Sida 1 av 10 Guide för arbete med Risk- och väsentlighetsanalys 1. Den interna miljön 6. Kontrollaktiviteter 7. Information & kommunikation 2. Formulerandet av mål 5. Riskåtgärder 8. Övervakning, uppföljning 3. Identifiering av händelser 4. Riskbedömning Utarbetad av: Katarina Kjerfve, Studiefrämjandet Lotta Gullers Henry, Folkuniversitetet Peter Hansson, Medborgarskolan Kent Bengtsson, Vuxenskolan Förankrad i Folkbildningsförbundets kvalitetsgrupp 2012-04-19
Sida 2 av 10 Guide för arbete med Risk- och väsentlighetsanalys Innehåll 1 Syfte med denna guide... 2 2 Bakgrund... 3 2.1 Riksrevisionens rapport, statens stöd till studieförbunden... 3 2.2 Utbildningsdepartementets regleringsbrev till FBR... 3 2.3 Folkbildningsrådets förväntningar på studieförbunden... 3 3 Vad avses med intern styrning & kontroll?... 4 3.1 COSO - ERM:s 8 komponenter... 4 4 Definitioner... 5 4.1 Organisationsövergripande riskhantering... 5 4.2 Risk... 6 4.3 Riskanalys... 6 4.4 Väsentlighet... 6 5 Övergripande process för Risk- och väsentlighetsanalys... 6 6 Verkstygslåda... 6 6.1 SWOT... 6 6.1.1 Så här går det till... 7 6.2 FMEA (Fel-effekt-analys, Failure Mode and Effect Analysis)... 8 6.2.1 Så här går det till... 8 6.3 5 Varför... 10 6.3.1 Så här går det till... 10 7 Framgångsfaktorer... 10 1 Syfte med denna guide Syftet med denna guide är att underlätta för studieförbunden i arbetet med systematiska risk- och väsentlighetsanalyser. Guiden föreslår och beskriver konkreta arbetssätt och verktyg.
Sida 3 av 10 2 Bakgrund Kraven på svensk statsförvaltning håller på att anpassas till de krav som gäller för delar av det privata näringslivet, bl.a. den svenska koden för bolagsstyrning och flera statsförvaltningar i Europa. Genom den nya förordningen om intern styrning och kontroll, 2007:603, (FISK), stärks regeringens styrning av statliga myndigheter. Kravet att myndigheterna ska fullgöra sitt förvaltningsansvar förtydligas, dvs. bedriver en effektiv verksamhet, följer lagar, förordningar och andra regler samt lämnar en tillförlitlig redovisning och rättvisande rapportering av sin verksamhet. Det är därför viktigt för regeringen att myndigheternas interna styrning och kontroll (i fortsättningen ISK) fungerar väl och att, ur ett samlat statligt perspektiv, förvissa sig om att så är fallet. 2.1 Riksrevisionens rapport, statens stöd till studieförbunden I RIR 2011:12 (sid 20) under rubriken kontroll står att läsa: Riksrevisionens bedömningsgrund: Enligt 4 myndighetsförordningen (2007:515) ska myndighetens ledning säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Folkbildningsrådet är ingen statlig myndighet men har myndighetsuppgifter som gäller statsbidraget för folkbildning. Därmed blir det enligt Riksrevisionen rimligt att i detta avseende ställa motsvarande krav på Folkbildningsrådet. Vad som ska menas med god intern styrning och kontroll är inte närmare beskrivet i förordningen. I denna granskning har Riksrevisionen haft särskilt fokus på förekomsten av riskanalyser och extern granskning. Riskanalys är en komponent i den s.k. COSO-modellen som är ett internationellt vedertaget sätt att beskriva intern styrning och kontroll. En riskanalys innebär att ledningen ska vara medveten om och själv ha bedömt och analyserat risker i verksamheten. 2.2 Utbildningsdepartementets regleringsbrev till FBR I regleringsbrevet till Folkbildningsrådet 2011-12-15 ställs krav kring risk- och väsentlighetsanalys: Folkbildningsrådet ska kartlägga och redovisa vilka former av risk- och väsentlighetsanalys som har använts av folkhögskolor och studieförbund vid deras kontroll av användningen av statsbidraget. 2.3 Folkbildningsrådets förväntningar på studieförbunden Studieförbunden förväntas implementera rutiner för systematiska risk- och väsentlighetsanalyser. Att systematiskt arbeta med risk- och väsentlighetsanalys bidrar till att hjälpa respektive studieförbund att uppnå sina mål och tillfredsställa sina kunders och intressenters förväntningar.
Sida 4 av 10 3 Vad avses med intern styrning & kontroll? Det ramverk som används i Sverige inom såväl offentlig som privat verksamhet och som legat till grund för finansdepartementets arbete med lagstiftning är det som också är internationellt mest accepterat inom området. Den s.k. COSO-modellen utvecklades av the Committee of Sponsoring Organization of the Treadway Commission (COSO) i USA och publicerades i sin första version i början av 1990-talet. I sammanfattning kan modellen beskrivas så här: Intern styrning och kontroll är definierad som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: Effektivitet och produktivitet i verksamheten. Tillförlitlig finansiell rapportering. Efterlevnad av tillämpliga lagar och regler. COSO har utvecklats till en andra generation, den s.k. COSO ERM (Enterprise Risk Management) som kom 2004. Den bygger på de fem komponenter som fanns tidigare men har lagt ytterligare tonvikt på de tre tillkommande komponenterna målformulering, händelseidentifiering och riskåtgärder. COSO ERM vidareutvecklar alltså begreppet risk i modellen och inför målformulering som utgångspunkt för resonemangen om risk. I den svenska översättningen av COSO ERM anges att formulerandet av mål är en förutsättning för intern styrning och kontroll. 3.1 COSO - ERM:s 8 komponenter Organisationsövergripande riskhantering enligt COSO modellen består av åtta sammankopplade komponenter. De utgår från det sätt som en ledning driver en organisation/företag och är integrerade i ledningsprocessen. Dessa komponenter är: Den interna miljön: Den interna miljön innefattar det arbetsklimat som finns i organisationen och som bestämmer utgångspunkten för hur organisationens medarbetare ser på och förhåller sig till risker. Den inkluderar ledningens riskhanteringsfilosofi och riskbenägenhet, integritet och etiska värderingar, och den miljö i vilken de verkar. Formulerandet av mål: Mål måste finnas innan ledningen kan identifiera potentiella händelser som påverkar att målen uppnås. Organisationsövergripande riskhantering säkerställer att ledningen har etablerat en process för att sätta mål och att de valda målen stödjer och knyter an till organisationens syften och motsvarar organisationens riskbenägenhet.
Sida 5 av 10 Identifiering av händelser: Interna och externa händelser som kan påverka en organisations möjligheter att nå sina mål måste identifieras och preciseras som risker och möjligheter. Möjligheterna kanaliseras tillbaka till ledningens processer för att utforma strategier och mål. Riskbedömning: Risker analyseras, med utgångspunkt från deras sannolikhet och konsekvenser, för att få ett underlag för hur de ska hanteras. Risker bedöms både före och efter hantering, dvs. både som ursprungliga och återstående risker. Riskåtgärder: Ledningen väljer vilka åtgärder som ska vidtas dvs. undvika, acceptera, reducera risken och anpassar åtgärderna så att de stämmer överens med organisationens risktolerans och riskbenägenhet. Kontrollaktiviteter: Riktlinjer och rutiner fastställs och genomförs för att säkerställa att riskåtgärderna genomförs på ett effektivt sätt Information och kommunikation: Relevant information identifieras, samlas in och förmedlas i en form och inom en tidsram som gör det möjligt för de anställda att utföra sina åtaganden. En effektiv kommunikation kan även uppstå i en vidare mening genom att den flödar ner i, tvärs över och uppåt i organisationen. Övervakning, inklusive uppföljning och utvärdering: Hela den företagsövergripande riskhanteringen övervakas och modifieras när det behövs. Övervakning sker genom löpande ledningsaktiviteter inklusive uppföljningar, separata utvärderingar, eller bådadera. Organisationsövergripande riskhantering är inte i strikt mening en seriell process där en komponent endast påverkar den nästkommande. Den är en process med verkan i flera riktningar som upprepas, och där praktiskt taget varje komponent kan påverka och påverkar de andra. 4 Definitioner 4.1 Organisationsövergripande riskhantering Organisationsövergripande riskhantering är en process som genomförs av en organisations styrelse, ledning och annan personal, och som genomförs i ett strategiskt sammanhang och över hela organisationen, utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskbenägenhet och ge rimlig försäkran om att organisationens mål uppnås.
Sida 6 av 10 4.2 Risk Kombinationen av sannolikheten för att en viss oönskad händelse inträffar, och konsekvensen därav (Risk = Sannolikhet x Konsekvens). 4.3 Riskanalys Metod för att identifiera risker. 4.4 Väsentlighet Det är inte realistiskt att använda riskhantering på samtliga processer och aktiviteter inom en organisation. Processer som bör omfattas av riskhanteringen ska vara av väsentlig vikt för studieförbundet. T.ex: Tillfredsställa kunder och intressenter Verksamhetsplanering- och uppföljning (måluppfyllnad) Effektivitet inom väsentliga processer Ekonomisk redovisning Att lagar och regler följs Övriga processer som ledningen identifierar som väsentliga Respektive punkt i exemplen ovan måste brytas ner till mer detaljerade nivåer. Generellt rekommenderas att processer som ska belysas med risk- och väsentlighetsanalys ska vara dokumenterade för att angrepssättet ska vara effektivt. 5 Övergripande process för Risk- och väsentlighetsanalys För framgångsrikt arbete krävs en dokumenterad process som styr angreppssättet och omfattar nedanstående punkter. Väsentlighetsanalys. o Identifiera de processer som är mest väsentliga för studieförbundet och som ska omfattas av riskanalys (se punktlista under 4.4 ovan). Identifiera ansvariga för respektive process. Genomför analys, reducering och uppföljning av risker med hjälp av lämpligt verktyg. 6 Verkstygslåda 6.1 SWOT SWOT står för Styrkor (Strenghts) Svagheter (Weaknesses) Möjligheter (Opportunities) Hot (Threats)
Sida 7 av 10 Vi vill tänka strategiskt, göra handlingsplaner, satsa pengar på rätt saker. En bra plattform att stå på är SWOT-analysen där vi öppet och ärligt lägger upp våra styrkor och svagheter (inom organisationen!), hoten och möjligheterna (utsidan!). Det är detta analysen går ut på att vi verkligen använder oss av våra styrkor, att vi så långt det går reducerar våra svagheter eller kanske vänder dem till styrkor, att vi tar till vara på de möjligheter som finns och att vi hanterar hoten så bra som möjligt. SWOT är ett bra verktyg vid verksamhetsplaneringen. Tänk gärna på ordet svagheter som förbättringsområden. 6.1.1 Så här går det till Steg ett Dela av ett blädderblock eller en whiteboard i fyra delar. Gruppen brainstormar fram styrkorna, svagheterna, möjligheterna och hoten. Arbeta med ett område i taget och gå flera varv i gruppen. Anteckna det som sägs i form av nyckelord men utan värdering. Ibland kan ett hot också vara en möjlighet skriv då samma ord i båda rutorna. Avbryt är det börjar gå alltför trögt. Steg två Blädderblocket är nu fyllt med korta påståenden. Kontrollera att alla förstår vad som menas och förtydliga vid behov. Steg tre Prioritera. Alla deltagare får sätta fem eller tio streck var vid de påståenden var och en anser vara viktigast. De högst prioriterade områdena landar sedan i en renskriven SWOT-analys. Steg fyra Besluta hur ni går vidare med vart och ett av de prioriterade områdena. Använd gärna verktyget 5 varför, för att identifiera grundorsaker och åtgärder. Vem gör vad, och när?
Sida 8 av 10 6.2 FMEA (Fel-effekt-analys, Failure Mode and Effect Analysis) Verktyget omfattar riskanalys, prioritering av risker, riskreducering och -uppföljning. 6.2.1 Så här går det till Riskanalys Identifiera möjliga händelser Identifiera konsekvenser Identifiera sannolikhet Utvärdering av risker Utvärdera/prioritera riskerna Minimera/Hantera risker Bedöm hur riskerna kan hanteras Implementera åtgärder för att minimera risker Risk/benefit-analys Nya risker som uppstår pga åtgärder vi inför Utvärdera om kvarvarande risker är acceptabla Riskhanteringsrapport Uppföljning Ny information som tillkommer Använd separat Excelblad som stöd.
Sida 9 av 10 6.2.1.1 Riskanalys - Excelbladets uppbyggnad Identifiera möjliga oönskade händelser. Identifiera konsekvens. Identifiera sannolikhet. Beräkna risk/prioritering. 6.2.1.2 Utvärdera och prioritera riskerna Sortera Excelbladet med avseende på risk/prioritering. 6.2.1.3 Minimera/Hantera risker För alla risker med värde 3 eller högre ska en eller flera åtgärder identifieras och genomföras för att minimera risken. Vilken åtgärdsgräns förbundet sätter beror av organisationens benägenhet att ta risker. Utvärdera om kvarvarande risker är acceptabla (Risk/benefit). 6.2.1.4 Skriv riskhanteringsrapport Rapporten baseras på riskanalysen/excelbladet. 6.2.1.5 Uppföljning Rapporten ska vara ett levande dokument som utvärderas och uppdateras regelbundet och allt eftersom ny information tillkommer.
Sida 10 av 10 6.3 5 Varför 5 Varför är ett effektivt komplement till FMEA och SWOT för att identifiera grundorsaken till att en oönskad händelse inträffar. 6.3.1 Så här går det till Vi vill identifiera grundorsaken* till en oönskad händelse. *Vid första anblicken är det lätt att komma fram till en snabb förklaring till ett problem och införa en åtgärd. Oftast löser man dock inte grundorsaken, varför problemet har en irriterande förmåga att återkomma. Vi identifierar grundorsaken genom att fråga varför? fem gånger (eller så långt som krävs) utifrån en händelse och svara på frågan. Exempel: Det är en oljefläck på golvet. o Varför är det en oljefläck på golvet? För att en maskin läcker olja. o Varför läcker maskinen olja? För att packningen är trasig. o Varför är packningen trasig? Vi köpte undermåliga packningar. o Varför köpte vi undermåliga packningar? Vi gick efter priset. o Varför gick vi efter priset? Slutsats: Inköparna premieras för kortsiktiga besparingar. Vill man i framtiden slippa problem med olja på golvet och trasiga maskiner måste sättet att värdera inköp på ändras. Om man endast ställt frågan Varför? en eller två gånger hade den enda åtgärden blivit att torka upp oljan och byta packning. Men själva grundorsaken till problemet skulle fortfarande finnas kvar. Genom att fråga varför minst fem gånger kommer man närmare en underliggande orsak och kan göra verkliga förbättringar. Varje fråga kan generera flera möjliga svar/hypoteser dvs. ger flera ben. 5 Varför är en enkel och effektiv metod för att via symtom hitta grundorsaken till ett problem. 7 Framgångsfaktorer Ledningen måste vara engagerad i detta för att nå framgång. Cheferna måste ha tydligt ansvar. Roller och individer som ansvarar för riskhantering i respektive process måste ha ett tydligt ansvar. Medarbetare som deltar i riskhantering måste vara tränade i metoder och verktyg. Samsyn kring hur arbetet skall bedrivas och delaktighet är avgörande faktorer.