Styring og kontroll

FFI bruker mål- og resultatstyring med innebygd risikostyring som grunnleggende styringsprinsipp. Instituttet har sammen med Forsvarsdepartementet (FD) tilpasset dette slik at den grad av handlefrihet og tillit dette styringsprinsippet forutsetter, ivaretas på en god måte. FD utformer FFIs strategiske målbilde hvert fjerde år i forbindelse med IVB-LTP. FFI gjennomfører med utgangspunkt i dette en strategi- og planprosess, der instituttet beslutter hvilke tiltak og forskningsprosjekter som skal prioriteres. I 2016 har FFI satt i gang arbeid med en ny overordnet virksomhetsstrategi.

Instituttledergruppen reviderer det overordnede risikobildet hvert annet år og følger opp status for tiltakene halvårlig. FFI bedømmer effekten av tiltakene som tilfredsstillende. FFI anser den samlede måloppnåelsen som god.

FFI jobber systematisk med å utvikle internkontrollsystemet i samsvar med gjeldende standard (COSO II). Metoder, prosesser og ansvarsforhold er etablert i samsvar med internkontrollveilederen til Direktoratet for økonomistyring (DFØ). FFIs internrevisjon gjennomfører revisjonsoppdrag i henhold til en årsplan godkjent av FFIs styre, og gir en årlig uttalelse om modenheten på instituttets styring og kontroll. FFIs internrevisjon er forankret i sektorens internrevisjonsordning.

FFI har videreført prosessen med å effektivisere instituttets støttefunksjoner. Instituttet gjennomfører blant annet regelmessige evalueringer av interne prosesser for å forbedre dem. I tillegg har FFI i 2016 satt i gang arbeid med en langtidsplan for støttefunksjonene. Ambisjonsnivået er å videreutvikle støttefunksjonene i samsvar med endringene i forskningsavdelingenes behov, interne og eksterne effektiviseringskrav og samfunnsutviklingen for øvrig. I 2016 har FFIs internrevisjon gjennomført bekreftelsesoppdrag innenfor HR-området og området eiendom, bygg og anlegg (EBA). FFI følger opp anbefalingene fra dette som en del av internkontrollarbeidet.

FFI rapporterer på ulike nivåer både ut fra interne behov og ut fra krav fastsatt i regelverk og instrukser. FFI gjennomfører virksomhetsrapportering månedlig, tertialvis og på årsbasis. FFI har definert klare roller og ansvar knyttet til rapporteringen og anser resultat- og regnskapsinformasjonen som relevant og pålitelig.

FFI og våre oppdragsgivere følger kontinuerlig opp ressursbruken i forskningsprosjektene i samsvar med inngåtte prosjektavtaler. Kostnadene knyttet til FFIs støttevirksomhet finansieres gjennom belastning av indirekte kostnader i timeprisen til prosjektene, og disponeres i samsvar med lovpålagte oppgaver og behovet ved forskningsavdelingene. FD har satt et effektiviseringskrav for perioden 2013–2016, hvor andelen indirekte kostnader sett i forhold til omsetning skal reduseres med 0,5 prosentpoeng årlig.

FFI anser ressursbruken totalt sett som hensiktsmessig og effektiv. Det er ikke avdekket vesentlig styringssvikt, brudd på lover og regler eller feil og mangler i 2016.

FFI anser roller og ansvarsforhold som gjennomgående godt definert i virksomheten, men det er fortsatt nødvendig å prioritere arbeidet med å revidere og utforme styrende dokumenter. Som følge av dette har FFI i 2016 startet en prosess for å vurdere om instituttet bør innføre et eget dokumenthåndteringssystem. I 2016 har FFI tatt i bruk et nytt avvikssystem (Gaia) for å håndtere hendelser og avvik innenfor HMS-området. Dette brukes også til oppfølging av risikorelaterte tiltak innenfor virksomhetsstyringen.

FFI jobber systematisk for å forebygge korrupsjon og andre misligheter, og er representert i Rådet for integritet i forsvarssektoren. Informasjon om integritet og etikk, herunder FFIs etiske retningslinjer, er publisert på instituttets nettsider. Etikk og integritet er fast tema for nyansatte, blant annet gjennom fadderordningen og i forsker- og lederutviklingen ved instituttet. FFI har utarbeidet en egen veileder i etisk dilemmatrening, som kan brukes ved behov. Det er fortsatt behov for å styrke praktiseringen av dette, og instituttet har derfor avsatt mer ressurser til dette i 2017. FFI har i 2016 gjort en ny vurdering av mislighetsrisiko, og instituttet gjennomfører tiltak knyttet til dette innenfor internkontrollarbeidet.

FFI har etablert en egen varslingskanal i henhold til sektorens rutiner og krav. Det har ikke vært varslingssaker ved FFI i 2016.

FFI anser den samlede styring og kontroll som god.

Særskilte forhold knyttet til styring og kontroll i virksomheten

Risikovurderinger

FFI har gode erfaringene med bruk av overordnet risikobilde, og instituttet har også i 2016 opplevd at tiltak har hatt god effekt. FFI har samordnet dette arbeidet og strategiprosessen, slik at overordnede risikoer og strategiske temaer har utgangspunkt i én felles strategisk analyse. Instituttet følger opp overordnede risikoer og strategiske temaer så å si likt. Denne tilnærmingen har gitt risikoarbeidet en sterk lederforankring, og det er dermed godt integrert i virksomhetsstyringen. Dette gir en god balanse mellom det FFI ønsker å unngå (negativ risiko) og det instituttet ønsker å oppnå (positiv risiko).

For å forbedre og utvikle internkontrollsystemet har FFI i 2016 fullført arbeidet med et eget risikobilde for støttefunksjonene. I dette synliggjør vi risiko knyttet til blant annet oppfylling av lov- og regelverk, utvikling av IT-arkitektur og effektivisering. Avvikssystemet Gaia gjør det enklere å følge opp igangsatte tiltak basert på risikovurderinger i støttefunksjonene (jf. trinn 5–6 i DFØs veileder). FFI oppfyller dermed økonomiregelverkets krav på dette området.

Internt styrings- og kontrollmiljø

FFI legger stor vekt på å utvikle virksomhetens styrings- og kontrollmiljø. FFI følger den såkalte 3-linje-forsvarsmodellen ved at det er etablert egen internrevisjon (3. linje) og interkontrollfunksjon (2. linje) i organisasjonen. Det er etablert samhandlingsrutiner mellom disse funksjonene i tråd med gjeldende praksis. FFI har i perioden 2012–2016 fullført trinn 1–5 (det vil si planlegging, risikovurderinger, samt utforming, innføring og oppfølging av tiltak) på virksomhetsnivå og innen støttefunksjonene. Alle nye prosjektledere ved FFI får en innføring i internkontroll med utgangspunkt i DFØs veileder.

FFI har i 2016 gjennomført den årlige egenevalueringen av modenheten på instituttets prosesser for styring og kontroll i samsvar med den modenhetsmodellen som brukes i sektoren forøvrig. Egenevalueringen viser generelt at modenheten oppleves som tilfredsstillende, men at det særlig innenfor kategoriene hensikt, engasjement og forpliktelse er et utviklingspotensial. Det er fortsatt forskjeller mellom de ulike deltakergruppenes opplevelse av modenhet.

Med en sterk lederforankring er instituttet på rett kurs i å utvikle holdninger, verdier og adferd i hele virksomheten. Dette påvirker måten instituttet jobber på. Gjennom de grep som er nevnt i dette kapittelet, har FFI sett en tydelig forbedring av modenheten i styrings- og kontrollmiljøet. Dette arbeidet vil fortsette.

Oppfølging av merknader fra Riksrevisjonen, evalueringer og tilsyn

Riksrevisjonen har gjennomført revisjon av FFIs regnskap og budsjettdisposisjoner for 2015 og hadde ingen vesentlige merknader. FFI har på rapporteringstidspunktet ikke mottatt revisjonsberetning for 2016 fra Riksrevisjonen. Nasjonal sikkerhetsmyndighet (NSM) gjennomførte i 2016 en penetrasjonstest med sikte på å forbedre den forebyggende sikkerheten ved FFI. FFI har også hatt tilsyn fra Statens strålevern i 2016, der modenheten på instituttets internkontrollsystem for lavradioaktive kilder ble vurdert. Det gjennomføres én årlig ekstern evaluering av utvalgte deler av FFIs forskning.

Det er FFIs oppfatning at de tiltakene som er innført etter revisjoner, evalueringer og kontroller, bidrar til de ønskede forbedringer.