← Til dfo.no
Veileder i internkontroll

5.2 Eksempel risikovurdering

Oppdatert

5.2.1 Etablere et grunnlag for risikovurdering

Mål og krav på virksomhetsnivå

Gode risikovurderinger forutsetter at virksomheten har oversikt over hvilke mål og krav som stilles til virksomheten.

FYSetat har identifisert mål og krav for virksomheten ut fra lover, forskrifter, regelverk for tilskuddsordningen, føringer gitt i tildelingsbrev, mv. På virksomhetsnivå har FYSetat ett overordnet mål som er operasjonalisert i fire hovedmål. Målene er oppsummert i tabellen i figur 22.

Figur 21: Internkontrollprosessen – risikovurdering.
Mål

Overordnet mål:

Økt fysisk aktivitet i befolkningen

Hovedmål:

Korrekt og effektiv bruk av tilskuddsmidler, relevant informasjon til befolkningen og til potensielle brukere, styring og kontroll understøtter FYSetats mål på en god måte og effektive IT-løsninger som understøtter driften

Figur 22: FYSetats overordnede mål og hovedmål på virksomhetsnivå. 

De viktigste kravene FYSetat må forholde seg til, er oppsummert i tabellen i figur 23.

Krav med henvisning til kilde Avdeling
Forvaltningsloven Tilskudd
Offentleglova Tilskudd, administrasjon
Arbeidsmiljøloven Administrasjon
Arkivlova Administrasjon
Personopplysningsloven Administrasjon
Personopplysningsforskriften Administrasjon
Arkivforskriften Administrasjon (tilskudd)
eForvaltningsforskriften IT, administrasjon
Forskrift om offentlige anskaffelser Administrasjon
Reglement for økonomistyring i staten Tilskudd, administrasjon og IT
Bestemmelser om økonomistyring i staten Tilskudd, administrasjon og IT
Etiske retningslinjer i staten Alle, ledelsen
Regelverk for tilskuddsordningen Tilskudd
Rapporteringskrav for tilskuddsordningen fremsatt i tildelingsbrevet Alle
God forvaltningsskikk Alle

Figur 23: Utdrag av krav som er relevante for FYSetat på virksomhetsnivå.

Mål og krav på lavere nivåer

De fire avdelingslederne, for henholdsvis administrasjons-, informasjons-, tilskudds- og IKT- avdelingen, har gjort tilsvarende oppdatering av mål og krav for sine respektive avdelinger.

På tilskuddsområdet er hovedmålet om korrekt og effektiv bruk av tilskuddsmidler operasjonalisert og konkretisert i følgende tre delmål:

  • Profesjonell og effektiv tilskuddsforvaltning
  • Tydelig, korrekt og effektiv formidling
  • Kompetent rådgivning

I tillegg har tilskuddsavdelingen sett et behov for å sette opp en oversikt over de mest sentrale kravene som gjelder på tilskuddsområdet. Et utdrag fra denne oversikten er vist i tabellen i figur 24.

Krav med henvisning til kilde Relevante punkter
Forvaltningsloven

Kap. 2 Habilitet
Kap. 3 Alminnelige regler om saksbehandligen
Kap. 4 Om saksforberdelse ved enkeltvedtak
Kap. 6 Om klage og omgjøring
Offentleglova

Kap. 2 Hovedreglene om innsyn
Kap. 3 Unntak fra innsynsretten
Kap. 4 Saksbehandling og klage
Reglement for økonomistyring i staten

Kap. III – Iverksettelse av Stortingets budsjettvedtak
Kap. V Kontroll
Bestemmelser om økonomistyring i staten

Kap. 6.3 Tilskudssforvaltning
Kap. 2.4 Arkivrutiner

Forskrift om offentlege arkiv

Kap. II Arkivorganisering og arkivsystem
Kap. III Arkivrutiner
Regelverk for tilskuddsordningen

Hele tilskuddsregelverket

Garanti vedr. saksbehandlingstid

 Serviceerklæring tilgjengeliggjort på FYSetats internettside
Rapportering på antall avslåtte søknader og kategorisering etter avslagsgrunn

Tildelingsbrevet kap. VII Rapportering og resultatoppfølging

Figur 24: Utdrag av krav som er relevante for FYSetat på tilskuddsområdet.

Oversikt over FYSetats prosesser

Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsdeling, herunder hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og hvem som er prosesseiere for disse prosessene.

Ledelsen i FYSetat har på intranettet satt opp en oversikt over virksomhetens prosesser kategorisert i henholdsvis kjerne-, støtte- og styringsprosesser, som vist i figur 25.

Figur 25: FYSetats prosesser.

Kvaliteten på virksomhetens tjenesteleveranse vil være avhengig av god internkontroll både i og i tilknytning til prosessene. Ledelsen i FYSetat har derfor vurdert det dit hen at det etter hvert bør gjennomføres risikovurderinger på lavere nivåer knyttet til alle vesentlige prosesser i virksomheten, i tillegg til den årlige risikovurderingen på virksomhetsnivå.

Virksomhetsledelsen vurderer, ut fra sin kjennskap til virksomheten, at prosessene for søknadsbehandling tilskudd, IKT og økonomi er de prosessene som er mest vesentlige med hensyn til å oppfylle virksomhetens mål og krav.

Søknadsbehandling tilskudd er en kjerneprosess, mens IKT støtter opp om søknadsbehandlingen gjennom å tilgjengeliggjøre og drifte saksbehandlingssystemet. Kvalitet i IKT-systemet, blant annet med hensyn til nedetid og funksjonalitet, påvirker effektiviteten i søknadsbehandlingen direkte. 

Økonomiprosessen har høy risiko og er vesentlig i seg selv på grunn av en rekke lovkrav i tillegg til en iboende risiko for misligheter. Økonomiprosessen er også vesentlig for tilskudds- forvaltningen, siden utbetaling av tilskudd står for størstedelen av de økonomiske transaksjonene i virksomheten.

5.2.2 Gjennomføre risikovurderinger

Risikovurdering på virksomhetsnivå

Virksomhetsledelsen har valgt å gjennomføre en risikoworkshop hvert år, i forbindelse med den årlige planprosessen. Som forberedelse til denne risikoworkshopen blir avdelingslederne bedt om å innhente innspill fra sine respektive ledergrupper, slik at virksomhetsledelsen har med informasjon fra lavere nivåer i vurderingen av risiko på virksomhetsnivå. Til hjelp i risikovurderingen har de benyttet et risikovurderingsverktøy.

I risikovurderingen på virksomhetsnivå har virksomhetsledelsen lagt vekt på å identifisere både risikoer som kan hindre virksomheten fra å oppfylle de målene og kravene som er identifisert over, og risikoer som kan hindre virksomheten fra å oppfylle de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelige rapportering og overholdelse av lover og regler.

I risikovurderingen på virksomhetsnivå ble alle de fire hovedmålene til FYSetat risikovurdert basert på sannsynlighet og konsekvens. Risikovurderingen på virksomhetsnivå resulterte i totalt 12 risikoer fordelt på de fire hovedmålene. For målet effektive IT-løsninger som understøtter driften er det ikke formulert kritiske suksessfaktorer (KSF), siden det i FYSetat er opp til den enkelte avdelingsleder å vurdere om det er ønskelig å gå veien om KSFer, eller om det er ønskelig å gå direkte til vurdering av risiko.

Resultatet av risikovurderingen på virksomhetsnivå er vist i tabellen i figur 26.

Figur 26: Resultat av FYSetats risikovurdering på virksomhetsnivå.

Resultatet fra risikovurderingen på virksomhetsnivå er sammenstilt i risikokartet i figur 27.

Figur 27: Risikokart for samlet risikovurdering på virksomhetsnivå 47.

Etter at virksomhetsledelsen har gjennomført risikovurderingen knyttet til virksomhetens hovedmål, kan resultatet oppsummeres i en samlet oversikt som illustrerer hvilke prosesser som eksponeres for de mest kritiske risikoene. 

I figur 28 er de syv mest kritiske risikoene (høy risiko og middels risiko) fra risikovurderingen på virksomhetsnivå oppsummert og plassert i de prosessene som eksponeres spesielt for de aktuelle risikoene. Denne samlede oversikten gir virksomhets- ledelsen et visuelt bilde av hvor virksomheten bør prioritere å ha kontroll.

Oversikten gir et nyttig supplement til ledelsens tidligere vurderinger av hvilke prosesser de har vurdert som mest vesentlige med hensyn til å oppfylle mål og krav, jf. kapittel 5.2.1.

Figur 28: Oversikt over hvilke prosesser som eksponeres for FYSetats mest kritiske risikoer (høy og middels risiko).

Prosessen søknadsbehandling tilskudd er eksponert for flere risikoer. Risiko R11 som slår inn i IKT-prosessen (nedetid), påvirker også effektiviteten i søknadsbehandlingen negativt. Risikoene R5 og R10 om uklar fordeling av roller og ansvar påvirker flere prosesser, noe som tilsier at dette er risikoer som gjelder på tvers av virksomheten.

Basert på risikovurderingen på virksomhetsnivå og ledelsens tidligere vurdering av vesentlige prosesser anses søknadsbehandling tilskudd, IKT og økonomi fortsatt for å være de prosessene som er mest vesentlige med hensyn til å oppfylle FYSetats overordnede mål og krav, og bør dermed gis høyest prioritet i internkontrollarbeidet.

Det er ikke fremkommet andre forhold gjennom risikovurderingene som medfører et behov for å justere eller endre internkontrollplanen det kommende året.

Risikovurdering på lavere nivåer

Tilskuddsavdelingen i FYSetat skiller seg særskilt ut i risikovurderingen på virksomhetsnivå, da prosessene under denne avdelingen eksponeres for mange av de identifiserte risikoene. Dette indikerer at det er et behov for å gjøre en nærmere risikovurdering av en eller flere av prosessene som inngår i denne avdelingen.

Selv om det i risikovurderingen på virksomhetsnivå ble identifisert prosesser som det er viktig å ha særlig kontroll på fra et virksomhetsperspektiv, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. Dette innebærer å vurdere om det er eventuelle andre prosesser eller områder som bør prioriteres for å gi rimelig grad av sikkerhet for effektiv intern- kontroll innenfor eget ansvarsområde. 

Linjelederens vurderinger baseres på egen erfaring i tillegg til risiko- og vesentlighetsvurderinger innenfor eget ansvarsområde.

Basert på risikovurderingen på virksomhetsnivå, egenevalueringen og de spørsmålene som har oppstått rundt roller og ansvar, arbeidsprosesser mv. i den senere tid, har avdelingsleder for tilskuddsavdelingen bedt prosesseier for søknadsbehandling tilskudd om å gjøre en risikovurdering knyttet til denne prosessen.

Som grunnlag for en slik gjennomgang vil det være hensiktsmessig å definere mål for prosessen, samt dokumentere henholdsvis hvilke aktiviteter som inngår, hvilke risikoer som truer prosessen, og hvilke kontroller/risikoreduserende tiltak som er etablert for å håndtere disse risikoene.

Prosesseier for søknadsbehandling tilskudd har valgt å benytte prosesskartlegging som et verktøy for å få opp en oppdatert oversikt over og dokumentasjon av prosessen.

Tilskuddsavdelingen har fastsatt følgende mål for prosessen søknadsbehandling tilskudd: Prosessmål: Korrekte, gyldige og rettidige vedtak.

FYSetat har gjennomført prosesskartlegging for prosessen søknadsbehandling tilskudd. Prosesskartet er illustrert i figur 29. I prosesskartet vises hvordan risikoer (merket rødt) omtalt i figur 30 er håndtert gjennom kontroller (merket grønt) omtalt i samme figur.

Figur 29: Prosesskart for prosessen søknadsbehandling tilskudd med eksempler på risikoer og kontroller.

En samlet oversikt over prosessen søknadsbehandlig tilskudd er oppsummert i figur 30. Her fremkommer risikoer, etablerte kontroller og en vurdering av gjenværende risiko 49, samt om kontrollene er definert som en nøkkelkontroll. Kontroller som gjelder hele prosessen er ikke illustrert i figur 29. 

Dette gjelder k1 og k11 jf. figur 30. Som det fremgår av tabellen i figur 30 er det identifisert en risikofaktor r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet. Dette er en risiko som gjelder hele FYSetat og som prosesseier for søknadsbehandling tilskudd mener bør håndteres på virksomhetsnivå.

Figur 30: Risiko- og kontrollmatrise for prosessen søknadsbehandling tilskudd. Merk at dette er en illustrasjon for å vise hvordan sammenhengen mellom risikoer og kontrolltiltak i en prosess kan systematiseres.

5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging

Risikovurderinger, uavhengig av hvilke nivåer de er gjennomført på, vil lede frem til en oversikt over ulike risikoer som bør håndteres, forutsatt at disse er utenfor risikotoleransen til virksomheten. I prinsippet har ledelsen fire valg for håndtering av risiko: akseptere, dele, unngå eller redusere. I den grad risikoen skal reduseres, må det besluttes hvem som er risikoeier, og som derfor får ansvar for å identifisere, vurdere, prioritere og beslutte ulike typer tiltak.

Vurdere behov for tiltak på virksomhetsnivå

Ledelsen i FYSetat har tatt stilling til hvilke av risikoene som ble identifisert i risikovurderingen på virksomhetsnivå, som det er mest hensiktsmessig å håndtere på henholdsvis virksomhetsnivå og på lavere nivåer. For risikoer som skal håndteres på virksomhetsnivå er virksomhetsleder i FYSetat risikoeier, og for risikoer som skal håndteres på lavere nivåer er avdelingsleder, seksjonsleder eller prosesseier risikoeier.

Ledelsen i FYSetat har merket seg at det ikke kun er risikoer med høy sannsynlighet og høy konsekvens virksomhetsledelsen må konsentrere seg om. Eksempelvis har FYSetat i sin risikovurdering på virksomhetsnivå konkludert med at R2 Det gis tilskudd til feil mottaker eller på feil grunnlag vil ha svært høy konsekvens. 

Virksomheten har imidlertid etablert omfattende kontroll i form av blant annet kontroll av søknad mot tildelingskriterier, kontroll av søkergrunnlag mot offentlig register og etterkontroll av beregninger gjort i søknaden for å håndtere denne risikoen, slik at risikoen samlet sett (sannsynlighet x konsekvens) vurderes som middels. 

Kontroll av søknadsgrunnlag mot offentlig register og kontroll av søknad mot tildelingskriterier defineres som to nøkkel- kontroller og følges opp regelmessig i tilskuddsavdelingen (av seksjonsleder for søknadsbehandling tilskudd) for å sikre at risikoen blir håndtert som forutsatt.

Det er definert risikoeiere for de ulike risikoene, jf. oppsummering i figur 31.

  • For R1 og R2 er det besluttet å akseptere risikoen, men risikoene skal følges opp.
  • R3 håndteres av avdelingsleder for tilskuddsavdelingen.
  • R4, R5 og R10 håndteres av virksomhetsleder.
  • R11 håndteres av avdelingsleder i IKT-avdelingen.
Figur 31: De mest kritiske risikoene på virksomhetsnivå med risikoeiere og valg av risikohåndtering.

Vurdering av behov for tiltak – lavere nivåer

Basert på prosesskartleggingen som ble gjennomført i tilskuddsavdelingen knyttet til prosessen søknadsbehandling tilskudd, ser prosesseier at r2 og r5 ikke er tilstrekkelig håndtert i dagens prosess, jf. figur 29 og 30. En tredje risiko r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet er også utilstrekkelig håndtert, og vil også påvirke prosessen for søknadsbehandling tilskudd. Denne håndteres på virksomhetsnivå.

Det besluttes derfor at det må igangsettes risikoreduserende tiltak for å håndtere følgende risikoer:

Risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen:

Dagens prosedyre forutsetter at saksbehandler tar kontakt med søkere og etterspør manglende informasjon etter hvert som slike mangler oppdages underveis i saksbehandlingen. Dette medfører uhensiktsmessig bruk av saksbehandlers tid.

Risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn):

Dagens prosedyre forutsetter at saksbehandler skal registrere tilsagn i et regneark. Det er uklart for saksbehandlerne hvilket ansvar de har, hvor ofte regnearket skal oppdateres, og hvor den siste versjonen er lagret.

Dessuten har prosesseier identifisert en overlappende kontroll, kontroll k7 Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register. Denne kontrollen gjøres både som ledd i vurderingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp, jf. figur 29. 

Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register kan dermed utgå ved beregning og fastsettelse av tilskuddsbeløp, forutsatt at kontrollen som skjer når det vurderes om søknaden er kvalifisert for tilskudd, også ivaretar de forholdene som vanligvis sjekkes ved beregning og fastsettelse av tilskudd. Dokumentasjon av utført kontroll mot offentlig register må følge sakspapirene.

Det er også identifisert en overlappende kontroll, kontroll k8 Saksbehandler kontrollsummerer beregninger gjort i søknaden. Det viser seg at denne kontrollen gjøres både som et ledd i vurder- ingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp.

Det er tilstrekkelig at kontrollsummeringen skjer ved beregning og fastsettelse av tilskuddsbeløp. Kontrollsummering kan da utgå ved vurdering av om søknaden gir grunnlag for tilskudd.

Risikoene r3 Manglende sikring mot bevisste feil og misligheter og r4 Tilskudd gis på feil grunnlag er tilstrekkelig håndtert med dagens etablerte kontroller, når en hensyntar at det på virksomhets- nivå vil vurderes tiltak knyttet til etiske retningslinjer og habilitet. Det er imidlertid behov for oppfølging og spesielt anses fem av kontrollene som mer kritiske enn de øvrige. FYSetat omtaler slike kontroller som nøkkelkontroller.

Disse er henholdsvis:

  • k3 Tilgangsbegrensninger i saksbehandlingssystemet og økonomisystemet. Automatisk loggføring av endringer i faste data.
  • k5 Tilskuddsbrev undertegnes av person med budsjettdisponeringsmyndighet
  • k7 Saksbehandler kontrollerer søknadsgrunnlaget mot offentlig register
  • k9 Saksbehandler kontrollerer at søknad oppfyller tildelingskriterier fastsatt i tilskuddsregelverket

Kontrollen k4 alle tilskuddsutbetalinger attesteres før utbetaling er også en nøkkelkontroll, og følges opp i administrasjonsavdelingen i forbindelse med utbetaling. At disse kontrollene anses som mer kritiske enn de øvrige, begrunnes med at svikt i kontrollen i vesentlig grad vil påvirke målsettingen om korrekte, gyldige og rettidige vedtak, og at gjennomføringen av disse kontrollene kan forhindre andre kontrollsvakheter før de får en vesentlig betydning.

Seksjonleder med ansvar for søknadsbehandling tilskudd ønsker dermed i oppfølgingen å teste om disse kontrollene etterleves og fungerer som forutsatt, noe som er nærmere omtalt under kapittel 5.5 Eksempel oppfølging.

Fant du det du lette etter?