I dette kapittelet illustreres metoden som er vist i veilederen, ved hjelp av et gjennomgangseksempel knyttet til en fiktiv virksomhet – FYSetat. Eksempelet viser hvordan metoden rent praktisk kan anvendes, og viser hvordan etablering, forbedring og oppfølging av internkontroll på ulike nivåer, på ulike områder og i ulike prosesser kan ses i sammenheng og utgjøre en helhet.
Siden hovedformålet med eksempelet er å illustrere og eksemplifisere en mulig metode for arbeidet med internkontroll, er det gjort en rekke forenklinger for å illustrere ulike poenger. Eksempelet illustrerer derfor ikke en «perfekt» og fullstendig løsning.
Eksempelvirksomheten FYSetat er etablert for å fremme fysisk aktivitet blant barn og unge. FYSetat driver informasjonsvirksomhet og forvalter en tilskuddsordning. Skoler, lag, foreninger osv. kan søke FYSetat om tilskudd til tiltak for økt fysisk aktivitet i lokalsamfunnene. Overordnet departement har utarbeidet et regelverk for tilskuddsordningen, der blant annet tildelingskriterier fremgår.
Som vist i organisasjonskartet i figur 18 er FYSetat organisert i fire avdelinger og én stab. De fire avdelingslederne inngår i direktørens ledergruppe. For å skape et godt fundament for internkontroll har virksomhetsledelsen vurdert det som viktig å arbeide systematisk med å utvikle et godt styrings- og kontrollmiljø. Som et ledd i arbeidet med å utvikle et slikt miljø er det nylig opprettet en funksjon med fagansvar for internkontroll. Denne funksjonen inngår i direktørens stab. Utvikling av et godt styrings- og kontrollmiljø er vurdert som en god investering som skal legge til rette for at virksom- heten på sikt skal kunne bruke mindre ressurser på etterkontroll.
5.1 Eksempel planlegging
5.1.1 Ambisjonsnivå og overordnet status for internkontrollen i FYSetat
Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontroll. Vurderingen gjøres på grunnlag av risiko, vesentlighet og virksomhetens egenart.
Selv om virksomheten i utgangspunktet bør ha kontroll på alt, er det ikke hensiktsmessig å etablere en like omfattende internkontroll på alle områder. Det er viktig at virksomhetsledelsen etablerer en felles oppfatning av balansen mellom det å ha kontroll og det å ta risiko, herunder definerer virksomhetens risikotoleranse.
Ledergruppen i FYSetat har benyttet DFØs egenevalueringsverktøy, og vurdert hva som er status ut fra syv kjennetegn på god internkontroll.
Scoren (1–6) er vurdert ut fra kjennskap til virksomhetens styrker og svakheter, rapportert status og forbedringstiltak fra alle fire avdelings- ledere, tidligere merknader fra Riksrevisjonen, mv. Resultatet av denne egenevalueringen for FYSetat er vist i figuren under.
Med bakgrunn i egenevalueringen konkluderer virksomhetsledelsen med at det særlig er to områder knyttet til internkontrollen som virksomheten ønsker å forbedre. Disse områdene er:
- Tydeliggjort ansvar, myndighet og roller
Virksomhetsledelsen ser spesielt et behov for å tydeliggjøre hva som ligger i linjens intern- kontrollansvar med hensyn til grensesnittet opp mot fagansvarlig internkontroll, ettersom denne funksjonen er ny. Dessuten har det i den senere tid oppstått flere spørsmål og uklarheter som følge av utydelig grensesnitt og ansvarsdeling mellom avdelingene, spesielt gjelder det i grensesnittet mellom tilskuddsavdelingen, administrasjonsavdelingen og IKT-avdelingen. - Formalisert og dokumentert, kommunisert og tilgjengeliggjort
Virksomhetsledelsen har spesielt lagt merke til at det er lite bevissthet rundt hva som blir dokumentert, og det som har blitt dokumentert, er ikke nødvendigvis kommunisert og tilgjengeliggjort til relevante ansatte. Ledelsen ser også et behov for å oppdatere policyer og prosedyrer, da det har vært høy turnover og flere tilfeller av sykemelding det siste året. Nyansatte og innleide vikarer er usikre på hvordan arbeidet skal utføres, og hvem som har ansvar for hva.
5.1.2 Ressurser og rammer knyttet til arbeidet med internkontroll
FYSetat har som nevnt nylig opprettet en funksjon med fagansvar for internkontroll, jf. figur 18. De viktigste oppgavene til denne funksjonen er å støtte virksomhetsledelsen i forbindelse med gjennomføring, koordinering og videreutvikling av arbeidet med å etablere og forbedre virksom- hetens internkontroll og å støtte avdelingene/linjen i internkontrollarbeidet etter behov.
Et viktig fokusområde for inneværende år er å tydeliggjøre og formalisere roller og ansvar. Ledelsen konkluderer derfor med at avdelingene må sette av ressurser til dette arbeidet for å bistå fagansvarlig internkontroll. Det anslås at det foreløpig bør settes av cirka et halvt årsverk fordelt på de fire avdelingene til utbedringer det kommende året i tillegg til ett årsverk for fagansvarlig internkontroll. Den endelige fastsettelsen av rammer og ressurser til arbeidet med internkontroll må ses i nær sammenheng med risikovurderingene som gjennomføres årlig.
Virksomhetsledelsen skal hvert år vedta en handlingsplan for fagansvarlig internkontroll. Planen blir endelig godkjent først etter at eventuelle utfordringer som fremkommer i de årlige risikovurderingene i virksomheten, er identifisert.
I virksomhetsledelsens møtekalender for det kommende året er internkontroll satt opp på agendaen for tre møter:
Desember
- gjennomføre årlig risikovurdering i FYSetats ledergruppe
- beslutte handlingsplan for arbeid med internkontroll (ressurser, rammer, fokusområder mv.)
Juni
- rapportere status på internkontrollfunksjonens handlingsplan
- rapportere status på avdelingslederes handlingsplaner (tiltak identifisert i forbindelse med virksomhetsledelsens risikoworkshop og eventuelle tiltak identifisert på lavere nivå innenfor ansvarsområder i den enkelte avdeling)
November
- rapportere avdelingenes status med hensyn til internkontrollen for året og gi innspill til neste års planarbeid
5.2 Eksempel risikovurdering
5.2.1 Etablere et grunnlag for risikovurdering
Mål og krav på virksomhetsnivå
Gode risikovurderinger forutsetter at virksomheten har oversikt over hvilke mål og krav som stilles til virksomheten.
FYSetat har identifisert mål og krav for virksomheten ut fra lover, forskrifter, regelverk for tilskuddsordningen, føringer gitt i tildelingsbrev, mv. På virksomhetsnivå har FYSetat ett overordnet mål som er operasjonalisert i fire hovedmål. Målene er oppsummert i tabellen i figur 22.
Mål |
Overordnet mål: Økt fysisk aktivitet i befolkningen |
Hovedmål: Korrekt og effektiv bruk av tilskuddsmidler, relevant informasjon til befolkningen og til potensielle brukere, styring og kontroll understøtter FYSetats mål på en god måte og effektive IT-løsninger som understøtter driften |
Figur 22: FYSetats overordnede mål og hovedmål på virksomhetsnivå.
De viktigste kravene FYSetat må forholde seg til, er oppsummert i tabellen i figur 23.
Krav med henvisning til kilde | Avdeling |
Forvaltningsloven | Tilskudd |
Offentleglova | Tilskudd, administrasjon |
Arbeidsmiljøloven | Administrasjon |
Arkivlova | Administrasjon |
Personopplysningsloven | Administrasjon |
Personopplysningsforskriften | Administrasjon |
Arkivforskriften | Administrasjon (tilskudd) |
eForvaltningsforskriften | IT, administrasjon |
Forskrift om offentlige anskaffelser | Administrasjon |
Reglement for økonomistyring i staten | Tilskudd, administrasjon og IT |
Bestemmelser om økonomistyring i staten | Tilskudd, administrasjon og IT |
Etiske retningslinjer i staten | Alle, ledelsen |
Regelverk for tilskuddsordningen | Tilskudd |
Rapporteringskrav for tilskuddsordningen fremsatt i tildelingsbrevet | Alle |
God forvaltningsskikk | Alle |
Figur 23: Utdrag av krav som er relevante for FYSetat på virksomhetsnivå.
Mål og krav på lavere nivåer
De fire avdelingslederne, for henholdsvis administrasjons-, informasjons-, tilskudds- og IKT- avdelingen, har gjort tilsvarende oppdatering av mål og krav for sine respektive avdelinger.
På tilskuddsområdet er hovedmålet om korrekt og effektiv bruk av tilskuddsmidler operasjonalisert og konkretisert i følgende tre delmål:
- Profesjonell og effektiv tilskuddsforvaltning
- Tydelig, korrekt og effektiv formidling
- Kompetent rådgivning
I tillegg har tilskuddsavdelingen sett et behov for å sette opp en oversikt over de mest sentrale kravene som gjelder på tilskuddsområdet.
Et utdrag fra denne oversikten er vist i tabellen i figur 24.
Krav med henvisning til kilde | Relevante punkter |
Forvaltningsloven |
Kap. 2 Habilitet |
Offentleglova |
Kap. 2 Hovedreglene om innsyn |
Reglement for økonomistyring i staten |
Kap. III – Iverksettelse av Stortingets budsjettvedtak |
Bestemmelser om økonomistyring i staten |
Kap. 6.3 Tilskudssforvaltning |
Forskrift om offentlege arkiv |
Kap. II Arkivorganisering og arkivsystem |
Regelverk for tilskuddsordningen |
Hele tilskuddsregelverket |
Garanti vedr. saksbehandlingstid |
Serviceerklæring tilgjengeliggjort på FYSetats internettside |
Rapportering på antall avslåtte søknader og kategorisering etter avslagsgrunn |
Tildelingsbrevet kap. VII Rapportering og resultatoppfølging |
Figur 24: Utdrag av krav som er relevante for FYSetat på tilskuddsområdet.
Oversikt over FYSetats prosesser
Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsdeling, herunder hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og hvem som er prosesseiere for disse prosessene.
Ledelsen i FYSetat har på intranettet satt opp en oversikt over virksomhetens prosesser kategorisert i henholdsvis kjerne-, støtte- og styringsprosesser.
Dette er vist i figur 25.
Kvaliteten på virksomhetens tjenesteleveranse vil være avhengig av god internkontroll både i og i tilknytning til prosessene. Ledelsen i FYSetat har derfor vurdert det dit hen at det etter hvert bør gjennomføres risikovurderinger på lavere nivåer knyttet til alle vesentlige prosesser i virksomheten, i tillegg til den årlige risikovurderingen på virksomhetsnivå.
Virksomhetsledelsen vurderer, ut fra sin kjennskap til virksomheten, at prosessene for søknadsbehandling tilskudd, IKT og økonomi er de prosessene som er mest vesentlige med hensyn til å oppfylle virksomhetens mål og krav.
Søknadsbehandling tilskudd er en kjerneprosess, mens IKT støtter opp om søknadsbehandlingen gjennom å tilgjengeliggjøre og drifte saksbehandlingssystemet. Kvalitet i IKT-systemet, blant annet med hensyn til nedetid og funksjonalitet, påvirker effektiviteten i søknadsbehandlingen direkte.
Økonomiprosessen har høy risiko og er vesentlig i seg selv på grunn av en rekke lovkrav i tillegg til en iboende risiko for misligheter. Økonomiprosessen er også vesentlig for tilskudds- forvaltningen, siden utbetaling av tilskudd står for størstedelen av de økonomiske transaksjonene i virksomheten.
5.2.2 Gjennomføre risikovurderinger
Risikovurdering på virksomhetsnivå
Virksomhetsledelsen har valgt å gjennomføre en risikoworkshop hvert år, i forbindelse med den årlige planprosessen. Som forberedelse til denne risikoworkshopen blir avdelingslederne bedt om å innhente innspill fra sine respektive ledergrupper, slik at virksomhetsledelsen har med informasjon fra lavere nivåer i vurderingen av risiko på virksomhetsnivå. Til hjelp i risikovurderingen har de benyttet et risikovurderingsverktøy.
I risikovurderingen på virksomhetsnivå har virksomhetsledelsen lagt vekt på å identifisere både risikoer som kan hindre virksomheten fra å oppfylle de målene og kravene som er identifisert over, og risikoer som kan hindre virksomheten fra å oppfylle de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelige rapportering og overholdelse av lover og regler.
I risikovurderingen på virksomhetsnivå ble alle de fire hovedmålene til FYSetat risikovurdert basert på sannsynlighet og konsekvens. Risikovurderingen på virksomhetsnivå resulterte i totalt 12 risikoer fordelt på de fire hovedmålene. For målet effektive IT-løsninger som understøtter driften er det ikke formulert kritiske suksessfaktorer (KSF), siden det i FYSetat er opp til den enkelte avdelingsleder å vurdere om det er ønskelig å gå veien om KSFer, eller om det er ønskelig å gå direkte til vurdering av risiko.
Resultatet av risikovurderingen på virksomhetsnivå er vist i tabellen i figur 26.
Resultatet fra risikovurderingen på virksomhetsnivå er sammenstilt i risikokartet i figur 27.
Etter at virksomhetsledelsen har gjennomført risikovurderingen knyttet til virksomhetens hovedmål, kan resultatet oppsummeres i en samlet oversikt som illustrerer hvilke prosesser som eksponeres for de mest kritiske risikoene.
I figur 28 er de syv mest kritiske risikoene (høy risiko og middels risiko) fra risikovurderingen på virksomhetsnivå oppsummert og plassert i de prosessene som eksponeres spesielt for de aktuelle risikoene. Denne samlede oversikten gir virksomhets- ledelsen et visuelt bilde av hvor virksomheten bør prioritere å ha kontroll.
Oversikten gir et nyttig supplement til ledelsens tidligere vurderinger av hvilke prosesser de har vurdert som mest vesentlige med hensyn til å oppfylle mål og krav, jf. kapittel 5.2.1.
Prosessen søknadsbehandling tilskudd er eksponert for flere risikoer. Risiko R11 som slår inn i IKT-prosessen (nedetid), påvirker også effektiviteten i søknadsbehandlingen negativt. Risikoene R5 og R10 om uklar fordeling av roller og ansvar påvirker flere prosesser, noe som tilsier at dette er risikoer som gjelder på tvers av virksomheten.
Basert på risikovurderingen på virksomhetsnivå og ledelsens tidligere vurdering av vesentlige prosesser anses søknadsbehandling tilskudd, IKT og økonomi fortsatt for å være de prosessene som er mest vesentlige med hensyn til å oppfylle FYSetats overordnede mål og krav, og bør dermed gis høyest prioritet i internkontrollarbeidet.
Det er ikke fremkommet andre forhold gjennom risikovurderingene som medfører et behov for å justere eller endre internkontrollplanen det kommende året.
Risikovurdering på lavere nivåer
Tilskuddsavdelingen i FYSetat skiller seg særskilt ut i risikovurderingen på virksomhetsnivå, da prosessene under denne avdelingen eksponeres for mange av de identifiserte risikoene. Dette indikerer at det er et behov for å gjøre en nærmere risikovurdering av en eller flere av prosessene som inngår i denne avdelingen.
Selv om det i risikovurderingen på virksomhetsnivå ble identifisert prosesser som det er viktig å ha særlig kontroll på fra et virksomhetsperspektiv, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. Dette innebærer å vurdere om det er eventuelle andre prosesser eller områder som bør prioriteres for å gi rimelig grad av sikkerhet for effektiv intern- kontroll innenfor eget ansvarsområde.
Linjelederens vurderinger baseres på egen erfaring i tillegg til risiko- og vesentlighetsvurderinger innenfor eget ansvarsområde.
Basert på risikovurderingen på virksomhetsnivå, egenevalueringen og de spørsmålene som har oppstått rundt roller og ansvar, arbeidsprosesser mv. i den senere tid, har avdelingsleder for tilskuddsavdelingen bedt prosesseier for søknadsbehandling tilskudd om å gjøre en risikovurdering knyttet til denne prosessen.
Som grunnlag for en slik gjennomgang vil det være hensiktsmessig å definere mål for prosessen, samt dokumentere henholdsvis hvilke aktiviteter som inngår, hvilke risikoer som truer prosessen, og hvilke kontroller/risikoreduserende tiltak som er etablert for å håndtere disse risikoene.
Prosesseier for søknadsbehandling tilskudd har valgt å benytte prosesskartlegging som et verktøy for å få opp en oppdatert oversikt over og dokumentasjon av prosessen.
Tilskuddsavdelingen har fastsatt følgende mål for prosessen søknadsbehandling tilskudd: Prosessmål: Korrekte, gyldige og rettidige vedtak.
FYSetat har gjennomført prosesskartlegging for prosessen søknadsbehandling tilskudd. Prosesskartet er illustrert i figur 29. I prosesskartet vises hvordan risikoer (merket rødt) omtalt i figur 30 er håndtert gjennom kontroller (merket grønt) omtalt i samme figur.
En samlet oversikt over prosessen søknadsbehandlig tilskudd er oppsummert i figur 30. Her fremkommer risikoer, etablerte kontroller og en vurdering av gjenværende risiko 49, samt om kontrollene er definert som en nøkkelkontroll. Kontroller som gjelder hele prosessen er ikke illustrert i figur 29.
Dette gjelder k1 og k11 jf. figur 30. Som det fremgår av tabellen i figur 30 er det identifisert en risikofaktor r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet. Dette er en risiko som gjelder hele FYSetat og som prosesseier for søknadsbehandling tilskudd mener bør håndteres på virksomhetsnivå.
5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging
Risikovurderinger, uavhengig av hvilke nivåer de er gjennomført på, vil lede frem til en oversikt over ulike risikoer som bør håndteres, forutsatt at disse er utenfor risikotoleransen til virksomheten. I prinsippet har ledelsen fire valg for håndtering av risiko: akseptere, dele, unngå eller redusere. I den grad risikoen skal reduseres, må det besluttes hvem som er risikoeier, og som derfor får ansvar for å identifisere, vurdere, prioritere og beslutte ulike typer tiltak.
Vurdere behov for tiltak på virksomhetsnivå
Ledelsen i FYSetat har tatt stilling til hvilke av risikoene som ble identifisert i risikovurderingen på virksomhetsnivå, som det er mest hensiktsmessig å håndtere på henholdsvis virksomhetsnivå og på lavere nivåer. For risikoer som skal håndteres på virksomhetsnivå er virksomhetsleder i FYSetat risikoeier, og for risikoer som skal håndteres på lavere nivåer er avdelingsleder, seksjonsleder eller prosesseier risikoeier.
Ledelsen i FYSetat har merket seg at det ikke kun er risikoer med høy sannsynlighet og høy konsekvens virksomhetsledelsen må konsentrere seg om. Eksempelvis har FYSetat i sin risikovurdering på virksomhetsnivå konkludert med at R2 Det gis tilskudd til feil mottaker eller på feil grunnlag vil ha svært høy konsekvens.
Virksomheten har imidlertid etablert omfattende kontroll i form av blant annet kontroll av søknad mot tildelingskriterier, kontroll av søkergrunnlag mot offentlig register og etterkontroll av beregninger gjort i søknaden for å håndtere denne risikoen, slik at risikoen samlet sett (sannsynlighet x konsekvens) vurderes som middels.
Kontroll av søknadsgrunnlag mot offentlig register og kontroll av søknad mot tildelingskriterier defineres som to nøkkel- kontroller og følges opp regelmessig i tilskuddsavdelingen (av seksjonsleder for søknadsbehandling tilskudd) for å sikre at risikoen blir håndtert som forutsatt.
Det er definert risikoeiere for de ulike risikoene, jf. oppsummering i figur 31.
- For R1 og R2 er det besluttet å akseptere risikoen, men risikoene skal følges opp.
- R3 håndteres av avdelingsleder for tilskuddsavdelingen .
- R4, R5 og R10 håndteres av virksomhetsleder.
- R11 håndteres av avdelingsleder i IKT-avdelingen .
Vurdering av behov for tiltak – lavere nivåer
Basert på prosesskartleggingen som ble gjennomført i tilskuddsavdelingen knyttet til prosessen søknadsbehandling tilskudd, ser prosesseier at r2 og r5 ikke er tilstrekkelig håndtert i dagens prosess, jf. figur 29 og 30. En tredje risiko r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet er også utilstrekkelig håndtert, og vil også påvirke prosessen for søknadsbehandling tilskudd. Denne håndteres på virksomhetsnivå.
Det besluttes derfor at det må igangsettes risikoreduserende tiltak for å håndtere følgende risikoer:
Dagens prosedyre forutsetter at saksbehandler tar kontakt med søkere og etterspør manglende informasjon etter hvert som slike mangler oppdages underveis i saksbehandlingen. Dette medfører uhensiktsmessig bruk av saksbehandlers tid.
Dagens prosedyre forutsetter at saksbehandler skal registrere tilsagn i et regneark. Det er uklart for saksbehandlerne hvilket ansvar de har, hvor ofte regnearket skal oppdateres, og hvor den siste versjonen er lagret.
Dessuten har prosesseier identifisert en overlappende kontroll, kontroll k7 Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register. Denne kontrollen gjøres både som ledd i vurderingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp, jf. figur 29.
Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register kan dermed utgå ved beregning og fastsettelse av tilskuddsbeløp, forutsatt at kontrollen som skjer når det vurderes om søknaden er kvalifisert for tilskudd, også ivaretar de forholdene som vanligvis sjekkes ved beregning og fastsettelse av tilskudd. Dokumentasjon av utført kontroll mot offentlig register må følge sakspapirene.
Det er også identifisert en overlappende kontroll, kontroll k8 Saksbehandler kontrollsummerer beregninger gjort i søknaden. Det viser seg at denne kontrollen gjøres både som et ledd i vurder- ingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp.
Det er tilstrekkelig at kontrollsummeringen skjer ved beregning og fastsettelse av tilskuddsbeløp. Kontrollsummering kan da utgå ved vurdering av om søknaden gir grunnlag for tilskudd.
Risikoene r3 Manglende sikring mot bevisste feil og misligheter og r4 Tilskudd gis på feil grunnlag er tilstrekkelig håndtert med dagens etablerte kontroller, når en hensyntar at det på virksomhets- nivå vil vurderes tiltak knyttet til etiske retningslinjer og habilitet. Det er imidlertid behov for oppfølging og spesielt anses fem av kontrollene som mer kritiske enn de øvrige. FYSetat omtaler slike kontroller som nøkkelkontroller.
- k3 Tilgangsbegrensninger i saksbehandlingssystemet og økonomisystemet. Automatisk loggføring av endringer i faste data.
- k5 Tilskuddsbrev undertegnes av person med budsjettdisponeringsmyndighet
- k7 Saksbehandler kontrollerer søknadsgrunnlaget mot offentlig register
- k9 Saksbehandler kontrollerer at søknad oppfyller tildelingskriterier fastsatt i tilskuddsregelverket
Kontrollen k4 alle tilskuddsutbetalinger attesteres før utbetaling er også en nøkkelkontroll, og følges opp i administrasjonsavdelingen i forbindelse med utbetaling. At disse kontrollene anses som mer kritiske enn de øvrige, begrunnes med at svikt i kontrollen i vesentlig grad vil påvirke målsettingen om korrekte, gyldige og rettidige vedtak, og at gjennomføringen av disse kontrollene kan forhindre andre kontrollsvakheter før de får en vesentlig betydning.
Seksjonleder med ansvar for søknadsbehandling tilskudd ønsker dermed i oppfølgingen å teste om disse kontrollene etterleves og fungerer som forutsatt, noe som er nærmere omtalt under kapittel 5.5 Eksempel oppfølging.
5.3 Eksempel utforming
5.3.1 Identifisere aktuelle tiltak
Utforming av nye tiltak og oppdatering av eksisterende tiltak vil bli utført på ulike nivåer i virksomheten avhengig av hvor det er hensiktsmessig å håndtere risikoen, og hvem som er risikoeier. Generelt og uavhengig av hvor i virksomheten håndteringen av risiko skjer, vil arbeidet med utforming og oppdatering av tiltak i større eller mindre grad skje i tre trinn:
- Identifisere aktuelle tiltak for å håndtere risikoen
- Vurdere, prioritere og beslutte tiltak
- Utforme og dokumentere besluttede tiltak
Identifisere tiltak på virksomhetsnivå
Virksomhetsledelsen har i forlengelsen av risikovurderingen på virksomhetsnivå umiddelbart identifisert fire tiltak på virksomhetsnivå.
Siden både egenevalueringen av internkontrollen og risikovurderingen på virksomhetsnivå har avdekket et behov for å tydeliggjøre roller og ansvar på ulike områder og formalisere dette ansvaret, har ledelsen identifisert tiltak knyttet til dette behovet. I tillegg har det blitt besluttet tiltak om reforhandling av driftsavtale med leverandør for å løse problemene knyttet til nedetid.
Ledelsen er opptatt av å ikke beslutte forhastede tiltak, da de bakenforliggende årsakene til problemene ofte bør utredes før tiltak besluttes. For problemene som er omtalt over, er det imidlertid ikke behov for noen nærmere rotårsaksanalyse, da årsakssammenhengene er klare og har vært kjent over lengre tid.
Følgende tiltak kan dermed utformes på virksomhetsnivå uten å identifisere ulike alternativer og vurdere/prioritere mellom disse:
- R4: Operasjonalisere etiske retningslinjer for statstjenesten gjennom dilemmatrening og praktiske caser med spesiell vekt på problemstillinger knyttet til habilitet og misligheter. Virksomhetsledelsen oppfatter at det er usikkerhet knyttet til i hvor stor grad de etiske retningslinjene er kjent blant de ansatte. Etiske problemstillinger knyttet til tilskuddssaker har medført store medieoppslag i den senere tid, og ledelsen vurderer at dette er et område det er nødvendig å øke oppmerksomheten på i FYSetat.
- R5: Oppdatere policy for tilskuddsforvaltningen for å tydeliggjøre rolle- og ansvarsfordelingen mellom tilskudds- , økonomi- og IKT-avdelingen . Det eksisterer en policy på området fra tidligere, men denne er ikke oppdatert på lang tid og omtaler ikke dette grensesnittet særskilt.
- R10: Utarbeide en policy for internkontroll siden ansvarsdelingen mellom den nyopprettede funksjonen og linjeledere knyttet til oppfølgingen av internkontroll er uklar. Virksomhetsledelsen vil forsikre seg om at linjen forstår og følger opp sitt ansvar for internkontroll, selv om virksomheten har opprettet en slik rolle/funksjon.
- R11: Reforhandle driftsavtalen med leverandøren av saksbehandlingsløsningen for å redusere risikoen for at nedetid og ustabilitet i saksbehandlingsløsningen forsinker saksbehandlingen.
Det er besluttet å opprette en tverrfaglig arbeidsgruppe satt sammen av representanter fra tilskudds-, administrasjons- og IKT-avdelingen som skal bistå fagansvarlig internkontroll i arbeidet med å forbedre formaliseringen knyttet til roller og ansvar i grensesnittet mellom linjen og fag- ansvarlig internkontroll (R10). Fagansvarlig internkontroll leder denne arbeidsgruppen.
Identifisere tiltak på lavere nivåer
Kartleggingen av prosessen for søknadsbehandling tilskudd viste at det var et behov for forbedringer for å håndtere risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen og risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn), jf. figur 30. Risiko r5 er en konkretisering av risiko R3 i risikovurderingen på virksomhetsnivå.
I arbeidet med å få på plass hensiktsmessige og gode tiltak ser prosesseier et behov for å identifisere hva som kan være aktuelle tiltak, og vurdere hvilke av disse alternative tiltakene som vil være mest hensiktsmessige og effektive med tanke på å håndtere risikoen. Prosesseiers vurdering av hva som vil være aktuelle tiltak, er listet opp i tabellen i figur 33.
Risiko | Aktuelle tiltak | Type tiltak |
r2- Mangelfulle søknader gir uhensiktsmessig tidsbruk i saks- behandlingen |
A Innføre fullstendighetssjekk av søknaden før søknaden går til behandling. |
Forebyggende manuell kontroll
Forebyggende manuell kontroll |
r5- Mangelfull oversikt over inngåtte forpliktelser (tilsagn) |
A Det defineres en ny rolle med ansvar for oppdatering av tilsagnsregister. B Det opprettes et tilsagnsregister som ny modul i saksbehandlings- systemet. C Prosedyrene oppdateres slik at det blir tydelig hvilket ansvar den enkelte saksbehandler har og hvordan registrering skal skje. |
Forebyggende manuell kontroll
Forebyggende automatisk kontroll
Forebyggende manuell kontroll |
Figur 33: Oversikt over ulike mulige tiltak i prosessen søknadsbehandling tilskudd.
I vurderingen av mulige tiltak har prosesseier forsøkt å identifisere kontroller som er forebyggende og automatiske, slik at kontrollene i størst mulig grad er «bygget inn» i prosesser og systemer.
5.3.2 Vurdere, prioritere og beslutte tiltak
Vurdere, prioritere og beslutte tiltak på virksomhetsnivå
Som nevnt har ledelsen i FYSetat i forbindelse med risikovurderingen på virksomhetsnivå konkludert med at de har tilstrekkelig grunnlag til både å identifisere og å beslutte tiltak på virksomhetsnivå.
Vurdere, prioritere og beslutte tiltak på lavere nivåer
Basert på listen over aktuelle tiltak beslutter prosesseier for søknadsbehandling tilskudd at tiltak A Innføre fullstendighetssjekk av søknader før søknaden går til behandling jf. figur 33, er det tiltaket som ønskes prioritert for å håndtere risiko r2. I vurderingen er det vektlagt at dette er et tiltak som har lav kostnad, kan igangsettes raskt, krever lite forberedelse og vil gi en rask bedring i saksbehandlingskapasiteten.
Når det gjelder beslutning knyttet til hvilket tiltak som skal velges for å håndtere r5, er vurderingen mer kompleks. De ulike tiltakene har et svært ulikt kostnadsestimat, og for ett av tiltakene vil det være nødvendig å involvere IKT-avdelingen, siden tiltaket innebærer en endring i saksbehandlingssystemet som IKT-avdelingen har ansvar for å drifte.
Utvikling av ny modul vil også kreve utviklings- ressurser fra IKT-avdelingen i tillegg til ressurser som må avsettes fra tilskuddsavdelingen. Prosess- eier for søknadsbehandling tilskudd ser det derfor som hensiktsmessig å gjøre en kost–nytte- analyse av ulike mulige tiltak og vurdere disse opp mot hverandre.
Kost–nytte-vurderingen er illustrert i figur 34. I figuren vil tiltakene som kommer best ut med hensyn til verdi1 og realiserbarhet2, bli prioritert.
Prosesseier ønsker å prioritere tiltak B Det opprettes et tilsagnsregister som ny modul i saks- behandlingssystemet. Valget begrunnes med at tiltaket har klart høyest verdi. Tiltak B er samtidig det tiltaket som på kort sikt er mest kostnadskrevende i form av utviklingskostnader. En ny modul vil imidlertid gi automatisert kontroll, slik at tiltaket vil generere minimale kostnader på lengre sikt.
Tiltakene A og C har høy realiserbarhet, siden de medfører begrensede kostnader. De prioriteres likevel etter tiltak B, siden verdien vurderes vesentlig lavere, noe som blant annet begrunnes med at kontrollene vil være manuelle og prosedyren vil være sårbar, fordi den baseres på at alle saksbehandlere registrerer inn i et åpent regneark. Dette tiltaket vil også kreve saksbehandlerressurser til gjennomføring og oppfølging.
5.3.3 Utforme og dokumentere besluttede tiltak
FYSetat har nå besluttet hvilke tiltak som skal velges for å håndtere de ulike risikoene på ulike nivåer i virksomheten. Neste steg er å utforme de spesifikke tiltakene som er besluttet. Den enkelte risikoeier må avgjøre hvem som skal utforme tiltakene, og hvordan utformingen skal skje.
Utforme og forbedre på virksomhetsnivå
På virksomhetsnivå betyr dette at avdelingsleder for administrasjonsavdelingen er tildelt et ansvar for å utforme opplegget for dilemmatrening knyttet til etiske retningslinjer. Fagansvarlig internkontroll utarbeider et utkast til policy for internkontroll som skal godkjennes av virksomhetsleder.
Avdelingsleder for tilskuddsavdelingen er tildelt ansvar for å gjennomgå eksisterende policy for tilskuddsforvaltning og gjøre oppdateringer slik at grensesnitt, herunder roller og ansvar mellom økonomi- og IKT-avdelingen, blir ivaretatt på en god måte. Fagansvarlig internkontroll vil bistå avdelingsleder for tilskuddsavdelingen i dette arbeidet. Avdelingsleder for IKT-avdelingen har støttet seg på juridisk ekspertise i arbeidet med å forberede reforhandling av driftsavtalen for saksbehandlingsløsningen.
Fagansvarlig internkontroll i FYSetat vil ta utgangspunkt i mal for policy for internkontroll utarbeidet av DFØ når policy for internkontroll skal utarbeides.
Avdelingsleder for tilskuddsavdelingen vil også ta utgangspunkt i FYSetats felles mal for policyer når policy for tilskuddsforvaltning skal oppdateres. Dette for å sikre at innholdet i hver enkelt policy følger en fast mal og at de tydelig angir hvor ansvaret for ulike oppgaver skal ligge.
Utforme og forbedre på lavere nivåer
Prosesseier har, som nevnt i kapittel 5.3.2, besluttet at to nye tiltak skal utformes i prosessen for søknadsbehandling tilskudd. Disse tiltakene er følgende:
- innføre fullstendighetssjekk av søknader før søknaden går til behandling
- opprette et tilsagnsregister som ny modul i saksbehandlingssystemet
- utarbeide sjekkliste for avkrysning av at påkrevd informasjon inngår i søknaden
- utarbeide mal for følgebrev til søker
- utarbeide avkrysningsliste som legges ved søknader som sendes i retur
- fase 1, som omfatter utvikling og godkjenning av ny modul
- fase 2, som omfatter utforming av ny og oppdatert prosedyre
Etter at de to tiltakene er utformet, har prosesseier oppdatert prosesskartet slik at det viser oppdatert arbeidsflyt. I tillegg til å innarbeide de to nye tiltakene er prosessen oppdatert slik at overlappende kontroller som ble identifisert i kapittel 5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging, er tatt bort.
I figur 35 vises hvordan FYSetat har valgt å dokumentere besluttede tiltak gjennom et nytt og oppdatert prosesskart for prosessen søknadsbehandling tilskudd med tilhørende prosedyrebeskrivelse. De to overlappende kontrollene, henholdsvis k7 og k8, er korrigert slik at k7 og k8 nå kun gjennomføres en gang, samt at nye tiltak (ny k2 og ny k10) knyttet til r2 og r5 er innarbeidet.
I tabellen i figur 36 vises et utdrag fra prosedyrebeskrivelsen for prosedyren for søknadsbehandling i FYSetat. Her gis en nærmere beskrivelse av aktivitetene som inngår i prosessen søknadsbehandling tilskudd.
Nummer | Handling | Ansvarlig | Når |
1 | Arkiv mottar innkomne søknader og journalfører disse | Administrasjon, Arkiv | Løpende |
2 | Saksbehandler kontrollerer om søknad er fullstendig og om nødven- dig informasjon er vedlagt. Kontrollen dokumenteres ved utfylling av sjekkliste. | Tilskuddsavdelingen | Løpende |
3 | Saksbehandler returnerer ufullstendige søknader. Søknader som returneres vedlegges et returbrev, og avkrysningsliste hvor mangler ved søknaden fremkommer. | Tilskuddsavdelingen | Løpende |
4 | ... | ||
5 | ... | ||
osv. | ... | ||
15 | Utbetaling til tilskuddsmottakere | Regnskapsavdelingen | Månedlig |
Figur 36: Utdrag fra prosedyre for søknadsbehandling.
5.4 Eksempel implementering
FYSetat er opptatt av å sikre at besluttede tiltak blir iverksatt og etablert i virksomheten, slik at endringen blir gjennomført og besluttede tiltak blir etterlevd og får ønsket effekt.
Ledelsen i FYSetat har tidligere erfart at jobben ikke er gjort idet tiltakene er utformet, og har innsett hvor viktig det er å prioritere ressurser til å iverksette og gjennomføre besluttede tiltak
- forankring, holdninger og atferd både hos ledelsen og involverte ansatte knyttet til tiltakene
- informasjon, kommunikasjon og tilgjengeliggjøring knyttet til tiltakene
- tilstrekkelig kompetanse, ferdigheter og ressurser knyttet til tiltakene
- tilpassede verktøy og systemstøtte for å underbygge og støtte opp om tiltakene
De som er ansvarlig for de ulike tiltakene i FYSetat, er i tillegg ansvarlig for å sikre en vellykket implementering. Dette ansvaret innebærer også å ivareta de ovennevnte punktene.
Implementering på virksomhetsnivå
I figur 38 gjengis FYSetats implementeringsaktiviteter knyttet til ett av de fire tiltakene på virksomhetsnivå. Tiltaket gjelder utarbeidelse av policy for internkontroll.
Aktivitet | Ansvar | Frist | Utført |
Behandling i virksomhetens ledergruppe før godkjenning av virksomhetsleder |
Virksomhetsleder | 24/4 | |
Gjennomgang i ledergruppene til de fire avdelingene |
Respektive avdelingsledere | 2/5 | |
Utsending av informasjon via intranett, presentasjon av tiltaket og henvisning til hvor policy er tilgjengelig |
Leder adm.avd. | 5/5 |
Figur 38: Implementeringsaktiviteter knyttet til tiltaket Utarbeidelse av policy internkontroll.
Implementering på lavere nivåer
Etter at de to nye tiltakene i søknadsbehandlingsprosessen er utformet, er neste trinn å implementere endringen. Nedenfor følger en kort beskrivelse og implementeringsplan for ett av de to tiltakene.
Tiltak 1 – det innføres fullstendighetssjekk av søknader før søknaden går til behandling
Det besluttes at fullstendighetssjekk av søknader med påfølgende retur av ufullstendige søknader innføres etter neste søknadsrunde, dvs. én måned frem i tid. I forkant av implementeringsdato må alle saksbehandlere informeres og gis opplæring i bruk av sjekkliste, brevmal og avkrysningsliste. Siden saksbehandlerne selv har etterspurt en mer effektiv saksgang og har vært med på å foreslå og utforme tiltaket, er det stor forståelse for og tilslutning til det nye tiltaket internt. Søkerne har imidlertid vært vant til å bli kontaktet av saksbehandlerne, som har bidratt med veiledning og hjelp i forbindelse med å fremskaffe nødvendig informasjon til søknaden.
Det vurderes derfor dit hen at det er et behov for både direkte informasjon i form av brev til allerede registrerte søkere (søkere som søker ofte) og mer generell informasjon på FYSetats internettsider til nye søkere. I informasjonen bør det fremkomme at endringen vil være til søkernes fordel siden saksbehand- lingstiden etter endringen forventes å gå ned.
Prosesseier setter opp en kort implementeringsplan for tiltaket som vist i figur 39.
Aktivitet | Ansvar | Frist | Utført |
Informere arkiv om nye rutiner | Prosesseier |
25/4 |
|
Utarbeide og sende informasjonsbrev til tidligere registrerte søkere | Prosesseier |
2/5 |
|
Utarbeide informasjon om ny praksis som legges på internett | Prosesseier/stab |
10/5 |
|
Lære opp saksbehandlere og tilgjengeliggjøre ny og oppdatert prosedyre | Prosesseier |
15/5 |
Figur 39: Implementeringsaktiviteter knyttet til tiltaket det innføres fullstendighetssjekk av søknader før søknaden går til behandling.
5.5 Eksempel oppfølging
Oppfølging skal sikre en systematisk vurdering av internkontrollen og gi virksomhetsledelsen rimelig grad av sikkerhet for at besluttede tiltak etterleves og gir ønsket effekt. Oppfølging kan skje i form av løpende eller frittstående oppfølging eller i en kombinasjon av de to.
Virksomhetsledelsen i FYSetat har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Virksomhetsledelsen legger i sin oppfølging særlig vekt på tiltak rettet mot virksomhetens vesentligste risikoer og kontroller. I inneværende år er det ikke prioritert å gjennomføre frittstående oppfølging.
5.5.1 Vurdering av om internkontrollen etterleves og gir ønsket effekt
Oppfølging av risikoer på virksomhetsnivå
For risikoen R1 Manglende relevant og riktig kompetanse på tilskuddsområdet og risiko R2 Det gis tilskudd til feil mottaker eller på feil grunnlag ble det besluttet at etablerte tiltak var tilstrekkelige, og at ytterligere tiltak ikke skulle prioriteres.
Virksomhetsledelsen har likevel vurdert det som viktig å følge opp at etablert internkontroll knyttet til disse risikoene fungerer som tiltenkt. Det kommer av at konsekvensen, hvis risikoene inntreffer, er vurdert som høy. Oppfølgingen skjer ved at virksomhetsleder to ganger i året har møter med de respektive avdelingslederne hvor virksomhetsavtalen gjennomgås.
- andel klager som får medhold
- utvikling når det gjelder kompetansesituasjonen i avdelingen
- saksbehandlingstid i forhold til krav i serviceerklæringen
- tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom tilskuddsavdelingen og IKT-avdelingen er utbedret
- andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer
- nedetid for saksbehandlingssystemet
- tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom tilskuddsavdelingen og IKT-avdelingen er utbedret
- andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer
Oppfølging på lavere nivåer
På lavere nivåer skjer oppfølgingen av internkontrollen i FYSetat ved at ledere for de ulike avdelingene følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. Oppfølging skjer gjennom stikkprøvekontroller/tester, analyser og styringsparametere. Ettersom det ikke er hensiktsmessig å følge opp alt, har den enkelte avdelingsleder prioritert de områdene og kontrollene som de anser som viktigst ut fra risiko og vesentlighet innenfor sitt respektive ansvarsområde.
I tillegg til å følge opp at allerede etablert internkontroll etterleves og gir ønsket effekt, må det også følges opp at nye tiltak og forbedringer som besluttes, blir gjennomført som forutsatt.
På avdelings- og seksjonsnivå kan det være fornuftig å ha en plan eller oversikt over oppfølgingsoppgaver. Gjennomføring av denne planen danner blant annet grunnlaget for den årlige rapporteringen på internkontrollen som avdelingsledere avgir til virksomhetsleder i november hvert år.
Avdelingsleder for tilskuddsavdelingen har, som vist i figur 41, følgende områder som følges opp løpende gjennom året via styringsparametere og analyser.
Oppfølgingsaktivitet | Type oppfølging | Utføre oppfølging | Frist |
Oppfølging av styringsparametere:
|
Ta ut rapporter fra saksbehandlings- systemet |
Avdelingsleder for tilskuddsavdelingen |
Kvartalsvis |
Figur 41: Eksempler på oppfølgingsaktiviteter i tilskuddsavdelingen.
Seksjonsleder for søknadsbehandling tilskudd har satt opp følgende oversikt for sitt ansvarsområde.
Oppfølgingsaktivitet | Type oppfølging | Utføre oppfølging | Frist |
Verifisering av kontroll k3 |
Kontroll mot systemdokumentasjon Sjekk av logg på stikkprøvebasis |
Seksjonsleder for søknadsbehandling |
Juni og stikkprøver ved nytilsettinger og avgang |
Verifisering av kontroll k7 |
Stikkprøver av saksbehandlers dokumentasjon, utfylt sjekkliste |
Seksjonsleder for søknadsbehandling |
Halvårlig i juni og november |
Verifisering av kontroll k9 |
Stikkprøvekontroller av saks- behandlers dokumentasjon, jf. sjekkliste mot tildelingskriterier |
Seksjonsleder for søknadsbehandling | November |
Oppfølging av styringsparametere:
|
Uttak av rapporter fra saksbehandlingssystemet
|
Seksjonsleder for søknadsbehandling
|
Månedlig
|
Figur 42: Eksempler på oppfølgingsaktiviteter i prosessen søknadsbehandling tilskudd.
Tilsvarende oversikter er utarbeidet for øvrige avdelinger og for de prosessene i FYSetat som er definert som vesentlige.
Som tidligere nevnt blir planen for fagansvarlig internkontroll for året godkjent av virksomhets- ledelsen, og statusen på denne blir fulgt opp i avdelingsmøte i juni. Etter hvert vil også denne planen omfatte en oversikt over de oppfølgingsaktivitetene som fagansvarlig internkontroll skal gjennomføre for å følge opp at linjen ivaretar sitt internkontrollansvar på en tilfredsstillende måte.
5.5.2 Bruk av informasjon fra oppfølgingen til styring, læring og forbedring
Ledelsen i FYSetat legger vekt på at oppfølgingen av internkontrollen skal være systematisk og helhetlig. Resultatet fra oppfølgingen brukes følgelig aktivt i forbindelse med planlegging og risikovurderinger for neste år, både på virksomhetsnivå og på lavere nivåer. Ledelsen i FYSetat har også erfart at systematisk oppfølging er et avgjørende element i forbindelse med virksomhetens lærings- og forbedringsarbeid.
Virksomheten har, som resultat av et mer systematisk arbeid med internkontrollen oppnådd større bevissthet om betydningen av god internkontroll, samt fått bedre oversikt over status og risikoområder som bør prioriteres i internkontrollarbeidet. Dette gir virksomhetsledelsen større trygghet for at virksomheten har en mer systematisk, enhetlig og helhetlig tilnærming i internkontrollarbeidet uavhengig av hvilke personer som leder de ulike avdelingene.
FYSetat erfarer også at forbedringer i internkontrollen har fristilt tid og ressurser for ledere, ved at oppgaver i større grad blir gjort riktig første gang. Selv om det fremdeles er behov for forbedringer i internkontrollen brukes det nå mindre tid på brannslukking, og en har oppnådd en mer hensiktsmessig oppfølging og rapportering. Internkontrollarbeidet har på denne måten bidratt til bedre styring, ved at virksomhetsledelsen kan bruke mer tid på å gjøre de «riktige» tingene og mindre tid på å følge opp og kontrollere for å sikre at virksomheten «gjør tingene riktig».
Virksomhetsledelsen har derfor prioritert å etablere flere arenaer for oppfølging, problemløsing og avvikshåndtering på ulike nivåer i organisasjonen (team, seksjon, avdeling, virksomhet).
Ledergruppen i tilskuddsavdelingen i FYSetat går for eksempel hver måned gjennom registrerte avvik og klagesaker fra søkere. Fagansvarlig internkontroll deltar på disse møtene for å vurdere om det er svakheter denne avdelingen har felles med andre avdelinger, og om det er behov for tiltak på høyere nivå.
Det er dessuten lagt til rette for at eksterne kan gi tilbakemeldinger på for eksempel hvordan de opplever kvaliteten på FYSetats tjenester. Det skjer via internett, og virksomheten gjennomfører også årlige spørreundersøkelser.
5.6 Eksempel rapportering
5.6.1 Rapportere resultater knyttet til internkontroll til rett nivå og til rett tid og integrere rapporteringen med øvrig rapportering
Resultatet fra oppfølgingen gir virksomhetsledelsen i FYSetat et grunnlag for å vurdere kvaliteten på etablert internkontroll, en mulighet for å iverksette korrektive tiltak, få input til forbedringsarbeidet og dessuten et godt utgangspunkt for neste planperiode.
Effektiv og pålitelig rapportering forutsetter at tilstrekkelig, pålitelig og relevant informasjon rapporteres til rett nivå og til rett tid. Det er avgjørende at informasjonen som rapporteres, er tilpasset behovet for og formålet med rapporteringen. I FYSetat er det etablert tydelige krav til hva som skal rapporteres når og til hvem. Ansatte i FYSetat må følgelig forholde seg til både interne og eksterne rapporteringskrav.
Rapportering knyttet til internkontrollen er i FYSetat i størst mulig grad integrert i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten blir all rapportering av verdi for styring og kontroll sett i sammenheng og benyttet i arbeidet med å etablere korrektive tiltak og planlegge neste periode.
I tillegg til den ordinære og regelmessige interne og eksterne rapporteringen som foregår i FYSetat som et ledd i styringen, er det også etablert kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og risikoer som inntreffer eller truer med å inntreffe. FYSetat har i henhold til arbeidsmiljøloven etablert en uavhengig varslingskanal og har prosedyrer for oppfølging og rapportering av varslinger av kritikkverdige forhold.
Direktøren i FYSetat har besluttet at det halvårlig (i juni og i november) i et ledermøte skal rapporteres på status for håndtering av risiko identifisert i risikovurderinger og status for relevante styringsparametere innenfor de ulike avdelingene.
I tillegg har direktøren i FYSetat bestemt at avdelingslederne én gang i året (i november) skal rapportere på status for internkontrollen innenfor eget ansvarsområde. Fagansvarlig internkontroll har ansvar for å samle inn og sammenstille lederrapporteringen fra de fire avdelingene. Dette gir virksomhetsleder et godt grunnlag for å vurdere hvordan FYSetas internkontrollsystem fungerer, om det er behov for å iverksette korrektive tiltak, om det er vesentlige tiltak som ikke er fulgt opp det siste året, og om det er vesentlige forbedringsområder innenfor de ulike avdelingene som bør løftes og håndteres.
Rapporteringene benyttes også som grunnlag for å omtale virksomhetens internkontroll i FYSetats årsrapport.
Rapportering på lavere nivåer
Avdelingsleder for tilskuddsavdelingen har brukt FYSetats felles mal for rapportering på avdelings- og seksjonsnivå, som er vist i figur 44. Avdelingsledere må selv sørge for å etterspørre status fra ledere og prosesseiere på lavere nivåer og gjennomføre den oppfølgingen og de analysene de selv anser for å være nødvendig for å kunne rapportere hvordan tilstanden på internkontrollen innenfor eget ansvarsområde er.
Rapportering på virksomhetsnivå
Fagansvarlig internkontroll sammenstiller rapporteringene fra de fire avdelingene i et felles skjema, som vist i figur 45. Her fremkommer status for internkontrollen basert på de respektive avdelingers utfylling av rapportmalen, der grønn indikerer at status er tilfredsstillende, gul delvis tilfredsstillende og rød ikke tilfredsstillende.
Den sammenstilte rapporteringen gir virksomhetsledelsen et overordnet bilde av status og utfordringer i de ulike avdelingene. Basert på den sammenstilte rapporteringen fra avdelingene kan virksomhetsleder årlig gjøre en overordnet vurdering av internkontrollen for FYSetat samlet. Vurderingen på virksomhetsnivå danner grunnlag for rapportering til overordnet departement og FYSetats omtale av styring og kontroll i årsrapporten. I verktøyet Mal – rapportering knyttet til internkontroll finnes det også en mal for en samlet vurdering av status på virksomhetens internkontroll.
Rapporteringen i FYSetat viser at det gjennomføres risikovurderinger i alle avdelingene bortsett fra i IKT-avdelingen. Uklare ansvarsforhold var identifisert som et av problemområdene for FYSetat ved risikovurderingen på virksomhetsnivå, og rapporteringen viser at det fremdeles gjenstår arbeid med å etablere og oppdatere policyer som skal klargjøre ansvarsforhold.
Arbeidet med formalisering må derfor fortsette inn i neste planperiode. For informasjonsavdelingen mangler det fremdeles enkelte policyer og prosedyrer. Alle avdelingene har fortsatt en jobb å gjøre med hensyn til å få policyer og prosedyrer kjent og etterlevd. IKT-avdelingen har gjenstående anmerkninger fra Riksrevisjonen, som må følges opp i neste planperiode. Alle avdelinger har rapportert status gul knyttet til manglende kjennskap til etiske retningslinjer, og det forventes derfor at alle avdelinger gjennomfører etisk dilemmatrening kommende år.
Virksomhetsledelsen har satt av tid i ledermøtet i november for å drøfte resultatet som fremkommer gjennom den sammenstilte rapporteringen fra avdelingene. Konklusjoner fra dette møtet vil, sammen med annen informasjon, herunder resultater fra løpende oppfølging og eventuelle nye merknader fra Riksrevisjonen, inngå som en del av grunnlaget for neste års planprosess.
Informasjonen som fremkommer av oppfølgingen og rapporteringene foretatt i de ulike avdelingene benyttes som grunnlag for læring og forbedring av FYSetats internkontrollsystem.
Fotnoter
1Verdi og nytte anses i denne sammenheng som synonymer.
2Kostnaden er ett av elementene i vurderingen av hvor realiserbare tiltakene er (dersom kostnaden er høy, bidrar det til å redusere realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv.
Veileder i internkontroll
Innledning
Kort om veilederen
Formål
Målgruppe
Avgrensninger
Fotnoter
Hva er internkontroll?
2.1 Krav til internkontroll i statlige virksomheter
2.2 Hva forstår vi med begrepet internkontroll?
2.2.1 Målrettet og effektiv drift
2.2.2 Pålitelig rapportering
2.2.3 Overholdelse av lover og regler
2.3 Hvorfor er det nødvendig med internkontroll?
Internkontroll bidrar til kvalitet og effektivitet
Forebygger feil og negative hendelser
Bidrar til kontinuerlig forbedring
Bedrer evnen til å meste utfordringer
Fotnoter
Hvordan etablere internkontroll?
Metode – internkontrollprosess i seks steg
Internkontroll som årlig prosess i virksomheten
3.1 Etabler et fundament for internkontroll
Relevante verktøy
3.2 Styrings- og kontrollmiljø
3.2.1 Formelt og uformelt miljø må virke sammen
3.2.2 Gjelder både leder og medarbeidere
3.2.3 Dokumentasjon av internkontrollen
Dokumentasjon av etablert internkontroll
Dokumentasjon av gjennomført internkontroll
3.2.4 Organisering av internkontrollarbeidet
Førstelinje-, andrelinje- og tredjelinjeforsvar
3.3 Informasjon og kommunikasjon
Hvordan utføre internkontroll?
4.1 Planlegging
4.1.1 Ambisjonsnivå og overordnet status for internkontrollen
Kjennetegn på effektiv internkontroll
4.1.2 Rammer og ressurser for internkontrollarbeidet
4.1.3 Oppsummering
Relevante verktøy i planleggingsfasen:
4.2 Risikovurdering
4.2.1 Etablere et grunnlag for risikovurderingen
4.2.2 Gjennomføre risikovurderinger
4.2.3 Vurdere behov for tiltak og/eller oppfølging
4.2.4 Oppsummering
Relevante verktøy knyttet til risikovurdering:
4.3 Utforming
4.3.1 Identifisere aktuelle tiltak
4.3.2 Vurdere, prioritere og beslutte tiltak
4.3.3 Utforme og dokumentere besluttede tiltak
4.3.4 Oppsummering
4.4 Implementering
4.4.1 Vurdere behovet for implementeringsaktiviteter
4.4.2 Vurdere faktorer av betydning for en vellykket implementering
Forankring, holdninger og atferd
Informasjon, kommunikasjon og tilgjengeliggjøring
Kompetanse, ferdigheter og kapasitet
Verktøy og systemstøtte
4.4.3 Oppsummering
4.5 Oppfølging
4.5.1 Ledelsen har hovedansvaret
Organisering av arbeidet
4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt
Løpende oppfølging
Frittstående oppfølging
4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring
4.5.4 Oppsummering
Relevante verktøy:
4.6 Rapportering
4.6.1 Rapportere resultater til rett nivå og til rett tid
4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering
4.6.3 Oppsummering
Relevante verktøy:
Fotnoter
Gjennomgangseksempel