1. Hvad er organisationens formål, og hvad karakteriserer dens virke?
Hver enkel institution har sine egne unikke opgaver og karakteristika, som indledningsvis bør afdækkes, da det vil være styrende for, hvordan risikostyringen bør håndteres. Det har fx stor betydning, om institutionen er drifts- eller policy-domineret, og hvilken type drift der er tale om, fx tilskudsadministration eller sagsbehandling, hvilken størrelse man har, hvor høj kompleksiteten er i de opgaver, man håndterer, samt en række andre karakteristika.
2. Hvad er jeres væsentligste risici?
Afsøg hernæst, hvilke typer af risici I står overfor, og hvor eksponerede I er over for disse. I PwC har vi defineret fire kategorier af risici, som enhver offentlig institution er eksponeret mod i varierende grad:
De finansielle risici har typisk haft stor bevågenhed og vedrører risikoen for, at institutionen bliver ramt af internt eller eksternt drevet svig, men også risikoen for at overskride økonomiske rammer og disponeringsbeføjelser eller risikoen for at begå væsentlige, utilsigtede fejl.
I nogle institutionstyper er risikoen for – og eksponeringen mod - operationelle eller driftsrelaterede fejl imidlertid mindst lige så vigtige som de finansielle risici. Risici, som ultimativt også kan føre til aktualisering af finansielle risici eller true institutionens berettigelse, ligesom enhver institution vil være eksponeret mod risikoen for manglende regeloverholdelse; det vi kalder compliance-risikoen.
Endelig er den politiske risiko for mange institutioner den dominerende; det vil sige risikoen for utilstrækkelig eller fejlbehæftet servicering af det politiske niveau.
3. Hvordan er organisationens aktuelle risikostyringsprofil?
Kortlæg jeres aktuelle risikostyringsprofil, herunder de indsatser og strukturer der er etableret med risikostyring for øje. Hvilke forsvarslinjer er etableret, hvordan er disse organiseret og tilrettelagt, hvordan er opfølgning og styring på risici integreret i den løbende styring, og hvilket overordnet resultat er tilstræbt?
4. Hvad er organisationens ambitionsniveau?
Fastlæg en ambition eller et målbillede for arbejdet med risikostyring. Skal risikostyringsprocesserne, værktøjerne og governance-strukturen alene være responsive eller også forebygge og måske ligefrem fungere som løftestang for innovation og strategisk udvikling? Beslutningen er ikke uafhængig, men er vigtig for den videre tilgang til etablering eller udbygning af institutionens risikostyring.
Den enkelte institutions behov og ambitionsniveau for risikostyring vil variere fra reaktivt compliance-drevet til strategisk understøttende værktøj. Det er helt centralt at afdække, om risikostyringen skal have et primært defensivt sigte, et primært offensivt og strategisk sigte, eller en kombination heraf.
5. Hvilke konkrete mål vil I sætte jer for risikostyring, og hvordan realiserer I disse?
Sæt konkrete, realiserbare mål for den nærmeste planlægningshorisont. Undgå- ”Big Bang” -programmer med tilhørende investeringer i komplekse it-værktøjer, men fastlæg en trinvis udvikling frem mod realisering af ambitionsniveauet. Prioritér opgaverne med afsæt i den konkrete risikoeksponering og ambitionerne for risikostyring som et forsvarsværn, en strategisk løftestang eller noget indimellem. Definér specifikke aktiviteter, som vil bringe jer tættere på målet, og allokér ressourcer til formålet.
6. Hvordan integrerer I risikostyringen i jeres driftsstyring og i kulturen?
Sørg for, at risikostyring ikke bliver en løsrevet, periodisk opgave, men integreres fuldt ud i organisationen. Dette er en særskilt udfordring og reelt en grundforudsætning for risikostyring. Offentlige organisationer har en stærk kultur omkring opfyldelse af forvalt-ningsmæssige formål. Kulturen skal suppleres med en forståelse af risikostyring som en understøttelse af de forvaltningsmæssige formål og som et værn mod negativ eksponering. Dette indebærer et udtalt ledelsesmæssigt fokus, og at risikostyring inkorporeres i den løbende driftsstyring i alle dimensioner.