Regelverket for økonomistyring i staten stiller krav om risikostyring i statlige virksomheter, men regelverket sier ikke noe konkret om hvordan departementer og virksomheter skal utforme og gjennomføre risikostyringen.
Råd til risikostyring
Under finner dere noen generelle råd om hva dere bør tenke på når dere driver risikostyring – uavhengig av hvilket nivå det styres på, og om det er et departement eller en virksomhet som driver med risikostyring.
Se risiko i sammenheng med målene og kravene
Hva hindrer oss i å nå målene våre og overholde kravene som er stilt til oss. Det er en forutsetning for risikostyringen at dere har oversikt over:
- mål på ulike nivå i virksomheten, det gjelder både ulike nivåer i organisasjonshierarkiet og nivåer i resultatkjeden (overordnede mål i form av brukereffektmål og samfunnseffektmål, tjenestemål, mål for prosesser og aktiviteter, mål for innsatsfaktorer)
- krav på ulike nivå, både eksterne og interne, i form av krav fra overordnet myndighet, rammer og forutsetninger, eksterne lover og regler eller interne krav og retningslinjer
Når det gjelder målene, er det viktig at disse er tydelige, godt formulert, forstått og kjent. Dette gir et godt utgangspunkt for å vurdere risikoene for ikke å nå målene.
Målene for underliggende statlige virksomheter er gitt fra Storting og departement. Virksomheten operasjonaliserer og bryter deretter disse målene ned til lavere nivå som det er mulig å styre etter.
Stortingsproposisjonen, tildelingsbrev og instruks er viktige dokumenter for virksomheten som gir oversikt over mål og krav for virksomheten, i tillegg til lover og regler.
Etabler rammer for risikostyringen
Virksomhetsleder har det overordnede ansvaret for risikostyringen i virksomheten totalt sett, men for å ivareta dette ansvaret må øverste leder delegere myndighet og fordele ansvar for risikostyring til ledere på lavere nivåer.
Øverste leder må vite hva han/hun ønsker å få ut av risikostyringen og skape en forståelse for hensikten med risikostyringen i virksomheten. Hvilken verdi skal risikostyringen gi og hvordan skal risikostyringen integreres i mål- og resultatstyringen? Dette er forhold som ledelsen må ta stilling til, og som bør fastsettes i styrende dokumenter og bli kommunisert til linjen. Overordnet departements forventninger til risikostyring er ofte gitt i instruks eller tildelingsbrev.
Dimensjonér risikostyringen og velg metode ut fra virksomhetens behov
Enhver leder har ansvar for risikostyring innenfor sitt ansvarsområde. Omfang og frekvens på risikostyringen skal tilpasses egenart, risiko og vesentlighet.
Det finnes flere anerkjente metoder og verktøy som dere kan bruke i praktisk gjennomføring av risikostyringen. For at nytten skal stå i forhold til kostnaden, er det viktig å dimensjonere og velge en fremgangsmåte ut fra hvilke behov dere har og hva dere ønsker å oppnå med risikostyringen. De ulike metodene har ulike styrker og svakheter. Spørsmål dere kan stille dere som kan ha betydning på valg av metode er:
- Hvilket behov har dere for å dokumentere risikostyringen?
- Hva ønsker dere å kommunisere og til hvem? Interne behov vs. behov for å dokumentere overfor overordnet myndighet
- Hvilket kunnskapsgrunnlag har dere på området dere skal risikovurdere?
- Hvilket nivå på mål og område skal dere risikovurdere?
Dette er spørsmål som alle påvirker valg av metode og dokumentasjonsbehov. Er det risikovurderinger av overordnede mål og strategi? Eller risikovurderinger på operasjonelt nivå? Behovet for dokumentasjon knyttet til risikovurdering av prosjekter eller prosesser, nye tjenester eller opptak av nye kunder eller samarbeidspartnere vil trolig variere. Velg den fremgangsmåten og metoden som dekker dokumentasjonsbehovet og som blir opplevd å gi størst nytte for virksomheten. Metoder og rammeverk er ment å gi støtte i arbeidet og skal tilpasses virksomhetens behov, og ikke omvendt!
Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål og resultatstyringen, vil være én blant flere metoder. Se også
- verktøy for å gjennomføre og dokumentere en slik risikovurdering på våre nettsider
- ISO-standarden 31010 , som gir eksempler på over 30 metoder og teknikker for å identifisere og vurdere risiko
Et eksempel på en annen metode som kan egne seg til risikovurdering av mål på aktiviteter og prosesser, er prosesskartlegging.
Spørsmål dere bør stille dere ved prosesskartlegging er:
- Hva er målet for prosessen?
- Hva kan gå galt i prosessen / hvilke risikoer kan oppstå (i forhold til hva som er målet i prosessen)?
- Hvilke kontrollaktiviteter er på plass?
- Hvilke kontroller mangler eller er overflødige?
I tillegg må det være tydelig hvor prosessen starter og stopper, hvem som er involvert i prosessen og hvilke system som er involvert.
Se også:
Planlegg og fasiliter for diskusjonene
Det kan være nyttig å planlegge selve gjennomføringen av en risikovurdering godt i forkant av selve vurderingen. Ofte blir bestillinger om at årlige risikovurderinger skal gjennomføres sendt ut i organisasjonen på bestemte tidspunkt på året. Det er viktig at en slik bestilling er tydelig og brukertilpasset. Formålet og hva som skal oppnås og hva risikovurderingen skal brukes til må være tydelig. Er bestillingen til fagpersoner i linjen eller ledere? Dette vil påvirke innholdet i bestillingen.
Det er også avgjørende for et godt resultat at de rette personene deltar i risikovurderingene, og at selve risikovurderingen blir fasilitert på en god måte med ressurser som har god kompetanse både på metode på risikostyring og kjenner virksomheten. Hvem som bør delta i risikovurderingen avhenger av hvilke områder/mål som skal risikovurderes.
Som en hovedregel bør personen som er ansvarlig for målene som skal risikovurderes delta, samt personer som kjenner godt til det aktuelle området. Eksempelvis bør hele ledergruppen delta i risikovurdering av de overordnede målene til virksomheten, mens prosesseier og personer som gir input til prosessen og mottar output av prosessen bør delta i en risikovurdering av vesentlige prosesser.
Formålet er at personene med best forutsetninger for å identifisere, vurdere og håndtere risikoer på det aktuelle nivået deltar. Det vil alltid være en kost/nyttevurdering som ligger til grunn for hvor mange personer som deltar i den aktuelle risikoworkshopen.
I disse lysarkene får dere eksempler på hva en fasilitator bør tenke på før, under og etter gjennomføring av en risikoworkshop.
Utform risikoreduserende tiltak som virker – bruk rotårsaksanalyse
Utforming av tiltak innebærer å
- identifisere aktuelle tiltak som kan redusere risikoen til et akseptabelt nivå
- vurdere og prioritere mulige tiltak ut fra en kost–nyttevurdering
Til hjelp i arbeidet med å identifisere de «rette» risikoreduserendetiltakene, kan dere bruke ulike type rotårsaksanalyse-teknikker. Målet er å håndtere de bakenforliggende årsakene til at risikoen oppstår og ikke bare symptomene. DFØ har veiledning i et par av teknikkene som ofte er brukt i en rotårsaksanalyse.
Implementér risikoreduserende tiltak som er besluttet, og følg opp at de virker!
En av de vanligste fallgruvene i risikostyringen er at risikoreduserende tiltak som blir besluttet, aldri blir utformet selv om de er besluttet eller at de ikke blir tilstrekkelig godt implementert. Da gir risikovurderingen ingen verdi. Det er også svært vanlig at risiko som er identifisert og risikoreduserende tiltak som faktisk blir iverksatt, ikke følges opp. Da får dere ikke verifisert om tiltaket har fungert, og om risikoen er redusert til et akseptabelt nivå.