Kapittel 4

Styring og kontroll

Statens pensjonskasse har god styring og kontroll på virksomheten. Også i 2019 nådde vi i stort alle vesentlige resultatkrav fastsatt av vårt fagdepartement. Det er ikke identifisert brudd av betydning fra vår instruks om virksomhets- og økonomistyring fra hverken intern revisor eller Riksrevisjonen.

Etatsstyring – ekstern styring

Det er god styringsdialog mellom Arbeids- og sosialdepartementet (ASD) og SPK. Vi har hatt tre ordinære etatsstyringsmøter med gjennomgang av årsrapport og tertialrapporter, i tillegg til flere særmøter om SPKs reformprogram Pro 25.

Intern styring og kontroll

SPK har etablert en helhetlig innretning på virksomhetsstyringen, der vi styrer mot både kortsiktige og langsiktige mål. For å ivareta helhetsperspektivet har vi integrert mål- og resultatstyringen med risiko- og tiltaksstyring.

SPKs eksterne økonomirapportering baserer seg på de statlige regnskapsstandardene (SRS), i tillegg til ordinær rapportering til statsregnskapet i henhold til kontantprinsippet. Den interne økonomistyringen er basert på periodisert regnskap. Resultatene følges opp månedlig mot årlige, periodiserte budsjetter, supplert med kostnadsanalyser på produkt- og kundegrupper.

Risikostyringen i SPK er etablert etter prinsippet om tre forsvarslinjer:

  • Første forsvarslinje består av alle områdedirektører og øvrig ledelse i forretningsområdene og utgjør den daglige risikostyringen.
  • Andre forsvarslinje består av en sentral risikostyringsfunksjon med fagansvar og ansvar for overordnet risikooppfølging som er uavhengig av linjen.
  • Tredje forsvarslinje er internrevisjonen som rapporterer til administrerende direktør.

Fokus og utfordringer i 2019

Som det fremgår av årets aktiviteter og resultater i kapittel 3, har 2019 vært et år preget av reformer. Samtidig skal SPK sørge for god og effektiv daglig drift.

Innen styring og kontroll har derfor årets hovedutfordring vært å legge til rette for en helhetlig og balansert styring og kontroll av både daglig drift og gjennomføring av reformer.

Aktiviteter

Arbeidet med pensjonsreformen går over mange år. For å sikre god styring og kontroll på både kort og lang sikt, har vi i 2019 utarbeidet en ny strategi for perioden 2019-2023. Strategien utdyper seks strategiske retningsvalg for hvordan SPK skal innfri målene for god daglig drift og reformgjennomføring, samtidig som vi skal tilfredsstille et økende informasjonsbehov fra kunder og medlemmer.

Utover i 2019 har strategien blitt konkretisert og tilrettelagt for operasjonalisering ute i organisasjonen og gjort kjent for alle ansatte. Som følge av de økte utfordringene knyttet til styring og kontroll, har vi videre gjennomført en revidering av våre føringer og retningslinjer for risikostyring.

I henhold til beste praksis har vi etablert et felles rammeverk og risikometodikk for hele virksomheten, både for linje- og utviklingsorganisasjonen, samt for sikkerhet og beredskap. I tillegg er det implementert strengere krav til oppfølging av alle høye risikoer, hvor det skal iverksettes og rapporteres risikoreduserende tiltak.

For å sikre at de nye retningslinjene er kjent og følges opp, har ledere og prosjektledere fått ytterligere opplæring i risikoforståelse, bruk av sannsynlighets- og konsekvensskala i en risikomatrise, samt nye krav til oppfølging av risiko.

For å sikre tilstrekkelig ressurser og kapasitet, etablerte SPK i 2. halvår 2019 en egen enhet for sikkerhet og beredskap og vi rekrutterte ny leder for seksjonen. Videre er personvernarbeid styrket ved at behandlingsansvaret er delegert ut til den operative førstelinje. SPK har måttet melde noen få avvik på personvern til Datatilsynet, og organisasjonen arbeider målrettet med forbedringer.

Videre er konsekvenser av den nye sikkerhetsloven som kom i 2019 utredet i godt samarbeid med ASD og NAV. Foreløpig konklusjon er at den nye loven ikke vil innebære noen vesentlige endringer for SPK.

I løpet av året har vi også gjennomført en vellykket beredskapsøvelse med cyberangrep som tema. Øvelsen identifiserte enkelte forbedringspunkter som vil bli fulgt opp i tiltaksplanen for 2020. For øvrig viste den årlige risiko- og sårbarhetsanalysen at sikkerhetssituasjonen i SPK er tilfredstillende.

Når det gjelder intern revisjon, ble det gjennomført tre internrevisjonsprosjekter i 2019. Med utgangspunkt i risikobilde og erfaringer fra reformarbeidet var temaene personvern og informasjonssikkerhet, ressurs- og kompetansestyring og IT livløpsforvaltning. I tillegg ble intern revisjonen i SPK vesentlig styrket på utviklingsområdet, da vi i henhold til tildelingsbrevet engasjerte en ekstern kvalitetssikrer som skal følge Pro 25 løpende.

For øvrig har SPK i 2019 arbeidet løpende med integreringen av Pro 25 i den helhetlige virksomhetsstyringen, samtidig som vi har lagt ned betydelig innsats i å videreutvikle og forbedre våre prognose- og analyseunderlag til departementenes budsjettarbeid og til kundene våre. I tillegg har vi utarbeidet nye retningslinjer på ressursstyring. Når det gjelder arbeidet med ny pris- og kostnadsmodell, er det er en målsetning at medlemsvirksomhetene i SPK skal betale riktig pris for tjenestene de mottar. I 2018 ble internprisene beregnet med utgangspunkt i ny ABC-basert kostnadsmodell.

For ytterligere å styrke arbeidet med kostnadsoppfølging, implementerte vi i 2019 nye produktivitetsindikatorer i form av enhetskost per hovedprodukt. Disse følges opp i styringsdialogen med ASD.

I henhold til tildelingsbrevet for 2019 var det videre en ambisjon å utvikle en ny prismodell for administrasjonskostnader ut mot virksomhetene for innføring fra og med 2020. Denne tilpasningen krever både en gjennomgang av de prinsipper som ligger til grunn for prisfastsettelsen, og en strukturert gjennomgang av underliggende data/datastrukturer som prisene skal beregnes ut fra.

Dette arbeidet er omfattende, og har sterke avhengigheter mot aktiviteter i det øvrige arbeidet med modernisert premiemodell. Tilpasning av administrasjonspremien blir derfor gjennomført som en del av de senere fasene i dette arbeidet. I påvente av dette, viderefører SPK arbeidet med tilrettelegging av underlagsdata og øvrige forberedelser.

Resultater

Som det fremgår av «Årets aktiviteter og resultater» i kapittel 3 og «Årsregnskapet» i kapittel 6, nådde SPK alle vesentlige mål fastsatt av ASD i tildelingsbrevet for 2019.

Som det fremgår av risikobildet, er det krevende å opprettholde effektiv drift i en tid med reformer. Gjennom regelmessige risikoanalyser og tett oppfølging av risikoreduserende tiltak, har SPKs totale risikobilde likevel holdt seg stabilt gjennom året.

Samtidig med at nye risikoer har kommet til, har vi klart å ta ned flere risikoer. Eksempelvis har vi tatt ned risikoene både med hensyn til ressurssituasjonen og ikke tilfredsstillende medlemsinformasjon. SPK har ingen kritiske risikoer ved årets slutt. SPK fikk ingen merknader fra Riksrevisjonen for 2018. I sin årsrapport for 2019 konkluderer internrevisor videre med at SPK har et modent og godt regime for internkontroll og at det foreligger planverk, budsjetter, styringsdokumenter og rapporteringer som
dekker bredden av organisasjonen. De opplevde at revisjonsarbeidet forløp på en god og effektiv måte, og det ble ikke avdekket kritiske forhold.

Totalt sett opplever SPK at vår styring og kontroll har fungert godt i 2019. Som følge av løpende endringer internt og eksternt med hensyn til både daglig drift og reformer, erkjenner vi samtidig at det vil være krevende å opprettholde god styring og kontroll fremover. SPK vil derfor løpende vurdere nødvendige tiltak for å sikre dette.

Fra fellesføringer fra Regjeringen

I henhold til fellesføringen om inkluderingsdugnad i staten, har SPK ansatt to medarbeidere med hull i CV-en i 2019. Det tilsvarer 5,4 % av nyansettelsene i 2019. Dette er så vidt over Regjeringens målsetting på 5 %.
Se vedlegg; Vårt bidrag til Regjeringens inkluderingsdugnad.

Den andre fellesføringen fra Regjeringen er at offentlige oppdragsgivere, som innkjøpere av varer og tjenester, skal påta seg et særskilt ansvar for å motvirke arbeidslivskriminalitet.

SPK skal derfor sikre at våre leverandører følger lover og regler, både ved tildeling av oppdrag og i oppfølging av inngåtte kontrakter. SPK har 42 avtaler som utgjør tjenestekjøp over EØS-terskelverdi og som dermed er omfattet av forskrift om lønns- og arbeidsvilkår i offentlige kontrakter.

Basert på besvarelser på mottatte egenrapporteringsskjema, har SPK ikke avdekket noe urovekkende hos våre leverandører, og vi har ikke gjort noen funn som tyder på at leverandørene ikke følger lover og regler knyttet til lønns- og arbeidsvilkår.
For nærmere utdypelse, se vedlegg: Oppfølging av arbeidslivskriminalitet.

Se også vedlegg - Revisjonsmelding fra Riksrevisjonen