Kapittel 4

Styring og kontroll av virksomheten

SPK har god styring og kontroll på virksomheten. Vi nådde alle vesentlige mål og resultatkrav fastsatt av vårt fagdepartement også i 2017, og vi fikk ren revisjonsberetning fra Riksrevisjonen.

Etatsstyring

Også i 2017 har det vært en god styringsdialog mellom Arbeids- og sosialdepartementet (ASD) og oss. Vi har hatt tre ordinære etatsstyringsmøter med gjennomgang av årsrapport og tertialrapporter, i tillegg til flere særmøter. De vesentligste temaene i styringsdialogen med departementet har i 2017 vært:

  • Våre forberedelser til den kommende pensjonsreformen med innføring av nytt samordningsregelverk
  • Implementering av modernisert premiesystem
  • Videreutvikling av vår pris- og kostnadsmodell
  • Aktiviteter i forbindelse med 100-årsmarkering i november 2017

Hvordan vi driver styring og kontroll

Helhetlig virksomhetsstyring

Vi har etablert en helhetlig tenkning på virksomhetsstyring i SPK, hvor vi styrer mot både kortsiktige og langsiktige mål. For å ivareta helhetsperspektivet har vi integrert mål- og resultatstyringen med risikostyring og tiltaksstyring. Videre er vi i gang med å integrere prosessdimensjonen i den helhetlige styringen.

I den interne rapporteringen er vi dermed opptatt av å vise hvordan alt henger sammen: fra målstyring, økonomistyring, risikostyring, porteføljestyring og prosesstyring.

Alle våre utviklingsaktiviteter inngår i SPKs porteføljestyring.

Risikostyring

Gjennom flere år har vi hatt tertialvise risikogjennomganger på hvert forretningsområde og samlet for SPK, hvor risikoer vurderes opp mot mål, etterlevelse av lover og regler samt pålitelig rapportering. Risikovurdering av utviklingsprosjekter gjennomføres etter samme metodikk som øvrig risikostyring i SPK.

Økonomistyring

I den interne økonomistyringen følger vi opp reelle kostnader basert på de statlige regnskapsstandardene for periodisert regnskap, mens den eksterne rapporteringen avlegges i henhold til kontantprinsippet.

SPK har alt i alt god budsjettkontroll, med løpende oppfølging av økonomien i drifts- og utviklingsaktivitetene som en integrert del av resultatrapporteringen i forretningsområdene og til toppledelsen.

Aktiviteter i 2017

I 2017 har vi vært opptatt av å videreføre vår helhetlige virksomhetsstyring. Videre har vi hatt spesielt fokus på å styre og følge opp forberedelsene til reformgjennomføringen, i tillegg til å videreføre arbeidet med prosessorientering av SPK. Les mer om dette i kapittel 3.1.

I løpet av året satte vi i gang et arbeid for å revidere SPKs pris- og kostnadsmodell, der formålet er å sikre at kundene betaler riktig pris for tjenestene de mottar. I 2017 har vi konsentrert oss om å etablere reviderte kostnadskalkyler, og i 2018 skal arbeidet videreføres ved å etablere revidert prismodell.

Videre har vi i 2017 forberedt oss på kravene som følger av ny personvernlovgivning og kravene i GDPR-forordningen*, som trer i kraft mai 2018. Vi har opprettet et nytt personvernombud og startet arbeidet med å dokumentere alle våre behandlinger i henhold til kravene. Les mer om dette i kapittel 3.3.4.

Resultater i 2017

Vi har nådd alle vesentlige mål og resultat-/leveransekrav fastsatt av ASD i tildelingsbrevet. Vi hadde tenkt å gjennomføre en beredskapsøvelse i slutten av 2017. Men som følge av store aktiviteter de siste månedene er denne øvelsen utsatt til første halvår av 2018, i dialog med ASD.

Utviklingstiltak

Våre utviklingsaktiviteter i 2017 har inngått i en utviklingsportefølje med et samlet budsjett på 60 millioner kroner. De viktigste tiltakene har handlet om å forberede reformer, implementere modernisert premiesystem og forbedre våre betjeningsløsninger. Fordi vi opplevde noe knapphet på utviklingsressurser og fordi noen tiltak var mer komplekse enn antatt, ble ca. 15 prosent av aktivitetene i porteføljen forskjøvet til 2018. Les mer om dette i kapittel 3.3.1.

Riksrevisjonen

Vi fikk rene revisjonsberetninger fra Riksrevisjonen for både årsregnskapene til SPK og Jernbanens Pensjonskassefond for 2016.

Høsten 2017 har Riksrevisjonen gjennomført interimsrevisjon i SPK, med fokus på blant annet generelle datakontroller og internkontroll knyttet til blant annet regnskapsavslutning, driftsregnskap og flere av våre inn-/ utbetalingsprosesser.

Internrevisjonen

Internrevisor har over tid observert at vi har et modent og godt regime for internkontroll. De har ikke avdekket vesentlige risikoforhold som ikke er kjent for ledelsen. Internrevisor gjennomførte fire internrevisjonsprosjekter i 2017, og ingen forhold ble vurdert som kritiske. De observasjoner og anbefalinger vi fikk, handlet om videre forbedringsmuligheter, ikke om avvik fra gjeldende lover og krav.

Sikkerhet og beredskap

Sikkerhetssituasjon i SPK vurderes fortsatt som tilfredsstillende. Det har vært en positiv utvikling over flere år både i vår tekniske sikring og ansattes bevissthet rundt sikkerhet. Samtidig ser vi en stadig endring i trusselbildet, som medfører et tilsvarende behov for kontinuerlig forbedring. For å forbedre både sikkerheten og vår sikkerhetskultur har vi forbedret en rekke rutiner og tekniske løsninger. Vi har også hatt flere aktiviteter for å heve bevissthetsnivået og kompetansen blant ledere og ansatte. Videre har forberedelsene til GDPR vært sentral.

Risikovurdering

Vårt interne risikobilde viser at våre risikoer i stor grad er knyttet til planlegging og implementering av store reformer de kommende årene, samtidig som vi har ambisjoner om å videreføre arbeidet med effektivisering av driften. Å sikre tilstrekkelige og kompetente IT-ressurser vil være en spesiell utfordring.

* General Data Protection Regulation

Last ned hele kapittel 4