Foiler fra 3. samling - Direktoratet for økonomistyring

Velkommen til 3. samling samarbeidsforum
9. September 2015
© Direktoratet for økonomistyring
Mål for 3. samling utforming og implementering
• Forståelse for hva det innebærer å utforme og
implementere risikoreduserendetiltak på ulike nivå
– Vurdere tiltak på ulike nivå i virksomheten, herunder
identifisere og vurdere risiko og tiltak på prosessnivå ->
prosesskartlegging
– Prosessene med utforming: identifisere, vurdere, prioritere og
utforme beslutte tiltak
– Vurdere behov for implementeringsaktiviteter
– Aktuelle verktøy til steget «utforming»
– Erfaringer fra virksomheter og diskusjon
Side 2
•23.09.2015
Agenda 3. samling – todelt dag
Tema 2. samling – ett steg
tilbake: Risikovurdering
Tema 3. samling: Utforming
og implementering
• Presentasjoner/
erfaringsutveksling fra
deltakere i
samarbeidsforum
• Teori og verktøy prosesskartlegging, utforming og
implementering
• Presentasjon fra DIFI
– DNK
– PU
• Presentasjoner/
erfaringsutveksling fra
deltaker i samarbeidsforum
3
– NTNU
– Bufdir.
Ett steg tilbake - Risikovurdering
1. Etablere et grunnlag for risikovurderingen
– Mål
– Krav
– Vesentlige prosesser
2. Gjennomføre risikovurderinger
3. Vurdere behov for tiltak og/eller oppfølging
-> dagens samling
4. Følge opp risiko og tiltak og rapportere
resultatet til rett tid til rett nivå -> neste samling
 Bruke informasjonen til læring og forbedring!
4
Praksis på risikovurderinger på ulike nivå
5
Hvordan gjennomføres risikovurderinger i
Direktoratet for nødkommunikasjon
Cecilie Norenberg
© Direktoratet for økonomistyring
Risikovurderinger i DNK
7
Politiets utlendingsenhets opplegg for
risikovurderinger
Petter Abrahamsen
© Direktoratet for økonomistyring
Pause
10.00 -10.15
© Direktoratet for økonomistyring
3. samling samarbeidsforum – utforming og
implementering
9. September 2015
© Direktoratet for økonomistyring
Innspill og ønsker fra QB – utforming og
implementering av internkontroll
• Identifisere gode tiltak
• Dokumentere tiltak på en måte så alle forstår hva som
skal gjøres
• Prosesskartlegging
• Implementeringsaktiviteter
11
3. samling: Utforming og implementering
12
Verktøy - risikovurderinger
<----- 1. og 2. SAMLING ---- 3. SAMLING 4. SAMLING
>
Side 13
Redusere risiko – nye tiltak og oppfølging av
«gamle»
Høyt fokus og
høyt
kontrollbehov
Svært stor
Sannsynlighet
Stor
Risiko
Mindre
konsekvens
Kritisk
Moderat
Høy
Moderat
Liten
Lav
Meget liten
Lavt fokus og
lavt
kontrollbehov
Redusert
sannsynlighet og
konsekvens
Ubetydelig
Lav
Lavere
sannsynlighet
Moderat
Konsekvens
Side 14
Side 14
Kontrollbehov
Alvorlig
Svært alvorlig
Utforming
10.15 – 11.30
© Direktoratet for økonomistyring
Utforming
• Identifisere aktuelle tiltak som håndterer risikoen
• Vurdere, prioritere og beslutte tiltak
• Utforme tiltak
16
Begrepene tiltak og kontrollaktiviteter
• Tiltak: alle forhold som bidrar til å redusere risiko
– Alt fra sunn og god organisasjons- og ledelseskultur til helt
konkrete kontrollaktiviteter
• Kontrollaktiviteter: aktiviteter for å sikre at tiltakene blir
utført på en effektiv måte og til rett tid
– Består av en beskrivelse av kontrollaktiviteten og hvordan den
skal gjennomføres samt den faktiske gjennomføringen
Vær pragmatisk!
17
Kontrollspørsmål ved utforming av tiltak
• Kan vi følge med på utviklingen i stedet for
å iverksette nye tiltak?
• Er det vurdert om eksisterende tiltak kan
justeres i stedet for å utvikle helt nye tiltak?
• Har vi husket å fjerne utdaterte tiltak?
• Har de som kjenner området/prosessen
best vært involvert i arbeidet?
• Er forebyggende og automatiske tiltak/
kontroller benyttet der det er mulig?
• Håndterer tiltaket kjernen/den opprinnelige
årsaken til problemet/risikoen?
• Er tiltaket innenfor «kontrollbollen» (noe min enhet kan påvirke)?
• Skal tiltaket redusere sannsynlighet eller konsekvens?
• Har vi en hensiktsmessig dokumentasjon av risiko og tiltak?
Side 18
Risikovurderinger gjøres med utgangspunkt i den
målstrukturen virksomheten styres etter men tiltakene
bør ikke nødvendigvis utformes på samme nivå
Organisasjonsnivå
Virksomhetsledelse
Region eller
divisjon/avdeling
Risiko knyttet til overordnede mål og strategier. Fokus på
virksomhetens hovedmål, strategiske utfordringer og
vesentlige endringer
Risiko knyttet til mål og delmål som
den enkelte enhet er ansvarlig for
Risiko knyttet til
leveranser/aktiviteter som den
enkelte enhet er ansvarlig for
gjennomføringen av
Lokalkontor
eller seksjon
System, prosjekt
eller
arbeidsprosess
Risiko knyttet til den
enkelte arbeidsprosess,
prosjekt eller system
19
Tidspunkt for
risikoanalyse
Hierarkier
Overordnet
nivå
Sammenheng
Operativt
nivå
Målhierarki
Risikoer
KSF
Lavere
nivåer
KSF-hierarki
Sammenheng vertikalt
Mål
Tiltak
horisontalt
Risikohierarki
Tiltakshierarki
Det beste er det godes fiende – furu vs. grantre!
Side 20
Tenke helhet i ressursbruken
Mål
Kritiske
suksessfaktorer
Operativt
nivå
Tiltak
Rask bosetning
Faktainformasjon
er dekkende og
relevant
Har ikke dekkende Etablere systemer
og relevant
for innhenting og
informasjon
forvaltning av
informasjon
Riktig, relevant og
dekkende
informasjon til
kommunene
Informasjon sendes
3 dager etter
henvendelse til
kommunen
Kjenne
kommunenes
informasjonsbehov
Kjenner ikke
Etablere et opplegg
informasjonsbehov for å kartlegge
et til kommunene kommunenes
informasjonsbehov
Oppdatere prosedyre
Mangelfulle
med prosess prosedyrer for å
beskrivelse og
håndtere
definering av
henvendelser
tidsfrister og ansvar
Overordnet
nivå
Lavere
nivåer
Risikoer
Gode og tydelige
prosedyrer for å
besvare
henvendelser
Konsentrasjon om stadig mer vesentlige forhold og «større»
tiltak jo høyere opp i styringshierarkiet
Side 21
Typer av tiltak
• Manuelle kontroller
• Automatiske kontroller
– ITGC og applikasjonskontroller
• Forebyggende/preventive kontroller
• Oppdagende/overvåkende kontroller
• Harde vs. myke kontroller
• Ledelseskontroller
• Generelle, virksomhetsovergripende kontroller
25
Utforming
Identifiser aktuelle tiltak/kontroller forts.
God balanse mellom ulike typer kontroller
Økt risiko
Automatisert
Manuell
og kostn.
Lavere risiko
og kostn.
Forebyggende
Korrigerende/avdekkende
26
Eksempler på harde versus mjuke kontroller
Harde
Myke
Organisasjonsstruktur
Tonen på toppen, leder-stil, filosofi
Arbdeidsdeling
Etikk og moral, etisk kultur
Styrende dokumenter
Kompetanse, profesjonalitet og dedikasjon hos
ansatte
Fullmakter
Integritet
Kontroller i IKT-systemer
Kommunikative evner, empati
Myke kontroller = det uformelle styrings og kontrollmiljøet
Side 27
Myke kontroller - praktiske implikasjoner
• Toppledelsen bør etterspørre bekreftelse på at man har
en kultur som bygger opp under det formelle opplegget
for styring og kontroll
• Myke og harde kontroller henger sammen
– hvor godt kommuniserer rutinene?
– hvor mye tid settes av til opplæring og faglig påfyll?
– hvor godt legger saksbehandlingssystemene og andre
systemer til rette for etterlevelse?
– styringsparametere som gir en indikasjon på kvaliteten ved
virksomhetskulturen – kundetilfredshet, medarbeidertilfredshet,
avvik/varslinger m.v.
Side 28
•23.09.2015
Eksempler på tiltak for å sikre en god
virksomhetskultur
•
•
•
•
•
•
•
•
•
•
•
Etisk dilemmatrening
Visjon og verdier for virksomheten: forankringsaktiviteter
Medarbeiderundersøkelser
Lederevalueringer
Avvikssystem
Sjekkliste styrings- og kontrollmiljø samt informasjon og
kommunikasjon
Personalseksjon –rekruttering, arbeidsmiljø, klarhet vedr.
roller
Signering på at man har lest, akseptert eller forstått
Taushetserklæringer
Egenevalueringer
Tavlemøter, møter for å diskutere vanskelige saker
Side 29
•23.09.2015
2. Vurdere, prioritere og beslutte
Verdi for virksomheten
Tiltaksprioritering
Høy
1
3
2
Lav
Lav
Realiserbarhet
Høy
Tiltaket må vurderes ut fra en kost/nytte - vurdering!
Side 30
3. Utforme besluttede tiltak
• Hvem skal utarbeide/designe tiltaket?
• Hvordan skal dette gjøres?
– Beskrivelse av tiltaket slik at involverte forstår
hvordan det skal gjennomføres?
• Tidsfrist for ferdigstillelse av tiltak
Utforming av tiltak skal legge til rette for å kunne
gjennomføre tiltaket – vær konkret og definer ansvar!
Side 31
Hvordan dokumentere tiltakene og sikre at de
blir gjennomført?
• Tiltak på overordnet nivå
– Virksomhetsplaner
– Egne handlingsplaner
• Tiltak på mellomnivå
– Avdelings- og seksjonsplaner
• Tiltak på prosessnivå
– Prosedyrer, sjekklister mv.
– Risiko- og kontrollmatriser
Tiltaksplanene bør inneholde:
• Ansvar
• Tidsfrist
• Ressursmessige konsekvenser (?)
32
Hvor har vi dokumentert tiltak/kontrollaktiviteter
allerede?
Det er et risikoreduserende tiltak i seg selv å etablere policyer og
prosedyrer og i et slikt tiltak inngår det flere mer spesifikke
kontroller
Overordnede
føringer og krav
Hvem og hva…
Hvordan …
Policyer
Prosedyrer
Eksempelvis Instruks for økonomi- og
virksomhetsstyring, tildelingsbrev, samt lover og
regler mv. virksomheten må forholde seg til
Regulerer overordnede føringer og prinsipper samt
tydeliggjør roller og ansvar gjennom å definere
hvem som har ansvaret for hva innenfor det
området policyen gjelder for
Beskrive hvordan aktiviteter, kontroller,
oppfølging og rapportering skal gjennomføres
for å håndtere risiko og fastsette krav på en
målrettet og effektiv måte
Roller og ansvar viktig også vedr. risiko/tiltak
Behov for å utpeke en
risikoeier (prosessansvarlig,
seksjonsleder e.l.)?
•Ansvar for å utforme og
følge opp tiltak knyttet til
risikoen han er ansvarlig
for
34
Erfaringer med bruk av virksomhetsavtale og
virksomhetsplan i DFØ
• Strategi 2015-2018
• Virksomhetsavtale mellom direktør og avd.direktør
• Virksomhetsplan hver avdeling
• Risikovurdering og tiltak inngår (se utdrag under)
Kritiske
suksessfaktorer
FOA evner å se statlig
styring i et helhetlig
statlig perspektiv
Risiko for manglende Eksisterende tiltak/
måloppnåelse
merknad til risikoen
S
RisikoRisikoeier: Nye tiltak: Ansvarlig:
nivå
K
FOA evner ikke å se
statlig styring i et helhetlig
statlig perspektiv
Avdelingsdirektør
4
35
4
Høy
Beskrive
god
virksomhets Virksomhetsstyring
styring
Beskrive
Styring og
god styring i analyse
departemen
tene
Beinstrekk?
© Direktoratet for økonomistyring
Veiledning i rotårsaksanalyse
Verktøy for å identifisere gode tiltak!
• «5- Hvorfor» teknikk
• Fiskebeinsdiagram
37
Formål med rotårsaksanalyse
• Hensikten med
strukturert
problemløsning:
1. Identifisere
rotårsakene til
et problem
2. Identifisere
tilhørende
løsningsforslag
En støtte i å…
• Løfte blikket og se helheten
– Gi struktur og forståelse for forholdet mellom
mulige kategorier av hovedårsaker å tjene som en
visuell fremstilling av årsakene til
problemet/risikoen
• Forstå problemet: omfang og konsekvenser
– Løse rotårask ikke bare behandle symptomene
– Finne gode tiltak så ikke prob. dukker opp igjen
• Dele opp og gjøre håndterbart
– Se hvilke deler som kan gjøres innenfor egen
enhet
• Involvere og forankre
– involvere de medarbeiderne som har best
forutsetninger for å løse problemet
– hjelpe medarbeidere å kommunisere med
hverandre og resten av organisasjonen
– sikre resultat
– sikre
varig endring
38
– sikre læring og forståelse
Når benyttes rotårsaksanalyse?
• En rotårsaksanalyse benyttes ofte når problemet eller en
risiko er kompleks, uklar, involverer flere personer
eller enheter på tvers av organisatoriske enheter, eller
omfatter utfordringer knyttet til kultur og
organisasjon.
• Motsatt av «brannslukking» og «quick fix»
39
Hvem bør gjennomføre en rotårsaksanalyse ?
• Gruppe eller teamøvelse
• Samle personer med best kunnskap om problemet
(prosess, faglig eller økonomiske elementer)
• Interessenter som avgir input eller mottar output i den
aktuelle prosessen
– Objektiv og uavhengig en fordel
40
Hvordan gjennomføre?
Definere
problemet
• Hva, hvorfor, for hvem, frekvens etc.
• Samle medarbeidere og ledere som har best
kunnskap om problemet
Analysere
rotårsaker
• Brainstorme – få opp alle mulige årsaker til problemet
• Kategorisere – samle lignende årsaker
• Prioritere – frekvens og opplevd omfang
Identifisere
tiltak
Implementere
tiltak
• Brainstorme – få opp alle mulige løsninger/tiltak til
• Prioritere – verdi og realiserbarhet
• Dokumentere – utarbedere tiltaksrapport eller liste
• Forankre løsninger
• Følge opp implementering
41
5 Hvorfor
1.
2.
3.
4.
5.
• Borre ned i problemet
• Motvirker
symptombehandling
fremfor ekte
problemløsning
• Et problem kan ha
flere årsaker!
Hvorfor?
Hvorfor?
Hvorfor?
Hvorfor?
Hvorfor?
42
Fiskebeindiagram
• Bidrar til å identifisere, sortere og vise mulige rotårasker
til et større, komplekst problem (mennesker, teknologi,
arbeidsmiljø, materiale, metode/prosess)
• Gjennomføres med flere deltakere/i grupper
• Krever mer tid enn 5 Hvorfor!
43
• Kan avdekke et mangfold av rotårsker
Eksempel fra veilederen søknadsbehandlingsprosessen
44
Gruppearbeid 20 min + 10 min oppsummering
• Ta utgangspunkt i «problemet» dere har forberedt og tatt
med (sitt sammen med person fra samme virksomhet)
• Bruk 5-hvorfor teknikken eller fiskebeindiagram og finn
frem til rotårsaken(e) med tilhørende tiltak for å håndtere
problemet
• Oppsummering av erfaringer i plenum
45
Lunsj
9. September 2015
© Direktoratet for økonomistyring
Identifisere risikoutsatte og vesentlige prosesser
Prosesskartlegging
identifisere risiko og tiltak/kontroller i prosesser
23.09.2015
•© Direktoratet for økonomistyring
Side 47
1.
2.
Identifisere risikoutsatte og vesentlige
prosesser
Vesentlige prosesser ut fra en vesentlighetsvurdering/vesentlighetskriterier
(konsekvens)
Risikoutsatte prosesser identifisert på bakgrunn av risikovurderinger
(sannsynlighet og konsekvens)
Mål og krav
Risikovurdering på
virksomhetsnivå
Identifisering av vesentlige
prosesser – i hvilke prosesser slår
vesentlige risikoer inn?
Kartlegging og
risikovurdering av
vesentlige prosesser
2
3
Side 48
2
3
7
3
4
9
5
3
7
4
8
5
5
3
4
5
3
4
5
Oversikt over vesentlige prosesser
• Vurder hvilke prosesser som er vesentlige?
– Er det store verdier knyttet til prosessen?
– I hvor stor grad påvirkes brukere?
– Påvirkes andre områder eller prosesser?
– Er det stor politisk oppmerksomhet knyttet til prosessen?
– Påvirkes omdømmet?
Side 49
Formålet med prosesskartlegging
• Få oversikt over prosessen med tilhørende risikoer og
risikoreduserende tiltak. Få oversikt over roller og ansvar.
• Få et grunnlag for å vurdere og analysere behov for
endringer og forbedringer
– Flere eller færre kontroller?
– Målrettet og effektiv drift?, overholder vi lover og regler?
Pålitelig rapportering?
• Få dokumentert hvordan prosessen gjennomføres
– Interne hensyn
• Back up ved sykdom, nyansettelser etc.
• Like ting gjøres likt?
– Eksterne hensyn;
• RR
• Dep.
• Brukere/kunder
Side 50
•23.09.2015
Metode i 4 steg for å kartlegge prosessen
•© Direktoratet for økonomistyring
Side 51
•23.09.2015
Kartlegge prosessen
• Når man skal kartlegge prosessen er det viktig å beskrive
følgende:
–
–
–
–
–
–
–
målet med prosessen
hvem som er ansvarlig for prosessen (helheten)
hvor prosessen starter (input) og hvor den slutter (output)
hvilket detaljnivå den skal beskrives på
aktivitetene i prosessen
hvem som er involvert i de ulike aktivitetene (roller og ansvar)
hvilke system/verktøy som benyttes
•
•© Direktoratet for økonomistyring
Side 52
•23.09.2015
Eksempel på en prosess
•© Direktoratet for økonomistyring
Side 53
•23.09.2015
Eksempel på en prosessbeskrivelse
Nr
Handling
Ansvarlig
Når
1
Arkiv mottar innkomne søknader
Administrasjonsavdelingen
Løpende
2
Saksbehandler registrerer
søknader inn i
saksbehandlingssystemet
Tilskuddsavdelingen
Løpende
12
Utbetaling til tilskuddsmottakere
Regnskapsavdelingen
Månedlig
•© Direktoratet for økonomistyring
Side 54
•23.09.2015
Identifisere risikoer
• Utgangspunktet for risikovurderingen er målet for
prosessen.
• Identifiser kritiske suksessfaktorer – forhold som er viktig
å lykkes med for å nå målet for prosessen
• Identifisere risikoer (hva kan gå galt i forhold til målet
med prosessen? Hva hinder målrettet og effektiv drift,
pålitelig rapportering, overholdelse av lover og regler
som prosessen omfattes av )
•
•© Direktoratet for økonomistyring
Side 55
•23.09.2015
Prosesskartet med risikoer
Side 56
•23.09.2015
Identifisere risikoreduserende tiltak
• Identifisere risikoreduserende tiltak
• Gjelder både i og i tilknytning til prosessen
• En beskrivelse av kontrollene bør dokumenteres og
inneholde:
–
–
–
–
hvor ofte kontrollen skal gjennomføres
hvem som skal gjennomføre kontrollen, hvem som er ansvarlig
hvordan gjennomføringen av kontrollen skal dokumenteres
dersom kontrollen skal etterkontrolleres (kontroll av at
kontrollen er gjort/oppfølging av nøkkelkontroller) bør også
dette beskrives
•
Side 57
•23.09.2015
Prosesskart med risikoreduserende tiltak
Side 58
•23.09.2015
Identifisere forbedringsområder
• Vurdere om det er behov for forbedringer
– Foreta en vurdering av om det er risikoreduserende tiltak som:
• Ikke gjenspeiler eller ikke dekker risikoen
• Som gjøres flere ganger eller har samme formål
• Kan automatiseres
– Foreta en vurdering om prosessen oppfyller de tre
internkontrollmålsetningene
•
Side 59
•23.09.2015
Dokumentasjon av prosessen og
risikovurderingene
• Dokumentere prosessen
etter gjennomførte
forbedringstiltak
– policyer
– prosedyrer
• Dokumentere oppdatert
risikovurdering
Side 60
•23.09.2015
Verktøy – «Idebank- utvalgte prosesser
med eksempler på mål, risiko og kontroller»
Type prosess
Hovedprosess
Delprosess
Mål for delprosess
Risiko
Støtteprosess
Regnskap
Behandling av
inngående
fakturaer
Fullstendig, effektiv og
korrekt behandling av
inngående faktura
Det bokføres fakturaer som ikke er i
henhold til avtalte betingelser, herunder
pris og kvalitet.
Støtteprosess
Regnskap
Behandling av
inngående
fakturaer
Fullstendig, effektiv og
korrekt behandling av
inngående faktura
Regnskapet inneholder inngående
fakturaer som ikke er godkjent
Støtteprosess
Regnskap
Behandling av
utgående faktura
Støtteprosess
Regnskap
Behandling av
utgående faktura
Støtteprosess
Regnskap
Behandling av
utgående faktura
Støtteprosess
Regnskap
Støtteprosess
Regnskap
Fullstendig, effektiv og
korrekt fakturering og
innkreving av utestående
beløp
Fullstendig, effektiv og
korrekt fakturering og
innkreving av utestående
beløp
Risikoreduserende tiltak
Kontroll av inngående faktura mot
bestilling og mottatt vare/tjeneste skal
hindre registrering av inngående faktura
som inneholder feil eller som ikke
vedrører virksomheten
Maskinell kontroll sikrer at bare
inngående fakturaer som er godkjent av
person med
budsjettdisponeringsmyndighet
registreres i regnskapet
Kontrolltype
Oppdagende,
manuell
Oppdagende,
automatisk
Ordregrunnlaget foreligger for sent
Sjekkliste som viser ansvar og myndighet
knyttet til utarbeidelse av ordregrunnlaget
med tilhørende frister
Forebyggende,
manuell
Ordregrunnlaget inneholder feil
(eksempelvis feil kunde, feil beløp, feil
betingelser, m.v.)
Det utarbeides fakturaforslag som
sendes ordreutsteder for kontroll og
godkjenning før endelig faktura kan
utstedes
Forebyggende,
manuell
Fullstendig, effektiv og
korrekt fakturering og
innkreving av utestående
beløp
Mangelfull oppfølging av utestående beløp
Det er etablert prosedyrer med sjekklister
som sikrer månedlig avstemming av
innbetalinger mot utestående fordringer.
Åpne poster følges opp.
Avdekkende,
manuell
Lønn
Korrekt og rettidig bilde av
lønnskostnader for perioden
Nedetid på datasystemer gir forsinket
utbetaling av lønn
Lønn
Korrekt og rettidig bilde av
lønnskostnader for perioden
Feil periodisering av lønnskostnader i
regnskapet (SRS)
Side 61
Kriseavtale med banken som sikrer
utbetaling av lønn til riktig tid ved
eventuelle tekniske problemer
Det gjøres avsetninger for overtid og
annen lønnsutbetaling utover fast lønn
(SRS)
•23.09.2015
Forebyggende,
manuell
Forebyggende,
manuell
Hvem har erfaringer med prosesskartlegging?
• Hva er praksisen for utvelgelse av vesentlige prosesser?
– Er vesentlige og risikoutsatte prosesser kartlagt/risikovurdert?
• Hvor og Hvordan dokumenterer dere dette arbeidet (bruk
av system)?
–
–
–
–
Flytdiagram
Word
Excel
Prosedyrer, sjekklister, arbeidsbeskrivelser
Eksempel på problemløsning og prosesskartlegging i
offentlig sektor – praksis:
https://www.youtube.com/watch?v=eCy9dhgrVnw
Side 62
Prosesskartlegging og internkontroll i NTNU
23.09.2015
•© Direktoratet for økonomistyring
Side 63
Pause
13.30 -13.45
© Direktoratet for økonomistyring
Sikringstiltak – utforming av kontrolltiltak på
informasjonssikkerhetsområdet
Jan Sørgård, Difi
13.45 -14.30
© Direktoratet for økonomistyring
Implementering
© Direktoratet for økonomistyring
Hva er implementering?
• Gjennomføring av utformede tiltak i praksis, dvs. legge til
rette for og gjøre det vi har bestemt oss for slik at tiltaket
etterleves og får ønsket effekt!
• Når tiltak gir dårligere resultater enn forventet, kan det
skyldes at tiltaket ikke er så virksomt som forventet (feil
rotårsak til tiltaket), eller at implementeringen var
manglende eller mislykket.
Resultatet blir manglende etterlevelse og effekt
«Selv om risikoen ble forstått på et intellektuelt nivå,
ble ikke forståelsen omsatt i praksis.»
22. juli-kommisjonen
67
Implementeringsaktiviteter
Å implementere tiltak bidrar til at risikovurderinger
68
ikke bare blir en formalitet, men enSide
realitet,
dvs. bedre styring og kontroll
God overlapp mellom det formelle og uformelle
styrings- og kontrollmiljø viktig for å lykkes!
Tiltak
Systemer Styrende
dokumenter
Strukturer
Organisering
Strategier
Motivasjon
Kompetanse
Verdier og normer
Tiltak
Interesser
Tenkemåter
Følelser
Side 69
Ulike type tiltak krever ulike
implementeringsaktiviteter for å få med det
uformelle styrings- og kontrollmiljøet
Tiltak
Manglede
etterlevelse
og effekt av
tiltak
Side 70
Implementering av ny instruks for Bufetat
© Direktoratet for økonomistyring
Avslutning
© Direktoratet for økonomistyring
Innhold og mål for 4. samling 12. november
Oppfølging
• Vurdere om internkontrollen er effektiv
– Etterlevd
– Hensiktsmessig utformet og gir ønsket effekt
• Bruke informasjonen fra oppfølgingen til styring, læring
og forbedring
– Benytte inn i neste års planlegging av IK
– Risikovurderinger
– Replanlegging, omprioriteringer av tiltak ol.
Rapportering
• Rapportere resultater fra oppfølgingen til rett nivå til rett tid
• Integrere rapporteringen knyttet til internkontroll med øvrig
rapportering
Side 73
Innhold og mål for 4. samling forts.
Konkret output oppfølging og rapportering
• Gjennomført og dokumentert oppfølging på ulike nivå i
virksomheten
• Kvalifisert grunnlag for å kunne vurdere internkontrollens
effektivitet (hele systemet og håndtering av enkelt- risikoer)
• Status og tilstand for internkontrollen sammenstilles fra ulike
nivå og benyttes i ledelsens styring og kontroll av
virksomheten
• Informasjonen som rapporteres er input til planlegging i neste
periode
Relevante verktøy:
• Veiledning – test av internkontroll
• Veiledning – prosedyre for registrering og håndtering av avvik
• Mal – registrering og håndtering av avvik
• Mal – rapportering knyttet til internkontroll
Side 74
• Eksempel årsrapport
Innspill neste samling
• Innlegg/presentasjoner fra deltakerne innenfor temaene:
utforming og implementering eller oppfølging og
rapprotering?
• Ønsker knyttet til temaer og verktøy innenfor oppfølging?
• Alle tilbakemeldinger, tips og vink mottas med stor takk!
Side 75
Agenda 4. samling – forslag
Tema 4. samling:
Avslutning
oppfølging og rapportering Samarbeidsforum IK
08.30 – 12.15
virksomheter 12.15 -16
• Teori og verktøy oppfølging • Felles lunsj med ledere
og rapportering
• Kort oppsummering fra ledere.
Hva er oppnådd og veien videre –
tips fra ledere til ledere.
• Presentasjon fra deltager i
forumet/
erfaringsutveksling?
• Presentasjon fra Gundvaldsen i
RR. Hva er god internkontroll?
• Årsrapport kap. IV?
• Avslutning v/ DFØs direktør
Øystein Børmer
• Evaluering?
76
Tusen takk for innsatsen!
På gjensyn 12. november!
© Direktoratet for økonomistyring