Kap. 4 Styring og kontroll i virksomheten

Styring og kontroll

SPK har god styring og kontroll, tilpasset SPKs egenart og behov. I 2013 har SPK oppnådd alle vesentlige mål og resultatkrav fastsatt av vårt eierdepartement. Vi fikk ingen merknader i revisjonsberetning fra Riksrevisjonen for 2012, og det er i 2013 ikke avdekket noen vesentlige risikoforhold gjennom internrevisjonen.

SPK har de senere år arbeidet aktivt med å styrke styring og kontroll av virksomheten i hele organisasjonen. Utgangspunktet for dette arbeidet er valget av en desentral styringsmodell, som gjennom sin nærhet til brukerne sikrer rask omstilling og tilpasning til endringer i våre omgivelser. Videre skal våre styrings-, kontroll- og utviklingsprosesser i størst mulig grad være basert på beste praksis, både med hensyn til kvalitet og effektivitet – samtidig som de er godt tilpasset SPKs egenart og behov.

For å styrke vår strategigjennomføring og tilrettelegge for tidlig varsling i vår mål- og resultatoppfølging, benytter SPK balansert målstyring som tillegg til tradisjonell regnskaps- og økonomistyring. SPK har for øvrig over flere år benyttet periodiserte regnskapsprinsipper i oppfølgningen av driften. De siste tre årene har vi lagt de statlige regnskapsstandardene (SRS) til grunn – som et tillegg til den ordinære statsregnskapsrapporteringen som følger kontantprinsippet. Vi erfarer at det gir vesentlig bedre styringsinformasjon.

Internkontrollen i SPK bygger på COSO-rammeverket, og risikostyring og internkontroll er organisert etter prinsippet om «tre forsvarslinjer» - den operative 1. linjen, en sentral fagstab i 2. linjen og en uavhengig internrevisjon som 3. linjen. Når det gjelder SPKs utviklingsprosesser, er disse basert på en «smidig» utviklingsmetodikk.

For å sikre en mest mulig helhetlig styring og kontroll i SPK, er risikostyring, internkontroll og forretningsutvikling tett integrert med arbeidet på mål- og resultatstyring.

Mål- og resultatstyring

I 2013 – som i foregående år – har SPK nådd alle vesentlige mål- og resultatkrav som er fastsatt i tildelingsbrevet fra vårt eierdepartement.

Videreutvikling og tiltak i 2013

I juli 2013 leverte vi vårt forslag til strategiplan for 2014–2016. Arbeidet med planen ble innledet med et felles strategiseminar mellom SPK og Arbeidsdepartementet (nå Arbeids- og sosialdepartementet). Strategiforslaget bearbeides nå videre i departementet, mens SPK tilrettelegger for å operasjonalisere hovedlinjene i strategien gjennom å utarbeide strategikart, styringskort, resultatindikatorer og prioriterte strategiske tiltak for de ulike forretningsområdene.

Gjennom 2013 har SPK videre arbeidet med implementering av ny statlig kontoplan, som er obligatorisk fra regnskapsåret 2014. Prosjektet har, i tillegg til å endre kontoplan og rapporteringsstruktur mot statsregnskapet, omfattet en full reimplementering av økonomisystemet og grensesnittene mot forsystemene. SPK har nå et oppdatert og fleksibelt økonomisystem, som vil understøtte forretningsdriften på en bedre måte.

SPK har i løpet av 2013 for øvrig også arbeidet med å forbedre vårt analysegrunnlag, slik at vi i større grad kan utvikle treffsikre prognoser for våre ytelser. I tillegg har vi startet utviklingen av produktregnskaper, et verktøy som vil forbedre grunnlaget for analyser, effektiviseringstiltak og korrekt prising av våre produkter.

Risikostyring og internkontroll

Gjennom regelmessige risikokartlegginger vurderer SPK risikoer i forhold til kortsiktige og langsiktige mål, effektiv drift, pålitelig rapportering og overholdelse av lover og regler. Risikokartlegginger i 2013 viser at de største risikoene er knyttet til premieberegning/-fakturering og nytt uføreregelverk. SPK er godt i gang med en rekke tiltak for å redusere risikoen i premieberegning og fakturering. Implementeringen av nytt uføreregelverk følger fremdriftsplanen vi har laget i tett dialog med vårt eierdepartement (les mer om utfordringer knyttet til innføringen av nytt uføreregelverk i pensjonsregnskapet side 24).

Gjennomgangen fra internrevisjonen viser at SPKs prosesser er robuste og bidrar til å sikre gjennomføring av kjerneaktivitetene med nødvendig kvalitet, men det er rom for å forbedre prosessen for risikovurderinger på lavere nivå i virksomheten.

Riksrevisjonen ga en revisjonsberetning for 2012 lik det som gjøres i privat sektor. SPK mottok ren revisjonsberetning for SPK Forsikring og SPK Forvaltning, samt Rapport om Riksrevisjonens kontroll av kvalitetsmåling av pensjonsvedtak i 2012 med positiv konklusjon.

Videreutvikling og tiltak i 2013

Risikostyring og internkontroll i SPK er vesentlig styrket gjennom de senere årene. Dette arbeidet er videreført i 2013, blant annet ved at risikostyringen ble integrert i SPKs årshjul for virksomhetsstyring, som også inkluderer ledelsens budsjett- og strategiprosess. Videre har vi integrert arbeidet med sikkerhet og beredskap. Metodeverket for risikokartlegging er også videreutviklet, slik at metoden som benyttes for risikovurdering av daglig drift og utviklingsprosjekter nå er lik.

For å øke kompetansen og oppmerksomheten rundt risikostyring og internkontroll, har vi etablert et risikoforum. Dette skal bidra til en strukturert og helhetlig oppfølging og rapportering i virksomheten. I tillegg har vi oppdaterte retningslinjer for risikostyring og internkontroll, noe som er med på å tydeliggjøre roller og ansvar. SPK er for øvrig bredt representert på det nyetablerte samarbeidsforumet for internkontroll, som ledes av Direktoratet for økonomistyring. Dette vil bidra til å løfte internkontrollarbeidet ytterligere fremover.

Når det gjelder SPKs internrevisjon, har vi i løpet av 2013 gjennomført revisjonsprosjekter for låneprosessen, innkjøp/anskaffelser og kunde- og medlemsdata, uten at det er avdekket vesentlige risikoforhold. På forespørsel fra Arbeids- og sosialdepartementet har SPK videre evaluert risikoen for svindel av ytelser. Samlet risiko anses å være lav.

Sikkerhet og beredskap

SPK har et styringssystem for sikkerhet basert på ISO 27001, i tråd med anbefalinger fra Difi. En sikkerhetskampanje har de to siste årene bidratt til å styrke sikkerhetskulturen blant ledere og medarbeidere. Vi gjennomførte en større IT-relatert beredskapsøvelse i 2013 med gode resultater. Øvelsen ga verdifull læring som vil bidra til å styrke beredskapen ytterligere.

SPKs arbeid med sikkerhet er nærmere beskrevet i et eget sikkerhetsregnskap på side 38.

Forretningsutvikling

I 2013 har SPK gjennomført ca. 30 større og mindre utviklingstiltak og investeringer til en total kostnad på 52 millioner kroner. Våre største prosjekter har vært implementeringen av nytt uføreregelverk (Pensjonsreform II), etablering av nye systemløsninger for vår premie/fakturaprosess (PROFF), innføring av ny statlig kontoplan med ny økonomi/regnskapsløsning (Agresso 2014) og flytting til nye og mer hensiktsmessige lokaler (Prosjekt Skøyen). Alle disse 4 prosjektene videreføres i 2014.

Det har vært god oppfølging og kontroll på våre prosjekter gjennom året. Fremdrift (tid) og funksjonalitet (kvalitet) er i henhold til plan og mål for prosjektene, mens kostnadene totalt var ca. 4 % over budsjett. Dette skyldes i hovedsak at noen av de store prosjektene måtte starte opp med stor usikkerhet på ulike områder. Utviklingen innenfor Pensjonsreform II måtte for eksempel starte opp før regelverket var besluttet. Et annet eksempel er at funksjonalitetskravene var usikre i estimat for ny økonomi/regnskapsløsning. Les mer om prosjektene på side 22.

Videreutvikling og tiltak i 2013

For å styrke vårt arbeid med forretningsutvikling i SPK, har vi i løpet av 2013 etablert en god gjennomføringsmodell som sikrer oss løpende oppfølging og kontroll på prosjektene. Prinsippene for forretningsutvikling og gjennomføringsmodellen som brukes, er en videreutvikling av de erfaringer vi fikk gjennom Performprosjektet i perioden 2008-12. Videre har vi utarbeidet en første versjon av en treårig tiltaksplan som skal sikre at SPK iverksetter de rette tiltak for å nå sine mål på kort og lang sikt. Ut fra denne treårsplanen utarbeider vi, og følger opp, årlige investeringsplaner.

For ytterligere å etablere et best mulig grunnlag for videreutvikling og forbedring av SPKs leveranseprosesser, samt tilrettelegge for bedret styring og kontroll av disse, har vi i 2013 også gjennomført et pilotprosjekt for etablering av en prosessmodell for premie- og oppgjørsprosessen med fokus på fakturaleveransen. Det utviklede rammeverk og metode fra denne piloten, vil danne grunnlag for det videre arbeid med etablering av tilsvarende prosessmodeller for våre øvrige leveranser i SPK de neste årene.