Håndbok for styrings- og kvalitetssystemet i Troms - Ansatte - Troms ...

Styrings- og
kvalitetssystemet
i Troms
fylkeskommune
Dokumentet er beskrivelse av styringssystemet for Troms
fylkeskommune. Dokumentet skal oppdateres årlig.
april 17
2012
Internkontroll

Innholdsfortegnelse
Oversikt over figurer ............................................................................................................................ 2
1. Håndbok for Troms fylkeskommunes styrings- og kvalitetssystem .................................... 3
1.1 Innledning: .................................................................................................................................. 3
1.1.1 Målet med styrings- og kvalitetssystemet: ....................................................................... 3
1.1.2 Definisjoner: ......................................................................................................................... 3
1.2 Litt bakgrunn om virksomhetsstyring .................................................................................... 4
1.2.1 Sammenlikning av rammeverk for virksomhetsstyring ................................................ 4
Sammenligning av rammeverk:....................................................................................................... 6
1.3 Troms fylkeskommunes styrings- og kvalitetssystem .......................................................... 6
1.4 Utvikling og etablering av et helhetlig internkontrollsystem (styrings- og
kvalitetssystem) i Troms fylkeskommune .................................................................................... 7
2. Styringssystemet og målhierarkiet ............................................................................................. 7
2.1 Fylkeskommunens mål .............................................................................................................. 7
2.2 Sammenhengen mellom overordnede mål og daglige operasjonelle aktiviteter .............. 8
2.3 Den røde tråden mellom styringsverktøy og rapportering ................................................ 10
2.3.1 Økonomiplanen og budsjettet ......................................................................................... 10
2.4 Andre styringsdokumenter ..................................................................................................... 12
2.4.1 Forvalting av fylkeskommunens eierskap ..................................................................... 12
2.4.2 Etatsmelding....................................................................................................................... 12
2.4.1 Mal for etatsmeldinger: ..................................................................................................... 13
2.5 Årshjul for styrings- og kvalitetssystemet: ........................................................................... 13
3 Roller og ansvar i fylkeskommunens styrings- og kvalitetssystemet ...................................... 14
Systemeier og eller kvalitetssjef ................................................................................................ 16
Nivå 1: Senterlederne (fellesprosesser) ................................................................................... 16
Nivå 2: Etatssjefene er ansvarlig for: ........................................................................................ 17
Nivå 3: Etatssjef/senterleder er ansvarlig for (eventuelt delegert til systemansvarlig for
nivå 3): .......................................................................................................................................... 17
Nivå 4: Etatssjef/senterleder er ansvarlig for (eventuelt delegert til systemansvarlig for
nivå 4): .......................................................................................................................................... 17
4.2 Forankring i organisasjonen:................................................................................................... 18
3.2.1 Revisjon av systemet ......................................................................................................... 18
1

4 Metode for beskrivelse av arbeidsprosess og risiko- og vesentlighetsvurderinger .......... 19
4.1 Hva er risiko .............................................................................................................................. 19
Trinn 1: Kartlegging av arbeidsprosesser ................................................................................... 20
Trinn 2: Risikokartlegging ............................................................................................................. 20
Metode for gjennomføring av risikokartlegging: ................................................................... 20
Tips til gjennomføring av prosessen: ....................................................................................... 20
Trinn 3: Vurdering av risiko/Risikoklassifisering ...................................................................... 21
Trinn 4: Fra risiko til kontroll ........................................................................................................ 21
4.2 Dokumentering av prosessen i risikomatrise ....................................................................... 22
4.3 Hvor høy må risikoen være før den utløser behov for tiltak? ............................................ 22
4.3.1 Vurdering av sannsynlighet ............................................................................................. 22
4.3.2 Vurdering av konsekvens? ............................................................................................... 23
4.4 Mal arbeidsprosess ................................................................................................................... 24
5 Videre fremdrift ............................................................................................................................... 25
5.1 Arbeidsgruppe 2: ...................................................................................................................... 25
5.1.1 Plan for gjennomføring av beskrivelse av arbeidsprosesser og risiko- og
vesentlighetsvurderinger: ......................................................................................................... 25
5.2 Arbeidsgruppe 3: Tiltaksmål for internkontrollen og for de ulike arbeidsprosessene .. 25
5.3 Arbeidsgruppe 4: Avvikshåndtering ..................................................................................... 25
5.4 Arbeidsgruppe 5 ....................................................................................................................... 25
5.4.1 Arbeidsgruppen har sett på hva et teknisk hjelpemiddel for internkontrollen bør
ivareta? Hva skal kravspesifikasjonen være? ......................................................................... 25
5.4.1 Andre kvalitetssystemer: .................................................................................................. 26
Oversikt over figurer
Figur 1, sammenheng mellom virksomhetsstyring, risikostyring og internkontroll .................. 4
Figur 2, Eksempel på en styringsmodell der virksomhetsstyring, risikostyring og
internkontroll inngår. .................................................................................................................. 4
Figur 3, Sammenligning av rammeverk. .................................................................................... 6
Figur 4, PWCs modenhetsnivå for internkontroll. ..................................................................... 6
Figur 5, Målhierarkiet og rapporteringspunkter. ........................................................................ 9
Figur 6, Nivåene i internkontrollen. ......................................................................................... 15
2

1. Håndbok for Troms fylkeskommunes styrings- og
kvalitetssystem
1.1 Innledning:
1.1.1 Målet med styrings- og kvalitetssystemet:
Styrings- og kvalitetssystemet, herunder internkontrollen, i Troms fylkeskommune skal gi
ledelsen trygghet i at virksomheten drives i samsvar med lover, retningslinjer og at driften er
effektiv i forhold til ressursbruk. Det tilsier at rapportering på virksomheten og eventuelle
avvik må behandles av styringsnivået.
Styrings- og kvalitetssystemet skal også gi de ansatte trygghet i arbeidet ved at det er etablert
ett sted for informasjon om arbeidsprosesser, rutiner, lover og regelverk/retningslinjer og
oversikt over organisasjonens mål. Systemet skal bidra til økt kvalitet på de tjenestene som
Troms fylkeskommune tilbyr.
Systemet skal være basert på risikovurderinger, klarlagt ansvar for gjennomføring, rutiner for
dokumentering av kontrollbevis og nødvendig internkontrollkompetanse i hele
organisasjonen.
1.1.2 Definisjoner:
Styringssystem eller virksomhetsstyring:
Virksomhetsstyring omfatter alle ledelses- og styringsprosesser som gjennomføres i en
fylkeskommune for å etablere og operasjonalisere virksomhetens mål og strategier. I
virksomhetsstyring inngår risikostyring og internkontroll. Med andre ord er styringssystem
eller virksomhetsstyring et mer omfattende begrep enn internkontroll.
Internkontroll:
«Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres
og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i
virksomhetens arbeidsprosesser» 1 .
Styrings- og kontrollmiljøet:
God risikostyring forutsetter et sunt styrings- og kontrollmiljø. Et sunt styrings- og
kontrollmiljø vil motivere til målrettet innsats og styring. Styrings- og kontrollmiljøet
omfatter kulturen i organisasjonen som bør påvirke de ansattes holdning til risikostyring
positivt, slik at organisasjonen oppnår en sikker og forsvarlig drift 2 .
System: Ordet system brukes om hele internkontrollsystemet, og ikke en teknisk
løsning/hjelpemiddel for internkontrollen.
Risikovurdering: Summen av sannsynligheten for at en hendelse inntreffer, og de
konsekvensene hendelsen kan medføre. Risiko = sannsynlighet x konsekvens.
1 Rapport til Kommunal- og regionaldepartementet; Internkontroll i kommuner, PWC 2009
2 Risikostyring i staten – håndtering av risiko i mål- or resultatstyring, Senter for statlig økonomistyring.
3

Vesentlighetsvurdering: Informasjon er vesentlig dersom feil i, eller utelatelse av
informasjon kan påvirke avgjørelser. Utrykker en grenseverdi eller terskel som informasjonen
må ha for å være til nytte.
1.2 Litt bakgrunn om virksomhetsstyring
Virksomhetsstyring omfatter alle ledelses- og styringsprosesser som gjennomføres i en
fylkeskommune for å etablere og operasjonalisere virksomhetens mål og strategier. Mål- og
resultatstyring/balansert målstyring er det dominerende styringsprinsippet i norske kommuner.
I virksomhetsstyring inngår risikostyring og internkontroll. Figuren under viser
sammenhengen mellom virksomhetsstyring, risikostyring og internkontroll (hentet fra rapport
Styrking av administrasjonssjefens internkontroll og risikovurdering, KPMG s. 47).
Figur 1, sammenheng mellom virksomhetsstyring, risikostyring og internkontroll
Figur 2 viser et eksempel på en styringsmodell der virksomhetsstyring, risikostyring og
internkontroll inngår (fra rapport Styring av administrasjonssjefens internkontroll og
risikovurdering, KPMG s. 42):
Figur 2, Eksempel på en styringsmodell der virksomhetsstyring, risikostyring og internkontroll inngår.
1.2.1 Sammenlikning av rammeverk for virksomhetsstyring
(hentet fra rapport til Kommunal- og regionaldepartementet: Internkontroll i kommuner,
utarbeidet av PWC)
4

1.2.1.1 COSO-rammeverket:
Har sin opprinnelse i regnskap og revisjon. Hensikten med å innarbeide Coso i styringen av
en kommune eller bedrift er fremfor alt risikoreduksjon. Primære fokus i rammeverket er
målrettet og kostnadseffektiv drift, pålitelig ekstern regnskapsrapportering og overholdelse av
lover og regler. Den sentrale arbeidsmetodikken gjengis gjerne som kontrollmiljørisikovurderinger-kontrollaktiviteter-informasjon
og kommunikasjon-ledelsesmessig
oppfølging/overvåking. Arbeidsmetodikken i COSO referer til kontrollaktiviteter ikke
arbeidsprosesser.
1.2.1.2 ISO 9001 Kvalitetssystem
ISO 9001 Kvalitetssystem har sin opprinnelse i produksjonsbedrifter. Økt fokus på forbedring
og utvikling, kvalitet i arbeidsprosesser, erfarings basert læring og tilfredsstillelse av kunder,
leverandører og samarbeidspartnere. Den sentrale arbeidsmetodikken gjengis gjerne som
Planlegg – Utfør – Kontroller – Korriger.
Noen kommuner har valgt å etablere rammeverket på enkelte arbeidsprosesser, mens andre
bruker det som en standard for kvalitetsarbeid i kommunen. Arbeidsmetodikken har fokus på
kontrollaktiviteter.
1.2.1.3 Balansert målstyring
Mål- og resultatstyring (MRS) har sin opprinnelse i praksisnær ledelsesteori. Økt fokus på
måloppnåelse og strategisk styring. Den mest vanlige operasjonaliseringen av MRS er
Balansert målstyring (BMS).
Tre av fire norske kommuner rapporterer at de har innført MRS og 2 av 4 av kommunene har
innført MRS i form av BMS. Utbredelsen av BMS i kommunesektoren har vært understøttet
av at Kommunal- og regionaldepartementet og KS som har utarbeidet veiledere og verktøy for
dette formålet.
Sentrale aspekter med BMS-arbeidsmetodikk er strategisk planlegging av arbeidsprosesser,
utarbeidelse av målekart som operasjonaliserer strategiske mål (gjerne som involverende
prosess), kartlegging av måloppnåelse og å trekke implikasjoner for ledelse og videre
planlegging.
5

Sammenligning av rammeverk:
Figur 3, Sammenligning av rammeverk.
Ofte er det videreutviklede versjoner i omløp.
1.3 Troms fylkeskommunes styrings- og kvalitetssystem
I forprosjektet Internkontroll i Troms fylkeskommune skisserte de innleide konsulentene en
«Best praksis» for styring/internkontroll:
«Internkontroll må tilpasses virksomhetens egenart og risiko». Løsninger, systemer og
tilnærminger varierer, men bør inneholde følgende hovedelement:
1. Styrings- og kontrollmiljø
2. Risikovurderinger og kontrollaktiviteter
3. Overvåking og oppfølging
Det er etter disse anbefalingene Troms fylkeskommune nå bygger vårt styrings- og
kvalitetssystem på. Selv Om KPMG ikke brukte betegnelsen COSO i sin rapport, er
hovedelementene sammenfallende med COSO-rammeverket.
Det vises til PWCs modenhetsnivå for internkontroll:
Figur 4, PWCs modenhetsnivå for internkontroll.
6

Vi har i hovedprosjektet satt som mål at vi skal være på nivå 3 etter endt prosjektperiode.
På sikt må vi vurdere hvilke styringsmekanismer som bør bygges på styrings- og
kvalitetssystemet.
1.4 Utvikling og etablering av et helhetlig internkontrollsystem (styrings-
og kvalitetssystem) i Troms fylkeskommune
Arbeidet med utviklingen av internkontrollsystemet i Troms fylkeskommune har vært
prosjektorganisert. I prosjektets styringsgruppe har hele sentraladministrasjonen vært
representert. Styringsgruppen har bestått av alle assisterende etatssjefer, alle senterlederne,
representant fra tillitsvalgte, fylkeshovedverneombud og controller. Styringsgruppen har hatt
en viktig rolle med å forankre prosjektet i organisasjonen.
Prosjektarbeidet har væt delt inn i 5 ulike arbeidsgrupper som har jobbet med ulike
identifiserte utviklingsområder. Arbeidsgruppene har vært sammensatt av representanter fra
styringsgruppen og øvrige ressurspersoner i fylkeskommunen. Arbeidsgruppene har vært delt
inn i følgende utviklingsområder:
- Internkontroll som styringsverktøy – rapporteringsrutiner
- Styringssystemet og målhierarkiet
- Roller og ansvar i internkontrollen
- Metode for selvevaluering, risiko- og vesentlighetsvurderinger
- Vurdering av teknisk hjelpemiddel for håndtering av kontrollaktiviteter og dokumentflyt
Samlet skal utviklingsområdene beskrive det overordnede styrings- og kvalitetssystemet for
Troms fylkeskommune.
2. Styringssystemet og målhierarkiet
2.1 Fylkeskommunens mål
Fylkeskommunen har i hovedsak to grupper av målsettinger: 1. politiske mål og
organisatoriske mål.
Eksempel på et politisk mål: Kommunikasjon og infrastruktur i Troms skal forvaltes og
utvikles på en bærekraftig måte for å gi samfunns- og næringsliv gode vilkår for utvikling og
markedstilgang.
Eksempel på et organisasjonsmål: Vi skal oppnå høy brukertilfredshet hos brukerne av våre
forvaltningstjenester.
De organisatoriske målene sier noe om hvordan vi skal nå de overordnede politiske målene.
En organisasjon har mange og ulike mål som ofte kan være i konflikt med hverandre. Særlig
vil offentlige organisasjoner ha motstridende mål. For eksempel mål om at administrasjonen
skal bli mer kostnadseffektiv, samtidig som det er mål om at tjenestene som leveres skal bli
bedre.
7

2.2 Sammenhengen mellom overordnede mål og daglige operasjonelle
aktiviteter
Troms fylkeskommune jobber utfra et langsiktig plandokument – fylkesplanen. Per i dag er
det fylkesplanen og tiltredelseserklæringen til fylkesrådet som utgjør de overordnede politiske
målene til fylkeskommunen. Fylkesplanen er et overordnet plandokument som gjelder for
hele fylket. Dermed er det et rundt formulert dokument. Prioriteringer av mål i fylkesplanen
operasjonaliseres i ulike handlingsdokumenter/sektorplaner.
Fylkeskommunen har flere handlingsdokument; regionalt utviklingsprogram (langsiktig og
årlig), økonomiplan og årsbudsjett. I tillegg til dette har de ulike sektorene egne tiltaksplaner.
Alle planene skal være forankret i fylkesplanen, og de årlige plandokumentene skal reflektere
de kortsiktige satsingsområdene/prioriteringene til fylkeskommunen. Det er en naturlig
sammenheng mellom sektorplaner og fylkesplanen, da det er etatene selv som kommer med
innspill.
Etatene og sentrene har egne organisatoriske mål som er godkjent i forbindelse med
godkjenning av organisasjonsplaner. Prosessen for dette er adskilt fra øvrige plan-
/målprosesser. Imidlertid er ikke målene helt adskilt/selvstendig fra de overordnede målene –
men målene kan være i konflikt med overordnede politiske mål. For eksempel mål om
effektivitet satt opp mot ansettelsesstopp innen for ett sektorområde.
Det kan også legges til at endringer i pbl §7-2, 2. ledd, endrer det plansystemet som
fylkeskommunen har i dag. Det skal nå utarbeides regionale planstrategier. Det er
planstrategien som skal definere hvilke planverk fylkeskommunen skal ha. Planstrategien skal
utarbeides i 2012. Regional planstrategi skal utarbeides i samarbeid med et utvidet
partnerskap; regional stat, kommuner og øvrige samarbeidsparter. Det er fortsatt ikke avklart
om det skal være en overordnet fylkesplan eller om fylkeskommunen skal ha regionale planer
innenfor ulike områder. Planene forutsetter tilhørende handlingsplaner med klart definert
ansvar for oppfølging. For målstrukturen betyr det at målene enten vil være definert i en
fylkesplan – som før, eller er definert av de ulike regionale planene. På siden av denne
målstrukturen vil fylkeskommunen også måtte forholde oss til tiltredelseserklæringen til
fylkesrådet, som sier noe om prioriteringene til rådet i valgperioden (på ulike nivå)
Dagens politiske målhierarki og rapporteringspunkter kan skjematisk fremstilles slik:
8

Fylkesplanen
Langsiktige
planer
Årlige
handlingsprogram
Org. mål
•Vedtas av fylkestinget
•Vedtas av fylkestinget
•RUP/RDA, Økonomiplan, transport og andre sektorplaner
•Vedtas av fylkesrådet
•RUP/RDA, sektorplaner og årsbudsjett (vedtas av fylkestinget)
•Vedtas av fylkesrådet
•Utarbeides av etatene/sentrene selv
Figur 5, Målhierarkiet og rapporteringspunkter.
Fylkesrådets
årsberetning,
Rapportering på
virkemiddelbruk,
budsjettprosessene
Budsjettprosesser
Rapporteringspunkter
Troms fylkeskommune har også nasjonale forvaltningsoppgaver. Det betyr at i tillegg til
overstående må nasjonale føringer og planverk innenfor ulike sektorer og arbeidsområder tas
hensyn til.
9

2.3 Den røde tråden mellom styringsverktøy og rapportering
Styrings- og kvalitetssystemet er et verktøy for at fylkeskommunen skal ha god styring med
virksomheten og bidra til bedre kvalitet i de tjenestene som leveres.
I prosjektarbeidet har det blitt identifisert et utviklingspotensial i forbindelse med
rapportering. Følgende områder er identifisert:
• Rapportering/evaluering av gjeldende planer for de ulike fagområdene.
• Det er behov for å plukke ut styringsdata og følge opp med jevnlig rapportering
som brukes aktivt til virksomhetsstyring
• Rapportering på andre parameter enn økonomi, også ledelsesaktiviteter.
• Tydeliggjøre den røde tråden i målhierarkiet vårt. Målene bør tydeliggjøres i
handlingsplaner og at det bør rapporteres i forhold til dette.
• Minst like viktig som å få på plass riktig rapportering, er å bruke den i styring og
evaluering av ledelse.
• Det bør rapporteres flere ganger i året i forhold til målstyring
• Rapportering på om samarbeidsstrukturer overholdes/fungerer
• Risiko- og trusselvurdering.
Det er identifisert noen nøkkelprosesser, og arenaer der styring og internkontroll skal/bør
være et tema. Det er også utarbeidet forslag til rutiner for rapportering oppover i systemet som
imøtekommer utfordringene nevnt innledningsvis. Økonomi- og budsjettprosessene har blitt
identifisert som nøkkelprosesser.
2.3.1 Økonomiplanen og budsjettet
Handlingsplanen til sektorene skal operasjonaliseres i økonomiplan og budsjett.
Målsettingene i økonomdokumentene skal formuleres eksplisitt og tiltak skal hjemles i
forhold til de prioriteringene som ligger i sektorplanene. Økonomiplan og budsjett vil da
fungere bedre som et styringsverktøy og forenkle rapportering på hva som er oppnådd i
planperioden. Den røde tråden i planhierarkiet vil samtidig synliggjøres, og det vil være en
rød tråd tilbake til fylkestinget gjennom fylkesrådets årsberetning.
Prosessene skal ikke begrense handlingsrommet, men bidra til at økonomiplanen og budsjett
blir et bedre styringsverktøy med mer langsiktige linjer. For å styrke dokumentene bør
økonomiplan- og budsjettprosessene gjennomføres hver for seg:
Økonomiplanprosessen
Periode Aktivitet
Januar 1. Økonomiplanarbeidet starter med at fylkesrådet gjennomgår en analyse av de økonomiske
utsiktene for de neste 4 årene.
2. I forbindelse med denne gjennomgangen bestemmer fylkesrådet hvordan
økonomiplanprosessen skal gjennomføres og hvilket ambisjonsnivå man skal legge seg på.
Februar
Mars
3. Sektorene skal redegjøre for nye tiltak som bør iversksettes.
4. Eventuelt også et opplegg med innsparing for en, flere eller alle sektorer.
5. Økonomiplankonferanse der det tas stilling til forslagene til innsparinger og nye tiltak
6. Eventuelt en økonomiplankonferanse II der de endelige planleggingsrammer for den enkelte
sektor fastsettes.
10

Mars –
medio april
Mai
Juni
7. Sektorene utarbeider handlingsplaner for de neste 4 år innenfor de vedtatte planrammer
8. Fylkesrådet utarbeider det endelige forslaget til økonomiplan.
9. Fylkesrådet vedtar innstilling til økonomiplan.
10. Økonomiplanen behandles i fylkestinget i juni
11. Utsendelse av budsjettrundskriv til sektorene for årsbudsjettet for det påfølgende året.
Budsjettprosess – årsbudsjettet
Periode Aktivitet
Juni 1. Økonomisenteret sender ut et budsjettrundskriv til alle sektorer. Her framgår
budsjettrammene for den enkelte sektor samt investeringsrammene fordelt på prosjekt
September
Oktober
November
Desember
2. Først i måneden rapporterer alle etatssjefer om hvordan økonomiplanvedtaket er fulgt opp.
Denne rapporten skal bl.a. inneholde om det har skjedd endringer etter at økonomiplanen som
gjør at det ikke er mulig å realisere vedtatt aktivitet innenfor vedtatte budsjettrammer.
3. Økonomisenteret koordinerer rapportene og legger de frem for fylkesrådet som tar stilling til
hva som skal gjøres med eventuelle avvik, dvs. skal økonomiplanrammene endres?
4. Statsbudsjettet legges frem i begynnelsen av oktober.
5. Økonomisenteret gjennomgår statsbudsjettet og vurderer dette opp mot forutsetningene
økonomiplanen.
a. Eventuelle avvik må implementeres i økonomiplanen.
b. Justering av budsjett- og økonomiplan i hht statsbudsjettet.
6. Dialogmøte med medbestemmelsesapparatet.
7. Medio oktober frist for etatene og levere budsjettforslag og tekst.
8. Fylkesrådet fastsetter de endelige sektorrammer og investeringsbudsjett.
9. Økonomisenteret ferdigstiller fylkesrådets forslag til budsjett.
10. Fylkesrådet vedtar innstilling til budsjett medio november.
11. Fylkestinget behandler budsjettet i begynnelsen av desember
12. Økonomisenteret oppdaterer budsjettet med eventuelle endringer som ble gjort i fylkestinget
13. Det endelige budsjett trykkes opp og sendes ut til den politiske ledelse og budsjettansvarlige i
fylkeskommunen
Videre er det utarbeidet maler i forbindelse med økonomi- og budsjettprosessene. Malene skal
bidra til å systematisere og synliggjøre mål og prioriteringer i styringsdokumentene og være
en del av bestillingene til hva etatene/sentrene skal levere i forbindelse med økonomi- og
budsjettplanprosessene:
2.3.1.1 Mal økonomiplan
Hovedprioriteringer: Kort oppsummering av hva som prioriteres og hvordan
prioriteringene er hjemlet i gjeldende planverk.
Mål 1: Feks: alle elever og lærlinger skal inkluderes og oppleve mestring
Tilstandsvurdering
Strategier og tiltak
Eventuelle undermålsettinger/konkretiseringer med tilstandsvurdering og tiltak
Mål 2: Tilstandsvurdering
Strategier og tiltak
11

Eventuelle under målsettinger/konkretiseringer med tilstandsvurdering og tiltak
2.3.1.2 Mal sektorbidrag budsjett
Budsjett med tall/tabeller – nye bevilgninger/innsparinger
Tekst forklaring for budsjettet: Hva benyttes midlene til
Mål for år t
Rapport år t-2
Budsjettforslag år t
I tillegg må prioriteringer hjemles til gjeldene planverk.
2.4 Andre styringsdokumenter
2.4.1 Forvalting av fylkeskommunens eierskap
Fylkeskommunens utøvelse av eierskap er hjemlet i reglement for fylkesrådet i Troms (§§ 30-
34).
Det er fylkestinget som avgjør representasjon i rådgivende organer ut fra hva som samlet sett
vil tjene fylkeskommunens interesser. Det er også fylkestinget som trekker opp og utformer
den overordnede eierskapspolitikken og innstiller på fylkeskommunens representanter til
bedriftsforsamlinger. Imidlertid skal fylkesrådet forestå en aktiv forvaltning av
fylkeskommunens eierskap, men det skal årlig rapporteres tilbake til fylkestinget om status og
utvikling i eierskapsengasjementene. Det er også fylkesrådet som representerer
fylkeskommunen i generalforsamlinger og utøver eierskapspolitikken.
For å styrke forvaltingen av eierskapet skal det fra høsten 2012 gjennomføres kursing av
fylkeskommunens representanter i bedriftsforsamlinger, generalforsamlinger og styrer. Kurset
skal gjennomgå generell informasjon om fylkeskommunens rolle i ulike eierskapsformer,
eierstrategi/aktivt eierskap og eierstyring, samt gjeldende lover og regler. I tillegg skal
forholdet mellom eier og daglig leder belyses, ansvar, praktisk styrearbeid og styreevaluering.
Tilbudet bør bli fast i forbindelse med konstituering av nytt fylkesting.
2.4.2 Etatsmelding
Koblingen mellom de overordnede politiske dokumentene og de operasjonelle målene kan
styrkes ved at etatene/sentrene leverer etatsmeldinger. Ved at informasjon om den ordinære
driften når frem til beslutningstakerne vil det bidra til bedre kontroll og styring.
Årsmeldingene bør inneholde informasjon om hvor langt man har kommet i
plandokumentene, endrede prioriteringer, gjennomføring av risiko- og
vesentlighetsvurderinger og organisatoriske mål. I tillegg bør en slik rapport også si noe om
eventuelle avviksmeldinger og oppfølgingen av disse. Etatsmeldingene bør være en del av
fylkesrådets årsberetning.
12

2.4.1 Mal for etatsmeldinger:
- måloppnåelse, prioriteringer i forhold til sektorplaner – hva har man oppnådd?
- gjennomføring av risiko- og vesentlighetsvurderinger – må det iverksettes nye tiltak?
- avvik (etterhvert) og oppfølging av disse
2.5 Årshjul for styrings- og kvalitetssystemet:
Følgende nøkkelprosesser foregår i fylkeskommunen, der internkontroll skal være et tema,
både på formelt og uformelt nivå.
- Budsjettoppfølging (pr. oktober)
- Internrevisjon
- Planer for analyser,
risikovurderinger,
forbedringsprosesser neste år
- Budsjettbehandling t+1
- Risiko og vesentlighetsvurderinger
(alle nivåer)
- Oppdatering rutiner og prosedyrer –
forbedringsprosedyrer?
- Budsjettoppfølging (31.8.)
- Eierskapsopplæring (hvert 4. år)
4. kvartal
1. kvartal
3. kvartal
2. kvartal
- Avslutning årsregnskap
- Årsberetning
- Rapportering på internkontroll
- Årsrapport finansforvaltning
- Regnskapsavleggelse og
årsberetning, inkludert etatsmeldinger
- Rapportering på virkemiddelbruk
- Budsjettoppfølging (30.4.)
- Finansrapport (30.4.)
- Økonomiplanbehandling (år t+1)-(år
t+5)
13

Oversikt over styringsprosesser og kontaktflater
Nivå Prosesser
Budsjett- og
økonomiplanprosesser
1
1
1
Regnskapsavleggelse og
årsberetning
Behandles
av Kontaktpunkter Ansvarlig Tidspunkt
FR/FT budsjett- og
Økonomisenteret Budsjettoppfølging
økonomiprosessene: -
til fylkestinget 3.
Budsjettkonferanse, innspill
ganger per år
FT Interkontroll bør omtales. Økonomisenteret 1 per år
FT Økonomisenteret Økonomisenteret 3 ganger per år
inkl. årsrapport
1 Finansrapporter til fylkestinget
Fylkesplanprosess (regional FR/FT Tverretatlig samarbeid, innspill Plan- og
Hvert 4. år
1 planstrategi)
etc.
næringsetaten
Rapportering på
FR/FT Plan- og
1 virkemiddelbruk
næringsetaten
HMS: mål for virksomheten,
kurstilbudene, alle offentlige
HAMU PO-senteret
1
tilsyn og samarbeidsplanene
Koordinering av virksomhet Ledermøte med fylkesrådsleder, Fylkesrådsleder, Ukentlig
etatssjefsmøte, ledermøte
stabssjef
Fylkesrådsmøter (behandling av
stabssjefen
1
enkeltsaker og politiske saker)
Eierstyring FR/FT Eiermøter, generalforsamlinger,
styremøter
Fylkesrådet Varierer
2
2
2
2
2
2
2
Koordinering av virksomhet Ledermøter,
Etatsmøter/sentermøter,
avdelingsmøter, møter med
respektive fylkesråder,
teammøter
IKT-utvalget
Koordinering av ekstern
virksomhet
Kontaktmøter,
koordineringsmøter med
samarbeidspartnere/operatører
Fylkesrådene,
etatssjefene,
avdelingslederne
1 gang i året. 2.
kvartal
Ukentlig/månedlig
ved behov
Sektorplanprosesser FR/FT Etatssjefene 1 gang i året
Tverretatlige planprosesser RUP, fylkesplan, budsjett
Virksomhetsrapportering
eksternt
Virksomhetsrapportering
internt
Rapportering på
virkemiddelbruk, annet?
Etatssjefene 1 gang i året
Budsjettoppfølging Ved behov? Formalisert? Etatssjefene 3 ganger i året
3 Roller og ansvar i fylkeskommunens styrings- og
kvalitetssystemet
Fylkesrådet har det formelle ansvaret for at fylkeskommunen har en betryggende kontroll med
virksomheten. Fylkesrådet er ansvarlig for at fylkeskommunen har den dokumentasjonen som
kreves for å sikre at driften utøves i henhold til lovpålagte krav, politiske krav og interne
fylkeskommunale krav. I det ligger det at de er ansvarlig for at fylkeskommunen etablerer og
videreutvikler et helhetlig styringssystem som tilfredsstiller gjeldende myndighetskrav.
Fylkesrådet kan delegerer oppgaver og myndighet for drift av styringssystem og den
elektroniske dokumentstyringen.
14

Den enkelte leder er ansvarlig for at medarbeidere vet hvor de skal finne relevant informasjon
om sine arbeidsoppgaver. På den andre siden er den enkelte medarbeider ansvarlig for å sette
seg inn i styrings- og kvalitetssystemet og den informasjonen og dokumentasjonen som er
tilgjengelig.
Fylkeskommunen har ulike oppgaver, der noe er sektorspesifikt, mens andre oppgaver er
felles for hele fylkeskommunen. Styrings- og kontrollsystemet må nødvendigvis gjenspeile
dette og ha ulike nivå i forhold oppgaver og ansvar.
Ansvarsdelingen i styrings- og kontrollsystemene bør fordeles på ulike nivå, som gjenspeiler
hvor mange som involveres i de ulike prosessene. Det er viktig å presisere at nivåene i
systemet ikke sier noe om fylkeskommunens organisering/hierarki, men sier noe om hvilke
oppgaver, rutiner, reglement som er felles for alle og hva som er mer spesifikt gjeldende for
en etat/senter/avdeling.
Med bakgrunn i overstående er det hensiktsmessig å dele styrings- og kontrollsystemet i
følgende nivåer:
Nivå 1: Det som er felles for hele fylkeskommunen.
Nivå 2: Det som er spesifikt for en etat/senter
Nivå 3: Det som er spesifikt for avdelinger
Nivå 4: Spesifikke arbeidsprosesser (f.eks tilskuddsforvaltning eller ruteplanlegging)
Det er nivået selv som er ansvarlig for å fylle systemet med innhold. Det vil si at det ikke kan
delegeres til andre nivåer i modellen, bortsett fra når nivået er i samme etat/senter.
Nivåene kan illustreres som følger:
Nivå 1 - felles for hele fylkeskommunen, f.eks HMS,
Økonomi, IT, arkiv og innkjøp
Nivå 2 - Gjelder kun for etater/senter
Nivå 3 - Gjelder for en
avdeling
Figur 6, Nivåene i internkontrollen.
Nivå 4 - Gjelder en
arbeidsprosess i en
etat/senter
Det er etatssjefene og senterlederne som er ansvarlig for at det er en god nok kontroll med
virksomheten (jf. Stillingsbeskrivelse). Jamfør figur 6, vil senterlederne ha ansvaret for nivå
1, mens etatssjefene vil ha ansvar for nivå 2. Begge vil kunne ha ansvar for et eventuelt nivå 3
eller nivå 4 i egen etat/senter.
I kontrollansvaret ligger det at systemet til en hver tid er oppdatert; informasjon om
virksomhet og prosessbeskrivelser foreligger, samt dokumentasjon av at prosesser
gjennomføres og avvik følges opp. Imidlertid kan det være hensiktsmessig å delegere ansvar
for styrings- og kvalitetssystemet innad i egen etat/senter. Det kan gjøres ved at det oppnevnes
15

en systemansvarlig i etaten/senteret. Det kan også være hensiktsmessig i forhold til at
engasjerte medarbeidere kan bidra til å utvikle systemet videre.
Naturlige oppgaver for en systemansvarlig vil være:
- Nærmeste leders rådgiver i spørsmål vedrørende systemet.
- Veileder og bistår øvrige ansatte i forhold til styringssystemet (inkludert opplæring).
- Bidrar til at enhetenes styringssystem vedlikeholdes.
- Planlegger og gjennomfører systemrevisjon.
Det er også viktig å presisere at beskrivelsen av nivåene ikke gir rom for nye stillinger og
arbeidsoppgaver for å drifte systemet, men handler om å systematisere og dokumentere den
kontrollaktiviteten som allerede foregår/skal foregå i dag.
I tillegg til at etatssjefene og senterlederne har ansvaret for kontrollen, bør det også være noen
som har det overordnede ansvaret for systemet. En kvalitetssjef og/eller en systemeier som ser
til at prosesser settes i gang (f.eks gjennomføring av risiko- og vesentlighetsvurderinger) og at
systemet blir revidert.
Systemeier og eller kvalitetssjef
Systemeier og/eller kvalitetssjef vil måtte ha et overordnet ansvar for styrings- og
kvalitetssystemet:
- Styringssystemet videreutvikles til et helhetlig styringssystem for fylkeskommunen.
Det vil si at alle er kjent med internkontrollen, rapportering, ansvar og roller.
- Kvalitetssjef og/eller systemeier har ansvar for at det utarbeides og avholdes kurs om
styringssystemet.
- Vedlikeholdet av elektronisk hjelpemiddel (dokumentstyringsverktøy).
- Kvalitetssjef og/eller systemeier koordinerer og leder arbeidet med systemet. For
eksempel informasjon om oppgraderinger, nye retningslinjer, rapporteringsrutiner,
internrevisjon av systemet etc.
- System for avvikshåndtering.
- Felles systematikk for gjennomføring av risiko- og vesentlighetsvurderinger og
dokumentasjon av kontrolltiltak.
Nivå 1: Senterlederne (fellesprosesser)
Her vil det være flere internkontrollansvarlige da sentrene har ansvaret for informasjon,
retningslinjer etc. som gjelder hele fylkeskommunen (sektorovergripende).
- Utarbeidelse og tilgjengeliggjøring av dokumentasjon som kreves for å sikre at driften
utøves i henhold til lovpålagte krav, politiske krav og interne fylkeskommunale krav.
- At fylkeskommunens styringssystem implementeres og videreutvikles til et helhetlig
styringssystem innenfor saksområdet.
- At ansatte får opplæring i styringssystemets struktur og innhold.
- Fylkeskommunens internkontroll på eget fagområde.
- At det fastsettes/revidere mål for kjernevirksomheten/arbeidsprosessene.
- At det rapporteres oppover i systemet.
- At det eventuelt oppnevnes internkontrollansvarlig for nivå 2 og 3.
- Gjennomføres årlige risiko- og vesentlighetsvurderinger av nøkkelarbeidsprosesser.
- Dokumenterer kontrolltiltak.
- Avvikshåndtering.
16

- Tilrettelegger for at det foregår et bredt og tverrfaglig forbedringsarbeid innenfor egen
enhet (kvalitetsarbeid).
Nivå 2: Etatssjefene er ansvarlig for:
- Tilgjengeliggjøring av dokumentasjon som kreves for å sikre at driften utøves i
henhold til lovpålagte krav, politiske krav og interne fylkeskommunale krav.
- At fylkeskommunens styringssystem implementeres og videreutvikles til et helhetlig
styringssystem innenfor saksområdet. At ansatte får opplæring i styringssystemets
struktur og innhold.
- Fylkeskommunens internkontroll på eget fagområde.
- At det fastsettes/revidere mål for kjernevirksomheten/arbeidsprosessene.
- At det rapporteres oppover i systemet.
- At det eventuelt oppnevnes internkontrollansvarlig for nivå 2 og 3.
- Gjennomføres årlige risiko- og vesentlighetsvurderinger av nøkkelarbeidsprosesser.
- Dokumenterer kontrolltiltak.
- Avvikshåndtering.
- Tilrettelegger for at det foregår et bredt og tverrfaglig forbedringsarbeid innenfor egen
enhet (kvalitetsarbeid).
-
Nivå 3: Etatssjef/senterleder er ansvarlig for (eventuelt delegert til
systemansvarlig for nivå 3):
- At enheten har den dokumentasjon som kreves for å sikre at driften utøves i henhold
til lovpålagte krav, politiske krav og interne fylkeskommunale krav.
- At fylkeskommunens styringssystem implementeres og videreutvikles til et helhetlig
styringssystem innenfor virksomheten/seksjonen.
- At ansatte får opplæring i styringssystemet struktur og innhold.
- Virksomhetens/seksjonens internkontroll.
- At det oppnevnes internkontrollansvarlig for nivå 3 og 4 (om relevant).
- Tilrettelegger for at det foregår et bredt og tverrfaglig forbedringsarbeid innenfor egen
enhet (kvalitetsarbeid).
- Fastsetter/revidere målbare mål for arbeidsprosesser (jf. Beskrivelse av
arbeidsprosesser).
- Rapportering oppover i systemet.
- Gjennomfører årlige risiko- og vesentlighetsvurderinger.
- Dokumentering av kontrolltiltak.
- Avvikshåndtering.
Nivå 4: Etatssjef/senterleder er ansvarlig for (eventuelt delegert til
systemansvarlig for nivå 4):
- At dokumentasjon for å gjennomføre spesifikke arbeidsoppgaver er tilgjengelig. For
eksempel retningslinjer, forskrifter lover, politiske krav eller interne fylkeskommunale
krav.
- Veiledere for arbeidsprosessene er tilgjengelig.
- At informasjon er oppdatert og gir en nytteverdi for øvrige ansatte. Eventuelle avvik,
erfaringer skal rapporteres videre i systemet.
- Fastsette/revidere målbare mål for arbeidsprosessene.
- Gjennomføring av risiko- og vesentlighetsvurderinger.
17

4.2 Forankring i organisasjonen:
Et styrings- og kvalitetssystem er lite verdt dersom det ikke blir brukt av ledelsen/ansatte.
Systemet må derfor forankres. En viktig faktor vil dermed være at systemet gir nytteverdi for
brukerne av systemet. Det vil si at systemet inneholder elementer som hjelper de ansatte i det
daglige arbeidet og gir trygghet i arbeidssituasjonen. For eksempel ved at oppdatert
informasjon om arbeidsoppgavene, mål for tjenestene og annen vesentlig informasjon. Det er
også viktig at de ansatte blir ansvarliggjort dersom man ikke benytter seg av systemet.
Systemet må også være anvendelig. Det stilles derfor krav til at systemet er elektronisk og at
det elektroniske systemet har et lavt brukergrensesnitt.
Det må også kontinuerlig arbeides med holdninger tilknyttet styring, kontroll og kvalitet.
3.2.1 Revisjon av systemet
Det vil være nødvendig med en jevnlig gjennomgang av systemet for å se til at systemet blir
brukt, at informasjonen som ligger her er oppdatert, avvik følges opp etc.
Det skal løses ved at det settes ned en gruppe av medarbeidere som skal jobbe med intern
revisjon av styrings- og kvalitetssystemet. Den interne revisjonsgruppen skal årlig revidere
systemet å kontrollere følgende:
- At informasjon som ligger her er oppdatert.
- At avvik følges opp og lukkes.
- At det gjennomfører risiko- og vesentlighetsvurderinger.
- At det rapporteres oppover i systemet.
Revisjonsgruppen bør settes sammen av representanter fra hele organisasjonen. I tillegg til
overstående, må gruppen også ha fokus på utviklingen av internkontrollsystemet. Hva
fungerer, fungerer ikke. Gruppen må avlegge årlig rapport til fylkesrådet.
18

4 Metode for beskrivelse av arbeidsprosess og risiko- og
vesentlighetsvurderinger
4.1 Hva er risiko
Formålet med risikostyring er ikke å eliminere risiko, men å forstå risikoelementene slik at
fordelene kan utnyttes og uheldige aspekter begrenses. Dette krever klarhet i forhold til hvilke
risikoer du er forberedt på å ta, hvor store de kan være og at du har et system på plass for å
håndtere disse.
Avdekke risiko for hendelser som kan påvirke organisasjonens måloppnåelse i negativ
forstand, samt
Legge grunnlag for prioriteringer av risikoreduserende tiltak.
S= Sannsynlighet (S) for at hendelsen inntreffer
Og
S K Risiko
K=Konsekvensen (K) dersom hendelsen inntreffer.
En risikobasert internkontroll skal gjøre vurderinger av hva som kan gå galt, hvor galt kan det
gå, hva er gjort for å unngå at det går galt og er det nok.
Identifisering av risiko (uønskede hendelser) bør som et minimum konsentreres rundt de tre
kontrollmålsettingene definer i COSO-rammeverket:
- Målrettet og kostnadseffektiv drift
- Pålitelig regnskapsrapportering
- Overholdelse av lover og regler
Etatene/sentrene står fritt til å bruke egne kontrollelementer.
19

Trinn 1: Kartlegging av arbeidsprosesser
I første del av prosessen må etatene/sentrene gjøre selvevalueringer. Metoden for dette vil
være å kartlegge arbeidsprosesser/systemkartlegging for å avdekke mulige risikofaktorer.
Arbeidsprosessene kan også kartlegges ved hjelp av flytskjema om ønskelig.
Arbeidsprosessene skal si noe om:
- Formål: beskrive hvilket problem som skal løses, tydeliggjøre konsekvenser det skal
måles på.
- Hva er målsettingen for prosessen?
- Hvem er involvert i prosessene? For eksempel eksterne/interne aktører (målgruppen
for prosessen).
- Hvor foregår prosessen? (felt, fylkeshuset, KF etc)
- Tidsperiode.
- Aktiviteter og oppgaver.
Se kapittel 4.4. for Mal vurdering av arbeidsprosesser.
Denne delen skal legge grunnlaget for risikoanalysen. Dette er en jobb som bør gjøres før
større grupper samles til f.eks workshop/idédugnad. Det vil være opp til ledelsen i
etatene/sentrene å vurdere hvem som bør delta i prosessen.
Trinn 2: Risikokartlegging
Risikokartlegging/risikoidentifisering: hva kan gå galt?
Formål: identifisere hvilke ulike uønskede hendelser som kan oppstå – altså dersom det ikke
er noen forebyggende eller reduserende tiltak.
Metode for gjennomføring av risikokartlegging:
1. Risikoidentifisering bør foregå basert på idedugnad.
2. Det bør være en person som er ansvarlig for selve gjennomføringen og sørger for at de
øvrige møtedeltagerne har oppmerksomhet på temaet (ass. Etatssjef/senterleder?)
3. En referent/støtteprosessleder: Det bør i tillegg være en person som er ansvarlig for å
nedtegne/protokollere alle de uønskede hendelser som blir identifisert (En representant
fra arbeidsgruppe 2).
Tips til gjennomføring av prosessen:
Steg 1: Avgjøre deltakere, roller og ansvar – Hvem er relevante deltakere i forhold til
vurdering av risiko i de ulike arbeidsprosessene?
Steg 2: Etablere felles forståelse for aktuelle arbeidsprosess. Start med en gjennomgang av
den aktuelle arbeidsprosessen.
Steg 3: Kartlegg risiko i arbeidsprosessen. – Gjennomgå arbeidsprosessen skritt for skritt.
Hjelpemidler i risikokartleggingen kan være:
- prosesser, tegningsgrunnlag, befaring, regelverk, sjekklister, prosedyrer, hendelser
(databaser, taus kunnskap), spørreundersøkelser, intervjuer, observasjon, workshops, tidligere
analyser, trender/megatrender, teknologisk utvikling, politiske forhold, aviser
20

Trinn 3: Vurdering av risiko/Risikoklassifisering
Risikoklassifisering: Hvor galt vil det gå? Hvor ofte skjer det?
Når risiko er identifisert må hver hendelse vurderes/klassifiseres i forhold til sannsynlighet
og konsekvens.
Husk: Risiko= Sannsynlighet * Konsekvens.
Nå skal hver identifiserte risiko først vurderes ut fra hvor sannsynlig det er at hendelsen
inntreffer, for så å vurdere konsekvensen dersom risikoen skulle inntreffe. Det er utarbeidet en
skala fra 1-5 på sannsynlighet og konsekvens. Se kapittel 4.3 «Hvor høy må risikoen være for
at den utløser behov for tiltak».
Trinn 4: Fra risiko til kontroll
Tiltak: Hva er gjort for å unngå at det går galt? Er det nok?
Vi har nå oversikt over risikobildet. Er det etablert tiltak (kontroller) som i tilstrekkelig grad
reduserer den identifiserte risikoen?
Hensikt: dokumentere at fylkeskommunen har gjort en vurdering av forholdet mellom:
- identifisert risiko (hva kan gå galt)
- vurdering av risikoen (hvor galt kan det gå – sannsynlighet og konsekvens) og
- tiltak og kontroller som er etablert for å redusere risikoen
Resultat: oversikt og innsikt i hvorvidt etablerte kontroller reduserer risikoen i tilstrekkelig
grad, og om det er etablert overflødige kontroller, eller om det kan etableres kontroller som er
mer målrettet og /eller mindre ressurskrevende å gjennomføre.
21

4.2 Dokumentering av prosessen i risikomatrise
Område/nivå/arbeidsprosess:
Dato:
Hva kan
gå galt
Kartlagt
risiko
(Trinn 2)
Deltakere:
Hvor galt kan det gå? Hva har vi
gjort for å
unngå at det
Vurdert risiko uten etablert
tiltak/kontroller (Trinn 3)
Sannsynlighet
(S)
Konsekvens
(K)
Risiko (R) =
S*K
går galt?
Etablerte
kontroller/
tiltak for å
redusere
risiko (Trinn
4)
Er det
nok?
Risiko
med
etablert
kontroll
(Trinn 4)
Hva må vi
gjøre i
tillegg?
Nye
kontroller/
tiltak
(Trinn 4)
4.3 Hvor høy må risikoen være før den utløser behov for tiltak?
Når er risikoen så høy at det må igangsettes tiltak?
Vi tar utgangspunkt i at R= S x K og at S og K vurderes på en skala fra 1-5.
4.3.1 Vurdering av sannsynlighet
Hvor sannsynlig er det at hendelsen oppstår dersom vi ikke har risikoreduserende tiltak?
Sannsynlighet Tall
vurdering
Lite sannsynlig 1 Forventes å finne sted
sjeldnere enn en gang per år
Mindre
sannsynlig
Ansvar
-lig
Hyppighet Omstendighet Sannsynlighet %
Hendelsen vil kunne
oppstå under spesielle
omstendigheter
0-5 %
2 Forventes å inntreffe årlig Hendelsen kan oppstå 5-10 %
under sjeldne
omstendigheter
Hendelsen kan oppstå 10-13 %
kvartalsvis
Sannsynlig 3 Forventes å inntreffe minst
Meget
sannsynlig
4 Forventes å inntreffe
tilnærmet månedlig
Svært sannsynlig 5 Forventes å inntreffe
nærmes ukentlig
Hendelsen kan oppstå
under flere
omstendigheter
Hendelsen vil oppstå
under de fleste
omstendigheter
30-70 %
70-80 %
22
Frist

Konsekvens
4.3.2 Vurdering av konsekvens?
Hva er konsekvensen ved at hendelsen inntreffer? Hva skal til for å rette opp skaden?
Konsekvens Tallvurdering Hjelpetekst
Ubetydelig 1 Mindre feil og avvik som ikke påvirker fylkes innbyggere.
Lav 2 Feil som blir kjent, men som kun fører til mindre problemer for
enkelte av fylkets innbyggere.
Moderat 3 Feil som fører til ubehageligheter for flere av fylkets innbyggere.
Alvorlig 4 Alvorlige feil som fører til store ubehageligheter for en stor andel
av fylkets innbyggere.
Svært alvorlig 5 Svært alvorlig feil som fører til store problemer og
ubehageligheter for fylkets innbyggere.
I vurderingene bør COSO-målsettingene ligge til grunn.
Basert på vurderinger av S og K kan risiko plottes inn i et risikokart. Verdiene, altså S x K –
vil avgjøre om risikoen er grønn, gul, oransje eller rød, og man kan på det viset utarbeide en
skala som sier noe om risikobildet i arbeidsprosessene.
For eksempel ved sannsynlighet = 2 og konsekvens = 3, vil risiko være 6 (gul).
Svært
alvorlig
5
Alvorlig
4
Moderat
3
Lav
2
Ubetydelig
1
5 (5*1) 10 (5*2) 15 (5*3) 20 (5*4) 25 (5*5)
4 (4*1) 8 (4*2) 12 (4*3) 16 (4*4) 20 (4*5)
3 (3*1) 6 (3*2) 9 (3*3) 12 (3*4) 15 (3*5)
2 (2*1)
4 (2*2) 6 (2*3) 8 (2*8) 10 (2*5)
1 (1*1) 2 (1*2) 3 (1*3) 4 (1*4) 5 (1*5)
Meget
liten
1
Liten
2
Av matrisen over, kan man utlede følgende skala:
Moderat
3
Sannsynlighet
Stor
4
Svært stor
5
Risiko (=S*K) Aktivitet
1-3 Ingen tiltak er påkrevd
4-8 Risikoreduserende tiltak bør iverksettes
9-12 Risikoreduserende tiltak må iverksettes innen ... (langsiktig)
12-25 Risikoreduserende tiltak må iverksettes med det samme
(strakstiltak)
23

4.4 Mal arbeidsprosess
Hovedprosess: Vurdering, dokumentasjon og kvalitet
Formål med denne hovedprosessen er: (dette må avdelingsleder beskrive)
Delprosess (Oppgaveområde):
Målet for
prosessen
Målgruppen for
denne prosessen
Kompetansekrav
Ressursbehov
Hvor foregår
prosessen
Tidsperiode
Aktiviteter og oppgaver som inngår i denne prosessen
Aktiviteter og oppgaver Nødvendig samarbeid Ressursbehov
1
2
3
Spesielle behov for kvalitetssikring i forbindelse med oppgaveutførelse
24

5 Videre fremdrift
5.1 Arbeidsgruppe 2:
5.1.1 Plan for gjennomføring av beskrivelse av arbeidsprosesser og risiko- og
vesentlighetsvurderinger:
- Arbeidsgruppe 2 fungerer som en ressursgruppe i forbindelse med gjennomføringen i
organisasjonen.
- Det arrangeres kick-off samling for alle etatene og sentrene. Her presenteres metoden
for gjennomføring av arbeidsprosess og risiko- og vesentlighetsvurderinger (med case
fra en av de sektorovergripende arbeidsprosessene). Det er opp til etatene/sentrene
hvem som deltar. Kick-off skal skape en felles forståelse av prosessen (gjennomføring,
resultat og dokumentering) og erfaringsutveksling.
- Etatene/sentrene må melde tilbake hvilke arbeidsprosesser som er relevant.
- Etatene/sentrene får frist for gjennomføring av prosess (i løpet av høsten). Prosessen
kan tilknyttes etatenes/sentrenes OU-samlinger.
5.2 Arbeidsgruppe 3: Tiltaksmål for internkontrollen og for de ulike
arbeidsprosessene
Definering av mål for internkontrollen, lå inne som del to av mandatet til arbeidsgruppe 3.
Prosessen var tenkt gjennomført i forbindelse med evaluering av etatene, eventuelt forskyves
til fase II av hovedprosjektet. Denne delen av prosjektet vil bli gjennomført i forbindelse med
beskrivelsen av arbeidsprosessene.
5.3 Arbeidsgruppe 4: Avvikshåndtering
Avvikshåndtering tilhørte opprinnelig mandatet til arbeidsgruppe 4. Imidlertid har
styringsgruppen valgt å avvente arbeidet med avviksdefinering til del 2 av hovedprosjektet. I
utgangspunktet så styringsgruppen for seg at en slik prosess kunne gjennomføres i en
forlengelse av selvevaluering og risiko- og vesentlighetsvurderinger, men bare i tilfelle
prosjektet kom til å leie inn eksterne prosessledere. Siden styringsgruppen har valgt å
gjennomføre denne delen av prosjektet selv, utsettes avviksdefinering til del II av
hovedprosjektet.
5.4 Arbeidsgruppe 5
Arbeidsgruppen skal vurdere mulige tekniske hjelpemiddel for internkontrollen. Herunder
vurdering av videreutvikling av EK-håndboken.
5.4.1 Arbeidsgruppen har sett på hva et teknisk hjelpemiddel for
internkontrollen bør ivareta? Hva skal kravspesifikasjonen være?
- Risikovurdering – metodikk/framgangsmåte (kontrollaktiviteter utformes,
gjennomføres og følges opp for å redusere sårbarhet)
- Dokumentasjon
o Dokumentere «kontrollbevis», rutiner, prosedyrer
25

o Bør inneholde ulike maler med godkjenningshåndtering og
versjonshåndtering
o Roller og ansvarsdeling (ledere, medarbeidere, tillitsvalgte osv)
o Bør være kildesystemet for distribusjon/presentasjon ovenfor ulike
brukergrupper (ansatte, elever/studenter, politikere, innbyggere)
- Rapporter og resultatdokumentasjon
- Bør kunne kobles mot intranett, med mulighet for ulik startside for hver bruker.
- Vi må definere hvem som er brukerne av systemet.
Viktig å ha med seg at ingen av systemene kan takle alt, vi må avgrense/definere hva vi har
bruk for. Ambisjonsnivået skal ligge på nivå 3, men systemet må ha mulighet for utvikling.
EK-håndboken vil etterhvert innfase web-løsning, men uklart når. Det kan virke som at
utviklingen på området tar tid. Det er små firma som jobber på området som må prioritere
ressursbruken i forhold til utvikling. Et samarbeid med fylkeskommunen vil kunne sette fart
på utviklingen.
Skal vi kunne drifte systemet selv, eller skal det driftes av leverandøren?
5.4.1 Andre kvalitetssystemer:
- EK-håndboken (Nordland)
- RiskManager kvalitetssystem (Liv hadde en rask demo på systemet) – Tromsø
kommune bruker dette systemet på informasjonssikkerhet, men ikke øvrig
internkontroll.
- QM+ - Hordaland, Rogaland og Vestfold har tatt systemet i bruk – men er i startfasen.
- Kvalitetslosen – brukes av Tromsø kommune
- Corporator – Hedmark bruker systemet til Mål- og resultatstyring
- Whatif. System basert på ROS-analyse. Ulike scenarioer for hva som kan gå galt (mer
ett verktøy for risiko- og vesentlighetsvurderinger?).
Arbeidsgruppen fikk i styringsgruppemøte 2.3.2012 mandat til å jobbe videre med
Datakvalitet som et mulig verktøy. Arbeidsgruppen jobber videre vår/høst.
26