To start page
  • Use of cookies
  • Archive
  • Sitemap
  • Contact
  • Print
  • Print
  • Change text size
Norsk

UDI internal practices

IM 2015-008
Document-ID : IM 2015-008
Case-ID : 15/06652-1
Documentdate : 04.09.2015
Receiver :

Utlendingsdirektoratet

Arbeidet med risikostyring i UDI


1. Innledning

2. Risikostyringens forhold til internkontroll

3. Risikostyring og måloppnåelse i UDI

4. Definisjoner, prosessbeskrivelse og roller

5. Risikostyringsprosessen i UDI

5.1 Årlig risikoprosess

5.2 Løpende oppfølging og involvering

1. Innledning

Det følger av Reglement for økonomistyring i staten at en virksomhet skal ha systemer og rutiner for internkontroll, herunder risikostyring, jf. §§ 4 og 14. Internkontroll er et linjeansvar. Enhver linjeleder har ansvar for internkontroll og risikostyring innen sitt ansvarsområde.

Direktøren har ansvaret for risikostyringen i UDI og rapportering om de vesentligste risikoene på virksomhetsnivå til overordnet departement.

Avdelingslederne i UDI har ansvar for risikostyringen i sin avdeling. De har videre ansvar for rapportering til direktøren om vesentlige risikoer og for håndtering av risikoene hvor de står som ansvarlige.

Områdeledere og enhetsledere skal identifisere og rapportere om vesentlig risikoer på sitt ansvarsområde til avdelingsdirektør.

Risikostyring innebærer bruk av risikovurderinger som ledd i virksomhetsstyringen. Risikostyringen i UDI skal bidra til at vi identifiserer, vurderer, håndterer og kommuniserer forhold som kan inntreffe og påvirke vår måloppnåelse negativt. Risikostyring er også et ressurs- og prioriteringsverktøy. Den skal gi konkret og vesentlig informasjon som kan lette beslutninger og prioriteringer på ulike nivåer i direktoratet og bidra til økt måloppnåelse.

Formålet med internmeldingen er å systematisere risikostyringen, og sikre felles forståelse og prosesser i hele direktoratet. Risikostyringen skal være helhetlig og integrert i virksomhetsstyringen.

2. Risikostyringens forhold til internkontroll

Internkontroll i UDI består av systemer, rutiner og tiltak som skal forhindre styringssvikt, feil og mangler. Internkontrollen omfatter virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar, kompetanse, kultur, holdninger, men også kontrollaktiviteter knyttet til gjennomføringen av konkrete oppgaver, aktiviteter og prosesser. Risikostyring er en nødvendig forutsetning for internkontroll, og det samlede styrings- og kontrollsystemet skal tilpasses risiko, vesentlighet og UDIs egenart.

Risikostyring benyttes i mange sammenhenger, som i risiko- og sårbarhetsanalyser og i planlegging og oppfølging av prosjekter. Prosesser, maler og verktøy som fremgår av internmeldingen skal, så langt det passer, også benyttes i slike sammenhenger. Der det er hensiktsmessig benyttes andre prosesser tilpasset det enkelte formål. Risiko identifisert gjennom andre prosesser skal også vurderes i den overordnede risikostyringsprosessen.

3. Risikostyring og måloppnåelse i UDI

Identifiseringen av risiko skal være åpen og legge til grunn en vid forståelse av måloppnåelse som dekker UDIs samfunnsoppdrag. Dette for å sikre at risikoer identifiseres på vårt ansvarsområde selv om de ikke er koblet direkte til de til enhver tid prioriterte målene. Økonomireglementet oppstiller tre kategorier målsettinger som enhver virksomhet skal oppfylle: Overholdelse av lover og regler, pålitelig regnskapsrapportering og økonomiforvaltning og mål og resultatkrav.

UDIs mål og resultatkrav fastsettes gjennom årlige tildelingsbrev og instruks fra overordnet departement, UDIs strategi og direktørens årlige prioriteringer og virksomhetsplan. Målene operasjonaliseres gjennom virksomhetsplanene for hver enkelt avdeling.

Hvert år skal det gjennomføres en grundig risikoprosess som en del av virksomhetsplanleggingen i UDI. Videre følges risikobildet opp sammen med prioriteringsarbeidet gjennom året som følger av UDIs virksomhetshjul.

På virksomhetsnivå skal risikovurderingene ta utgangspunkt i UDIs mål og resultatkrav, som beskrevet ovenfor.

På avdelingsnivå skal risikovurderingen ta utgangspunkt i avdelingens mål.

Risikoer knyttet til overholdelse av lover og regler, pålitelig regnskapsrapportering og økonomiforvaltning vurderes på virksomhetsnivå dersom avdelingene eskalerer denne type risikoer.

Risikoer skal håndteres på lavest mulig nivå. Risikoer som påvirker UDIs måloppnåelse vesentlig, skal eskaleres, jf. vedlegg (evaluering av risiko).

4. Definisjoner, prosessbeskrivelse og roller

Definisjoner

Risiko: Forhold eller hendelser som kan inntreffe og påvirke måloppnåelsen negativt.

Risikovurdering: En kontinuerlig prosess for å identifisere risikoer, vurdere sannsynlighet for og konsekvens av risikoer dersom de inntreffer, samt en vurdering av hvordan en risiko skal følges opp og om det skal settes inn tiltak.

Risikotoleranse: Et akseptert nivå på risiko for ikke å nå det enkelte mål. Risikotoleranse fastsettes av leder på aktuelt nivå og tas med i vurderingen av hva slags oppfølging en risiko bør få for å oppnå akseptert risikonivå.

Prosessbeskrivelse

UDI baserer sin risikostyringsprosess på en internasjonal standard, ISO 31000. Prosessen er tilpasset UDIs organisasjon og oppgaver, samt integrert i virksomhetsstyringen. Prosessen benyttes på virksomhetsnivå og avdelingsnivå i UDI. Den kan også benyttes på lavere nivåer. Se vedlegg for nærmere beskrivelse av det enkelte trinn i prosessen samt veiledning og tips for gjennomføring.

Bilde av risikostyringsprosessen

Roller

Prosessansvarlige: De som har ansvar for å fasilitere og legge til rette for risikoprosessen, samt følge opp status på identifiserte risikoer. AUA er prosessansvarlig på virksomhetsnivå. Hver avdeling peker ut prosessansvarlige for sin avdeling.

Risikoansvarlig: Lederen på aktuelt nivå i området der en risiko er identifisert. Direktøren har ansvar for risikoene på virksomhetsnivå, mens avdelingsdirektørene har ansvar for risikoene på avdelingsnivå.

Tiltaksansvarlig: En som er delegert ansvar for tiltak som skal settes inn for å redusere, dele, unngå eller begrense skaden dersom en risiko skulle inntreffe.

5. Risikostyringsprosessen i UDI

Det gjennomføres en grundig risikoprosess i direktørmøtet én gang i året i tilknytning til virksomhetsplanleggingen. Den årlige gjennomgangen skal oppdatere UDIs risikokart gitt de krav som settes av overordnet departement.

Risikostyring er en kontinuerlig prosess. UDIs risikokart følges opp løpende og samordnes med oppfølging av virksomhetsplanen.

5.1 Årlig risikoprosess

I den årlige risikoprosessen skal det først gjennomføres en prosess på avdelingsnivå. Risikoene som identifiseres på avdelingsnivå danner grunnlag for risikoprosessen på UDI-nivå.

Gjennomføring av årlig risikoprosess i avdelingene

Det skal gjennomføres en grundig risikovurdering i avdelingsledergruppen i hver avdeling i forbindelse med virksomhetsplanleggingen.

Ledere på lavere nivå har ansvar for å identifisere og rapportere om vesentlige risikoer til sin avdelingsleder.

Avdelingene skal oppdatere egne risikokart, beskrive sine risikoer ved hjelp av fastsatt mal og benytte skjema for evaluering av risiko. Avdelingsdirektøren har ansvar for å rapportere om avdelingens vesentlige risikoer til direktøren.

Nedenfor beskrives gjennomføringen av den årlige risikoprosessen på virksomhetsnivå. Vi anbefaler at tilsvarende prosess benyttes på avdelingsnivå og tilpasses avdelingens organisering og omfang. Maler, verktøy og tips for gjennomføring i vedlegget.

Gjennomføring av årlig risikoprosess på virksomhetsnivå

Den årlige prosessen på virksomhetsnivå behandles i to direktørmøter. Formålet med det første møtet er at ledelsen sammen skal identifisere vesentlige risikoer (del 1 nedenfor). Formålet med det andre møtet er at ledelsen sammen skal analysere og evaluere risikoene som er identifisert (del 2 nedenfor). Direktøren står fritt til å foreta endringer etter dette. Håndteringen av risikoene overføres til avdelingene (del 3 nedenfor) som må identifisere, prioritere og sette i verk tiltak.

Del 1

Kontekst og risikoidentifisering

Den årlige prosessen på virksomhetsnivå tar utgangspunkt i en kontekstanalyse. Kontekst er de ytre og indre forhold som utgjør rammene for oppgaveløsningen og måloppnåelsen i UDI. De kan være knyttet til prioriteringer, saksinngang, regelverk, bemanning, kompetanse mv. Med mål mener vi vårt samfunnsoppdrag, forutsetninger i Prop.1 S, instruks til UDI, tildelingsbrevet, UDIs strategi og virksomhetsplan. Kontekstanalysen skal sikre en felles oppfatning av nå-situasjonen; hvilke mål som skal nås og i hvilken kontekst. Dette gjøres som en innledning og bakteppe for risikoidentifiseringen i direktørmøtet.

Risikoidentifisering innebærer å beskrive aktuelle og vesentlige hendelser som kan true måloppnåelsen. I tillegg til kontekst, er utgangspunktet for risikoidentifiseringen gjeldende risikokart og avdelingenes innspill til risikoer på grunnlag av deres risikoprosess. AUA skal sammenstille et utgangspunkt for identifiseringen på bakgrunn av innspill fra avdelingene og direktøren. Risikoidentifiseringen gjennomføres som en åpen diskusjon av de foreslåtte risikoene.

Det kan også komme opp forslag til nye aktuelle risikoer i møtet. Det første møtet skal oppsummeres i en liste over identifiserte risikoer for den kommende perioden. Direktøren kan i etterkant av møtet innhente nærmere beskrivelser og velge ut risikoer for videre analyse.

Del 2

Risikoanalyse og - evaluering

Når direktørmøtet har identifisert vesentlige risikoer skal det gjennomføres en risikoanalyse. Dette innebærer at hver identifiserte risiko skal vektes i forhold til sannsynligheten for at den inntreffer, og de forventede konsekvensene det vil ha for virksomhetens måloppnåelse dersom den inntreffer. Samlet vil risikoanalysen si hvor høy en risiko er. Risikoanalysen gjøres gjennom en felles diskusjon av hver enkelt risiko.

Når risikoene er analysert skal de evalueres. Risikoevaluering innebærer å vurdere hvilken oppfølging en risiko bør få. Det skal vurderes om det skal settes inn tiltak. Her er vurdering av risikotoleranse sentral.

Direktøren kan justere på plasseringen av den enkelte risikoen i etterkant av diskusjon i direktørmøtet og vurdere om en risiko skal følges opp på virksomhetsnivå, av den enkelte avdeling eller på annen måte. Direktøren skal vurdere om det skal rapporteres til departementet.

Del 3

Overføring av ansvar for håndtering av risiko på virksomhetsnivå

Dersom direktøren har besluttet at det skal settes inn tiltak, skal risikoene håndteres. Direktøren skal plassere ansvaret for håndtering av risikoen hos en avdelingsdirektør som risikoansvarlig.

Avdelingsdirektøren skal vurdere hvilke tiltak som skal settes inn på grunnlag av en kost-nyttevurdering. Tiltakene skal oppsummeres med frist for gjennomføring og ansvarlig. En samlet liste over tiltak vil danne grunnlag for oppfølging og monitorering på virksomhetsnivå.

5.2 Løpende oppfølging og involvering

AUA har ansvar for å følge opp risikoene på virksomhetsnivå overfor avdelingene og rapportere til direktøren. Prosessen innebærer en løpende risikoevaluering som skal sikre at tiltak blir fulgt opp og at risikobildet er oppdatert til enhver tid.

Monitorering og oppfølging innebærer vurdering av iverksatte tiltak, revidering av risikobildet og læring av eventuelle inntrufne hendelser. På virksomhetsnivå er AUAs rolle å følge opp risikokartet og tilhørende tiltak i månedlige møter med avdelingene på vegne av direktøren. I forkant av møtene skal avdelingene gjøre en vurdering av effekten av tiltak eller andre forhold som påvirker risikoene, eventuelt behovet for ytterligere tiltak. De må også vurdere om andre risikoer bør løftes. AUA skal tilrettelegge for effektiv oppfølging. DM vurderer det overordnede risikokartet hver måned.

God kommunikasjon og involvering er en forutsetning for at risikostyringsprosessen skal gi vesentlig styringsinformasjon og nødvendig oppfølging. Sentrale personer på det aktuelle fagområdet må involveres når det skal gjennomføres en risikovurdering.

Informasjon om risikovurderinger bør deles i organisasjonen. Bevissthet om risikostyringen kan bidra til at risiko fanges opp på et tidlig tidspunkt og på ansvarsområder utover de til enhver tid prioriterte.

Rapportering på tiltak og status skal ses i sammenheng med øvrig virksomhetsrapportering. AUA skal tilrettelegge for effektiv rapportering på risiko i tilknytning til tertialrapporteringene og årsrapport.

 

Frode Forfang
direktør

 

Kontakt: Analyse- og utviklingsavdelingen (AUA), enhet for statistikk og analyse (ESA)

Latest changes
  • Ny: IM 2015-008 Arbeidet med risikostyring i UDI (9/4/2015)

    Ny internmelding om arbeidet med risikostyring i UDI. Internmeldingen skal bidra til å systematisere risikostyringen, og sikre felles forståelse og prosesser i hele UDI.

Norwegian Directorate
of Immigration
Utlendingsdirektoratet
P.O. box 2098 Vika
NO-0125 Oslo
Norway

Editor in Chief: Stephan Mo