Gå til navigasjon Gå til innhold

DFØ har fått nye nettsider. Gå til nye dfo.no

Åpne relatert ...

Lukke relatert ...

Risikostyring i staten

Mål- og resultatstyring er det overordnede styringsprinsipp i staten. En god mål- og resultatstyring forutsetter at ledere på ulike nivå, både i departement og underliggende virksomhet, kjenner til risikoer og aktivt håndterer de som kan påvirke måloppnåelsen negativt. Risikostyring og intern kontroll integrert i mål- og resultatstyringen skal bidra til at virksomheten når sine mål.

Relaterte tjenester

Hva er risiko og risikostyring i staten?

Risiko er forhold eller hendelser som kan inntreffe og påvirke oppnåelse av målsettinger negativt. En risiko skal vurderes etter sannsynligheten for at den inntreffer og den forventede konsekvensen den vil medføre dersom den inntreffer. Resultatet av disse vurderingene angir hvor høy den enkelte risiko er. Dette danner grunnlaget for å prioritere hvilke risikoer som anses som vesentlige og som kan påvirke oppnåelsen av målsettinger negativt på ulike nivåer, og som det derfor må legges vekt på videre i risikostyringsprosessen.
Risikostyring er en prosess integrert i mål- og resultatstyringen som:

  • Er utformet for å kunne identifisere, vurdere, håndtere og følge opp risiko slik at risikoen er innenfor akseptert nivå
  • Gjennomføres av virksomhetens ledelse og øvrige ansatte
  • Anvendes i fastsettelse av strategi og planer, og på tvers av virksomheten for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse


Av økonomiregelverket er det tre kategorier av målsettinger som virksomheten skal oppfylle:

  • Mål og resultatkrav
  • Pålitelig rapportering
  • Overholdelse av lover og regler

Målene skal oppnås innenfor de rammene som tildelte bevilgninger og eventuelle andre disponible ressurser setter.

Krav til risikostyring i staten

Regelverket for økonomistyring i staten stiller krav om risikostyring og intern kontroll i statlige virksomheter. Økonomiregelverket inneholder krav om at all styring, oppfølging, kontroll og forvaltning i staten skal tilpasses virksomhetens egenart,risiko og vesentlighet. Tilpasningskravet gjelder både i styring og kontroll i det enkelte departement, i departementets styring og kontroll av underliggende virksomheter (etatsstyringen) og i styring og kontroll i den enkelte virksomhet.

I tillegg er kravene til internkontroll i økonomiregelverket også et krav til risikostyring knyttet til mål på innsatsfaktorer, aktiviteter og produkter/tjenester.
Mer om krav til risikostyring i staten finner du her: Krav til risikostyring i staten

Hvem har ansvar for risikostyringen?

Departementet skal sikre at det er etablert en forsvarlig risikostyring og internkontroll i underliggende virksomheter.
Virksomhetsledelsen skal sørge for at det er etablert en forsvarlig risikostyring og internkontroll i virksomheten, og se til at den fungerer på en tilfredsstillende måte.

Hvordan gjennomføre risikovurderinger?

Regelverket for økonomistyring i staten stiller krav om risikostyring og intern kontroll i statlige virksomheter, men regelverket sier ikke noe om hvordan departementer og virksomheter kan utforme og gjennomføre risikostyringen. Under finner du derfor noen råd om hva en bør tenke på.


Risiko skal vurderes i forhold til mål og krav

Hva hindrer oss i å nå mål og overholde krav? Det er en forutsetning at departement og virksomhet har oversikt over mål og krav på ulike nivå. Det er viktig at målene er tydelige og godt formulert. Dette gir et godt utgangspunkt for å vurdere risikoen for å ikke nå målene.
Risiko kan oppstå knyttet til mål langs hele resultatkjeden. For illustrasjon av resultatkjeden se nederst på denne siden. Det er viktig å identifisere og håndtere både operasjonelle risikoer, som oppstår til venstre i resultatkjeden ("hvordan gjøre tingene riktig"?), og mer strategiske risikoer som oppstår lengre til høyre i resultatkjeden ("hvordan sikre at vi gjør de riktige tingene"?).


Velg metode for risikovurdering ut fra hva du skal risikovurdere

Det vil variere hvilke metoder og teknikker som er hensiktsmessige å benytte for å identifisere og vurdere risiko. Metoden for å risikovurdere mål på aktivitet- og prosessnivå vil kanskje være en annen enn metoden for å risikovurdere mål på produkter/tjenestenivå, eller mål på brukereffektnivå. Benytt den metoden som egner seg best til de målene som du skal risikovurdere. Eksempel på en metode som egner seg for å gjennomføre risikovurdering av mål på produkt/tjenestenivå, brukereffektnivå og samfunnseffektnivå finner du i metodedokumentet Risikostyring i staten. Et verktøy for dokumentasjon av en risikovurdering etter denne metoden kan du laste ned her.


Eksempel på en mulig metode som egner seg for å gjennomføre risikovurdering av mål på aktiviteter og prosesser er prosesskartlegging. En miniveileder i prosesskartlegging finner du her.
Ulike veiledningsaktører gir veiledning i ulike metoder for å vurdere risiko. Felles for de alle er at en ønsker å identifisere uønskede hendelser eller forhold som påvirker måloppnåelsen negativt og overholde krav. Her er noen sentrale lenker, listen er ikke komplett:

Risikovurderinger knyttet til informasjonssikkerhet (Difi)
Risikovurderinger knyttet til samfunnsikkerhet - helhetlig ROS i kommuner (DSB)
Risikovurdringer knyttet til sikkerhet (NSM)
Risikovurderinger knyttet til HMS arbeid (Arbeidstilsynet)
Risikovurderinger knyttet til anskaffelser (Difi)

Risikostyring i etasstyringen

Departementet må ha flere perspektiver i sin risikostyring. Det må både vurdere risiko i egen virksomhetsstyring, for målene til  underliggende virksomheter (i etatsstyringen) og i sektorsyringen.
I etatsstyringen må departementet vurdere risiko som truer måloppnåelsen til mål på brukereffektnivå og samfunnseffektnivå.
I egen virksomhetsstyring må departementet vurdere risiko som truer måloppnåelsen knyttet til innsatsfaktorer, aktiviteter /prosesser og produkter/tjenester.

Risikostyring 250bredde