Uttalelsen gjelder virksomhetenes internkontroll og om økonomiregelverkets krav tilsier at det skal foretas egne risikovurderinger av hvert av punktene i reglementet § 14 og bestemmelsene punkt 2.4 (andre avsnitt) - herunder bokstav g om at misligheter forebygges og avdekkes. DFØs uttalelse inngår i Finansdepartementets uttalelse i brev av 22. februar 2013.
Tolkningsuttalelse fra DFØ av 9. november 2012
Mottaker: Finansdepartementet
Publisert: 15. februar 2017
Det vises til henvendelse fra Finansdepartementet ved e-post av 7.11.2012 fra avd.dir. Astri Tverstøl i forbindelse med en spørreundersøkelse som Riksrevisjonen har sendt ut bl.a. til departementene om forebygging og avdekking av misligheter.
Nedenfor følger som etterspurt en vurdering fra DFØ av kravene til intern kontroll og misligheter i regelverket for økonomistyring i staten (jf. § 14 g i reglement for økonomistyring i staten). Vår vurdering er at det ikke er et vilkår i regelverket at det skal foretas egne risikovurderinger av hvert av punktene a til g under reglementet § 14.
§ 14 i reglement for økonomistyring i staten (“reglementet”) omhandler intern kontroll. Paragrafen har følgende ordlyd:
“Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at:
- a) beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn
- b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning
- c) ressursbruken er effektiv
- d) regnskap og informasjon om resultater er pålitelig og nøyaktig
- e) virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte
- f) økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler
- g) misligheter og økonomisk kriminalitet forebygges og avdekkes”
Reglementet § 14 om intern kontroll må ses i sammenheng til § 4 Grunnleggende styringsprinsipper. I reglementet § 4 fremgår det blant annet at “styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet”. Kravet om tilpasning til risiko og vesentlighet fremgår også av bestemmelsene punkt 2.4 om intern kontroll.
Reglementet § 14 punkt g) om at misligheter og økonomisk kriminalitet skal forebygges og avdekkes, er ett av flere elementer som inngår i paragrafen.
Selv om det etter økonomiregelverket er et krav om å tilpasse den interne kontrollen til risiko og vesentlighet, stilles det ikke krav om hvordan denne vurderingen skal gjøres. Reglementet § 14 skal derfor etter DFØs vurdering ikke forstås slik at det gjelder et krav om å foreta egne risikovurderinger for hvert av elementene a) til g). Egne risikovurderinger av elementene a) til g) i § 14 er derfor ikke et vilkår for at virksomheten skal ha oppfylt kravene i økonomiregelverket.
Bestemmelsene punkt 2.4 inneholder et krav om at virksomhetens ledelse skal påse at den interne kontrollen kan dokumenteres. Regelverket regulerer ikke spesifikt hva slags dokumenter det er behov for å utarbeide, med unntak av instrukser og tildelingsbrev. I tillegg gjelder det krav til dokumentasjon av enkelte operative prosesser i økonomistyrigen, som f.eks. transaksjonskontroller.
I DFØs metodedokument for risikostyring i staten, er det vist hvordan virksomhetene kan gjennomføre systematiske risikovurderinger både på overordnet nivå, på lavere organisasjonsnivåer og av operative prosesser der utgangspunktet for vurderingene er mål for respektive områder og prosesser. I en slik vurdering vil risiko for misligheter kunne være et av flere elementer som naturlig inngår i vurderingen opp mot målsettingen med området/prosessen.