intern Nr 1 / SOMMER 2007 15. årgang Risikostyring i staten status implementering
Kjære leser Styrets leder har ordet Som nyvalgt president i foreningen, ønsker jeg å takke medlemmene for den tillit som er vist meg gjennom siste generalforsamling. Jeg ønsker også å rette en foreløpig takk vår nylig avgåtte president Reidar Døli for hans store innsats de siste to årene og for at han er villig til å stille som visepresident kommende år. Vår mangeårig redaktør i Intern, Alf Eldar Bergset, fratrer også sitt verv og jeg benytter anledningen til å takke ham for lang og god innsats gjennom mange år. Vårt årsmøte og vår generalforsamling med tilhørende valg medførte ca. 30 skifter av verv i vårt tillitsmannsapparat. Jeg benytter anledningen til å takke alle de som gjennom sine verv har vært med å bringe foreningen fremover siste år og ønsker samtidig nytt mannskap velkommen til sine respektive verv og håper at vi sammen kan bidra til fortsatt vekst til nytte og glede for våre medlemmer. Internrevisjonskonferansen -2007 Årets konferanse fant sted i Kristiansand den 3. 4. og 5. juni med tema: Etikk fundament for god virksomhetsstyring og intern kontroll. En stor takk til konferansekomiteen som hadde valgt et meget aktuelt tema sett i lys av de korrupsjons- og mislighetssaker som har versert i vårt samfunn og mediebilde de siste årene og som dessverre bare ser ut til å øke i antall og omfang både i offentlig og privat sektor. Som revisor må man reflektere over økningen i avdekkede saker om det skyldes forbedrede kontrollregimer eller at omfanget av saker faktisk er større nå enn tidligere. Og så kan man reflektere videre og spørre seg hvorfor omfanget skulle være større i et samfunn som sett utenfra, nærmest flyter over av melk og honning. Burde ikke en slik samfunnsutvikling tilsi at antall saker og omfang ble redusert? Jeg har ikke svarene, men tror at behovet for vår profesjon vil øke... dersom vi sørger for å inneha nødvendig kompetanse og utføre vårt arbeide med tilfredsstillende kvalitet og timing. I 2006 ble det dannet et mislighetsnettverk i foreningen. Nettverket har jobbet aktivt med å få til en kursserie på 4 kurs på mislighetsområdet. Kursserien ble igangsatt våren 2007 og vil strekke seg fram til 2008. NIRF har engasjert to av de mest profilerte granskerne i bransjen og så langt har kurskvaliteten oppfylt deltakernes forventninger. Ny generalsekretær Foreningen har vært uten generalsekretær siden 1. mars i år, da Frank Alverns engasjement i foreningen utløp. Styret oppnevnte i vinter et arbeidsutvalg bestående av president Reidar Døli, styremedlem Richard Nylen og undertegnede, som fikk i oppdrag å finne ny generalsekretær. Arbeidsutvalget har benyttet headhunter i sitt søk og har lykkes å få ansatt Ellen Brattaas i stillingen. Ellen er 36 år, har utdannelse fra Høgskolen i Oslo og er CISA. Hun har bred revisjonserfaring fra både kommunal, statlig og privat sektor. Vi ønsker Ellen velkommen i stillingen fra 1. september og ser fram til å få henne på plass i sekretariatet. Sekretariatet Vår foreningssekretær og presidenten har hatt en travel vår i fravær av generalsekretær. All honnør til ekstra innsatsen fra disse to i vårmånedene. Vårt samarbeid med NKRF er viktig og til stor nytte for begge foreninger. Vi har hittil hatt samarbeid på sekretariatstjenester inklusive regnskapsføring samt et kursarrangement innen offentlig sektor. Det synes nå også å være interesse for å utvide samarbeidet på kurssiden, noe vi i NIRF ser positivt på. Internrevisjonskonferansen i 2008 Det er bestemt at konferansen i 2008 skal finne sted 8. 10. juni i Molde rosenes by og jazzens Mekka i Norge. Rammen rundt konferansen synes å være av beste klasse og så er det opp til oss medlemmer å komme med tips og ønsker om aktuelle tema. Dersom du brenner inne med gode tema og gode forelesertips, henvend deg til sekretariatet som vil formidle det videre til konferansekomiteen. Årskonferansen er den viktigste møteplassen for vår profesjon og representerer også foreningens fremste finansieringskilde. Det er derfor viktig at vi finner gode temaer og forelesere som kan gi oss faglig påfyll og løft. Jeg ønsker dere alle en god sommer og håper vi går inn i en god høst for foreningen. Hilsen Solbjørg 2 intern
Innhold 2 Styrets leder har ordet 4 Redaktørens spalte Risikostyring i staten: 6 Risikostyring i Helse- og omsorgsdepartementet en statusrapport 10 Risikostyring i helseforetakene 14 Risikostyring i jernbanesektoren 16 Risikostyring i Sjøfartsdirektoratet 20 Status for risikostyring i staten, sett fra Senter for statlig økonomistyring 23 Risikostyring noen refleksjoner rundt Riksrevisjonens rolle 26 Risikobasert revisjon av generelle IT-kontroller og regnskapsrevisjon Forenings- og profesjonsnytt: 29 Internrevisjon i den finske statsforvaltning under lupen 30 Frank Alvern overtar som Chairman of The IIA s Board of Regents 33 Hva gjør du nå? 35 Internrevisjonskonferansen 2007 - to og et halvt døgn med etikk 39 Medlemsnytt 40 Stort og smått fra IIA-familien 43 På tampen NORGES INTERNE REVISORERS FORENING President Solbjørg Lie NAV Internrevisjon M: 908 76 435 Solbjorg.Lie@nav.no Informasjons- og kommunikasjonskomiteen Bård Bosløven - Leder DnB NOR J: 22 94 96 70, M: 930 27 472 bard.bosloven@dnbnor.no Konferansekomiteen Even Nilsen Leder Fagforbundet J: 23 06 46 28, M: 916 22 216 even.nilsen@fagforbundet.no Programkomiteen Petra Liset Leder PricewaterhouseCoopers AS J: 952 60 152 petra.liset@no.pwc.com Redaksjonskomiteen Sverre Bjertnes - Leder M: 913 64 344 sverre.bjertnes@alpharma.no Høringskomiteen Lars Erik Fjørtoft - Leder KPMG M: 970 44 290 lars.erik.fjortoft@kpmg.no Professional Practice Committee PPC Asbjørn Lundberg - Leder Norske Skogindustrier ASA J: 65 59 91 72, M: 918 31 251 asbjorn.lundberg@norskeskog.com Nominasjonskomiteen Einar Døssland Leder Edbo risk management M: 909 82 756 einar@edbo.no Foreningssekretariat Svein Stabekk Foreningssekretær Tlf.: 932 37 912 svein.stabekk@nirf.org Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika 0115 Oslo Faks: 23 23 97 01 post@nirf.org Besøksadresse: Munkedamsveien 3b, 4. etg. 0161 Oslo Intern: Organ for Norges Interne Revisorers Forening, NIRF Antall utgivelser pr år: 2 Opplag: 1000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Desember 2007 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.v. Årsabonnement: Kr 150,- Annonsepriser: Kr 5000,- for en helside, kr 3000,- for en halvside (mva tilkommer). Grafisk produksjon: Pr.info DM Hamar Forsidefoto: Scanstock foto
REDAKTØRENS SPALTE Det har nå litt over ett år siden SSØ kom med sitt metodedokument for risikostyring. Redaksjonskomiteen fant det derfor interessant å finne litt ut av hvordan det går med implementering av risikostyring på ulike nivåer i statsforvaltningen. I denne utgaven er derfor dette hovedtema. Vi har bedt statlige virksomheter på ulike nivåer fortelle litt om erfaringer så langt. Vi har videre fått Senter for statlig økonomistyring (SSØ) og Riksrevisjonen til å gi et generelt inntrykk av implementeringsarbeidet på bakgrunn av den brede innsikt de sitter med. I artiklene trekkes det fram en del utfordringer som er erfart så langt. En av fellesnevnerne er ledelsens engasjement. Det påpekes viktigheten av at implementeringsarbeidet er forankret hos toppledelsen. SSØ har på bakgrunn av sin erfaring blant ulike statlige virksomheter observert at implementeringen er svakt forankret i toppledelsen. Videre understrekes viktigheten av at ledelsen engasjerer seg i risikostyringsprosessens alle faser for å sette sitt preg på innholdet både gjennom å være viktige bidragsytere og ved å legge nødvendige føringer for gjennomføringen av dette arbeidet. Det er flott at adm direktør Bente Mikkelsen i Helse Sør-Øst RHF i et intervju med Intern understreker at lederforankring og eierskap er den viktigste forutsetning for å lykkes og for å få til effektiv risikostyring. Hun mener at risikostyring satt i system er et av de viktigste verktøyene for blant annet å prioritere riktigere og oppnå bedre ressursutnyttelse! For øvrig er det mange i statsforvaltningen som ønsker svar på hvordan Riksrevisjonen vil bruke risikostyringen i sitt arbeid, noe som ekspedisjonssjef Jens Gunvaldsen redegjør for. I denne utgaven introduserer vi to nye faste spalter. Den ene omtales som Stort og smått fra IIA-familien. I denne spalten ønsker vi å presentere større og mindre nyheter fra andre deler av den store IIAfamilien. Det er forhenværende generalsekretær Frank Alvern som har tatt initiativ til denne. Med hans posisjon i IIA systemet er vi sikret at de viktigste nyhetene blir fanget opp og publisert til våre lesere. Den andre spalten hva gjør du nå? - er et lite gjensyn med tidligere kollegaer innen vår profesjon hvor vi blant annet får vite hva de arbeider med nå og hvilken nytte de har hatt av sin erfaring som internrevisorer i sitt nåværende arbeid. Under produksjon av bladet er det alltid noen sider vi ikke klarer å fylle helt opp med faglig innhold. Det blir en halvside eller kvartside som blir blanke. For å fylle opp disse sidene har vi tidligere lagt inn noen bilder. Denne gangen har vi valgt å fylle opp med lett påfyll for både hode og mage! Jeg går nå ut av Redaksjonskomiteen etter nesten 10 år og vil derfor benytte anledningen til å takke alle de som har vært med i komiteen for et godt samarbeid og meget gode bidrag for å videreutvikle og produsere NIRFs fagtidsskrift. En takk også til alle de som har bidratt med artikler i disse årene. Personlig synes jeg det har vært et givende arbeid selv om det er meget hektisk før deadline, men samtidig en frydefull følelse når bladet kommer ut fra trykkeriet som et ferdig produkt. På NIRF konferansen i Kristiansand ble det valgt en redaksjonskomite med ny leder. Jeg ønsker redaktøren og komiteen lykke til i arbeidet med å videreutvikle og produsere Intern. Jeg vil til slutt ønske alle en riktig god sommer! Alf Eldar Bergset REDAKSJONS KOMITEEN Alf Eldar Bergset - Leder (valgt for 2006-2007) KPMG AS Postboks 214 2302 Hamar J: 62 59 87 67, M: 991 56 616 alf.bergset@kpmg.no Karl-Helge Stjernen Storhaug (valgt for 2006-2007) Helse Øst RHF Postboks 404 2303 Hamar J: 62 58 55 02, M: 976 26 366 karl.helge.storhaug@helse-ost.no Sveinung Svanberg (valgt for 2006-2007) Universitetet i Oslo Postboks 1154 Blindern 0318 Oslo J: 22 85 62 89 s.k.svanberg@admin.uio.no Unni Leivestad (valgt for 2006-2008) NAV Postboks 8057 Dep 0031 Oslo J: 22 92 70 75, M: 926 26 946 unni.leivestad@nav.no Jørn A.Arnesen (valgt for 2006-2008) Statens jernbanetilsyn Wergelandsveien 3 0167 Oslo J: 22 99 59 03, M: 415 18 960 jaa@sjt.no Tove Klokkerhaug (valgt for 2006-2008) Nordea Bank Norge ASA Postboks 1166 Sentrum 0107 Oslo J: 22 48 44 12, M: 412 23 306 tove.klokkerhaug@nordea.com Se mer info på www.nirf.org Jens A. Gunvaldsen - Styrets representant Riksrevisjonen Postboks 8130 Dep 0032 Oslo J: 22 24 11 75, M: 911 52 825 jens.gunvaldsen@riksrevisjonen.no 4 intern
2006 KPMG AS, a Norwegian member firm of KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Norges mest spennende bedrifter......trenger deg KPMG har et av landets mest spennende rådgivningsmiljøer med noen av Norges største virksomheter som kunder. Vi tilbyr deg et miljø med høy faglig spisskompetanse hvor vi tar deg og din karriere på alvor! Vi vokser og søker flere dyktige rådgivere til Internal Audit Services (IAS): Kundeansvarlige/ prosjektledere (managere) Senior Rådgivere/ prosjektmedarbeidere IAS omfatter rådgiving innen internrevisjon, risikostyring og finansiell internkontroll. Vår rådgiving skal bidra til en bedre virksomhetsstyring gjennom å etablere kontinuerlig ledelsesinformasjon om risikoer, slik at de kan vurderes og håndteres på en effektiv måte. For mer informasjon om stillingene og søknad, ta kontakt med Ragnar Torland, tlf. 900 39 154, eller se: www.kpmg.no KPMG er en kompetansebedrift med rundt 700 kunnskapsmedarbeidere i Norge og 100 000 ansatte globalt. Vi er et ledende revisjonsog rådgivningsselskap med målsetting om å skape verdi av kunnskap. intern 5
Risikostyring i staten Risikostyring i Helse- og omsorgsdepartementet en statusrapport av Seniorrådgiver Sverre Lunde, Helse- og omsorgsdepartementet, Budsjett- og økonomiavdelingen. Sverre Lunde er prosjektleder for innføring av risikostyring i Helse- og omsorgsdepartementet. Han er utdannet statsviter (UiO), B.A. in Business Administration og diplomert intern revisor. Han har tidligere arbeidet som internrevisor ved Universitetet i Oslo. Han deltok i referansegruppen ved utarbeidelsen av SSØs veilederdokument for risikostyring i staten. Mange statlige virksomheter arbeider med å etterkomme kravene til risikostyring i Reglement og bestemmelser for statlig økonomistyring fra 2004. Dette gjelder også departementene som har en spesiell rolle i skjæringspunktet mellom politikk og forvaltning. Innføring av risikostyring er krevende prosesser som i mange tilfeller innebærer innføring av et nytt begrepsapparat og tankegang. I statlig sektor (antagelig også i mange private bedrifter) har dette styringselementet vært relativt lite kjent utenfor revisjonsog kontrollfunksjonene. SSØs metodedokument gir et viktig bidrag til at risikostyring kan tas i bruk, men også dette dokumentet vil måtte tilpasses virksomhetens egenart. Muligheten for tilpasninger til virksomhetens egenart har også vært et viktig element i økonomiregelverket fra 2004. I Helse- og omsorgsdepartementet har departementets prosjektgruppe for risikostyring nettopp levert sin sluttrapport med forslag til løsning og videre prosess for risikostyring. Jeg vil i denne artikkelen gi en oversikt over hva vi har gjort så langt, noen vurderinger og veivalg. Med forbehold om at vårt forslag vedtas av departementets ledelse vil jeg også gi en oversikt over de løsninger vi har anbefalt for innpassing i styringsstrukturen. Innledning Helse- og omsorgsdepartementet hadde som mange andre statlige virksomheter ulike initiativ for å komme i gang med å etterkomme kravet til risikostyring da dette kom i 2004. Budsjett- og økonomiavdelingen arrangerte blant annet et eget seminar med Den norske revisorforening, Ernst & Young og Multiconsult for å introdusere begrepsapparatet og få innsikt i tankegangen. Risikovurderinger har alltid vært utført i departementet, men ikke med en systematisk og dokumentert metode i en styringsmodell. Ettersom arbeidet med SSØs metodedokument ble kjent, ble det klart at dette kom til å bli et viktig referansedokument. Dette arbeidet var også en av grunnene til at departementet valgte å ansette en egen person for å få systemet på plass. Høsten 2005 ble det bestemt å kjøre et forprosjekt. Saken ble forankret administrativt, og vedtatt av ekspedisjonssjefmøtet (departementsråd og ekspedisjonssjefer), som også utgjorde prosjektets styringsgruppe. Formålet med forprosjektet var å vinne erfaringer, teste ut metodikken i departementet, og ved dette berede grunnen for videre implementering. Vi benyttet en egenevalueringsmetodikk ut fra mål avdelingene i departementet selv valgte. Det ble gjennomført 10 workshops, alle avdelinger skulle gjennomføre minst en hver. Vi valgte å benytte et egenutviklet opplegg med begrepene MÅL RISIKOFAKTORER TILTAK. Rangering av risikofaktorer ble utført ved hjelp av avstemning, sannsynlighet og konsekvens med tallskala 1-5. Det ble fastsatt forslag til tiltak, ansvarlige personer og frist for gjennomføring. Vi benyttet et excel regneark for å legge inn tall, som igjen ble illustrert med risikokart i møtene. Møtene ble oppsummert med en rapport bestående av risikomatrise og risikokart. Dette opplegget var tidligere utviklet og testet som del av et Control Self Asessment (CSA) konsept på min tidligere arbeidsplass Universitetet i Oslo. Møtene ble ledet av undertegnede med bistand fra en kollega. Hovedprosjektet Erfaringen med denne runden var i hovedsak positiv, og det ble vedtatt å igangsette et hovedprosjekt for implementering. Ledergruppen (e-sjefsmøtet) har vært styringsgruppe også for dette prosjektet. Prosjektet startet juni 2006 og avsluttes juni 2007. Det ble vedtatt å nedsette en prosjektgruppe med deltakelse fra alle avdelinger. Prosjektplanen la vekt på at risikostyring skulle innpasses i ordinære styringsprosesser og at prosjektet skulle utarbeide forslag til dette. Deltakerne skulle gis opplæring som koordinatorer for risikostyring og risikovurderinger i egne avdelinger, også i forhold til å fasilitere risikoworkshops. Det ble lagt vekt på å forankre prosjektet godt i alle avdelinger. Prosjektdeltakerne hadde ulik grad av forkunnskaper. De fleste kjente relativt lite til området, mens enkelte hadde kjennskap til risikoanalyser fra tidligere. Deltakerne var hovedsaklig saksbehandlere, men også noen mellomledere, og har med noen avganger og tilganger bestått av ca 10 personer. KPMG v/ Stein-Ragnar Noreng ble engasjert som ekstern rådgiver for prosjektet, hovedsaklig som diskusjonspartner, men han bidro også i opplæring og kvalitetssikring. Det var en viktig forutsetning i arbeidet at departementet selv skulle tilpasse sin egen løsning samt å bygge opp kompetanse. Høsten 2006 ble det benyttet en del tid til å konkretisere prosjektplanen med delmål og aktiviteter. Dette var en utfordrende fase der opplæring og konkretisering av oppdraget måtte skje samtidig. Prosjektplanen la også opp til at vi denne perioden skulle utarbeide en tilpasset metodikk for departementet. En viktig konklusjon som ble trukket i denne fasen var et ønske om å utarbeide et internt tilpasset veilederdokument. Dette dokumentet leveres med sluttrapporten, og er i første rekke myntet på de som skal ha et koordinerende ansvar for risikostyring i departemen- 6 intern
Risikostyring i staten tet. Likevel bør det være nyttig også for andre som involveres i arbeidet med risikovurderinger og risikostyring i departementet, noe som etter hvert er mange og vil bli flere. SSØs metodedokument og COSO ERM ble benyttet som referansedokumenter i arbeidet med den interne veilederen. Metodisk har vi fastholdt den relativt enkle modellen med MÅL RISIKOFAKTORER TILTAK. Veilederen setter dette inn i en større sammenheng ut fra definisjoner og begreper i SSØs metodedokument og COSO ERM, og relaterer risikostyring til departementet som virksomhet. Dokumentet er disponert ut fra komponentene i risikostyring i henhold til COSO ERM/SSØ. Selve metodikken for risikovurderinger utgjør tyngdepunktet i fremstillingen. Veilederdokumentet forklarer og gir eksempler på to fremgangsmåter for å gjennomføre risikovurdering. For det første ved bruk av et excelskjema. Dette er tenkt brukt for vurderinger foretatt av enkeltpersoner eller et lite antall personer, og er laget for å være mest mulig selvforklarende. For det andre gjennomgås en metodikk for å gjennomføre risikoworkshop. For å lede slike workshops forutsettes det opplæring, slik prosjektdeltakerne har gjennomgått. Veilederen inkluderer også en del sjekklister/huskelister for de som skal lede workshops. Vi foreslår i vår sluttrapport at risikostyring tas inn i departementets kompetanseplan, herunder et eget kurs for ledere. Risikostyring må ha en klar forankring i ledelsen, og veilederen legger vekt på at alle risikovurderinger og forslag til tiltak må forelegges ledelsen på relevant nivå for å gjøre prioriteringer og fatte beslutninger. I perioden fra januar til juni 2007 la prosjektplanen opp til at prosjektet skulle arbeide med å forankre risikostyring i departementets avdelinger. Avdelingene har til dels svært ulike ansvarsområder, størrelse og funksjoner. Det var derfor et viktig prinsipp å finne frem til løsninger for avdelingene innenfor rammene av det felles prosjektet og forankre dette i avdelingenes ledergrupper. Dette var etter vårt syn nødvendig for å sikre mest mulig relevans og opplevd nytteverdi, jf. virksomhetens egenart. Avdelingsrepresentantene fikk ansvaret for å drive disse prosessene med støtte fra prosjektleder. Notater med forslag til løsning ble fremlagt for ledergruppene i avdelingene. Det ble også holdt presentasjoner på avdelingsmøtene hvor prosjektet som sådan og løsningsforslagene ble lagt frem. Det ble satt av tid til spørsmål og diskusjoner. Avdelingene skulle også som del av denne prosessen velge ut et antall områder for risikovurdering i prosjektperioden. Her ble det tatt utgangspunkt i avdelingenes ansvarsområder i henhold til overordnet virksomhetsplan og avdelingenes egne virksomhetsplaner. Det ble utarbeidet en liste med forslag til kriterier for valg av områder. Våren 2007 var det lagt opp til at det skulle gjennomføres en ny runde med workshops. Denne gang skulle prosjektdeltakerne selv lede disse møtene som del av opplæringen, og for å teste ut veilederdokumentet og metodikken i større skala. Det var selvsagt også et vesentlig poeng at disse vurderingene skulle gi nyttig styringsinformasjon, og mange avdelinger valgte utfordrende områder/mål. Etter ønske fra noen av prosjektdeltakerne deltok jeg på en del av disse møtene som støttespiller. Til sammen skal det gjennomføres ca 15 workshops. Alle er i skrivende stund enten berammet eller gjennomført. Noen av de mindre avdelingene har valgt å gjøre få workshops, og isteden oppdatere eller videreutvikle vurderingene fra forprosjektet i 2005. Risikostyring i underliggende virksomheter Våre forvaltningsvirksomheter er selvsagt omfattet av de samme kravene til risikostyring som departementet. Dette er fulgt opp gjennom tildelingsbrev og etatsstyringsmøter. Kravene vil gradvis bli økt etter hvert, slik at også etatsstyringen over tid blir mer basert på en systematisk vurdering av risiko og vesentlighet slik regelverket krever. Det viktigste så langt har vært å sikre at virksomhetene kommer i gang med arbeidet. Virksomhetene må tilpasse sine løsninger i forhold til virksomhetenes egenart. Departementet har vist til aktuelle standarder som SSØs metodedokument, bl.a. gjennom innlegg på etatsstyringsmøtene. Etatene må selv sørge for å etablere de nødvendige prosesser for å etterkomme kravene. Noen ser ut til å velge å gå ISO veien ved å forankre risikostyringen i sitt kvalitetssikringsarbeid. Andre ønsker å bygge mer direkte på SSØs metodedokument. Våre underliggende virksomheter spenner fra små nemndssekretariater til store etater som Nasjonalt folkehelseinstitutt og Sosial- og helsedirektoratet. Dimensjoneringen av risikostyring vil måtte bli tilsvarende forskjellig. Inntrykket totalt sett, som jeg har grunn til å tro gjelder statsforvaltningen generelt, er at det oppfattes som krevende å implementere risikostyring og at det er varierende fremdrift i arbeidet. Dette kan nok dels skyldes at selve mål- og resultatstyringen ofte ikke er fullstendig implementert. Dette har igjen bl.a. sammenheng med komplekse målstrukturer i mange statlige virksomheter, og de problemene som er forbundet med dette. Resultater er ofte vanskelig å måle og den eksisterende budsjettstyringen er detaljorientert. Risikostyring i de regionale helseforetakene I foretaksmøtene i 2005 ble det stilt krav i foretaksmøtene om etablering av intern revisjon i alle RHFene. I foretaksmøtene i januar 2006 ble det satt krav til implementering av risikostyring og internkontroll. Det ble imidlertid ikke satt krav om at dette skulle implementeres i henhold til bestemte standarder. Departementet vil i 2007 følge opp at de regionale helseforetakene bruker anerkjente standarder for risikostyring og internkontroll, inklusive systematikk i sin risikostyring. Departementet har holdt flere foredrag om internkontroll og risikostyring for styremedlemmer og administrerende direktører i RHFene, blant annet på nasjonale ledersamlinger. Innpassing i styringsstrukturen Det mest krevende i dette arbeidet er selvsagt hvordan risikostyringen skal innpasses i det eksisterende styringssystemet. Risikostyringen må påvirke annen styring og ikke være en egen styringssløyfe for seg selv. Å finne riktig dimensjonering og fremdrift i dette er en viktig avveining. Vi har her i første omgang valgt å foreslå en tredeling: Intern styring, forankret i departementets overordnede virksomhetsplan (OVP). Her legges det opp til at risikoområder identifiseres i selve planen under de overordnede politikkområdene. Det legges opp til en gjennomgang og oppdatering av risikoområder i ledermøtene hvert halvår, basert på risikovurderinger foretatt i avdelingene, og den tilpassede metodikken. Etatsstyring, forankret i styringsdialogen, dvs. tildelingsbrev, etatsstyringsmøter, virksomhetsrapportering m.v. Planen er her i hovedsak å bygge på etatenes egne risikovurderinger som gjøres tilgjengelig for departementet i forkant av etatsstyringsmøtene. intern 7
Risikostyring i staten Departementet kan så benytte denne informasjonen som grunnlag for sine egne vurderinger, styringssignaler og oppfølging. Eier og myndighetsstyring, forankret i oppdragsdokument og foretaksmøter. Departementet foretar risikovurderinger i forhold til sentrale styringsmål for RHFene og benytter dette som grunnlag i oppfølgingen. Generelt vil risikovurderingene også kunne benyttes som informasjonsgrunnlag i budsjettprosessen som kanskje er det kraftigste styringsverktøyet, og hvor større utfordringer uansett må håndteres. Noen utfordringer og avveininger Top down eller bottom up? Både COSO ERM og SSØs metodedokument anbefaler at man starter med risikovurderinger på det øverste nivået i målstrukturen i virksomheten, slik at vurderingene på det øverste nivået kan være retningsgivende for resten av virksomheten. COSO Chairman Larry Rittenberg vektla i sitt innlegg på NIRF- konferansen Bergen i 2006 betydningen av å først og fremst komme i gang. Jeg støtter dette synspunktet. Vi har valgt en bottom up tilnærming med forankring i avdelinger og seksjoner, og mye vekt på kompetanseoppbygging. Så får vi se hvordan vi etter hvert kan konsolidere dette på virksomhetsnivå. Valget her vil måtte avhenge av grad av kompleksitet i målstrukturen og av type kompetanse i virksomheten. Ambisjonsnivå og fremdrift. Det er etter mitt syn viktig å ikke gape over for mye på en gang. Dette gjelder både begrepsapparat, teori og antall områder som skal dekkes i en gitt periode. Det er viktig å tenke langsiktig. Vi kom til at det begrepsapparatet som ble introdusert i forprosjektet er tilstrekkelig. Så får vi over tid vurdere om det er hensiktsmessig å utvikle dette videre. Mål, risikofaktorer og tiltak er uansett kjerneelementene i risikovurderinger. Det viktigste er at man får til en enhetlig dokumentasjon og et felles begrepsapparat, og at resultatene tas i bruk i ordinær styring. En fullstendig implementering av ferdige løsninger vil antagelig uansett ikke fungere, egne tilpasninger må til. Fleksibilitet v.s. forpliktelse. Vi har også kommet til at avgrensninger av omfang av formelle risikovurderinger må besluttes av de enkelte avdelingene ut fra virksomhetens egenart. Som nevnt har avdelingene svært ulike ansvarsområder og størrelse. Vi må her balansere mellom fleksibilitet vs. forpliktelse. I vårt forslag til ledelsen legger vi opp til at alle avdelinger skal benytte risikovurderinger og risikostyring, jf inndelingen i intern styring, etatsstyring og eierstyring. På grunn av den forankringen og kompetanseoppbyggingen som har skjedd i prosjektet står avdelingene også godt rustet til å vurdere hvor formelle risikovurderinger kommer best til nytte. Riksrevisjonens rolle. Skal risikostyring som styringselement kunne fungere godt for statlige virksomheter, bør risikovurderingene det skal styres på også kunne omfatte sensitive interne overveielser og vurderinger. Riksrevisjonen står her ovenfor en vanskelig avveining, spesielt i forhold til departementene. Hvordan sikre at kravet til risikostyring følges opp uten å undergrave nytteverdien for virksomhetene? Kanskje bør det her holde at virksomhetene kan dokumentere sine systemer for risikostyring, jf. drøfting av dokumentasjonskrav i SSØs metodedokument. 1 Kriterier for god fremdrift God forankring. Det er etter min erfaring helt nødvendig å ha et klart og forpliktende vedtak fra øverste ledelse i ryggen. Etter hvert må man også få til en god forankring i resten av virksomheten. Dette kan ikke drives av små stabsenheter alene, vi kan bare være tilretteleggere og systemforvaltere. Risikostyringen må drives i linjen. Dette, som alle andre styringsaktiviteter, er et lederansvar og beslutninger om tiltak for å håndtere risiko ligger til ledelsen. Keep it simple. En deltaker i en workshop sa til meg at vi som fagpersoner har en viktig oppgave i å ikke fremstille risikovurdering og risikostyring alt for teknisk og vanskelig. Det er viktig å stresse at det handler om å gjøre de samme vurderingene vi alltid har gjort, overveie dvs. begrepet uformelle risikovurderinger. Struktur og systematikk skal bare være hjelpemidler for å prioritere de mest vesentlige områdene, og sørge for at ting sees mer i sammenheng. Regelverkskrav og Riksrevisjonen hjelper i motivasjonen, men dette må følges opp med å stresse nytteverdien bedre styring! Skal dette styringselementet være levedyktig over tid må det tilføre en merverdi i virksomheten. Man bør også ha et godt opplegg for å informere bredt i virksomheten gjennom bruk av intranett, presentasjoner, etc. Dedikerte ressurser. Det er nødvendig å ha eller å bygge opp tilstrekkelig kompetanse internt. Det er nyttig med ekstern rådgivning, men virksomheten må eie prosessen selv. Det er også nødvendig med egen kompetanse for å kunne foreta tilpasninger. I praksis kan det også være vanskelig å prioritere utviklingsarbeid i en virksomhet med stort arbeidspress og mange løpende saker. Derfor bør man i størst mulig grad avklare hvilke ressurser som er forpliktet til arbeidet. Bruk prosjektene! Prosjekter har ofte en klart definert målstruktur og egner seg godt som praktiske eksempler. Risikovurderinger ved oppstart vil kunne gi bedre kontroll fra begynnelsen. Risikostyring integrert i prosjektrapportering er etter hvert vanlig, og regnes som god prosjektstyring. Her kan virksomheten raskt se den praktiske nytten. Vi har mange virksomheter som driver store prosjekter på oppdrag fra departementet og hvor oppdaterte risikovurderinger ved milepælene er svært nyttig for vår oppfølging. Vår avdeling brukes også mye som rådgivere i forhold til områder som trenger ekstra oppfølging. Dette er en god anledning til å selge inn risikostyring. Hvor går veien videre? Vi har anbefalt at prosjektgruppen lever videre som en metodegruppe for risikostyring. Det er viktig å opprettholde et faglig miljø på dette området samt å vedlikeholde og helst videreutvikle den kompetansen vi har bygget opp. Denne gruppen får i oppgave å vurdere fremdriften i arbeidet og kan komme med anbefalinger til videre tilpasninger. Budsjett- og økonomiavdelingen har ansvaret for å forvalte økonomiregelverket i departementet og vil fortsatt ha et systemansvar for risikostyring. Vi anbefaler i tillegg at den løsningen vi legger frem blir evaluert innen ett år. Prosjektet har etter vårt syn lagt et godt grunnlag for en full implementering. All erfaring fra andre virksomheter tilsier at dette vil ta flere år, og at det er viktig med et langsiktig perspektiv i arbeidet. Det er nød- 1 Jf. Risikostyring i staten. Håndtering i mål- og resultatstyringen 2005. SSØ, s 17. 8 intern
Risikostyring i staten vendig med fortsatt prioritering og kompetanseoppbygging. Et prosjekt skal per definisjon ha et startpunkt og et sluttpunkt. Risikostyring er en prosess som bør være i kontinuerlig utvikling og tilpasning. Mye av dette handler om å få stadig flere til å tenke risiko og vesentlighet i planlegging, styring og oppfølging. Vi mener å observere at begrepsapparatet blir stadig mer anvendt også utenfor selve implementeringsprosjektet, og at det kan være en god indikasjon på fremdrift. Prosjektarbeidet har også medført flere henvendelser om rådgivning. Arbeidet med å implementere risikostyring er krevende, men lærerike arbeidsoppgaver. Jeg håper de erfaringer jeg har forsøkt å formidle her vil kunne være av nytte for andre. Faktaboks: Helse- og omsorgsdepartementets ansvarsområde er omfattende og består av: Folkehelse, herunder tobakksforebygging, fysisk aktivitet, ernæring og mattrygghet, miljørettet helsevern, smittevern og strålevern med tilhørende lovområder. Under folkehelse ligger også ansvaret for alkohol- og narkotikapolitikken. Primærhelsetjenesten, i skal gi folk trygghet for at de får nødvendig helsehjelp der folk bor eller oppholder seg. Fastlegene er en viktig del av denne tjenesten, sammen med blant annet legevakt, helsestasjoner og skolehelsetjeneste. Spesialisthelsetjenesten, omfatter sykehus, poliklinikker, legespesialister, ambulanse-tjeneste og annet. Ansvaret for spesialisthelsetjenesten er tillagt de fire regionale helseforetakene (RHF), som er eid av staten ved Helse- og omsorgsdepartementet. Spesialisthelsetjenester ytes i sykehus og fra privatpraktiserende spesialister og klinikker. De regionale helseforetakene (RHF) skal sørge for spesialisthelsetjenester til befolkningen, enten gjennom sykehus som RHFene eier, og som er organisert som helseforetak, eller ved avtale med private tjenesteytere. Tannhelsetjenesten er et offentlig tilbud for en del grupper. Det offentlige har et ansvar for at det skal være likeverdig tilgang til tannhelsetjenester over hele landet og til alle aldersgrupper. Hjelp til personer med psykiske lidelser, gis dels gjennom primærog dels gjennom spesialisthelsetjenesten, samt gjennom kommunale og frivillige tilbud utenfor helse-tjenesten. Helsetjenester til rusmiddelavhengige er gjennom de siste årene bygget opp som et supplement til den ordinære helsetjenesten. Dette omfatter blant annet lavterskel helsetilbud og legemiddelassistert rehabilitering. RHFene skal sørge for at rusmiddel-avhengige får nødvendig helsehjelp og tverrfaglig spesialisert behandling. Befolkningen skal ha god tilgjengelighet til legemidler. Det offentlige gir pasientene med størst behov for legemidler økonomisk støtte. Apotekvesenet i Norge er privat, men det offentlige skal sikre pålitelig og trygg tilgang til legemidler. Kommunene har ansvar for tjenestetilbudet til personer med behov for pleie- og omsorgstjenester. De viktigste brukergruppene for disse tjenestene er eldre, personer med nedsatt funksjonsevne og rusmiddelavhengige Faktaboks: Helse- og omsorgsdepartementet har det overordnede ansvaret for at befolkningen får gode og likeverdige helse- og omsorgstjenester, uavhengig av blant annet bosted og økonomi. Departementet styrer helse- og omsorgstjenesten gjennom et omfattende lovverk, årlige bevilgninger (ca. 110 milliarder kroner i 2007) og ved hjelp av statlige etater, virksomheter og foretak. Departementet ledes av statsråden, som har en politisk stab bestående av tre statssekretærer og en politisk rådgiver. Departementsråden er leder for administrasjonen som består av åtte avdelinger som hver ledes av en ekspedisjonssjef. I tillegg til politisk ledelse og departementsråden, består statsrådsseksjonen i departementet av en informasjonsavdeling og et sekretariat. Departementet har ca. 220 ansatte. Departementets avdelinger: Folkehelseavdelingen Spesialisthelsetjenesteavdelingen Kommunetjenesteavdelingen Eieravdelingen Helserettsavdelingen Administrasjonsavdelingen Seksjon for internasjonalt samarbeid og beredskap Budsjett- og økonomiavdelingen : UNDERLIGGENDE ETATER Merknad: Helse Sør og Øst er nå slått sammen til Helse Sør-Øst. HELSE- OG OMSORGSDEPARTEMENTET EIA FHA SHA KTA HRA HELSE- OG OMSORGSDEPARTEMENTET, INTERN ORGANISASJON 2006 Folkehelseavdelingen (FHA) Helse Midt- Norge RHF Nasjonalt folkehelseinstitutt Sosial- og helsedirektoratet Statens helsetilsyn Bioteknologinemda Kommunetjenesteavdelingen (KTA) Helse Nord RHF Statens legemiddelverk Pasientombudene Helsetilsynet i fylkene Statsråd, statssekretærer, politisk rådgiver Departementsråd INFO - Presse- og informsjonsenheten Spesialisthelsetjenesteavdelingen (SHA) Eieravdelingen (EIA) Helserettsavdelingen (HRA) Helse Sør RHF Helse Vest RHF Helse Øst RHF AS Vinmonopolet Statens strålevern Statens institutt for rusmiddelforskning (SIRUS) Vitenskapskomiteen for mattrygghet LMD FKD Nasjonalt kunnskapssenter for helsetjenesten Statens autorisasjonskontor for helsepersonell Fylkesmannens oppgaver for sosial- og helsedirektoratet Pasientskadenemnda Statens helsepersonellnemnd Administrasjonsavdelngen (ADA) Mattilsynet Dispensasjons- og klagenemda for behandling i utlandet Budsjett- og økonomiavdelingen (BØA) Arbeids- og velferdsetaten AID intern 9
Risikostyring i staten Risikostyring i helseforetakene Administrerende direktør i Helse Sør-Øst RHF, Bente Mikkelsen, intervjuet av Karl-Helge Storhaug Jeg tror at risikostyring satt i system er et av de viktigste verktøyene for å kunne utvikle bedre helsetjenester, prioritere riktigere og utnytte ressursene våre på en bedre måte, sier Bente Mikkelsen, administrerende direktør for Helse Sør-Øst RHF. Den nye administrerende direktøren står for tiden midt oppe i prosessen med å omdanne de to tidligere helseregionene Sør og Øst til et nytt regionalt foretak. Da Intern fikk et innpass i kalenderen hennes var hun tydelig i sitt budskap om viktigheten av risikostyring som verktøy for styring og ledelse av den nye store helseregionen. Bente Mikkelsen er administrerende direktør i Helse Sør-Øst RHF. Hun var viseadministrerende direktør i Helse Øst RHF fra 2001-2006 og administrerende direktør samme sted fra 2006 og frem til sammenslåingen av de tidligere helseregionene Helse Sør RHF og Helse Øst RHF. Mikkelsen er legespesialist i fødselshjelp og kvinnesykdommer og har mastergrad administrasjon og ledelse fra Senter for Helseadministrasjon ved Universitetet. Hun har vært overlege ved Kvinneklinikken ved Sykehuset Østfold HF. d. Mikkelsen har også innehatt en rekke verv og har bl.a vært styreleder ved Ullevål universitetssykehus HF og Aker universitetssykehus HF. Krav til innføring av risikostyring har bredt seg i flere sektorer og bransjer. Bl.a. er det i statlige virksomheter nedfelt klare krav om risikostyring i regelverket for økonomistyring i staten Hvilke krav og føringer har Helse- og omsorgsdepartementet gitt de regionale helseforetakene når det gjelder implementering av risikostyring? Helse- og omsorgsdepartementet gir i egenskap av å være eier av de regionale helseforetakene, årlige styringskrav til helseregionene. I foretaksmøtet gis det krav til eierstyring herunder kravene til risikostyring, og i oppdragsdokument krav for å ivareta ansvaret for å levere helsetjenester ( sørge for ansvar ). Det gis overordnet føringer for aktivitetsnivået på helsetjenesten, Samtidig gis det krav og føringer innenfor spesialisthelsetjenestens fire kjerneområder (pasientbehandling, forskning, utdanning og pasient og pårørende opplæring) og for utvikling av spesielle områder eksempelvis opprustning av psykiatrien. Det overordnede samlede styringsbudskapet følges opp i periodiske rapporteringer og i Årlig melding som sendes departementet. I 2004 ble styrenes ansvar når det gjelder å se til at det er et samlet systemopplegg for internkontroll i de regionale helseforetakene, og at dette følges opp periodisk og samlet for helseforetaksgruppen, understreket. De konkrete kravene til risikostyring gav departementet i foretaksmøte i 2006. Det ble stilt krav om at styret for Helse Øst RHF skal påse at internkontrollen i det regionale helseforetaket og i helseforetaksgruppen er sikret i tilstrekkelig omfang og på en systematisk måte. Tilpasning av internkontrollen i forhold til risiko og vesentlighet, samt ledelsesmessig forankring var tydelig fremhevet av departementet. Departementet har lagt til grunn et omfattende internkontrollbegrep, og i protokollen var det eksplisitt nedfelt krav om det må etableres prosesser for å fange opp og håndtere risikofaktorer som kan hindre måloppnåelse på helseforetaksgruppen sett under ett, samt at det sørges for at vesentlige risikoforhold kompenseres gjennom tiltak. Departementet satte også klare krav til dokumentasjon og rapportering av disse prosessene. Det er altså de regionale foretakenes respektive styrer som mottar styringskravene fra departementet. Hvordan er kravet om risikostyring operasjonalisert av styret overfor deg som administrerende direktør, og hvordan er styringskravene videreført ned til helseforetakene? Styret for det regionale helseforetaket (da tidligere Helse Øst) videreførte departementets styringskrav til administrerende direktør. Dette ble gjort i styrevedtak primo 2006. Dette ble samtidig ført videre til styrene i helseforetakene i foretaksmøter mellom det regionale helseforetaket og styret for det enkelte helseforetak. Dette har videre ansvar for å tydeliggjøre styringskravene til administrerende direktør i helseforetaket, dvs. i prinsippet etter de samme styringssystem som gjelder mellom departementet og de regionale helseforetakene. Fordi styringsmodellen har vært tilsvarende i alle helseregionene, vil jeg anta at det har vært tilsvarende prosesser i det tidligere Helse Sør. Kan du si noe om status for innføring av risikostyring i foretaksgruppen? For helseforetakene som tidligere lå under Helse Øst, kan jeg si at prosessen så vidt har begynt. Det har vært to parallelle prosesser i helseforetakene den ene er knyttet til styring og oppfølging av økonomi og aktivitetsutvikling, noe som skjer på månedlig basis. Den andre er knyttet til andre vesentlige forhold som kvalitet på tjenestene, oppfølging av brudd på myndighetskrav, sykefravær m.v. Dette har skjedd tertialvis. Parallelle prosesser er utfordrende både i forhold til å sikre en effektiv og helhetlig styring og oppfølging av virksomheten, og i forhold til en effektiv gjennomføring. Derfor ser jeg det som viktig at disse prosessene samordnes fremover. 10 intern
Risikostyring i staten Så langt jeg kjenner til har prosessene i det tidligere Helse Sør sett noe annerledes ut, og det blir interessant å lære mer om dette fremover. En av oppgavene som vil bli prioritert i arbeidet med å samle og samordne virksomheten i Helse Sør-Øst, vil uansett være å videreføre tydelige krav til risikostyring som en integrert del i styringen av virksomheten. For det regionale helseforetaket er det viktig sikre at det både strategisk og operativt støttes opp under det utviklingsarbeidet som implementering av risikostyring nødvendigvis vil innebære. Det finnes flere veier til mål når det gjelder innføring av risikostyring. Hvordan tenker du å tilnærme deg arbeidet med å innføre risikostyring i den nye helseregionen? Selv om kravene til risikostyring er tydelige, og vi har det klart for oss hva vi skal gjøre, har vi samtidig en utfordring i forhold til å tydeliggjøre hvordan vil skal få på plass en effektiv risikostyring. Kravene og føringene om risikostyring fra departementet har frem til nå ikke vært ledsaget av metodiske rammeverk slik jeg har sett at det er i staten. Da departementet i 2006 presenterte risikostyringskravet for de regionale helseforetakene, var det likevel med en referanse til bl.a. det statlige rammeverket som jo nettopp bygger på faglige anerkjente modeller som for eksempel COSO. I 2006 ble det på regionalt nivå i Helse Øst lagt opp et systematisk arbeid med å identifisere og vurdere risiko. Arbeidet ble drevet av ledergruppen for det regionale foretaket og dannet grunnlag for både målfokusering og oppfølgingsaktiviteter på for det regionale helseforetaket og for de enkelte helseforetakene. Jeg har ikke inngående kjennskap til prosessene som er gjennomført i det tidligere Helse Sør, men vet at det også der har vært et systematisk arbeid med risikovurderinger. Dermed er det heldigvis slik at det allerede er tenkt og gjort svært mye for å sikre god virksomhetsstyring og kontroll både i det tidligere Helse Sør og Helse Øst. For den nye ledelsen av den sammenslåtte helseregionen, er det viktig å dra ut og videreføre det beste fra det arbeidet som er gjort. Risikostyring har tradisjonelt vært et område hvor det typisk kjøpes inn tjenester fra eksterne konsulenter. Har prosessene så langt vært støttet ved hjelp av eksterne, og hvilke betraktninger gjør du deg om dette i det videre arbeidet? I den grad eksterne har vært benyttet i dette arbeidet, har det vært som rådgivere i forhold til metode og prosess. Her kan nok ekstern bistand både være nødvendig og kjærkommen. Å gjennomføre og lede disse prosessene er etter min vurdering ikke hensiktsmessig å gjøre ved hjelp av eksterne. Årsaken til dette er vel åpenbar det vil verken skape forankring, eierskap eller spesielt god forståelse for risikostyring. Slik jeg ser det er nettopp ledelsesforankring og eierskap som er den viktigste forutsetningen for å lykkes og for å få til effektiv risikostyring i foretaksgruppen. På hvilken måte mener du risikostyringen vil bidra til bedre styring og måloppnåelse i det enkelte helseforetak og i foretaksgruppen som helhet? Med bakgrunn som lege vet jeg at risikotenkning er en del av vårt daglige virke - helsepersonell tenker risiko hele tiden og forsøker å løse oppgavene i forhold til den enkelte pasient på best mulig måte. Vi skal levere gode og likeverdige helsetjenester. Risikostyring som begrep er et nytt ord i vårt vokabular. Aktiviteten er ikke ny, men det kreves systematisering og gjennomgående tenkning i hele organisasjonen. Jeg tror at risikostyring satt i system vil gjøre det mulig for oss å utvikle bedre helsetjenester, prioritere riktigere og utnytte ressursene våre på en bedre måte Hva vil være ditt budskap overfor dine ledere når det gjelder ledelse, styring og kontroll? Jeg har et relativt enkelt budskap til mine ledere, nemlig at de må ha fokus på sammenhengen mellom mål, risiko, tiltak og oppfølging. At de må sørge for prosesser som sikrer reell styring med risiko og kanskje viktigst av alt gjør det ikke mer komplisert enn nødvendig! Vi har så mye å gjøre og så mange oppgaver at risikostyring er en kjærkommen teknikk for prioritering. Hvordan definerer du internrevisjonens rolle i arbeidet med å ha styring og kontroll av virksomheten? Internrevisjonens rolle er jo å sørge for objektiv bekreftelse til styret når det gjelder effektiviteten i en organisasjons risikostyringsaktiviteter, og at systemet for intern kontroll fungerer effektivt. Jeg opplever at internrevisjonen har vært nyttig også i en rolle som observatør og diskusjonspartner, og at den har vært en viktig støtte for meg og mine ledere når det gjelder risikovurderinger og utvikling av internkontrollen. Samspillet mellom lederne som jo eier risikoen på sine områder og internrevisjonen, er viktig når det gjelder å skape forståelse for og bidra til forbedringer i internkontrollen. Her har internrevisjonen gitt viktige bidrag til både regionledelsen og helseforetaksledelsen i arbeidet med å gjøre noe med svakheter som fanges opp. Når dette er sagt vil jeg også understreke at alle ansatte har en rolle i gjennomføringen av en helhetlig risikostyring, men styret og ledelsen har primæransvar for å identifisere og styre risiko og for å implementere helhetlig risikostyring på en strukturert, konsistent og enhetlig måte. Er det noe du kan anbefale andre virksomhetsledere å gjøre for å lykkes med implementering av risikostyring? Den sterkeste anbefalingen jeg vel kan gi er at det tas et solid eierskap til prosessene knyttet til risikostyring. Dette er et lederansvar og må drives og følges opp som en naturlig del av dette. Jeg vil også si at arbeidet ikke må gjøres for vanskelig - ikke sett i gang store prosesser som ikke kan følges opp. La det være rom for å la tankene slippes litt løs, ha god dialog i ledergruppen og videre nedover på hvert ledernivå. Min erfaring er at struktur og rapportformen ikke trenger å være stramt regissert og at det faktisk kan virke mot sin hensikt dersom dette skjer. intern 11
Risikostyring i staten Styreleder: Adm.dir: Hanne Harlem Bente Mikkelsen Helse Sør-Øst RHF ble etablert 1. juni 2007, og er en fusjon mellom tidligere Helse Sør RHF og Helse Øst RHF. Helse Sør-Øst RHF (regionalt helseforetak) er den statlige helseforetaksgruppen som har ansvar for spesialisthelsetjenestene i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder. Virksomheten er organisert i ett morselskap, Helse Sør-Øst RHF med 15 underliggende datterselskaper/helseforetak: Akershus universitetssykehus HF Aker universitetssykehus HF Blefjell sykehus HF Psykiatrien i Vestfold HF Ringerike sykehus HF Rikshospitalet-Radiumhospitalet HF Sykehuset Asker og Bærum HF Sykehuset Buskerud HF Sykehuset i Vestfold HF Sykehuset Innlandet HF Sykehuset Telemark HF Sykehuset Østfold HF Sunnaas sykehus HF Sørlandet sykehus HF Ullevål universitetssykehus HF Foretaksgruppen har om lag 69 000 ansatte (inkl vikarer). Dette tilsvarer 53 000 årsverk. Omsetningen i 2006 var 47 milliarder kroner. Regionen omfatter cirka 2,6 millioner mennesker, eller 56 % av landets befolkning. Hovedkontoret for Helse Sør-Øst RHF ligger i Hamar. Helseregionen har også administrasjonssted i Skien. Intern ønsker alle våre lesere en riktig god sommer! 12 intern
Ernst & Young Internrevisjonstjenester Vi er Norges største leverandør av internrevisjonstjenester og den med lengst erfaring. I vårt profesjonelle miljø har vi spisskompetanse på: Operasjonell og finansiell risikohåndtering Informasjonsteknologi Regnskap og økonomistyring Forretnings- og tjenesteprosesser i ulike bransjer Miljø, HMS og forretningsmessig samfunnsansvar Misligheter Spesiell bransjeerfaring fra: Finans og forsikring Offentlig sektor Energi og industri Samarbeidspartner Vi er samarbeidspartner når virksomhetens egen internrevisjon har varierende behov for ressurser eller ønsker spesialkompetanse på utvalgte områder. Vi bistår også med anerkjente revisjonsmetoder og verktøy. Enkeltstående revisjonsgjennomganger Vi bistår med evaluering og forslag til forbedringstiltak på områder som virksomheten ikke er komfortabel med eller på områder hvor virksomheten ønsker en uavhengig og objektiv evaluering av etablerte kontrolltiltak. Oppstart av internrevisjonsavdeling Vi bistår med utarbeidelse av revisjonsinstruks, opplæring i risikovurdering, strukturerte metoder for å velge ut de mest relevante revisjonsprosjektene, gjennomføring av revisjoner ved hjelp av ulike revisjonsmetoder samt utarbeide mal for en oversiktelig og lett tilgjengelig revisjonsrapport. Videreutvikling av internrevisjonsavdeling Som det ledende miljø for levering av internrevisjonstjenester både nasjonalt og internasjonalt, har vi svært gode forutsetninger for å bistå med videreutvikling av virksomhetens internrevisjonsavdeling. Kvalitetsvurdering For å sikre at internrevisjonen fungerer etter sin hensikt og løpende videreutvikles, bistår vi med kvalitetsvurdering av virksomhetens internrevisjon. Etter standarder for internrevisjon, skal en slik ekstern kvalitetsvurdering gjennomføres minst hvert femte år. Utkontraktering Vi forestår internrevisjonsfunksjonen i sin helhet for virksomheter som ikke ser det som hensiktsmessig å etablere en egen intern internrevisjonfunksjon. Ønsker du mer informasjon ta kontakt med Terje Klepp, telefon 24 00 24 00. Metodikk, verktøy og databaser For å sikre at vi jobber strukturert, effektivt og evaluerer ut fra ledende praksis, benytter vi risikobasert metodikk, ulike verktøy og kunnskapsdatabaser. www.ey.no!@# intern 13
Risikostyring i staten Is it safe? risikostyring i jernbanesektoren Jørn Andreas Arnesen Is it safe? denne replikken fra filmen Maratonmannen kan tjene som intro til en rask gjennomgang av temaet risikostyring. Filmens hovedperson, i Dustin Hoffmanns skikkelse, kan ikke svare uansett hvor hardt og smertefullt han presses. Det er å gå litt langt å påstå at mange kjenner seg igjen i situasjonen. Likevel, det kan være av interesse for flere å trekke frem noen punkter som kan underbygge svaret: Yes, it is safe. Jørn Arnesen, CIA, CCSA, CISSP Revisjonsleder i Statens jernbanetilsyn. Bakgrunn fra Deloitte som Manager/- gruppeleder i Security services group i Norge og fra Datatilsynet som sjef for sikkerhetsseksjonen. Deltok i arbeidet med å utvikle sikkerhetsbestemmelsene i personopplysningsforskriften, ledet Næringsdepartementets utredning av norske ordninger for IT-sikkerhetssertifisering og har vært oppnevnt som ekspert for Europarådet. Har gjennomført internrevisjoner av store organisasjoner i innog utland. Medlem av redaksjonskommiteen for Intern og styremedlem i ASISinternasjonal/avdeling Norge. Risikostyring kan beskrives som systematiske aktiviteter for bringe risiko for uønskede hendelser til et akseptabelt nivå. Risiko angis normalt som kombinasjoner av sannsynlighet for, og konsekvens av slike hendelser. Uakseptabel risiko er da alle de kombinasjoner av disse som overstiger det virksomheten selv og omgivelsene kan leve med. Nullvisjoner er visjoner om å unngå ulykker, ikke visjoner om null risiko. Risiko kan også betraktes som usikkerhet knyttet til sikkerheten. Med denne innfallsvinkelen vil begreper som nullvisjon innebære hardt arbeid for å unngå ulykker, sammen med erkjennelsen av at en viss risiko en viss usikkerhet alltid vil være tilstede. Nullvisjoner er visjoner om å unngå ulykker, ikke om null risiko. Absolutt frihet fra risiko er kun mulig når virksomheten ikke gjennomføres. Sikkerhet så langt det er rimelig Som mange andre sikkerhetsregelverk er sikkerhetskravene i jernbanelovgivningen basert på risikostyring: Den risiko virksomheten innebærer skal være kjent og, i nødvendig grad, håndtert. Risikoen skal være på et akseptabelt nivå. Det er viktig å merke seg at krav om akseptabelt risikonivå er kvalifisert i jernbanelovgivningen: Uønskede hendelser skal unngås så langt det med rimelighet er gjennomførbart. På den annen side er det krav om at virksomheten skal planlegges, organiseres og utføres med det formål å kontinuerlig forbedre sikkerheten. Kravet må forstås dit hen at det ikke er nok å håndtere risiko til akseptabelt nivå. Virksomheten skal arbeide videre med sikkerheten for å oppnå kontinuerlig sikkerhetsforbedring og risikoreduksjon. Dermed er bestillingen gitt: Fastlegg akseptabelt risikonivå, avdekk faktisk risiko, håndter denne til akseptabelt nivå og følg opp med kontinuerlig forbedring alt innenfor rimelighetens grenser. Akseptabelt risikonivå skal fungere som beslutningsstøtte i sikkerhetsarbeidet. Nivået er beslutningstagernes utgangspunkt for å finne frem til nødvendige og tilstrekkelige sikkerhetstiltak ikke kun på overordnet nivå, men også i operative situasjoner. Det følger av dette at akseptabelt risikonivå ikke bare kan fastsettes som et mål for risiko for transportsystemet som helhet. Det må også fastlegges slik at det kan benyttes som beslutningsgrunnlag ved vurdering av sikkerhetskritiske enkeltaktiviteter i systemet. Det som er mulig er også sikkert Hva som er akseptabel risiko henger til syvende og sist sammen med omgivelsenes forventninger. Samfunnet er trygghetssøkende og vi forventer langt på vei at alt vi omgir oss med er sikkert. Skulle noe likevel være farlig så er forventningen at noen tar tak i det. Vi lever godt i troen på at handlinger som er mulige også er sikre. Det er mulig å krysse en planovergang på rødt og bilister gjør det hele tiden. Det er ikke mye trygt og det går rett som det er galt. Risikoen oppfattes med andre ord som akseptabel selv om det slett ikke er tilfellet. Ved fastlegging av akseptabelt risikonivå er det nødvendig å ta hensyn til omgivelsenes forventninger, og valgt nivå må revurderes i takt med at disse forventningene endres. Jernbanevirksomhetene skal sikre flere enn bilistene. Kravet er at risikoen overfor passasjerer, medarbeidere og personer utenfor jernbane skal være håndtert. Også risiko for materielle tap, og for skade på miljøet skal håndteres til akseptabelt nivå og kontinuerlig reduseres. 14 intern
Risikostyring i staten Det er mulig å fastlegge akseptabelt risikonivå for et helt transportsystem. I sin enkleste form kan en ta utgangspunkt i historiske uhellsstatistikker og så fremskrive dette med større eller mindre ambisjoner for hva nivået bør være. Et slikt overordnet nivå kan være til hjelp ved vurderingen av systemet som helhet, men det er mindre tjenelig som beslutningstøtte ved vurdering av risiko forbundet med enkeltaktiviteter. Gjør som besluttet Flere fremgangsmåter er tenkelig for å fastlegge og avdekke risiko knyttet til sikkerhetskritiske aktiviteter. Et system som over lang tid har vist akseptabel risiko kan brytes ned til enkeltaktiviteter som hver gir sitt bidrag til systemets totale (akseptable) risiko. En legger så til grunn at siden totalrisikoen er akseptabel så er også risikoen knyttet til enkeltaktiviteten akseptabel. Grovt sagt: Prosedyren for gjennomføring av aktiviteten angir det akseptable risikonivået, og gjennomføringen grad av etterlevelsen av prosedyren utgjør risikovurderingen. Fremgangsmåten har sine begrensninger: Systemet må være stabilt i den forstand at det har vist akseptabel risiko over tid. Endringer i systemet, eksempelvis nytt materiell, nye tekniske løsninger, organisasjonsendringer, nye aktører, nye fremføringsformer mv., påvirker muligheten for å fremskrive det historiske risikonivået. Det er også en forutsetning at det eksisterer prosedyrer som sikrer at sikkerhetskritiske aktiviteter utføres riktig og likt hver gang de repeteres. Variasjoner over et kjent tema I virkelighetens verden er systemer sjelden så stabile, selv ikke jernbanen. Den sikkerhetskritiske aktiviteten under vurdering kan ikke alltid gjennomføres gjennom repetisjon av en velkjent, velbrukt og detaljert prosedyre. Aktiviteten representerer i stedet en variasjon en endring. Fremgangsmåten blir da å vurdere denne endringen i forhold til den opprinnelige, akseptable prosedyren. Igjen er det (den opprinnelige) prosedyren som angir det akseptable risikonivået. Sammenligning mellom besluttet prosedyre og faktisk (endret) gjennomføring utgjør risikovurderingen. Fremgangsmåten forutsetter at det er kjent hvilken risiko prosedyren var ment å håndtere, at en ved faktisk gjennomføring fremdeles håndtere denne risikoen, og at eventuell ny risiko også er håndtert. Det følger av dette at det er begrenset hvor store endringer som kan vurderes med denne fremgangsmåten. Tid for analyse Når ingen ting annet (les: De to fremgangsmåtene over) virker er det tid for risikoanalyse: Fastlegging av akseptkriterier, identifisering av aktuelle uønskede hendelser og vurdering av disse hendelsenes sannsynlighet og konsekvens. Akseptkriteriene det akseptable risikonivået må være egnet som sammenligningsgrunnlag for resultatene av analysen. Ved valg av akseptkriterier må en ta hensyn til hvem og hva som skal sikres, mulige hendelser og ønsket detaljeringsgrad for analysen. Siden avdekket risiko vil beskrives gjennom konsekvens av og sannsynlighet for uønskede hendelser, er det naturlig også å angi akseptkriteriene gjennom nivåer for konsekvens og sannsynlighet. Som nevnt over skal jernbanevirksomhetene sikre mennesker, materiell og miljø. Det er derfor nødvendig å angi nivåer for konsekvenser overfor disse interessentene. Nivå for sannsynlighet kan fastsettes med utgangspunkt i historiske data tillagt ambisjoner om å redusere hyppigheten. Historiske data er imidlertid ikke alltid tilgjengelige, verken for aktuelle eller tilsvarende hendelser. Et alternativ da er å målsette hva som må til for at hendelsen kan inntreffe hvor lett kan den forårsakes: Skal en, to eller tre sikkerhetsbarrierer hindre hendelsen? Skal uaktsomhet, forsett eller overlegg hindres? Selve risikoanalysen begynner med oversikt over de uønskede hendelsene som skal undersøkes. I jernbaneverdenen er det vanlig å identifisere topphendelser sammenstøt, brann, ras, avsporing, mv. som skal unngås. Hendelseskatalogen for den aktuelle risikoanalysen kan utarbeides med utgangspunkt i disse, og konkretisere og detaljere dem i forhold til aktiviteten som skal undersøkes. Resten er, som danskene sier, knokling. Konsekvensanalyse: Kan hendelsene medføre at liv går tapt, at mennesker skades, materielle tap, utslipp til vann, luft eller jord og i hvilket omfang? Og sannsynlighetsanalyse: Hvor ofte kan hendelsene inntreffe, ev. hvor lett kan de forårsakes (letthetsvurdering)? Resultatene sammenlignes med akseptkriteriene og tiltak iverksettes etter behov. Verre er det ikke. As low as reasonably practicable Til nå har denne beskrivelsen fokusert på grensen mellom akseptabel og uakseptabel risiko, det vil si det akseptable risikonivået. Som nevnt over er ikke jernbanelovgivningens bestemmelser om risikostyring begrenset til krav om håndtering av uakseptable risiko. Jernbanevirksomhetene skal bedrive kontinuerlig sikkerhetsforbedring. Det eksisterer med andre ord et nivå der risikoen rett nok er akseptabel, men hvor det er mulig, og regningssvarende å redusere risikoen ytterligere. Dette nivået kan betegnes ALARP as low as reasonably practicable. Risiko her skal også håndteres etter en hensiktsmessighetsvurdering. Keep it simple, stupid Denne beskrivelsen har tatt for seg noen av grunnprinsippene i risikostyring, på helt overordnet nivå. Prinsippene er ikke unike for jernbanesektoren, de er gyldige også for andre og danner grunnlag for flere sikkerhetsregelverk. Tilgjengeligheten til risikostyringsteori og modeller og metoder for risikoanalyser er god. Som for virksomheter i andre sektorer er utfordringen for jernbanevirksomhetene å omsette slik informasjon i operative verktøy, som kan tjene som beslutningsstøtte når konkrete aktiviteter skal vurderes. Som for sikkerhetsarbeid for øvrig er mottoet også her: Keep it simple, stupid. intern 15
Risikostyring i staten Risikostyring i Sjøfartsdirektoratet (Sdir) Controller Lars Inge Vatnem intervjuet av Karl-Helge Storhaug Lars Inge Vatnem har siviløkonomutdanning og er controller (senior rådgiver) i Sjøfartsdirektoratet. Han har vært pådriver for å integrere risikostyring i Sjøfartsdirektoratets virksomhetsstyring. Han har erfaring fra revisjon, helseforetak og styrearbeid. Evalueringen baserte seg på intervjuer med de personene som er mest involvert i Sjøfartsdirektoratets virksomhetsstyring og gjennomgang av eksisterende dokumenter i direktoratets virksomhetsstyring. Virksomhetsstyringen ble vurdert på områdene mål, risiko, tiltak og kontrollaktiviteter, oppfølging av risiko og styrings og kontroll miljø. I figuren nedenfor er resultatene fra evalueringen, og den viser at Sjøfartsdirektoratets identifisering, vurdering og håndtering av risiko må systematiseres, formaliseres og dokumenteres bedre. Sjøfartsdirektoratet er et forvaltningsorgan underlagt Nærings- og handelsdepartementet (NHD) med myndighetsansvar overfor norskregistrerte skip og utenlandske skip som anløper norske havner. Sjøfartsdirektoratets overordnede mål er å oppnå høy sikkerhet for liv, helse, fartøy og miljø. I saker som dreier seg om miljøforhold knyttet til det enkelte skip og vern av det marine miljø, er direktoratet underlagt Miljøverndepartementet (MD). Sjøfartsdirektoratet skal også bistå Petroleumstilsynet i håndhevelsen av petroleumsloven på norsk sokkel. Direktoratet har også tilsynsansvar for fritidsfartøy. Sjøfartsdirektoratet har tre kjerneoppgaver: Å påse og medvirke til at norske skip og rederier holder høy sikkerhets- og miljømessig standard. Å påse og medvirke til at sjøfolk på norske skip har gode kvalifikasjoner, arbeids- og levevilkår. Å påse at fremmede skip i norske farvann og havner overholder internasjonale regler. Risikostyring i Sjøfartsdirektoratet Hvilke krav og føringer har NHD, som overordnet departement, gitt Sdir når det gjelder implementering av risikovurderinger i styringen av direktoratet? Alle statlige virksomheter skal følge Reglement for økonomistyring i staten og tilhørende bestemmelser fastsatt 12. desember 2003. Dette innebærer etablering av intern kontroll ut fra virksomhetens risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres. Nærings og handelsdepartementet ga i tildelingsbrevet for 2006 Sjøfartsdirektoratet i oppgave om å foreta en dokumentert risiko- og vesentlighetsgjennomgang. Herunder skulle direktoratet vurdere risiko knyttet til måloppnåelse (strategisk og operativ), og om det på bakgrunn av dette var nødvendig med ytterligere tiltak for å redusere risiko. Hvordan tok direktoratet fatt i disse kravene/føringene? For å evaluere direktoratets risikostyring foretok vi først en evaluering av Sjøfartsdirektoratets system for risikostyring (GAP-analyse) i samarbeid med KPMG for å synliggjøre hva vi hadde i forhold til beste praksis innenfor risikostyring. Hva var de største kritiske suksess faktorene ved å integrere risikostyring i virksomhetsstyringen? Forankring og prioritering i toppledelsen er den viktigste kritiske suksessfaktor. Denne fikk vi relativt raskt med bakgrunn i at dette var et krav i tildelingsbrevet fra NHD. KPMG sin bruk av stemmeverktøy, og rask presentasjon av resultatene av risikovurderingen av Sjøfartsdirektoratets overordnede mål fikk ledelsen til å se nytten av risikostyring. Endring av mal for utarbeidelse av mål og prioriteringsdokument og virksomhetsplan gikk også relativt greit. Metodedokumentet Risikostyring i staten, Håndtering av risiko i mål og resultatstyringen anbefales når disse malene skal utarbeides. Den store utfordringen var imidlertid å få ledere på lavere nivåer å se nytten av endringene. Dette var i hovedsak knyttet til utarbeidelse av virksomhetsplanene. Kommunikasjon mellom lederne om virksomhetsplanene, samt prioritering fra lederne til å arbeide med virksomhetsplanene er også kritisk for å lykkes med å integrere risikostyring i virksomhetsstyringen. I tillegg til det ovennevnte er det viktig å ha en fagansvarlig for risikostyring, og velger man eksterne konsulenter i implementeringen må den som er tiltenkt rollen i etterkant være sterkt involvert og være i front under implementeringen. Implementering av risikostyring tar tid, og implementering av risikostyring vil således være vanskelig uten rotfeste blant egne ansatte. 16 intern
Risikostyring i staten Hvem fikk ansvar for å sørge for dette arbeidet og hvordan ble det lagt opp og integrert i styringsprosessene som direktoratet allerede hadde etablert? Administrasjonsavdelingen ved underavdeling plan og økonomi ble tildelt oppgaven med å integrere risikostyring i direktoratet. Bakgrunnen for dette var at fagkompetansen på virksomhetsstyring og ansvaret for styringsdialogen internt og eksternt var i denne avdelingen. Integreringen av risikostyring i virksomhetsstyringen ble gjort i samband med planprosessen for 2007. Planprosessen ble ikke endret, men malene for mål og prioriteringsdokumentet og virksomhetsplan ble endret. Først utarbeidet direktoratet en overordnet virksomhetsplan med bakgrunn i mål og prioriteringsdokumentet. Deltakere her var Sjøfartsdirektør, assisterende sjøfartsdirektør og alle avdelingsdirektørene. For hver underavdeling ble det utarbeidet en virksomhetsplan av underdirektør og utvalgte personer i hver underavdeling. Virksomhetsplanene for underavdelingene ble også grunnlaget for utarbeidelsen av avdelingen sin virksomhetsplan, og eventuelt innspill til overordnet virksomhetsplan. Plan og økonomi var en veileder i utarbeidelsen av den enkelte virksomhetsplan. Nedenfor er definert ansvar og roller for ledere på ulike nivåer. Sjøfartsdirektør/Sjøfartsdirektoratets ledergruppe: Har det overordnede ansvar for risikostyring. Gjennomfører årlig en overordnet risikovurdering knyttet til overordnet mål: Sjøfartsdirektoratet skal være en synlig og tydelig aktør for sikkerhet til sjøs for mennesker, fartøy og miljø. Gjennomfører årlig en risikovurdering av mål og prioriteringsdokument for neste år. Gjennomfører hvert kvartal en evaluering av risikovurderingene i mål og prioriteringsdokumentet for inneværende år. Avdelingsdirektørene: Eierskap til risikoer som er identifisert på overordnet nivå, og ansvar for å følge opp de kritiske risikoene. Skal gjennomføre selvstendige risikovurderinger i virksomhetsplanen. Gjennomfører hvert kvartal en evaluering av risikovurderingene virksomhetsplanen. Underdirektørene: Eierskap til risikoer som er identifisert på overordnet nivå og avdelingsdirektør, og ansvar for å følge opp de kritiske risikoene. Skal gjennomføre selvstendige risikovurderinger i virksomhetsplanen. Gjennomfører hvert kvartal en evaluering av risikovurderingene i virksomhetsplanen. Foretar risikovurderinger og følger opp risikoene i de vesentligste prosessene/rutinene i underavdelingen for å bedre mål og resultatstyringen, overholdelse av lover og regler og pålitelig regnskapsrapportering og økonomiforvaltning. (Reglement for økonomistyring i staten av 12.desember 2003.) Underavdeling plan og økonomi: Direktoratets kompetansemiljø på risikostyring Bistå ved gjennomføring av risikovurderinger Bidra i evalueringen om tiltak for å håndtere risiko er hensiktsmessig og tilstrekkelig. Øvrige ansatte Eierskap til risikoer som er identifisert på overordnet nivå, avdeling og underavdeling. Bidra i risikovurderinger og følge opp risikoene i henhold til vedtatte tiltak og/eller virksomhetsplaner. Hvordan har Sdir dokumentert risikovurderingene? Dokumentasjonen er i hovedsak gjort i virksomhetsplanen, se figuren nedenfor. som består av kolonnene: Henvisning til hovedmål, kritisk suksessfaktor nr., kritiske suksessfaktorer 2007, intern 17
Risikostyring i staten styringsparametre/resultatkrav, risiko, kontrollaktiviteter/tiltak, konsekvens, sannsynlighet, netto risiko, lav risiko, akseptabel risiko, ikke akseptabel risiko, trend, nye tiltak/kommentarer, ansvarlig, utførende, frist. Risikovurderingene i virksomhetsplanene tar alltid utgangspunktet i Sjøfartsdirektoratets overordnede mål: Sjøfartsdirektoratet skal være en synlig og tydelig aktør for sikkerhet til sjøs for mennesker, fartøy og miljø. Vurdering av konsekvens og sannsynlighet gjøres på hver risiko for at man ikke oppnår styringsparameteren/resultatkrav. Dette er en forenkling av risikoidentifiseringen men gir direktoratet en god start på risikostyring. Denne risikovurderingen brukes til å vurdere om man skal gjøre en risikovurdering av den enkelte kritiske suksessfaktor i tråd med metodedokumentet Risikostyring i staten, Håndtering av risiko i mål- og resultatstyringen. Konsekvensvurdering fra 1-5 (egne fastsatte konsekvenskriterier) på hvilken konsekvens den enkelte risiko har for måloppnåelsen av det overordnede målet (se ovenfor) blir gjort i kolonnen konsekvens. Sannsynlighetsvurdering fra 1-5 (se fastsatte sannsynlighetskriterier) på hvor sannsynlig det er at den enkelte risiko påvirker måloppnåelsen av det overordnede målet blir gjort i kolonnen sannsynlighet. For å forbedre selve risikovurderingene og dokumenteringen av disse, vurderer vi å gå til innkjøp av et dataverktøy. Kostnad i forhold til nytte, gjorde at direktoratet i første omgang ikke valgte å gjøre dette innkjøpet. Hvordan følges risikovurderingene opp og hvordan rapporteres det internt og opp til NHD? Direktoratet har rapportering internt hvert kvartal. Imidlertid er det tiltenkt at virksomhetsplanen skal være et levende dokument som man skal bruke i den daglige styringen. Dette innebærer at man har jevnlig oppfølging, men skal rapportere videre i linjen hvert kvartal eller ved andre hendelser som medfører store endringer i risikovurderingene. Overordnet virksomhetsplan er også utgangspunkt for vår rapportering på måloppnåelse til NHD (eks. kontaktmøter). Direktoratet får ved å fokusere på virksomhetsplanen satt rett fokus (der risikoen er størst) i styringsdialogen. Hvordan er Sjøfartsdirektoratets erfaringer med risikostyring? Mål og prioriteringsdokumentet er en systematisk gjengivelse av mål og resultatkrav gitt i tildelingsbrev fra NHD og MD, med henvisning til Sjøfartsdirektoratets strategiplan (hovedmål) og en vurdering av risikoen for at vi ikke oppnår resultatkravene. Dette medfører at vi får en helhet i direktoratets mål og resultatstyring, og en systematisk dokumentert risikostyring. Risikotoleransen til Sjøfartsdirektoratet er inndelt i 3 kategorier. Verdi 1-5 i netto risiko gir grønn eller lav risiko. Verdi 6-10 i netto risiko gir gul eller akseptabel risiko. Verdi 11-25 i netto risiko gir rød eller ikke akseptabel risiko. Endringer i virksomhetsplan som medfører at verdien netto risiko blir ikke akseptabel risiko (rød) skal rapporteres umiddelbart til nærmeste leder. Ved ordinær drift i henhold til plan er virksomhetsplanen gjenstand for rapportering hvert kvartal i henhold til frister gitt i direktoratets interne disponeringsskriv. Virksomhetsplanen skal være et levende dokument som skal brukes i ordinær drift løpende for å bidra til å få rett fokus, og grunnlag for en bedre ressursutnyttelse for å nå direktoratets mål. Dette er således i samsvar med økonomireglement og direktoratets mål om å integrere risikostyring i mål og resultatstyringen. Trendkolonnen sier om verdien i netto risiko er uforandret eller har gått opp eller ned siden forrige rapportering. Foran hver rapportering vil kolonnen tiltak/kommentarer være blank. Beslutter man å sette i gang nye kontrolltiltak skal dette inn under kontrollaktiviteter slik at dette taes hensyn til ved risikovurderingen ved neste rapportering. De hvite prikkene er identifiserte risikoer. Risikoene som er nederst til venstre er kanskje overkontrollert (for mange tiltak), mens risikoene øverst til høyre har for få kontrolltiltak. (for få tiltak) Risikostyring bidrar således med å få rett fokus og gir grunnlag for en bedre ressursutnyttelse (styring og kontroll) for å nå direktoratets mål. God definering av mål og kritiske suksessfaktorer er viktig for å få til en god risikostyring. Spriket i tildelingsbrevene fra overordnede mål og resultatkrav til veldig detaljerte mål og resultatkrav gjør dette vanskelig. Budsjettinnspill 2008 er således i høyere grad knyttet til strategiplanen til direktoratet, og forhåpentligvis vil dette påvirke tildelingsbrevene, slik at styringsdialogen blir enda bedre. Om Sjøfartsdirektoratet Sjøfartsdirektoratet er et forvaltningsorgan underlagt Nærings- og handelsdepartementet med myndighetsansvar overfor norskregistrerte skip og utenlandske skip som anløper norske havner. Sjøfartsdirektoratets overordnede mål er å oppnå høy sikkerhet for liv, helse, fartøy og miljø. Sjøfartsdirektoratet har tre kjerneoppgaver: Å påse og medvirke til at norske skip og rederier holder høy sikkerhets- og miljømessig standard. Å påse og medvirke til at sjøfolk på norske skip har gode kvalifikasjoner, arbeids- og levevilkår. Å påse at fremmede skip i norske farvann og havner overholder internasjonale regler. 18 intern
intern 19
Risikostyring i staten Status for risikostyring i staten, sett fra Senter for statlig økonomistyring Senter for statlig økonomistyring (SSØ) er et forvaltningsorgan etablert i 2004, underlagt Finansdepartementet, med om lag 300 ansatte. Vi har ansvar for forvaltning av Økonomiregelverket, med unntak av de deler som berører etatsstyring som Finansdepartementet forvalter. Vår visjon er effektiv ressursbruk i staten.vi skal oppnå denne ved å tilrettelegge for god økonomistyring og levere økonomitjenester basert på uttak av synergier og stordriftsfordeler for staten.vi bidrar til dette gjennom kompetansetiltak, rådgivning og utvikling av metoder og verktøy innenfor fagområder som mål- og resultatstyring, risikostyring og samfunnsøkonomiske analyser. Vi leverer også økonomitjenester innen lønn, personal, budsjett og regnskap, og har ansvaret for statsregnskapet og statens konsernkontoordning. SSØ har en bred kontaktflate mot statlige virksomheter gjennom sin kursvirksomhet, utvikling av metoder og veiledere, foredragsvirksomhet og veiledning til statlige virksomheter. Denne artikkelen er basert på våre observasjoner fra vår kontakt med virksomhetene, samt erfaringer som formidles fra virksomhetene vi er i kontakt med. Forfatterne av denne artikkelen er begge ansatt i Forvaltnings- og analyseavdelingen i SSØ. For mer informasjon om SSØ, se våre hjemmesider på: www.sfso.no 20 intern Av Hans Petter Eide og Hallfrid Nagell-Erichsen, Senter for statlig økonomistyring. Stadig flere statlige virksomheter har påbegynt innføring av risikostyring. I denne artikkelen vil vi belyse noen viktige rammer for statlig styring, og sentrale utfordringer statlige virksomheter står overfor når de skal innføre risikostyring. Utfordringene er 1) å få risikostyringen forankret på ledernivå og i departementene som øverste forvaltningsnivå, 2) å få risikostyringen integrert i virksomhetens eksisterende styringsprosesser og 3) å komme videre fra å drive med risikovurdering til aktivt å styre risiko. Metodedokumentet for risikostyring i staten ble utgitt i desember 2005 på bakgrunn av at det reviderte økonomiregelverket stilte krav om helhetlig risikostyring og intern kontroll en klar utvidelse av de tidligere intern kontroll bestemmelsene. Dokumentet gir veiledning i hvordan virksomhetene på en strukturert måte kan benytte risikostyring som et verktøy for å gi rimelig sikkerhet for at de når sine målsettinger. Risikostyring skal integreres i de styringsprosesser som allerede er etablert i virksomhetene. Dokumentet er møtt med stor interesse fra statlige virksomheter og i den sammenheng har SSØ holdt flere kurs i risikostyring. Vi har også presentert metoden for flere statlige virksomheter og gitt veiledning om hvordan de skal komme i gang med risikostyring. Gjennom dette arbeidet har vi observert noen utfordringer de statlige virksomhetene står overfor når de skal innføre risikostyring og tilpasse metoden til egen virksomhet. Disse utfordringene vil bli drøftet i denne artikkelen. Vi vil imidlertid starte med å gå inn på noen spesifikke særtrekk for styring av statlige virksomheter. Viktige rammer for styring av statlige virksomheter Styresettet i offentlig sektor har tilnærmet seg privat sektor de siste årene. Det er likevel en vesentlig forskjell ettersom private virksomheter oftest har som mål å oppnå høyest mulig økonomisk avkastning, mens penger i offentlig sektor representerer et virkemiddel for å nå fastsatte velferds- og samfunnsmål. Statlige virksomheter har ikke en klart definert bunnlinje, men må selv definere inntektssiden i form av tjenester produsert, omfang av forvaltning, brukerservice m.v. God avkastning er like viktig i det offentlige som i det private, men i det offentlige må en stille spørsmålet: Hva er en god avkastning, i form av tjenesteproduksjon og effekter for brukere og samfunn, på de midler som stilles til disposisjon gjennom statsbudsjettet og som virksomhetene er satt til å forvalte. Statlige virksomheters mål handler i all hovedsak om pålagte oppdrag. Virksomhetene kan ikke på selvstendig basis velge sine strategier i forhold til hva som er etterspørselen i markedet, men blir gjennom stortingsvedtak (statsbudsjettet) pålagt å løse sitt samfunnsoppdrag med nærmere spesifiserte krav til hvilke resultater som skal oppnås innenfor gitte budsjettrammer. Statlig sektor er kompleks og det er mange utfordringer både knyttet til fastsettelse av mål og ambisjonsnivå, og i forhold til å måle og dokumentere den verdiskaping og resultatene som oppnås i statlige virksomheter. 1 I statlig forvaltning har mål- og resultatstyring vært det overordnede styringsprinsipp siden midten av 1980-årene, og ble innført for å gjøre staten mer effektiv og resultatorientert. Mål- og resultater skal oppnås innenfor rammen av disponible ressurser og i tråd med forutsetningene som Stortinget har gitt. Mål- og resultatstyring kan defineres som følger: 1 SSØ utga en veileder i resultatmålinger i staten 2006. Veilederen kan bestilles på www.sfso.no.