeidast i gjeldande instruksar fr verksemda, eller han kan vere eit separat dkument, g treng fte ikkje vere på meir enn éi til t sider. Døme på innhaldet i ein risikplicy Frmål med dkumentet Krt beskriving av den frmelle statusen til dkumentet. Krt beskriving av kva dkumentet handlar m. Krt beskriving av kven sm er målgruppa. Frmål med risikstyringa Dette kan til dømes vere: Å hindre at hendingar påverkar målppnåinga negativt. Å bidra til betre priritering g ressursstyring. Å tydeleggjere samanheng mellm mål, risikar g tiltak. Å bidra til meir praktiv styring. Å spisse styring g intern kntrll mt vesentlege mråde. Å betre kmmunikasjn m risikar sm kan hindre målppnåing. Integrering av risikstyring i mål- g resultatstyringa Dette kan til dømes vere: Å bruke risikvurderingar i planprsessar. Å synliggjere risik i viktige avgjerdsgrunnlag. Å følgje pp vesentlege risikar. Å rapprtere risik sm ein del av peridisk rapprtering. Krav til metdikk Til dømes SSØs metdedkument. 13

Organisering, rller g ansvar Rlla, ansvaret g ppgåvene til verksemdsleiaren. Rllene, ansvaret g ppgåvene til avdelingar/einingar. Rlla, ansvaret g ppgåvene til eventuell internrevisjn. Ansvaret den enkelte medarbeidaren har fr risikstyring. Frtrulegheit Infrmasjn m risikstyringa til verksemda bør i utgangspunktet behandlast sm frtruleg infrmasjn. Resultatet av risikvurderingar, det vil seie relevant styringsinfrmasjn, skal gjerast kjent fr dei persnane sm har eit ansvar fr å handtere identifiserte risikar. Ein tydeleg frmulert plicy bidreg til å skape ei felles frståing av frmål, målsetjing g ambisjn med risikstyringa. Planleggje innføring av risikstyring Innføring av risikstyring må planleggjast med sikte på å bli ein del av dei etablerte styringsprsessane g vil kunne erstatte eller endre element i desse. Det krev først g fremst at ein har versikt ver styringssystemet til verksemda: Dei viktigaste styringsprsessane det vil seie plan- g ppfølgingsprsessar, styringslinjer, rganisering, ansvarsdeling.a. Møteplassar til dømes faste leiarmøte g ppfølgingsmøte mellm nivå. Ut ifrå det kan ein vurdere m dagens styringssystem er fullstendig g aktuelt samanlikna med krava i øknmiregelverket. I planlegginga er det viktig å vere tydeleg på kva ein ønskjer å ppnå av frbetringar i styringa, ikkje berre beskrive kva aktivitetar g dkument sm skal vere på plass. Vidare må risikstyringa tilpassast eigenarten til verksemda. Det vil fr dei fleste verksemder vere fr ambisiøst å etablere risikstyring på alle nivå g innanfr alle einingar alt i ein startfase. Det er derfr viktig å avgrense mfanget av risikstyringa i første mgang, ettersm tilpassing av metden g endring av styringsprsessane bør skje parallelt. Det viktigaste i starten er at leiarar g medarbeidarar blir kjende med metden g tek han i bruk på eit avgrensa mråde. I planlegginga bør ein vurdere kva mål på ulike nivå i rganisasjnen sm skal pririterast i innføringsarbeidet, g kva ein kan ta på eit seinare tidspunkt. Fr å sikre nødvendig knsistens g struktur tilrår vi at verksemda først vurderer g følgjer pp risik med utgangspunkt i eitt eller nkre av dei verrdna måla til verksemda. Ein bør velje dei måla sm er viktigast i frhld til effektane ein vil ppnå. På bakgrunn av denne pririteringa bør ein utarbeide ein tidsplan fr innføringa med knkrete milepålar, altså kr langt verksemda til dømes skal kmme det første året, det andre året g så vidare, g når risikstyringa skal vere innført i alle delar av rganisasjnen. 14

Tabell 1: Døme på gradvis utviding av kva mål g rganisasjnsnivå sm er mfatta av risikstyringa Fase 1 Fase 2 Fase 3 Verksemdsleiinga gjennmfører risikvurdering knytt til eitt eller nkre få verrdna mål (begynn med dei viktigaste måla). Den aktuelle delen av verksemda gjennmfører tiltak fr dei tre til fem mest kritiske risikane g rapprterer m status fr gjennmføring g effekt av tiltak. Det er òg viktig å setje av tid til å justere plicy g metdikk Risikvurdering knytt til verrdna mål (sm ved fase 1). I tillegg gjennmfører nivået under risikvurdering knytt til eitt eller nkre få av måla eller delmåla. Gjennmføring g rapprtering av tiltak sm ein del av den rdinære plan- g ppfølgingsprsessen Risikvurdering av alle verrdna mål. Nivået under gjennmfører risikvurderingar knytte til eigne mål g delmål. Gjennmføring g rapprtering av tiltak sm ein del av rdinær plan- g ppfølgingsprsess Det er viktig å ha eit realistisk ambisjnsnivå ettersm risikstyring tek tid når ein heil rganisasjn skal ta det i bruk. Døme på innføringsplan Mål Eit system fr risikstyring skal vere implementert sm ein integrert del av mål- g resultatstyringa innan dag/månad/år (berekn gd tid). Skriv gjerne òg litt m kva de ønskjer å ppnå i implementeringsfasen krleis vil de bruke resultata av den første risikvurderinga på verrdna nivå i plan- g ppfølgingsprsessane. Kvifr innføre risikstyring Krt beskriving av kva verksemda vil ppnå med å innføre risikstyring, det vil seie frbetringsptensial, eventuelle svake sider sm skal avhjelpast med risikstyring, til dømes: Hindre at hendingar påverkar målppnåinga negativt. Tydeleggjere samanheng mellm mål, risikar g aktivitetar/tiltak. Bidra til betre priritering g ressursstyring. Bidra til meir praktiv styring. Spisse styring g intern kntrll mt vesentlege mråde effektivisering av internkntrllen. Betre kmmunikasjn m risikar sm kan hindre målppnåing. Få versikt ver det etablerte styringssystemet Dei viktigaste styrande dkumenta, plan- g ppfølgingsprsessar, styringslinjer, rganisering, ansvarsdeling.a. Hvudlinjer fr intern kntrll. Møteplassar (til dømes faste leiarmøte g ppfølgingsmøte). Rller, ansvar, ppgåver Ansvaret til verksemdsleiaren. Oppgåvene g ansvaret til andre leiara. Oppgåvene til risikkrdinatren. Tilsette. Rlla g ansvaret til eventuell internrevisjn. 15

Frventa ressursbruk kven gjer kva? Kmpetanse Vurdere pplæringsbehv. Gjennmføre pplæringsaktivitetar. Innføringsfasar gradvis utviding av risikstyring (milepålar) Kva mål/resultatmråde. Kva rganisasjnsnivå. Tidsplan Ta utgangspunkt i det styringssystemet sm eksisterer i dag, fr tilpassing til plan- g ppfølgingsprsessar. Set ein tidsfrist fr dei ulike innføringsaktivitetane. Infrmasjnsaktivitetar Krleis infrmere rganisasjnen m innføring av risikstyring, g krleis det påverkar dei ulike funksjnane/einingane. Grensesnitt/avhengigheiter Internt i verksemda. Omgivnader/verrdna styresmakt. Steg 2 - Prsess fr risikstyring integrert i mål- g resultatstyringa Intensjnen med risikstyring er å fkusere på dei mest vesentlege hendingane sm påverkar målppnåinga negativt fr verksemda sett under eitt, g sikre ei knsistent styring g ppfølging av desse. Dette steget handlar m endringane sm må gjerast i plan- g ppfølgingsprsessar. Risikstyring integrert i planprsessane Planprsessen til leiinga må ta utgangspunkt i eksisterande mål g kritiske suksessfaktrar, med vurdering av risik på eit verrdna nivå fr heile verksemda. Når ein planlegging å innføre risik-styring, bør ein derfr leggje til rette fr at leiargruppa skal gjennmføre ei verrdna risikvurdering (steg 3 til 6) knytt til den langsiktige strategien til verksemda, g så utdjupe vurderinga sm ein del av den årlege verksemdsplanen. Den verrdna risikvurderinga legg rammene fr risikvurdering på lågare nivå g fr kva perative prsessar g prsjekt sm skal vurderast nærmare. Resultatet av den verrdna risikvurderinga kan brukast sm grunnlag fr å utarbeide eventuelle dispneringsskriv. Dersm risikvurderingar på perativt nivå ikkje er knytte pp mt den verrdna risikvurderinga, kan det føre til at tid g ressursar går med til å handtere risikar sm berre har liten effekt fr den ttale målppnåinga. Mange verksemder har lenge drive med risikstyring i prsjekt. Ein må sjå risik knytt til prsjekt i samanheng med risikstyringa elles, sidan prsjekt kan utgjere ein vesentleg del av det ttale risikbiletet fr verksemda (sjå figur 3). Vidare må planprsessen leggje til rette fr avgjerder m tiltak g kntrllaktivitetar (steg 7) sm skal setjast i verk på bakgrunn av risikvurderingane, slik at ressursar blir allkerte til vesentlege risikar. 16

Nkre verksemder begynner med å vurdere risik knytt til prsessar med feil g dårleg kvalitet. Det kan fr nkre verksemder vere heilt nødvendig, men det er likevel viktig at dette arbeidet er knytt pp mt risikstyringa elles etter kvart sm h blir utvida til å mfatte alle nivå av verksemda. Figur 3: Samanheng mellm risikvurdering på ulike nivå Overrdna nivå: Risikvurderingar blir gjennmførte sm ein del av strategi- g planprsessar Lågare nivå: Risikvurderingar blir gjennmførte i samband med verksemdsplanlegging Prsjekt: Risikvurdering sm ein del av planlegginga. Hyppige ppdateringar Operative prsessar: Ved utfrming g ved vesentlege endringar. Peridisk risikvurdering av viktige prsessar Risikstyring sm verktøy i ppfølging av verksemda Når risikstyring er innført, skal ppfølging av risikane (steg 8) vere ein integrert del av den rdinære verksemdsrapprteringa. Det mfattar både risikar sm knyter seg direkte til verksemdas samla målppnåing, g risikar sm knyter seg til meir perative prsessar g prsjekt. Den enkelte verksemda må vurdere m det i tillegg er behv fr å stille krav m særskild rapprtering, til dømes ved negativ utvikling av vesentlege risikar. Risikvurderinga må følgjast jamleg pp i leiarmøta på ulike nivå. I løpet av ein tidsperide vil det vere nødvendig å vurdere dei identifiserte risikane på nytt. Det kan både vere grunngitt i endringar i rammevilkår sm medfører at risikar fell brt, g at nye kjem til. På den måten får leiinga på ulike nivå ei samla versikt ver risikar g utviklinga av desse. På sikt vil det gi eit betre grunnlag fr å styre verksemda. Når ein freslår vesentlege avgjerder, bør det stillast krav m at risikvurdering skal synleggjerast sm ein del av avgjerdsgrunnlaget. Det må både mfatte ei vurdering av risik knytt til sjølve tiltaket, g ikkje minst m tiltaket kan føre til auka risik fr andre delar av verksemda. 17

4.2 Risikstyringsprsessen i praksis steg 3 til 8: Her vil vi gå nærmare inn på krleis ein kan sikre ei gd g enkel gjennmføring av dei enkelte stega i sjølve risikstyringsprsessen (sjå figur 4). Det er ein repeterande prsess sm skal gjennmførast peridisk g på alle nivå i rganisasjnen. Figur 4: Metde fr risikstyring. Raud ring markerer stega i risikstyringsprsessen STYRINGS- OG KONTROLLMILJØ Etablere strategi g prsess 1. Strategi fr integrering av risikstyring i mål- g resultatstyringa 2. Prsess fr risikstyring integrert i mål- g resultatstyringa Analyse, tiltak g ppfølging på fleire flere nivåer 3. Identifisere mål 7. Tiltak g kntrllaktivitetar sm 4. Identifisere kritiske suksessfaktrar følgje av vurderingane 5. Identifisere risikar 6. Vurdere g priritere risikane 8. Oppfølging av risikane Steg 3-8 blir gjennmførte både på verksemdsnivå g lågare rganisatriske nivå, inklusive perative prsessar g prsjekt STYRINGS- OG KONTROLLMILJØ I n f r m a s j n g k m m u n i k a s j n Sm førebuing til risikstyringsprsessen kan det vere frnuftig å gjennmgå mellm anna desse dkumenta: Strategisk plan. Tildelingsbrev g internt dispneringsskriv. Verksemdsplan. Budsjett. Verksemdsrapprtering fr siste år. Målstruktur. Resultat av eventuell benchmarking. Interne analysar g evalueringar. Dei viktigaste rammevilkåra, frventa endringar, marknadsanalysar, brukarundersøkingar, rganisatriske endringar.a. 18

Steg 3 - Identifisering av mål sm utgangspunkt fr risikvurdering Det første steget i risikstyringa er å velje ut mål sm skal risikvurderast. I startfasen bør verksemda priritere mål sm det er særleg viktig å nå. Fr å kunne identifisere g vurdere risik i frhld til målppnåing er det viktig å vurdere m måla er knkrete g tydelege. Mål bør beskrivast i frm av eit ønskt resultat eller ein ønskt tilstand (nk verdifullt sm ein vil ha mest mgleg av på sikt), g ikkje frmulerast sm eit verkemiddel eller ei ppgåvebeskriving. 3 Fleire verksemder har hatt mål sm ikkje ppfyller desse kriteria når dei har begynt med risikstyring. Erfaringa viser likevel at etter kvart sm verksemda har gått gjennm stega 3 til 8 i risikstyringsprsessen, bidreg det til å knkretisere g presisere måla. Målfrmuleringar vil ha ulik karakter avhengig av kva nivå i verksemda dei er retta mt. J nærmare ein er det perativt utførande leddet, j meir knkret g avgrensa bør målfrmuleringane vere. Tilsvarande gjeld fr risikvurderingar (sjå figur 5). Risikvurderingar sm er knytte til system eller arbeidsprsessar, kan gjerast uavhengige av tidspunktet fr den meir verrdna risikvurderinga. Vi vil likevel påpeike kr viktig det er å knyte system g arbeidsprsessar pp mt målstrukturen elles, slik at prsessane blir vurderte ut frå måla dei skal ppfylle. Figur 5: Risikvurderingar på ulike nivå. Risikvurderingar skal gjerast med utgangspunkt i den målstrukturen verksemda blir styrt etter. Sjå elles figur 3 Organisasjnsnivå Verksemdsleiing Risik knytt til verrdna mål g strategiar. Fkus på hvudmåla til verksemda, strategiske utfrdringar g vesentlege endringar Regin eller divisjn/avdeling Risik knytt til mål g delmål sm den enkelte eininga er ansvarleg fr Lkalkntr eller seksjn Risik knytt til aktivitetar/prdukt/tenester sm den enkelte eininga er ansvarleg fr System eller arbeidsprsess Risik knytt til den enkelte arbeidsprsess eller det enkelte system Tidspunkt fr risikvurdering 3 Dette er beskrive nærmare i Mål- g resultatstyring i staten en veileder i resultatmåling, SSØ, nvember 2006. Kan bestillast på www.sfs.n. 19

Steg 4 g 5 - Identifisere kritiske suksessfaktrar g risikar Steg 4 g 5 er å identifisere kritiske suksessfaktrar g risikar sm er knytte til det enkelte målet. Desse stega heng nøye saman ved at dei byggjer på g utfyller kvarandre. Vi vil likevel understreke at dei fangar pp ulike frhld, g at dei saman gir eit ttalbilete av kva sm kan inneber risik fr den enkelte verksemda. Steg 4 er å identifisere kritiske suksessfaktrar. Det bidreg til å rette merksemda mt dei frhlda sm er viktigast fr målppnåinga, g dermed òg mt mråde sm er frbunde med risik. Definisjn av kritiske suksessfaktrar: Frhlda det er viktigast å lykkast med fr å nå måla. Steg 5 er å identifisere risikar. Det gjer ein først ved å frmulere risikar med utgangspunkt i dei kritiske suksessfaktrane. Deretter må verksemda òg identifisere risikar ved å bruke infrmasjnen g kunnskapen dei har m kmmande endringar (interne g eksterne), dei sterke g svake sidene ved rganisasjnen, tidlegare prblem/utfrdringar, styringssvikt.a. Ved identifisering av kritiske suksessfaktrar g risikar på eit verrdna nivå er det leiargruppa i verksemda sm er dei viktigaste infrmantane. På perative prsessar er det prsesseigarar g andre nøkkelpersnar sm er dei viktigaste infrmantane. Ein kan bruke ulike metdar fr å identifisere kritiske suksessfaktrar g risikar: Intervju. Skriftlege innspel. Idémyldringsmøte/wrkshps. Det er viktig å ikkje ha fr mange kritiske suksessfaktrar g risikar knytte til kvart mål. Be til dømes kvar infrmant m å beskrive det h/han meiner er dei t til seks mest vesentlege kritiske suksessfaktrane g risikane knytte til kvart mål. 20

Ved førstegngsgjennmføring må det presiserast at det berre er risik i tydinga «frhld sm kan hindre målppnåing» sm skal takast med ikkje alt sm kan gå galt. Derfr er det viktig at infrmantane blir bedde m å utdjupe krleis dei freslåtte risikane påverkar målppnåinga, fr å sikre samanhengen mellm mål, kritiske suksessfaktrar g risikar. Før ein går vidare til å priritere risikar, vil det sm ftast vere nødvendig å bearbeide innspela nk. Freslåtte risikar kan vere ulikt frmulerte, men likevel vise til dei same frhlda. Det kan òg vere behv fr utdjupingar g presiseringar frå enkelte infrmantar. Identifiserte risikar bør samanstillast til ei risikliste. Risiklista bør innehalde nkre få risikar, gjerne med ei litt utdjupande beskriving av kva frhld sm underbyggjer at det er ein risik. Steg 6 - Vurdere g priritere risik I dette steget blir den samla risiklista vurdert med sikte på å priritere kva risikar sm er mest kritiske g må handterast gjennm tiltak g ppfølging. Vurdering g priritering av risik gjer ein enklast i ein wrkshp eller eit arbeidsmøte, der leiargruppa g eventuelle nøkkelpersnar utanfr leiargruppa vurderer g rangerer identifiserte risikar. Vi tilrår at møtet, særleg første gngen, blir leidd av ein nøytral persn (tilretteleggjar) sm ikkje er ein del av leiargruppa. Det kan bidra til å strukturere diskusjnen g sikre at alle relevante frhld får nk merksemd. Når ein skal ta stilling til kr høg ein risik er, tilrår vi først å vurdere kr sannsynleg det er at risiken inntreffer, g så vurdere kr alvrlege knsekvensar fr målppnåinga det vil få dersm risiken inntreffer. Summen av desse vurderingane viser kr høg den enkelte risiken er. Det er viktig å definere kva tidsperspektiv sm er lagt til grunn. Figur 6: Risik blir vurdert i frhld til sannsynlegheit g knsekvens Risik Hendelse Hending Sannsynlegheit Sannsynlighet X Knsekvens I ei leiargruppe vil det alltid vere ulike ppfatningar m kr høg den enkelte risiken er, ettersm vurderingane av sannsynlegheit g knsekvens sm regel er subjektive. Dersm det er sprikande vurderingar av sannsynlegheit fr g knsekvens av ein risik i ei leiargruppe, er det viktig at diskusjnen prøver å avdekkje årsaka (årsakene) til det mellm anna m alle har det same infrmasjnsgrunnlaget, m dei har lagt den same tidshrisnten til grunn, g m det er ei felles ppfatning av kva knsekvensar sm er knytte til risiken. Ei av utfrdringane når ein skal vurdere sannsynlegheit g knsekvens, er at ein må ta msyn til allereie etablerte tiltak. I alle rganisasjnar vil det frå før av finnast tiltak g aktivitetar sm bidreg til å redusere risiken verksemda er ekspnert fr. Deltakarane vil ha ulik kjennskap til dei ulike mråda. 21

Fr at den samla kunnskapen til leiargruppa skal danne grunnlag fr vurdering av risikane, må allereie etablerte tiltak vere eit tema i diskusjnen. Det kan vere krevjande, men har i seg sjølv ein verdi ved at leiargruppa får betre kunnskap m verksemda g ei felles frståing av kr gdt risik blir handtert i dag. Etter kvart sm risikstyringsprsessen blir repetert g det blir etablert ein systematikk fr å gjennmføre g følgje pp risikreduserande tiltak, blir det langt enklare. Eit anna viktig tema i diskusjnen er kva risikar sm kan aksepterast i frhld til dei ulike måla. Ved vurdering av den enkelte risiken plasserer ein alle risikar i eit risikkart med sannsynlegheit g knsekvens sm aksar. Risikkart bruker vi fr å visualisere g kmmunisere resultatet av vurderingane av den enkelte risiken, g ikkje minst krleis dei blir rangerte i frhld til kvarandre. Utarbeidinga av risikkart kan gjerast på ulike måtar, til dømes ved å plassere gule lappar på eit diagram eller bruke PwerPint, Excel eller eit elektrnisk stemmeverktøy (sjå figur 7). Figur 7: Døme på risikkart. Kartet til venstre er laga ved hjelp av eit elektrnisk stemmeverktøy. Kartet til høgre er laga i PwerPint. I karta er risikar markert med bkstavar g tal Nesten sikkert Risikkart Svært str 5 Sannsynlegheit Sannsynleg Mderat Lite sannsynleg Svært lite sannsynleg Ubetydeleg Låg Mderat Alvrleg Svært alvrleg A B C D F Sannsynlegheit Str Mderat Lita Svært lita 2 6 3 7 1 4 Risik Kritisk Høg Mderat Låg Knsekvens Ubetydeleg Låg Mderat Alvrleg Knsekvens Svært alvrleg På bakgrunn av risikvurderingane må ein priritere g avgjere kva risikar sm er så kritiske at dei skal følgjast pp gjennm tiltak. Det vil seie at leiargruppa òg tek stilling til kva risikar verksemda kan akseptere å leve med. Over tid vil det innebere at leiargruppa utviklar ei felles frståing av kva risikar sm krev tiltak, g kva sm er vurdert sm akseptabel risik altså risiktleransen fr verksemda. Fr alle risikar sm krev tiltak, bør det utpeikast ein risikeigar. Det må vere ein leiar med verrdna ansvar fr resultatmrådet/eininga der ein trur risiken har størst påverknad. Resultatet av risikvurderinga kan dkumenterast i frm av ein krtfatta rapprt sm bør mtale desse punkta: Oppsummering/knklusjn(ar). Deltakarar i risikvurderinga. Kva målsetjingar/delar av verksemda vurderinga mfattar. Risiklista. Risikkart. Andre frhld sm blei særleg diskuterte. Kva risikar sm krev tiltak, g kven sm er ansvarleg fr ppfølginga (risikeigar). 22

Steg 7 - Tiltak g kntrllaktivitetar sm følgje av vurderingane Frmålet med dette steget er å identifisere g fastsetje tiltak g kntrllaktivitetar fr å handtere kritiske risikar, slik at dei kjem ned på eit akseptabelt nivå. Vurdering av tiltak Ved identifisering av aktuelle tiltak bør ein ta stilling til m det er sannsynlegheita g/eller knsekvensen ein ønskjer å redusere. Frbetra intern kntrll vil først g fremst redusere sannsynlegheita fr at uønskte hendingar inntreffer. Fr risikar med låg sannsynlegheit, men alvrlege eller svært alvrlege knsekvensar, kan det vere urimeleg kstnadskrevjande å redusere sannsynlegheita endå meir. Derimt kan ein vurdere m det er behv fr betre beredskapen til å handtere situasjnen dersm risiken inntreffer, det vil seie tiltak sm kan redusere knsekvensen. Avgjerder m tiltak må alltid baserast på ei kst/nytte-vurdering. Gd risikstyring er å setje i verk frmålstenlege tiltak med sikte på å ppnå best mgleg balanse mellm kstnader sm er knytte til risikhandteringa, g kstnader sm blir utløyste dersm det skjer uønskte hendingar. Ved vurdering av tiltak vil det først vere frmålstenleg å ta utgangspunkt i eventuelle tiltak sm alt er etablerte, g sjå m dei skal vidareførast, justerast eller takast ut. Deretter kan ein vurdere m det er behv fr å setje i gang alternative tiltak. I beskrivinga av tiltak er det viktig å vere knkret både med msyn til kva tiltaket inneber, kven sm har ansvar fr gjennmføring, g tidsfrist. Det er fte ei utfrdring ettersm eit tiltak kan variere frå stre mstillingsprsjekt til små justeringar på prsessnivå. Når ein har bestemt kva tiltak sm skal gjennmførast, bør ein peike ut ein tiltaksansvarleg sm ikkje nødvendigvis er den same sm risikeigaren. Den tiltaksansvarlege følgjer pp at tiltak blir gjennmførte sm planlagt, g rapprterer til risikeigaren. Avgjerd m kva tiltak sm skal setjast i verk, blir ppsummert i ein tiltaksplan. Tiltaksplanen bør vere ein integrert del av verksemdsplanen. Etablere kntrllaktivitetar Parallelt med avgjerd av tiltak må ein ta stilling til krleis ein kan kntrllere at tiltaka blir gjennmførte g har ønskt effekt. Det bør utarbeidast styringsparametrar sm måler graden av målppnåing. Desse kan alt vere etablerte i verksemda, eventuelt må det utviklast nye. SSØ har i 2006 utgitt ein eigen rettleiar i resultatmåling sm mhandlar krleis det kan gjerast. 4 Andre kntrlltiltak kan til dømes vere evalueringar eller møte, samtalar, stikkprøvar g drøfting av feilsituasjnar sm ppstår. 4 SSØ, nvember 2006: Mål- g resultatstyring en veileder i resultatmåling. Kan bestillast på www.sfs.n. 23

Risikstyringa kan gjennmførast på fleire måtar, avhengig av kva sm passar plan- g ppfølgingsprsessane til den enkelte verksemda. Tabellen nedanfr viser krleis dei ulike aktivitetane sm inngår i ei førstegngsrisikstyring, kan leggjast pp: Tabell 2: Praktisk tilrettelegging av risikstyring (steg 3-7) Førebuingar Identifisering av kritiske suksessfaktrar g risikar Wrkshp 1 Vurdering g priritering av risik Wrkshp 2 Identifisering av g avgjerd m tiltak Fastsetje kva mråde g rganisasjnseining det gjeld Identifisere måla Vurdere kven sm er dei viktigaste infrmantane Avgjere m identifisering av kritiske suksessfaktrar g risikar skal skje gjennm idémyldring, intervju eller skriftlege innspel Bearbeide freslåtte risikar Samanstille risikliste Diskusjn: - Kva er risikane? - Kvifr er det risik? Risikkart bestemme kva verktøy sm skal brukast Vurdering g priritering av risikar Kva risikar skal følgjast pp gjennm tiltak? Risikeigar Kva tiltak? Kst/nytte-vurderingar - Frventa effekt av tiltak i frhld til kstnad - Gjennmføringsevne Avgjerd m tiltak Tiltaksansvarleg I planlegginga må det setjast av nk tid til dei ulike aktivitetane. Førebuingar før Wrkshp 1 krev fte mykje tid. Ein viktig del av førebuingane er val av mål sm skal vere gjenstand fr risikvurdering, gså ei vurdering av m måla er gdt nk frmulerte i frhld til å vurdere risik. Får ein det på plass gjennm førebuingane, unngår ein å få ein diskusjn m sjølve målfrmuleringane i Wrkshp 1. Det må òg sikrast at infrmantar, sm primært vil vere leiargruppa i verksemda, får nk tid til å identifisere kritiske suksessfaktrar g risikar. Ikkje minst er det viktig å bruke tid på å bearbeide innspela, slik at ein får eit gdt grunnlag fr diskusjnar m risik i Wrkshp 1. Ved vurdering g priritering av risikane vil det fte vere ulikt kunnskaps- g aktivitetsnivå hs deltakarane. Det er her viktig å invlvere alle deltakarane, slik at ikkje enkelte persnar blir fr dminerande. Utarbeidinga av tiltak (Wrkshp 2) kan gjerne skje i mindre grupper sm risikeigaren peiker ut, med ein endeleg tidsfrist fr avgjerd m kva tiltak sm skal setjast i verk. Arbeidet i wrkshp bør dkumenterast i frm av ein krt skriftleg rapprt, sm dannar grunnlaget fr den vidare risikppfølginga. 24

Steg 8 - Oppfølging av risikane Eit vesentleg element i risikstyringsprsessen er ppfølging av risikar. Verksemda må etablere rutinar sm sikrar frmålstenleg ppfølging g rapprtering av risik på ulike nivå (sjå òg steg 2). Det inneber å følgje pp gjennmføring av tiltak g m dei har hatt ønskt effekt. Det kan òg vere nyttig å vurdere m igangsette tiltak framleis er aktuelle, eller m innsatsen fr å handtere risik bør endrast. Ein naturleg del av den løpande ppfølginga er gjennmgang av risikkartet, med sikte på å beskrive eventuelle endringar, gså m risikar har falle brt eller nye er kmne til. Risikkartet, med eventuelle justeringar, g rapprtering av tiltak bør inngå sm ein del av den peridiske rapprteringa (sjå figur 8). I tillegg til peridisk rapprtering må det sikrast at den ansvarlege eininga følgjer pp g eventuelt rapprterer til verrdna nivå dersm kritiske risikar utviklar seg i negativ retning. Figur 8: Rapprtering g kmmunikasjn m risik g tiltak visualisert gjennm risikkart Organisasjnsnivå Verksemdsleiing Regin eller divisjn/avdeling Prsjekt Lkalkntr eller seksjn Rapprtering fr infrmasjn g/eller avgjerd System eller arbeidsprsess Avgjerder/pålegg Eit gdt system fr risikstyring føreset òg risikvurderingar sm ein del av avgjerdsprsessane i verksemda, mellm anna at det blir vurdert krleis avgjerder påverkar det ttale risikbiletet. 25

5 Risikstyring er effektiv ressursbruk Etter kvart sm ein får betre frståing fr g versikt ver krleis ulike tiltak g kntrllaktivitetar påverkar risikkartet, bør det òg vurderast m det er risikar sm er «verkntrllerte». Overflødige eller lite effektive kntrlltiltak bør reduserast eller fjernast. Det vil bidra til å effektivisere styring g kntrll. Figur 9 viser eit døme der ei verksemd må setje inn nye kntrlltiltak fr å redusere risiken på enkelte mråde, samtidig sm h vel å redusere kntrlltiltak frdi risiken er verkntrllert. Figur 9: Døme på eit risikkart sm viser at verken fr mange eller fr få tiltak gir gd styring Svært str Fr få tiltak Fr mange tiltak Sannsynlegheit Str Mderat Lita Svært lita Risik Kritisk Høg Mderat Låg Ubetydeleg Låg Mderat Alvrleg Knsekvens Svært alvrleg Risikstyringa vil på denne måten hindre at fkus i styringa stadig er retta mt meir ressursinnsats i frm av nye kntrlltiltak, g i staden bidra til at dei ressursane sm alt finst i verksemda, blir brukte ptimalt. Kunsten er dermed å finne den rette balansen mellm risik g kntrlltiltak i frhld til målppnåing. På den måten ppnår ein best mgleg avkasting i frm av tenesteprduksjn g effektar fr brukarar g samfunn med dei midlar ein har til dispsisjn gjennm statsbudsjettet, g sm verksemdene er sette til å frvalte. 26

www.sfs.n Offentlege institusjnar kan bestille fleire eksemplar av denne publikasjnen frå: Senter fr statleg øknmistyring E-pst: pstmttak@sfs.n Telefn: 400 07 997