Risikostyring i etatsstyringen

Departementet må få trygghet for at virksomheten har etablert en forsvarlig risikostyring, og at den fungerer godt. For å ivareta dette ansvaret bør dere som departement gjennomføre egne risikovurderinger. Departementets risikovurdering vil gi et godt grunnlag til dialogen med virksomheten rundt hva som er de viktigste risikoene og hvilken risikotoleranse som vil være akseptabel for departement og virksomhet.

Hvilke mål bør risikovurderes i etatsstyringen?

Som departement må dere har flere perspektiver i risikostyringen:

• I etatsstyringen: Hvilke forhold eller hendelser kan inntreffe og negativt påvirke de overordnede målene for den underliggende virksomheten?
• I departementets egen virksomhetsstyring: Hvilke forhold eller hendelser kan inntreffe og påvirke målene for departementet som virksomhet? Les mer om risikostyring i virksomhetsstyringen

Både departement og virksomhet arbeider for å oppnå de samme bruker- og samfunnseffekter og bør derfor gjøre egne selvstendige risikovurderinger av bruker- og sektormålene. Departement og virksomhet bør deretter ha dialog om resultatet av vurderingene.

I tillegg til risikovurderinger av de overordnede målene (mål for bruker- og samfunnseffekter) må underliggende virksomhet gjøre risikovurderinger av mål på lavere nivå. Dersom egenart, risiko og vesentlighet tilsier det kan også departementet ha gode grunner til å rette oppmerksomheten mot mål og risikovurderinger på lavere nivå og ha dialog med virksomheten om dette. Eksempelvis risiko knyttet til leveransemål (mål for produkt og tjenester) eller risiko knyttet til vesentlige aktiviteter og prosesser. Kjernen i dialogen bør være å skape en felles forståelse for hvilke risikoer som er viktigst og hvorfor, samt hvilke risikoer virksomheten kan og bør håndtere gitt målene som er satt for virksomheten.

Det å ha en forbered og åpen dialog om risiko, også knyttet til den operasjonelle driften, innebærer ikke i seg selv detaljstyring. Det er både legitimt og anbefalt at departement og underliggende virksomhet utveksler informasjon og vurderinger knyttet til vesentlige sider ved risikobildet. Men en slik dialog kan lede til en uhensiktsmessig detaljstyring dersom departementet ikke er bevisst på å skille mellom det å ha en fagdialog og det å gi styringssignaler. Dersom departementet stiller konkrete krav til hvordan en risiko skal håndteres i den underliggende virksomheten, er dette et styringssignal som begrenser virksomhetens mulighet til selv å gjøre vurderinger og valg. Ansvaret for risikohåndteringen overtas i realiteten av departementet.

Departementets risikovurdering av en virksomhets operasjonelle drift må bli sett i sammenheng med målene som er fastsatt på bruker- og samfunnsnivå og vurderinger av risikobildet som ble drøftet i forbindelse med disse målene. Denne sammenhengen må alltid være på plass, slik at styringen ikke handler bare om den operasjonelle driften i virksomheten, løsrevet fra bruker- og samfunnsmålene. 

Oppsummert vil en god kopling og bevisst rolledeling mellom risikostyringen i departementet og den underliggende virksomheten, føre til en forberedt dialog rundt sentrale punkter som:

• strategiske valg og prioriteringer i sektor og etat 
• internkontroll i den underliggende virksomheten

Hvordan følge opp risiko i etatsstyringen?

Gjennomfør risikovurderinger på tidspunkt som gjør at dere kan bruke informasjonen fra risikovurderingene inn i planleggings- og oppfølgingsprosessene i etatsstyringen. Gjennomfør derfor risikovurderinger på tider av året som gjør at dere får nytte av disse vurderingene i 

• risikovurderinger i egen virksomhetsstyring
• styringsdialogen (etatsstyringsmøter, tildelingsbrevprosessen, behandlingen av årsrapporten)
• statsbudsjettprosessen

Den underliggende virksomheten har et selvstendig ansvar for risikostyring (både strategisk og operasjonelt). Departementet bør derfor normalt sett ikke stille krav til utforming og gjennomføring av virksomhetens risikostyring og pålegge konkrete risikoreduserende tiltak. Dere kan da komme i fare for å ta over virksomhetens ansvar for risikostyring.

Dere bør heller støtte dere på risikostyringen i den underliggende virksomheten. Dette lar seg gjøre ved at dere etterspør og får bekreftet at virksomheten har etablert systemer og strukturer for risikostyring og ved å diskutere vesentlige risikoer i etatsstyringsdialogen. Slik blir dere trygge på at underliggende virksomheter har etablert en velfungerende risikostyring, og at dere har en felles oppfatning av hva som er de mest vesentlige risikoene i virksomheten.

Dere kan i bestemte tilfeller ha behov for å stille konkrete krav til risikostyringen i styringsdialogen, herunder i instruksen, tildelingsbrevet eller i egne oppdrag til virksomheten.  Eksempelvis dersom deres egen risikovurdering identifiserer risikoer hos underliggende virksomhet som er kritiske for måloppnåelsen, og hvor virksomheten ikke har samme oppfatning av risikobildet som dere (ulik risikotoleranse), eller det er forhold i virksomheten som krever spesiell oppfølging i en avgrenset periode. I slike tilfeller vil tett dialog med virksomheten være viktig for å oppnå en felles forståelse av risikobildet, slik at dere får avklart hvilket ansvar som henholdsvis dere som departementet, og virksomheten, har i det konkrete tilfellet.

Under oppsummerer vi noen viktige forutsetninger for at dere som departement kan utøve overordnet risikostyring:

• Deres egen risikovurdering og virksomhetens risikovurdering knyttet til overordnede mål er grunnlag for dialog om risiko og risikohåndtering i etatsstyringsdialogen.
• Dere og den underliggende virksomheten har en felles oppfatning av risikobildet og risikotoleranser på vesentlige områder. 
• Dere blir varslet dersom vesentlige risikoer inntreffer.
• Dere påser at virksomheten tar ansvar for egen risikostyring gjennom å etterspørre og få bekreftet at virksomheten har etablert systemer og strukturer for risikostyring, men uten at dere trenger å kjenne til innholdet i disse systemene i detalj.
• Dere mottar regelmessig bekreftelser på at risikostyringen fungerer som forutsatt.

Etatsstyringsmøtene, årsrapporten og eventuelle kvartals- eller halvårsrapporter er arenaer for dialog om risikostyring i den underliggende virksomheten.