Presentation laddar. Vänta.

Presentation laddar. Vänta.

Intern styrning och kontroll

Liknande presentationer


En presentation över ämnet: "Intern styrning och kontroll"— Presentationens avskrift:

1 Intern styrning och kontroll
Riskanalys i praktiken

2 Agenda Intern styrning och kontroll
Intern miljö Anvisningar för intern styrning och kontroll Planerings- och uppföljningsprocess inom KI Riskanalys Identifiera risker Värdera risker Hantera risker Kontrollåtgärder Uppföljning

3 PLUS, enheten för planering, uppföljning och samordning
Intern styrning och kontroll Verksamhetsplanering Projektsamordning Kvalitet Budget årsredovisning budgetunderlag Samordning konsistoriet

4 Intern styrning och kontroll - en process
Fastställa mål Kontrollmiljö Kontroll- åtgärder Information och kommunikation Uppföljning Risk- hantering Obligatoriska moment enligt FISK:en Riskanalys, §3 Kontrollåtgärder, §4 Uppföljning, §5 Dokumentation, §6

5 En god intern miljö Det finns inte något krav på en viss utformning av den interna miljön i förordningen om intern styrning och kontroll. Däremot se till att… … är en förutsättning för att andra delar av den interna styrning och kontrollen ska fungera De anställda är väl förtrogna med målen för verksamheten, Skapa goda arbetsförhållanden Ta till vara och utveckla de anställdas kompetens och erfarenhet Myndighetens interna miljö formas av människor och är därför i hög grad en föränderlig miljö Organisation och ansvarsfördelning Information och kommunikation Planerings- och uppföljnings- processen Kultur och värderingar

6 Anvisningar för intern styrning och kontroll Fastställda11 maj 2010
Arbetet med intern styrning och kontroll vid KI sker enligt regler och riktlinjer fastställda av konsistoriet 2009. From 2010 ska processen för intern styrning och kontroll ingå som en del i den verksamhetsplanering och uppföljning som genomförs vid respektive institution. Under 2010 ska respektive institution genomföra och fastställa riskanalyser i enlighet med dessa anvisningar. Riskanalysen ska lämnas som en bilaga till verksamhetsplanen och institutionen bör i verksamhetsplanen redogöra för vilka kontroll-åtgärder som planeras att vidtas med anledning av genomförd riskanalys. Varje institution bör ha en kontaktperson som ansvarar för och samordnar arbetet på institutionen.

7 Planerings- och uppföljningsprocessen
Uppdatering Årlig riskanalys Föreslagna åtgärder för att hantera riskerna Årlig riskdoku-mentation Budget Verksam-hetsplan Budgetering/ resursfördelning Rapportering/uppdatering 1jan 20XX Riskhanteringsprocessen Planeringsprocessen Verksamhets-planering Utfall och analys av föregående år Årsredo-visning

8 Planerings- och uppföljningsprocessen - Institutionens årshjul
Rektors beslut om resursfördelning december Uppgifter till KIs årsredovisning December/januari Institutionen lämnar in budget och investeringsplan februari Uppföljning och verksamh.berättelse Uppföljning (kontinuerligt under året) Planering och verksamhetsplan inkl riskanalys oktober/november

9 Vad är en risk? ”En verksamhetsrisk är hotet att en händelse negativt påverkar en organisations möjlighet att uppnå sina verksamhetsmål och genomföra sina strategier” Endast en organisation som är medveten om sina risker kan hantera dem effektivt!

10 Målen med riskhantering
Intern kontroll Öka förståelse för hur enskilt risktagande motverkar/ förstärker verksamhetens totala exponering Säkerställa att organisationens riskerna hanteras i enlighet med beslutad riskaptit Verksamhets-beslut Information gällande organisationens riskexponering Från operativt ansvariga till ledning och styrelse Från ledning och styrelse till externa intressenter Kommunikation Identifiera risk i relation till verksamhetens mål Skapa en gemensam syn på vilka risker som är väsentliga för organisationen Prioritera vilka åtgärder som ska vidtas för att nå önskad riskexponeringen

11 Olika stadier av riskhantering
Proaktiv Förbättrat beslutsunderlag för investeringar – strategiska initiativ Förebyggande Förbättrad resursallokering Skyddande av myndighetens rykte Bedömning och hantering av strategiska risker Medvetenhet om ALLA typer av risker som kan påverka verksamhetsmålen Reaktiv Undvikande av personliga ansvar Regelefterlevnad Andra verksamhetskriser Egna verksamhetskriser

12 Riskanalys Riskanalys 2. Identifiera 3. Värdera 4. Hantera
1. Mål 2. Identifiera 3. Värdera 4. Hantera 5. Riskanalys Institutionerna ska anpassa målformu-leringarna inför riskanalysen utifrån KI:s övergripande mål. Identifiera risker för att verksamhetens mål ej uppnås. Utförs utifrån ett strukturerat arbetssätt med fördefinierade riskområden och riskdrivare. Värdera risker utifrån sannolikhet och påverkan Prioritering av risker för att hantera risker - acceptera /övervaka - begränsa - dela - eliminera Riskanalys på avdel-ningsnivå samt aggregerad nivå. Integrera i verksam-hetsplanering och budgetarbetet

13 Identifiera risker Anvisningar för intern styrning och kontroll
”Riskidentifieringen görs genom att institutionen gör en inventering av vilka händelser som negativt kan påverka institutionens möjligheter att uppnå målen för verksamheten. Institutionens mål ska utgå från KI:s övergripande mål”

14 Vilka risker identifieras?
”De allra flesta händelser som inträffar är kända och går att förutspå, varför sannolikheten att väsentliga händelser inte uppmärksammas torde var liten – ändå inträffar en mängd oförutsedda händelser med omfattande konsekvenser”

15 Identifiera risker - Hur och vem
Vilka ska delta Lednings- och nyckelpersoner för att säker- ställa att risker i hela institutionens verksamhet beaktas Hur Intervjua samtliga ovan identifierade personer Intervjua några av dessa och komplettera med enkät till övriga alternativt enkät till samtliga Workshop ”Som stöd i arbetet finns en riskkatalog. I den finns exempel på risker som kan vara aktuella för institutionen. Institutionen kan använda riskkatalogen som stöd i sin riskidentifiering.”

16 Identifiera risker Riskträd
Omvärld Externa beslut Makroekonomi Demografi Andra aktörer, t.ex. forsknings-finansiär, SLL Varumärke/goodwill Media Rykte Övrigt Kris och katastrofer Extern brottslighet Hot Ledning och styrning Organisationsstruktur Ansvar och befogenheter Verksamhetsplanering Budget och resursallokering Uppföljning Projekt Kommunikation och information Samverkan Kultur – värderingar Verksamhetsprocesser Utbildning (grund och avancerad) Forskning Forskarutbildning Personal Kompetensförsörjning Kompetensutveckling Nyckelpersoner Arbetsmiljö Informationssäkerhet Organisation och styrning Forskningsdokumentation Ladok IT -säkerhet - Systemutveckling och förvaltning - Drift och systemsäkerhet - Åtkomstskydd och behörighetshantering - Backup och kontinuitetsrutiner Infrastruktur Lokaler Redovisning och rapportering Löpande redovisning/kvalitet Bokslutsprocess Nya regelverk/krav Kapital Finansiering (anslag/bidrag/avgifter) Likviditet Fondförvaltningen KI Holding Löneprocess, utlägg, pensioner Fakturahantering Lagar och förordningar Förvaltning Högskolespecifika förordningar Upphandling Övrigt (ex bisysslor, skatter och avgifter) Regler och riktlinjer Etik Bedrägeri Externa faktorer Operationell effektivitet Regelefterlevnad “Riskträdet är ett sätt att strukturera och synlig-göra inom vilka olika områden risker kan finnas”

17 Identifiera risker Formulera risker
Riskerna bör formuleras så att det tydligt framgår att det är en händelse; Händelse x inträffar p g a orsaken Y Förhållandet Y leder till att händelse x inträffar Exempel på risker från 2009: "Bristande systematik avseende hur forsknings-data dokumenteras och sparas vilket kan påverka KIs anseende“ "Bristande helhetsperspektiv när verk-samhetsstyrelserna fattar beslut vilket kan påverka måluppfyllelsen negativt“ "Bristande informationssäkerhet inklusive rutiner för back up och behörighetshantering kan leda till brister i kvaliteten“ "Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet“ "Verksamhetskritiska system riskerar att haverera vilket kan leda till ineffektivitet“ "Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling” "Otydlighet i ansvar och befogenheter mellan beställare och utförare avseende utbildning på grundnivå och avancerad nivå vilket kan påverka kvaliteten negativt“ "Förekomst av oredlighet i forskningen vilket kan påverka måluppfyllelsen och förtroendet för KI negativt“ "KIs organisationsstruktur leder till otydlighet i ansvar och befogenheter vilket kan leda till ineffektivitet”

18 Identifiera risker Dokumentera
Mål Riskområde Risktyp På grund av Leder till Enhet Påverkan (1-4) Sannolikhet (1-4) 1 Externa Omvärld Risk för att… 2 3 Varumärke/ Goodwill 4 Övrigt 5 Operationell effektivitet Styrmodell 6 7 Verksamhets-processer 8 9 Personal 10 Informations-säkerhet 11 Rapportering Redovsining & rapportering 12 Finansiering 13 14 Regel- efterlevnad Lagar & Förordningar 15 16

19 Värdera risker Anvisningar för intern styrning och kontroll
Riskvärdering innebär att göra bedömningar av dels sannolikheten för att en händelse, som definieras som en risk, inträffar samt konsekvenserna av inträffandet. För att uppskatta sannolikheten kan antingen så kallade objektiva eller subjektiva sannolikheter användas. Objektiva sannolikheter - ur historiska data kan härleda sannolikheten för att en händelse ska inträffa Subjektiva sannolikheter - bedömningarna utgörs av skattningar utifrån kända och okända faktorer och påverkas av bedömarens bakgrund, erfarenheter och attityder. För den typ av händelser som identifieras som risker i detta sammanhang är det för flertalet inte möjligt att ta fram den typ av historiska data som skulle behövas för en objektiv sannolikhetsbedömning. Därför blir rekommendationen att värderingen görs utifrån subjektiva sannolikhetsbedömningar.

20 Hur stor är sannolikheten att händelsen inträffar?
Värdera risken 1. LÅG 2. MEDEL 3. HÖG 4. MYCKET HÖG Hur stor är sannolikheten att händelsen inträffar? Beakta tidshorisonten; är målet på ett års sikt ska sannolikheten att risken faller ut beaktas på motsvarande tid

21 Hur stor är påverkan om händelsen inträffar?
Värdera risken Hur stor är påverkan om händelsen inträffar? 4. MYCKET HÖG: Risken kan ge mycket negativa effekter eller helt förhindra att målen för verksamheten nås. Händelserna gör det mycket svårt för styrelse och operativ ledning att hantera situationen. Händelserna kräver åtgärd från styrelse och operativ ledning Exempel: Oönskade förändringar av KI:s intäkter som överstiger 40%, Verksamhetskritiska IT-system är utslagna/ oanvändbara, KI förlorar sin universitetsstatus Personal bryter avsiktligt och regelmässigt mot KI:s regelverk eller lagar och förordningar eller myndighetsutövning. 3. HÖG: Risken har påverkan som är allvarlig och äventyrar delar av, eller ger kännbar försämring i måluppfyllelsen. Stor skada på KI:s anseende. Händelserna kräver åtgärd från styrelse och/eller operativ ledning Exempel: Oönskade förändringar av KIs intäkter uppgående till 15-40%, Intrång i verksamhetskritiska IT-system alt system är otillförlitliga, Förlust av examensrätt för ett utbildningsprogram Personal bryter avsiktligt mot KI:s regelverk eller lagar och förordningar eller oavsiktligt i sin myndighetsutövning. 2. MEDEL: Risken har påverkan som t ex kan ge begränsad försämring på måluppfyllelsen, ekono-misk skada eller viss påverkan på anseende. Kort-varig skada på varumärke. Konsekvenserna kräver åtgärd från den operativa ledningen och övriga chefer Exempel: Oönskade förändringar av KIs intäkter uppgående till 5-15%, Driftsstörningar i verksamhetskritiska IT-system, Ifrågasatt examinationsrätt Personal bryter avsiktligt men undantagsvis mot KI:s regelverk eller lagar och förordningar. 1. LÅG: Risken har obetydlig påverkan på möjligheterna att nå verksamhetens mål. Möjligen viss skada på anseendet men konsekvenserna kan hanteras inom ramen för den löpande verksamheten Exempel: Oönskade förändringar av KI:s intäkter uppgående till 1-5%, Verksamhetskritiska IT-system kräver underhåll/ utbyte, Allvarligt kritik av utbildningen Personal bryter oavsiktligt och undantagsvis mot KI:s regelverk eller lagar och förordningar

22 Värdera risk Metoder för värdering
Mentometrar ”Gula lappar” Röstkort Diskussion

23 Värdera risker Mentometer
Viktigt att värdering av respektive risk diskuteras löpande under värderingen; - om bedömer att riskvärderingen inte stämmer kan röstningen för enskild risk nollställas och röstningen göras om Viktigt att sammanställning av samtliga risker i riskkartan diskuteras för att bedöma hur riskerna ”förhåller sig till varandra” - bedömer gruppen riskvärderingen som rimlig? - behöver omvärdering göras av någon risk?

24 Värdera risker Mentometer
Endast värde1-4 registreras i värderingen Går att följa om alla har ”röstat” F2 – för att skifta resultat mellan antal och procent F4 - om nollställa röstning avseende en röst (måste stå i den bilden som röstning avser) SPARA!

25 RISKOMRÅDE Risk 1: Sannolikhet ”Bristande informationssäkerhet inklusive rutiner för back up och behörighets- hantering kan leda till brister i kvaliteten ” Mean = Sannolikhet Låg Medel Hög Mycket hög

26 RISKOMRÅDE Risk 1: Påverkan ”Bristande informationssäkerhet inklusive rutiner för back up och behörighets- hantering kan leda till brister i kvaliteten ” Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta

27 RISKOMRÅDE Risk 2: Sannolikhet ”Verksamhetskritiska system riskerar att haverera vilket kan leda till ineffektivitet” Mean = Sannolikhet Låg Medel Hög Mycket hög

28 RISKOMRÅDE Risk 2: Påverkan ”Verksamhetskritiska system riskerar att haverera vilket kan leda till ineffektivitet” Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta

29 RISKOMRÅDE Risk 3: Sannolikhet “Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet” Mean = Sannolikhet Låg Medel Hög Mycket hög

30 RISKOMRÅDE Risk 3: Påverkan “Otydlig IT-organisation vilket kan leda till brister i såväl kvalitet som effektivitet” Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta

31 RISKOMRÅDE Risk 4: Sannolikhet ”Bristande systematik avseende hur forskningsdata dokumenteras och sparas vilket kan påverka KIs anseende” Mean = Sannolikhet Låg Medel Hög Mycket hög

32 RISKOMRÅDE Risk 4: Påverkan ”Bristande systematik avseende hur forskningsdata dokumenteras och sparas vilket kan påverka KIs anseende” Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta

33 RISKOMRÅDE Risk 5: Sannolikhet "Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling" Mean = Sannolikhet Låg Medel Hög Mycket hög

34 RISKOMRÅDE Risk 5: Påverkan "Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling" Mean = Påverkan Låg Medel Hög Mycket hög Länk riskkarta

35 Risk-länkar 1 2 3 4 5

36 Värdera risker Risk Riskområde Risktyp Påverkan (1-4)
Sannolikhet (1-4) P*S Hantering 1 Externa Omvärld Risk för att… 2,3 2,86 6,6 2 1,8 2,66 4,8 3 Varumärke/ Goodwill 4 3,2 12,8 Övrigt 3,5 3,1 10,9 5 Operationell effektivitet Styrmodell 2,2 2,48 5,5 6 2,43 2,99 7,3 7 Verksamhets-processer 2,87 2,69 7,7 8 1,98 2,75 5,4 9 Personal 1,2 2,4 10 Informations-säkerhet 3,65 3,7 11 Rapportering Redovsining & rapportering 2,22 2,65 5,9 12 Finansiering 3,25 2,76 9,0 13 3,4 10,5 14 Regel- efterlevnad Lagar & Förordningar 8,2 15 2,67 1,9 5,1 16 2,1 4,6

37 Riskkarta

38 Hantera risker Anvisningar för intern styrning och kontroll
Institutionsledningen bör ta ställning till hur de högst värderade riskerna ska hanteras vilket avgörs bl a av vilken så kallad riskacceptans institutionen har. Riskacceptansen kan vara olika inom olika verksamhets områden och exempelvis högre för forsknings verksamheten än för ekonomiadministrationen. Beslut ska fattas om hur de högst värderade riskerna ska hanteras utifrån fyra typer av åtgärder: acceptera, begränsa, dela eller eliminera.

39 Hantera risker Beslut om hantering av risker
Risk & Business Advisory Services April 6, 2017 Hantera risker Beslut om hantering av risker Acceptera risken innebär att inte vidta åtgärder men att risken dock övervakas Begränsa risken innebär att tillföra resurser och konkreta åtgärder för att minska sannolikheten och/eller konsekvensen av att en händelse inträffar till en acceptabel nivå. Dela risk innebär inom staten främst genom skadereglering via Kammarkollegiet Eliminera risken innebär att vidta konkreta åtgärder för att undvika de aktiviteter som ger upphov till risken. Riskaptit kopplas till detta moment. Tillför resurser till alla utom för ”övervaka”: Exempel Öka: kräver idag för högt kreditbetyg hos nya kunder aktiviteter idag kräver stora resurser (tex. resurser för nya kundförfrågningar > befintliga kunder) ”De olika handlingsalternativen måste förstås också ställas mot kostnaden för att genomföra dem.”

40 Hantera risker Dokumentera
Riskområde Risktyp Påverkan (1-4) Sannolikhet (1-4) P*S Hantering 1 Externa Omvärld Risk för att… 2,3 2,86 6,6 2 1,8 2,66 4,8 3 Varumärke/ Goodwill 4 3,2 12,8 Övrigt 3,5 3,1 10,9 5 Operationell effektivitet Styrmodell 2,2 2,48 5,5 6 2,43 2,99 7,3 7 Verksamhets-processer 2,87 2,69 7,7 8 1,98 2,75 5,4 9 Personal 1,2 2,4 10 Informations-säkerhet 3,65 3,7 11 Rapportering Redovsining & rapportering 2,22 2,65 5,9 12 Finansiering 3,25 2,76 9,0 13 3,4 10,5 14 Regel- efterlevnad Lagar & Förordningar 8,2 15 2,67 1,9 5,1 16 2,1 4,6

41 Riskkarta – prioriterade risker
6 Nr Risktyp Benämning 6 Effektivitet Organisationsstruktur 7 Effektvitet Otillräcklig prioritering av utbildning 13 Bristande internt informations- och kommunikationssystem 9 Bristande systematik avseende hur forskningsdata dokumenteras och sparas 14 Bristande uppföljning 10 Alltför många små utbildningsprogram 1 Extern XXX 2 8 15 4 7 1 13 Påverkan 2 3 9 15 14 10 8 2 1 1 2 3 4 Sannolikhet

42 Kontrollåtgärder Anvisningar för intern styrning och kontroll
Kontrollåtgärder är åtgärder som leder till att risker förebyggs eller minskas. De accepterade riskerna medför inte några direkta kontrollåtgärder alls medan övriga risker kräver åtgärder. Åtgärderna som vidtas kan vara av olika karaktär, alltifrån förändringar i arbetsrutiner, regler och riktlinjer till informationsinsatser och avstämningar. Kontrollåtgärderna ska vara integrerade i myndighetens verksamhet är det respektive chef inom verksamheten som är ansvarig för och har befogenhet att utforma kontroll åtgärderna. Mer omfattande kontrollåtgärder som kräver planering och resurser bör finnas med i institutionens verksamhetsplan.

43 Kontrollåtgärder Koppling mellan kontrollåtgärden och risken för att säkerställa att risken hanteras på rätt sätt, utifrån om risken ska: Accepteras Begränsas Delas Elimineras Konkreta kontrollåtgärder Kontrollägare Tidsatta Kontrollåtgärdernas effekt på risken Hur är kontrollen utformad? Fungerar den i praktiken?

44 Kommentar/Åter-stående risk
Kontrollåtgärder Aktiviteter Baserat på beslut om hantering av riskerna utformas kontrollåtgärder vilka hanterar riskerna så att organisationen uppnår önskad riskexponering Ändamålsenlig utformning av kontrollåtgärder Analys av föreslagna kontrollåtgärder utifrån ett kostnads- och nyttoperspektiv Dokument Enhet: Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/Åter-stående risk Regel- efterlevnad Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling Reducera - Öka antalet utbildningsinsatser för verksamheten - Tillsätta två tjänster inom upphandling - Tillsätta ett projekt för införande av elektroniskt inköpssystem Upphandlings-chef 2010-XX-XX 

45 Uppföljning Anvisningar för intern styrning och kontroll
Uppföljning bör genomföras löpande några gånger under verksamhetsåret (2-4 ggr). I uppföljningen ingår att bedöma om de beslutade kontrollåtgärderna har genomförts och fungerat på det sätt som var avsett. Utifrån genomförd uppföljning kan institutionen bedöma om risknivån sänkts till en för institutionen acceptabel nivå. Exempelmall för uppföljning tillhandahålls av universitets-förvaltningen

46 Uppföljning och status på planerade kontrollåtgärder
Månatlig/kvartalsvis uppföljning av status på planerade åtgärder. Riskområde Risk Hantering Kontrollåtgärd Ansvarig Deadline Status Kommentar/ Återstående risk Regel-efterlevnad Bristande efterlevnad av rutiner, bristande kompetens och bristande kontroll inom upphandling Reducera - Öka antalet utbildningsinsatser för verksamheten Upphandlings-chef 20xx-xx-xx Ex: Åtgärd slutförd. Risken bedöms ha minskat -Tillsätta två tjänster inom upphandling Ex: Tjänster tillsatta, men personerna har ännu ej påbörjat sin anställning. Risken bedöms vara oförändrad -Tillsätta ett projekt för införande av elektroniskt inköpssystem Ex: Åtgärd påbörjad, men ligger efter tidplan. Risken bedöms vara oförändrad Åtgärd genomförd Enligt tidschema Försening enligt tidplan Kraftig försening enligt tidplan

47 Uppföljning av prioriterade risker
6 Nr Risktyp Benämning 6 Effektivitet Organisationsstruktur 7 Effektvitet Otillräcklig prioritering av utbildning 13 Bristande internt informations- och kommunikationssystem 9 Bristande systematik avseende hur forskningsdata dokumenteras och sparas 14 Bristande uppföljning 10 Alltför många små utbildningsprogram 1 Extern XXX 2 8 15 15 4 7 7 1 13 Påverkan 13 2 3 9 1 15 14 10 2 14 8 6 2 10 8 9 1 1 2 3 4 Sannolikhet


Ladda ner ppt "Intern styrning och kontroll"

Liknande presentationer


Google-annonser