ude retningslinjer risikostyring versjon 2.0

Oslo kommuneUtdanningsetaten

Utdanningsadministrasjonen

Retningslinjer

RisikostyringUtdanningsetatenVersjon 2.0

Oslo kommune Utdanningsetaten

Utdanningsadministrasjonen

Retningslinjer

isikostyring i Utdanningsetaten

Oslo kommune Utdanningsetaten Side 3

Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Innholdsfortegnelse

Innholdsfortegnelse 1. Dokumentinformasjon og referanser ....................................................... 4

1.1 Dokumenteier...................................................................................... 4

1.2 Endringslogg ....................................................................................... 4

1.3 Godkjennelse ...................................................................................... 4

1.4 Referanser .......................................................................................... 4

2. Hensikten med dokumentet ..................................................................... 5

3. Styrende dokumenter .............................................................................. 5

4. Definisjoner ............................................................................................. 7

4.1 Mål- og resultatstyring.......................................................................... 7

4.2 Sannsynlighet og konsekvens ................................................................ 7

4.3 Strategisk initiativ ................................................................................ 7

4.4 Styringsparameter ............................................................................... 7

4.5 Resultatmål ......................................................................................... 7

4.6 Intern kontroll ..................................................................................... 8

4.7 Risiko ................................................................................................ 8

4.8 Risikotoleranse .................................................................................... 8

4.9 Risikostyring ....................................................................................... 8

4.10 Risikovurdering .................................................................................... 9

5. Årshjul ................................................................................................... 10

6. Organisering, roller og ansvar ............................................................... 11

6.1 Ansvar ............................................................................................... 11

7. Kompetanse innen risikostyring ............................................................. 11

8. Risikostyring i prosjekter ....................................................................... 11

9. Risikostyring ved vesentlige prosesser, beslutninger eller endringer .... 12

10. Lovpålagte risikovurderinger ................................................................. 12

11. Gjennomføring av risikovurdering ......................................................... 12

12. Oppfølging, rapportering og dokumentasjon.......................................... 14

12.1 Oppfølging og rapportering .................................................................. 14

12.2 Dokumentasjon .................................................................................. 14


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 1 Dokumentinformasjon og referanser

1. Dokumentinformasjon og referanser

1.1 Dokumenteier Navn Stilling/rolle

Kjell Richard Andersen Assisterende direktør

1.2 Endringslogg Ver. Dato Beskrivelse Forfatter

1.0 091210 Vedtatte retningslinjer - Risikostyring i Utdanningsetaten

Ragnhild Røed og Tove Witsø

1.1 300611 Justeringer foretatt som konsekvens av midtveisevaluering – vedtatt i direktørmøte 30.06.2011

Ragnhild Røed og Tove Witsø

2.0 100512 Justeringer foretatt i sak i direktørmøtet 10.05.2012 Ragnhild Røed og Tove Witsø

1.3 Godkjennelse Rev. Dato Godkjent Stilling/rolle

1.4 Referanser Nr. Dokumentnavn Dato Referanse (Doculive)


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 2 Hensikten med dokumentet

2. Hensikten med dokumentet Hensikten med dette dokumentet er å gi klare og tydelige retningslinjer for hvordan Utdanningsetaten skal jobbe med risikostyring og intern kontroll, samt hvordan dette arbeidet skal organiseres og følges opp. Sammenholdt med øvrige styrende dokumenter skal det bidra til at Utdanningsetaten har en tilfredsstillende intern kontroll, som til enhver tid er i samsvar med gjeldende lover og forskrifter. Risikostyring er ingen objektiv aktivitet, men er et styringsverktøy som gir grunnlag for å identifisere, vurdere og håndtere potensiell risiko ved hjelp av en strukturert tilnærming. Risikostyring er et styringsverktøy som kan tydeliggjøre sammenhengen mellom de mål som Utdanningsetaten styrer etter, risikoen som kan true måloppnåelse og mulige tiltak. Dette skal bidra til en mer proaktiv styring, bedre prioritering og ressursstyring, og derigjennom gi bedre mulighet for Utdanningsetaten å nå sine mål.

3. Styrende dokumenter

• Lov om kommuner og fylkeskommuner av 25.9.1992 § 23 pkt 2, her framkommer det at administrasjonssjefen skal sørge for betryggende kontroll.

• Byrådssak 1005/03 Instruks for virksomhetsledere i Oslo kommune

Virksomhetsleder har plikt til å innrapportere hvordan tilsynsansvaret og delegert myndighet blir utøvet i virksomheten etter instruks utarbeidet av Byrådet. Instruks for virksomhetsledere, §3. Ansvaret for intern kontroll ligger hos virksomhetens leder. I dette ansvaret ligger blant annet følgende hovedelementer:

• at intern kontrollsystemet tilpasses i forhold til risiko og vesentlighet • at det integreres i virksomhetsstyringen • at det fungerer på en tilfredsstillende måte • at intern kontrollsystemet dokumenteres på en måte som sikrer

etterprøvbarhet

• I Byrådssak 1170/07 Prosjekt – styrket intern kontroll i Oslo kommunes

virksomheter ble det vedtatt å etablere et prosjekt for å styrke intern kontrollen. I saksfremlegget fremgår det at COSO rammeverket skal legges til grunn (Sak 1107/07:3).

• I Byrådssak 1057/08 Strategisk rammeverk for god intern kontroll i Oslo

kommune er det vedtatt strategisk rammeverk for god intern kontroll. Saken har bakgrunn i ovennevnte sak 1170/07.

I saken ber Byrådet virksomhetene vurdere risiko i forhold til : Vesentlige områder ved virksomhetens årlige plan- og budsjettprosess

Ved utvikling eller endringer i nøkkelprosesser på utvalgte områder som

Myndighetsutøvelse og saksbehandling


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 3 Styrende dokumenter

Personalområde

Økonomi

Anskaffelsesområde

IKT

• Oslo kommunes utkast til prinsippdokument for virksomhetsstyring av 30.april

2009. Link

Utkastet som foreligger er behandlet i Kommunaldirektørmøtet.

Prinsippdokumentet har tatt utgangspunkt i internasjonale standarder og

anerkjente rammeverk (COSO og Statens senter for Økonomistyring) for god

virksomhetsstyring, risikostyring og intern kontroll.

• Tildelingsbrev fra Byrådsavdeling for kultur og utdanning

• POLICY for Informasjonssikkerhet i Utdanningsetaten i Oslo kommune, vedtatt

8.3.2005. Link til Policy for informasjonssikkerhet I tillegg til den generelle plikten om betryggende kontroll er det inntatt bestemmelser om intern kontroll og risikostyring i andre lovverk som Utdanningsetaten må følge, eksempelvis:

• Forskrift om systematisk helse, - miljø og sikkerhetsarbeid i virksomheter

• Personopplysningsloven, § 14 internkontroll

Oslo kommune har under utarbeidelse ”Veileder for risikostyring i Oslo kommune” Se link: http://byradsavdeling-for-finans-og-naring.oslo.kommune.no/virksomhetsstyring/ Følgende årshjul ligger til grunn for virksomhetsstyringen i Oslo kommune:1

1 Utkast til Prinsipper for virksomhetsstyring - 30.april 2009

Helhetlig virksomhetsstyring - styringshjulJanuar

AprilOktober

Juli

Sak 1

Bystyret vedtar

budsjettetDok 3

Ram

mekonferanse

Virkso

mheten

es

buds

jettfo

rslag

Statuskonferansen

Salderingskonferansen

Foreløpig tildelin

gsbrev

Dia

log

mel

lom

byr.a

vd. o

g vi

rkso

mhe

t

Endelig

tildelingsbrev

Rappo

rterin

g 1.

tertia

lRapportering 2.

tertial

Budsjettprosessen

Årsregnskap/Års-beretning

Intern kontroll

Risikovurdering

Stra

tegi

sk p

lan

Årsplan

Årsregnskap/Års-beretning

Budsjett

Andre styringsdok.

Styringsdok. virksomhetsnivå


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 4 Definisjoner

4. Definisjoner Definisjonene tar utgangspunkt i Utdanningsetatens strategiske arbeid og i metodedokument utarbeidet av Direktoratet for økonomistyring (DFØ)2

4.1 Mål- og resultatstyring Å sette mål for hva virksomheten skal oppnå, å måle resultater og sammenligne dem med målene, og bruke denne informasjonen til styring, kontroll og læring for å utvikle og forbedre virksomheten.

4.2 Sannsynlighet og konsekvens Sannsynlighet før tiltak Hva er sannsynligheten for at risikoen inntreffer Konsekvens før tiltak Hvilken konsekvens vil det få for måloppnåelsen hvis risikoen inntreffer Sannsynlighet etter tiltak Hva er sannsynligheten for at risikoen inntreffer etter at tiltakene er iverksatt Konsekvens etter tiltak Hvilken konsekvens vil det få for måloppnåelsen hvis risikoen inntreffer Vil noen av tiltakene påvirke konsekvensen for måloppnåelse. Når konsekvensen er høy og sannsynligheten er lav for at risikoen inntreffer kan det i noen tilfeller være riktig å overvåke risikoen for å se at sannsynligheten for at risikoen inntreffer øker.

4.3 Strategisk initiativ Med strategisk initiativ forstås et tiltak som må gjennomføres for å redusere risiko for måloppnåelse.

4.4 Styringsparameter Styringsparameteren angir den målemetoden eller kvalitative vurdering som skal brukes for å angi måloppnåelse. Styringsparameteren måler eller beskriver direkte eller indirekte i hvilken grad man oppnår resultater med det strategiske initiativet/tiltaket.

4.5 Resultatmål For hvert styringsparameter settes det et konkret ambisjonsnivå for hvilke resultater som skal nås i den aktuelle perioden. Dette kalles et resultatmål. Det settes resultatmål for kommende år og for fireårsperioden.

2 ”Risikostyring i staten - håndtering av risiko i mål- og resultatstyringen” og ”Hvordan få en god start på

risikostyring i statlige virksomheter”



4.6 Intern kontroll Prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for virksomhetens måloppnåelse innenfor følgende kategorier:

• Målrettet og effektiv drift • Pålitelig regnskapsrapportering og økonomiforvaltning • Overholdelse av lover og regler

4.7 Risiko Forhold eller hendelser som kan inntreffe og påvirke oppnåelse av målsettinger negativt. Risiko vurderes i forhold til den forventede sannsynligheten for at den inntreffer, og den forventede konsekvensen den vil medføre for virksomhetens måloppnåelse dersom den inntreffer.

4.8 Risikotoleranse Et akseptert nivå på risiko for ikke å nå målet. Dersom ledelsen vurderer en risiko som utenfor risikotoleransen, vil det være behov for tiltak for å redusere risikoen til et akseptabelt nivå. Tiltak skal vurderes i et kost/nytte-perspektiv.

4.9 Risikostyring Risikostyring er en prosess integrert i mål- og resultatstyringen som:

• Er utformet for å kunne identifisere, vurdere, håndtere og følge opp risiko slik at risikoen er innenfor et akseptert nivå

• Gjennomføres av virksomhetens ledelse og øvrige ansatte • Anvendes i fastsettelse av strategi og planer og på tvers av virksomheten for å gi

rimelig grad av sikkerhet for virksomhetens oppnåelse av sine målsettinger.



4.9.1 Strategisk og operativ risikostyring

I dette dokumentet er det lagt til grunn et skille mellom strategisk og operativ risikostyring. Strategisk risikostyring defineres som risikostyring i forhold til strategiske mål i Utdanningsetatens strategiske kart. Den gjennomføres som en del av strategi- og planprosesser. Risikoen på overordnet strategisk nivå må avstemmes med risiko rapportert fra skoler/avdelinger. Større avvik skal analyseres. Operativ risikostyring er knyttet til avdelingens/skolens vesentlige prosesser, beslutning,endringer og prosjekter som skoler/avdelinger har ansvar for samt lovpålagt risikovurdering.

4.10 Risikovurdering Risikovurderinger må gjennomføres systematisk med utgangspunkt i en konkretisering av mål og resultatkrav på forskjellige nivåer i organisasjonen. Ledelsen må identifisere og kartlegge hvilke risikoer som kan påvirke måloppnåelse. Identifiserte risikoer vurderes med hensyn til sannsynlighet for at de skal inntreffe, og forventet konsekvens dersom de inntreffer


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 5 Årshjul

5. Årshjul For i sikre god integrering av risikostyringen i mål- og resultatstyringen skal risikovurderingen foretas samtidig med andre planleggingsprosesser. Risikostyring skal benyttes som et aktivt styringsverktøy i Utdanningsetaten. Årshjulet er beskrevet i Veileder for strategisk planlegging i Utdanningsetaten Link Strategiske dokumenter i Utdanningsetaten


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 6 Organisering, roller og ansvar

6. Organisering, roller og ansvar

6.1 Ansvar Direktøren har det overordnede ansvar for at UDEs virksomhet er underlagt en tilfredsstillende risikostyring og betryggende intern kontroll som sikrer måloppnåelse og som skal påse at den fungerer i tråd med disse retningslinjene. Avdelingsdirektører, områdedirektører og rektorer skal sørge for at det utføres risikoanalyser og etableres interne kontrolltiltak innenfor sitt ansvarsområde i tråd med gjeldende retningslinjer. Prosjektleder har ansvaret for at prosjekt blir risikovurdert i samsvar med gjeldende prosjektrammeverk og tiltak som iverksettes følges opp og rapporteres gjennom hele prosjektperioden. Risikoeier har ansvar for at risikoreduserende tiltak iverksettes og følges opp. Koordinator har ansvar for årlig utarbeidelse av overordnet risikoplan og rapportering

7. Kompetanse innen risikostyring Risikovurderinger må gjennomføres av personer med kompetanse og erfaring fra de aktuelle målområdene. Utdanningsetaten må legge til rette for kompetanseheving innenfor risikostyring.

8. Risikostyring i prosjekter Risikostyring skal være en del av planlegging og gjennomføring av prosjekter i tråd med Utdanningsetatens prosjektrammeverk. Risikovurderinger i prosjekter skal gjennomføres både i forbindelse med;

• Prosjektinitiering • Forprosjekt • Prosjektgjennomføringen – være en integrert del av den løpende

prosjektstyringen Den metodiske gjennomføringen av risikovurdering er identisk for prosjekter som for linje-/driftsaktiviteter. For større investeringsprosjekter i Oslo kommune er det vedtatt særskilt instruks med krav til planlegging og kvalitetssikring. Ref. Økonomireglementet kap 4.1.


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 9 Risikostyring ved vesentlige prosesser, beslutninger eller endringer

9. Risikostyring ved vesentlige prosesser, beslutninger eller endringer

Det anbefales at det gjennomføres risikovurderinger knyttet til vesentlige prosesser, beslutninger eller endringer i Utdanningsetaten.

10. Lovpålagte risikovurderinger For områder hvor det er lovpålagt med risikovurderinger, må det sikres at risikovurderingene på disse områdene gjennomføres og dokumenteres i samsvar med lovens krav.

11. Gjennomføring av risikovurdering Risikovurderingen inngår som del av mål- og resultatstyringen. Følgende figur beskriver stegene i en risikovurdering

Steg 1 Identifisere mål Det er en forutsetning for å kunne identifisere risiko at det er etablert klare mål. Strategisk risikostyring Utdanningsetatens strategiske kart danner grunnlag for strategiske mål. Arbeidet med å utvikle strategisk plan starter med å vurdere nåværende strategi- og årsplan på bakgrunn av dokumenterte resultater i forhold til faktisk måloppnåelse. På bakgrunn av en strategisk analyse (sterke og svake sider, samt interne og eksterne rammebetingelser) utarbeides nye resultatmål basert på skolens / avdelingenes kunnskapsbase. Det er viktig å sikre involvering fra ansatte i arbeidet slik at målene reflekterer de utfordringene avdelingene/skolene står overfor og å sikre eierskap til planen.


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 11 Gjennomføring av risikovurdering

Operativ risikostyring Det må identifiseres mål for vesentlige prosesser og prosjekter som skoler/avdelinger har ansvar for samt for lovpålagt risikovurdering. Mål må beskrives som en tilstand eller et ønsket resultat. Steg 2 Identifisere risiko Når ledelsen har identifisert kritiske suksessfaktorer på et overordnet nivå, har de samtidig identifisert risikoer på samme nivå. Steg 3 Vurdere og prioritere risikoene Risikovurdering på strategisk nivå Det må angis sannsynlighet for at risikoen inntreffer i den aktuelle perioden. Det må angis forventet konsekvens risikoen medfører dersom den inntreffer. Kombinasjonen av sannsynlighet og konsekvens vil avgjøre om risikoen er høy, middels eller lav i forhold til målet den truer oppfyllelsen av. Sannsynlighet angis i kategoriene høy - middels - lav Konsekvens angis i kategoriene høy - middels - lav Se pkt 4.3 Sannsynlighet og konsekvens Risikovurdering på operativt nivå Det må angis sannsynlighet for at risikoen inntreffer i den aktuelle perioden. Det må angis forventet konsekvens risikoen medfører dersom den inntreffer. Kombinasjonen av sannsynlighet og konsekvens vil avgjøre om risikoen er høy, middels eller lav i forhold til målet den truer oppfyllelsen av. Sannsynlighet angis i kategoriene 1- 5 Konsekvens angis i kategoriene 1 – 5 Se pkt 4.3 Sannsynlighet og konsekvens Risikovurderingen skal dokumenteres i ”mal operativ risikostyring” vedlegg 2. Det er en egen veiledning i denne malen. Steg 4 Tiltak for å redusere risiko Hensikten med dette steget er å identifisere og beslutte tiltak og kontrollaktiviteter for å håndtere risikoer slik at de kommer ned på et akseptabelt nivå. (ref punkt 4.9)


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 12 Oppfølging, rapportering og dokumentasjon

12. Oppfølging, rapportering og dokumentasjon

Oppfølging og rapportering av risikoer må inngå i de ordinære styringsprosessene og gjennomføres som ledd i etatens ordinære rapporteringsrutiner. Dersom det mellom rapporteringspunkt fremkommer betydelige avvik i forhold til fastsatte resultatkrav eller vesentlig endringer i resultatansvarlig leders risikobilde, må dette rapporteres til overordnede, der behov for eventuell vidererapportering vurderes.

12.1 Oppfølging og rapportering Internt i Utdanningsetaten Skoler til Driftsstyret / områdedirektør Skoler skal gjennomføre en evaluering/statusanalyse av egne resultater i strategisk plan som skal danne grunnlag for strategisk planlegging og risikoanalyser. Statusanalysen og risikoanalyser skal legges fram for Driftstyret før oversendelse til områdedirektør. Skoler skal rapportere status på risikoanalyser til områdedirektør i forbindelse med tertialrapportering. Avdelingsdirektører/områdedirektører til etatsledelsen Avdelingsdirektører og områdedirektører skal rapportere status på risikoanalyser på strategiske mål i forbindelse med tertialrapportering. Rapportering til byrådsavdeling Rapportering til Byrådsavdelingen skjer ved tertialrapportering og årsberetning i henhold til bestilling i Tildelingsbrev.

12.2 Dokumentasjon Risikoanalysen Tiltakene dokumenteres i etatens risikostyringsmaler og innarbeides i de relevante styringsdokumentene (strategi, årsplan, tiltaksplaner, prosjektstyringsdokumenter etc) Oppfølging Oppfølgingen dokumenteres i gjeldende dokumentasjon som er utarbeidet i virksomheten, herunder referater fra ledermøter / oppfølgingsmøter. Arkivering Gjeldende arkivrutiner skal følges i Public 360 ( for Utdanningsadministrasjonen) og lokalt hos skolene.


Retningslinjer - Risikostyring i Utdanningsetaten Versjon 2.0 Kapittel 12 Oppfølging, rapportering og dokumentasjon

Vedlegg

Nr.

1 Mal strategisk risikostyring

2 Mal operativ risikostyring

Utdanningsetaten

Strømsveien 102 Pb 6127 Etterstad, 0602 Oslo Tlf: 02 180 Faks: 22 65 79 71 www.ude.oslo.kommune.no [email protected]

ude retningslinjer risikostyring versjon 2.0

Education