Risikostyring skal være en integrert del av virksomhetsstyringen og foregår derfor på ulike nivåer i virksomheten. Ledelsen er ansvarlig for at virksomheten når målene sine, og har derfor et spesielt ansvar for risikostyringen. På denne siden omtaler vi noen viktige forhold ved bruk av risikostyring i virksomhetsstyringen, enten virksomheten er et departement (departementets interne styring) eller en underliggende virksomhet.
Hvem har ansvaret for risikostyringen i virksomheten?
Det er ledelsen i virksomheten som fastsetter målene for
virksomheten basert på mål gitt i Prop. I S, instruks og
tildelingsbrev fra overordnet departement.
Virksomhetsleder har det overordnede ansvaret for virksomhetens
måloppnåelse, resultater og internkontroll. For å ivareta dette
ansvaret må virksomhetsleder delegere oppgaver og myndighet og gi
resultatansvar til ledere på lavere nivåer. Det må skje en
operasjonalisering av de overordnede målene nedover i målhierarkiet
og nedover i virksomheten der ulike linjeledere har ansvar for mål
på lavere nivå med et tilhørende ansvar for risikostyring og
internkontroll, oppfølging og rapportering tilbake i linjen. Dette
gjelder eksempelvis for:
- avdelingsledere
- seksjonsledere
Hvilke mål i virksomheten bør dere risikovurdere?
De overordnede målene i virksomheten er utgangspunktet for strategien og virksomhetsstyringen. Med overordnede mål mener vi her brukermål og samfunnsmål. Statlige virksomheter er til for å skape effekter for brukere og samfunn og således er disse målene de viktigste for virksomheten å styre mot. For en illustrasjon av resultatkjeden se figuren under.
Det finnes mål på ulike nivå i virksomheten og langs hele resultatkjeden.
- mål for samfunnseffekt
- mål for brukereffekt
- mål for produkt- og tjenester
- mål for aktiviteter og prosesser
- mål for innsatsfaktorer
Målene er et viktig utgangspunkt for risikovurderinger, derfor er betydningen av tydelige og gode mål avgjørende for at risikostyringen skal gi verdi. Hvis det er uklart hva dere ønsker å oppnå, blir det vanskelig å identifisere tilhørende risikoer og tiltak som bidrar til å øke sannsynligheten for måloppnåelse.
Dere bør starte med å gjennomføre risikovurderinger av de overordnede målene. Risikovurderinger av overordnede mål vil være nyttig inn i arbeidet med innspill til foreløpig og endelig tildelingsbrev og i etatsstyringsdialogen for øvrig. Risikovurderingen kan for eksempel gi gode indikasjoner på hva det er realistisk å få til med gitte ressurser. Resultatet av risikovurderinger av de overordnede målene vil også gi et godt grunnlag for å vurdere hvilke øvrige mål og områder i virksomheten det er behov for å drive systematisk risikostyring av og hvor det er særlig viktig med god internkontroll.
Det betyr likevel ikke at alle mål på alle nivå i virksomheten og i alle ledd i resultatkjeden skal risikovurderes. Enhver leder har ansvar for å ta stilling til hvilke mål som skal risikovurderes innenfor eget ansvarsområde. Omfang og frekvens skal tilpasses egenart, risiko og vesentlighet. Ledelsen bør ha et bevisst forhold til og kunne svare på følgende spørsmål:
Hvilke mål (i målhierarkiet/resultatkjeden) ønsker vi å drive systematisk og dokumentert risikostyring av, og hvorfor?
Svaret avhenger av hvor stort behov ledere på ulike nivåer har for systematisk tilnærming og dokumentasjon av risikostyring innenfor sitt ansvarsområde og hvilke risikotoleranser som eventuelt er knyttet til målene.
Svaret avhenger også av hvor stort behov overordnet departement har i sin styring og kontroll av den underliggende virksomheten. Dette må virksomhetsleder og etatsstyrer avklare i dialogen seg imellom.
Risikostyringen må håndtere både operasjonelle og strategiske risikoer, det betyr litt forenklet:
- Risikoer som hindrer oss i å nå mål knyttet til driften som ofte oppstår til venstre i resultatkjeden (hva hindrer oss i å gjøre tingene vi har bestemt oss for riktig?)
- Risikoer som hindrer oss i å nå målene satt for brukere og samfunn, som oppstår lengre til høyre i resultatkjeden (hva hindrer oss i å gjøre de riktige tingene?)
Operasjonelle risikoer kan få store strategiske konsekvenser som gjør at virksomheten ikke evner å realisere sitt samfunnsoppdrag på en god måte. Derfor er det viktig at informasjon og kommunikasjon om risiko går begge veier i organisasjonen, både oppover og nedover i organisasjonshierarkiet, og på tvers av ulike organisatoriske enheter i virksomheten.
Det er god praksis å risikovurdere alle vesentlige prosesser når disse blir etablert, eller når det blir gjennomført endringer i, eller i tilknytning til, disse prosessene. Resultatet av risikovurderinger av de overordnede målene gir indikasjoner på hvilke vesentlige prosesser virksomheten har. Dette er prosesser som er vesentlige for at virksomheten skal nå de overordnede målene sine og ivareta samfunnsoppdraget sitt på en god måte.
Når bør dere gjennomføre risikovurderinger?
Det er vanskelig å gi et godt og fullstendig svar på når i året virksomheten bør gjennomføre risikovurderinger. Vi nøyer oss med å gi et generelt råd.
Risikovurderinger bør gjennomføres på tidspunkt som passer med øvrige styringsprosesser i virksomheten eller med statsbudsjettprosessen. Slik kan resultatet av risikovurderingene brukes i styringen når det er behov for informasjonen. Det betyr for eksempel i planprosesser og i oppfølgingsprosesser som:
- fastsetting av mål og strategi samt arbeidet med plan og budsjett (både ettårig- og flerårig plan)
- oppfølging og rapportering på måloppnåelse (halvårs,- kvartals- og årsrapportering)
Hvordan følge opp og rapportere om risiko i virksomhetsstyringen?
Både ledere på ulike nivåer i virksomheten og etatsstyrer vil ha behov for å følge utviklingen av vesentlige risikoer og håndteringen av disse. Dette må de for å ha kontroll med måloppnåelsen. Vi trenger blant annet å vite om:
- de risikoreduserende tiltakene som er besluttet er blitt implementert
- effekten av risikoreduserende tiltak
- risikoen er blitt redusert til et akseptabelt nivå
Det skjer kontinuerlig endringer internt og eksternt som påvirker virksomhetens risikobildet. Derfor vil det regelmessig være behov for å overvåke eksisterende risikoer, etablere nye tiltak eller justere eksisterende tiltak. Hvor hyppig og omfattende oppfølgingen og rapporteringen skal være, må dere tilpasse det løpende styringsbehovet.
Ledermøter, styringsdialogmøter og måneds-, kvartals-, halvårs- og årsrapporteringer er aktuelle arenaer for å diskutere og rapportere både på nye risikoer og eksisterende risikoer som har betydning for måloppnåelsen. Dere bør benytte allerede eksisterende arenaer og rapporteringskanaler i størst mulig grad. Slik legger man opp til at risikostyringen blir en integrert del av den øvrige virksomhetsstyringen.
Tidspunktet for rapportering må dere tilpasse styringskalenderen, slik at informasjon om risiko og håndtering av denne kan sees i sammenheng med øvrig rapportering.
Det vil være naturlig at ledere på alle nivåer vurderer risiko. Dersom det er identifisert vesentlig risiko som ikke kan bli håndtert innenfor eget ansvarsområde, rapporteres risikoen til ledelsen på nivået over. Resultatet av den overordnede risikovurderingen til toppledergruppen bør også kommuniseres nedover i hierarkiet til ledere på lavere nivåer, slik at risikotoleransen blir gjenspeilet i tiltak på det relevante nivået. Det bør altså skje både en «top-down» og «bottom up»-dialog om risikobildet.
Hvordan kan god risikostyring i virksomheten bidra til overordnet styring fra departementet?
Departementet har et overordnet ansvar for styring og kontroll i underliggende virksomheter. For å ivareta dette ansvaret må både departementet og virksomheten ha et bevisst forhold til hvilke risikoer som er vesentlige for at virksomheten skal ivareta sitt samfunnsoppdrag på best mulig måte. En felles forståelse av risikobildet og hvilke risikoer som er vesentlige, vil være svært nyttig i etatsstyringsdialogen og i departementets tilpasning av sitt overordnede styring- og kontrollansvar. Et godt system for risikostyring i virksomheten er med på å gjøre det mulig for departementet å utøve et overordnet kontrollansvar og ikke detaljstyre virksomheten unødig.
For at dere skal legge et godt grunnlag for overordnet styring og få handlingsrom, må dere gjøre departementet trygt på at dere:
- har en systematisk tilnærming til å identifisere, håndtere og kommuniserer risiko på ulike nivåer i virksomheten.
- varsler departementet om vesentlige operasjonelle og strategiske risikoer som kan true måloppnåelsen.
Det betyr at dere har systemer og rutiner for å identifisere og håndtere både operasjonelle og strategiske risikoer, og at dere gir departementet trygghet for at systemene fungerer som forutsatt. Denne tryggheten kan dere gi departementet i styringsdialogen ved å orientere om hvilke systemer og rutiner dere har for risikostyring, uten at dere trenger å gå i detalj på innholdet i, og innretningen av, risikostyringen.
Dersom dere har god informasjon og kommunikasjon med departementet knyttet til vesentlige risikoer, en felles oppfattelse av risikobildet og risikotoleranser, og løpende eller regelmessig diskuterer endringer i dette bildet med departementet, vil en unngå overraskelser og usikkerhet som kan bidra til at departementet ikke kan utøve overordnet styring og kontroll.
Kontakt
Har du spørsmål om styring i staten, send en e-post til styring [at] dfo.no (styring[at]dfo[dot]no). Eller bestill et møte med oss i DFØ.