Risikostyring i virksomhetsstyringen

Risikostyring skal være en integrert del av virksomhetsstyringen og foregår derfor på ulike nivåer i virksomheten. Ledelsen er ansvarlig for at virksomheten når målene sine, og har derfor et spesielt ansvar for risikostyringen. På denne siden omtaler vi noen viktige forhold ved bruk av risikostyring i virksomhetsstyringen, enten virksomheten er et departement (departementets interne styring) eller en underliggende virksomhet.

Oppdatert

Hvem har ansvaret for risikostyringen i virksomheten?

Det er ledelsen i virksomheten som fastsetter målene for virksomheten basert på mål gitt i Prop. I S, instruks og tildelingsbrev fra overordnet departement. 
Virksomhetsleder har det overordnede ansvaret for virksomhetens måloppnåelse, resultater og internkontroll. For å ivareta dette ansvaret må virksomhetsleder delegere oppgaver og myndighet og gi resultatansvar til ledere på lavere nivåer. Det må skje en operasjonalisering av de overordnede målene nedover i målhierarkiet og nedover i virksomheten der ulike linjeledere har ansvar for mål på lavere nivå med et tilhørende ansvar for risikostyring og internkontroll, oppfølging og rapportering tilbake i linjen. Dette gjelder eksempelvis for:

  • avdelingsledere
  • seksjonsledere
  • prosessledere
  • prosjektledere

Hvilke mål i virksomheten bør dere risikovurdere?

De overordnede målene i virksomheten er utgangspunktet for strategien og virksomhetsstyringen. Statlige virksomheter er til for å skape effekter for brukere og samfunn og således er disse målene de viktigste for virksomheten å styre mot. For en illustrasjon av resultatkjeden se figuren under.

Det finnes mål på ulike nivå i virksomheten og langs hele resultatkjeden.

  • mål for samfunnseffekt
  • mål for brukereffekt
  • mål for produkt- og tjenester
  • mål for aktiviteter og prosesser
  • mål for innsatsfaktorer

Målene er et viktig utgangspunkt for risikovurderinger, derfor er betydningen av tydelige og gode mål avgjørende for at risikostyringen skal gi verdi. Hvis det er uklart hva dere ønsker å oppnå, blir det vanskelig å identifisere tilhørende risikoer og tiltak som bidrar til å øke sannsynligheten for måloppnåelse. 

Dere bør starte med å gjennomføre risikovurderinger av de overordnede målene. Risikovurderinger av overordnede mål vil være nyttig inn i arbeidet med innspill til foreløpig og endelig tildelingsbrev og i etatsstyringsdialogen for øvrig. Risikovurderingen kan for eksempel gi gode indikasjoner på hva det er realistisk å få til med gitte ressurser. Resultatet av risikovurderinger av de overordnede målene vil også gi et godt grunnlag for å vurdere hvilke øvrige mål og områder i virksomheten det er behov for å drive systematisk risikostyring av og hvor det er særlig viktig med god internkontroll.

Det betyr likevel ikke at alle mål på alle nivå i virksomheten og i alle ledd i resultatkjeden skal risikovurderes. Enhver leder har ansvar for å ta stilling til hvilke mål som skal risikovurderes innenfor eget ansvarsområde. Omfang og frekvens skal tilpasses egenart, risiko og vesentlighet. Ledelsen bør ha et bevisst forhold til og kunne svare på følgende spørsmål:

Hvilke mål (i målhierarkiet/resultatkjeden) ønsker vi å drive systematisk og dokumentert risikostyring av, og hvorfor? 

Svaret avhenger av hvor stort behov ledere på ulike nivåer har for systematisk tilnærming og dokumentasjon av risikostyring innenfor sitt ansvarsområde og hvilke risikotoleranser som eventuelt er knyttet til målene.

Svaret avhenger også av hvor stort behov overordnet departement har i sin styring og kontroll av den underliggende virksomheten. Dette må virksomhetsleder og etatsstyrer avklare i dialogen seg imellom.

Figuren under illustrerer hvordan ledere på ulike nivå i virksomheten kan ha ansvar for å nå mål på ulike nivå i resultatkjeden. Virksomhetsleder er alltid ansvarlig for helheten. Selv om mål er operasjonalisert og delegert nedover i hierarkiet, må målene understøtte de overordnede målene til virksomheten.

Figur som viser risikostyring på ulike nivå i departementet
Figur som viser risikostyring på ulike nivå i departementet

Risikostyringen må håndtere både operasjonelle og strategiske risikoer, det betyr litt forenklet:

  • Risikoer som hindrer oss i å nå mål knyttet til driften som ofte oppstår til venstre i resultatkjeden (hva hindrer oss i å gjøre tingene vi har bestemt oss for riktig?)
  • Risikoer som hindrer oss i å nå målene satt for brukere og samfunn, som oppstår lengre til høyre i resultatkjeden (hva hindrer oss i å gjøre de rette tingene?)

Operasjonelle risikoer kan få store strategiske konsekvenser som gjør at virksomheten ikke evner å realisere sitt samfunnsoppdrag på en god måte. Derfor er det viktig at informasjon og kommunikasjon om risiko går begge veier i organisasjonen, både oppover og nedover i organisasjonshierarkiet, og på tvers av ulike organisatoriske enheter i virksomheten.

Det er god praksis å risikovurdere alle vesentlige prosesser når disse blir etablert, eller når det blir gjennomført endringer i, eller i tilknytning til, disse prosessene. Resultatet av risikovurderinger av de overordnede målene gir indikasjoner på hvilke vesentlige prosesser virksomheten har. Dette er prosesser som er vesentlige for at virksomheten skal nå de overordnede målene sine og ivareta samfunnsoppdraget sitt på en god måte.

Når bør dere gjennomføre risikovurderinger?

Det er vanskelig å gi et godt og fullstendig svar på når i året virksomheten bør gjennomføre risikovurderinger. Vi nøyer oss med å gi et generelt råd.

Risikovurderinger bør gjennomføres på tidspunkt som passer med øvrige styringsprosesser i virksomheten eller med statsbudsjettprosessen. Slik kan resultatet av risikovurderingene brukes i styringen når det er behov for informasjonen. Det betyr for eksempel i planprosesser og i oppfølgingsprosesser som:

  • fastsetting av mål  og strategi samt arbeidet med  plan og budsjett (både ettårig- og flerårig plan)
  • oppfølging og rapportering på måloppnåelse (halvårs,- kvartals- og årsrapportering)

Hvordan følge opp og rapportere om risiko i virksomhetsstyringen?

Både ledere på ulike nivåer i virksomheten og etatsstyrer vil ha behov for å følge utviklingen av vesentlige risikoer og håndteringen av disse. Dette må de for å ha kontroll med måloppnåelsen. Vi trenger blant annet å vite om:

  • de risikoreduserende tiltakene som er besluttet er blitt implementert
  • effekten av risikoreduserende tiltak
  • risikoen er blitt redusert til et akseptabelt nivå

Det skjer kontinuerlig endringer internt og eksternt som påvirker virksomhetens risikobildet. Derfor vil det regelmessig være behov for å overvåke eksisterende risikoer, etablere nye tiltak eller justere eksisterende tiltak. Hvor hyppig og omfattende oppfølgingen og rapporteringen skal være, må dere tilpasse det løpende styringsbehovet.

Ledermøter, styringsdialogmøter og måneds-, kvartals-, halvårs- og årsrapporteringer er aktuelle arenaer for å diskutere og rapportere både på nye risikoer og eksisterende risikoer som har betydning for måloppnåelsen. Dere bør benytte allerede eksisterende arenaer og rapporteringskanaler i størst mulig grad. Slik legger man opp til at risikostyringen blir en integrert del av den øvrige virksomhetsstyringen.

Tidspunktet for rapportering må dere tilpasse styringskalenderen, slik at informasjon om risiko og håndtering av denne kan sees i sammenheng med øvrig rapportering.

Det vil være naturlig at ledere på et nivå vurderer risiko. Dersom det er identifisert vesentlig risiko som ikke kan bli håndtert innenfor eget ansvarsområde, rapporteres risikoen til ledelsen på nivået over. Resultatet av den overordnede risikovurderingen til toppledergruppen bør også kommuniseres nedover i hierarkiet til ledere på lavere nivåer, slik at risikotoleransen blir gjenspeilet i tiltak på det relevante nivået. Det bør altså skje både en «top-down» og «bottum up»-dialog om risikobildet. Figuren under viser risikostyring på ulike nivå i virksomheten.

Figur som viser risikostyring på ulike nivå i virksomheten.
Figur som viser risikostyring på ulike nivå i virksomheten.

Hvordan kan god risikostyring i virksomheten bidra til overordnet styring fra departementet?

Departementet har et overordnet ansvar for styring og kontroll i underliggende virksomheter. For å ivareta dette ansvaret må både departementet og virksomheten ha et bevisst forhold til hvilke risikoer som er vesentlige for at virksomheten skal ivareta sitt samfunnsoppdrag på best mulig måte. En felles forståelse av risikobildet og hvilke risikoer som er vesentlige, vil være svært nyttig i etatsstyringsdialogen og i departementets tilpasning av sitt overordnede styring- og kontrollansvar. Et godt system for risikostyring i virksomheten er med på å gjøre det mulig for departementet å utøve et overordnet kontrollansvar og ikke detaljstyre virksomheten unødig. 

For at dere skal legge et godt grunnlag for overordnet styring og få handlingsrom, må dere gjøre departementet trygt på at dere:

  • har en systematisk tilnærming til å identifisere, håndtere og kommuniserer risiko på ulike nivåer i virksomheten. 
  • varsler departementet om vesentlige operasjonelle og strategiske risikoer som kan true måloppnåelsen. 

Det betyr at dere har systemer og rutiner for å identifisere og håndtere både operasjonelle og strategiske risikoer, og at dere gir departementet trygghet for at systemene fungerer som forutsatt. Denne tryggheten kan dere gi departementet i styringsdialogen ved å orientere om hvilke systemer og rutiner dere har for risikostyring, uten at dere trenger å gå i detalj på innholdet i, og innretningen av, risikostyringen.

Dersom dere har god informasjon og kommunikasjon med departementet knyttet til vesentlige risikoer, en felles oppfattelse av risikobildet og risikotoleranser, og løpende eller regelmessig diskuterer endringer i dette bildet med departementet, vil en unngå overraskelser og usikkerhet som kan bidra til at departementet ikke kan utøve overordnet styring og kontroll.

Kontaktinfo
Har du spørsmål om innholdet på denne siden, send en e-post til postmottak@dfo.no.
Fant du det du lette etter?