Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen.

Liknende presentasjoner


Presentasjon om: "Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen."— Utskrift av presentasjonen:

1 Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen

2 2 Tre hovedpunkter •Riksrevisjonens forventninger (Stortingets krav) •Mål- & resultatstyring, risikostyring – intern kontroll •IT – InformasjonsTeknologi – muligheter og risikoer

3 3 Litt om Riksrevisjonen 500 dyktige medarbeidere -Forvaltningsrevisjon -Regnskapsrevisjon -Selskapskontroll (Statsselskaper med privat revisjon) -Internasjonalt aktive i IFAC, INTO-/EUROSAI,IIA -Internasjonale revisjonsoppdrag: OSCE, IOM, ESA, EFTA BoA, EUMETSAT, EUROCONTROL, IPU. Jobb i Riksrevisjonen?

4 4 Riksrevisjonen – vårt mandat Lov om Riksrevisjonen, 2004 •Riksrevisjonen skal gjennom revisjon, kontroll og veiledning bidra til at statens inntekter blir innbetalt som forutsatt og at statens midler og verdier blir brukt og forvaltet på en økonomisk forsvarlig måte, og i samsvar med Stortingets vedtak og forutsetninger.

5 5 Tre hovedpunkter •Riksrevisjonens forventninger (Stortingets krav) •Mål- & resultatstyring, risikostyring – intern kontroll •IT – InformasjonsTeknologi – muligheter og risikoer

6 6 Riksrevisjonens forventninger (”krav”) 1 •Krav til rød tråd i mål- og resultatstyring: Storting  Departement  Virksomhet – lover & forskrifter, tildelingsbrev, rundskriv mv.

7 7 Riksrevisjonens forventninger (”krav”) 2 •Målstyring – risikostyring – intern kontroll •Målnedbryting – målhierarki •Resultatmåling

8 8 •Mål- og resultatstyring, risikostyring og internkontroll – integrerte prosesser! •Integrert del av virksomhetsstyringen! •Dokumenterte prosesser! Riksrevisjonens forventninger (”krav”) 3

9 9 Utfordringer ved god styring og kontroll •Bryte visjonsaktige mål (politiske mål) ned i målbare størrelser (målindikatorer) •Finne gode (riktige) indikatorer •Faktisk klare å måle på disse indikatorene (resultatmåling) •Kunne stole på rapporteringen (kvaliteten på styringsinformasjonen)

10 10 Eksempel på politisk mål for AID: •Det overordnede målet for politikken på Arbeids- og inkluderingsdepartementets ansvarsområde er at den skal bidra til arbeid, velferd og et inkluderende samfunn gjennom å ta i bruk og utvikle de virkemidler en samlet sosialpolitikk, arbeidsmarkedspolitikk og innvandrings- og integreringspolitikk gir. Departementet skal også ivareta urbefolkningens og de nasjonale minoritetenes rettigheter. Utfordringer ved god styring og kontroll

11 11 Tre hovedpunkter •Riksrevisjonens forventninger (Stortingets krav) •Mål- & resultatstyring, risikostyring – intern kontroll •IT – InformasjonsTeknologi – muligheter og risikoer

12 12 Praktisk risikostyring – detaljering av mål •Konkrete mål på ulike nivåer og på tvers •Risikoer for ikke å nå målet •Tiltak for å kontrollere risikoen (kost/nytte)  Risikoen redusert til akseptabelt nivå?  Se risikoer i sammenheng!!!

13 13 Praktisk risikostyring – detaljering av mål

14 14 Praktisk intern kontroll – dokumentere arbeidsprosesser •Beskrive arbeidsflyten i en prosess •Hvilke funksjoner er involvert •Hvilke kontrolltiltak/nøkkelkontroller skal være på plass (krav) •Hvilke kontrolltiltak/nøkkelkontroller er faktisk på plass (implementert) => Risikoen redusert til akseptabelt nivå ift kontrollmålet (-ene)?

15 15 Kilde: GTAG Application Controls

16 16 SSØs Veileder i risikostyring En god mål- og resultatstyring forutsetter at virksomhetsledelsen kjenner og håndterer de utfordringer eller usikkerheter som kan påvirke måloppnåelse negativt. Senter for statlig økonomistyring (SSØ) har utarbeidet et metodedokument om risikostyring i staten. Metodedokumentet gir deg en veiledning i hvordan din virksomhet kan benytte risikostyring som et verktøy for å oppnå fastsatte mål. + Veileder i Mål- & Resultatstyring – Må sees i sammenheng!!!

17 17 Internkontroll og risikostyring Oppsummert •Krav stilt i bevilgnings- og økonomireglementet •Internkontroll viktig fundament for å styre og nå mål •Risikostyring viktig for å balansere intern kontroll-tiltak ift mål og ressursinnsats – være bevisst hvilke risikoer man tar!

18 18 Kilder til mer informasjon •www.NIRF.org – •www.ISACA.no – – •www.Riksrevisjonen.nowww.Riksrevisjonen.no Samling av dokumenter kan lastes ned her: •www.briskeby.no/KAN2007.zipwww.briskeby.no/KAN2007.zip

19 19 •IT-revisor i metodeseksjonen for regnskaps- og IT-revisjon, Riksrevisjonen •Aktiv i IT-revisorforeningen ISACA Norway •Medlem i IIAs Advanced Technology Committee •Leder for NIRFs Nettverksgruppen IT-revisjon

20 20 KLADD BAK HER

21 21 Stortinget og Riksrevisjonen Stortinget (Grunnloven § 75) •Lovgivende myndighet (rammer) •Bevilgende myndighet (ressurser) •Kontrollerende myndighet (følge opp)

22 22 Stortinget og Riksrevisjonen Riksrevisjonen •Stortingets kontrollorgan •Uavhengig av regjering og forvaltning •Følger opp at Stortingets vedtak og forutsetninger implementeres av regjeringen og forvaltningen => Riksrevisjonen rapporterer til Stortinget

23 23 Risikostyring – Hva forventer Riksrevisjonen? •Krav til internkontroll og risikostyring •Risiko rundt IT-systemer og hvordan dette påvirker praktisk risikostyring •Hva forventer Riksrevisjonen av virksomhetsstyring? Stig J. Sunde, seniorrådgiver, Riksrevisjonen

24 24 Riksrevisjonens oppgaver (1) •Riksrevisjonen skal foreta revisjon av statsregnskapet og alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, herunder forvaltningsbedrifter, forvaltningsorganer med særskilte fullmakter, statlige fond og andre organer eller virksomheter der dette er fastsatt i særlig lov (regnskapsrevisjon). •Riksrevisjonen skal kontrollere forvaltningen av statens interesser i selskaper m.m. (selskapskontroll).

25 25 Riksrevisjonens oppgaver (2) •Riksrevisjonen skal gjennomføre systematiske undersøkelser av økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger (forvaltningsrevisjon). •Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil.

26 26 Riksrevisjonens oppgaver (3) •Riksrevisjonen kan veilede forvaltningen for å forebygge framtidige feil og mangler. •Riksrevisjonen kan påta seg revisjons-, kontroll- eller bistandsoppdrag internasjonalt. •Stortinget i plenum kan pålegge Riksrevisjonen å sette i gang særlige undersøkelser. Stortinget kan ikke instruere Riksrevisjonen om hvordan eller etter hvilke kriterier revisjons- og kontrollarbeidet skal utføres, jf. § 2.

27 27 Tre hovedpunkter •Riksrevisjonens forventninger (Stortingets krav) •Mål- & resultatstyring, risikostyring – intern kontroll •IT – InformasjonsTeknologi – muligheter og risikoer

28 28 Risikoer - IT •80% av IT-risikoer defineres av IT- ledelsen, og ikke av forretningsledelsen •Mindre enn én fjerdedel vurderer eksterne risikoer og trusler regelmessig Kilde: IT Governance Institute –

29 29 Viktigste risikoer for IT-ledere •Sikkerhet (beskyttelse) – 87% •Tilgjengelighet – 85% •Infrastruktur – 81% •Integritet (informasjonskvalitet) – 81% •Prosjekter – 72% •Investeringer – 71% Kilde: IT Governance Institute –

30 30 Risikoer i og rundt IT Mer automatiserte og integrerte systemer Finansielle risikoer: fullstendige, gyldige og nøyaktige transaksjoner fra kilde til hovedbok? Operasjonelle risikoer: interne kontroller i og rundt IT-systemer velfungerende?

31 31

32 32 COSO ERM og COBIT 4.1 IT Governance IT-styring Strategisk tilpasning Verdi- skaping Ressurs- styring Risiko- Styring Prestasjons- måling Kilde: og / COSO ERM (2004) COBIT 4.1 ( )

33 33 Forretningsmål og IT

34 34 IT Governance

35 35

36 36 Kilde: – IT Control Objectives for Sarbanes-Oxleywww.ITGI.org

37 37 IT Governance Institute Intern kontroll over finansiell rapportering

38 38 GTAG-serien - Teknologiveiledninger Alle GTAG’er på engelsk (pdf) fra og GTAG 1: IT Controls GTAG 2: Change and Patch Mgmt Controls GTAG 3: Continuous Auditing GTAG 4: Management of IT Auditing GTAG 5: Privacy risks (personvern) GTAG 6: IT Vulnerabilities GTAG 7: IT Outsourcing GTAG 8: Application Controls (Juni 2007) GTAG nr 1 på norsk i pdf

39 39 Internkontroll og risikovurdering i teori og praksis •Hvilke metoder finnes for å kartlegge internkontroll? •Tiltak for å bedre internkontrollen •Risikovurdering i praksis •Hvordan kan du som controller bidra til å bedre internkontrollen og risikostyringen i din virksomhet?


Laste ned ppt "Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen."

Liknende presentasjoner


Annonser fra Google