Riktlinjer för riskhantering vid Linköpings universitet

Relevanta dokument
Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Regler och riktlinjer för intern styrning och kontroll vid KI

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Revisionsrapport Karolinska Institutet Stockholm

Process för intern styrning och kontroll

Intern styrning och kontroll

ANVISNINGAR OCH MALL FÖR RISKANALYS 2016

Intern styrning och kontroll

RISKANALYS Humanistiska fakulteten. Dnr V 2016/705. DATUM: Förslag till beslut BESLUTAD AV: Humanistiska fakultetsstyrelsen

RISKANALYS Humanistiska fakulteten. Dnr V 2017/701 DATUM: BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Anna Nordling

Tillväxtverkets riktlinjer för intern styrning och kontroll

RISKANALYS JMG, Institutionen för journalistik, medier och kommunikation, inkl SOMinstitutet DNR V 2015/965 DATUM:

RISKANALYS FÖR Humanistiska fakulteten. DATUM: Förslag BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Mats Andrén

Instruktion för Internrevision vid Linköpings universitet

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Riktlinjer för intern styrning och kontroll vid SLU

Revisionsplan för Linnéuniversitetet 2015

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Intern styrning och kontroll

LOWLINKÖPINGS UNIVERSITET

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Riktlinjer för intern kontroll

Riktlinjer för arbetet med intern kontroll

Riktlinjer för intern styrning och kontroll vid SLU

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Intern styrning och kontroll

Lokala regler och anvisningar för intern kontroll

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Linnéuniversitetets kvalitetspolicy

Tid: Onsdag den 5 december 2018 kl Tidlösa, Campus US. Kristina Alsér allmänintressen, p Jonas Bjelfvenstam allmänintressen, p 65-74

Arbetet med intern styrning och kontroll

Idrottsnämndens system för internkontroll

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Revisionsplan juli 2014 t.o.m. februari 2015

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Tid: Onsdagen den 6 december 2017 kl Universitetsklubben, Campus Valla

Revisionsplan för 2018

Intern styrning och kontroll belastning eller tillgång? Ett försök till utvecklingsarbete inom Linnéuniversitetet

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Riktlinje för riskanalys

Internrevisionens revisionsplan 2008

Inför Karolinska Institutets fördjupade riskanalyser 2012

Tillämpning av förordningen om intern styrning och kontroll

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Styr- och kontrollprocessen vid MAU

Riktlinje för riskanalys och intern kontroll

Riktlinjer för intern kontroll

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Internkontrollplan

Normerande beslut: Roller, ansvar och befogenheter inom miljöledningssystemet

Intern styrning & kontroll samt internrevision i staten

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Rutin för hantering av styrande dokument vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Stadsledningskontorets system för intern kontroll

Riktlinjer för intern kontroll

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

f) O l a /f Linköpings universitet

Utdrag ur universitetsstyrelsens protokoll 14 december Regler för Internrevisionen

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Revisionsplan för Linnéuniversitetet 2016

Rutiner för ekonomisk uppföljning vid Stockholms universitet

Handledning Samarbete om risker i verksamheten

Internrevisionsrapport 2018

REVISIONSPLAN FÖR ÅR 2012

Diskussion om vilka punkter som är viktigast att ta upp i ett svar. Ärendet tas upp som en beslutspunkt på nästa möte.

Prefekt Prefekt beslutar om miljöledningssystemet på institutionsnivå. Det innebär att prefekten/motsvarande 1 ansvarar för att:

Granskning intern kontroll

Processen för verksamhetsplanering och uppföljning

Strategisk riskanalys (intern styrning och kontroll) vid SLU 2014

Riktlinjer för internkontroll i Kalix kommun

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Informationssäkerhetspolicy för Umeå universitet

ROLLER, ANSVAR OCH BEFOGENHETER INOM MILJÖLEDNINGSSYSTEMET

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Instruktion för internrevisionen vid Malmö högskola

Revisionsrapport Intern styrning och kontroll

Policy för internkontroll för Stockholms läns landsting och bolag

Revisionsplan för 2016

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Reglemente för intern kontroll. Krokoms kommun

Anvisningar för uppföljning av verksamhetsåret 2016

Riktlinje Riskhantering (Patientsäkerhet)

Riktlinje för riskhantering

Christina Wannehag Dnr B5 30/07 Lena Danielsson FÖRSTUDIE CENTRUMBILDNINGAR

Slutrapport Analysfunktion

Revisionsberättelse för universitetet avseende räkenskapsåret 2015

Intern kontroll - Stadsbacken. Bilaga 1, Maud Viklander Controller, koncernstaben

Internrevisionsförordning (2006:1228)

Nya regler för redovisning av intern styrning och kontroll i årsredovisningen. Seminarium med myndigheter 4 december 2018

Reglemente för internkontroll

Policy för säkerhetsarbetet i. Södertälje kommun

Riktlinje för Riskanalys och Intern kontroll

Revisionsplan för 2013

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Riktlinjer för internrevisionen vid Sida

Instruktion för Nationellt kunskapscentrum för våld och andra övergrepp mot barn - Barnafrid

Intern styrning och kontroll i Riksbanken 2013

Transkript:

2012-12-07 PM FISK Dnr 2012-01029 USP 2012-6.9 Riktlinjer för riskhantering vid Linköpings universitet Utgångspunkter Ett led i arbetet med intern styrning och kontroll (FISK) är att identifiera de risker som gör att Linköpings universitet riskerar att inte nå sina långsiktiga mål och att prioritera de identifierade riskerna. FISK-arbetet ska vara en integrerad del av universitetets verksamhetsplaneringsprocess och det kontinuerliga utvecklingsarbetet. Utgångspunkten i arbetet är universitetets formulerade vision, strategier och mål. Dessa primära utgångspunkter ska kunna kompletteras med lagstadgade och kritiska verksamhetsområden initierade av såväl universitetsledning som ledning inom respektive enhet. Riksdag och regering har beslutat om ett särskilt regelverk för intern styrning och kontroll. Följande bestämmelser finns: Myndighetsförordningen (SFS 2007:515) Förordningen om intern styrning och kontroll (SFS 2007:603) Internrevisionsförordningen (SFS 2006:1228) Förordningen om årsredovisning och budgetunderlag (SFS 2000:605) Till dessa förordningar finns det av Ekonomistyrningsverket (ESV) framtagna och för universitetet bindande tillämpningsföreskrifter. Nedanstående riktlinjer utgår från ESV:s föreskrifter och den beskrivning ESV tagit fram, som innehåller de olika momenten i processen för intern styrning och kontroll. Moment i processen för intern styrning och kontroll Förutsättningar förberedelser Riskanalys Kontrollåtgärder Uppföljning Dokumentation Bedömning Identifiera risker Värdera riskerna Besluta om hantering Figur 1 Moment i processen för intern styrning och kontroll

2(6) 1. Förutsättningar I regelverket fastslås att det inom myndigheten ska finna en god kontrollmiljö med för medarbetarna välkända dokument som är styrande för verksamhetens inriktning och den myndighetsutövning som sker. FISK-arbetet ska vara integrerat i myndighetens totala styrning, uppföljning och rapportering och utgå från de lagar, förordningar och andra föreskrifter (regleringsbrev, regeringsbeslut etc.) som styr universitetets verksamhet. Internt fastställer universitetsledning och universitetsstyrelse mål för universitetets verksamhet. Däribland finns rektors strategiplan, styrelsens beslut i anledning av rapporter från extern- och internrevision, riktlinjer för organisationen (inklusive delegationsordning), långsiktiga riktlinjer för budgetarbetet, strategier för utbildning respektive forskning. Det är viktigt att riskanalysen utnyttjar befintliga löpande rutiner, men där så behövs kan dessa rutiner behöva modifieras eller nya tillkomma. Riskarbetet inom universitetets delas in i tio områden med en ansvarig tjänsteman för varje område: 1. Lednings- och administrativa processer 2. Utbildning och utbildningsfinansiering 3. Forskning och forskningsfinansiering 4. Kompetensförsörjning 5. Hållbara finanser 6. Kvalitet i grundutbildning och forskarutbildning 7. Infrastruktur och informationssäkerhet 8. Miljö yttre säkerhet 9. Konkurrens och synlighet 10. Innovation och samverkan Dessa utgör tillsammans med universitetsdirektören och av denne utpekade tjänstemän administrative universitetets centrala riskanalysgrupp. Se i övrigt bilaga 1. Rapportering av riskanalys Styrelse Universitetsledning Riskanalysgrupp Institutionerna FFK HUK KFU TFK UF UB etc

3(6) 2. Riskanalys Föregående års riskanalyser liksom universitetsstyrelsens bedömningar ingår som ett underlag i april månads verksamhetsdialog. Dessa dialoger är utgångspunkt för höstens mera detaljerade analys av riskerna i verksamheten. I sept-okt utarbetar enheterna sina riskanalyser. Den centrala riskanalysgruppen sammanställer materialet och gör en egen bedömning innan riskanalysen presenteras för universitetetstyrelsen som tar ställning till riskanalyserna vid sammanträdet i mitten av februari. Studenterna (studentkårerna) erbjuds en möjlighet att fristående genomföra en riskanalys som integreras i denna process. 2.1 Identifiera risker Det första steget i riskanalysen är att identifiera vilka händelser som utgör ett hot mot att universitetet ska nå önskat resultat. En händelse utgör ett hot när den medför: att verksamheten inte genomförs alls eller inte genomförs effektivt att verksamheten inte genomförs enligt gällande rätt att redovisningen av verksamheten inte blir rättvisande eller tillförlitlig att verksamheten inte genomförs med god hushållning Riskerna ska identifieras på olika nivåer inom universitetet och enhetliga metoder användas i arbetet. Risksamordnarna samordnar arbetet med att identifiera riskerna inom sitt riskområde. Dessa risker remitteras till enheterna och fakulteterna. Det ankommer på enheterna att bedöma riskernas relevans för den egna enheten/området. Enheterna kan också komplettera risklistan med ytterligare risker, som man bedömer vara relevanta för den egna verksamheten, liksom att föreslå borttagande av risker som inte påverkar verksamheten särskilt mycket. Institutionsledningarna, ledningen för universitetsbiblioteket och universitetsförvaltningen samt fakulteterna ska identifiera risker inom sin verksamhet såväl utifrån ett enhetsperspektiv som ett universitetsperspektiv. Materialet ska bygga på iakttagelser, eventuella mätningar av processers effektivitet eller annan dokumentation samt på omvärldsanalyser. 2.2 Värdera riskerna Utgångpunkten för värderingarna är att varje enhet gör en kartläggning och värdering av de väsentligaste riskerna, dels för den egna enheten, dels för universitetet i dess helhet. Förutom att ta ställning till tidigare identifierade risker gäller det att identifiera tillkommande risker, eftersom förändringar i verksamheten också kan förändra förutsättningarna för riskarbetet. I samband med verksamhetsdialogerna diskuteras enheternas värderingar av riskerna. När riskerna är identifierade och/eller uppdaterade görs en riskvärdering i två steg. Först värderas sannolikheten för att en oönskad händelse inträffar. Därefter bedöms effekten på myndighetens verksamhet om händelsen inträffar. Värderingen utgör sedan ett underlag för beslut om hur en risk ska hanteras. Värderingen av samtliga risker inom ett riskområde utgör också underlag för en sammanvägd bedömning av riskområdets risknivå. Risksamordnarna gör sedan områdesvis en värdering av riskerna inom sitt område baserat på enheternas värdering och tar fram ett underlag för värdering av respektive riskområde. Riskvärderingen görs i enlighet ned bilaga 2. (Blankett för beskrivande av risker, respektive riskvärdering samt vilka åtgärder som föreslås för risken.)

4(6) Sannolikhet 1=Osannolik Praktiskt taget obefintlig risk 2=Mindre sannolikhet Inträffar sannolikt inte under normala omständigheter, i vart fall inte frekvent. 3=Möjlig Kan mycket väl inträffa, men troligtvis inte särskilt frekvent. 4=Sannolik Bedöms komma att inträffa, och/eller inträffar ofta. Effekt 1=Försumbar Möjlig påverkan på verksamheten 2=Måttlig Effekten är inte försumbar, men kan hanteras i det löpande arbetet. 3=Betydande Allvarliga störningar i verksamheten som kan påverka universitetets anseende. 4=Allvarlig/katastrofal Omfattande konsekvenser för verksamheten. Den centrala riskanalysgruppen tar sedan i ett tredje steg ställning till hur riskområdena ska bedömas inför rapportering till universitetsledning och universitetsstyrelse. I detta värderingsarbete används begreppen, extremt låg, mycket låg, låg, medium, hög, mycket hög och extremt hög. Värderingen utgår ifrån de tidigare nämnda riskvärderingarna (sannolikhet, effekt) men ytterligare bedömningskriterier kan tillkomma. Det kan exempelvis vara så att en risk med ganska låg värdering av olika skäl kan bedömas vara viktig för universitetet att komma till rätta med oaktat att andra risker och riskområden siffermässigt värderas högre. RISKBEDÖMNING KONSEKVENS Allvarlig/katastrofal 4 Medium Hög Mycket hög Extremt hög Betydande 3 Låg Medium Hög Mycket hög Måttlig 2 Mycket låg Låg risk Medium Hög Försumbar 1 Extremt låg Mycket låg Låg Medium 1 2 3 4 Osannolik Denna riskbedömning förs in i en mall för riskanalys (bilaga 3). Mindre sannolik Möjlig Sannolik SANNOLIKHET 2.3 Besluta om hantering Efter att enheterna och risksamordnarna gjort sina bedömningar fattar styrelsen på förslag från rektor beslut om hur riskerna (riskområdena) ska hanteras. Acceptera risk innebär att myndigheten inte vidtar några särskilda åtgärder. Påverkan på verksamheten är ringa eller kostnaderna för åtgärderna alltför höga i förhållande till risken. Det kan också vara så att utanförliggande faktorer helt påverkar risken och att de åtgärder universitetet kan vidta får mycket begränsad verkan. Begränsa risk innebär att vidta sådana åtgärder som minskar sannolikheten och/eller effekten av att en händelse inträffar.

5(6) Eliminera risk innebär att de händelser som är kopplade till risken undviks eller hanteras på så sätt att konsekvenserna undanröjs. Vid sidan av dessa tre huvudsakliga strategier för riskhanteringen finns också möjlighet att dela riskbedömningen med andra åtgärder av liknande typ som redan finns utvecklad inom myndigheten. Detta kan t.ex. gälla riskvärderingar i samband med tecknande av försäkringar, i samband med riskvärderingar av olika säkerhetsaspekter (kemikaliehantering, yttre säkerhet etc), miljöanalyser och inte minst arbetsmiljöfrågor. Dessutom görs en värdering av olika typer av risker i samband med att extern- och internrevision granskar olika områden och rekommenderar olika typer åtgärder. Även dessa bedömningar bör vägas in i arbetet med den interna styrningen och kontrollen. 3. Kontrollåtgärder/förbättringsåtgärder Baserat på beslut om hantering fattade på såväl enhetsnivå som central nivå utformas förbättringsåtgärder, i regelverket för FISKen benämnt kontrollåtgärder. Dessa ska göras i relation till de identifierade och värderade riskerna. Åtgärderna har ofta karaktären av ett fortsatt systematiskt kvalitetsarbete. Om det rör sig om mera genomgripande förbättringsåtgärder, är det lämpligt att detta sker i projektform. För de väsentligaste riskerna ska utformas ett åtgärdsprogram för hur man ska komma tillrätta med risken. Om riskerna endast berör den egna verksamheten ska följande preciseras: Risk, orsak, värdering, förbättringsåtgärd, ansvarig och slutdatum. Riskerna på övergripande universitetsnivå lämnas till den centrala riskanalysgruppen för prioritering och bedömning utifrån den samlade riskbedömningen samt kostnads- och nyttoperspektiv. Uppgifterna ska dokumenteras i mallen för riskanalys. 4. Uppföljning Uppföljning av vidtagna åtgärder ska ske löpande, men även bestå av punktinsatser. Observera att många risker redan följs upp i den löpande verksamheten och att särskilda insatser för risken inte alltid behövs. Det är dock viktigt att i riskuppföljningen även i den löpande verksamheten dokumenteras. Uppföljningen ska dokumenteras i mall för riskanalys, enligt bilaga 3. Aktuell status förs in med följande alternativ: Åtgärd genomförd Enligt tidsschema, men ännu ej färdig Ännu ej påbörjad Löpande (ingår i ordinarie verksamhetschema) En kommentar till statusangivelsen bör bifogas. 5. Dokumentation Enligt FISK-förordningen ska myndigheten redovisa sin modell för hur man hanterar processen intern styrning och kontroll. Universitetets arbete med riskanalyser finns beskrivet i detta dokument samt i ytterligare dokument som ingår i den årliga riskhanteringen vid universitetet. Dokumentationen ska samlas under ett diarienummer, som upprättas årligen och där all dokumentation som leder fram till universitetsstyrelsens årliga beslut (i samband med

6(6) styrelsebeslutet om årsredovisning i februari) skall ingå. Därvid är det viktigt att skilja på sådan dokumentation som är arbetsunderlag och sådan dokumentation som är allmän och offentlig. Samtliga enheter som arbetar med riskarbetet ska använda detta gemensamma diarienummer. Det åligger risksamordnarna att inom respektive riskområde se till att dokumentationen finns tillgänglig och att den uppdateras löpande. 6. Bedömning I samband med att årsredovisningen upprättas ska rektor till styrelsen göra en bedömning om den interna styrningen och kontrollen fungerar betryggande. Rektor ansvarar för att det finns underlag för att göra bedömningen och att uppföljning sker systematiskt och regelbundet. Inför universitetsstyrelsen presenterar rektor dels en uppföljning av föregående års riskanalys, dels en universitetsövergripande riskanalys gällande innevarande år. 7. Tidplan för arbetet Riskanalysen ska vara en integrerad del i universitetets arbete med verksamhetsutveckling och knytas till verksamhetsplaneringen. En årlig tidplan bör följas enligt nedan när den årliga, mer detaljerade verksamhetsplanen fastställs. Sept - okt Nov dec Feb April Juni Identifiera risker på enhetsnivå (institution, fakultetsstyrelse, universitetsbibliotek och universitetsförvaltning) Sammanfattande analys av enheternas riskanalyser görs av den centrala riskanalysgruppen (risksamordnarna). Universitetsstyrelsens uttalande och slutgiltiga bedömning sker på februarimötet i samband med att årsredovisningen beslutas. Det åligger riskanalysgruppen att utarbeta underlag till styrelsen och utvärdera det gångna årets arbete med de olika riskerna. Uppföljning av förbättringsåtgärder i samband med verksamhetsdialogerna. Redovisning till styrelsen om hur det fortsatta arbetet med den interna och styrningen och kontrollen ska läggas upp.

BILAGA 1 FISK-PM 2012-12-07 Universitetets centrala riskanalysgrupp ansvariga för riskområdena Riskarbetet inom universitetets delas in i tio områden med en ansvarig tjänsteman för varje område: 1. Lednings- och administrativa processer Göran Hessling 2. Utbildning och utbildningsfinansiering Lars Rydberg 3. Forskning och forskningsfinansiering Per Dannetun 4. Kompetensförsörjning Randi Hellgren 5. Hållbara finanser Lena Törnborg /Agneta Frode Blomberg 6. Kvalitet i grundutbildning och forskarutbildning Charlotta Einarsson 7. Infrastruktur och informationssäkerhet Joakim Nejdeby 8. Miljö yttre säkerhet Helena Tegehed Dahlin 9. Konkurrens och synlighet Mariethe Larsson 10. Innovation och samverkan Göran Felldin Dessa utgör tillsammans med universitetsdirektören Kent Waltersson, tf administrative direktören Ann Holmlid och controllern universitetets centrala riskanalysgrupp.

Mall för dokumentation av riskanalys BILAGA 2 S= Sannolikhet Acceptera Klart FISK-PM E = Effekt Begränsa Påbörjat 2012-12-07 Riskanalys Dela risk Ej påbörjat Eliminera Löpande Risk Risk Beskrivning och orsak S E Riskbedömning Hantering Förbättringsåtgärd/ kontrollåtgärd Ansvarig (person, funktion eller organisation) Sluttid Status Kommentar/ Återstående risk 1 Risk för oklart ansvar och att olika nivåer inte känner till vad de andra. Risk att LiU inte bygger adekvata roller i organisationen. Dubbelarbete och ineffektivitet. Beslut och information hamnar inte på rätt nivå. Svårare att ställa om verksam-heten vid behov. Otydlighet vem som representerar LiU i olika sammanhang. 2 4 8 Delegationsordning Styrelse 2012-mm-dd Rektors delegation Rektor 2012-mm-dd Delegation på fakultetsnivå Fakultetsstyrelse/dekan 2012-mm-dd Delegation på institutionsnivå Institutionsstyrelse/prefekt 2012-mm-dd

BILAGA 3 FISK-PM Mall för bedömning och uppföljning av föregående års risknivå 2012-12-07 Risk Risk Bedömning per jan 2012* 1 Kommentar per jan 2013 Indikator** Bedömning efter utvärdering i jan 2013* 2 3 4 5 6 7 8 * Mycket låg, låg, medel, hög eller mycket hög ** +1 indikerar positiv utveckling, 0 indikerar oförändrad risknivå och -1 indikerar en negativ utveckling av risknivån