Riksrevisionen granskar myndigheternas rapportering av riskhantering

Läste precis igenom Riksrevisorernas årliga rapport 2012. Kanske någon mer som slängt ett öga på den? För mig var kapitlet om granskningen av myndigheternas rapportering av riskhantering mest intressant. Sammanfattar och kommenterar lite kort nedan.

Ca 60 av de statliga myndigheterna i Sverige (förvaltningsmyndigheterna som har skyldighet att följa internrevisionsförordningen) är ålagda att också följa förordning (2007:603) om intern styrning och kontroll som populärt brukar kallas FISK:en.

Riksrevisionen har granskat hur FISK-myndigheterna redovisar sitt arbete med intern styrning och kontroll i sina respektive årsredovisningar. Riksrevisorerna kommer i sin analys fram till att följande tre riskområden med underliggande risker väger tyngst för förvaltningsmyndigheterna:

• Kompetensförsörjning
  • oförmåga att rekrytera och behålla rätt kompetens
• IT och informationssäkerhet
  • brister i styrning, ansvar och rutiner.
  • inte klara av kraven på en modern e-förvaltning
  • bristande kvalitetssäkring av indata och i överföring mellan olika IT-system
• Upphandling
  • svårigheter med att säkerställa regelefterlevnad
  • svårigheter med att utforma fungerande kontrollåtgärder och uppföljningar

Riksrevisorerna konstaterar vidare att det är stora variationer av rapporteringen i årsredovisningarna. Inte helt förvånande kanske? Min uppfattning är att det många gånger saknas fungerande riskhanteringsprocesser. Då är det inte heller enkelt att presentera hur man arbetar med detta. Ett exempel som jag sett många gånger är att fokus ligger enbart på att identifiera och presentera en risklista. I min värld är det inte riskhantering.

Riksrevisorernas bedömning innehåller bland annat följande rekommendation:

”Av beskrivningen bör framgå hur myndigheten motiverar eventuellt borttagande av tidigare risker och vilka risker som kvarstår och/eller tillkommit sedan föregående årsredovisning.”

Min uppfattning är att en sådan beskrivning (om den ska hålla över tiden och också hålla för externa granskningar) förutsätter att det finns en riskhanteringsprocess (processteg, aktiviter, roller, ansvar, styrning) införd i organisationen. Styrningen av riskhanteringsprocessen blir extremt viktig ur perspektivet långsiktigt hållbara riskbeslut där det går att visa vilka styrprinciper och regler som lett till ett visst beslut (t ex att acceptera risk).

Spännande att se vad som händer nu efter att rapporten publicerats! Leder det till ”ökad tydlighet kring myndigheters riskhantering”? Kommer riskhanteringsprocesserna att ses över både här och där?

Riksrevisorernas årliga rapport 2012 går att ladda ned som pdf från www.riksrevisionen.se.

// Annika Biberg
Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB