Risikostyring er et stadigt mere aktuelt tema i den offentlige sektor. Øget digitalisering, behovet for at sikre transparens og sikkerhed i håndteringen af borgernes data, og truslen om cyberangreb stiller nye krav til risikohåndtering, lige som en række sager om svindel i sektoren for alvor har skabt opmærksomhed om, hvordan man håndterer risici.
Hvordan man løser denne opgave afhænger af organisationens rolle og type, behov, ambitionsniveau og strategiske mål, herunder, om risikostyringen alene skal være reaktiv for at sikre compliance, eller et værktøj, der understøtter strategien.
I PwC samarbejder vi bredt med aktører i staten, regionerne og kommunerne om at træffe de nødvendige foranstaltninger for at undgå svig og bedrag, sikre regeloverholdelse og politisk betjening, samt med at tænke risikostyringen ind som et element i den strategiske udvikling.
Det er vores erfaring, at en offentlig myndighed med fordel kan stille sig selv en række spørgsmål, der er definerende for, hvordan man går til arbejdet med risikostyringen, og hvor ambitiøst man ønsker at gå til værks.
Hver enkel institution har sine egne unikke opgaver og karakteristika, som indledningsvis bør afdækkes, da det vil være styrende for, hvordan risikostyringen bør håndteres. Det har fx stor betydning, om institutionen er drifts- eller policy-domineret, og hvilken type drift der er tale om, fx tilskudsadministration eller sagsbehandling, hvilken størrelse man har, hvor høj kompleksiteten er i de opgaver, man håndterer, samt en række andre karakteristika.
Afsøg hernæst, hvilke typer af risici I står overfor, og hvor eksponerede I er over for disse. I PwC har vi defineret fire kategorier af risici, som enhver offentlig institution er eksponeret mod i varierende grad:
De finansielle risici har typisk haft stor bevågenhed og vedrører risikoen for, at institutionen bliver ramt af internt eller eksternt drevet svig, men også risikoen for at overskride økonomiske rammer og disponeringsbeføjelser eller risikoen for at begå væsentlige, utilsigtede fejl.
I nogle institutionstyper er risikoen for – og eksponeringen mod - operationelle eller driftsrelaterede fejl imidlertid mindst lige så vigtige som de finansielle risici. Risici, som ultimativt også kan føre til aktualisering af finansielle risici eller true institutionens berettigelse, ligesom enhver institution vil være eksponeret mod risikoen for manglende regeloverholdelse; det vi kalder compliance-risikoen.
Endelig er den politiske risiko for mange institutioner den dominerende; det vil sige risikoen for utilstrækkelig eller fejlbehæftet servicering af det politiske niveau.
Kortlæg jeres aktuelle risikostyringsprofil, herunder de indsatser og strukturer der er etableret med risikostyring for øje. Hvilke forsvarslinjer er etableret, hvordan er disse organiseret og tilrettelagt, hvordan er opfølgning og styring på risici integreret i den løbende styring, og hvilket overordnet resultat er tilstræbt?
Fastlæg en ambition eller et målbillede for arbejdet med risikostyring. Skal risikostyringsprocesserne, værktøjerne og governance-strukturen alene være responsive eller også forebygge og måske ligefrem fungere som løftestang for innovation og strategisk udvikling? Beslutningen er ikke uafhængig, men er vigtig for den videre tilgang til etablering eller udbygning af institutionens risikostyring.
Den enkelte institutions behov og ambitionsniveau for risikostyring vil variere fra reaktivt compliance-drevet til strategisk understøttende værktøj. Det er helt centralt at afdække, om risikostyringen skal have et primært defensivt sigte, et primært offensivt og strategisk sigte, eller en kombination heraf.
Sæt konkrete, realiserbare mål for den nærmeste planlægningshorisont. Undgå- ”Big Bang” -programmer med tilhørende investeringer i komplekse it-værktøjer, men fastlæg en trinvis udvikling frem mod realisering af ambitionsniveauet. Prioritér opgaverne med afsæt i den konkrete risikoeksponering og ambitionerne for risikostyring som et forsvarsværn, en strategisk løftestang eller noget indimellem. Definér specifikke aktiviteter, som vil bringe jer tættere på målet, og allokér ressourcer til formålet.
Sørg for, at risikostyring ikke bliver en løsrevet, periodisk opgave, men integreres fuldt ud i organisationen. Dette er en særskilt udfordring og reelt en grundforudsætning for risikostyring. Offentlige organisationer har en stærk kultur omkring opfyldelse af forvalt-ningsmæssige formål. Kulturen skal suppleres med en forståelse af risikostyring som en understøttelse af de forvaltningsmæssige formål og som et værn mod negativ eksponering. Dette indebærer et udtalt ledelsesmæssigt fokus, og at risikostyring inkorporeres i den løbende driftsstyring i alle dimensioner.
I PwC arbejder vi med en metode, som er bygget op omkring det måske mest universelt anerkendte rammeværk for intern kontrol og risikostyring (COSO), som vi har tilpasset den danske offentlige sektor. Dette metodeapparat sikrer, at fundamentale spørgsmål om ambition, mål og strategi for arbejdet med risikostyring tager afsæt i den enkelte institutions særlige karakteristika og specifikke behov, samt i en grundlæggende forståelse af institutionens risikoeksponering og profil. Denne tilgang til risikostyring sikrer, at den er relevant i forhold til jeres behov, og at risikostyringen bliver nemmere at integrere i den øvrige styring af institutionen og dermed har større chance for at lykkes.