Økonomiregelverket for staten inneholder krav om at styring, oppfølging, kontroll og forvaltning skal tilpasses virksomhetens egenart, risiko og vesentlighet. I tillegg krever regelverket at alle virksomheter skal etablere internkontroll tilpasset risiko og vesentlighet.
Mål- og resultatstyring forutsetter risikostyring
Departementer og statlige virksomheter skal ivareta mange og viktige oppgaver i samfunnet. Mål- og resultatstyring skal sikre at de overordnede politiske målene blir brutt ned til konkrete mål som virksomhetsledere kan styre etter. Både eksterne og interne rammebetingelser påvirker de mulighetene virksomhetene har til å innfri kravene og forventningene de er stilt overfor. Utfordringer eller usikkerheter som kan påvirke måloppnåelse negativt, omtales gjerne som risikoer. En god mål- og resultatstyring forutsetter derfor at virksomhetsledelsen systematisk indentifiserer, vurderer og aktivt håndterer disse risikoene. Risikostyring og internkontroll integrert i mål- og resultatstyringen skal bidra til at virksomheten når sine mål.
Mål- og resultatstyring er et overordnet styringsprinsipp i staten. Det er nedfelt i de grunnleggende styringsprinsippene i økonomiregelverket (se rammen under). Økonomiregelverket omhandler etat- og virksomhetsstyringen i staten i et bredt perspektiv, og dreier seg ikke bare om økonomistyring. Også Stortingets bevilgningsreglement inneholder krav om at departementene i forbindelse med bevilgningsforslagene skal beskrive resultatene en søker å oppnå (dvs. målet) og gi opplysninger om oppnådde resultater for siste regnskapsår.
Reglement for økonomistyring i staten
§ 1 Formål
Reglement for økonomistyring har som formål å sikre at:
a) statlige midler brukes og inntekter oppnås i samsvar med
Stortingets vedtak og forutsetninger
b) fastsatte mål og resultatkrav oppnås
c) statlige midler brukes effektivt
d) statens materielle verdier forvaltes på en forsvarlig måte
§ 4 Grunnleggende styringsprinsipper
Alle virksomheter skal
a) fastsette mål og resultatkrav innenfor rammen av disponible
ressurser og forutsetninger gitt av overordnet myndighet
b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er
effektiv og at virksomheten drives i samsvar med gjeldene lover og
regler, herunder krav til god forvaltningsskikk, habilitet og etisk
adferd
c) sikre tilstrekkelig styringsinformasjon og forsvarlig
beslutningsgrunnlag
Departementet skal i tillegg fastsette overordnede mål og styringsparametere for underliggende virksomheter, jf. 7.
Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet.
Hva sier regelverket om risikostyring i statlige virksomheter?
Økonomiregelverket inneholder krav om at styring, oppfølging, kontroll og forvaltning skal tilpasses virksomhetens egenart samt risiko og vesentlighet (se siste setning i § 4 over). Tilpasningskravet gjelder både i styring og kontroll i det enkelte departement, i departementets styring og kontroll av underliggende virksomheter (etatsstyringen) og i den enkelte virksomhet. I tillegg krever regelverket at alle virksomheter skal etablere internkontroll tilpasset risiko og vesentlighet (økonomireglementet § 14).
Disse gjennomgående kravene i økonomiregelverket innebærer at vurdering av risiko og vesentlighet skal ligge til grunn for å utforme det samlede styrings- og kontrollopplegget. Forsvarlig håndtering av risiko er nødvendig for alle departementer og underliggende virksomheter, uansett område og størrelse. Det er viktig å integrere slike vurderinger i styringsprosessene, å se sammenhenger mellom mål, risiko og tiltak, samt å ta stilling til akseptabelt nivå på risiko.
Kravene til intern kontroll i økonomiregelverket er krav til risikostyring på operativt nivå. Kravene sier eksplisitt at den interne kontrollen skal være innebygd i virksomhetens interne styring, og øke sannsynligheten for oppnåelse av virksomhetens mål ved at man identifiserer risikoer og tiltak for å redusere risikoene. De andre elementene som kravene til internkontroll omfatter, representerer alle også komponenter i god risikostyring. Dette er komponenter som oppfølging av risiko og tiltak, informasjon og kommunikasjon, samt kontrollmiljø.