Denne risikostyringspolicyen etablerer prinsippene for arbeidet med risikostyring, og hvordan ansvar og myndighet er fordelt i arbeidet med risikoer i kommunen.
Målgruppen for denne policyen er ledere i kommunen, og de rådgiverne som jobber med risikovurderinger og rapportering av risikoer.
Risikostyring er en lederoppgave og omfatter alle tiltak og aktiviteter vi gjør for å styre risikoene. Formålet med risikostyringen er å gjøre oss som kommune i stand til:
Å unngå risikoer er ikke et mål i seg selv. Vi må akseptere noe risiko for å kunne levere gode tjenester til innbyggerne.
Risikostyringen skal også sikre at Kommunedirektøren skal få god informasjon om det samlede risikobildet i kommunens virksomheter, og kjenne til de vesentligste risikoene i kommunen. Risikostyringen skal også skje på lavere nivå, slik at direktørene og kommunalsjefene får tilsvarende informasjon om risikoforholdene i sine virksomheter. God informasjon om risikoforholdene gjør lederne i stand til å ta gode beslutninger. Hovedregelen er at risikoen eies på laveste mulig nivå, men risikoene må håndteres på det ledernivået hvor man har myndighet til å håndtere risikoene med hensiktsmessige tiltak.
Risikostyringsprosessen består av tre hoveddeler: planlegging, risikovurdering og risikohåndtering.
Dette er en lenke til kommunens risikostyringsprosess.
ROS-analysene som gjennomføres i kommunen skal følge denne prosessen. Dette er viktig for å sikre god kvalitet på risikovurderingene, og sikre god informasjonsflyt rundt risikoer i hele linjen.
Risikostyringen skjer på tre nivåer; kommunenivå, områdenivå og i virksomhetene (kommunalsjefområder, enheter og avdelinger). Dette er i tråd med hvordan roller og ansvar er fordelt i internkontrollen (se "Roller og ansvar" i internkontrollpolicyen). Vi skiller mellom strategiske og operasjonelle risikoer. Strategisk risikostyring gjelder forhold som er viktige for kommunens langsiktige strategi og planer, mens operative risikoer gjelder drift.
Det er et viktig prinsipp at dersom risikoen ikke er mulig å håndtere med den myndigheten risikoeier har, må tiltaket overføres til neste ledernivå (oppover i linjen).
De overordnede risikovurderingene ser på risikoer som kan få konsekvenser for hele eller store deler av kommunen. Disse risikovurderingene gjøres for hvert av internkontrollområdene i kommunen. Ansvarlig direktør for internkontrollområdet har ansvar for at disse blir gjennomført, og det er de fagansvarlige for internkontrollområdene som står for selve utførelsen (evt. sammen med sine interne samhandlingsarenaer).
Eksempler på risikovurderinger på overordnet nivå er:
Utover dette utarbeider kommunen årlig en vurdering og beskrivelse av utfordringsbildet ved rullering av økonomiplan.
Noen ROS-analyser blir gjort for flere av virksomhetene for å avdekke felles risikoforhold (eks. for skolene). Områdene avgjør selv hvordan de vil organisere risikostyringen internt, men de må sørge for å etterleve krav i lov og forskrift. Hver direktør er ansvarlig for å avdekke de vesentligste risikoene innenfor sitt område, og holde kommunedirektøren informert.
Enheter og avdelinger skal identifisere og analysere risikoer som gjelder virksomhetenes daglige drift, arbeidsprosesser og tjenester til innbyggerne. Leder for virksomheten er ansvarlig for gjennomføringen av risikovurderingen.
Se listenover felles obligatoriske risikovurderinger som alle kommunens virksomheter er pålagt å gjøre (tjenestespesifikke krav kommer i tillegg).
Informasjonen om risikoforholdene skal brukes til å identifisere hvor vi trenger internkontroll for å sikre at vi ikke bryter lover og regler, og at vi når målene våre. Det er dette vi kaller risikobasert internkontroll. Risikostyring skal være en del av den daglige ledelsen og styringen av kommunen, og er en kontinuerlig prosess som skal sikre at vi har et oppdatert risikobilde til enhver tid.
Kommunelovens § 25-1 krever at kommunenes internkontroll "... skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold". I tillegg skal kommunene "... avdekke og følge opp avvik og risiko for avvik".
Fra 2023 innfører Kristiansand kommune et elektronisk verktøy for risikostyring i Styringsportalen. Hovedregelen er at alle risikovurderinger og ROS-analyser skal registreres her, og arkiveres i kommunens arkiv.
Disse ROS-analysene og risikotypene skal ikke ligge i risikostyringsmodulen i Styringsportalen, men blir ivaretatt i andre systemer:
Kommunedirektøren har det overordnede ansvaret for internkontrollen og dermed også for risikostyring. Ansvaret for å ivareta internkontrollen er delegert videre i linjen. Dette er nærmere beskrevet i kommunens internkontrollpolicy og i delegering fra kommunedirektøren.
Alle ledere i Kristiansand kommune har ansvar for å gjøre de nødvendige risikovurderingene for sin virksomhet for å sørge for at internkontrollen er utformet på en hensiktsmessig måte, tilpasset risikoforholdene i virksomheten.
Risikostyring er en ledelsesoppgave og et lederansvar. Implementeringen av risikostyringen, og forvaltningen av den, skal skje etter den modellen for ansvar og myndighet som er satt for internkontroll i internkontrollpolicyen.
Linjen: Med "linjen" mener vi kommunens formelle organisering - fra virksomhetsnivå til kommunedirektør. Dette er nærmere omtalt her.
Risiko: vi definerer risiko som "mulige hendelser som kan påvirke oss negativt". Vi bruker også begrepet potensielle hendelser.
Risikostyring: risikostyring er "alle aktiviteter og tiltak vi gjør for å styre risiko".
Uakseptabel risiko: En risiko som vi må håndtere pga. at den vurderes slik at vi ikke kan leve med risikoforholdene slik de står. Dette kan være risikoer med høy sannsynlighet og høy konsekvens, høy sannsynlighet og middels konsekvens, eller middels sannsynlighet og høy konsekvens. Alle risikoer med en totalsum over 15 (sannsynlighet x konsekvens) er uakseptable, men også risikoer med en lavere sum enn dette kan vurderes som uakseptable.
Risikostyringsprosess - Forside
Aven, Terje (2015). "Risikostyring". Oslo: Universitetsforlaget 2. utg.
Aven, Røed, Wiencke (2008). Risikoanalyse. Oslo: Universitetsforlaget.