1 / 39

Risikostyring - Hva forventer Riksrevisjonen?

Risikostyring - Hva forventer Riksrevisjonen?. Stig J. Sunde, seniorrådgiver, Riksrevisjonen. Tre hovedpunkter. Riksrevisjonens forventninger (Stortingets krav) Mål- & resultatstyring, risikostyring – intern kontroll IT – InformasjonsTeknologi – muligheter og risikoer. Litt om Riksrevisjonen.

sileas
Download Presentation

Risikostyring - Hva forventer Riksrevisjonen?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Risikostyring - Hva forventer Riksrevisjonen? Stig J. Sunde, seniorrådgiver, Riksrevisjonen

  2. Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer

  3. Litt om Riksrevisjonen 500 dyktige medarbeidere • Forvaltningsrevisjon • Regnskapsrevisjon • Selskapskontroll (Statsselskaper med privat revisjon) • Internasjonalt aktive i IFAC, INTO-/EUROSAI,IIA • Internasjonale revisjonsoppdrag: OSCE, IOM, ESA, EFTA BoA, EUMETSAT, EUROCONTROL, IPU. www.Riksrevisjonen.no Jobb i Riksrevisjonen? www.Riksrevisjonen.no/jobbiriksrevisjonen/

  4. Riksrevisjonen – vårt mandat Lov om Riksrevisjonen, 2004 • Riksrevisjonen skal gjennom revisjon, kontroll og veiledning bidra til at statens inntekter blir innbetalt som forutsatt og at statens midler og verdier blir brukt og forvaltet på en økonomisk forsvarlig måte, og i samsvar med Stortingets vedtak og forutsetninger.

  5. Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer

  6. Riksrevisjonens forventninger (”krav”) 1 • Krav til rød tråd i mål- og resultatstyring:Storting  Departement  Virksomhet – lover & forskrifter, tildelingsbrev, rundskriv mv.

  7. Riksrevisjonens forventninger (”krav”) 2 • Målstyring – risikostyring – intern kontroll • Målnedbryting – målhierarki • Resultatmåling

  8. Riksrevisjonens forventninger (”krav”) 3 • Mål- og resultatstyring, risikostyring og internkontroll – integrerte prosesser! • Integrert del av virksomhetsstyringen! • Dokumenterte prosesser!

  9. Utfordringer ved god styring og kontroll • Bryte visjonsaktige mål (politiske mål) ned i målbare størrelser (målindikatorer) • Finne gode (riktige) indikatorer • Faktisk klare å måle på disse indikatorene (resultatmåling) • Kunne stole på rapporteringen (kvaliteten på styringsinformasjonen)

  10. Utfordringer ved god styring og kontroll Eksempel på politisk mål for AID: • Det overordnede målet for politikken på Arbeids- og inkluderingsdepartementets ansvarsområde er at den skal bidra til arbeid, velferd og et inkluderende samfunn gjennom å ta i bruk og utvikle de virkemidler en samlet sosialpolitikk, arbeidsmarkedspolitikk og innvandrings- og integreringspolitikk gir. Departementet skal også ivareta urbefolkningens og de nasjonale minoritetenes rettigheter.

  11. Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer

  12. Praktisk risikostyring – detaljering av mål • Konkrete mål på ulike nivåer og på tvers • Risikoer for ikke å nå målet • Tiltak for å kontrollere risikoen (kost/nytte) • Risikoen redusert til akseptabelt nivå? • Se risikoer i sammenheng!!!

  13. Praktisk risikostyring – detaljering av mål

  14. Praktisk intern kontroll – dokumentere arbeidsprosesser • Beskrive arbeidsflyten i en prosess • Hvilke funksjoner er involvert • Hvilke kontrolltiltak/nøkkelkontroller skal være på plass (krav) • Hvilke kontrolltiltak/nøkkelkontroller er faktisk på plass (implementert) => Risikoen redusert til akseptabelt nivå ift kontrollmålet (-ene)?

  15. Kilde: GTAG Application Controls

  16. SSØs Veileder i risikostyring En god mål- og resultatstyring forutsetter at virksomhetsledelsen kjenner og håndterer de utfordringer eller usikkerheter som kan påvirke måloppnåelse negativt. Senter for statlig økonomistyring (SSØ) har utarbeidet et metodedokument om risikostyring i staten. Metodedokumentet gir deg en veiledning i hvordan din virksomhet kan benytte risikostyring som et verktøy for å oppnå fastsatte mål. + Veileder i Mål- & Resultatstyring – Må sees i sammenheng!!!

  17. Internkontroll og risikostyring Oppsummert • Krav stilt i bevilgnings- og økonomireglementet • Internkontroll viktig fundament for å styre og nå mål • Risikostyring viktig for å balansere intern kontroll-tiltak ift mål og ressursinnsats – være bevisst hvilke risikoer man tar!

  18. Kilder til mer informasjon • www.NIRF.org – www.TheIIA.org • www.ISACA.no – www.ISACA.org – www.ITGI.org • www.Riksrevisjonen.no Samling av dokumenter kan lastes ned her: • www.briskeby.no/KAN2007.zip

  19. IT-revisor i metodeseksjonen for regnskaps- og IT-revisjon, Riksrevisjonen • Aktiv i IT-revisorforeningen ISACA Norwaywww.ISACA.nowww.ISACA.org • Medlem i IIAs Advanced Technology Committeewww.TheIIA.org • Leder for NIRFs Nettverksgruppen IT-revisjon www.NIRF.org stig.sunde@riksrevisjonen.no

  20. KLADD BAK HER

  21. Stortinget og Riksrevisjonen Stortinget (Grunnloven § 75) • Lovgivende myndighet (rammer) • Bevilgende myndighet (ressurser) • Kontrollerende myndighet (følge opp)

  22. Stortinget og Riksrevisjonen Riksrevisjonen • Stortingets kontrollorgan • Uavhengig av regjering og forvaltning • Følger opp at Stortingets vedtak og forutsetninger implementeres av regjeringen og forvaltningen => Riksrevisjonen rapporterer til Stortinget

  23. Risikostyring – Hva forventer Riksrevisjonen? • Krav til internkontroll og risikostyring • Risiko rundt IT-systemer og hvordan dette påvirker praktisk risikostyring • Hva forventer Riksrevisjonen av virksomhetsstyring? Stig J. Sunde, seniorrådgiver, Riksrevisjonen

  24. Riksrevisjonens oppgaver (1) • Riksrevisjonen skal foreta revisjon av statsregnskapet og alle regnskaper avlagt av statlige virksomheter og andre myndigheter som er regnskapspliktige til staten, herunder forvaltningsbedrifter, forvaltningsorganer med særskilte fullmakter, statlige fond og andre organer eller virksomheter der dette er fastsatt i særlig lov (regnskapsrevisjon). • Riksrevisjonen skal kontrollere forvaltningen av statens interesser i selskaper m.m. (selskapskontroll).

  25. Riksrevisjonens oppgaver (2) • Riksrevisjonen skal gjennomføre systematiske undersøkelser av økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger (forvaltningsrevisjon). • Riksrevisjonen skal gjennom revisjonen bidra til å forebygge og avdekke misligheter og feil.

  26. Riksrevisjonens oppgaver (3) • Riksrevisjonen kanveilede forvaltningen for å forebygge framtidige feil og mangler. • Riksrevisjonen kan påta seg revisjons-, kontroll- eller bistandsoppdrag internasjonalt. • Stortinget i plenum kan pålegge Riksrevisjonen å sette i gang særlige undersøkelser. Stortinget kan ikke instruere Riksrevisjonen om hvordan eller etter hvilke kriterier revisjons- og kontrollarbeidet skal utføres, jf. § 2.

  27. Tre hovedpunkter • Riksrevisjonens forventninger (Stortingets krav) • Mål- & resultatstyring, risikostyring – intern kontroll • IT – InformasjonsTeknologi – muligheter og risikoer

  28. Risikoer - IT • 80% av IT-risikoer defineres av IT-ledelsen, og ikke av forretningsledelsen • Mindre enn én fjerdedel vurderer eksterne risikoer og trusler regelmessig Kilde: IT Governance Institute – www.ITGI.org

  29. Viktigste risikoer for IT-ledere • Sikkerhet (beskyttelse) – 87% • Tilgjengelighet – 85% • Infrastruktur – 81% • Integritet (informasjonskvalitet) – 81% • Prosjekter – 72% • Investeringer – 71% Kilde: IT Governance Institute – www.ITGI.org

  30. Risikoer i og rundt IT Mer automatiserte og integrerte systemer Finansielle risikoer: fullstendige, gyldige ognøyaktige transaksjoner fra kilde til hovedbok? Operasjonelle risikoer: interne kontroller i og rundt IT-systemer velfungerende?

  31. Strategisk tilpasning Verdi-skaping IT Governance IT-styring Risiko- Styring Prestasjons-måling Ressurs- styring COSO ERM og COBIT 4.1 COSO ERM (2004) COBIT 4.1 (2005-2007) Kilde: www.NIRF.org og www.ISACA.org / www.ITGI.org

  32. Forretningsmål og IT

  33. IT Governance

  34. Kilde: www.ITGI.org – IT Control Objectives for Sarbanes-Oxley

  35. IT Governance Institute Intern kontroll over finansiell rapportering

  36. GTAG-serien - Teknologiveiledninger Alle GTAG’er på engelsk (pdf) fra www.TheIIA.org og www.NIRF.org GTAG 1: IT Controls GTAG 2: Change and Patch Mgmt Controls GTAG 3: Continuous Auditing GTAG 4: Management of IT Auditing GTAG 5: Privacy risks (personvern) GTAG 6: IT Vulnerabilities GTAG 7: IT Outsourcing GTAG 8: Application Controls (Juni 2007) GTAG nr 1 pånorsk i pdf

  37. Internkontroll og risikovurdering i teori og praksis • Hvilke metoder finnes for å kartlegge internkontroll? • Tiltak for å bedre internkontrollen • Risikovurdering i praksis • Hvordan kan du som controller bidra til å bedre internkontrollen og risikostyringen i din virksomhet?

More Related