Introduksjon 1. samling planlegging og risikovurdering 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 1
Plan for gjennomføring QB Innspill/behov til opplegget generelt/gjennomføring Innspill/behov til innholdet i hver samling/tema Innhold DFØs metode og veileder utgangspunkt Behov/innspill fra QB avgjør hva fra DFØs metode/veileder som blir dekket Mål Mål for hver samling/steg i metoden Direktoratet for økonomistyring 13.12.2013 Side 2
Plan for gjennomføring forts. Teori Metode Litteratur Praktiske verktøy DFØs veileder/ COSO/ISO DFØs verktøy/ andre verktøy Erfaringsutveksling Problem- løsning Eksempler/ presentasjoner fra virksomhetene Diskusjon rundt utfordringer i virksomhetene Direktoratet for økonomistyring 13.12.2013 Side 3
Resultat fra QB Tidspunktene for samlingene OK 2. samling Utforming og implementering behov for 2 dager? Ca. 40/60 teori og praksis Foretrukket arbeidsform praksis del: Plenumsdiskusjoner/erfaringsutveksling DFØs metode/verktøy Presentasjoner fra virksomhetene Forventninger til utbytte Drahjelp og faglig påfyll Bevisstgjøring egen og andres praksis Arena for nettverk Direktoratet for økonomistyring 13.12.2013 Side 4
Resultat fra QB forts. Fundamentet Forankring for å få til en vellykket implementering og gjennomføring av internkontrollen i virksomheten Dokumentasjon av etablert internkontroll/internkontrollsystemet Planlegging Risikotoleranse og ambisjonsnivå (hvor skal vi?) Status/egenevaluering (hvor er vi?) Handlingsplan for internkontrollen (hva må vi gjøre nå?) Risikovurderinger Gjennomføre RV Få RV på ulike nivå til å henge sammen, samt link til internkontrollsystemet -> risikobasert internkontroll Prosesskartlegging og RV på prosessnivå Direktoratet for økonomistyring 13.12.2013 Side 5
Program og mål for 1. dag 1. samling Forståelse for hva som ligger i fundamentet for god internkontroll Styrings- og kontrollmiljø Vedtatt rammer og ressurser for internkontrollarbeidet. Dokumentert og integrert i virksomhetsplanen el. Definert ambisjonsnivå for IK Vurdert status på IK Fastsatt årshjul for internkontroll (eks. fastsatt tidspunkt for planlegging/risikovurderinger, oppfølging og rapportering) Direktoratet for økonomistyring 13.12.2013 Side 6
Program og mål for 2. dag 1. samling Oversikt over mål og krav Oversikt over vesentlige prosesser i virksomheten Oversikt over hva som eksisterer av styrende dokumentene (policyer og prosedyrer) Gjennomført risikovurderinger på: Virksomhetsnivå/overordnet (ledergruppen el.) Knyttet risikoer til vesentlige prosesser Knyttet risikoer til eksisterende styrende dokumenter Prosess(er) Inkl. prosesskartlegging for en eller flere vesentlige prosesser Vurdert behov for tiltak/oppfølging på bakgrunn av risikovurderingen Direktoratet for økonomistyring 13.12.2013 Side 7
«Kjøreregler» og andre oppfordringer Verktøy, dokumenter, presentasjoner ol. som ønskes å deles sendes til Ola eller Christine Legges ut på samarbeidsforumsidene Distribueres kun til deltakerne. Ønske/tilbud/forslag om presentasjoner gi beskjed til Ola eller Christine Vær positive, konstruktive og løsningsorienterte! Mange ulike typer virksomheter med ulikt behov for internkontroll Ulik modenhet og ambisjonsnivå Gi tilbakemelding på hva som fungerer bra/mindre bra Kontinuerlig forbedring fra samling til samling Direktoratet for økonomistyring 13.12.2013 Side 8
Together we can do it! 13.12.2013 Direktoratet for økonomistyring Side 9
Fundamentet for god internkontroll v/ingrid Buhaug Brænden Presentasjonsrunde deltakere Direktoratet for økonomistyring 13.12.2013 Side 10
Presentasjon av DFØs kvalitetssystem - Origo v/eva Halvordsen og Terje Vøyenlie Direktoratet for økonomistyring 13.12.2013 Side 11
Internkontroll i DFØ 13.12.2013 Direktoratet for økonomistyring Side 12
Målsetning internkontroll 2014 Etablere et system for internkontroll som er en del av virksomhetens styringssystem Internkontrollaktiviteter inngår i aktivitetsplanene Rapportering fra internkontrollarbeid inngår i ordinær rapportering Rutiner, risikovurderinger, kontrollpunkt, rapportering og oppfølging av tiltak og avvik, skjer i dokumenterte prosesser Direktoratet for økonomistyring 13.12.2013 Side 13
Status internkontroll desember 2013 I ferd med å operasjonalisere DFØs veileder i internkontroll Etablere oversikt over regelverk, retningslinjer og fullmakter Utarbeide styrende dokumenter (Styring og kontroll, Kontroll og etterlevelse og Sikkerhet) Kartlegge prosesser (top down) Utarbeide rollebeskrivelser Revidere metodikk for risikovurderinger Verktøy: Prosessdokumentasjon Direktoratet for økonomistyring 13.12.2013 Side 14
Overordnede mål for prosessdokumentasjon Overordnede mål for prosessdokumentasjon Prosessdokumentasjonen skal være et verktøy for styring og kontroll i DFØ. Prosessdokumentasjonen skal beskrive den praksis vi skal følge i leveransene av våre tjenester. Prosessdokumentasjon skal være et verktøy for å arbeide med forbedring og utvikling. Direktoratet for økonomistyring 13.12.2013 Side 15
Prosess, definisjon En prosess er en rekke sammenhengende aktiviteter som fører frem til et klart definert resultat, ut fra et kundedefinert behov Prosessledelse er å styre prosessene slik at de når sine mål 13.12.2013 Side 16
Prosesseier Faglig ansvar for hele prosessen fra ende til ende Ansvar for at prosessen fungerer optimalt i forhold til sitt formål Ansvar for dokumentasjon av vår beste praksis for prosessen Direktoratet for økonomistyring 13.12.2013 Side 17
Prosessdokumentasjon 1 Felles forståelse og kunnskap! Publisert dokumentasjon Prosessgrupper Individuelle notater Taus personlig kunnskap
Prosessdokumentasjon 2 Identifisere og definere prosessene Identifisere prosesseier Analysere og forbedre prosessene (to-be) Implementere forbedringer Kartlegge prosessen as-is (aktiviteter, beslutninger og roller). Identifisere forbedringsmuligheter og quickwins. Prosessledelse, løpende forbedring 13.12.2013 Side 19
Dokumentasjonsnivåer 1 Tjenestenivå Prosessnivå Aktivitetsnivå Direktoratet for økonomistyring 13.12.2013 Side 20
Styring og kontroll Planlegging og oppfølging Utvikle Utvikle Utvikle Utvikle Utvikle Utvikle Forvalte Forvalte Forvalte Levere Levere Levere Forvaltningstjenester Statsregnskapet Konsernkontoordningen Økonomiregelverket Kompetansetjenester Veiledningsmateriell Kurs, seminarer og nettverk Rådgivningstjenester Forvalte Forvalte Produsere og levere Produsere og levere Økonomitjenester Lønnstjenester Regnskapstjenester Tjenesterelatert støtte Administrativ støtte Utvikle økonomitjenestene Gi kompetansestøtte til økonomitjenestekunder Gi kommunikasjonsstøtte Levere IT-infrastruktur Ivareta intern administrativ støtte Direktoratet Direktoratet for økonomistyring for økonomistyring 13.12.2013 Side 21
Dokumentasjonsnivåer 2 Rolle 1 Tjenestenivå Prosessnivå Aktivitetsnivå Rolle 2 Rolle 3
Dokumentasjon av etablert og gjennomført internkontroll Gruppe 1 10. desember 13.12.2013 Direktoratet for økonomistyring Side 23
Verktøy Veiledning dokumentasjon av etablert internkontroll Veiledning, maler og eksempler: dokumentasjon av etablert internkontroll -> dokumenthierarki Hva, Hvorfor, Hvor og Hvordan policy for internkontroll Hva, Hvorfor, og Hvordan Side 24
Forslag til diskusjonspunkter Hva og Hvor Hva betyr «dokumentasjon av etablert internkontroll»? Hva er kravene til dokumentasjon? Hvor/hvilke områder i virksomheten bør dokumenteres? Suksesskriterier for etterlevelse av styrende dokumenter Viktige prinsipper Innhold i de styrende dokumentene mal Direktoratet for økonomistyring 13.12.2013 Side 25
Hva mener vi med «dokumentasjon av etablert internkontroll» Internkontrollsystem: Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et; fundament som omfatter: styrings- og kontrollmiljø informasjon og kommunikasjon En strukturert metode for arbeidet med etablering og forbedring av internkontrollen. Side 26
Dokumentasjon av etablert internkontroll i styrende dokumenter I de styrende dokumentene er virksomhetens internkontrollsystem dokumentert og beskrevet, eksempelvis i policyer og prosedyrer Hvem og hva Hvordan Overordnede føringer og krav Policyer Prosedyrer Gjennomført IK Eksempelvis Instruks for økonomi- og virksomhetsstyring, tildelingsbrev, samt lover og regler mv. virksomheten må forholde seg til Regulerer overordnede føringer og prinsipper samt tydeliggjør roller og ansvar gjennom å definere hvem som har ansvaret for hva innenfor det området policyen gjelder for Beskrive hvordan aktiviteter, kontroller, oppfølging og rapportering skal gjennomføres for å håndtere risiko og fastsette krav på en målrettet og effektiv måte Dokumentasjon av gjennomførte kontroller og oppfølgingsaktiviteter omtalt i prosedyrene, som stikkprøver, nøkkelkontroller
Krav til å dokumentere internkontrollen Krav i Økonomiregelverket til både å dokumentere; Etablert internkontroll Reglementet og Bestemmelsene Gjennomført internkontroll og oppbevaring av dokumentasjon Bestemmelsene Hva sier Instruks?, TB?, Anmerkninger fra Riksrevisjonen? Andre tilsyn? Direktoratet for økonomistyring 13.12.2013 Side 28
Hvor bør vi ha styrende dokumenter? Eksempel: Områder for policyer Hva sier risikovurderingene våre? Virksomhet Risikoens alvorlighetsgrad Saksbehandling Plan og budsjett Regnskap Policy - Status Utformet Utformet Utformet Implementert Implementert Implementert Utformet Mangler Utformet Mangler Risiko 1 L x Risiko 2 H x x Risiko 3 M x Risiko 4 M x Risiko 5 M x Risiko 6 H x x x x Risiko 7 M x Risiko 8 M x Risiko 9 M x x Risiko 10 H x x Risiko 11 H x x Anskaffelser Risiko 12 H x? IT drift Økonomi HR Rådgivning Juridisk Kolonne2 Kolonne1 Direktoratet for økonomistyring 13.12.2013 Side 29
Sammenheng fra virksomhetsnivå ned til vesentlige prosesser og policyer og prosedyrer Kjerneprosesser Mål og krav Risikovurdering på virksomhetsnivå Identifisering av vesentlige prosesser behov for policyer? Kartlegging og Strategi risikovurdering av R4 Fastsette mål, planlegging, rapportering, analyse og revurdering R5 Rådgivning Støtteprosesser Styringsprosesser Opplysningsarbeid Søknadsbehandling tilskudd Rapportering tilskudd Økonomi IKT HR Anskaffelser R1 R3 R2 R5 R3 R3 R1 vesentlige prosesser behov for prosedyrer? 2 3 4 3 4 5 3 3 2 7 9 5 3 7 8 5 4 5 3 4 5 Side 30
Suksesskriterier for etterlevelse - diskusjon Enhetlighet Like ting bør om mulig gjøres likt benytt maler! Sikrer kvalitet, effektivitet og forutsigbarhet i utforming av nye Bidrar til gjennkjennelighet og øker sannsynligheten for etterlevelse Tilgjengelighet Enkelt å finne frem siste versjoner for ansatte Prosess Bidrar til at de blir levende og etterlevd Forståelse for Hva og Hvorfor Top-down og bottum-up Bidrar til forståelse, aksept, forankring Prosess (forståelse og involvering) Organisasjon og mennesker (sterk kultur) System (enkelt og tilgjengelig) Direktoratet for økonomistyring 13.12.2013 Side 31
Innhold i en policy/prosedyre Følgende innholdsfortegnelse i en policy kan være hensiktsmessig: 1. Formål 2. Gyldig for 3. Definisjoner 4. Overordnede føringer og prinsipper. For prosedyre: Kopling til overordnede føringer og prinsipper 5. Roller og ansvar. For prosedyre: Gjennomføring av prosedyren (prosesskart med prosessteg) 6. Eierskap og Direktoratet implementering for økonomistyring av policy 13.12.2013 Side 32
«Fortell meg og jeg glemmer, vis meg og jeg husker, involver meg og jeg forstår.» Kinesisk ordspråk 13.12.2013 Direktoratet for økonomistyring Side 33
Sjekklister: Styrings- og kontrollmiljø Informasjon og kommunikasjon Gruppe 2 10. desember 13.12.2013 Direktoratet for økonomistyring Side 35
Sjekklistene - formål og anvendelse Refleksjon: Hvem har ansvar for disse områdene? Hvem bør fylle ut sjekklistene? Formål: Få opp status på disse områdene (de to komponentene) supplement til status fra andre kilder Grunnlag for forbedringer Egne tiltak på disse områdene (inn i plan?) Tiltak her sett i sammenheng med andre tiltak (utforming) Dokumentasjon Bevisstgjøring Direktoratet for økonomistyring 13.12.2013 Side 36
Diskusjon bruk av sjekklister Erfaringer utfordringer løsninger Direktoratet for økonomistyring 13.12.2013 Side 37
Planlegging av internkontrollen Ola Otterdal 13.12.2013 Direktoratet for økonomistyring Side 38
Planlegging 1. Ambisjonsnivå 2. Status for internkontrollen 3. Rammer og ressurser for internkontrollarbeidet 39
Ambisjonsnivå for internkontrollen Hva er ambisjonen? (Hvor skal vi?) Ledelsen må definere ambisjonsnivå for internkontrollen tilpasset risiko, vesentlighet og egenart ved å definere: Risikotoleranse (hva kan vi tåle av feil og uønskede hendelser?) Kvalitet (hva er standarden?) Målet er ikke å være feilfri! Balanse mellom ressurser benyttet på verdiskapning og kontroll Side 40
Diskusjon ambisjon Erfaringer utfordringer løsninger Direktoratet for økonomistyring 13.12.2013 Side 41
Status i forhold til internkontroll Hva er overordnet status? (Hvor er vi?) Benytt ulike kilder for å få opp et bilde av statusen Kjenn din virksomhet! (styrker og svakheter) Egenevaluering/modenhetsvurderinger Tidligere års risikovurderinger Gjennomførte evalueringer Merknader fra tilsyn og Riksrevisjonen Side 45
Status i forhold til internkontroll forts. 7 kjennetegn på god internkontroll: 1. Ledelsesforankret 2. Tilpasset egenart, risiko og vesentlighet -> risikobasert skreddersøm 3. Tydeliggjort ansvar, myndighet og roller 4. Integrert i styring og drift -> en del av ikke adskilt fra øvrige prosesser 5. Formalisert og dokumentert, tilgjengeliggjort og kommunisert 6. Etterlevd og systematisk fulgt opp 7. Enhetlig og helhetlig -> gjennom- gripende og satt i system Side 46
Diskusjon status Erfaringer utfordringer løsninger Direktoratet for økonomistyring 13.12.2013 Side 47
Rammer og ressurser for internkontrollarbeidet Ambisjonsnivå vs. overordnet status for internkontrollen gap? (Hva må vi gjøre nå?) Plan/tiltak for internkontrollarbeidet 48
Hvordan integrere i virksomhetsstyringen? Inn i virksomhetsplanen? Inn i seksjon- og avdelingsplaner? Egen handlingsplan som følges opp i etablerte fora (tavlemøter, seksjonsmøter, avdelingsmøter etc.) Direktoratet for økonomistyring Side 49
Egenevaluering av internkontrollen 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 50
Eksempler Nivå 1 Nivå 2 Nivå 3 Nivå 4 Nivå 5 Modenhetsnivå på internkontroll Uformelle og tilfeldige kontroller gjennomføres ad-hoc og usystematisk Det er etablert og dokumentert kontrollaktiviteter og kontrollrutiner - spredt Det er etablert et internkontrollsystem som er basert på risikovurderinger Det er etablert og dokumentert rutiner for ansvar, gjennomføring, og dokumentering av gjennomført internkontroll Internkontrollsystemet er gjenstand for løpende vurdering og oppfølging for å sikre kontinuerlig forbedring Det er etablert og dokumentert tydelige rutiner og ansvar for gjennomføring, oppfølging, vedlikehold og forbedring av internkontrollen Internkontrollsystemet er integrert i virksomhetsstyringen, herunder risikostyring / mål- og resultatstyring Behov for forbedring Behov for forbedring Akseptabelt nivå Videregående nivå Ledende/beste praksis Ledende Tilfredsstillende Bør forbedres Må forbedres Etablerte styrings- og kontrollsystemer vurderes som ledende/ i samsvar med "beste praksis (COSO)". God oppfølging og etterlevelse. Etablert styrings- og kontrollsystemer vurderes som tilfredsstillende, både i forhold til rammeverk, etterlevelse og oppfølging Etablerte styrings- og kontrollsystemer bør forbedres på enkelte områder. Enkelte svakheter knyttet til etablert rammeverk, ledelsesoppfølging, og/eller etterlevelse Styrings- og kontrollsystemer må forbedres på vesentlige områder. Ikke tilfredsstillende Det er ikke etablert tilfredsstillende styrings- og kontrollsystemer. Vesentlige svakheter i etablering og/eller gjennomføringen av styrings- og kontrollsystemene Ikke vurdert Ikke etablert styrings- og kontrollsystemer. Tema er ikke vurdert 13. desember 2013 Side 51
Formål med verktøyet Egenevaluering av internkontrollen Dokumentert systematisk vurdering av tilstanden Bevisstgjøring Hva er god internkontroll Hva er status hos oss felles diskusjon og oppfatning Informasjons- og kommunikasjonsgrunnlag Felles «plattform/mål» for videre arbeid Prioriteringsverktøy Hva bør prioriteres først Verktøy for å vurdere effekt av tiltak og utvikling over tid Blir vi bedre? Direktoratet for økonomistyring 13.12.2013 Side 52
Demonstrasjon av verktøy Egenevaluering av internkontrollen 53
Mulige utfordringer Vanskelig å svare? Krever god kjennskap til virksomheten eller området som vurderes. Hvem skal fylle ut? hvem har best forutsetninger for å fylle ut? Får vi «ærlige» svar? Vanskelig å sammenlignbart fra år til år? Direktoratet for økonomistyring 13.12.2013 Side 54
Løsninger La et nivå over eller et nivå under den enheten eller området som blir vurdert besvare dersom mulig Gjennomfør som et intervju (mulighet for å forklare og stille oppfølgingsspørsmål) Vær bevisst hvem som er intervjuer! Gjennomfør vurdering og utfylling i WS eller i møte Forankring og felles forståelse Fasilitator kan følge opp med «Og hvordan vet du det?» Direktoratet for økonomistyring 13.12.2013 Side 55
Litt bedre år for år 13.12.2013 Direktoratet for økonomistyring Side 56
Presentasjon fra NAV Årlig plan for internkontrollarbeidet v/kristine Bosio Horn Direktoratet for økonomistyring 13.12.2013 Side 57
Oppsummering DAG 1 10. desember 2013 13.12.2013 Direktoratet for økonomistyring Side 58
Mål Forståelse for hva som ligger i fundamentet for god internkontroll Hvordan bør virksomheten arbeide systematisk med dette? Vedtatt rammer og ressurser for internkontrollarbeidet (dokumentert og integrert i virksomhetsplanen el.). For å få til dette bør virksomhetene ha: Definert ambisjonsnivå for IK Vurdert status på IK Fastsatt årshjul el. for internkontroll (eks. fastsatt tidspunkt for planlegging/risikovurderinger, oppfølging og rapportering) Direktoratet for økonomistyring 13.12.2013 Side 59
Årshjul for kontinuerlig forbedring - litt bedre år for år Årshjulet kan bla. inneholde informasjon om tidspunkt for følgende aktiviteter: Planlegging Risikovurderinger Oppfølging Kvalitetskontroller Oppfølging av effekt og kontroll av etterlevelse / nøkkelkontroller Oppfølging av planer (handlingsplaner, tiltaksplaner, virksomhetsplaner mv.) Lederrapportering på internkontroll (egenevaluering) Syklus for oppdatering av styrende dokumenter Årshjul
Planlegging og risikovurdering Virksomhetsplan Tildelingsbrev Oppfølging og rapportering Virksomhetsplan (Mål, SP, aktiviteter) Økonomi Årshjul Årsregnskap Årsrapport (inkl. styring og kontroll) Halvårsrapport Evt. oppfølging og halvårlig rapportering 61
Ordet fritt Spørsmål? Innspill? Kommentarer? Hva bør vi justere til i morgen dersom mulig? Hva har fungert godt og mindre godt? Side 62
Takk for innsatsen så langt! Vel hjem, vi sees i morgen kl. 09.00! 13.12.2013 Direktoratet for økonomistyring Side 63