Som leder i staten (1) har du et ansvar for at virksomheten har etablert en effektiv internkontroll (2), og at denne gjennomføres og fungerer på en tilfredsstillende måte.
Tre spørsmål er grunnleggende:
- Hva er egentlig internkontroll?
- Hvorfor skal virksomheten ha internkontroll?
- Hva betyr dette ansvaret for internkontroll for meg som leder?
2.1 Hva er internkontroll?
Internkontroll er et lederansvar, og er en nødvendig forutsetning for god styring. Mens styring handler om å fastsette hva som skal oppnås, og å gi retning for virksomheten (gjøre de riktige tingene), vil internkontroll understøtte styringen gjennom å definere hvordan oppgavegjennomføringen bør innrettes for at virksomheten skal nå fastsatte mål og krav (gjøre tingene riktig).
God internkontroll i oppgavegjennomføringen bidrar til kvalitet i statlige produkter og tjenester. Internkontroll utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll.
Eksempler på internkontrolltiltak
Alle ledere og medarbeidere bidrar til internkontroll i sitt daglige arbeid, men ikke alle er bevisst på at oppgavene som gjøres og måten de gjøres på inngår som en del av virksomhetens internkontroll.
Eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll:
- Bruke passord og autorisasjonsordninger
- Kontrollere tallgrunnlaget i en rapport
- Opplæringstiltak
- Prosessbeskrivelser og rutiner
- Sjekke referanser
- Arbeidsdeling
- Sidemannskontroll
Målrettet, effektiv og pålitelig
Virksomhetens internkontroll skal gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. I henhold til økonomiregelverket3 omfatter internkontroll ulike systemer, rutiner og tiltak og skal primært være innebygd i virksomhetens interne styring. 4Internkontroll omfatter derfor mer enn kontrollaktiviteter knyttet til gjennomføringen av konkrete oppgaver, aktiviteter og prosesser. Den omfatter også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar, kompetanse, kultur, holdninger, mv.
Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder:
- Målrettet og effektiv drift
- Pålitelig rapportering
- Overholdelse av lover og regler
2.2 Hvorfor er det nødvendig med internkontroll?
Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte og for samfunnet som helhet. Statlige virksomheter baserer sin virksomhet på de fire grunnleggende forvaltningsverdiene demokrati, rettssikkerhet, faglig integritet og effektivitet.5
Effektiv internkontroll
Effektiv internkontroll bidrar til at statlige virksomheter oppfyller forventningene om at de utfører oppgavene sine i tråd med disse forvaltningsverdiene. Effektiv internkontroll legger til rette for at tingene gjøres riktig første gang. Internkontroll kan på denne måten bidra til å forebygge feil og negative hendelser og samtidig bidra til kvalitet, effektivitet og forutsigbarhet i statens produkt- og tjenesteleveranser. Når arbeidsprosesser og oppgaver gjennomføres på en måte som sikrer ønsket kvalitet, kan ressurser hos ledelsen frigjøres fra brannslukking, kontrolloppgaver, feilretting og korrigering.
Kontinuerlig forbedring
Virksomheter som arbeider systematisk med forbedringer i internkontrollen, opplever at internkontrollarbeidet gir viktige bidrag til virksomhetens arbeid med kontinuerlig forbedring. En slik systematisk tilnærming sikrer at virksomheten har begrunnet og dokumentert virksomhetens risikobilde og tilpasset det interne kontrollnivået deretter. Dersom virksomhetens internkontroll tilpasses egenart, risiko og vesentlighet, legges det til rette for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På den måten kan internkontrollen frigjøre ledelseskapasitet til strategisk styring.
Systematikk og kvalitet
For å være effektiv må internkontrollen integreres i driften og bygges inn i oppgaveutførelsen på en måte som sikrer systematikk og kvalitet, også når virksomhetens systemer og rutiner utsettes for negativ og uforutsett påvirkning. En slik integrering gir både ledere og medarbeidere en trygghet for at oppgavene mestres, slik at de utføres med forventet kvalitet og i tråd med gjeldende lover og regler.
Unngå fallgruver
Selv med effektiv internkontroll kan det oppstå uheldige situasjoner og feil som følge av menneskelig eller teknisk svikt eller misforståelser, eller som følge av at ansatte bevisst omgår etablerte kontroller. Det å ha et formalisert og velfungerende internkontrollsystem reduserer sannsynligheten for at både ubevisste og bevisste feil inntreffer. God internkontroll hjelper virksomheten med å oppfylle mål og krav, og å unngå fallgruver og overraskelser. Med effektiv internkontroll er virksomheten bedre rustet mot de utfordringene som vil komme.
- bidrar til kvalitet, effektivitet og forutsigbarhet i produkt- og tjenesteleveranser
- frigjør ressurser til strategisk styring
- gir viktige bidrag til kontinuerlig forbedring i virksomheten
- bidrar til god kvalitet i ledelsens beslutningsgrunnlag
- reduserer sannsynligheten for at ubevisste og bevisste feil inntreffer
2.3 Hva betyr dette for deg som leder?
Ansvaret for internkontroll innebærer at det forventes at du som leder kan svare på følgende spørsmål:
- Har virksomheten etablert internkontroll tilpasset risiko, vesentlighet og egenart, og hvordan vet du i så fall det?
- Har virksomheten et avklart forhold til balansen mellom det å ha kontroll og det å ta risiko, og er dette et tema i ledelsens diskusjoner?
- Etterleves etablert internkontroll, og gir den ønsket effekt, og hvordan vet du i så fall det?
Risikotoleranse
Selv om virksomheten i utgangspunktet skal ha styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder i virksomheten. Det er i den forbindelse viktig at det etableres en felles forståelse av virksomhetens risikotoleranse6. Det innebærer at ledelsen i den enkelte virksomhet må ta stilling til hva som er tilstrekkelig kontrollnivå ut fra risiko, og på hvilke områder det er viktigst å ha kontroll.
Det er virksomhetens ledelse som har ansvar for internkontrollen, og som formelt bestemmer og fastsetter hvordan arbeidet med å etablere og forbedre internkontrollen skal gjennomføres. Det innebærer også et ansvar for å fastsette ambisjonsnivået for internkontrollen, organisere arbeidet og fastsette hvordan internkontrollen skal gjennomføres og følges opp, herunder hvordan avvik og feil skal behandles, og hva som skal rapporteres.
Internkontrollansvarlig
I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med å etablere og forbedre internkontrollen, vil avhenge av hvordan den enkelte virksomhet velger å organisere arbeidet. DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som skal støtte ledelsen og tilrettelegge for en helhetlig tilnærming i virksomhetens arbeid med internkontroll. Det understrekes at ledelsen i linjen har ansvar for internkontroll i virksomheten selv om virksomheten velger å organisere arbeidet ved å etablere en slik funksjon/rolle.
Oppfølging/etterlevelse
Som leder er det imidlertid ikke nok å påse at det etableres tilfredsstillende internkontroll i virksomheten. Som leder må du i tillegg sørge for at etablert internkontroll etterleves på en måte som gir ledelsen trygghet for at driften fungerer som forutsatt og gir de resultatene som forventes, det være seg i form av oppfyllelse av mål og krav, overholdelse av lover og regler, eller korrekt og pålitelig rapportering internt og eksternt. Som leder må du derfor påse at det skjer en strukturert oppfølging av at internkontrollen etterleves og fungerer på en tilfredsstillende måte. Dette innebærer også at du som leder etterspør dokumentasjon og innhenter informasjon som viser hvilke effekter som oppnås på vesentlige områder. Det kan i tillegg innebære at du som leder sørger for at det blir utført kontroller, for eksempel i form av stikkprøvekontroller og oppfølging av styringsparametere, for å verifisere at etablert internkontroll og konkrete tiltak etterleves. Denne oppfølgingen bør i størst mulig grad integreres i øvrig ledelsesoppfølging i virksomheten.
Integrering i styringsprosessene
Internkontroll skal primært integreres i de etablerte styringsprosessene i virksomheten. Dette innebærer at du som leder må sørge for at internkontrollarbeidet integreres i virksomhetens øvrige planleggings-, oppfølgings- og rapporteringsrutiner for å gi nødvendig styringsinformasjon og beslutningsgrunnlag. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering på internkontrollen tilpasses slik at den gir informasjon som er nyttig for planleggingen av neste år og arbeidet med virksomhetens årsrapport.
Har ledelsen:
- en felles forståelse av virksomhetens risikotoleranse?
- tatt stilling til hvordan arbeidet med internkontroll skal organiseres, gjennomføres og følges opp?
- vurdert å definere en funksjon/rolle med fagansvar for internkontroll?
- vurdert muligheten for å bygge inn kontroller og standardiserte prosesser for å oppnå kvalitet?
- vurdert muligheten for å bruke forebyggende og automatiserte kontroller?
- etterspurt dokumentasjon av statusen på og effekten av etablert internkontroll?
- utført kontroller for å verifisere etterlevelse?
- integrert arbeidet med internkontroll i virksomhetens styringsprosesser?
Fotnoter
1 Med leder i staten forstås ledere i virksomheter som inngår i virkeområdet for reglement for økonomistyring i staten, jf. § 2.
2Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSO- rapport 1992 Intern kontroll – et integrert rammeverk, og en uoffisiell oversettelse av Draft dec. 2011 fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og økonomiregelverkets begrep intern kontroll.
3 Reglementet for økonomistyring i staten (reglementet) og bestemmelser om økonomistyring i staten. (bestemmelsene) omtales samlet som økonomiregelverket.
4 Bestemmelsene punkt 2.4.
5St. meld.nr 19, (2008 – 2009) Ei forvaltning for demokrati og fellesskap punkt 3.4 og punkt 3.5.
6 DFØ 01/2008: Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen. Risikotoleranse: Et akseptert nivå på risiko for ikke å nå den enkelte målsetting.
Veileder: Kort om internkontroll – for deg som er leder
Internkontroll i statlige virksomheter
Ansvar for internkontroll
Tre spørsmål er grunnleggende:
2.1 Hva er internkontroll?
Eksempler på internkontrolltiltak
Målrettet, effektiv og pålitelig
2.2 Hvorfor er det nødvendig med internkontroll?
Effektiv internkontroll
Kontinuerlig forbedring
Systematikk og kvalitet
Unngå fallgruver
2.3 Hva betyr dette for deg som leder?
Risikotoleranse
Internkontrollansvarlig
Oppfølging/etterlevelse
Integrering i styringsprosessene
Har ledelsen:
Fotnoter
Etablere effektiv internkontroll