Blogg: Risikostyring i kommunal sektor

Mange kommuner har kombinasjoner av mål- og resultatstyring og risikostyring, enten som systemer hver for seg, eller integrert. Det er ikke nødvendig, men få har strukket risikostyringen «så langt» at denne oppleves som tilstrekkelig som styringssystem. Dessuten er det stort fokus på rådmannens internkontroll og «hvordan få orden i eget hus?» Internkontrollprosessene inneholder risikovurderinger, som også er en aktivitet i risikostyringen. Det er all grunn til å være våken i dette terrenget; risikostyring er ikke å bli ineffektiv med kompliserte styringssystemer og kontrollordninger. Husk at et formål med risikostyring er mål- og kostnadseffektiv drift!

Rådmannen skal sørge for at administrasjonen drives innenfor regelverket, og at den er gjenstand for «betryggende kontroll», slik kommuneloven bestemmer.  Kontrollbegrepet er utdypet og forklart, både gjennom en departemental arbeidsgruppe (85 anbefalinger til styrket egenkontroll) og gjennom veiledningsmateriell fra KS (Hvordan få orden i eget hus?). Det beskrives risikovurderinger som ledd i det å ha kontroll, men ikke risikostyring som et styringsverktøy. Likevel er det mange kommuner som har risikostyring som ledd i den samlede virksomhetsstyringen. Oslo kommune er blant disse og som synes å ha kommet langt i praktisk bruk. Som internrevisor i ett av eiendomsforetakene i Oslo kommune, er risiko-styring én av oppgavene som blir vurdert. 

 

Virksomhetsstyring

Virksomhetsstyring er vidtfavnende. Mange vil tenke at virksomhetsstyring er et samlet sett av ulike verk-tøy som benyttes for å realisere mål og oppnå resultater. Da er det nærliggende å tenke balansert mål-styring (BMS) eller mål- og resultatstyring som virkemiddel. Andre vil hevde at risikostyring og internkontroll må være elementer i dette. Atter andre vil hevde at det offentlige hovedsakelig er styrt av lover og regler, både eksterne og interne, som gjør at regelstyring må være en vesentlig ingrediens i styringen. 

Overordnet styring skjer gjennom politiske prioriteringer og vedtak, mens intern styring skjer i regi råd-mannen, som skal iverksette vedtakene. Da tenker man gjerne at gjennomføringen må organiseres på en hensiktsmessig måte, og at arbeidsprosesser er målrettede og effektive. Selv om politikerne har et overordnet ansvar, er det likevel rådmannens ansvar å sørge for en hensiktsmessig virksomhetsstyring. 

 

Risikostyring

Et alminnelig rammeverk for risikostyring er COSO II (2005), som definerer risikostyring slik: 

Helhetlig risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse.

Hvis noe er helhetlig, så kan man lure på om det er behov for noe mer? Velger man risikostyring som verktøy skulle det ikke trengs andre verktøy. Likevel har de færreste kommuner, om noen, kommet så langt, eller rendyrket prinsippet så konsekvent, at det bare benyttes risikostyring. Som regel brukes det som et supplement til mål- og resultatstyring, eller er inkorporert med denne. Jeg skal ikke dvele ved utfordringer dette kan medføre, men konstaterer at målsettinger er en forutsetning for risikostyring; det er faren for ikke å nå mål man vil styre unna, eller å redusere konsekvensene. Målsettinger er også utgangspunktet i mål- og resultatstyringen. 

En prosessuell illustrasjon av risikostyringsprosessen kan være: 

Kommunene, og virksomhetene på ulike nivå, har egne prosesser for å fastsette mål for den kommende perioden. Disse, sammen med utfordringer man ser, danner grunnlaget for risikostyringen. Risikoenes iboende risiko vurderes, man bestemmer seg for hvordan risikoene skal håndteres, samt kartlegger hvilke tiltak som er iverksatt for å redusere risikoene, de man ikke velger å unngå, og til slutt kartlegge gjenværende risiko. Elementer i et verktøy fram mot kartlegging av den iboende risiko kan være: 

Dersom den iboende risikoen er høyere enn det man «vil leve med», må man gjøre noe med den, dvs. redusere den gjennom kontrolltiltak, dele den med andre (forsikre seg mot), eller unngå den ved å «gå ut av» eksponeringen. Hvis risikoen er «levelig», aksepterer man den iboende risikoen. Ved reduksjon gjennom kontrollaktiviteter, skal man prinsipielt vurdere risikoen på nytt for å finne den gjenværende risikoen. Likevel kan det hende man ønsker å utvikle virksomheten mot enda bedre kontroll, dvs. at gjenværende risiko er fortsatt for høy, iverksettes utviklingstiltak. Prosessen kan illustreres slik:  

Det er hensiktsmessig å kjøre risikostyringsprosesser på ulike nivå. Først gjør kommuneledelsen sin overordnede, eller strategiske, vurdering. Etter dette «tagges» risikoeiere, som skal håndtere risikoen videre. Eierne er ofte stab/støtte eller tjenesteområder (etater/virksomheter). Disse kjører egne risikostyringsprosesser, som foruten å håndtere de strategiske risikoene «tildelt» av ledelsen, også har sine egne operative risikoer. 

 

Rapportering på risikostyring

Risikostyring tatt på alvor er en omstendelig prosess, særlig hvis ambisjonene er så noenlunde. Det er lurt å starte overordnet, få ledelsens aksept og engasjement, for deretter å bygge ut styringssystemet. Dertil må styringsprosessen ikke bli en «stand alone»-aktivitet en gang på høsten/vinteren; styring innebærer løpende oppfølging. Derfor bør status i risikoer og aktiviteter rapporteres til ledelsen og evt. styrende organer tertialvis/kvartalsvis. Det er god erfaring med å supplere de verbale vurderingene med «trafikklys» fordi da henleder man oppmerksomheten mot forhold som er mer vesentlig eller hvor avvikene er størst.