Risikostyring skal være integrert i mål- og resultatstyringen og handler om at ledere må kjenne til og håndtere risikoer som kan true god og effektiv måloppnåelse. På denne siden får du svar på hva risiko og risikostyring er og hva som er spesielt med risikostyring i staten.
Hva er risiko?
Forhold eller hendelser som inntreffer og påvirker måloppnåelsen kan ha negative konsekvenser, positive konsekvenser eller begge deler. DFØ kaller forhold eller hendelser som kan inntreffe og påvirke måloppnåelsen negativt, for risiko. Hendelser med positive konsekvenser representerer muligheter. Begge deler er like viktig å fokusere på for ledelsen.
- Ledelsen identifiserer og vurderer risikoer og håndterer disse ved å etablere tiltak som reduserer risikoen
- Ledelsen identifiserer muligheter og tar med mulighetene tilbake til sine strategi- eller målformuleringsprosesser, utreder tiltak og utformer planer med disse tiltakene i.
Les om innovasjon i offentlig sektor (digdir.no).
Hva er risikostyring?
Risikostyring er et viktig hjelpemiddel i styringen. Risikostyring består av to hoveddeler:
- risikovurderinger (risikoidentifikasjon, risikoanalyse og risikoevaluering/prioritering)
- risikohåndtering (utforming av risikoreduserende tiltak og oppfølging av risiko)
Det er vanlig å vurdere to sider ved risiko:
- sannsynligheten for at risikoen inntreffer
- den forventede konsekvensen risikoen vil medføre dersom den inntreffer
Resultatet av vurderingene angir hvor høy den enkelte risiko er.
Risikostyring er ingen eksakt vitenskap, men et nyttig verktøy i styringen. Risikostyring handler om at dere både skal kjenne til og aktivt håndtere forhold eller hendelser som kan påvirke arbeidet med å nå målene. Risikostyring hjelper dere med å tenke proaktivt, prioritere og ta bedre beslutninger. Virksomhetsledelsen har et særlig ansvar for risikostyringen, ettersom det er virksomhetsledelsen som er ansvarlig for måloppnåelse samlet sett for virksomheten og risikohåndtering på ulike nivåer og på ulike områder i virksomheten. Dette gjelder uavhengig av om virksomheten er et departement eller en underliggende virksomhet.
Et departement vil i tillegg ha et overordnet ansvar for risikostyring på sektornivå og risikostyring av underliggende virksomheter, det vil si i etatsstyringen.
Risikovurderinger tar ofte utgangspunkt i mål. Mål eksisterer på ulike nivåer. Risiko kan påvirke mål langs hele resultatkjeden, se figuren under. I praksis vil derfor ledere på ulike nivåer ha ansvar for å gjennomføre risikovurderinger på deres ansvarsområde. Risikostyring på lavere nivåer må være forankret i virksomhetens overordnede mål og strategi.
Risiko kan ha sin årsak i interne eller eksterne forhold, og kan være av både operasjonelle og strategiske. God styring og kontroll krever at mål og tilhørende risikoer langs hele resultatkjeden blir tatt hånd om, men at det skjer en prioritering ut fra risiko og vesentlighet. Alle mål på alle nivå er ikke like viktige.
Det vil være en arbeidsdeling og ulikt fokus på ulike mål med tilhørende risiko i departementet og i den underliggende virksomheten, avhengig av rollefordelingen mellom departementet og virksomheten. Risiko, vesentlighet og egenart vil påvirke denne rollefordelingen.
Hva er spesielt med risikostyring i staten?
Det er mange fellestrekk mellom risikostyringen i staten og i privat sektor. Risikostyringen er ofte basert på de samme standardene og rammeverkene som ISO 31000 og COSO ERM, men praktiseringen av risikostyring i statlige virksomheter skiller seg fra virksomheter i privat sektor på flere måter. Under har vi listet noen sentrale forhold som generelt påvirker praktiseringen av risikostyring i staten.
Overordnede krav til risikostyring i økonomiregelverket
Staten er mangfoldig og fragmentert i form av ulike forvaltningsnivåer, ulike virkemidler, ulik størrelse og ulike ansvarsområder. Statlige virksomheter har mange ulike mål og oppgaver – alt fra å forvalte lover og drive tilsyn, til ulike former for velferdsproduksjon. Egenarten blir derfor viktig for praktiseringen av risikostyringen. Kravene til risikostyring i økonomiregelverket er av overordnet og prinsipiell karakter, nettopp for å gi rom for å tilpasse til egenarten. Det er altså ikke like konkrete krav til risikostyring som for eksempel i bank- og finansnæringen som har en egen forskrift for risikostyring og internkontroll med veiledning til forskriften.
Andre typer mål og risiko
Statlige virksomheter har andre typer overordnede mål enn private virksomheter. Statlige virksomheter er til for å skape effekter hos brukere og samfunn og har derfor bruker- og samfunnsmål. Private virksomheter kan også ha bruker- og samfunnsmål, men vil ha overskuddsmål som sitt primære «overordnede» mål.
En annen forskjell er at de overordnede målene til statlige virksomheter er politisk satt.
Statlige virksomheter kan derfor ikke like fritt velge mål og virkemiddel som i private virksomheter.
God risikostyring forutsetter blant annet at det er satt tydelige mål. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene. Mange statlige virksomheter møter utfordringer når de skal sette tydelige mål for brukere og samfunn og operasjonalisere disse på en god måte. Mål for brukere og samfunn går ofte utenfor egen virksomhet og på tvers av sektorer.
Ettersom målene er forskjellig på overordnet nivå, vil det naturlig også være andre type risikoer. Risikoer og risikoreduserende tiltak knyttet til de overordnede målene vil ofte også gå på tvers av ulike virksomheter og sektorer og kreve god samordning mellom virksomheter og sektorer.
Målene knyttet til leddene til venstre i resultatkjeden, som innsatsfaktorer, prosesser og aktiviteter og i noen tilfeller også produkter og tjenester, kan derimot være ganske like i statlige og private virksomheter. Eksempelvis kan både mål, krav og risiko knyttet til støtteprosesser som lønn og regnskap, HMS, HR og IKT delvis være like i statlige og private virksomheter. Kjerneprosesser og styringsprosessene i staten med tilhørende mål og risikoer vil kanskje i større grad skille seg fra privat sektor.
Oppfølging av risikoreduserende tiltak og effekter
Statlige virksomheter er i hovedsak skattefinansiert og ikke finansiert av markedets betalingsvillighet, og de kan ikke gå konkurs som private virksomheter. For mange typer av statlige aktiviteter finnes det ikke noe «marked» for sluttleveransene til brukeren eller samfunnet som kan bli brukt som informasjonsgrunnlag i risikostyringen. Eksempler på statlige produkter og tjenester er fellesgoder som forsvar, politi og rettsvesen mv.
I statlige virksomheter kan det ofte være betydelige måleproblemer knyttet til oppnådde effekter på bruker- og samfunnsnivå. Ettersom det ofte ikke eksisterer et marked for mange statlige produkter og tjenester, kan ikke markedet gi svar på om tiltak virker. Prisene fungerer ikke som informasjonsbærere, og gjør prioritering og fordeling utfordrende. Ettersom det også kan være flere etater med ulike delansvar inn i samme bruker- eller samfunnsmål, kan det være krevende å plassere ansvar, forklare årsakssammenhenger og følge opp risikoer, og forklare effekten av risikoreduserende tiltak og oppnådde effekter.
Kost/nyttevurderinger og budsjettbegrensninger
Fastsatte mål i statlige virksomheter skal nås innenfor rammen av disponible ressurser og forutsetninger fastsatt av overordnet myndighet (Stortinget, departementet). Kost/nyttevurderinger og budsjettbegrensninger ligger derfor til grunn for tiltak og kontrollaktiviteter. Handlingsrommet til statlige virksomheter kan derfor være mindre enn i private virksomheter. Mål og risikoreduserende tiltak kan ikke velges helt fritt ettersom samfunnsoppdrag, krav mv. er gitt.
Utfordrende å definere risikotoleranse
Det å ta risiko er nødvendig for at staten skal bidra til fremdrift og utvikling i samfunnet. Hvis det blir nulltoleranse for feil på alle områder, vil vi ikke nå målet om en innovativ og lærende stat. Nulltoleranse gjør at mye ressurser må bli brukt på kontroll som går på bekostning av tjenesteproduksjon. Det er derfor viktig at statlige virksomheter har et bevisst forhold til sine risikoer og hvilket nivå på risiko som er akseptabelt å leve med.
For mange ledere i statlige virksomheter kan det være et politisk dilemma å ta aktivt stilling til et akseptert nivå på risiko for ikke å nå et bestemt mål. Dette gjelder eksempelvis risikotoleranser som gjelder for liv og helse. Det er heller ikke alltid like enkelt å definere eller kvantifisere risikotoleranser knyttet til overordnede mål. Risikotoleranser bør likevel være et sentralt tema hos virksomhetsledelsen, samt i styringsdialogen mellom virksomhet og departement.
Kontakt
Har du spørsmål om styring i staten, send en e-post til styring [at] dfo.no (styring[at]dfo[dot]no). Eller bestill et møte med oss i DFØ.