Elisabeth Moseng

Virksomhetens internkontrollsystem

En effektiv internkontroll forutsetter at virksomheten har etablert et fundament for internkontroll som understøtter de ambisjonene virksomheten har. Virksomhetens styrings- og kontrollmiljø, samt informasjon og kommunikasjon, inngår i dette fundamentet. Videre forutsetter en effektiv internkontroll en strukturert tilnærming som legger til rette for kontinuerlig forbedring og tilpasning til endrede forutsetninger og risikoer. Samlet utgjør disse dimensjonene det som i denne veilederen omtales som virksomhetens internkontrollsystem.

«Internkontroll er ikke et system eller en pakke en virksomhet kan kjøpe seg»

Trekanten i midten av figuren representerer virksomheten. Virksomhetens samfunnsoppdrag skal utføres på en måte som bidrar til at de tre internkontroll-målsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler oppfylles. Virksomhetens evne til å oppfylle mål og krav påvirkes av virksomhetens styrings- og kontrollmiljø og av hvordan informasjons- og kommunikasjonsflyten fungerer i virksomheten. Disse to elementene ligger som et fundament for virksomhetens internkontroll og inngår som en del av trekanten i figuren. Fundamentet utgjør en viktig premiss for hvordan internkontrollen etterleves og fungerer i praksis.

Sirkelen i figuren viser en metode bestående av en prosess i seks steg, heretter omtalt som internkontrollprosessen. En systematisk gjennomføring av disse seks stegene vil bidra til å oppfylle de tre internkontrollmålsettingene, samt bidra til kontinuerlig forbedring av virksomheten. Selv for virksomheter som har arbeidet mye med internkontroll, kan det være behov for en mer enhetlig og helhetlig tilnærming og en mer strukturert prosess, noe denne metoden legger til rette for.
Metoden som presenteres her vil være egnet både ved etablering⁸ og ved forbedring av internkontroll.

3.1 Etabler et fundament

Som leder har du et ansvar for at virksomheten har etablert et fundament for internkontrollen i form av et godt styrings- og kontrollmiljø og hensiktsmessig informasjon og kommunikasjon.

Formelt og uformelt miljø må virke sammen

Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser. Styrings- og kontrollmiljøet består følgelig av både det formelle og det uformelle i virksomheten. Det formelle omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Det uformelle dreier seg om holdninger, verdier og normer som preger virksomheten, gjerne omtalt som virksomhetskulturen. God internkontroll er avhengig av at det skapes en god sammenheng og overlapp mellom det formelle og det uformelle styrings- og kontrollmiljøet.

Som leder har du en viktig rolle med hensyn til å utvikle og forme ønsket styrings- og kontrollmiljø i virksomheten. Ledelsen setter standarder og prinsipper for virksomheten og viser hva som skal vektlegges og prioriteres. Ledelsens egen atferd, etikk og holdninger, ofte omtalt som «tonen på toppen», har stor betydning for at alle ansatte forstår og etterlever etablert internkontroll. Varige endringer er bare mulig dersom holdninger og måten de ansatte tenker på, endres. Et godt styrings- og kontrollmiljø vil kunne bidra til mindre ressursbruk knyttet til etterkontroller, rapportering og oppfølging fra ledelsen.

Som leder er det viktig å legge til rette for at de ansatte har kunnskap og ferdigheter som gjør dem i stand til å utføre arbeidsoppgavene sine på en hensiktsmessig og effektiv måte. Dette omfatter blant annet å sørge for at alle ansatte forstår sitt individuelle ansvar for internkontroll. Medarbeidere som forstår sin rolle og mestrer sine arbeidsoppgaver, bidrar til et godt arbeidsmiljø gjennom motivasjon og trivsel. Og et godt arbeidsmiljø bidrar til at virksomheten når målene sine, ved at medarbeidere utfører arbeidsoppgavene sine effektivt og hensiktsmessig og etterlever lover og regler, samt interne policyer og prosedyrer.

Tydeliggjør myndighet, roller og ansvar

Internkontroll er i stor grad et spørsmål om myndighet, roller og ansvar. Det finnes flere eksempler på at svikt i internkontrollen har hatt sin årsak i at ansatte har hatt et ansvar eller myndighet de ikke var kjent med, eller som ikke var fullt ut forstått. Det er derfor viktig å tydeliggjøre myndighet, roller og ansvar i virksomheten, herunder at det å ha lederansvar i en linjeorganisasjon også innebærer å ha ansvar for internkontroll innenfor eget ansvarsområde.

Dokumenter internkontrollen

Som leder har du et ansvar for å påse at internkontrollen kan dokumenteres. ⁹Dokumentasjonskravet omfatter både at det i nødvendig grad foreligger beskrivelser av etablert internkontroll i form av roller, ansvar, systemer, rutiner. mv., og at selve gjennomføringen av etablert internkontroll kan dokumenteres. ¹⁰Økonomiregelverket stiller blant annet konkrete krav til dokumentasjon av transaksjonskontroller, aggregerte kontroller og etterkontroller, samt krav til hva som skal dokumenteres, og hvordan dokumentasjonen skal oppbevares. Virksomhetens krav til dokumentasjonen og hvor denne skal oppbevares, bør være beskrevet i prosedyrene. Utforming og omfang av dokumentasjon bør, innenfor de rammene som økonomiregelverket setter, gjenspeile virksomhetens tilpasninger til risiko, vesentlighet og egenart.

Tilpass kommunikasjonsflyten til behovet

Som leder er det viktig å sørge for at virksomheten har en informasjons- og kommunikasjonsflyt som i størst mulig grad er integrert i virksomhetens styring og drift. Dette for å sikre at viktig informasjon identifiseres, håndteres og rapporteres til rett tid og til rett nivå. En informasjons- og kommunikasjonsflyt som er tilpasset behovet i virksomheten, bidrar til at ledere og medarbeidere gjøres kjent med og forstår hvilket ansvar de har, hva de skal gjøre, og hvordan de skal gjøre det. Informasjon og kommunikasjon er også viktig for motivasjon og prioritering i forbindelse med gjennomføringen av internkontrolltiltak. God informasjon og kommunikasjon internt er også avgjørende for at ledelsen mottar informasjon som gjør dem i stand til å vurdere om internkontrollsystemet er tilpasset behovet og fungerer som forutsatt. Velfungerende informasjon og kommunikasjon er således en forutsetning for å kunne styre og kontrollere, og er dessuten nødvendig på alle nivåer og på tvers av den formelle organisasjonsstrukturen. For enkelte virksomheter er gode informasjons- og kommunikasjonskanaler mot eksterne parter særlig viktig.

3.2 Etabler en metode

Internkontrollen må tilpasses endringer i interne og eksterne rammer, blant annet endringer i risikobildet. Det er derfor viktig å innrette arbeidet med å etablere og forbedre internkontrollen på en strukturert og systematisk måte og se dette i sammenheng med det øvrige arbeidet med læring og forbedring i virksomheten.

Som leder er du ansvarlig for å initiere og legge til rette for prosessen med å gjennomføre og utvikle internkontrollen i virksomheten.

Planlegg med rammer og ressurser

Arbeidet med å etablere og forbedre internkontrollen krever at ledelsen har fastsatt ambisjoner og rammer for internkontrollarbeidet. Gjennom planleggingen fastsettes rammer og ressurser for arbeidet med internkontroll. Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og status, dvs. ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurderinger.

Vurder risiko på alle nivåer 

Som leder må du sørge for at det gjennomføres risikovurderinger, og at disse ses i sammenheng med hverandre. Gjennom risikovurderinger identifiseres risikoer som kan true oppfyllelsen av virksomhetens mål og krav, herunder de tre internkontrollmålsettingene. Med bakgrunn i dette kan ledelsen beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. For å kunne gjennomføre gode risikovurderinger forutsettes det at ledelsen har en tilfredsstillende oversikt over mål og krav, de mest sentrale prosessene i virksomheten, samt hvordan ansvarsforholdet i og i tilknytning til disse prosessene er definert. Risikovurdering gir deg som leder et grunnlag for å vurdere gjenværende risiko og klargjør behovet for å forbedre og følge opp internkontrollen.

Utform risikoreduserende tiltak

Gjennom prosessen med å utforme tiltak vil aktuelle risikoreduserende tiltak bli identifisert, vurdert, prioritert, besluttet og utformet. Tiltak kan være alt fra å utforme eller oppdatere policyer, prosedyrer og kompetanseutviklingstiltak, til å utforme og justere nye transaksjonskontroller. Når det skal besluttes hvilke tiltak som skal utformes, bør det gjennomføres en kost–nytte-vurdering av tiltakene. Det er ledelsen som beslutter hvordan arbeidet med å utforme og oppdatere tiltak skal gjøres, for eksempel om det skal nedsettes prosjekter, eller om arbeidet skal skje i linjen.

Gjennomfør nye tiltak på en god måte

Gjennom arbeidet med å implementere nye tiltak sikres det at besluttede tiltak blir iverksatt, slik at de etterleves og gir varig effekt. Det er ikke tilstrekkelig å utforme gode tiltak. Ledelsen må sikre at disse faktisk blir iverksatt, gjennomført og etterlevd. Nye tiltak kan implementeres gjennom ulike typer aktiviteter, som opplæring, tilgjengeliggjøring av nye/oppdaterte policyer og prosedyrer, iverksetting av nytt IT-system, mv. For tiltak som krever en bestemt type atferd, eksempelvis evakuering ved brann eller praktisering av etiske retningslinjer, vil øvelser og trening i bruk og gjennomføring også kunne inngå som aktuelle implementeringsaktiviteter.

Følg opp effekt, og driv kontinuerlig forbedring

Gjennom oppfølging¹¹ av internkontrollen kan du som leder sikre en systematisk vurdering av internkontrollsystemets utforming, etterlevelse og effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle mål og krav. Resultatene fra oppfølgingen vil også gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten. Som leder må du følge opp både at besluttede forbedringer blir utformet og implementert, og at allerede etablert internkontroll etterleves og fungerer som forutsatt. Oppfølgingen kan enten være en del av den løpende driften, eller den kan være organisert som en frittstående aktivitet eller oppgave.

Rapporter resultater fra oppfølgingen til riktig nivå og rett tid

Gjennom rapportering sikres det at resultater fra oppfølgingen på lavere nivåer formidles til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering. Det gir deg som leder et grunnlag for å vurdere kvaliteten på internkontrollen innenfor eget ansvarsområde. Videre legges det til rette for at mangler ved internkontrollen blir formidlet til og håndtert på riktig nivå, og slik gir grunnlag for kontinuerlig forbedring. Rapportering gir virksomhetsledelsen et grunnlag for å vurdere den samlede kvaliteten på virksomhetens internkontroll, og gir nyttig informasjon til bruk i styringen og planleggingen av neste periode. Rapporteringen skal også kunne gi virksomhetsleder et kvalifisert grunnlag for å konkludere og rapportere til overordnet departement om tilstanden på virksomhetens samlede internkontroll.¹²

Fotnoter

^{7 Reglementet §§ 4, 10 og 16 og bestemmelsene punkt 1.2, 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, 5.4.2.2, 6.5, 7.4 og 8.5.
8 Med etablering forstås både etablering av internkontroll når det opprettes ny virksomhet, og etablering av intern- kontroll når virksomheten får ansvar for nye områder, prosesser mv.}

^{9 Bestemmelsene punkt 2.4.
10 For eksempel bestemmelsene punkt 2.5.}

^{11Oppfølging er sammenfallende med betydningen av COSO-rammeverkets overvåkningskomponent.
12I henhold til Høringsnotat Årsrapport og årsregnskap for statlige virksomheter, med høringsfrist 8. april 2013, skal årsrapporten i del IV omhandle styring og kontroll i virksomheten.}