Sikker forvaltning ligger højt på statslige CFO’ers agenda i 2023

PwC har i det første kvartal af 2023 gennemført undersøgelsen ‘Public CFO Survey’, hvor statslige økonomichefer har givet indsigt i, hvilke emner der ligger højt på deres agenda i 2023. Vi stiller i denne artikel skarpt på, hvordan økonomifunktionen er rustet til at håndtere fremtidens udfordringer, samt giver PwC’s perspektiv på de næste skridt inden for risikostyring i staten.

Resultaterne af PwC’s Public CFO Survey viser, at de statslige økonomichefers topprioritet er sikker forvaltning. Nærmere defineret er sikker forvaltning arbejdet med risikostyring og intern finansiel kontrol med det formål, at der skabes tillid til, at de økonomiske midler forvaltes effektivt og sikkert.

En mulig forklaring på økonomichefens fokus er, at interne finansielle kontroller og risikostyring er et område - der i forlængelse af svindelsager - er blevet en prioriteret kerneopgave i økonomifunktionen. Dette er blandt andet afledt af Rigsrevisionens fokus på intern finansiel kontrol samt Økonomistyrelsens udarbejdelse af regler og vejledninger – herunder indføring af mål om risikostyring i topledelsens mål- og resultatplaner. 

Det er PwC's erfaring, at en effektiv forvaltning af interne finansielle kontroller og risikostyring forudsætter en løbende opfølgning og rapportering. Undersøgelsen viser, at det er et mindretal af de statslige organisationer, hvor dette er tilfældet, da ca. 75 % af økonomicheferne svarer, at der i lav eller meget lav grad rapporteres nøgletal om risikostyring til ledelsen. Se nedenstående figur.

Ligeledes svarer ca. 75 %, at arbejdet med compliance i lav grad er systemunderstøttet. Det betyder, at risikostyringen fortsat primært foregår manuelt i MS Excel. Samtidigt svarer knap halvdelen af økonomicheferne, at der i meget lav grad eller lav grad arbejdes ud fra koncernfælles tilgange til risikostyring. Disse svar kunne tyde på, at en del af statens økonomifunktioner har nået en vis modenhed inden for interne finansielle kontroller og risikostyring i forhold til etablering af arbejdsgange og tilgange. Dog ses der et behov for at tage næste skridt i form af systemunderstøttelse af både arbejdsgange og ledelsesinformation og derved skabe en løbende bevidst forankring i organisationen.

Det er PwC’s vurdering, at staten i de seneste år har flyttet sig væsentligt ift. sikker forvaltning. Det begyndte med, at Økonomistyrelsen i 2020 udgav en vejledning om intern finansiel kontrol, og sideløbende er der kommet flere vejledninger, retningslinjer og undervisning i risikostyring. Dertil har en række ministerområder indført koncernfælles tilgange til risikostyring. Baseret på de statslige økonomichefers svar i analysen vurderes det dog, at der er et potentiale for at arbejde mere systemunderstøttet og systematisk med relevante nøgletal, fx KPI’er (Key Performance Indicators) eller KRI’er (Key Risk Indicators), der opsamler relevant information i risikostyringen. 

Fordele ved at arbejde systemunderstøttet med risikostyring

Systemunderstøttede interne finansielle kontroller og risikostyring har en række væsentlige fordele. Først og fremmest giver systemunderstøttelsen mulighed for at indføre forebyggende frem for kompenserende kontroller og dermed forhindre svindel eller besvigelser. Kompenserende kontroller er ofte manuelle og foretages på bagkant af en handling og har derfor en mere opdagende karakter. En anden fordel ved at arbejde systemunderstøttet er, at det hidtidige tidsforbrug på manuelle kompenserende kontroller kan reduceres, ligesom at fejlraten i kontrolarbejdet falder. Ydermere bidrager systemunderstøttelse til, at datafangsten bliver nemmere, hvilket understøtter løbende rapportering frem for ad hoc-rapportering.

Dertil sikrer systemunderstøttelse, at risikomiljøet kan overvåges i realtid, hvilket muliggør proaktiv handling, da risici automatisk bliver indrapporteret. Slutteligt og vigtigst så bidrager systemunderstøttelse og brug af nøgletal til topledelsesforankring, da nøgletal bidrager til at rette fokus henimod de steder i risikomiljøet, hvor der potentielt er udfordringer og dermed behov for fokus fra topledelsen. Det er vores erfaring, at datafangst og rapportering som er baseret på manuelle arbejdsgange, i mange tilfælde ikke bliver forankret i organisationen og ikke fanger de væsentligste risici.

PwC’s anbefalinger til det videre arbejde

Med baggrund i analysen og PwC’s erfaring med den statslige sektor vurderes det, at der er et væsentligt potentiale i at implementere en systematisk og løbende systemunderstøttet rapportering af centrale KPI’er/KRI’er, som kan bringes i spil i den ledelsesinformation, som tilgår topledelsen.

”Økonomifunktionerne spiller en nøglerolle i fremtidens risikostyring og dermed sikker drift, da udarbejdelse af relevant datadrevet ledelsesinformation til monitorering af risikomiljøet kræver god tal- og forretningsforståelse samt evner inden for effektiv ledelsesrapportering. Det er netop økonomifunktionens kerneopgave,” understreger Lars Miguel Paredes, partner i CFO Advisory i PwC. 

Idet kontrol og risikostyringen er en del af den departementale tilsynsopgave, vurderer PwC, at det er væsentligt, at der anskaffes systemer, der tager højde for både koncernorganisering og styringshierarkiet i staten, sådan at departementer kan føre et effektivt sammenhængende tilsyn med institutionerne inden for ressortområdet.

Derudover anbefaler PwC, at staten i fremtiden tænker kontroller og risikostyring ind fra begyndelsen, når kernesystemer kravsættes, sådan at statens kernesystemer inkluderer forebyggende kontroller som fx funktionsadskillelse. Det ville betyde, at statens institutioner ikke ender med at skulle etablere manuelle kompenserende kontroller og forretningsgange rundt om systemerne, som øger både ressourceforbrug og risiko for fejl.

Slutteligt anbefaler PwC, at der etableres et stringent begrebsapparat om risikostyring og intern finansiel kontrol i staten, da intern kontrol kun er en delmængde af risikostyringen. Risikostyring omhandler overblik og kontrol over risici, som kan påvirke organisationens målopfyldelse i alle dimensioner.