Guide för arbete med Risk- och väsentlighetsanalys



Relevanta dokument
Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Policy för internkontroll för Stockholms läns landsting och bolag

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Frågor att ställa om IK

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Riktlinjer för intern kontroll

Riktlinjer för intern kontroll

Lokala regler och anvisningar för intern kontroll

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Tillväxtverkets riktlinjer för intern styrning och kontroll

Vård- och omsorgsnämndens resultat kommunrevisionens webbenkät intern styrning och kontroll förtroendevalda och chefer juni 2018 Lidköpings kommun

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Punkt 11: Riktlinje för riskhantering och intern kontroll

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Anvisning för intern kontroll och styrning

Riktlinjer för intern kontroll

Riktlinjer för arbetet med intern kontroll

Riktlinjer för intern styrning och kontroll

Intern kontroll handlar om att på en rimlig nivå säkerställa:

Stadsledningskontorets system för intern kontroll

Intern styrning & kontroll samt internrevision i staten

Intern kontroll och attester

REGLER FÖR INTERN KONTROLL

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Riktlinje för Riskanalys och Intern kontroll

Reglemente för intern kontroll

Stockholms läns landsting i (i)

Revisionsrapport Karolinska Institutet Stockholm

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige , 119.

Riktlinjer för intern styrning och kontroll, ISK, för landstingsstyrelsens förvaltning.

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Riktlinjer för internkontroll i Kalix kommun

Riktlinje för intern styrning och kontroll

Teknisk servicenämndens resultat kommunrevisionens webbenkät intern styrning och kontroll förtroendevalda och chefer juni 2018 Lidköpings kommun

Reglemente för intern kontroll

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Workshop: Hälsofrämjande ledarskap och medarbetarskap, kl

Intern kontroll och riskbedömningar. Strömsunds kommun

Regler och riktlinjer för intern styrning och kontroll vid KI

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Policy för Essunga kommuns internkontroll

Bilaga Från standard till komponent

Idrottsnämndens system för internkontroll

Riktlinje för intern styrning och kontroll

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Reglemente för internkontroll

Organisation av och uppföljning av intern kontroll

Etikrelaterade mål, program och aktiviteter vid Malmö högskola

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Plan för intern kontroll 2017

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Riktlinjer för internkontroll

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Reglemente Innehåll Fastställt av: Fastställt datum: Dokumentet gäller till och med: Dokumentet gäller för: Dokumentansvarig: Diarienummer:

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske.

Instruktion Stöd för processkartläggning i ett processorienterat arbetssätt för Region Skåne. Syfte

Intern styrning och kontroll

Riktlinjer för intern kontroll i Örebro kommun

Anvisning för intern kontroll

Intern styrning och kontroll Riktlinjer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

SIQ Framgångsinsikt Baserad på framgångsfaktorerna i SIQ Managementmodell Version 2018:1

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Svedala Kommuns 4:18 Författningssamling 1(6)

RISKANALYS FÖR Humanistiska fakulteten. DATUM: Förslag BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Mats Andrén

REVISIONSPLAN FÖR ÅR 2012

Sida 1(8) Regler för internkontroll. Styrdokument

INTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Reglemente för intern kontroll med tillämpningsanvisningar

Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

ANVISNINGAR OCH MALL FÖR RISKANALYS 2016

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

COOR HÅLLBARHETSPOLICY

REGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande

Reglemente för intern kontroll av ekonomi och verksamhet

Arbetsförmedlingens Återrapportering 2014

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Sandvikens kommnun. Seminarium beträffande risker för korruption och andra oegentligheter

Granskning av kommunstyrelsens och nämndernas interna kontroll

INTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Riktlinje för riskhantering

PMUs instruktion för intern styrning och kontroll 2016 del 1

Riktlinjer Projektmodell fo r Kungä lvs kommun

Samverkan kring riskhantering Torbjörn Wikland

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Balanserade Styrkort. Västra Götalandsregionen,

Intern styrning och kontroll i Riksbanken 2013

Transkript:

Sida 1 av 10 Guide för arbete med Risk- och väsentlighetsanalys 1. Den interna miljön 6. Kontrollaktiviteter 7. Information & kommunikation 2. Formulerandet av mål 5. Riskåtgärder 8. Övervakning, uppföljning 3. Identifiering av händelser 4. Riskbedömning Utarbetad av: Katarina Kjerfve, Studiefrämjandet Lotta Gullers Henry, Folkuniversitetet Peter Hansson, Medborgarskolan Kent Bengtsson, Vuxenskolan Förankrad i Folkbildningsförbundets kvalitetsgrupp 2012-04-19

Sida 2 av 10 Guide för arbete med Risk- och väsentlighetsanalys Innehåll 1 Syfte med denna guide... 2 2 Bakgrund... 3 2.1 Riksrevisionens rapport, statens stöd till studieförbunden... 3 2.2 Utbildningsdepartementets regleringsbrev till FBR... 3 2.3 Folkbildningsrådets förväntningar på studieförbunden... 3 3 Vad avses med intern styrning & kontroll?... 4 3.1 COSO - ERM:s 8 komponenter... 4 4 Definitioner... 5 4.1 Organisationsövergripande riskhantering... 5 4.2 Risk... 6 4.3 Riskanalys... 6 4.4 Väsentlighet... 6 5 Övergripande process för Risk- och väsentlighetsanalys... 6 6 Verkstygslåda... 6 6.1 SWOT... 6 6.1.1 Så här går det till... 7 6.2 FMEA (Fel-effekt-analys, Failure Mode and Effect Analysis)... 8 6.2.1 Så här går det till... 8 6.3 5 Varför... 10 6.3.1 Så här går det till... 10 7 Framgångsfaktorer... 10 1 Syfte med denna guide Syftet med denna guide är att underlätta för studieförbunden i arbetet med systematiska risk- och väsentlighetsanalyser. Guiden föreslår och beskriver konkreta arbetssätt och verktyg.

Sida 3 av 10 2 Bakgrund Kraven på svensk statsförvaltning håller på att anpassas till de krav som gäller för delar av det privata näringslivet, bl.a. den svenska koden för bolagsstyrning och flera statsförvaltningar i Europa. Genom den nya förordningen om intern styrning och kontroll, 2007:603, (FISK), stärks regeringens styrning av statliga myndigheter. Kravet att myndigheterna ska fullgöra sitt förvaltningsansvar förtydligas, dvs. bedriver en effektiv verksamhet, följer lagar, förordningar och andra regler samt lämnar en tillförlitlig redovisning och rättvisande rapportering av sin verksamhet. Det är därför viktigt för regeringen att myndigheternas interna styrning och kontroll (i fortsättningen ISK) fungerar väl och att, ur ett samlat statligt perspektiv, förvissa sig om att så är fallet. 2.1 Riksrevisionens rapport, statens stöd till studieförbunden I RIR 2011:12 (sid 20) under rubriken kontroll står att läsa: Riksrevisionens bedömningsgrund: Enligt 4 myndighetsförordningen (2007:515) ska myndighetens ledning säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Folkbildningsrådet är ingen statlig myndighet men har myndighetsuppgifter som gäller statsbidraget för folkbildning. Därmed blir det enligt Riksrevisionen rimligt att i detta avseende ställa motsvarande krav på Folkbildningsrådet. Vad som ska menas med god intern styrning och kontroll är inte närmare beskrivet i förordningen. I denna granskning har Riksrevisionen haft särskilt fokus på förekomsten av riskanalyser och extern granskning. Riskanalys är en komponent i den s.k. COSO-modellen som är ett internationellt vedertaget sätt att beskriva intern styrning och kontroll. En riskanalys innebär att ledningen ska vara medveten om och själv ha bedömt och analyserat risker i verksamheten. 2.2 Utbildningsdepartementets regleringsbrev till FBR I regleringsbrevet till Folkbildningsrådet 2011-12-15 ställs krav kring risk- och väsentlighetsanalys: Folkbildningsrådet ska kartlägga och redovisa vilka former av risk- och väsentlighetsanalys som har använts av folkhögskolor och studieförbund vid deras kontroll av användningen av statsbidraget. 2.3 Folkbildningsrådets förväntningar på studieförbunden Studieförbunden förväntas implementera rutiner för systematiska risk- och väsentlighetsanalyser. Att systematiskt arbeta med risk- och väsentlighetsanalys bidrar till att hjälpa respektive studieförbund att uppnå sina mål och tillfredsställa sina kunders och intressenters förväntningar.

Sida 4 av 10 3 Vad avses med intern styrning & kontroll? Det ramverk som används i Sverige inom såväl offentlig som privat verksamhet och som legat till grund för finansdepartementets arbete med lagstiftning är det som också är internationellt mest accepterat inom området. Den s.k. COSO-modellen utvecklades av the Committee of Sponsoring Organization of the Treadway Commission (COSO) i USA och publicerades i sin första version i början av 1990-talet. I sammanfattning kan modellen beskrivas så här: Intern styrning och kontroll är definierad som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: Effektivitet och produktivitet i verksamheten. Tillförlitlig finansiell rapportering. Efterlevnad av tillämpliga lagar och regler. COSO har utvecklats till en andra generation, den s.k. COSO ERM (Enterprise Risk Management) som kom 2004. Den bygger på de fem komponenter som fanns tidigare men har lagt ytterligare tonvikt på de tre tillkommande komponenterna målformulering, händelseidentifiering och riskåtgärder. COSO ERM vidareutvecklar alltså begreppet risk i modellen och inför målformulering som utgångspunkt för resonemangen om risk. I den svenska översättningen av COSO ERM anges att formulerandet av mål är en förutsättning för intern styrning och kontroll. 3.1 COSO - ERM:s 8 komponenter Organisationsövergripande riskhantering enligt COSO modellen består av åtta sammankopplade komponenter. De utgår från det sätt som en ledning driver en organisation/företag och är integrerade i ledningsprocessen. Dessa komponenter är: Den interna miljön: Den interna miljön innefattar det arbetsklimat som finns i organisationen och som bestämmer utgångspunkten för hur organisationens medarbetare ser på och förhåller sig till risker. Den inkluderar ledningens riskhanteringsfilosofi och riskbenägenhet, integritet och etiska värderingar, och den miljö i vilken de verkar. Formulerandet av mål: Mål måste finnas innan ledningen kan identifiera potentiella händelser som påverkar att målen uppnås. Organisationsövergripande riskhantering säkerställer att ledningen har etablerat en process för att sätta mål och att de valda målen stödjer och knyter an till organisationens syften och motsvarar organisationens riskbenägenhet.

Sida 5 av 10 Identifiering av händelser: Interna och externa händelser som kan påverka en organisations möjligheter att nå sina mål måste identifieras och preciseras som risker och möjligheter. Möjligheterna kanaliseras tillbaka till ledningens processer för att utforma strategier och mål. Riskbedömning: Risker analyseras, med utgångspunkt från deras sannolikhet och konsekvenser, för att få ett underlag för hur de ska hanteras. Risker bedöms både före och efter hantering, dvs. både som ursprungliga och återstående risker. Riskåtgärder: Ledningen väljer vilka åtgärder som ska vidtas dvs. undvika, acceptera, reducera risken och anpassar åtgärderna så att de stämmer överens med organisationens risktolerans och riskbenägenhet. Kontrollaktiviteter: Riktlinjer och rutiner fastställs och genomförs för att säkerställa att riskåtgärderna genomförs på ett effektivt sätt Information och kommunikation: Relevant information identifieras, samlas in och förmedlas i en form och inom en tidsram som gör det möjligt för de anställda att utföra sina åtaganden. En effektiv kommunikation kan även uppstå i en vidare mening genom att den flödar ner i, tvärs över och uppåt i organisationen. Övervakning, inklusive uppföljning och utvärdering: Hela den företagsövergripande riskhanteringen övervakas och modifieras när det behövs. Övervakning sker genom löpande ledningsaktiviteter inklusive uppföljningar, separata utvärderingar, eller bådadera. Organisationsövergripande riskhantering är inte i strikt mening en seriell process där en komponent endast påverkar den nästkommande. Den är en process med verkan i flera riktningar som upprepas, och där praktiskt taget varje komponent kan påverka och påverkar de andra. 4 Definitioner 4.1 Organisationsövergripande riskhantering Organisationsövergripande riskhantering är en process som genomförs av en organisations styrelse, ledning och annan personal, och som genomförs i ett strategiskt sammanhang och över hela organisationen, utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskbenägenhet och ge rimlig försäkran om att organisationens mål uppnås.

Sida 6 av 10 4.2 Risk Kombinationen av sannolikheten för att en viss oönskad händelse inträffar, och konsekvensen därav (Risk = Sannolikhet x Konsekvens). 4.3 Riskanalys Metod för att identifiera risker. 4.4 Väsentlighet Det är inte realistiskt att använda riskhantering på samtliga processer och aktiviteter inom en organisation. Processer som bör omfattas av riskhanteringen ska vara av väsentlig vikt för studieförbundet. T.ex: Tillfredsställa kunder och intressenter Verksamhetsplanering- och uppföljning (måluppfyllnad) Effektivitet inom väsentliga processer Ekonomisk redovisning Att lagar och regler följs Övriga processer som ledningen identifierar som väsentliga Respektive punkt i exemplen ovan måste brytas ner till mer detaljerade nivåer. Generellt rekommenderas att processer som ska belysas med risk- och väsentlighetsanalys ska vara dokumenterade för att angrepssättet ska vara effektivt. 5 Övergripande process för Risk- och väsentlighetsanalys För framgångsrikt arbete krävs en dokumenterad process som styr angreppssättet och omfattar nedanstående punkter. Väsentlighetsanalys. o Identifiera de processer som är mest väsentliga för studieförbundet och som ska omfattas av riskanalys (se punktlista under 4.4 ovan). Identifiera ansvariga för respektive process. Genomför analys, reducering och uppföljning av risker med hjälp av lämpligt verktyg. 6 Verkstygslåda 6.1 SWOT SWOT står för Styrkor (Strenghts) Svagheter (Weaknesses) Möjligheter (Opportunities) Hot (Threats)

Sida 7 av 10 Vi vill tänka strategiskt, göra handlingsplaner, satsa pengar på rätt saker. En bra plattform att stå på är SWOT-analysen där vi öppet och ärligt lägger upp våra styrkor och svagheter (inom organisationen!), hoten och möjligheterna (utsidan!). Det är detta analysen går ut på att vi verkligen använder oss av våra styrkor, att vi så långt det går reducerar våra svagheter eller kanske vänder dem till styrkor, att vi tar till vara på de möjligheter som finns och att vi hanterar hoten så bra som möjligt. SWOT är ett bra verktyg vid verksamhetsplaneringen. Tänk gärna på ordet svagheter som förbättringsområden. 6.1.1 Så här går det till Steg ett Dela av ett blädderblock eller en whiteboard i fyra delar. Gruppen brainstormar fram styrkorna, svagheterna, möjligheterna och hoten. Arbeta med ett område i taget och gå flera varv i gruppen. Anteckna det som sägs i form av nyckelord men utan värdering. Ibland kan ett hot också vara en möjlighet skriv då samma ord i båda rutorna. Avbryt är det börjar gå alltför trögt. Steg två Blädderblocket är nu fyllt med korta påståenden. Kontrollera att alla förstår vad som menas och förtydliga vid behov. Steg tre Prioritera. Alla deltagare får sätta fem eller tio streck var vid de påståenden var och en anser vara viktigast. De högst prioriterade områdena landar sedan i en renskriven SWOT-analys. Steg fyra Besluta hur ni går vidare med vart och ett av de prioriterade områdena. Använd gärna verktyget 5 varför, för att identifiera grundorsaker och åtgärder. Vem gör vad, och när?

Sida 8 av 10 6.2 FMEA (Fel-effekt-analys, Failure Mode and Effect Analysis) Verktyget omfattar riskanalys, prioritering av risker, riskreducering och -uppföljning. 6.2.1 Så här går det till Riskanalys Identifiera möjliga händelser Identifiera konsekvenser Identifiera sannolikhet Utvärdering av risker Utvärdera/prioritera riskerna Minimera/Hantera risker Bedöm hur riskerna kan hanteras Implementera åtgärder för att minimera risker Risk/benefit-analys Nya risker som uppstår pga åtgärder vi inför Utvärdera om kvarvarande risker är acceptabla Riskhanteringsrapport Uppföljning Ny information som tillkommer Använd separat Excelblad som stöd.

Sida 9 av 10 6.2.1.1 Riskanalys - Excelbladets uppbyggnad Identifiera möjliga oönskade händelser. Identifiera konsekvens. Identifiera sannolikhet. Beräkna risk/prioritering. 6.2.1.2 Utvärdera och prioritera riskerna Sortera Excelbladet med avseende på risk/prioritering. 6.2.1.3 Minimera/Hantera risker För alla risker med värde 3 eller högre ska en eller flera åtgärder identifieras och genomföras för att minimera risken. Vilken åtgärdsgräns förbundet sätter beror av organisationens benägenhet att ta risker. Utvärdera om kvarvarande risker är acceptabla (Risk/benefit). 6.2.1.4 Skriv riskhanteringsrapport Rapporten baseras på riskanalysen/excelbladet. 6.2.1.5 Uppföljning Rapporten ska vara ett levande dokument som utvärderas och uppdateras regelbundet och allt eftersom ny information tillkommer.

Sida 10 av 10 6.3 5 Varför 5 Varför är ett effektivt komplement till FMEA och SWOT för att identifiera grundorsaken till att en oönskad händelse inträffar. 6.3.1 Så här går det till Vi vill identifiera grundorsaken* till en oönskad händelse. *Vid första anblicken är det lätt att komma fram till en snabb förklaring till ett problem och införa en åtgärd. Oftast löser man dock inte grundorsaken, varför problemet har en irriterande förmåga att återkomma. Vi identifierar grundorsaken genom att fråga varför? fem gånger (eller så långt som krävs) utifrån en händelse och svara på frågan. Exempel: Det är en oljefläck på golvet. o Varför är det en oljefläck på golvet? För att en maskin läcker olja. o Varför läcker maskinen olja? För att packningen är trasig. o Varför är packningen trasig? Vi köpte undermåliga packningar. o Varför köpte vi undermåliga packningar? Vi gick efter priset. o Varför gick vi efter priset? Slutsats: Inköparna premieras för kortsiktiga besparingar. Vill man i framtiden slippa problem med olja på golvet och trasiga maskiner måste sättet att värdera inköp på ändras. Om man endast ställt frågan Varför? en eller två gånger hade den enda åtgärden blivit att torka upp oljan och byta packning. Men själva grundorsaken till problemet skulle fortfarande finnas kvar. Genom att fråga varför minst fem gånger kommer man närmare en underliggande orsak och kan göra verkliga förbättringar. Varje fråga kan generera flera möjliga svar/hypoteser dvs. ger flera ben. 5 Varför är en enkel och effektiv metod för att via symtom hitta grundorsaken till ett problem. 7 Framgångsfaktorer Ledningen måste vara engagerad i detta för att nå framgång. Cheferna måste ha tydligt ansvar. Roller och individer som ansvarar för riskhantering i respektive process måste ha ett tydligt ansvar. Medarbetare som deltar i riskhantering måste vara tränade i metoder och verktyg. Samsyn kring hur arbetet skall bedrivas och delaktighet är avgörande faktorer.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss