PwC hjälpte Svenska Filminstitutet (SFI) med riskanalys

Utgångspunkt
2008 uttryckte SFI:s styrelse ambitionen att frivilligt följa samma krav som svenska myndigheter när det gäller förordningen om intern styrning och kontroll i staten (2007:603, "FISK"). Enligt denna förordning ska berörda myndigheter införa ett riskbaserat system för intern styrning och kontroll med en övergripande riskanalys som utgångspunkt. SFI är en stiftelse som styrs som en myndighet och är utsatt för stora risker för förtroendeskada. Samtidigt hade incidenter inträffat som visade att kontrollstrukturen och processkvaliteten behövde förbättras. Organisationen kan betraktas som en mycket heterogen samling av verksamhetsområden. Styrelsen såg i detta initiativ en stor möjlighet att förbättra SFI:s övergripande system för intern styrning och kontroll och samtidigt höja kvaliteten i hanteringen av så olika kärnprocesserna som till exempel stödgivning och filmarkivering.

Problemlösning
PwC genomförde fyra huvudsteg:

  • Övergripande riskanalys
  • Fördjupad riskanalys avseende den finansiella rapporteringen och IT
  • Prioritering av handlingsområden och upprättande av internkontrollplan
  • Formulera process för uppföljning kopplad till styrmodellen

I steg 1 genomförde vi en övergripande riskanalys med regeringskansliets regleringsbrev som utgångspunkt. Riskanalysen genomfördes tillsammans med ledningsgruppen. De viktigaste riskerna identifierades och resultatet illustrerades tydligt på en riskkarta och ett riskregister. I steg 2 genomfördes fördjupade riskanalyser inom bland annat IT och finansiell rapportering. Berörda personer inom verksamheten involverades i framtagandet av en risk- och verklighetsbaserad internkontrollplan för hela SFI. Detta var ett viktigt moment för att förankra arbetet i alla delar. I steg 3 utfördes, som ett led i prioritering av handlingsområden, en genomgång av kritiska processer som till exempel handläggning av stöd. Vi sammanfattade de väsentliga riskområden som SFI ville fokusera på i fortsatt arbete i en enkelt strukturerad internkontrollplan. Tillsammans med berörda riskägare definierades kontrollnivåer, uppföljningsåtgärder och aktivitetsplaner per riskområde. Planen presenterades sedan för styrelsen som sedan godkände planen för kommande år. I steg 4 beskrev vi hur det fortsatta arbetet med risk och internkontroll skulle bli en naturlig del i organisationens styrmodell. Vi hjälpte till att identifiera viktiga milstolpar i SFI:s årscykel bland annat avseende interna och externa rapporteringstillfällen och planeringsprocessen. Ett viktigt delmoment i detta arbete var att den årliga uppdateringen av riskanalysen skulle ske i samband med att avdelningarna varje höst ska ta fram sin individuella verksamhetsplan.

Resultat
Kunden upplevde våra metoder som lätthanterliga och pedagogiska. Samtidigt har SFI nu enkla hjälpmedel och verktyg på plats för att i framtiden själva kunna uppdatera och följa upp riskanalyser och internkontrollplaner på ett mycket effektivt sätt. Betydelsen av risk- och internkontrollarbete för en effektiv intern styrning uppfattas nu som mycket tydligare och högst relevant för beslutsfattande och planering, och inte längre som ett självändamål för ekonomer. I dag används till exempel gemensamma enkla metoder och verktyg för att genomföra riskanalys i samband med avdelningarnas verksamhetsplanering. Medvetenheten för risk och kontroll har ökat signifikant i stora operativa delar av verksamheten. SFI-övergripande dokument som interkontrollplan och riskkartan har blivit enkla styrnings- och övervakningsinstrument för ledningen och styrelsen. Det ger en ökad trygghet för att årligen uttala sig om att systemet för intern styrning och kontroll fungerar effektivt.