Med bakgrunn i mål og krav kan virksomheten beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. Videre vil risikovurderinger gi grunnlag for å vurdere behovet for forbedringer i form av tiltak og prioritere hva som bør følges opp. Risikovurderinger er derfor et nyttig verktøy for å få til en risikobasert internkontroll, og vil gi nyttig input til planleggingsarbeidet som er omtalt i forrige steg.

4.2.1 Etablere et grunnlag for risikovurderingen

Gode risikovurderinger forutsetter at ledelsen har oversikt over hvilke mål og krav som stilles til virksomheten.

Mål og krav fremkommer blant annet i overordnede styringsdokumenter som Prop. 1 S, tildelingsbrev, instruks for økonomi- og virksomhetsstyring fra departement til virksomhet og internt fastsatte styringsdokumenter som eksempelvis strategi, virksomhetsplan og/eller virksomhetsavtale mellom virksomhetsleder og ledere på underliggende nivåer.

Virksomheten må også forholde seg til krav som gis gjennom lover og regler, forskrifter og internt fastsatte policyer og prosedyrer. Videre må virksomheten forholde seg til ulike eksterne og interne rapporteringskrav. På virksomhetsnivå vil det være naturlig med en årlig gjennomgang av overordnede mål og krav for å identifisere om det har skjedd endringer fra tidligere år, og for å definere grunnlaget for risikovurderingene. 

Denne gjennomgangen vil gjerne skje som et ledd i den ordinære planprosessen i virksomheten, og den vil inngå som en del av forberedelsene til den overordnede risikovurderingen. Virksomhetens risikovurderinger og risikotoleranse vil i den forbindelse også kunne være gjenstand for dialog mellom departement og underliggende virksomhet gjennom etatsstyringsdialogen.

De målene og kravene som gjelder for virksomheten som helhet, må i nødvendig grad operasjonaliseres og konkretiseres til mål og krav på lavere nivåer, eksempelvis for ulike avdelinger, seksjoner og prosesser. På tilsvarende måte som på virksomhetsnivå vil det være naturlig at ledere på lavere nivåer årlig gjennomgår og oppdaterer mål og krav for eget ansvarsområde. Det vil vanligvis skje som en del av planprosessen for enheten og inngå som en del av forberedelsene til risikovurderinger på eget ansvarsområde.

Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsfordeling i virksomheten. Dette omfatter oversikt over hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og som det derfor er spesielt viktig å prioritere i internkontrollarbeidet, samt hvem som er ansvarlig for prosessene (prosesseiere).

Siden kvaliteten på produkt- og tjenesteleveranser vil være avhengig av effektiv internkontroll både i og i tilknytning til prosessene, bør det, i tillegg til den overordnede risikovurderingen, i prinsippet gjennomføres risikovurderinger av alle vesentlige operative prosesser i virksomheten. Det er virksomhetsledelsen som beslutter hvilke prosesser som er å betrakte som vesentlige i denne sammenheng.

4.2.2 Gjennomføre risikovurderinger

Når det er klart hvilke mål og krav virksomheten har å forholde seg til, kan det gjennomføres risikovurderinger knyttet til disse. I internkontrollsammenheng bør oppmerksomheten også rettes mot risikoer som kan hindre at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler blir oppfylt. 

I praksis innebærer det at ledelsen i sin risikovurdering på virksomhetsnivå også må sørge for at alle disse tre internkontrollmålsettingene ivaretas i vurderingen. Dette innebærer at risikovurderingen på virksomhetsnivå vil ha både en strategisk tilnærming gjennom å vurdere risiko opp mot overordnede mål og krav (gjøre de riktige tingene) og en operasjonell tilnærming gjennom å vurdere risiko ut fra oppfyllelse av de tre internkontrollmålsettingene (gjøre tingene riktig).

Det vil være naturlig at ledelsen ved risikovurderinger på virksomhetsnivå tar i betraktning vurderinger som er gjennomført på lavere nivåer. På denne måten vil risikoer som er synliggjort i risikovurderingen på lavere nivåer gi relevant informasjon til risikovurderingen på virksomhetsnivå.

Etter at ledelsen har gjennomført risikovurdering på virksomhetsnivå, kan resultatet oppsummeres i en samlet oversikt som viser hvilke prosesser som eksponeres for de identifiserte risikoene. En slik oversikt gir et bilde av hvilke prosesser ledelsen bør prioritere i internkontrollarbeidet. På denne måten vil virksomhetsledelsen gjennom risikovurderingen nyansere og supplere sin vurdering av hvilke prosesser og områder som vurderes som mest vesentlige i internkontrollsammenheng.

Figuren over viser et eksempel på styrings-, kjerne-, og støtteprosesser i en virksomhet som forvalter tilskudd. Som figuren viser, kan samme risiko treffe flere prosesser/områder.

Som et ledd i risikovurderingen på virksomhetsnivå bør virksomhetsledelsen derfor vurdere om risikoen er av en slik art at det er mest hensiktsmessig at den håndteres

• på virksomhetsnivå, for eksempel av virksomhetsledelsen gjennom virksomhetsovergripende tiltak
• på et lavere nivå, for eksempel av avdelingsleder, seksjonsleder eller prosesseier gjennom tiltak i eller i tilknytning til prosessen

Føringer som virksomhetsledelsen gir på bakgrunn av sin overordnede risikovurdering, må inngå i prioriteringene for internkontrollarbeidet på lavere nivåer i virksomheten. Det understrekes at selv om virksomhetsledelsen identifiserer områder og prosesser den ønsker at det skal legges særlig vekt på, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. 

Linjeleders ansvar innebærer således å vurdere eventuelle andre prosesser og områder som vedkommende på bakgrunn av egne risiko- og vesentlighetsvurderinger bør prioritere.

Virksomheten bør vurdere å gjennomføre risikovurderinger av alle vesentlige operative prosesser når prosessen etableres første gang, eller når det oppstår hendelser som endrer risikobildet, som tap av nøkkelkompetanse, endringer i IT-systemer, mv. Når virksomhetsledelsen i den overordnede risikovurderingen identifiserer prosesser som eksponeres for vesentlige risikoer, kan det indikere et behov for å gjennomføre risikovurdering ned på den aktuelle prosessen. 

I slike tilfeller vil prosesseiere og/eller ledere på lavere nivåer vanligvis få i oppgave å følge opp ledelsens føringer gjennom å vurdere nærmere hvorvidt etablert internkontroll i og i tilknytning til de utvalgte prosessene er tilfredsstillende.

Dersom det ikke foreligger noen slik oversikt, kan det være hensiktsmessig å gjennomføre en prosesskartlegging hvor disse elementene identifiseres og dokumenteres.

En prosesskartlegging gir et godt utgangspunkt for å vurdere risiko og kontroll i den enkelte prosess. En slik kartlegging gir også et grunnlag for å vurdere behovet for forbedringer, herunder grunnlag for å identifisere manglende, overflødige og/eller overlappende kontroller i prosessen. Prosesskartlegging kan gjøres enkelt og overordnet, men også detaljert og mer omfattende, avhengig av behov. 

Prosesskartleggingen kan dokumenteres i en visuell oppstilling, som vist i eksempelet nedenfor. Oversikten vil også tjene som dokumentasjon av etablert internkontroll.

4.2.3 Vurdere behov for tiltak og/eller oppfølging

Risikovurderinger vil, uavhengig av hvilket nivå de er gjennomført på, lede til ulike typer beslutninger om hvordan gjenværende risiko bør håndteres. I prinsippet har ledelsen fire valg med hensyn til å håndtere risiko, nemlig å

• akseptere risikoen
• dele risikoen
• unngå risikoen
• redusere risikoen

I mange tilfeller vil statlige virksomheter ikke kunne velge verken å dele eller å unngå risikoen, siden produkt-/tjenesteområder og tilhørende mål og krav er fastsatt som en del av samfunnsoppdraget. I praksis vil det derfor som oftest være mest aktuelt å redusere risikoen, forutsatt at risikoen ikke kan aksepteres.

Når tiltak skal vurderes, må det besluttes hvem som er risikoeier, og som i kraft av denne rollen gis ansvar for å identifisere, vurdere og prioritere aktuelle tiltak som kan håndtere risikoen. Det må også avklares om risikoeier har myndighet til å beslutte tiltak, eller om beslutningen må løftes til et høyere nivå. Ofte vil risikoeier være prosesseier eller linjeleder, men virksomhetsledelsen kan også være risikoeier. Sistnevnte gjelder gjerne for risikoer med virksomhetsovergripende karakter.

Virksomhetsledelsen vil ofte ha oppmerksomheten rettet mot risikoer som har både høy sannsynlighet og høy konsekvens, siden dette er risikoer som åpenbart har et stort behov for kontroll. I internkontrollsammenheng er det viktig å være oppmerksom på at ledelsen også må vektlegge områder og prosesser hvor sannsynligheten for at risikoer inntreffer, er lav, men hvor risikoer kan få alvorlige konsekvenser hvis de først inntreffer. 

Når sannsynligheten vurderes som lav fordi virksomheten allerede har etablert betydelige risikoreduserende tiltak, er det viktig at ledelsen prioriterer å følge opp internkontrollen i disse prosessene/områdene særskilt. Dette fordi konsekvensen av svikt i internkontrollen kan være alvorlig for virksomhetens evne til å oppfylle mål og krav, eksempelvis i form av alvorlige feil i myndighetsutøvelsen, svikt i kritisk tjenesteproduksjon, mv.

Det vil også være områder hvor sannsynligheten for at risikoen slår inn er lav, fordi negative hendelser forventes å forekomme svært sjelden. Eksempler kan være alvorlige ulykker, korrupsjon/ misligheter, pandemier, mv. For flere av disse områdene er det fastsatt egne krav til utarbeidelse av risikovurderinger og internkontroll gjennom lov- og regelverk, og disse områdene må også gis oppmerksomhet i oppfølgingen. 

Hvilke områder som tilhører denne kategorien, vil imidlertid variere med virksomhetens egenart. Det vil for eksempel i enkelte virksomheter være behov for å utarbeide risikoanalyser med særlig vekt på risiko og sårbarhet, såkalte ROS-analyser. 

Figuren nedenfor viser hvordan kontrollbehovet varierer ut fra hvor i risikomatrisen risikoen vurderes å være. Den røde stjernen nederst til høyre i figuren poengterer et behov for kontrollopplegg også for risikoer som har lav sannsynlighet når konsekvensen, dersom risikoen slår inn, er svært alvorlig.

Generelt vil risikoer som betegnes som gule, oransje eller røde, indikere et forbedringsbehov. Hva som anses som gult, oransje eller rødt, er avhengig av virksomhetens risikotoleranse. 

Risikoeier vil ha ansvar for å identifisere og prioritere tiltak som er effektive i forhold til den risikoen som skal håndteres. Ofte vil det være nødvendig å gjøre nærmere undersøkelser eller analyser for å få opp alternativer og for å sikre at tiltakene som foreslås, er de som håndterer risikoen best også ut fra et kost–nytte-perspektiv. Arbeidet med å identifisere, vurdere, prioritere og beslutte aktuelle tiltak omtales i kapittel 4.3 Utforming.

På overordnet nivå, lavere nivå og i de operative prosessene vil det eksistere en rekke risikoer som virksomheten ønsker å ha kontroll over, men hvor det ikke er behov for forbedringer eller ytterligere tiltak for å håndtere risikoen ettersom dagens kontrolltiltak anses som tilstrekkelige. Enkelte av disse risikoene vil av virksomheten bli vurdert som risikoer det er mer kritisk å ha kontroll på enn andre.

Kontrollene som defineres som nøkkelkontroller, er kontroller som det er viktig at virksomheten konsentrerer seg spesielt om i sin oppfølging av internkontrollen. For noen risikoer kan det være aktuelt å utarbeide styringsparametere, slik at det er mulig å overvåke utviklingen og følge opp om etablert internkontroll har ønsket effekt. For andre risikoer kan det være aktuelt å teste og ta stikkprøver for å verifisere at rutiner og kontroller gjennomføres som forutsatt. Ledelsen kan også vurdere om det er behov for å gjennomgå/evaluere utvalgte områder eller prosesser. Oppfølging av internkontrollen omtales nærmere i kapittel 4.5 Oppfølging.

4.2.4 Oppsummering

Etter at risikovurderinger er gjennomført, har ledelsen på ulike nivåer i virksomheten oversikt over virksomhetens viktigste risikoer og hvilke områder og prosesser virksomheten må ha særskilt kontroll på. Disse områdene og prosessene bør prioriteres i internkontrollarbeidet. Risikovurderinger gir dessuten oversikt over hvordan identifiserte risikoer er håndtert, og om det er behov for å forbedre internkontrollen. 

Risikovurderingen gir også grunnlag for å identifisere behovet for oppfølging av etablert internkontroll på kritiske områder. Etter at risikovurderingen er gjennomført, må ledelsen vurdere om det er behov for å justere de beslutningene som er tatt i planleggingssteget, for eksempel vurdere om det er behov for å justere ressursallokeringen knyttet til internkontrollarbeidet.