Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen
Tre hovedpunkter Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer
Litt om Riksrevisjonen 500 dyktige medarbeidere Forvaltningsrevisjon Regnskapsrevisjon Selskapskontroll (Statsselskaper med privat revisjon) Internasjonalt aktive i IFAC, INTO-/EUROSAI,IIA Internasjonale revisjonsoppdrag: OSCE, IOM, ESA, EFTA BoA, EUMETSAT, EUROCONTROL, IPU. www.Riksrevisjonen.no Jobb i Riksrevisjonen? www.Riksrevisjonen.no/jobbiriksrevisjonen/
Riksrevisjonen – vårt mandat Lov om Riksrevisjonen, 2004 Riksrevisjonen skal gjennom revisjon, kontroll og veiledning bidra til at statens inntekter blir innbetalt som forutsatt og at statens midler og verdier blir brukt og forvaltet på en økonomisk forsvarlig måte, og i samsvar med Stortingets vedtak og forutsetninger.
Tre hovedpunkter Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer
Riksrevisjonens forventninger (”krav”) 1 Krav til rød tråd i mål- og resultatstyring: Storting Departement Virksomhet – lover & forskrifter, tildelingsbrev, rundskriv mv.
Riksrevisjonens forventninger (”krav”) 2 Målstyring – risikostyring – intern kontroll Målnedbryting – målhierarki Resultatmåling
Riksrevisjonens forventninger (”krav”) 3 Mål- og resultatstyring, risikostyring og internkontroll – integrerte prosesser! Integrert del av virksomhetsstyringen! Dokumenterte prosesser!
Utfordringer ved god styring og kontroll Bryte visjonsaktige mål (politiske mål) ned i målbare størrelser (målindikatorer) Finne gode (riktige) indikatorer Faktisk klare å måle på disse indikatorene (resultatmåling) Kunne stole på rapporteringen (kvaliteten på styringsinformasjonen)
Utfordringer ved god styring og kontroll Eksempel på politisk mål for AID: Det overordnede målet for politikken på Arbeids- og inkluderingsdepartementets ansvarsområde er at den skal bidra til arbeid, velferd og et inkluderende samfunn gjennom å ta i bruk og utvikle de virkemidler en samlet sosialpolitikk, arbeidsmarkedspolitikk og innvandrings- og integreringspolitikk gir. Departementet skal også ivareta urbefolkningens og de nasjonale minoritetenes rettigheter.
Tre hovedpunkter Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer
Praktisk risikostyring – detaljering av mål Konkrete mål på ulike nivåer og på tvers Risikoer for ikke å nå målet Tiltak for å kontrollere risikoen (kost/nytte) Risikoen redusert til akseptabelt nivå? Se risikoer i sammenheng!!!
Praktisk risikostyring – detaljering av mål
Praktisk intern kontroll – dokumentere arbeidsprosesser Beskrive arbeidsflyten i en prosess Hvilke funksjoner er involvert Hvilke kontrolltiltak/nøkkelkontroller skal være på plass (krav) Hvilke kontrolltiltak/nøkkelkontroller er faktisk på plass (implementert) => Risikoen redusert til akseptabelt nivå ift kontrollmålet (-ene)?
Kilde: GTAG Application Controls
SSØs Veileder i risikostyring En god mål- og resultatstyring forutsetter at virksomhetsledelsen kjenner og håndterer de utfordringer eller usikkerheter som kan påvirke måloppnåelse negativt. Senter for statlig økonomistyring (SSØ) har utarbeidet et metodedokument om risikostyring i staten. Metodedokumentet gir deg en veiledning i hvordan din virksomhet kan benytte risikostyring som et verktøy for å oppnå fastsatte mål. + Veileder i Mål- & Resultatstyring – Må sees i sammenheng!!!
Internkontroll og risikostyring Oppsummert Krav stilt i bevilgnings- og økonomireglementet Internkontroll viktig fundament for å styre og nå mål Risikostyring viktig for å balansere intern kontroll-tiltak ift mål og ressursinnsats – være bevisst hvilke risikoer man tar!
Kilder til mer informasjon www.NIRF.org – www.TheIIA.org www.ISACA.no – www.ISACA.org – www.ITGI.org www.Riksrevisjonen.no Samling av dokumenter kan lastes ned her: www.briskeby.no/KAN2007.zip
Aktiv i IT-revisorforeningen ISACA Norway www.ISACA.no www.ISACA.org IT-revisor i metodeseksjonen for regnskaps- og IT-revisjon, Riksrevisjonen Aktiv i IT-revisorforeningen ISACA Norway www.ISACA.no www.ISACA.org Medlem i IIAs Advanced Technology Committee www.TheIIA.org Introduksjon Stig J. Sunde, Riksrevisjonen, ISACA – og IIA og NIRF Stig J. Sunde – over 10 års erfaring fra offentlig og privat revisjon, med fokus på revisjon av informasjonssystmer Erfaring fra kommunerevisjon – Ytre Sogn, og Hadeland Erfaring fra intern revisjon/operasjonell revisjon – Postbanken Erfaring fra offentlige og private klienter – PricewaterhouseCoopers Erfaring fra metodeutvikling med fokus på IT-revisjon, og revisjon av offentlige virksomheter - Riksrevisjonen Leder for NIRFs Nettverksgruppen IT-revisjon www.NIRF.org stig.sunde@riksrevisjonen.no
KLADD BAK HER
Stortinget og Riksrevisjonen Stortinget (Grunnloven § 75) Lovgivende myndighet (rammer) Bevilgende myndighet (ressurser) Kontrollerende myndighet (følge opp)
Stortinget og Riksrevisjonen Stortingets kontrollorgan Uavhengig av regjering og forvaltning Følger opp at Stortingets vedtak og forutsetninger implementeres av regjeringen og forvaltningen => Riksrevisjonen rapporterer til Stortinget
Risikostyring – Hva forventer Riksrevisjonen? Krav til internkontroll og risikostyring Risiko rundt IT-systemer og hvordan dette påvirker praktisk risikostyring Hva forventer Riksrevisjonen av virksomhetsstyring? Stig J. Sunde, seniorrådgiver, Riksrevisjonen
Riksrevisjonens oppgaver (1) Riksrevisjonen skal foreta revisjon av statsregnskapet og alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, herunder forvaltningsbedrifter, forvaltningsorganer med særskilte fullmakter, statlige fond og andre organer eller virksomheter der dette er fastsatt i særlig lov (regnskapsrevisjon). Riksrevisjonen skal kontrollere forvaltningen av statens interesser i selskaper m.m. (selskapskontroll).
Riksrevisjonens oppgaver (2) Riksrevisjonen skal gjennomføre systematiske undersøkelser av økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger (forvaltningsrevisjon). Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil.
Riksrevisjonens oppgaver (3) Riksrevisjonen kan veilede forvaltningen for å forebygge framtidige feil og mangler. Riksrevisjonen kan påta seg revisjons-, kontroll- eller bistandsoppdrag internasjonalt. Stortinget i plenum kan pålegge Riksrevisjonen å sette i gang særlige undersøkelser. Stortinget kan ikke instruere Riksrevisjonen om hvordan eller etter hvilke kriterier revisjons- og kontrollarbeidet skal utføres, jf. § 2.
Tre hovedpunkter Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer
Risikoer - IT 80% av IT-risikoer defineres av IT-ledelsen, og ikke av forretningsledelsen Mindre enn én fjerdedel vurderer eksterne risikoer og trusler regelmessig Kilde: IT Governance Institute – www.ITGI.org Hva er forretningsrisikoer? Prosesseiere er forretningsledelsen, og disse må uttale hvilke risikoer de aksepterer. Så må IT tilpasses deretter.
Viktigste risikoer for IT-ledere Sikkerhet (beskyttelse) – 87% Tilgjengelighet – 85% Infrastruktur – 81% Integritet (informasjonskvalitet) – 81% Prosjekter – 72% Investeringer – 71% Kilde: IT Governance Institute – www.ITGI.org
Risikoer i og rundt IT Mer automatiserte og integrerte systemer Finansielle risikoer: fullstendige, gyldige og nøyaktige transaksjoner fra kilde til hovedbok? Operasjonelle risikoer: interne kontroller i og rundt IT-systemer velfungerende? Det finnes veldig gode IT-systemer for de ulike delene av en virksomhets prosesser, utfordringen er integrasjonen (SCM-ERP-CRM). Fullintegrerte automatiserte prosesser medfører at alle kontroller bygges inn i løsningene, og overgangen mellom løsninger blir kritiske. Samtidig vil riktig implementering av relevante kontroller også bidra til å redusere risikoer! Risikoer må vurderes opp mot mål. VIKTIG: IT kontroller har betydning for de finansielle risikoene – gode IT kontroller bidrar til riktig informasjon fra systemene.
COSO ERM og COBIT 4.1 COSO ERM (2004) COBIT 4.1 (2005-2007) IT Governance IT-styring Strategisk tilpasning Verdi- skaping Ressurs- styring Risiko- Styring Prestasjons- måling Kilde: www.NIRF.org og www.ISACA.org / www.ITGI.org
Forretningsmål og IT
IT Governance
Kilde: www.ITGI.org – IT Control Objectives for Sarbanes-Oxley
IT Governance Institute Intern kontroll over finansiell rapportering
GTAG-serien - Teknologiveiledninger Alle GTAG’er på engelsk (pdf) fra www.TheIIA.org og www.NIRF.org GTAG 1: IT Controls GTAG 2: Change and Patch Mgmt Controls GTAG 3: Continuous Auditing GTAG 4: Management of IT Auditing GTAG 5: Privacy risks (personvern) GTAG 6: IT Vulnerabilities GTAG 7: IT Outsourcing GTAG 8: Application Controls (Juni 2007) Fra The IIA’s Advanced Technology Committee. GAIT = Generally Accepted IT Guides (??) GTAG nr 1 på norsk i pdf
Internkontroll og risikovurdering i teori og praksis Hvilke metoder finnes for å kartlegge internkontroll? Tiltak for å bedre internkontrollen Risikovurdering i praksis Hvordan kan du som controller bidra til å bedre internkontrollen og risikostyringen i din virksomhet?