Handledning Att hantera verksamhetsrisker. Processen enligt förordningen om intern styrning och kontroll 2012:47

Transkript

1 Handledning Att hantera verksamhetsrisker Processen enligt förordningen om intern styrning och kontroll 2012:47

2 ESV:s handledningar ska vara ett stöd vid tolkning av föreskrifter och allmänna råd inom områden där ESV är normerande. Publikationen kan laddas ner som PDF och beställas från Beställningar kan även göras via: Ekonomistyrningsverket, Publikationsservice Box 45316, Stockholm Fax: Datum: Dnr: /2012 ISBN: Copyright: ESV Författare: Tomas Kjerf och Patrick Freedman Omslag: istockphoto/gehring János Tryckeri: Taberg Media Group AB, Taberg 2013

3 Förord Av budgetpropositionen för 2013 framgår att riskhanteringen hos flera myndigheter har integrerats i myndighetens modell för verksamhetsstyrning och uppföljning. För myndigheterna har dessa förändringar inneburit ökade möjligheter till överblick av risker samt en bättre prioritering mellan risker och åtgärder inom olika delar av myndigheten. 1 Intern styrning och kontroll kan sägas ta sin början med 1 kapitlet 6 regeringsformen som säger att regeringen ansvarar inför Riksdagen för hur regeringen styr landet. I flera författningar framgår att statlig förvaltning ska vara effektiv, produktiv, rättssäker och spårbar. Myndighetsledningen är ansvarig inför regeringen för detta. Riskhantering enligt förordningen om intern styrning och kontroll är ett sätt att stödja myndighetsledningens i att ta ansvar. Denna handledning är tänkt som ett stöd i arbetet med att hantera verksamhetsrisker inom myndigheternas styrning och bidra till ett effektivt fungerande regelverk. Stockholm december 2012 Eva Lindblom 1 Regeringens proposition 2012/13:1, Budgetpropositionen för 2013, s. 456

4 4 att hantera verksamhetsrisker

5 Innehåll Förord 3 1 Inledning Sammanfattning Syfte, avgränsning och målgrupp Innehållet i respektive kapitel 8 2 Effektiv verksamhetsstyrning Riskhantering för en effektiv verksamhet Målen är centrala i arbetet med riskhantering Hur riskhanteringen kan organiseras Processen beskriver riskhantering Vad kan ingå i riskhanteringen? Säkerställa med rimlig säkerhet vad innebär det? Vissa risker är mer relevanta än andra Vad är en principiell risk? Ska frågan hanteras av ledningen eller inte? 12 3 Riskanalys i verksamheten Riskanalys av ansvaret för verksamheten Vilka omständigheter påverkar verksamheten? Så identifierar ni händelser och förhållanden Värdera hur hotfulla riskerna är Bedöm riskens konsekvenser och sannolikheten för att den inträffar Acceptera möjligheter och hantera hot Uppdatera er riskanalys vid behov När ska riskanalysen uppdateras? Uppdateringen kan ofta samordnas med verksamhetsplaneringen Otillbörlig påverkan och brottslighet är också risker 21 4 Kontrollåtgärder för att hantera risker Vidta nödvändiga åtgärder Vad är en nödvändig åtgärd? Välj åtgärd utifrån riskernas sannolikhet och konsekvens Prioritera utifrån åtgärdernas komplexitet och kostnad Identifiera åtgärderna genom att se på orsakerna till risken Exempel på åtgärder Väg kostnaden mot nyttan när ni väljer åtgärd 25 5 Att följa upp och bedöma Utvärdera systematiskt och regelbundet Samordna gärna med annan uppföljning Bedöm om processen fungerar betryggande Väg in iakttagelser från revision i er bedömning 28 6 Dokumentera riskhantering och uppföljning Dokumentationen ger spårbarhet till riskerna 29 att hantera verksamhetsrisker 5

6 6.2 Risker ska gå att följa från riskanalys till bedömning Dokumentationen är underlag för bedömning Beskriv bristerna för myndighetsledningens bedömning Vad räknas som en brist? Sammanställ riskerna för att få överblick 31 7 Undantag från bestämmelserna 33 Referenser 35 Bilaga 1 Krav på riskhantering 37 Bilaga 2 Krav på kontrollåtgärder utan föregående riskanalys 39 Bilaga 3 Sammanställda risker 41 Ordlista 43 6 att hantera verksamhetsrisker

7 inledning 1 Inledning 1.1 Sammanfattning När ni på er myndighet arbetar med risker finns ett tydligt syfte. Ni ska ta fram och införa åtgärder som kan påverka de omständigheter som begränsar era möjligheter att fullgöra ansvaret för verksamheten. Riskhanteringen syftar till att ni ska kunna uppnå era mål. Till att börja behöver ni därför identifiera vilka målen är, det vill säga vilka uppgifter, mål och uppdrag er myndighet har. Ni ska därefter göra en riskanalys för att identifiera och kartlägga vilka omständigheter som hindrar er verksamhet att nå önskat resultat. En omständighet utgör ett hot när den medför att myndigheten inte fullgör sina uppgifter, når sina mål eller utför sina uppdrag på avsett vis. Nästa steg i riskanalysen är att ni värderar riskerna. Er värdering påverkar om ni ska acceptera risken eller försöka åtgärda den. De risker som är så allvarliga att ni inte kan acceptera dem, ska ni alltså hantera med någon form av kontrollåtgärd. För att ni ska kunna införa en åtgärd behöver ni utse någon som är ansvarig för åtgärden. Åtgärderna bör också utarbetas mot bakgrund av en kostnads- och nyttovärdering. Ni ska regelbundet följa upp risker och åtgärder, för att försäkra er om att den interna styrningen och kontrollen fungerar på ett betryggande sätt. Slutligen ska ni dokumentera er riskhantering för att ge en sammanhängande, översiktlig och begriplig bild av hur arbetet har gått till och om den har gett önskat resultat. Dokumentationen fungerar också som ett underlag för ledningens bedömning av er myndighets interna styrning och kontroll. 1.2 Syfte, avgränsning och målgrupp Denna handledning vänder sig till de myndigheter som omfattas av kraven på riskhantering, och särskilt till de handläggare som har till uppgift att arbeta med riskanalys, kontrollåtgärder och uppföljning. Dessa handläggare kan ha befattningar som chef, controller, koordinator eller samordnare, alla vilka innebär en kontroll över verksamheten i något avseende. De metoder och riktlinjer som vi här beskriver syftar till att ge er vägledning i hur ni ska följa bestämmelserna om riskanalys, kontrollåtgärder, uppföljning och dokumentation enligt 2 6 förordningen (2007:603) om intern styrning och kontroll. Handledningen behandlar inte myndighetsledningens ansvar att säkerställa intern styrning och kontroll i övrigt enligt myndighetsförordningen (2007:515). Inte heller tar vi här upp myndighetsledningens bedömning av om det är en betryggande intern styrning och kontroll enligt förordningen (2000:605) om att hantera verksamhetsrisker 7

8 inledning årsredovisning och budgetunderlag eller myndighetsledningens internrevision enligt internrevisionsförordningen (2006:1228). Det hittar ni i handledningen Ansvaret för intern styrning och kontroll 2. I denna handledning diskuterar vi inte heller praktikfall av tillämpning. Detta hittar ni i stället i publikationen Systematiserat sunt förnuft 3, där det finns ett antal exempel på hur ni kan gå till väga för att hitta arbetssätt att arbeta med intern styrning och kontroll. För fördjupning i specifika modeller och metoder för riskanalys, riskhantering, riskledning etc. hänvisar vi till annan forskningseller utvecklingsinriktad litteratur Innehållet i respektive kapitel I kapitel två beskriver vi utgångspunkten för arbetet med risker och hur ni kan införa riskhantering i planering, genomförande och uppföljning av verksamheten. Kapitel tre tar upp riskanalys och hur ni kan identifiera omständigheter som utgör ett hot i verksamheten. Kapitel fyra behandlar åtgärder för att hantera risker i verksamheten. Kapitel fem beskriver hur ni kan följa upp och bedöma om riskanalysen är aktuell och om åtgärderna är effektiva. Det sjätte kapitlet berör dokumentationskraven för spårbarhet i riskhantering. I det sjunde kapitlet behandlar vi undantag från bestämmelserna. I referenserna finns andra publikationer samt utredningar som också behandlar riskhantering. Där finns även hänvisningar till författningar. Ordlistan tar upp begrepp som behandlas med dessa metoder och riktlinjer. Fler begrepp förklaras i ESV:s ordbok om ekonomisk styrning i staten 5. 2 Ansvaret för intern styrning och kontroll 2012:46 3 Systematiserat sunt förnuft. ESV 2011:2 4 COSO, FERMA, IIA, ISO, IFAC med flera är förkortningar för utgivare av utredningar i ämnet. 5 ESV:s ordbok om ekonomisk styrning i staten 2011:9 8 att hantera verksamhetsrisker

9 effektiv verksamhetsstyrning 2 Effektiv verksamhetsstyrning 2.1 Riskhantering för en effektiv verksamhet Syftet med intern styrning och kontroll är att fullgöra ansvaret för verksamheten. Så här står det i förordningen om intern styrning och kontroll: Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av myndighetsförordningen. 6 Myndighetsledningen är ansvarig för verksamheten enligt myndighetsförordningen. Verksamhet är ett samlande begrepp som kan innefatta allt från verksamhetens process till formerna för handläggningen eller verksamhetens mål. Riskhanteringen sker i verksamheten. För att göra det konkret kan verksamheten beskrivas genom att svara på frågor som: Var och Vart, Vad och Varför, Vilka och för Vem samt När och Hur. Mer vägledning om att beskriva verksamheten finns i publikationen Verksamhetslogik 7. Där presenteras en metod som kan användas som stöd i samband med planering, styrning, uppföljning, utvärdering och kommunikation av verksamheter Målen är centrala i arbetet med riskhantering Målen är det som ska utföras i form av prestationer eller det som ska uppnås i form av effekter. Dessa är beskrivna i era instruktioner och regleringsbrev som uppgifter, mål och uppdrag. Mål kan också uttryckas i andra lagar och förordningar som styr verksamheten. Alla anställda på er myndighet ska göras förtrogna med målen för verksamheten. Om ni förlorar fokus på målen i verksamheten kan er interna styrning och kontroll stanna vid att ni behärskar en teoretisk modell, som ni inte kan omsätta i praktiken. Det finns inga bestämmelser om att målen i verksamheten ska följa en viss struktur med mätbara kriterier eller kriterier ur flera perspektiv. Det kan dock göra målen konkretare och som en effekt av det kan ert arbete med risker bli mer effektivt Hur riskhanteringen kan organiseras Det kan vara en uppgift för en stab att stödja myndighetschefens styrning av linjeorganisationen. Stabsfunktionen äger då de närmare föreskrifter som reglerar arbetet med risker, ger det stöd som behövs och sammanställer underlag för 6 2 förordning (2007:603) om intern styrning och kontroll 7 Verksamhetslogik 2001:16 att hantera verksamhetsrisker 9

10 effektiv verksamhetsstyrning myndighetsledningens bedömning av om den interna styrningen och kontrollen är betryggande. Stabsfunktionen får rollen att förmedla den styrning av verksamheten som myndighetsledningen och myndighetschefen har beslutat, men får även inom sin delegation fatta de beslut som behövs. 2.2 Processen beskriver riskhantering Riskhantering ingår i de obligatoriska momenten i arbetet med intern styrning och kontroll, som också brukar kallas för processen för intern styrning och kontroll. 8 Följande moment ingår i riskhanteringsprocessen: 1. Att göra en riskanalys för att identifiera omständigheter som hotar verksamheten. 2. Att vidta åtgärder som är nödvändiga för att fullgöra ansvaret för verksamheten. 3. Att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen. 4. Att dokumentera allt som beskrivits i punkterna ovan. Begränsningen till den formella processen utesluter inte att ni också arbetar med vardagsrationalisering och ständiga förbättringar. Dessutom kan ni låta fler delar ingå i processen, till exempel att definiera målen i verksamheten och att informera om mål, risker, åtgärder samt uppföljning och bedömning. Men processen kan bli ett ändlöst arbete om det inte finns något som avgränsar inriktningen och omfattningen. I riskanalysen är målen i verksamheten (uppgift, mål, uppdrag) och kraven (generella mål) om effektivitet, produktivitet, rättsenlighet och spårbarhet i verksamhetens genomförande avgränsande. En annan avgränsning är att kostnaden aldrig får överstiga nyttan av att vidta en åtgärd Vad kan ingå i riskhanteringen? Riskhantering sker inom myndigheternas processer för verksamheten och är ett stöd vid verksamhetens genomförande. De interna stödprocesserna (till exempel lönehantering, upphandling och bokföring) till den egentliga verksamheten omfattas också av riskhantering på samma sätt som verksamheten i övrigt. Även en kostnad eller intäkt (kostnadsslag) kan vara föremål för riskhantering. Så kan också vara fallet med löner och hyror, oavsett vilken verksamhet de hänför sig till. Andra kostnader som kan vara föremål för riskhantering är representation, resor och presentation av myndigheten. Dessutom kan riskhantering röra aktiviteter som är gemensamma för flera verksamheter till exempel arkivbildning, betalning och finansiering. 8 Allmänna råd till 2 förordning (2007:603) om intern styrning och kontroll anger att i processen ingår att hantera verksamhetsrisker

11 effektiv verksamhetsstyrning 2.3 Säkerställa med rimlig säkerhet vad innebär det? Fel kan inträffa hur oönskade de än är. Kravet på säkerhet i det interna styr- och kontrollarbetet är inte heller absolut på så sätt att fel inte får inträffa. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Rimlig säkerhet innebär att en ändamålsenligt utformad och väl införd process för intern styrning och kontroll inte kan garantera fullständig säkerhet. 9 Rimlig säkerhet är för myndighetsledningen att kunna säkerställa en intern styrning och kontroll som fungerar betryggande. Myndighetsledningen säkerställer en betryggande intern styrning och kontroll med direktiv och riktlinjer till myndighetschefen 10 att sköta den löpande verksamheten, med de närmare föreskrifter som behövs i arbetsordningen samt med riktlinjer och revisionsplan för internrevision. Ni väljer på er myndighet vilka risker som ska accepteras i verksamheten. För att sedan uppnå en rimlig säkerhet ska ni bedöma vad som är väsentliga fel i förvaltningen, och sedan åtgärda dessa. Rimlig säkerhet kan därför innebära olika saker i olika myndigheter och verksamheter. Ibland kan riskerna vara större än vad verksamheten accepterar och verksamheten ändå fortgår. Vi har då att göra med risktolerans. Myndigheter som arbetar med en nollvision kan antas ha en riskacceptans som är mycket låg men det är inte det samma som att verksamheten inte kan fortgå om fel inträffar. Ofta finns förmågan att hantera fel som uppkommer. Det gör att den rimliga säkerheten vanligtvis hamnar mellan vad som är accepterat i verksamheten och vad som kan tolereras i verksamheten. Ändamålsenligt är här vad myndigheten beslutar om för former för riskanalys, kontrollåtgärder, uppföljning och dokumentation. Genomförandet kan skilja sig åt mellan myndigheter och mellan verksamheter. Det som är gemensamt är att alla identifierar och värderar risker, och därefter tar ställning till om risken kan accepteras eller behöver hanteras. Denna riskhantering ska löpande och systematiskt följas upp och bedömas. Det finns inte något självändamål med att lägga mer resurser än nödvändigt på att identifiera och värdera risker. Ni bör i stället lägga ett större fokus på nödvändiga åtgärder. För att kunna bestämma vad som är en nödvändig åtgärd behöver ni oftast identifiera orsaken till händelsen vad är det som gör att händelsen uppkommer? 9 Allmänna råd till 2 förordning (2007:603) om intern styrning och kontroll 10 Exemplet beskriver en styrelsemyndighet. I en enrådighetsmyndighet är myndighetsledningen och myndighetschefen samma person. att hantera verksamhetsrisker 11

12 effektiv verksamhetsstyrning Vissa risker är mer relevanta än andra Det kan finnas anledning att sätta särskilt fokus på risker inom en viss del av verksamheten eller vissa typer av risker utifrån de prioriteringar regeringen gör. De myndigheter som förvaltar välfärdssystem eller på annat sätt genomför transfereringar kan till exempel ha som mål att minska felaktiga utbetalningar. Det kan vara ändamålsenligt att anpassa riskhanteringen till utbetalningarna istället för verksamheten som den förekommer i. Utbetalningar som transfereringar, leverantörsfakturor eller löner är normalt sett centraliserade och standardiserade till en stödfunktion, kassan. Utbetalningar omfattas också av ett eget krav på riskanalys. 11 Mål som jämställdhet, regional utjämning och uthållig miljö är inte heller begränsade till en viss verksamhet och kan bli föremål för en övergripande riskhantering. Ett exempel på ändamålsenlig anpassning är när delegering av beslutanderätt om att acceptera risker eller vidta åtgärder följer samma ordning som gäller för verksamhetens genomförande. När en risk är av principiell karaktär eller av större betydelse kan det dock vara en fråga för myndighetsledningen. Om ni har identifierat en sådan risk inom linjen ska ni redovisa den till myndighetsledningen i enlighet med den ordning för rapportering som gäller för er verksamhet Vad är en principiell risk? En principiell risk rör grunden för verksamheten. Det räcker dock inte för att göra risken till en fråga för myndighetsledningen. Om risken också berör ett mål som regeringen satt för verksamheten eller om risken berör ett specifikt krav på återrapportering är det mer troligt att risken är principiell. Ett annat sätt att avgöra om det är en fråga för myndighetsledningen är att bedöma om det hot en risk medför innebär att myndighetsledningen inte kan fullgöra ansvaret för verksamheten om skadan uppkommer. Så kan vara fallet när ni i årsredovisningen behöver kommentera resultatet med anledning av att risken inträffat eller om ni anser att det är väsentlig information för regeringen i deras uppföljning eller prövning av verksamheten. Om åtgärden berör arbetsordningen, verksamhetsplanen eller styrelsens direktiv och riktlinjer till myndighetschefen är det principiella frågor som ska tas till myndighetsledningen Ska frågan hanteras av ledningen eller inte? Det är en uppgift för varje berörd chef inom myndigheten att bedöma om beslut om riskhantering faller utanför den egna befogenheten och det egna ansvaret. Ett sätt att underlätta för cheferna att göra sådana bedömningar är att inom 11 6 förordning (2006:1097) om statliga myndigheters betalningar och medelsförvaltning 12 att hantera verksamhetsrisker

13 effektiv verksamhetsstyrning myndig heten informera och kommunicera om de olika fall som uppkommer när det blir ett beslut för myndighetsledningen. När det går att beräkna kostnaden för den skada en risk kan medföra är det också möjligt att med delegationsbeslut fastställa beloppsgränser för när en risk ska hanteras av chefer i verksamheten och när det är en fråga för myndighetsledningen. att hantera verksamhetsrisker 13

14 14 att hantera verksamhetsrisker

15 riskanalys i verksamheten 3 Riskanalys i verksamheten 3.1 Riskanalys av ansvaret för verksamheten Riskanalys handlar om att identifiera omständigheter som hotar verksamheten. Så här står det i förordningen om intern styrning och kontroll: En riskanalys ska göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av myndighetsförordningen inte fullgörs. 12 När ni gör en riskanalys ska ni identifiera och värdera risker samt ta ställning till om en risk behöver vara lägre för att ni ska kunna fullgöra ert ansvar för verksamheten. Genom att ta en risk eller mer egentligt ta en chans finns också en möjlighet 13. Det senare är dock inte en del av riskanalysen enligt förordningen om intern styrning och kontroll, men utgör en naturlig del i styrningen av en verksamhet. Att riskanalysen enligt förordningen om intern styrning och kontroll endast ska beakta de negativa aspekterna av risk framgår av ordet inte ovan i 3 förordningen om intern styrning och kontroll. Kravet på riskanalys omfattar den verksamhet som myndighetsledningen ansvarar för. Det gäller således också verksamhet som utförs av någon annan, och oavsett hur verksamheten finansieras. Finansiering med anslag, avgift, bidrag eller lån påverkar inte kravet på att utföra riskanalys. Om ni köper tjänster från en leverantör (till exempel Statens servicecenter) påverkar det inte ert ansvar för verksamheten. Er myndighet är ändå ansvarig för att verksamheten fullgörs, och att den omfattas av riskanalys. 14 Den som utför verksamheten kan identifiera och värdera risker, men inte avgöra om en risk kan accepteras eller inte. Det senare ligger alltid på er som beställare av tjänsten. 3.2 Vilka omständigheter påverkar verksamheten? Riskanalysen avser omständigheter som påverkar verksamheten. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra uppgifterna, nå målen eller genomföra uppdragen för verksamheten förordning (2007:603) om intern styrning och kontroll hänvisar till 3 myndighetsförordning (20007:515) 13 Enligt ISO 31000:2009, Riskhantering, ses risken som neutral och den kan leda till positiva eller negativa konsekvenser för en verksamhet. 14 Om ansvaret ska gå över till utföraren krävs ett tydligt ställningstagande från regeringen i ansvarsfrågan. 15 Allmänna råd till 3 Förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 15

16 riskanalys i verksamheten Omständigheter är både händelser och förhållanden som har en viss effekt och som kan fordra en åtgärd. Effekten kan vara positiv eller negativ för verksamheten men i det följande behandlar vi bara det som är negativt. Händelser inträffar och förhållanden uppkommer inom eller utom den egna verksamheten och kan medföra ett hot mot att fullgöra ansvaret för verksamheten. Interna händelser och förhållanden kan åtgärdas av myndigheten i den egna verksamheten. De externa händelserna och förhållandena, förutom de åtgärder som kan vidtas inom den egna verksamheten, kan hanteras genom att informera den som kan vidta en åtgärd, exempelvis en annan myndighet eller regeringen. 16 Händelser och förhållanden berör ofta människor i verksamheten och närmare hur anställda, konsulter och allmänheten agerar i olika situationer. Händelser och förhållanden kan också beröra saker och ting som lokaler, maskiner och inventarier eller mer abstrakt infrastruktur. Risk för att tilldelade medel visar sig otillräckliga i myndighetens prognoser hanteras enligt 9 anslagsförordningen (2011:223) och behöver inte tas upp i riskanalysen enligt förordningen om intern styrning och kontroll. Medlen är också tillräckliga när regleringsbrevet beslutas och verksamheten ska bedrivas inom den finansiella ram som regeringen anger. 3.3 Så identifierar ni händelser och förhållanden Riskanalys börjar med att leta risker. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att identifiera risker. 17 När riskanalysen är avgränsad till en viss verksamhet börjar arbetet med att identifiera händelser och förhållanden som utgör ett hot. Det är ett hot om konsekvensen av händelsen eller förhållandet är att: verksamheten inte kan genomföras alls eller effektivt (ofta eller snabbt når avsedd kvantitet och kvalitet), verksamheten inte genomförs med god hushållning (produktivt), verksamheten inte genomförs enligt gällande rätt (rättssäkert) eller verksamheten inte blir rättvisande och tillförlitligt redovisad (spårbart i allmänna handlingar). Effektiv, produktiv, rättssäker och spårbar är generella mål eller krav på verksamheten som går att finna i flera författningar. Det framgår av budgetlagen att hög effektivitet ska eftersträvas i statlig verksamhet. Regeringsformen fastställer att den offentliga makten utövas under lagarna och förvaltningslagen säger att handläggningen ska vara rättssäker. Det framgår av budgetlagen att god hushållning ska iakttas i statlig verksamhet och förvaltningslagen anger att handläggningen ska vara så billig och enkel som möjligt. Förvaltningslagen ställer ett allmänt 16 Se även ESV:s handledning 2012:17 Samarbete om risker i verksamheten. 17 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll 16 att hantera verksamhetsrisker

17 riskanalys i verksamheten dokumentationskrav på uppgifter som har betydelse för utgången av ett ärende. I förlängningen handlar det om allas rätt att ta del av allmänna handlingar för ett fritt meningsutbyte och allsidig upplysning, i enlighet med vad som föreskrivs i tryckfrihetsförordningen. Ett sätt att identifiera händelser och förhållanden är att göra en inventering. De medarbetare som har stor erfarenhet av verksamheten bör delta i inventeringen, kanske med stöd av någon i staben. Riskinventeringen innebär att medarbetarna beskriver de händelser och förhållanden som är kända. De behöver inte ha inträffat inom verksamheten för att fångas upp i inventeringen. Det kan ha inträffat inom en annan verksamhet. Inventeringen kan bestå av intervjuer med och enkäter till handläggare inom verksamheten. Den kan också göras genom arbetsmöten och fritt tänkande. Ett enklare tillvägagångsätt är att gå igenom vad som är skrivet om tidigare erfarenheter i till exempel omvärldsanalyser och resursanalyser. 3.4 Värdera hur hotfulla riskerna är Nästa steg i riskanalysen är att värdera hur hotfulla riskerna är, och hur sannolikt det är skadan inträffar. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att värdera risker. 18 Innan ni bestämmer er för hur ni ska värdera era risker, det vill säga vilken riskvärderingsmodell ni väljer, bör ni överväga vad resultatet ska användas till. Den modell ni väljer bör inte vara mer (eller mindre) komplex och komplicerad än att den ger ett resultat som tillfredsställer syftet. Ska riskvärdet endast vara ett stöd i er prioritering mellan de identifierade riskerna kan en enklare riskvärderingsmodell vara tillräcklig. Ibland kan det räcka med konsekvensanalys i stället för riskanalys om inte sannolikheten behöver bedömas 19. Finns en tanke att använda resultatet i mer komplexa valsituationer, kan det finnas anledning att kombinera olika metoder med riskanalys, som till exempel resultatanalys mot mål, omvärldsanalys av möjligheter och hinder, och resursanalys av styrkor och svagheter 20. Riskvärderingen är ett stöd för de ansvariga när de ska ta ställning till om, hur och när de identifierade riskerna ska åtgärdas. Om riskerna kan relateras till varandra och sättas i en prioriteringsordning är värderingen enklare att göra. Riskvärderingen leder fram till en översikt som visar vilka risker er myndighet hanterar tillräckligt bra redan i dag och vilka risker ni behöver hantera bättre. Det är viktigt att ni bedömer risken utifrån det nuvarande läget, och då väger in de 18 Allmänna råd till 3 förordning (20007:603) om intern styrning och kontroll 19 Det gäller till exempel för mål som innebär nollvision. 20 De olika exemplen på analyser är hämtade från 9 kap. 5 förordning (2000:605) om årsredovisning och budgetunderlag. att hantera verksamhetsrisker 17

18 riskanalys i verksamheten kontrollåtgärder som redan är på plats den så kallade kvarvarande risken. Om ni i stället värderar risken utifrån ett tänkt förhållande, där ni bortser från de införda kontrollåtgärderna, har ni värderat den så kallade inneboende risken. Den inneboende risken är dock mindre intressant och kan inte vara någon grund för att vidta åtgärder. Ni behöver inte värdera den inneboende risken i er riskanalys Bedöm riskens konsekvenser och sannolikheten för att den inträffar Risk är konsekvensen av något oönskat och sannolikhetet för detta att inträffa. När ni bedömer konsekvenserna är huvudfrågan hur allvarligt det oönskade är. Innebär det att er myndighet inte kan utföra sin uppgift, nå sina mål och genomföra sina uppdrag effektivt, produktivt, rättsenligt och spårbart? Det är en subjektiv bedömning. När ni bedömer sannolikheten undersöker ni hur troligt det är att det oönskade inträffar. Sannolikheten kan bestämmas mindre subjektivt genom empiriska skattningar direkt utifrån tidigare inträffade händelser. Detta förutsätter att ett omfattande observationsmaterial finns tillgängligt. Sannolikheten kan också bedömas med hjälp av ett logiskt system som en felträdsanalys 21 eller motsvarande. En sådan analys innebär att tekniska och mänskliga fel som kan leda till den aktuella händelsen undersöks, och att sannolikheten för händelsen beräknas med hjälp av empiriska data för sådana fel. Ytterligare ett sätt är att göra expertbedömningar där personer med (mer eller mindre) god kännedom om de aktuella förhållandena får göra subjektiva uppskattningar av sannolikheten. Expertbedömningar ingår ofta (eller nästan alltid) som en del av logiska system. 22 En konsekvens kan beskrivas med ord som försumbar, lindrig, kännbar eller allvarlig och sannolikhet med ord som osannolik, möjlig, sannolik eller säker. Det går även att använda andra värden som låg, medel och hög, eller att värdera med tal. Det senare ger möjlighet att uttrycka värdet av en risk som produkten av konsekvens och sannolikhet, R = (c p) 23. Fördelen med ekvationen är att den enkelt kan hantera olika kombinationer av konsekvens och sannolikhet och ge entydiga värden. Ett förenklat sätt att bedöma konsekvens och sannolikhet är att välja mellan mer eller mindre. Innebär konsekvensen mer eller mindre skada än vad ni kan acceptera i verksamheten? Är det mer eller mindre sannolikt att konsekvensen inträffar oftare än vad ni kan acceptera i verksamheten? Det kan ge riskvärdena mer eller mindre riskfyllt men också ett värde för varken eller. När skalan är lika för alla värderade risker hanterar skalan olikheter och gör dem jämförbara. En jämförelse över tiden påverkas dock av vad som vid varje tillfälle var den accepterade risknivån, viljan att ta risker (riskstrategi) och annat som kan variera över tiden. 21 Det är en metod som visar logiska samband mellan orsak, delhändelse och fel (huvudhändelse). 22 Handbok för riskanalys, Räddningsverket, s. 22 f 23 R=risk, p=probability (sannolikhet), c=consequence (konsekvens) 18 att hantera verksamhetsrisker

19 riskanalys i verksamheten Modellen för riskanalys kan göras mer komplex om det behövs för att anpassas till verksamheten. Till exempel kan faktorerna viktas olika. Om ni arbetar med en nollvision är det ett uttryck för att konsekvensen väger tungt. Det är också möjligt att lägga till ytterligare faktorer som till exempel aktualitet. Hur länge sen sist var det omständigheten förekom? Det går också att välja varianter av olika faktorer som frekvens av istället för sannolikhet för. Ni behöver inte följa en absolut skala med fasta gränsvärden för att ange risker. Riskerna kan istället uttryckas i förhållande till varandra inom en verksamhet. Det gör det möjligt att inom varje verksamhet ange vilken risk som är den mest hotfulla. På så sätt kan ni sträva efter att alltid hantera det mest riskfyllda inom respektive verksamhet. Alla problem i verksamheten uppfattas inte nödvändigtvis som risker. Så kallad vardagsrationalisering eller ständiga förbättringar innebär att ni kan ta till vara möjligheter och hantera hot utan att formalisera hanteringen. Avståndet mellan idé och verklighet får gärna förbli kort. Denna hantering behöver inte följa det formaliserade sättet som förordningen om intern styrning och kontroll föreskriver. 3.5 Acceptera möjligheter och hantera hot Resultatet av riskanalys är att ta ställning till risken. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Riskanalys innebär att ta ställning till om riskerna ska accepteras eller hanteras. 24 Även om det inte är uttalat tar ni ständigt risker i er verksamhet. Det finns alltså accepterade hot eller skador. Ni kan inte undvika risker som innebär att ni skulle behöva avstå från en verksamhet som ni har till uppgift att utföra. Uppbörd och transfereringar måste till exempel fortgå även när det finns en risk för felaktiga betalningar. Riskhanteringen leder ofta till målkonflikter. En sådan är möjligheten till enkel, snabb och billig (effektiv och produktiv) handläggning som kan krocka med hot om att säkerheten (följa regler) eftersätts. Här ger dock förvaltningslagen vägledning: Varje ärende där någon enskild är part ska handläggas så enkelt, snabbt och billigt som möjligt utan att säkerheten eftersätts 25. När det finns en målkonflikt är det ert ansvar att välja och därmed acceptera konsekvensen av valet. Om ni har gjort en värdering av riskens konsekvens och sannolikhet kan alla risker som till exempel har värdet lågt (låg/låg) förbli accepterade i verksamheten, 24 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll 25 7 Förvaltningslag (1986:223) att hantera verksamhetsrisker 19

20 riskanalys i verksamheten medan alla risker med värdet hög i någon position måste åtgärdas. Då har myndigheten också en riskstrategi, att ta alla risker som inte har ett högt värde. Ni bör dock ha en handlingsberedskap för hur ni ska agera om en accepterad risk faller ut. Dessutom kan er riskacceptans förändras över tiden, eller skilja sig åt mellan olika verksamheter inom myndigheten. Förmågan att hantera skador och förluster kan sägas vara ett uttryck för er myndighets risktolerans. Den kan vara större (men inte mindre) än er riskacceptans. 3.6 Uppdatera er riskanalys vid behov En del i arbetet med riskanalys är att uppdatera den så att den förblir aktuell. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Myndigheten ska vid behov uppdatera genomförd riskanalys för att säkerställa att den omfattar aktuella risker När ska riskanalysen uppdateras? Ni ska uppdatera riskanalysen när omständigheterna har förändrats så mycket att de påverkar de tidigare värderade riskerna. Ni behöver bara uppdatera de delar där det finns anledning att pröva den tidigare genomförda riskanalysens giltighet. Om ni gör löpande och systematiska uppföljningar och bedömningar får ni ett underlag för att uppdatera riskanalysen. Internrevisionens förslag till förbättringar kan också motivera en uppdatering. Om er myndighet får en ny uppgift bör ni göra en ny riskanalys för denna verksamhet Uppdateringen kan ofta samordnas med verksamhetsplaneringen När ni fastställer er verksamhetsplan kan det vara lämpligt att också ta ställning till om det finns information som ger anledning att uppdatera eller göra en ny riskanalys. En samordning med verksamhetsplaneringen är ofta rationell, eftersom riskanalysen också kan vara ett stöd när ni planerar vilka åtgärder som behöver genomföras. Men riskanalysen kan inte uteslutande kopplas ihop med verksamhetsplaneringen; när behovet av riskanalys uppstår ska ni uppdatera riskanalysen. 26 Föreskrifter till 3 förordning (2007:603) om intern styrning och kontroll 20 att hantera verksamhetsrisker

21 riskanalys i verksamheten 3.7 Otillbörlig påverkan och brottslighet är också risker Händelser och förhållanden som kan medföra otillbörlig påverkan och brottslighet bör ingå i er riskanalys. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Om ledningen bedömer att verksamheten kan komma att utsättas för otillbörlig påverkan och brottslighet bör myndigheten upprätta rutiner och handlingsplaner för att upptäcka och begränsa konsekvensen av sådana händelser. 27 Otillbörlig påverkan och brottslighet kan hota era möjligheter att fullgöra ansvaret för verksamheten. Om vi ser på detta i en vidare mening kan vi kalla det för oegentligheter som kan beröra områdena effektiv verksamhet som verksamhet enligt gällande rätt och med god hushållning. Oegentligheter innefattar även handlingar som inte är brottsliga, men ändå innebär ett brott mot myndighetens bestämmelser. Jäv kan vara oegentligt och ska hanteras enligt förvaltningslagen 28. Myndighetsutövning och upphandling innebär risker för brottslighet och otillbörlig påverkan. Det kan beröra regler om till exempel mutor och bestickning samt jäv. När en handläggare sysslar med ett enskilt ärende kan hen få syn på omständigheter som leder till misstankar om brott. När ni gör er riskanalys kan ni värdera risken för att ni inte upptäcker sådana omständigheter. Det kan till exempel handla om knapphändiga eller bristfälliga underlag, och uppgifter som ändras, är svävande eller oklara. Riskanalys är dock inte en brottsutredande metod och inte heller ett sätt att avgöra vad som är ett brott. Brottslighet ska istället hanteras enligt brottsbalken 29. Om ni misstänker ett brott, så ska ni lämna ärendet till polisen. 27 Allmänna råd till 3 förordning (2007:603) om intern styrning och kontroll Förvaltningslag (1986:223) 29 brottsbalk (1962:700) att hantera verksamhetsrisker 21

22 22 att hantera verksamhetsrisker

23 kontrollåtgärder för att hantera risker 4 Kontrollåtgärder för att hantera risker 4.1 Vidta nödvändiga åtgärder Om ni vidtar åtgärder för att hantera de risker ni inte accepterar, så minskar ni vanligen sannolikheten för att den oönskade händelsen inträffar. I annat fall minskar ni konsekvensen om den inträffar. Så här står det i förordingen om intern styrning och kontroll: Med ledning av riskanalysen ska åtgärder vidtas som är nödvändiga Vad är en nödvändig åtgärd? Det är ni som avgör vad som är en nödvändig åtgärd i varje fall. Vanligen handlar det om att minska risken genom att förebygga eller förhindra att den oönskade händelsen kan inträffa eller att ett visst förhållande kan bestå. Mer sällan handlar det om att avstå från den verksamhet där risken finns. Myndigheter kan ju normalt sett inte själva välja sin verksamhet 31. Att dela risken med en annan myndighet är ibland möjligt. Läs mer om detta i förordningen om statliga myndigheters riskhantering 32. Det är oftast möjligt att dela risken när den har hög konsekvens och låg sannolikhet. Risker med hög konsekvens för verksamheten kan dock vara rena krissituationer och de ska ni istället hantera enligt förordningen om krisberedskap och höjd beredskap 33. Det är svårare att säga när en risk ska undvikas eller begränsas. Eftersom det inte alltid går att undvika en risk, kan det bästa alternativet vara att begränsa risken både när den har hög konsekvens och när den har hög sannolikhet Välj åtgärd utifrån riskernas sannolikhet och konsekvens När en risk har hög sannolikhet och låg konsekvens kan ni hantera den genom att minska sannolikheten. Även om konsekvensen är låg enligt er värdering, kan det finnas goda skäl att minska risken. Risken kan till exempel handla om en förtroendeskada, och då vägleder inte ett riskvärde beräknat efter konsekvens och sannolikhet. Risker med hög konsekvens och hög sannolikhet kan vid första anblicken vara något ni vill undvika helt och hållet. Men normalt sett kan ni inte avstå från att utföra er verksamhet som regeringen har beslutat på grund av en risk. Om er 30 4 förordning (2007:603) om intern styrning och kontroll 31 Tjänsteexport kan vara en sådan verksamhet som en myndighet kan avstå från förordning (1995:1300) om statliga myndigheters riskhantering. För risker där överenskommelse kan ske om att annan myndighet övertar myndighetens risker se Kammarkollegiets webbplats. 33 Förordning (2006:942) om krisberedskap och höjd beredskap att hantera verksamhetsrisker 23

24 kontrollåtgärder för att hantera risker myndighet genomgår en fördjupad prövning kan ni dock föreslå att verksamheten avvecklas Prioritera utifrån åtgärdernas komplexitet och kostnad Det är inte alltid självklart att de risker som är högst prioriterade ska åtgärdas först. Det finns alltid andra bevekelsegrunder, som hur komplicerad åtgärden är och kostnaden för åtgärden, som påverkar bedömningen. Det kan vara rationellt att åtgärda lägre prioriterade risker tidigt om åtgärderna är okomplicerade och kostar litet, samtidigt som man väntar med en åtgärd för en högre prioriterad risk för att den är mer komplex och kostar mycket Identifiera åtgärderna genom att se på orsakerna till risken Det kan vara svårt att direkt identifiera lämpliga kontrollåtgärder för riskerna. Det blir troligen lättare om ni först tar ställning till vad som orsakar riskerna, för att därefter identifiera åtgärder som kan påverka dessa orsaker. Åtgärderna bör vara av konkret karaktär. Detta främst för att ni ska kunna se ett orsakssamband mellan riskbeskrivningen och kontrollåtgärden när ni i ett senare skede utvärderar om kontrollåtgärden fått avsedd effekt Exempel på åtgärder Åtgärder kan vara kontroller som är förebyggande eller som sker i efterhand. Exempel på förebyggande kontroller är delegering av beslutanderätt, arbetsfördelning, riktlinjer för godkännande och representationspolicy. Exempel på efterhandskontroller är inventeringar, avstämningar och resultatanalys. Att en efterhandskontroll fångat upp en avvikelse innebär att den kontrollen har fungerat. En förebyggande kontroll fungerar tvärtom, avvikelsen ska inte uppkomma. Det kan till exempel vara att ett beslutsunderlag har otillräcklig information i något avseende och behöver kompletteras innan beslut. Eftersom kontrollåtgärderna är en del i myndighetens verksamhet är det respektive chef inom verksamheten som normalt är ansvarig och bör ha befogenhet att mer i detalj utforma åtgärderna. 34 Regeringen beslutar om vilka verksamheter som ska genomgå fördjupad prövning enligt 9 kap. 4 förordning (2000:605) om årsredovisning och budgetunderlag. 24 att hantera verksamhetsrisker

25 kontrollåtgärder för att hantera risker 4.2 Väg kostnaden mot nyttan när ni väljer åtgärd Om en åtgärd är nödvändig eller inte beror också på hur mycket den kostar i förhållande till den nytta den förväntas göra. Så här står det i allmänna råden till förordningen om intern styrning och kontroll: Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden. 35 Ni bör undvika åtgärder med hög kostnad och låg förväntad effekt. Det kan då finnas alternativa åtgärder som sammantaget är att föredra. Det har inte så stor betydelse vilken kalkylmodell ni väljer för att beräkna åtgärdernas lönsamhet. Nyttorna kan ju vara andra än monetära, och då kan de inte användas i en beräkning såvida ni inte ger dem ett siffervärde. Ett exempel på en icke-monetär nytta är medborgarnas förtroende för det allmänna. 35 Allmänna råd till 4 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 25

26 26 att hantera verksamhetsrisker

27 att följa upp och bedöma 5 Att följa upp och bedöma 5.1 Utvärdera systematiskt och regelbundet Ni ska regelbundet följa upp den riskanalys ni har gjort, och de åtgärder ni har valt, för att bedöma om riskanalysen är aktuell och åtgärderna ändamålsenliga. Så här står det i förordningen om intern styrning och kontroll: Den interna styrningen och kontrollen ska systematiskt och regelbundet följas upp och bedömas. 36 När ni följer upp er riskanalys ska ni se om kända omständigheter har blivit föremål för riskanalys. Men uppföljningen är inte en metod för att identifiera händelser och förhållanden. För detta krävs en riskanalys. När ni följer upp åtgärderna räcker det inte att undersöka om åtgärden finns. Ni bör även mäta om åtgärderna fungerar som planerat. Om de inte fungerar bör ni förändra dem. Om de fungerar vet ni att ni fått den effekt på verksamheten som ni eftersträvade Samordna gärna med annan uppföljning Ni kan samordna er uppföljning av den interna styrningen och kontrollen med annan uppföljning, för att minimera arbetsinsatsen. Ni kan till exempel rapportera om resultatet av uppföljningen samtidigt som ni rapporterar om uppföljning av anslagsutnyttjandet, förhållanden utanför myndigheten och annan uppföljning av verksamheten. 5.2 Bedöm om processen fungerar betryggande I er uppföljning ska ni också bedöma om processen för intern styrning och kontroll på er myndighet fungerar betryggande. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Uppföljningen ska omfatta myndighetens process för intern styrning och kontroll för att bedöma om den fungerar på ett betryggande sätt. 37 Processen ska följas upp för att garantera att den fungerar på ett över tiden hållbart sätt. Bedömningen är en försäkran till myndighetsledningen om att processen fungerar tillfredsställande, och det i sin tur ger ledningen en indikation på att den interna styrningen och kontrollen i sin helhet fungerar betryggande förordning (2007:603) om intern styrning och kontroll 37 Föreskrifter till 5 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 27

28 att följa upp och bedöma Er bedömning är också underlag för den bedömning som myndighetsledningen lämnar i årsredovisningen. När ni gör er uppföljning kan ni göra det för en verksamhet i taget, och gå från de identifierade riskerna till de vidtagna åtgärderna. Några viktiga frågor i er bedömning är om den modell ni valt för riskanalys omfattar hela verksamheten och om den fångar de väsentliga riskerna. Ni ska även bedöma om kontrollåtgärderna har genomförts och fungerat på det sätt som ni avsåg. Därefter bör ni ha underlag för att besluta om riskanalysen behöver uppdateras och kontrollåtgärderna revideras. Ni kan även följa upp övriga aspekter på intern styrning och kontroll. Ni kan bland annat utvärdera hur information om verksamheten kommuniceras inom er myndighet. Ni kan också följa upp den interna miljön i den mån detta går att göra på ett ändamålsenligt sätt. 5.3 Väg in iakttagelser från revision i er bedömning Ni ska ta hänsyn till iakttagelser från extern revision och internrevision, när ni gör er bedömning. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Vid bedömningen ska iakttagelser som lämnas vid extern revision och internrevision beaktas. 38 Internrevisionen lämnar förslag till förbättringar och resultatet rapporteras som iakttagelser och rekommendationer. När ni beslutar om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer bidrar det till förbättringar av myndighetens process för intern styrning och kontroll. Internrevisionen ska sedan följa upp om ni har vidtagit nödvändiga åtgärder, och detta väger in i deras bedömning av om ni har säkerställt en betryggande intern styrning och kontroll. Iakttagelser från extern revision kommer från: Riksrevisionens granskning för att bedöma om redovisningen och den underliggande redovisningen är tillförlitliga, om räkenskaperna är rättvisande samt om ledningens förvaltning följer föreskrifter och särskilda beslut. Ekonomistyrningsverkets (revisionsmyndigheten för EU-medel) granskning av system för intern styrning och kontroll förordning (2007:515) om intern styrning och kontroll 28 att hantera verksamhetsrisker

29 dokumentera riskhantering och uppföljning 6 Dokumentera riskhantering och uppföljning 6.1 Dokumentationen ger spårbarhet till riskerna En samlad dokumentation gör det möjligt att följa er process för intern styrning och kontroll. Dokumentationen ska tydligt visa sambandet mellan denna process och bedömningen ni gör i årsredovisningen. Dokumentationen är också ett verktyg för att sprida information om hur processen för intern styrning och kontroll fungerar. Dokumentationen gör det också möjligt att informera och kommunicera om riskerna i verksamheten för att öka medvetenheten och förståelsen för den riskacceptans ni har på er myndighet. 6.2 Risker ska gå att följa från riskanalys till bedömning Dokumentationen ska följa ordningen för riskhanteringen. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Dokumentationen ska upprättas så att det ska gå att följa myndighetens process för intern styrning och kontroll från riskanalys till beslut om kontrollåtgärder och till uppföljning och bedömning. 39 Det formella kravet i regelverket är att dokumentationen ska omfatta processen för intern styrning och kontroll enligt 3 5 i förordningen om intern styrning och kontroll. Dokumentationen av processen för intern styrning och kontroll kan jämföras med den systemdokumentation med beskrivningar, instruktioner med mera som gör det möjligt att förstå hur bokföringssystemet är uppbyggt. När ni dokumenterar riskanalysen, kontrollåtgärderna, uppföljningen och bedömningen kan ni strukturera texten så att den följer organisationen, arbetsfördelningen och delegeringen för respektive verksamhet. När ni beskriver riskanalysen ska ni visa de omständigheter eller händelser och förhållanden som utgör ett hinder i verksamheten, i den meningen att ni inte kan uppfylla era uppgifter, nå era mål eller fullgöra era uppdrag. Ni ska också visa hur risken har värderats (exempelvis produkten av konsekvensen och sannolikheten) eller prioriterats, om risken är accepterad eller ska hanteras, hur ni har utformat de kontrollåtgärder som risken föranleder, vem som ansvarar för genomförandet och när kontrollåtgärden ska vara införd. Slutligen ska ni redovisa resultatet av er uppföljning och bedömning av riskanalys och åtgärder. 39 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll att hantera verksamhetsrisker 29

30 dokumentera riskhantering och uppföljning 6.3 Dokumentationen är underlag för bedömning Ledningens bedömning sker med stöd av underlag. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Dokumentationen ska ligga till grund för ledningens bedömning av den interna styrningen och kontrollen. 40 Denna bedömning ska göras i anslutning till underskriften i årsredovisningen. Det är framför allt dokumentationen om den löpande och systematiska uppföljningen och bedömningen som ska ligga till grund för er bedömning. Ni bör i dokumentationen tydligt beskriva vad som hänt (eller inte hänt) med riskerna efter införda åtgärder. Har risken minskat till en accepterad nivå? Har åtgärderna haft avsedd effekt? Om det av någon anledning inte gått att införa några åtgärder bör ni beskriva också detta. Ni bör också dokumentera vad ni kommit fram till när ni följt upp åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Detsamma gäller för åtgärder med anledning av anmärkningar och reservationer från externrevision. 6.4 Beskriv bristerna för myndighetsledningens bedömning Dokumentationen ska även beskriva brister, så att de kan ligga till grund för er bedömning och regeringens uppföljning och prövning av verksamheten. Så här står det i föreskrifterna till förordningen om intern styrning och kontroll: Om det föreligger brister i den interna styrningen och kontroll, ska dessa brister beskrivas i dokumentationen. 41 Gör tydligt vilket av momenten riskanalys, kontrollåtgärder eller uppföljning som bristen avser. Bristen kan vara att ett visst moment inte är genomfört till fullo, eller att det inte omfattar hela verksamheten Vad räknas som en brist? Här är en kortfattad förklaring till vad som räknas som brister. Ni kan läsa mer om brister i handledningen Ansvaret för intern styrning och kontroll 42. En risk blir till en brist om den inte värderas eller er myndighet inte väljer om risken ska accepteras eller hanteras. En beslutad åtgärd blir till en brist om den inte införs som planerat. Uppföljningen blir till en brist om den inte genomförs. 40 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll 41 Föreskrifter till 6 förordning (2007:603) om intern styrning och kontroll 42 Ansvaret för intern styrning och kontroll 2012:46 30 att hantera verksamhetsrisker