Intern kontroll
Download
Report
Transcript Intern kontroll
Intern styrning och kontroll
Riskanalys i praktiken
Agenda
Intern styrning och kontroll
• Intern miljö
Anvisningar för intern styrning och kontroll
Planerings- och uppföljningsprocess inom KI
Riskanalys
• Identifiera risker
• Värdera risker
• Hantera risker
Kontrollåtgärder
Uppföljning
Intern styrning och kontroll en process
Fastställa mål
Kontrollmiljö
Uppföljning
Obligatoriska moment enligt FISK:en
Riskanalys, §3
Kontrollåtgärder, §4
Uppföljning, §5
Dokumentation, §6
En god intern miljö
Det finns inte något krav på en
viss utformning av den interna
miljön i förordningen om intern
styrning och kontroll. Däremot
se till att…
… är en förutsättning för att
andra delar av den interna
styrning och kontrollen ska
fungera
• De anställda är väl förtrogna med
målen för verksamheten,
• Skapa goda arbetsförhållanden
• Ta till vara och utveckla de
anställdas kompetens och
erfarenhet
Organisation och
ansvarsfördelning
Planerings- och
uppföljningsprocessen
Myndighetens interna miljö
formas av människor och är
därför i hög grad en
föränderlig miljö
Kultur och
värderingar
Information och
kommunikation
Anvisningar för intern styrning och
kontroll
Fastställda av rektor den 29 maj 2012
Arbetet med intern styrning och kontroll vid KI sker enligt regler och riktlinjer
fastställda av konsistoriet 2009.
Processen för intern styrning och kontroll ingå som en del i
verksamhetsplanering och uppföljning som genomförs vid respektive
institution och styrelse.
Respektive institution och styrelse ska genomföra och fastställa riskanalyser i
enlighet med anvisningarna. Vart tredje år görs fördjupade riskanalyser
De fem högst värderade riskerna med tillhörande kontrollåtgärder ska ingå i
verksamhetsplanen och följas upp i verksamhetsberättelsen.
Därutöver ska de fem högst värderade riskerna som kräver KI övergripande
ställningstaganden lämnas till ledningskansliet
Varje institution och styrelse bör ha en kontaktperson som ansvarar för och
samordnar arbetet.
Vad är en risk?
”En verksamhetsrisk är hotet att en händelse negativt påverkar en
organisations möjlighet att uppnå sina verksamhetsmål och genomföra
sina strategier”
Endast en organisation som är medveten om sina
risker kan hantera dem effektivt!
Målen med riskhantering
Verksamhetsbeslut
• Identifiera risk i relation till verksamhetens mål
• Skapa en gemensam syn på vilka risker som är
väsentliga för organisationen
• Prioritera vilka åtgärder som ska vidtas för att nå
önskad riskexponeringen
Intern kontroll
• Öka förståelse för hur enskilt risktagande motverkar/
förstärker verksamhetens totala exponering
• Säkerställa att organisationens riskerna hanteras i
enlighet med beslutad riskaptit
Kommunikation
• Information gällande organisationens riskexponering
• Från operativt ansvariga till ledning och styrelse
• Från ledning och styrelse till externa intressenter
Olika stadier av riskhantering
Proaktiv
• Förbättrat beslutsunderlag för
investeringar – strategiska initiativ
Förebyggande
• Förbättrad resursallokering
•Skyddande av myndighetens rykte
• Bedömning och hantering av strategiska risker
Reaktiv
• Medvetenhet om ALLA typer av risker som kan påverka
verksamhetsmålen
• Undvikande av personliga ansvar
• Regelefterlevnad
• Andra verksamhetskriser
• Egna verksamhetskriser
Riskanalys
Riskanalys
1.
Mål
• Institutioner och
styrelser ska anpassa
målformuleringarna
inför riskanalysen
utifrån KI:s
övergripande mål.
2.
Identifiera
• Identifiera risker för
att verksamhetens
mål ej uppnås.
• Utförs utifrån ett
strukturerat
arbetssätt med
fördefinierade
riskområden och
riskdrivare.
3.
Värdera
• Värdera risker utifrån
sannolikhet och
påverkan
4.
Hantera
• Prioritering av risker
för att hantera risker
- acceptera /övervaka
- begränsa
- dela
- eliminera
5.
Riskanalys
• Riskanalys på
institutions/styrelse
nivå samt aggregerad
nivå.
• Integrera i verksamhetsplanering ,
budgetarbete och
uppföljning
Identifiera risker
Anvisningar för intern styrning och kontroll
”Riskidentifiering görs genom att en
inventering görs av vilka händelser som
negativt kan påverka möjligheterna att
uppnå målen för verksamheten.
Institutionens och styrelsernas mål ska
utgå från KI:s övergripande mål”
Identifiera risker
- Hur och vem
Vilka ska delta
Lednings- och nyckelpersoner för att säkerställa att risker i hela institutionens eller styrelsens
verksamhet beaktas
Hur
Intervjua samtliga ovan identifierade personer
Intervjua några av dessa och komplettera med
enkät till övriga alternativt enkät till samtliga
Workshop
Identifiera risker
Riskträd
Externa faktorer
Operationell effektivitet
Omvärld
Ledning och styrning
Externa beslut
Makroekonomi
Demografi
Andra aktörer, t.ex. forskningsfinansiär, SLL
Organisationsstruktur
Ansvar och befogenheter
Verksamhetsplanering
Budget och resursallokering
Uppföljning
Projekt
Kommunikation och information
Samverkan
Kultur – värderingar
Varumärke/goodwill
Media
Rykte
Övrigt
Kris och katastrofer
Extern brottslighet
Hot
Verksamhetsprocesser
Utbildning (grund och avancerad)
Forskning
Forskarutbildning
Personal
Kompetensförsörjning
Kompetensutveckling
Nyckelpersoner
Arbetsmiljö
Informationssäkerhet
Organisation och styrning
Forskningsdokumentation
Ladok
IT -säkerhet
- Systemutveckling och förvaltning
- Drift och systemsäkerhet
- Åtkomstskydd och behörighetshantering
- Backup och kontinuitetsrutiner
Övrigt
Infrastruktur
Lokaler
Redovisning och
rapportering
Redovisning och
rapportering
Regelefterlevnad
Lagar och förordningar
Kapital
Förvaltning
Högskolespecifika förordningar
Upphandling
Övrigt (ex bisysslor, skatter och
avgifter)
Finansiering
(anslag/bidrag/avgifter)
Likviditet
Fondförvaltningen
Regler och riktlinjer
Etik
Bedrägeri
Löpande redovisning/kvalitet
Bokslutsprocess
Nya regelverk/krav
Övrigt
Övrigt
KI Holding
Löneprocess, utlägg, pensioner
Fakturahantering
“Riskträdet är ett sätt
att strukturera och synliggöra inom vilka olika
områden risker kan finnas”
Identifiera risker
Formulera risker
Riskerna bör formuleras så att det tydligt framgår att
det är en händelse;
• Händelse x inträffar p g a orsaken Y
• Förhållandet Y leder till att händelse x inträffar
Exempel på risker från 2009:
"Bristande informationssäkerhet
inklusive rutiner för back up och
behörighetshantering kan leda till
brister i kvaliteten“
"Bristande helhetsperspektiv när verksamhetsstyrelserna fattar beslut vilket
kan påverka måluppfyllelsen negativt“
"Bristande efterlevnad av rutiner, bristande
kompetens och bristande kontroll inom
upphandling”
"Förekomst av oredlighet i
forskningen vilket kan påverka
måluppfyllelsen och förtroendet
för KI negativt“
"Otydlig ITorganisation
vilket kan leda
till brister i såväl
kvalitet som
effektivitet“
"Bristande systematik
avseende hur forskningsdata dokumenteras och
sparas vilket kan påverka
KIs anseende“
"Verksamhetskritiska system riskerar att
haverera vilket kan leda till ineffektivitet“
"KIs organisationsstruktur leder till
otydlighet i ansvar och befogenheter
vilket kan leda till ineffektivitet”
"Otydlighet i ansvar och
befogenheter mellan beställare
och utförare avseende
utbildning på grundnivå och
avancerad nivå vilket kan
påverka kvaliteten negativt“
Identifiera risker
Dokumentera
Risk
Mål
Riskområde
Risktyp
1
Externa
Omvärld
2
Externa
Omvärld
3
Externa
Varumärke/
Goodwill
4
Externa
Övrigt
5
Operationell
effektivitet
Styrmodell
6
Operationell
effektivitet
Styrmodell
7
Operationell
effektivitet
Verksamhetsprocesser
8
Operationell
effektivitet
Verksamhetsprocesser
9
Operationell
effektivitet
Personal
10
Operationell
effektivitet
Informationssäkerhet
11
Rapportering
Redovsining &
rapportering
12
Rapportering
Finansiering
13
Rapportering
Finansiering
14
Regelefterlevnad
Lagar &
Förordningar
15
Regelefterlevnad
Lagar &
Förordningar
16
Regelefterlevnad
Övrigt
På grund av
Risk
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Risk för att…
Leder till
Enhet
Påverkan Sannolikhe
(1-4)
t (1-4)
Värdera risker
Anvisningar för intern styrning och kontroll
Riskvärdering innebär att göra bedömningar av dels sannolikheten för att en
händelse, som definieras som en risk, inträffar samt konsekvenserna av
inträffandet.
För att uppskatta sannolikheten kan antingen så kallade objektiva
eller subjektiva sannolikheter användas.
• Objektiva sannolikheter - ur historiska data kan härleda sannolikheten för att en
händelse ska inträffa
• Subjektiva sannolikheter - bedömningarna utgörs av skattningar utifrån kända och
okända faktorer och påverkas av bedömarens bakgrund, erfarenheter och attityder.
För den typ av händelser som identifieras som risker i detta sammanhang är
det för flertalet inte möjligt att ta fram den typ av historiska data som skulle
behövas för en objektiv sannolikhetsbedömning.
Därför blir rekommendationen att värderingen görs utifrån subjektiva
sannolikhetsbedömningar.
Värdera risken
1. LÅG
2. MEDEL
3. HÖG
4. MYCKET HÖG
Hur stor är sannolikheten att
händelsen inträffar?
Beakta tidshorisonten; är målet på ett års sikt
ska sannolikheten att risken faller ut beaktas på
motsvarande tid
Värdera risken
Hur stor är påverkan om händelsen inträffar?
4. MYCKET HÖG: Risken kan ge mycket
negativa effekter eller helt förhindra att målen för
verksamheten nås. Händelserna gör det mycket
svårt för styrelse och operativ ledning att hantera
situationen. Händelserna kräver åtgärd från styrelse
och operativ ledning
3. HÖG: Risken har påverkan som är allvarlig och
Exempel:
• Oönskade förändringar av KI:s intäkter som överstiger 40%,
• Verksamhetskritiska IT-system är utslagna/ oanvändbara,
• KI förlorar sin universitetsstatus
• Personal bryter avsiktligt och regelmässigt mot KI:s regelverk eller
lagar och förordningar eller myndighetsutövning.
äventyrar delar av, eller ger kännbar försämring i
måluppfyllelsen. Stor skada på KI:s anseende.
Händelserna kräver åtgärd från styrelse och/eller
operativ ledning
Exempel:
• Oönskade förändringar av KIs intäkter uppgående till 15-40%,
• Intrång i verksamhetskritiska IT-system alt system är otillförlitliga,
• Förlust av examensrätt för ett utbildningsprogram
• Personal bryter avsiktligt mot KI:s regelverk eller lagar och
förordningar eller oavsiktligt i sin myndighetsutövning.
2. MEDEL: Risken har påverkan som t ex kan ge
Exempel:
begränsad försämring på måluppfyllelsen, ekonomisk skada eller viss påverkan på anseende. Kortvarig skada på varumärke. Konsekvenserna kräver
åtgärd från den operativa ledningen och övriga
chefer
1. LÅG: Risken har obetydlig påverkan på
möjligheterna att nå verksamhetens mål. Möjligen
viss skada på anseendet men konsekvenserna kan
hanteras inom ramen för den löpande
verksamheten
•
•
•
•
Oönskade förändringar av KIs intäkter uppgående till 5-15%,
Driftsstörningar i verksamhetskritiska IT-system,
Ifrågasatt examinationsrätt
Personal bryter avsiktligt men undantagsvis mot KI:s regelverk eller
lagar och förordningar.
Exempel:
• Oönskade förändringar av KI:s intäkter uppgående till 1-5%,
• Verksamhetskritiska IT-system kräver underhåll/ utbyte,
• Allvarligt kritik av utbildningen
• Personal bryter oavsiktligt och undantagsvis mot KI:s regelverk eller
lagar och förordningar
Värdera risk
Metoder för värdering
Mentometrar
”Gula lappar”
Röstkort
Diskussion
Värdera risker
Mentometer
Viktigt att värdering av respektive risk
diskuteras löpande under värderingen;
- om bedömer att riskvärderingen inte
stämmer kan röstningen för enskild risk
nollställas och röstningen göras om
Viktigt att sammanställning av samtliga risker i
riskkartan diskuteras för att bedöma hur riskerna
”förhåller sig till varandra”
- bedömer gruppen riskvärderingen som rimlig?
- behöver omvärdering göras av någon risk?
Värdera risker
Mentometer
Endast värde1-4 registreras i värderingen
Går att följa om alla har ”röstat”
F2 – för att skifta resultat mellan antal och procent
F4 - om nollställa röstning avseende en röst (måste stå i den bilden
som röstning avser)
SPARA!
RISKOMRÅDE
Exempel : Risk 1: Sannolikhet
”Bristande informationssäkerhet inklusive
rutiner för back up och behörighetshantering kan leda till brister i kvaliteten ”
0%
1.
0%
0%
2.
3.
Sannolikhet
1. Låg
2. Medel
3. Hög
4. Mycket hög
0%
4.
Mean =
RISKOMRÅDE
Exempel: Risk 1: Påverkan
”Bristande informationssäkerhet inklusive
rutiner för back up och behörighetshantering kan leda till brister i kvaliteten ”
0%
1.
0%
0%
2.
3.
Påverkan
1. Låg
2. Medel
3. Hög
4. Mycket hög
Länk riskkarta
0%
4.
Mean =
Värdera risker
Risk
Riskområde
Risktyp
1
Externa
Omvärld
Risk
Externa
Omvärld
Risk för att…
3
Externa
Varumärke/
Goodwill
Risk för att…
Övrigt
Risk för att…
5
6
7
8
9
Externa
Operationell
effektivitet
Styrmodell
Operationell
effektivitet
Styrmodell
Sannolikhet
(1-4)
P*S
2,3
2,86
6,6
1,8
2,66
4,8
4
3,2
12,8
3,5
3,1
10,9
2,2
2,48
5,5
2,43
2,99
7,3
Risk för att…
2
4
Påverkan
(1-4)
Risk för att…
Risk för att…
Operationell
effektivitet
Verksamhets- Risk för att…
processer
2,87
2,69
7,7
Operationell
effektivitet
Verksamhets- Risk för att…
processer
1,98
2,75
5,4
1,2
1,98
2,4
Operationell
effektivitet
Personal
Risk för att…
10
Operationell
effektivitet
Informations- Risk för att…
säkerhet
1
3,65
3,7
11
Rapportering
Redovsining & Risk för att…
rapportering
2,22
2,65
5,9
3,25
2,76
9,0
12
Rapportering
Finansiering
Risk för att…
13
Rapportering
3,1
3,4
10,5
14
Regelefterlevnad
Lagar &
Risk för att…
Förordningar
2,87
2,87
8,2
Regelefterlevnad
Lagar &
Risk för att…
Förordningar
2,67
1,9
5,1
2,1
2,2
4,6
15
16
Regelefterlevnad
Finansiering
Risk för att…
Övrigt
Risk för att…
Hantering
Riskkarta
4.0
3
4
12
13
3.0
7
14
15
Påverkan
6
16
2.0
5
1
11
8
2
9
1.0
0.0 18
17
69
68
67
66
65
64
63
62
61
60
59
58
57
56
55
54
53
52
51
50
49
48
47
46
45
44
43
42
41
40
39
38
37
36
35
34
33
32
31
30
29
28
27
26
25
24
23
22
21
20
19
0.0
10
1.0
2.0
Sannolikhet
3.0
4.0
Hantera risker
Anvisningar för intern styrning och kontroll
Ledningen för institutionen och styrelsen ska ta ställning
till hur de högstvärderade riskerna ska hanteras vilket
avgörs bl. a. av vilken så kallad riskacceptans
verksamheten har.
Riskacceptansen kan vara olika inom olika verksamhetsområden och exempelvis högre för forskningsverksamheten än för ekonomiadministrationen.
Beslut ska fattas om hur de högst värderade riskerna ska
hanteras utifrån fyra typer av åtgärder: acceptera,
begränsa, dela eller eliminera.
De fem högst värderade riskerna som kräver KI
övergripande ställningstaganden ska lämnas till
ledningskansliet.
Hantera risker
Beslut om hantering av risker
Acceptera risken
innebär att inte vidta åtgärder men att risken dock
övervakas
Begränsa risken
innebär att tillföra resurser och konkreta åtgärder för att
minska sannolikheten och/eller konsekvensen av att en
händelse inträffar till en acceptabel nivå.
Dela risk
innebär inom staten främst genom skadereglering via
Kammarkollegiet
Eliminera risken
innebär att vidta konkreta åtgärder för att undvika de
aktiviteter som ger upphov till risken.
”De olika handlingsalternativen måste förstås också ställas mot
kostnaden för att genomföra dem.”
Hantera risker
Dokumentera
Risk
Riskområde
Risktyp
1
Externa
Omvärld
Risk
Externa
Omvärld
Risk för att…
3
Externa
Varumärke/
Goodwill
Risk för att…
Övrigt
Risk för att…
5
6
7
8
9
Externa
Operationell
effektivitet
Styrmodell
Operationell
effektivitet
Styrmodell
Sannolikhet
(1-4)
P*S
2,3
2,86
6,6
1,8
2,66
4,8
4
3,2
12,8
3,5
3,1
10,9
2,2
2,48
5,5
2,43
2,99
7,3
Risk för att…
2
4
Påverkan
(1-4)
Risk för att…
Risk för att…
Operationell
effektivitet
Verksamhets- Risk för att…
processer
2,87
2,69
7,7
Operationell
effektivitet
Verksamhets- Risk för att…
processer
1,98
2,75
5,4
1,2
1,98
2,4
Operationell
effektivitet
Personal
Risk för att…
10
Operationell
effektivitet
Informations- Risk för att…
säkerhet
1
3,65
3,7
11
Rapportering
Redovsining & Risk för att…
rapportering
2,22
2,65
5,9
3,25
2,76
9,0
12
Rapportering
Finansiering
Risk för att…
13
Rapportering
3,1
3,4
10,5
14
Regelefterlevnad
Lagar &
Risk för att…
Förordningar
2,87
2,87
8,2
Regelefterlevnad
Lagar &
Risk för att…
Förordningar
2,67
1,9
5,1
2,1
2,2
4,6
15
16
Regelefterlevnad
Finansiering
Risk för att…
Övrigt
Risk för att…
Hantering
Riskkarta – prioriterade risker
6
7
4
Påverkan
1
Nr
Risktyp
Benämning
6
Effektivitet
Organisationsstruktur
7
Effektvitet
Otillräcklig prioritering av
utbildning
13
Effektivitet
Bristande internt
informations- och
kommunikationssystem
9
Effektivitet
Bristande systematik
avseende hur
forskningsdata
dokumenteras och
sparas
14
Effektivitet
Bristande uppföljning
10
Effektivitet
Alltför många små
utbildningsprogram
1
Extern
XXX
2
Extern
XXX
8
Effektivitet
XXX
15
Effektivitet
XXX
13
2
3
9
14
15
10
8
2
1
1
2
Sannolikhet
3
4
Kontrollåtgärder
Anvisningar för intern styrning och kontroll
Kontrollåtgärder är åtgärder som leder till att risker
förebyggs eller minskas. De accepterade riskerna medför
inte några direkta kontrollåtgärder alls medan övriga risker
kräver åtgärder.
Åtgärderna som vidtas kan vara av olika karaktär, alltifrån
förändringar i arbetsrutiner, regler och riktlinjer till
informationsinsatser och avstämningar.
Kontrollåtgärderna ska vara integrerade i myndighetens
verksamhet är det respektive chef inom verksamheten som
är ansvarig för och har befogenhet att utforma kontrollåtgärderna.
Kontrollåtgärder för de fem högsta riskerna ska finnas med i
verksamhetsplanen och följas upp i verksamhetsberättelsen.
Kontrollåtgärder
Koppling mellan kontrollåtgärden och risken för att säkerställa att
risken hanteras på rätt sätt, utifrån om risken ska:
’
•
•
•
•
Accepteras
Begränsas
Delas
Elimineras
Konkreta kontrollåtgärder
• Kontrollägare
•
Tidsatta
Kontrollåtgärdernas effekt på risken
•
•
Hur är kontrollen utformad?
Fungerar den i praktiken?
Kontrollåtgärder
Dokument
Aktiviteter
Baserat på beslut om hantering av riskerna utformas
kontrollåtgärder vilka hanterar riskerna så att organisationen
uppnår önskad riskexponering
•
•
Ändamålsenlig utformning av kontrollåtgärder
Analys av föreslagna kontrollåtgärder utifrån ett kostnads- och
nyttoperspektiv
Enhet:
Riskområde
Risk
Bristande efterlevnad av
Regelrutiner, bristande kompetens
efterlevnad och bristande kontroll inom
upphandling
Hantering
Reducera
Kontrollåtgärd
Ansvarig
Deadline
- Öka antalet utbildningsinsatser för Upphandlings- 2010-XX-XX
verksamheten
chef
- Tillsätta två tjänster inom
upphandling
- Tillsätta ett projekt för införande av
elektroniskt inköpssystem
Status
Kommentar/Återstående risk
Uppföljning
Anvisningar för intern styrning och kontroll
Uppföljning bör genomföras löpande några gånger under
verksamhetsåret (2-4 ggr). I uppföljningen ingår att bedöma
om de beslutade kontrollåtgärderna har genomförts och
fungerat på det sätt som var avsett.
Utifrån genomförd uppföljning kan institutionen eller
styrelsen bedöma om risknivån sänkts till en acceptabel
nivå.
Uppföljning och status på planerade
kontrollåtgärder
Månatlig/kvartalsvis uppföljning av status på planerade åtgärder.
Riskområde
Risk
Hantering
Kontrollåtgärd
Ansvarig
Deadline
Regelefterlevnad
Bristande efterlevnad av
rutiner, bristande
kompetens och bristande
kontroll inom upphandling
Reducera
- Öka antalet
utbildningsinsatser för
verksamheten
Upphandlingschef
20xx-xx-xx
Ex: Åtgärd slutförd.
Risken bedöms ha
minskat
Regelefterlevnad
Bristande efterlevnad av
rutiner, bristande
kompetens och bristande
kontroll inom upphandling
Reducera
-Tillsätta två tjänster
inom upphandling
Upphandlingschef
20xx-xx-xx
Ex: Tjänster tillsatta, men
personerna har ännu ej
påbörjat sin anställning.
Risken bedöms vara
oförändrad
Regelefterlevnad
Bristande efterlevnad av
rutiner, bristande
kompetens och bristande
kontroll inom upphandling
Reducera
-Tillsätta ett projekt för
införande av elektroniskt
inköpssystem
Upphandlingschef
20xx-xx-xx
Ex: Åtgärd påbörjad, men
ligger efter tidplan. Risken
bedöms vara oförändrad
Åtgärd genomförd
Enligt tidschema
Försening enligt tidplan
Kraftig försening enligt tidplan
Status
Kommentar/
Återstående risk