FISK Dnr 2012-01029 USP 2012-6.9
Christer Eklöf
Riktlinjer för riskhantering vid Linköpings universitet
Utgångspunkter
Ett led i arbetet med intern styrning och kontroll (FISK) är att identifiera de risker som gör att Linköpings universitet riskerar att inte nå sina långsiktiga mål och att prioritera de identifierade riskerna. FISK-arbetet ska vara en integrerad del av universitetets verksam- hetsplaneringsprocess och det kontinuerliga utvecklingsarbetet.
Utgångspunkten i arbetet är universitetets formulerade vision, strategier och mål. Dessa primära utgångspunkter ska kunna kompletteras med lagstadgade och kritiska verk-
samhetsområden initierade av såväl universitetsledning som ledning inom respektive enhet.
Riksdag och regering har beslutat om ett särskilt regelverk för intern styrning och kontroll.
Följande bestämmelser finns:
Myndighetsförordningen (SFS 2007:515)
Förordningen om intern styrning och kontroll (SFS 2007:603)
Internrevisionsförordningen (SFS 2006:1228)
Förordningen om årsredovisning och budgetunderlag (SFS 2000:605)
Till dessa förordningar finns det av Ekonomistyrningsverket (ESV) framtagna och för universitetet bindande tillämpningsföreskrifter.
Nedanstående riktlinjer utgår från ESV:s föreskrifter och den beskrivning ESV tagit fram, som innehåller de olika momenten i processen för intern styrning och kontroll.
Moment i processen för intern styrning och kontroll
Figur 1 Moment i processen för intern styrning och kontroll Förutsättningar
förberedelser
Riskanalys Kontrollåtgärder Uppföljning Dokumentation Bedömning
Identifiera
risker Värdera
riskerna Besluta om hantering
Christer Eklöf
1. Förutsättningar
I regelverket fastslås att det inom myndigheten ska finna en god kontrollmiljö med för medarbetarna välkända dokument som är styrande för verksamhetens inriktning och den myndighetsutövning som sker. FISK-arbetet ska vara integrerat i myndighetens totala styrning, uppföljning och rapportering och utgå från de lagar, förordningar och andra föreskrifter (regleringsbrev, regeringsbeslut etc.) som styr universitetets verksamhet.
Internt fastställer universitetsledning och universitetsstyrelse mål för universitetets
verksamhet. Däribland finns rektors strategiplan, styrelsens beslut i anledning av rapporter från extern- och internrevision, riktlinjer för organisationen (inklusive delegationsordning), långsiktiga riktlinjer för budgetarbetet, strategier för utbildning respektive forskning.
Det är viktigt att riskanalysen utnyttjar befintliga löpande rutiner, men där så behövs kan dessa rutiner behöva modifieras eller nya tillkomma.
Riskarbetet inom universitetets delas in i tio områden med en ansvarig tjänsteman för varje område:
1. Lednings- och administrativa processer 2. Utbildning och utbildningsfinansiering 3. Forskning och forskningsfinansiering 4. Kompetensförsörjning
5. Hållbara finanser
6. Kvalitet i grundutbildning och forskarutbildning 7. Infrastruktur och informationssäkerhet
8. Miljö – yttre säkerhet 9. Konkurrens och synlighet 10. Innovation och samverkan
Dessa utgör tillsammans med universitetsdirektören och av denne utpekade tjänstemän administrative universitetets centrala riskanalysgrupp. Se i övrigt bilaga 1.
FFK HUK
KFU Riskanalysgrupp
Rapportering av riskanalys
Institutionerna
UF UB TFK etc
Universitetsledning Styrelse
Christer Eklöf
2. Riskanalys
Föregående års riskanalyser liksom universitetsstyrelsens bedömningar ingår som ett underlag i april månads verksamhetsdialog. Dessa dialoger är utgångspunkt för höstens mera detaljerade analys av riskerna i verksamheten. I sept-okt utarbetar enheterna sina riskanalyser. Den centrala riskanalysgruppen sammanställer materialet och gör en egen bedömning innan riskanalysen presenteras för universitetetstyrelsen som tar ställning till riskanalyserna vid sammanträdet i mitten av februari. Studenterna (studentkårerna) erbjuds en möjlighet att fristående genomföra en riskanalys som integreras i denna process.
2.1 Identifiera risker
Det första steget i riskanalysen är att identifiera vilka händelser som utgör ett hot mot att universitetet ska nå önskat resultat. En händelse utgör ett hot när den medför:
att verksamheten inte genomförs alls eller inte genomförs effektivt
att verksamheten inte genomförs enligt gällande rätt
att redovisningen av verksamheten inte blir rättvisande eller tillförlitlig
att verksamheten inte genomförs med god hushållning
Riskerna ska identifieras på olika nivåer inom universitetet och enhetliga metoder användas i arbetet.
Risksamordnarna samordnar arbetet med att identifiera riskerna inom sitt riskområde.
Dessa risker remitteras till enheterna och fakulteterna. Det ankommer på enheterna att bedöma riskernas relevans för den egna enheten/området. Enheterna kan också komplettera risklistan med ytterligare risker, som man bedömer vara relevanta för den egna
verksamheten, liksom att föreslå borttagande av risker som inte påverkar verksamheten särskilt mycket.
Institutionsledningarna, ledningen för universitetsbiblioteket och universitetsförvaltningen samt fakulteterna ska identifiera risker inom sin verksamhet såväl utifrån ett enhets- perspektiv som ett universitetsperspektiv. Materialet ska bygga på iakttagelser, eventuella mätningar av processers effektivitet eller annan dokumentation samt på omvärldsanalyser.
2.2 Värdera riskerna
Utgångpunkten för värderingarna är att varje enhet gör en kartläggning och värdering av de väsentligaste riskerna, dels för den egna enheten, dels för universitetet i dess helhet. För- utom att ta ställning till tidigare identifierade risker gäller det att identifiera tillkommande risker, eftersom förändringar i verksamheten också kan förändra förutsättningarna för riskarbetet. I samband med verksamhetsdialogerna diskuteras enheternas värderingar av riskerna.
När riskerna är identifierade och/eller uppdaterade görs en riskvärdering i två steg. Först värderas sannolikheten för att en oönskad händelse inträffar. Därefter bedöms effekten på myndighetens verksamhet om händelsen inträffar. Värderingen utgör sedan ett underlag för beslut om hur en risk ska hanteras. Värderingen av samtliga risker inom ett riskområde utgör också underlag för en sammanvägd bedömning av riskområdets risknivå.
Risksamordnarna gör sedan områdesvis en värdering av riskerna inom sitt område baserat på enheternas värdering och tar fram ett underlag för värdering av respektive riskområde.
Riskvärderingen görs i enlighet ned bilaga 2. (Blankett för beskrivande av risker, respektive riskvärdering samt vilka åtgärder som föreslås för risken.)
Christer Eklöf
Sannolikhet Effekt
1=Osannolik
Praktiskt taget obefintlig risk 1=Försumbar
Möjlig påverkan på verksamheten 2=Mindre sannolikhet
Inträffar sannolikt inte under normala omständigheter, i vart fall inte frekvent.
2=Måttlig
Effekten är inte försumbar, men kan hanteras i det löpande arbetet.
3=Möjlig
Kan mycket väl inträffa, men troligtvis inte särskilt frekvent.
3=Betydande
Allvarliga störningar i verksamheten som kan påverka universitetets anseende.
4=Sannolik
Bedöms komma att inträffa, och/eller inträffar ofta.
4=Allvarlig/katastrofal Omfattande konsekvenser för verksamheten.
Den centrala riskanalysgruppen tar sedan i ett tredje steg ställning till hur riskområdena ska bedömas inför rapportering till universitetsledning och universitetsstyrelse. I detta
värderingsarbete används begreppen, extremt låg, mycket låg, låg, medium, hög, mycket hög och extremt hög. Värderingen utgår ifrån de tidigare nämnda riskvärderingarna (sannolikhet, effekt) men ytterligare bedömningskriterier kan tillkomma. Det kan exempelvis vara så att en risk med ganska låg värdering av olika skäl kan bedömas vara viktig för universitetet att komma till rätta med oaktat att andra risker och riskområden siffermässigt värderas högre.
RISKBEDÖMNING
KONSEKVENS Allvarlig/katastrofal 4 Medium Hög Mycket hög Extremt hög
Betydande 3 Låg Medium Hög Mycket hög
Måttlig 2 Mycket låg Låg risk Medium Hög
Försumbar 1 Extremt låg Mycket låg Låg Medium
1 2 3 4
Osannolik Mindre
sannolik Möjlig Sannolik SANNOLIKHET
Denna riskbedömning förs in i en mall för riskanalys (bilaga 3).
2.3 Besluta om hantering
Efter att enheterna och risksamordnarna gjort sina bedömningar fattar styrelsen på förslag från rektor beslut om hur riskerna (riskområdena) ska hanteras.
Acceptera risk innebär att myndigheten inte vidtar några särskilda åtgärder. Påverkan på verksamheten är ringa eller kostnaderna för åtgärderna alltför höga i förhållande till risken.
Det kan också vara så att utanförliggande faktorer helt påverkar risken och att de åtgärder universitetet kan vidta får mycket begränsad verkan.
Begränsa risk innebär att vidta sådana åtgärder som minskar sannolikheten och/eller effekten av att en händelse inträffar.
Christer Eklöf Eliminera risk innebär att de händelser som är kopplade till risken undviks eller hanteras på
så sätt att konsekvenserna undanröjs.
Vid sidan av dessa tre huvudsakliga strategier för riskhanteringen finns också möjlighet att dela riskbedömningen med andra åtgärder av liknande typ som redan finns utvecklad inom myndigheten. Detta kan t.ex. gälla riskvärderingar i samband med tecknande av försäk- ringar, i samband med riskvärderingar av olika säkerhetsaspekter (kemikaliehantering, yttre säkerhet etc), miljöanalyser och inte minst arbetsmiljöfrågor.
Dessutom görs en värdering av olika typer av risker i samband med att extern- och intern- revision granskar olika områden och rekommenderar olika typer åtgärder. Även dessa bedömningar bör vägas in i arbetet med den interna styrningen och kontrollen.
3. Kontrollåtgärder/förbättringsåtgärder
Baserat på beslut om hantering fattade på såväl enhetsnivå som central nivå utformas för- bättringsåtgärder, i regelverket för FISKen benämnt kontrollåtgärder. Dessa ska göras i relation till de identifierade och värderade riskerna. Åtgärderna har ofta karaktären av ett fortsatt systematiskt kvalitetsarbete. Om det rör sig om mera genomgripande förbättrings- åtgärder, är det lämpligt att detta sker i projektform. För de väsentligaste riskerna ska utformas ett åtgärdsprogram för hur man ska komma tillrätta med risken. Om riskerna endast berör den egna verksamheten ska följande preciseras: Risk, orsak, värdering, förbättringsåtgärd, ansvarig och slutdatum.
Riskerna på övergripande universitetsnivå lämnas till den centrala riskanalysgruppen för prioritering och bedömning utifrån den samlade riskbedömningen samt kostnads- och nyttoperspektiv. Uppgifterna ska dokumenteras i mallen för riskanalys.
4. Uppföljning
Uppföljning av vidtagna åtgärder ska ske löpande, men även bestå av punktinsatser. Obser- vera att många risker redan följs upp i den löpande verksamheten och att särskilda insatser för risken inte alltid behövs. Det är dock viktigt att i riskuppföljningen även i den löpande verksamheten dokumenteras.
Uppföljningen ska dokumenteras i mall för riskanalys, enligt bilaga 3.
Aktuell status förs in med följande alternativ:
Åtgärd genomförd
Enligt tidsschema, men ännu ej färdig
Ännu ej påbörjad
Löpande (ingår i ordinarie verksamhetschema) En kommentar till statusangivelsen bör bifogas.
5. Dokumentation
Enligt FISK-förordningen ska myndigheten redovisa sin modell för hur man hanterar pro- cessen intern styrning och kontroll. Universitetets arbete med riskanalyser finns beskrivet i detta dokument samt i ytterligare dokument som ingår i den årliga riskhanteringen vid universitetet.
Dokumentationen ska samlas under ett diarienummer, som upprättas årligen och där all dokumentation som leder fram till universitetsstyrelsens årliga beslut (i samband med
Christer Eklöf styrelsebeslutet om årsredovisning i februari) skall ingå. Därvid är det viktigt att skilja på
sådan dokumentation som är arbetsunderlag och sådan dokumentation som är allmän och offentlig. Samtliga enheter som arbetar med riskarbetet ska använda detta gemensamma diarienummer. Det åligger risksamordnarna att inom respektive riskområde se till att dokumentationen finns tillgänglig och att den uppdateras löpande.
6. Bedömning
I samband med att årsredovisningen upprättas ska rektor till styrelsen göra en bedömning om den interna styrningen och kontrollen fungerar betryggande. Rektor ansvarar för att det finns underlag för att göra bedömningen och att uppföljning sker systematiskt och regelbun- det. Inför universitetsstyrelsen presenterar rektor dels en uppföljning av föregående års riskanalys, dels en universitetsövergripande riskanalys gällande innevarande år.
7. Tidplan för arbetet
Riskanalysen ska vara en integrerad del i universitetets arbete med verksamhetsutveckling och knytas till verksamhetsplaneringen. En årlig tidplan bör följas enligt nedan när den årliga, mer detaljerade verksamhetsplanen fastställs.
Sept - okt Identifiera risker på enhetsnivå (institution, fakultetsstyrelse, universitetsbibliotek och universitetsförvaltning)
Nov – dec Sammanfattande analys av enheternas riskanalyser görs av den centrala riskanalysgruppen (risksamordnarna).
Feb Universitetsstyrelsens uttalande och slutgiltiga bedömning sker på februarimötet i samband med att årsredovisningen beslutas. Det åligger riskanalysgruppen att utarbeta underlag till styrelsen och utvärdera det gångna årets arbete med de olika riskerna.
April Uppföljning av förbättringsåtgärder i samband med verksamhetsdialogerna.
Juni Redovisning till styrelsen om hur det fortsatta arbetet med den interna och styrningen och kontrollen ska läggas upp.
2012-12-07
Christer Eklöf
Universitetets centrala riskanalysgrupp – ansvariga för riskområdena
Riskarbetet inom universitetets delas in i tio områden med en ansvarig tjänsteman för varje område:
1. Lednings- och administrativa processer Göran Hessling 2. Utbildning och utbildningsfinansiering Lars Rydberg 3. Forskning och forskningsfinansiering Per Dannetun
4. Kompetensförsörjning Randi Hellgren
5. Hållbara finanser Lena Törnborg
/Agneta Frode Blomberg
6. Kvalitet i grundutbildning och forskarutbildning Charlotta Einarsson 7. Infrastruktur och informationssäkerhet Joakim Nejdeby
8. Miljö – yttre säkerhet Helena Tegehed Dahlin
9. Konkurrens och synlighet Mariethe Larsson 10. Innovation och samverkan Göran Felldin
Dessa utgör tillsammans med universitetsdirektören Kent Waltersson, tf administrative direktören Ann Holmlid och controllern Christer Eklöf universitetets centrala
riskanalysgrupp.
