Veileder i internkontroll

Innledning

Alle ledere og medarbeidere bidrar til internkontroll i sitt daglige arbeid, men ikke alle er oppmerksomme på at oppgavene som gjøres, og måten de gjøres på, inngår som en del av virksomhetens internkontroll.

Bruk av passord og autorisasjonsordninger, kontroll av tallgrunnlaget i en rapport, opplæringstiltak, prosessbeskrivelser og rutiner, sjekk av referanser, arbeidsdeling og sidemannskontroll er alle eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll.

Internkontroll omfatter derfor ikke bare kontrollaktiviteter knyttet til utførelsen av konkrete oppgaver, aktiviteter og prosesser, men også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar i virksomheten, kompetanse, kultur og holdninger, mv.

Virksomhetens internkontroll skal bidra til å gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. God internkontroll i oppgavegjennomføringen bidrar på denne måten til kvalitet i statlige produkter og tjenester. Internkontrollen utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll.

Økonomiregelverkets1 krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal baseres på en vurdering av risiko, vesentlighet og virksomhetens egenart2

Forhold som størrelse og kompleksitet, oppgaveportefølje og oppgavesammensetning, virksomhetsområde, organisering og grunnleggende styringskrav inngår som en del av denne vurderingen. Det er derfor ikke hensiktsmessig å skissere én spesifikk standard for hva som er et effektivt internkontrollsystem3 som vil passe for alle virksomheter. Det er ledelsen i hver enkelt virksomhet som må gjøre vurderinger og ta beslutninger som ivaretar de hensynene som er relevante for virksomheten.

Kort om veilederen

Formål

Formålet med denne veilederen er å gi medarbeidere og ledere i statlige virksomheter en bedre forståelse av hva internkontroll er, og hvordan virksomheten kan arbeide systematisk med etablering4, forbedring og oppfølging av internkontrollen. I veilederen presenteres en strukturert metode som kan benyttes i arbeidet med å etablere og forbedre internkontrollen både for enkeltområder i virksomheten og for virksomheten samlet sett.

Metoden som presenteres, er illustrert ved et gjennomgangseksempel som konkretiserer hvordan arbeidet kan gjennomføres. For å gi praktisk nytte i virksomhetens arbeid med internkontroll har DFØ i tilknytning til veilederen også utarbeidet veiledningsmateriell som består av ulike maler, sjekklister og verktøy. Disse er tilgjengelige på dfo.no/internkontroll.

I tillegg til denne veilederen er det utarbeidet en kortversjon spesielt rettet mot ledere. I kortversjonen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du kan ivareta ditt ansvar for internkontroll.

Målgruppe

Veileder i internkontroll er rettet mot ledere og medarbeidere som er gitt et særlig ansvar for å legge til rette for og ivareta det praktiske arbeidet med internkontroll.

Veilederen er rettet mot virksomheter som har behov for å etablere eller forbedre en allerede eksisterende internkontroll. Veilederen er også rettet mot virksomheter som har et ønske om å få til et mer systematisk arbeid med hensyn til å følge opp og forbedre virksomhetens internkontroll, og som ser et behov for å integrere internkontrollarbeidet bedre i styringen av virksomheten.

Metodikk, verktøy og begrepsapparat som presenteres i denne veilederen, vil kunne benyttes av alle statlige virksomheter. Dette omfatter også departementenes arbeid med etablering og forbedring av internkontroll i egen virksomhet.

Avgrensninger

Veilederen vil gjennom en generell tilnærming gi råd og støtte til hvordan virksomheten kan innrette seg etter økonomiregelverkets krav til internkontroll. Veilederen utdyper ikke spesifikke temaer som eksempelvis internkontroll med hensyn til misligheter og økonomisk kriminalitet eller internkontroll med tanke på å hindre at beløpsmessige rammer overskrides. Metodikken i veilederen er imidlertid også godt egnet som utgangspunkt for å forbedre internkontrollen knyttet til slike spesifikke temaer.

Veilederen legger til grunn at det finnes flere anerkjente metoder som kan brukes i forbindelse med risikovurderinger i virksomheter. Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen (RIS), vil være én blant flere metoder. Denne veilederen bygger på metoden som er vist i RIS, og vil derfor i liten grad beskrive eller gjennomgå selve metoden for risikovurdering.

Departementenes oppfølging av internkontroll i underliggende virksomheter omhandles ikke spesifikt i denne veilederen. Det vises her til veileder i etatsstyring kapittel 2.6.

Fotnoter

1Reglement for økonomistyring i staten (reglementet) og bestemmelser om økonomistyring i staten (bestemmelsene) omtales samlet som økonomiregelverket.
2Reglementet § 4, 10 og 16, og bestemmelsene punkt 1.2, 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, 5.4.2.2, 6.5, 7.4 og 8.5.
3Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et fundament som omfatter styrings- og kontrollmiljø og informasjon- og kommunikasjon, i tillegg til en strukturert metode for arbeidet med etablering og forbedring av internkontroll.
4Med etablering forstås både etablering ved nyoppretting av virksomhet og ved etablering av internkontroll når virksomheten får ansvar for nye områder, prosesser mv.

Hva er internkontroll?

I dette kapittelet gir vi en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst.

Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter.

2.1 Krav til internkontroll i statlige virksomheter

Reglementets § 14 setter følgende krav til virksomhetens internkontroll

Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: 

  • beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn
  • måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning
  • ressursbruken er effektiv
  • regnskap og informasjon om resultater er pålitelig og nøyaktig
  • virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte
  • økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold
  • misligheter og økonomisk kriminalitet forebygges og avdekkes

Økonomiregelverket inneholder også andre konkrete krav som vil inngå som en del av internkontrollen i en virksomhet. Eksempler her er krav knyttet til at styringsdialogen mellom departement og underliggende virksomheter skal være dokumenterbar, og krav knyttet til transaksjonskontroller, aggregerte kontroller, etterkontroll og dokumentasjon av kontrollaktiviteter. Videre stilles det krav til virksomhetens økonomisystem, bokføring, dokumentasjon og oppbevaring av regnskapsmateriale, krav i forbindelse med utstedelse av faktura, krav til attestasjon og undertegning av tilskuddsbrev, mv. Nevnte krav omtales ikke nærmere i veilederen, med unntak av kapittel 4.1.1 hvor dokumentasjon av internkontroll omtales nærmere. For øvrig forutsettes kravene ivaretatt gjennom målsettingskategoriene som omtales nærmere i kapittel 2.2.

Videre presiserer bestemmelsene at dersom virksomheten benytter en tjenesteyter i forbindelse med utførelse av økonomioppgaver, skal virksomhetens internkontroll være tilpasset arbeidsdelingen mellom virksomheten og tjenesteyteren. Virksomhetsleder har et selvstendig ansvar for økonomioppgavene, uavhengig av om deler av oppgavene utføres av andre.

I tillegg til økonomiregelverket vil statlige virksomheter være omfattet av annet lov- og regelverk som stiller eksplisitte krav til virksomhetenes internkontroll, og som forvaltes av andre statlige myndigheter enn DFØ. Selv om disse lov- og regelverkene ikke omtales nærmere i denne veilederen, understrekes det at overholdelsen av disse naturlig vil inkluderes i målsettingskategorien «Overholdelse av lover og regler», jf. nærmere omtale i kapittel 2.2.3.

Definisjonen av internkontroll som introduseres i neste avsnitt og som er lagt til grunn i denne veilederen, er mindre spesifikk enn de konkrete kravene som stilles til internkontroll i økonomiregelverket. Metodene og verktøyene som presenteres i veilederen, vil være egnet for å etablere og forbedre internkontroll knyttet til både spesifikke temaer og krav som omtales i økonomiregelverket, og krav som følger av annet lov- og regelverk.

2.2 Hva forstår vi med begrepet internkontroll?

Veilederen bygger på COSOs1 definisjon av internkontroll, og legger til grunn følgende.

Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder:

  • målrettet og effektiv drift
  • pålitelig rapportering
  • overholdelse av lover og regler

I definisjonen forutsettes det at internkontroll gjennomføres av foretakets styre, ledelse og ansatte. Det er få statlige virksomheter som er organisert med et styre, og begrepet foretak er lite brukt i statsforvaltningen. Følgelig vil denne veilederen bruke benevnelsen virksomhet i stedet for foretak. Eventuelle styrers rolle i virksomhetens internkontrollarbeid omtales ikke nærmere i denne veilederen. Det vises imidlertid til bestemmelsene punkt 1.2 og reglementet § 3, hvor det kreves at departementet skal sørge for at det foreligger instrukser som beskriver myndighet og ansvar, inklusiv innbyrdes forhold mellom departementet, eventuelt styre og virksomhetsleder.

Definisjonen vektlegger at internkontroll må forstås som en prosess som er utformet for å gi rimelig sikkerhet for måloppnåelse. Denne prosessen må tilpasses og justeres i tråd med endrede forutsetninger, rammer og risiko. Etablering, gjennomføring og oppfølging av internkontrollen inngår derfor som en integrert del av de øvrige plan-, gjennomførings-, oppfølgings- og rapporteringsprosessene i virksomheten, og gir grunnlag for kontinuerlig læring og forbedring.

De tre målsettingskategoriene i COSOs definisjon av internkontroll klargjør formålet med internkontrollen. Økonomiregelverkets krav til internkontroll slik de fremgår av reglementet § 14 og bestemmelsene punkt 2.4 bokstavene a–g, kan innplasseres i henhold til de tre målsettingskategoriene. Det er derfor godt samsvar mellom formålet med internkontroll slik det fremgår av Økonomiregelverket, og COSOs beskrivelse av formålet operasjonalisert gjennom de tre målsettingskategoriene. Les mer i veilederen Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, vedlegg A. 

COSO legger til grunn at internkontroll består av fem innbyrdes sammenhengende komponenter, henholdsvis kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåkning. På tilsvarende måte som for målsettingskategoriene gjenspeiles disse komponentene også i økonomireglementet, jf. bestemmelsene punkt 2.4.3 bokstavene a–e.

Komponentenes betydning utdypes som en del av en metode som beskrives nærmere i kapitlene 2–4. Nedenfor utdypes de tre målsettingskategoriene, og de settes inn i en statlig kontekst.

2.2.1 Målrettet og effektiv drift

En målrettet og effektiv drift er avgjørende for at virksomheten skal nå målene sine. I statlige virksomheter vil målrettet og effektiv drift reflektere det ansvaret virksomhetens ledelse har for å2

  • gjennomføre aktiviteter i tråd med Stortingets vedtak og forutsetninger og fastsatte mål og prioriteringer fra departementet
  • fastsette mål og resultatkrav og foreta prioriteringer med ettårig og flerårig perspektiv innenfor eget ansvarsområde
  • sørge for planlegging, gjennomføring og oppfølging, herunder resultat- og regnskapsrapportering
  • definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde for å sikre oppfyllelse av reglementet og bestemmelsene, herunder ansvarsforhold mellom virksomhetslederen og øvrig ledelse, og eventuelt styre
  • etablere internkontroll

Implisitt i disse kravene ligger også et krav om at virksomheten bruker tildelte ressurser effektivt3.

Forenklet sett fremstilles produkter og tjenester ved at innsatsfaktorer i form av penger, kompetanse mv. omformes gjennom ulike aktiviteter og prosesser i virksomheten til produkter og tjenester som virksomheten leverer internt eller eksternt. Gjennomføringen av virksomhetens oppgaver kan derfor ses på som prosesser, og kan generelt deles inn i kjerneprosesser, støtteprosesser og styringsprosesser. Kvaliteten på produkter og tjenester er avhengig av god internkontroll både i og i tilknytning til disse prosessene.

I praksis handler internkontroll om å etablere og bruke strukturer og systemer som gir nødvendig trygghet for at oppgaveutførelsen gir ønsket kvalitet og effektivitet. Målrettet og effektiv drift innebærer at virksomhetens kjerne-, støtte- og styringsprosesser er utformet, gjennomført og fulgt opp på en måte som bidrar til at fastsatte mål og krav blir oppfylt.

Forhold som ofte er avgjørende for å oppnå målrettet og effektiv drift, kan blant annet knyttes til:

  • hvordan virksomheten innretter produkt-/tjenesteområdene med tilhørende prosesser og funksjoner for å sikre ønsket kvalitet, og hvordan prosessene er lenket sammen
  • hvilke kontroller som skal utføres i prosessen for å innfri mål og krav
  • hvilken kompetanse medarbeidere som er involvert i arbeidet bør ha, og hvordan arbeidet er organisert
  • hvorvidt medarbeidere får nødvendig informasjon av betydning for oppgaveutførelsen

Dette innebærer at internkontrollen omfatter både innretningen på selve prosessen (eksempelvis innebygde kontroller) og forhold som påvirker prosessen (eksempelvis hvordan ansvar og myndighet er definert og tydeliggjort i virksomheten, organisering, mv.).

2.2.2 Pålitelig rapportering

Med pålitelig rapportering menes at informasjon som formidles internt og eksternt skal være korrekt, rettidig og i samsvar med de kravene som er stilt. Det gjelder både informasjon som benyttes som grunnlag for beslutninger og intern styring, og informasjon som kommuniseres eksternt både til overordnet nivå og til allmennheten.

Som et ledd i virksomhetens interne styring vil virksomhetsledelsen ha fastsatt interne rapporteringskrav for ulike nivåer og enheter. Den eksterne rapporteringen fra statlige virksomheter omfatter årsrapport og annen rapportering til overordnet departement i tråd med de kravene som er stilt i tildelingsbrevet. Rapportering omfatter også pliktig regnskapsrapportering til henholdsvis statsregnskapet og andre eksterne parter med hjemmel i lov4.

Statlige virksomheters rapportering benyttes både som en del av beslutningsgrunnlaget for interne prioriteringer i virksomheten og som en viktig del av kunnskapsgrunnlaget som departementer og overordnede myndigheter baserer politikkutforming, beslutninger og prioriteringer på. Riktig kvalitet på rapportert informasjon er derfor avgjørende for god styring både i virksomhetene, departementene og samfunnet samlet sett.

Pålitelig rapportering forutsetter at virksomheten har oversikt over hvilke interne og eksterne krav som stilles til rapportering i virksomheten, og at den har etablert rutiner, systemer og strukturer som ivaretar disse kravene. Uavhengig av om dataene som inngår i rapporteringsgrunnlaget er utarbeidet internt eller eksternt, er det viktig at virksomheten har rutiner som sikrer at informasjonen er korrekt og pålitelig, og at datakilder og -grunnlag er definert og kan etterprøves. Effektiv internkontroll tilsier også at virksomheten følger opp at rapporteringen tjener sitt formål, dvs. at den er korrekt, rettidig og relevant, og at den er tilpasset mottakerens behov.

2.2.3 Overholdelse av lover og regler

Statlige virksomheter omfattes av en rekke lover og regler, som forvaltningsloven, offentlighetsloven, lov om offentlige anskaffelser, arbeidsmiljøloven og andre lover med tilhørende forskrifter som regulerer virksomheten eller fagområdet spesielt. Det å etterleve statlige regelverk som bevilgningsreglementet og økonomiregelverket er også et grunnleggende krav for statlige virksomheter. Overholdelse av disse regelverkene er derfor en viktig internkontrollmålsetting innenfor denne kategorien. Statens personalhåndbok og utredningsinstruksen inneholder også sentrale bestemmelser som statlige virksomheter er forpliktet til å følge. Videre vil instruks for økonomi- og virksomhetsstyring fra departement til virksomhet inneholde krav til virksomheten. Virksomheten kan også ha fastsatt ulike interne policyer og prosedyrer5 som faller innenfor denne målsettingskategorien for internkontroll.

Det kan fremstå som selvfølgelig at statlige virksomheter skal overholde gjeldende lover og regler. Like fullt finnes det eksempler på at det kan være utfordrende å oppnå tilfredsstillende sikkerhet for at dette faktisk skjer. Overholdelse av lover og regler forutsetter at virksomhetens ledere og medarbeidere har oversikt over hvilke lover, forskrifter, rundskriv og instrukser som gjelder for virksomheten, og hvilke interne policyer og prosedyrer som er etablert. Videre forutsettes det at virksomheten har oversikt over i hvilke prosesser, enheter/funksjoner og arbeidsoppgaver gjeldende lover og regler har betydning. Effektiv internkontroll innebærer at det er etablert tiltak som i nødvendig grad sikrer at krav som følger av lover og regelverk, ivaretas i de ulike prosessene og enhetene i virksomheten.

Virksomhetene kan gjennom ulike former for tiltak sørge for at lover og regler blir overholdt, eksempelvis gjennom å kreve at ansatte innehar en gitt type kompetanse, etablere opplæringsprogrammer, ha maler og prosedyrer som sikrer at sakene gjennomgår gitte steg, ha en klar arbeidsdeling, ha sjekklister, mv. Lover og regler kan endres, og det er derfor viktig at virksomheten har prosedyrer for å fange opp nye krav og endringer, og at ansvaret for å følge opp dette området er definert.

2.3 Hvorfor er det nødvendig med internkontroll?

Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som helhet. For den enkelte samfunnsborger er det avgjørende at statlige produkter og tjenester har god kvalitet.

God kvalitet gir sikkerhet for at det fattes riktige vedtak, at utbetalinger er rettidige og korrekte, at diagnoser er korrekte, og at behandlingen er effektiv. For samfunnet som helhet er oppgaveutførelsen i statlige virksomheter avgjørende for legitimitet, effektiv ressursbruk og oppfyllelse av fastsatte mål og forventede effekter. 

Internkontroll bidrar til kvalitet og effektivitet

God internkontroll bidrar til kvalitet og effektivitet i statens produkt- og tjenesteleveranser, og bidrar dermed også til at samfunnsoppdraget oppfylles på en god måte.

Statlige virksomheter baserer sin virksomhet på de fire grunnleggende forvaltningsverdiene demokrati, rettssikkerhet, faglig integritet og effektivitet6. Effektiv internkontroll vil bidra til at statlige virksomheter oppfyller forventningen om at de utfører oppgavene sine i tråd med disse forvaltningsverdiene.

«Effektiv internkontroll legger til rette for at tingene gjøres riktig første gang».

Forebygger feil og negative hendelser

Effektiv7 internkontroll legger til rette for at tingene gjøres riktig første gang. Internkontroll kan på den måten bidra til å forebygge feil og negative hendelser. Samtidig vil internkontroll også bidra til kvalitet, effektivitet og forutsigbarhet i statens produkt- og tjenesteleveranser. Når arbeidsprosesser og oppgaver gjennomføres på en måte som sikrer ønsket kvalitet, kan ressurser hos ledelsen frigjøres fra brannslukking, kontrolloppgaver, feilretting og korrigering. 

Bidrar til kontinuerlig forbedring

Virksomheter som arbeider systematisk med forbedringer i internkontrollen, opplever at internkontrollarbeidet gir viktige bidrag til virksomhetens arbeid med kontinuerlig forbedring. En slik systematisk tilnærming sikrer at virksomheten har begrunnet og dokumentert virksomhetens risikobilde og tilpasset det interne kontrollnivået deretter. Dersom virksomhetens internkontroll tilpasses egenart, risiko og vesentlighet, legges det til rette for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På den måten kan internkontrollen frigjøre ledelseskapasitet til strategisk styring.

For å være effektiv må internkontrollen integreres i driften og bygges inn i oppgaveutførelsen på en måte som sikrer systematikk og kvalitet også når virksomhetens systemer og rutiner utsettes for negativ og uforutsett påvirkning. En slik integrering gir både ledere og medarbeidere en trygghet for at oppgavene mestres, slik at de utføres med forventet kvalitet og i tråd med gjeldende lover og regler. 

Bedrer evnen til å meste utfordringer

Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten bedrer virksomhetens evne til å mestre de kontroll- og styringsutfordringene virksomheten står overfor.

God kvalitet i ledelsens beslutningsgrunnlag er avgjørende for å kunne ta riktige beslutninger. Når relevant informasjon knyttet til etablering, forbedring og oppfølging av internkontrollen integreres i styringsprosessene i virksomheten og inngår som en del av beslutningsgrunnlaget for ledelsen, gir internkontrollarbeidet også en direkte merverdi til styringen. Merverdien avhenger av at internkontrollen integreres slik at informasjon om forbedringsbehov utnyttes i de ordinære styringsprosessene.

Selv med effektiv internkontroll kan det oppstå uheldige situasjoner og feil som følge av menneskelig eller teknisk svikt eller misforståelser, eller som følge av at ansatte bevisst omgår etablerte kontroller. Det å ha et formalisert og velfungerende internkontrollsystem reduserer sannsynligheten både for at ubevisste og bevisste feil inntreffer. God internkontroll hjelper virksomheten med å oppfylle mål og krav, ved at den kan unngå fallgruver og overraskelser. Med effektiv internkontroll er virksomheten bedre rustet mot de utfordringene som vil komme.

Fotnoter

1Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSO-rapport 1992 Intern kontroll – et integrert rammerverk, og en uoffisiell oversettelse av Draft dec. 2011 fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og økonomiregelverkets begrep intern kontroll.
2Bestemmelsene punkt 2.2.
3Reglemet § 4b og bestemmelsene punkt 2.4.
4Bestemmelsene kapittel 3. Skattetetaten og Statistisk sentralbyrå er eksempler på eksterne parter.
5Med policyer og prosedyrer menes her virksomhetens interne dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyre), jf. kapittel 4.1.1 i denne veilederen.

6St.meld. nr. 19 (2008–2009) Ei forvaltning for demokrati og fellesskap, punkt 3.4 og punkt 3.5.
7COSO 1992: Intern kontroll – et integrert rammeverk. Internkontrollen er effektiv hvis det med rimelig sikkerhet kan sies at ledelsen ser i hvilken grad virksomhetens operative mål oppnås, rapporteringen er pålitelig og gjeldende lover og regler overholdes.

Hvordan etablere internkontroll?

Her gir vi en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll.

Økonomiregelverkets krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal tilpasses risiko, vesentlighet og egenart. Dette innebærer at ledelsen må vurdere virksomhetens behov og ambisjoner for internkontroll. En effektiv internkontroll forutsetter at virksomheten har etablert et fundament for internkontroll som understøtter de ambisjonene virksomheten har.

Virksomhetens styrings- og kontrollmiljø, samt informasjon og kommunikasjon, inngår i dette fundamentet. Videre forutsetter en effektiv internkontroll en strukturert tilnærming som legger til rette for kontinuerlig forbedring og tilpasning til endrede forutsetninger og risikoer. Samlet utgjør disse dimensjonene det som i denne veilederen omtales som virksomhetens internkontrollsystem. Figuren nedenfor illustrerer elementene som inngår i internkontrollsystemet.

Figur 1: Internkontrollsystemet.
Figur 1: Internkontrollsystemet.

Trekanten i midten av figuren representerer virksomheten. Virksomhetens samfunnsoppdrag skal utføres på en slik måte at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler oppfylles. Virksomhetens evne til å oppfylle mål og krav påvirkes av virksomhetens styrings- og kontrollmiljø og av hvordan informasjons- og kommunikasjonsflyten fungerer i virksomheten.

Disse to elementene ligger som et fundament for virksomhetens internkontroll og inngår som en del av trekanten i figuren. Fundamentet utgjør en viktig premiss for hvordan internkontrollen etterleves og fungerer i praksis. Dette omtales nærmere i kapittel 4.

Metode – internkontrollprosess i seks steg

Metoden i figuren viser en mulig måte å arbeide med internkontroll på. Metoden består av en kontinuerlig prosess i seks steg, heretter omtalt som internkontrollprosessen. En systematisk gjennomføring av disse seks stegene vil bidra til å oppfylle de tre internkontrollmålsettingene og kontinuerlig forbedre virksomheten.

Selv for virksomheter som har arbeidet mye med internkontroll, kan det være behov for en mer enhetlig og helhetlig tilnærming og en mer strukturert prosess, noe denne metoden legger til rette for. Metoden vil være egnet både ved etablering og ved forbedring av internkontrollen. Dette omtales nærmere i kapittel 5.

Internkontroll som årlig prosess i virksomheten

Det er virksomhetens ledelse som har ansvaret for å initiere og legge til rette for prosessen med å utvikle internkontrollen i virksomheten. Dette innebærer at virksomhetsledelsen bør etablere en årlig prosess på virksomhetsnivå for arbeidet med internkontroll. For at internkontrollprosessen skal gi merverdi i styringen, bør den integreres i virksomhetens øvrige styringsprosesser.

Tidspunktet for gjennomføringen av stegene planlegging, risikovurdering og rapportering i metoden bør derfor tilpasses virksomhetens årlige styringshjul. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering med hensyn til internkontroll tilpasses slik at den gir merverdi til neste års planlegging og arbeidet med virksomhetens årsrapport.

I internkontrollarbeidet vil virksomhetsledelsen støttes av ledere på ulike nivåer og medarbeidere med ulike roller og ansvar, blant annet prosesseiere, en eventuell støttefunksjon for arbeidet med internkontroll, mv. Internkontrollprosessens seks steg kan brukes på alle nivåer i virksomheten.

I gjennomgangen av fundamentet i kapittel 4 og metoden i kapittel 5 henvises det også til relevante verktøy og maler. Disse verktøyene og malene er ment som inspirasjon og hjelp i det konkrete arbeidet med internkontroll og må tilpasses den enkelte virksomhets behov.

3.1 Etabler et fundament for internkontroll

Virksomhetens produkt- og tjenesteleveranser skal oppfylle mål og krav. For at virksomhetsledelsen skal få en tilfredsstillende sikkerhet for måloppnåelse, må ledere på alle nivåer ha god internkontroll innen eget ansvarsområde. Effektiv internkontroll forutsetter at virksomheten har etablert et fundament i form av et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon.

Figur 2: Fundamentet i internkontrollsystemet.
Figur 2: Fundamentet i internkontrollsystemet.

Virksomhetens produkt- og tjenesteleveranser utvikles gjennom ulike prosesser i virksomheten. Prosessene i en virksomhet vil alltid være utsatt for risikoer knyttet til det å nå målsettingen for prosessen. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon bidrar til kvalitet både i og i tilknytning til disse prosessene.

Videre i kapittel 3 beskrives viktige dimensjoner som bør tas hensyn til både i utviklingen av et godt styrings- og kontrollmiljø og i utviklingen av en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten.

Relevante verktøy

Sjekkliste for styrings- og kontrollmiljø
xlsx 91 KB
Sjekkliste for informasjon og kommunikasjon
xlsx 61.8 KB
Veiledning dokumentasjon av etablert internkontroll
docx 618.2 KB
Veiledning – policy for internkontroll
docx 936.12 KB

3.2 Styrings- og kontrollmiljø

Økonomiregelverket inneholder ikke eksplisitte krav til hvordan styrings- og kontrollmiljøet skal utformes, men i bestemmelsene punkt 2.4 er det listet opp flere faktorer som naturlig vil inngå som en del av styrings- og kontrollmiljøet.

3.2.1 Formelt og uformelt miljø må virke sammen

Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser.

Styrings- og kontrollmiljøet består således av både det formelle og det uformelle i virksomheten. Det formelle styrings- og kontrollmiljøet setter de formelle rammene for virksomheten og omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Eksempler er:

  • organisering og fullmaktstrukturer
  • kompetansekrav
  • policyer og prosedyrer som virksomhetens ansatte må forholde seg til

Det uformelle i virksomheten dreier seg om holdninger, integritet, etiske verdier og normer som preger virksomheten, og omtales ofte som virksomhetskulturen.

God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styrings- og kontrollmiljøet i virksomheten. I noen virksomheter overlapper det formelle og det uformelle styrings- og kontrollmiljøet hverandre i stor grad, mens i andre virksomheter er det større avstand mellom dem. En mulig indikator med hensyn til i hvor stor grad formelt og uformelt styrings- og kontrollmiljø overlapper hverandre, kan være i hvilken grad formaliserte systemer, styrende dokumenter, rutiner, mv. etterleves i virksomheten.

3.2.2 Gjelder både leder og medarbeidere

Et godt styrings- og kontrollmiljø innebærer at både ledere og medarbeidere bidrar til at virksomheten når målene sine ved at de utfører arbeidsoppgavene sine effektivt og hensiktsmessig, etterlever lover og regler, samt interne policyer og prosedyrer. Alle medarbeidere i en virksomhet har et ansvar for virksomhetens internkontroll gjennom den rollen de har i gjennomføringen av arbeidsoppgaver og etterlevelse av etablerte standarder og normer i virksomheten. Dette ansvaret innebærer også et ansvar for å informere sin leder om eventuelle problemer med driften mv.

Det er viktig at de ansatte har kunnskap og ferdigheter som gjør dem i stand til å utføre oppgavene sine på en hensiktsmessig og effektiv måte, og at alle ansatte forstår sitt individuelle ansvar for internkontroll. Medarbeidere som forstår sin rolle og mestrer sine arbeidsoppgaver, bidrar til et godt arbeidsmiljø gjennom motivasjon og trivsel.

Ledelsens etiske standard, holdninger og adferd, ofte omtalt som «tonen på toppen», har også stor betydning for styrings- og kontrollmiljøet i virksomheten. «Tonen på toppen» påvirker medarbeidernes evne og vilje til å forstå, gjennomføre og følge opp det som er fastsatt og bestemt av ledelsen. Med sine beslutninger og handlinger viser ledelsen hva som skal vektlegges og prioriteres i virksomheten.

Ledere bør stille krav til internkontrollen og opptre som gode rollemodeller og pådrivere. Lederes engasjement, prioriteringer og tilrettelegging vil ha stor innvirkning på internkontrollarbeidet i virksomheten. Ledere på alle nivåer vil på denne måten kunne bidra til å utvikle styrings- og kontrollmiljøet både innenfor eget ansvarsområde og innenfor virksomheten som helhet.

Et godt styrings- og kontrollmiljø utvikles over tid gjennom riktige holdninger, atferd og en kultur for etterlevelse av fastsatte normer og regler. Styrings- og kontrollmiljøet sier noe om «hvordan vi gjør ting hos oss», hva som er akseptert og ikke, og hva som forventes av ledere og medarbeidere. Varige endringer er bare mulig dersom både holdninger og tenkemåte i virksomheten endres. Et godt styrings- og kontrollmiljø vil følgelig kunne bidra til mindre ressursbruk knyttet til etterkontroller, rapportering og oppfølging fra virksomhetsledelsen.

3.2.3 Dokumentasjon av internkontrollen

Bestemmelsene punkt 2.4 slår fast at virksomhetens ledelse har ansvar for å påse at internkontrollen kan dokumenteres.

Kravet om at internkontrollen skal kunne dokumenteres, omfatter både et krav om at det i nødvendig grad foreligger beskrivelser av etablert internkontroll, og et krav om at selve gjennomføringen kan dokumenteres. Utformingen og omfanget av dokumentasjonen bør, innenfor de rammene som er fastsatt i økonomiregelverket, gjenspeile virksomhetens tilpasninger til risiko, vesentlighet og egenart.

I det følgende gis det eksempler på krav som stilles i økonomiregelverket, knyttet til etablering og dokumentasjon av internkontroll:

  • Departementet skal fastsette instrukser både for departementet og underliggende virksomheter ( bestemmelsene punkt 1.3 ).
  • Virksomheten skal definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde, herunder ansvarsforhold mellom virksomhetsledelsen og øvrig ledelse, eventuelt styre ( punkt 2.2 ).
  • Virksomheten skal etablere systemer og rutiner knyttet til transaksjonskontroller, aggregerte kontroller og etterkontroller, og gjennomførte kontrollaktiviteter skal være dokumentert ( punkt 2.5 ).
  • Virksomheten må ivareta krav knyttet til økonomisystemet ( punkt 4.3 ), lønn og oppgavepliktige ytelser ( punkt 5.2 ), anskaffelser ( punkt 5.3 ) og inntekter ( punkt 5.4 ).
  • Virksomheten må ivareta krav knyttet til internkontroll hos tilskuddsforvalter ( punkt 6.3.8 ) og stønadsforvalter ( punkt 7.3.9 ).

I tillegg til de kravene som er stilt i økonomiregelverket, vil statlige virksomheter være omfattet av andre lover og regler som stiller krav til dokumentasjon av virksomhetens internkontroll.

Dokumentasjon av etablert internkontroll

Effektiv internkontroll forutsetter at ledelsen fastsetter rammer for hvordan virksomheten skal innrettes for at samfunnsoppdraget skal realiseres. Dette innebærer at ledelsen formaliserer og dokumenterer overordnede føringer og prinsipper, samt myndighet, roller og ansvar knyttet til virksomhetskritiske og risikoutsatte områder og prosesser. Slike dokumenter omtales heretter som policyer og tilsvarer det som i økonomiregelverket omtales som virksomhetens instrukser. 

Ledelsen må formalisere og dokumentere hvordan overordnede føringer og prinsipper er operasjonalisert til konkrete prosesser, aktiviteter og kontroller som setter standarden for hvordan oppgaveutførelsen i virksomheten skal være. Slike dokumenter omtales heretter som prosedyrer og tilsvarer det som i økonomiregelverket omtales som rutiner.

Policyer og prosedyrer inngår som del av virksomhetens styrende dokumenter, og vil også utgjøre en viktig del av virksomhetens dokumentasjon av etablert internkontroll. Hvilke dokumenter det er behov for, hvor mange nivåer det legges opp til, og hvilke benevnelser virksomheten ønsker å benytte, vil variere. Dette er spørsmål det er opp til ledelsen i den enkelte virksomhet å avgjøre. Struktur og omfang på virksomhetens dokumenter må tilpasses den enkelte virksomhets egenart, risiko og vesentlighet.

Dokumentasjonen bør gi en sammenhengende, oversiktlig og forståelig fremstilling av standarder og krav for oppgaveutførelsen i virksomheten. En enhetlig struktur i henholdsvis policyer og prosedyrer er viktig for at dokumentenes innhold skal bli fremstilt på en strukturert og systematisk måte. En standard mal for innholdet i dokumentene bidrar til kvalitet og letter arbeidet med utforming og ajourhold. Samtidig vil sannsynligheten for etterlevelse øke når innholdet er tilgjengeliggjort på en brukervennligmåte gjennom en strukturert og oversiktlig mal. 

Det bør være en direkte vertikal sammenheng fra mål og krav gjennom policyer og ned til prosedyrer på de ulike områdene. I en god struktur vil derfor overordnede dokumenter (eksempelvis en policy) ha tydelige «pekere» ned til underliggende prosedyrer, og omvendt. Dette legger samtidig til rette for at policyer og prosedyrer ses i sammenheng og utgjør en helhet.

Det bør være en sammenheng mellom styringsdokumenter fra overordnet departement og dokumenter som beskriver etablert internkontroll, da styringsdokumenter som eksempelvis instruks for økonomi- og virksomhetsstyring og tildelingsbrev fra overordnet departement til virksomhet vil kunne gi føringer for innholdet i virksomhetens policyer og prosedyrer.

I eksempelet i figur 3 består dokumentasjon av etablert internkontroll av to nivåer, henholdsvis policyer og prosedyrer. I tillegg vises det at det må være en sammenheng mellom forutsetninger og krav gitt av overordnet departementet og fastsatte policyer og prosedyrer i virksomheten.

Figur 3: Eksempel på dokumentasjon av etablert internkontroll.
Figur 3: Eksempel på dokumentasjon av etablert internkontroll.

Dokumentasjon av gjennomført internkontroll

I tillegg til dokumentasjon av etablert internkontroll i form av policyer og prosedyrer, vil dokumentasjon av internkontrollen også inkludere dokumentasjon av gjennomførte kontroller og oppfølging.

Økonomiregelverket stiller konkrete krav til gjennomføring og dokumentasjon av internkontroll knyttet til økonomiske transaksjoner, herunder transaksjonskontroller, aggregerte kontroller og etterkontroller. Økonomiregelverket inneholder også krav til hva som skal dokumenteres, og krav til oppbevaring av dokumentasjonen. Virksomhetens krav til dokumentasjonen og hvor denne skal oppbevares, bør være beskrevet i prosedyrene. Policyer, prosedyrer, dokumentasjon av gjennomførte kontrollaktiviteter og oppfølging av kontroller vil til sammen utgjøre dokumentasjonen av internkontrollen i virksomheten.

3.2.4 Organisering av internkontrollarbeidet

Det er virksomhetens ledelse som har ansvar for internkontrollen i virksomheten, og som formelt bestemmer og fastsetter hvordan internkontrollarbeidet skal gjennomføres og organiseres. I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med internkontroll, vil avhenge av hvordan den enkelte virksomhet beslutter å organisere arbeidet med internkontrollen.

I praksis vil det være hensiktsmessig at øverste leder formaliserer internkontrollansvaret til linjeledere på ulike nivåer. En slik formalisering av roller og ansvar knyttet til internkontroll kan nedfelles i en policy for internkontroll. Det forventes at ledere på lavere nivåer ivaretar ansvaret for internkontroll i alle prosesser og aktiviteter innenfor eget ansvarsområde. 

Lederen har også ansvar for at medarbeiderne har tilstrekkelig kompetanse og kunnskap om de policyene og prosedyrene som er relevante for deres arbeidsoppgaver. Ansvaret innebærer blant annet å påse at avvik, feil og mangler blir håndtert på en tilfredsstillende måte, og å legge til rette for kontinuerlig forbedring og læring.

DFØ erfarer at det kan være krevende å utvikle og ajourholde effektiv internkontroll tilpasset risiko, vesentlighet og egenart. Erfaringen viser at mange virksomheter derfor velger å opprette en egen funksjon/rolle med fagansvar for internkontroll som støtter ledelsen og tilrettelegger for kontinuitet og en helhetlig tilnærming i virksomhetens arbeid med internkontroll. Les mer i DFØ-rapport 2009:4 Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging. 

DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som kan støtte ledelsen og tilrettelegge for en enhetlig og helhetlig tilnærming i virksomhetens arbeid med internkontroll. Hvilken ressursandel som avsettes, må vurderes ut fra virksomhetens størrelse og kompleksitet. Selv om det å opprette en slik funksjon/rolle krever ressurser, vil det samtidig frigjøre ressurser hos ledelsen blant annet ved å bidra til en mer helhetlig og strukturert tilnærming i internkontrollarbeidet. 

Det understrekes imidlertid at linjeledelsen har ansvaret for internkontroll, selv om virksomheten velger å organisere arbeidet gjennom å etablere en slik funksjon/rolle. Virksomheten bør vurdere å opprette en slik funksjon/rolle uavhengig av om virksomheten har, eller vurderer å etablere en internrevisjonsfunksjon. Les mer i DFØs veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon

Eksempler på oppgaver som kan legges til en funksjon/rolle med fagansvar for internkontroll er å

  • bistå ledelsen med å sørge for struktur og helhet i internkontrollarbeidet, gjennom blant annet å bistå med utvikling av maler og metoder
  • bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet med etablering og forbedring av internkontrollsystemet
  • bistå ledelsen i gjennomføringen av risikovurderinger
  • være en støttespiller i arbeidet med operasjonalisering av internkontrollen, blant annet utarbeide opplæringsmateriell og sørge for opplæring av ledere og ansatte
  • bidra til å bygge opp under en kultur for internkontroll – «slik gjør vi det hos oss»
  • bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv.

Førstelinje-, andrelinje- og tredjelinjeforsvar

Rollene og ansvaret knyttet til internkontroll, blir ofte omtalt som førstelinje-, andrelinje- og tredjelinjeforsvar. Førstelinjen omfatter ansatte og ledere som har et ansvar for internkontroll innenfor sine respektive områder. 

Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen i førstelinjen. I tillegg kan virksomheten velge å opprette en tredjelinje, eksempelvis i form av en internrevisjonsfunksjon. Internkontroll som er etablert og gjennomføres i de ulike forsvarslinjene, reduserer den risikoen virksomheten i utgangspunktet er eksponert for (iboende risiko) til et lavere nivå (gjenværende risiko). Det er illustrert i figuren under. 

Riksrevisjonen og andre eksterne kontrollorganers plass i styrings- og kontrollsystemet er også synliggjort i figuren som en fjerdelinje. Disse er viktige elementer i helheten, men er ikke noe som inngår i virksomhetens interne styrings- og kontrollsystem.

Figur 4: Modell med tre forsvarslinjer.
Figur 4: Modell med tre forsvarslinjer.
Mer forklaring av figuren

Førstelinje (daglig styring og kontroll: Førstelinjen omfatter medarbeider og ledere i linjen. Medarbeidere har et løpende ansvar for å gjennomfør etablert internkontroll gjennom sine daglige arbeidsoppgaver. Ledelsen har ansvar for å utforme, gjennomføre og følge opp internkontroll innenfor sitt ansvarsområde, eksempelvis utforme fullmaktsstrukturer, policyer og prosedyrer, følge opp styringsparametere, kvalitetssikring, utføre stikkprøver, mv. 

Andrelinje (oppfølging og rapportering): Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen av internkontroll som utføres av medarbeidere og ledere i førstelinjen. Andrelinjen kan eksempelvis bestå av controllere eller andre med kvalitets-, og fag-, risikostyrings- og/eller internkontrollansvar. Andrelinjekontroller kan skje i form av blant annet analyser av risikoer og resultater, kvalitetsgjennomganger, evalueringer, oppfølging av at policyer og prosedyrer, samt lover og regler blir etterlevd. 

Tredjelinje (uavhengig vurdering, testing og kontroll): Tredjelinjen omfatter en funksjon uavhengig av linjen, typisk en internrevisjonsfunksjon eller annen uavhengig part. Et tredjelinjeansvar innebærer å vurdere om hele eller deler av internkontrollsystemet er tilstrekkelig, hensiktsmessig og fungerer eller forutsetningene. Denne instansen bør rapporter til øverste virksomhetsledelse eller til styret for de virksomhetene som har dette. 

3.3 Informasjon og kommunikasjon

Av bestemmelsene punkt 2.3.2 fremgår det at «Det må etableres løpende informasjons- og kommunikasjonsrutiner for rapportering og gjennomføring av planer».

God kvalitet i informasjons- og kommunikasjonsflyten både horisontalt og vertikalt i virksomheten er avgjørende for virksomhetens evne til å oppfylle mål og krav. Velfungerende informasjons- og kommunikasjonsflyt satt i system er således en forutsetning for å kunne styre og kontrollere. Dette omfatter både den formelle informasjonen, som inkluderer styringsinformasjon, og den mer uformelle dialogen, som skjer både i linjen og på tvers av den formelle organisasjonsstrukturen.

Informasjons- og kommunikasjonsflyt bør i størst mulig grad være integrert i virksomhetens styring og drift. Dette vil sikre at nødvendig informasjon identifiseres, håndteres og rapporteres til riktig tid og til riktig nivå, og for å sikre at ledere og medarbeidere gjøres kjent med og forstår hvilket ansvar de har, og hva som må gjøres.

For enkelte virksomheter vil det i tillegg til å etablere en god intern informasjons- og kommunikasjonsflyt være hensiktsmessig å etablere eksterne informasjons- og kommunikasjonskanaler og arenaer som tillater innspill fra brukere, samarbeidspartnere, leverandører, myndigheter og andre. Ledelsen i den enkelte virksomhet må tilpasse omfanget og utformingen av informasjonskanaler og -systemer ut fra hva som er nødvendig for å styre og kontrollere virksomheten.

For at informasjonen som innhentes skal bidra til god styring, og være nyttig og egnet til bruk i oppfølging, læring og forbedring, må den være relevant, pålitelig, rettidig og tilstrekkelig. God internkontroll er således avgjørende for å sikre informasjonens kvalitet, og god informasjon og kommunikasjon er viktig for å sikre effektiv internkontroll.

Hvordan utføre internkontroll?

Virksomhetens internkontroll må løpende tilpasses endrede forutsetninger og risikoer. Det er derfor viktig å innrette arbeidet med internkontroll på en strukturert og systematisk måte og se dette arbeidet i sammenheng med øvrig arbeid med læring og forbedring i virksomheten.

Metoden i seks steg, som illustrert i figur 5, legger til rette for dette.

Figur 5: Internkontrollprosessen – en strukturert metode i internkontrollsystemet.
Figur 5: Internkontrollprosessen – en strukturert metode i internkontrollsystemet.

Det er viktig å merke seg at selv om internkontrollprosessen beskrives som en prosess i seks steg, vil flere av stegene kunne overlappe hverandre i tid og gjennomføres ikke nødvendigvis i en stringent rekkefølge. Eksempelvis må planlegging og risikovurdering ses i nær sammenheng.

Det vil også være situasjoner hvor det ikke er behov for å utforme og implementere nye tiltak. I slike tilfeller vil stegene utforming og implementering ikke være aktuelle.

En strukturert metode for virksomhetens arbeid med etablering og forbedring av internkontroll, fordrer at det på virksomhetsnivå er etablert en årlig internkontrollprosess.

For at virksomhetsledelsen skal få et grunnlag for vurdering og prioritering av virksomhetens samlede internkontroll, bør internkontrollprosessen i tillegg gjennomføres på ulike nivåer, områder og prosesser i virksomheten, og disse må ses i sammenheng. Metoden som er omtalt i dette kapittelet, legger til rette for en strukturert og systematisk, enhetlig og helhetlig tilnærming til arbeidet med internkontroll.

4.1 Planlegging

Planlegging innebærer å fastsette rammer og ressurser for arbeidet med internkontroll.

Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og overordnet status, det vil si ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurdering.

Figur 6 Internkontrollprosessen, planlegging.
Figur 6: Internkontrollprosessen – planlegging.

4.1.1 Ambisjonsnivå og overordnet status for internkontrollen

Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontrollsystem. Ambisjonsnivået må tilpasses virksomhetens risiko, vesentlighet og egenart. Selv om virksomheter i utgangspunktet skal ha styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder og prosesser. 

Det er i den forbindelse viktig at virksomhetsledelsen etablerer en felles oppfatning av ønsket balanse mellom det å ha kontroll og det å ta risiko. Basert på disse vurderingene må virksomhetsleder definere virksomhetens risikotoleranse. Les mer i metodedokumentet «Risikostyring i staten»

Økonomiregelverkets krav og føringer knyttet til intern- kontroll sammenholdt med de generelle kravene og føringene som gis i COSO og andre anerkjente rammeverk, viser at det er flere faktorer som er relevante å vurdere når virksomhetens ambisjon knyttet til internkontroll skal fastsettes.

Nedenfor er det listet opp syv kjennetegn på effektiv internkontroll som virksomheter bør tilstrebe å oppnå. Ambisjonsnivået med hensyn til det enkelte kjennetegn vil variere med virksomhetens risiko, vesentlighet og egenart. Gjennom å drøfte og ta stilling til i hvilken grad virksomhetens internkontroll bør preges av disse kjennetegnene, vil virksomheten ha et grunnlag for å sette ambisjonsnivået for internkontrollen.

Kjennetegn på effektiv internkontroll

Ledelsesforankret

Ledelsen viser et tydelig engasjement og ansvar for styring og kontroll gjennom å prioritere ressurser og fastsette ambisjoner og rammer for internkontrollen som understøtter behovet for og kravene til internkontroll som er tilpasset virksomheten. Ledelsen bidrar til å utvikle et godt styrings- og kontrollmiljø ved å gå foran som et godt eksempel.

Tilpasset virksomhetens egenart, risiko og vesentlighet

Omfanget av og innretningen på internkontrollen baseres på en vurdering av risiko og vesentlighet og tilpasses virksomhetens egenart. Internkontrollen dimensjoneres ut fra en vurdering av kost–nytte.

Tydeliggjort ansvar, myndighet og roller

Ansvar, myndighet og roller er tydelig definert slik at alle ledere og medarbeidere kjenner og forstår sine ansvars- og myndighetsområder. Det er tydelig hvem som har ansvar for hva og når.

Integrert i virksomhetens styring, prosesser og aktiviteter

Internkontrollen integreres i virksomhetens styring og drift og er i størst mulig grad innebygd i prosesser og aktiviteter.

Formalisert og dokumentert, kommunisert og tilgjengeliggjort

Innretningen på, omfanget av og kravene til utførelsen av internkontrollen er fastsatt, og dette er dokumentert, kommunisert og tilgjengeliggjort. Gjennomførte tiltak dokumenteres i nødvendig grad og på en måte som gjør det mulig både å følge opp og å etterprøve tiltakene.

Etterlevd og systematisk fulgt opp

Fastsatt internkontroll blir etterlevd og systematisk fulgt opp, vedlikeholdt og videreutviklet slik at den gir ønsket effekt.

Enhetlig og helhetlig

Internkontrollen standardiseres og har samme struktur og utforming på tvers av virksomheten der det er mulig (like ting gjøres likt). Internkontrollen på ulike områder og nivåer ses i sammenheng og utgjør en helhet.

I vurderingen av hvordan statusen på internkontrollen i den enkelte virksomhet er, vil ledelsen blant annet legge til grunn den kunnskapen den besitter på bakgrunn av informasjon fra tidligere år.

Eksempel på kilder kan være:

  • oppfølging/testing av etterlevelse og effekt av tiltak mv.
  • informasjon fra avvikssystemer og varslingskanaler
  • tidligere gjennomførte risiko- og vesentlighetsvurderinger
  • tidligere revisjoner, både rapporter fra Riksrevisjonen og eventuelt internrevisjon
  • tilsynsrapporter og pålegg fra tilsynsmyndigheter
  • intern rapportering på hvor godt internkontrollen fungerer, eksempelvis lederbekreftelser
  • øvrige kjente feil og svakheter i virksomhetens internkontroll

Virksomhetsledelsen bør gjennomføre en selvstendig vurdering av samlet status på internkontrollen. Det kan for eksempel gjøres ved å gjennomføre egenevalueringer og/eller modenhetsvurderinger. 

Det bør vurderes om det kan være hensiktsmessig at egenevalueringer blir utført på ulike nivåer i virksomheten. På denne måten kan ledere på alle nivåer få et bilde av status på internkontrollen innenfor eget ansvarsområde, og det vil være mulig å sammenligne mellom nivåer. Hvis det er stort avvik mellom de konklusjonene virksomhetsledelsen og ledere på lavere nivåer kommer frem til, kan dette gi nyttig informasjon om variasjoner og utfordringer som bør vurderes i arbeidet med internkontroll.

Når både ambisjonsnivå og status er klargjort, kan ledelsen gjennom en gap-analyse identifisere områder som krever spesiell oppmerksomhet og prioritet i internkontrollarbeidet.

4.1.2 Rammer og ressurser for internkontrollarbeidet

Ledelsen bør, med bakgrunn i gap-analysen, gjennomføre prioriteringer og fastsette rammer for internkontrollarbeidet. Virksomheten bør løpende eller minst én gang i året ta stilling til om det er behov for større gjennomganger av hele eller deler av internkontrollen, om det skal nedsettes prosjekter, eller om det er tilstrekkelig at arbeidet skjer som en del av den ordinære aktiviteten i linjen. Større tiltak og prosjekter bør inkluderes i virksomhetens planer. På den måten forankres og tydeliggjøres også ledelsens prioriteringer og holdning til arbeidet med internkontroll.

Som et resultat av ledelsens prioriteringer og rammer bør det defineres hvem som har ansvar for hva i internkontrollarbeidet, og når ulike aktiviteter skal skje. Ansvarsplassering må ses i sammenheng med valgt organisering og fullmaktsstruktur i virksomheten. Det kan være nødvendig å avklare forhold knyttet til ansvar og rolle for spesifikke aktiviteter eller tiltak som ledelsen har identifisert i planleggingssteget, og som ikke ligger i de etablerte ansvarsstrukturene.

Det vil også være hensiktsmessig at ledelsen som en del av den årlige planprosessen i virksomheten tar stilling til både hvor mye og hvilke ressurser som bør settes av til arbeidet med å etablere og forbedre virksomhetens internkontroll. Dette gjelder ressurser både i form av kompetanse og medarbeidere, og i form av eventuelle budsjettmessige allokeringer, eksempelvis til å gjennomføre kurs, mv.

Dersom ledelsen har etablert en rolle eller funksjon som skal ha et særskilt ansvar for å støtte, tilrettelegge og fungere som pådriver i internkontrollarbeidet, vil det være naturlig at ledelsen som en del av planleggingssteget godkjenner denne funksjonens plan for årets aktiviteter. Det er også viktig at ledelsen, som et ledd i sin planlegging, fastsetter på hvilke ledermøter internkontroll skal behandles og følges opp.

Det vil være nødvendig å se den endelige planleggingen av rammer og internkontrollressurser i sammenheng med risikovurderinger for det enkelte år.

4.1.3 Oppsummering

I planleggingssteget avklares og forankres ledelsens prioriteringer og rammer for internkontrollarbeidet. Dette innebærer at roller og ansvar tydeliggjøres, at det gjøres en ressursallokering og at tidsplaner, frister og rapporteringspunkter konkretiseres. 

Planleggingen skjer på bakgrunn av en vurdering av status sett opp mot ambisjonsnivået for internkontrollen. Planleggingen må ses i nær sammenheng med neste steg, risikovurdering. Dette innebærer at resultatet fra risikovurderinger må foreligge før ledelsen kan fastsette endelige prioriteringer og rammer for internkontrollarbeidet.

Relevante verktøy i planleggingsfasen:

Egenevaluering av internkontrollen
xlsx 479.83 KB

4.2 Risikovurdering

Risikovurdering innebærer å identifisere risikoer som kan true oppfyllelsen av virksomhetens mål og krav, herunder de tre internkontrollmålsettingene.

Med bakgrunn i mål og krav kan virksomheten beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. Videre vil risikovurderinger gi grunnlag for å vurdere behovet for forbedringer i form av tiltak og prioritere hva som bør følges opp. Risikovurderinger er derfor et nyttig verktøy for å få til en risikobasert internkontroll, og vil gi nyttig input til planleggingsarbeidet som er omtalt i forrige steg.

Figur 7: Internkontrollprosessen – risikovurdering.
Figur 7: Internkontrollprosessen – risikovurdering.

4.2.1 Etablere et grunnlag for risikovurderingen

Gode risikovurderinger forutsetter at ledelsen har oversikt over hvilke mål og krav som stilles til virksomheten.

Mål og krav fremkommer blant annet i overordnede styringsdokumenter som Prop. 1 S, tildelingsbrev, instruks for økonomi- og virksomhetsstyring fra departement til virksomhet og internt fastsatte styringsdokumenter som eksempelvis strategi, virksomhetsplan og/eller virksomhetsavtale mellom virksomhetsleder og ledere på underliggende nivåer.

Virksomheten må også forholde seg til krav som gis gjennom lover og regler, forskrifter og internt fastsatte policyer og prosedyrer. Videre må virksomheten forholde seg til ulike eksterne og interne rapporteringskrav. På virksomhetsnivå vil det være naturlig med en årlig gjennomgang av overordnede mål og krav for å identifisere om det har skjedd endringer fra tidligere år, og for å definere grunnlaget for risikovurderingene. 

Denne gjennomgangen vil gjerne skje som et ledd i den ordinære planprosessen i virksomheten, og den vil inngå som en del av forberedelsene til den overordnede risikovurderingen. Virksomhetens risikovurderinger og risikotoleranse vil i den forbindelse også kunne være gjenstand for dialog mellom departement og underliggende virksomhet gjennom etatsstyringsdialogen.

De målene og kravene som gjelder for virksomheten som helhet, må i nødvendig grad operasjonaliseres og konkretiseres til mål og krav på lavere nivåer, eksempelvis for ulike avdelinger, seksjoner og prosesser. På tilsvarende måte som på virksomhetsnivå vil det være naturlig at ledere på lavere nivåer årlig gjennomgår og oppdaterer mål og krav for eget ansvarsområde. Det vil vanligvis skje som en del av planprosessen for enheten og inngå som en del av forberedelsene til risikovurderinger på eget ansvarsområde.

Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsfordeling i virksomheten. Dette omfatter oversikt over hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og som det derfor er spesielt viktig å prioritere i internkontrollarbeidet, samt hvem som er ansvarlig for prosessene (prosesseiere).

Siden kvaliteten på produkt- og tjenesteleveranser vil være avhengig av effektiv internkontroll både i og i tilknytning til prosessene, bør det, i tillegg til den overordnede risikovurderingen, i prinsippet gjennomføres risikovurderinger av alle vesentlige operative prosesser i virksomheten. Det er virksomhetsledelsen som beslutter hvilke prosesser som er å betrakte som vesentlige i denne sammenheng.

Hvilke momenter som tillegges vekt i en vesentlighetsvurdering kan variere, blant annet på bakgrunn av virksomhetens egenart og ambisjonsnivået for internkontrollen. Aktuelle momenter kan være følgende:

  • I hvor stor grad påvirkes brukerne av feil eller svakheter i prosessen, og hvor mange brukere og hvilke brukergrupper berøres?
  • I hvilken grad vil feil og mangler på det aktuelle området påvirke virksomhetens eller overordnet departements omdømme negativt?
  • I hvor stor grad vil vesentlige systemer påvirkes – gir eventuelle feil og mangler i ett system følgefeil i andre systemer?
  • I hvilken grad er prosessen av en natur som gjør den særlig utsatt for misligheter eller mislighold fra virksomhetens ansatte eller brukere?
  • Hvor stor del av virksomheten vil berøres av feil og mangler knyttet til prosessen?
  • I hvor stor grad får området/ resultatet av prosessen politisk oppmerksomhet?
  • I hvor stor grad behandler prosessen store pengebeløp?

4.2.2 Gjennomføre risikovurderinger

Når det er klart hvilke mål og krav virksomheten har å forholde seg til, kan det gjennomføres risikovurderinger knyttet til disse. I internkontrollsammenheng bør oppmerksomheten også rettes mot risikoer som kan hindre at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler blir oppfylt. 

I praksis innebærer det at ledelsen i sin risikovurdering på virksomhetsnivå også må sørge for at alle disse tre internkontrollmålsettingene ivaretas i vurderingen. Dette innebærer at risikovurderingen på virksomhetsnivå vil ha både en strategisk tilnærming gjennom å vurdere risiko opp mot overordnede mål og krav (gjøre de riktige tingene) og en operasjonell tilnærming gjennom å vurdere risiko ut fra oppfyllelse av de tre internkontrollmålsettingene (gjøre tingene riktig).

Det vil være naturlig at ledelsen ved risikovurderinger på virksomhetsnivå tar i betraktning vurderinger som er gjennomført på lavere nivåer. På denne måten vil risikoer som er synliggjort i risikovurderingen på lavere nivåer gi relevant informasjon til risikovurderingen på virksomhetsnivå.

Etter at ledelsen har gjennomført risikovurdering på virksomhetsnivå, kan resultatet oppsummeres i en samlet oversikt som viser hvilke prosesser som eksponeres for de identifiserte risikoene. En slik oversikt gir et bilde av hvilke prosesser ledelsen bør prioritere i internkontrollarbeidet. På denne måten vil virksomhetsledelsen gjennom risikovurderingen nyansere og supplere sin vurdering av hvilke prosesser og områder som vurderes som mest vesentlige i internkontrollsammenheng.

Figuren over viser et eksempel på styrings-, kjerne-, og støtteprosesser i en virksomhet som forvalter tilskudd. Som figuren viser, kan samme risiko treffe flere prosesser/områder.

Som et ledd i risikovurderingen på virksomhetsnivå bør virksomhetsledelsen derfor vurdere om risikoen er av en slik art at det er mest hensiktsmessig at den håndteres

  • på virksomhetsnivå, for eksempel av virksomhetsledelsen gjennom virksomhetsovergripende tiltak
  • på et lavere nivå, for eksempel av avdelingsleder, seksjonsleder eller prosesseier gjennom tiltak  i eller i tilknytning til prosessen

Føringer som virksomhetsledelsen gir på bakgrunn av sin overordnede risikovurdering, må inngå i prioriteringene for internkontrollarbeidet på lavere nivåer i virksomheten. Det understrekes at selv om virksomhetsledelsen identifiserer områder og prosesser den ønsker at det skal legges særlig vekt på, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. 

Linjeleders ansvar innebærer således å vurdere eventuelle andre prosesser og områder som vedkommende på bakgrunn av egne risiko- og vesentlighetsvurderinger bør prioritere.

Virksomheten bør vurdere å gjennomføre risikovurderinger av alle vesentlige operative prosesser når prosessen etableres første gang, eller når det oppstår hendelser som endrer risikobildet, som tap av nøkkelkompetanse, endringer i IT-systemer, mv. Når virksomhetsledelsen i den overordnede risikovurderingen identifiserer prosesser som eksponeres for vesentlige risikoer, kan det indikere et behov for å gjennomføre risikovurdering ned på den aktuelle prosessen. 

I slike tilfeller vil prosesseiere og/eller ledere på lavere nivåer vanligvis få i oppgave å følge opp ledelsens føringer gjennom å vurdere nærmere hvorvidt etablert internkontroll i og i tilknytning til de utvalgte prosessene er tilfredsstillende.

Som grunnlag for en risikovurdering av operative prosesser er det nyttig å ha en oversikt over:

  • mål for prosessen
  • hvilke aktiviteter som inngår i prosessen
  • hvilke risikoer prosessen er eksponert for
  • hvilke kontroller og øvrige risikoreduserende tiltak som eksisterer

Dersom det ikke foreligger noen slik oversikt, kan det være hensiktsmessig å gjennomføre en prosesskartlegging hvor disse elementene identifiseres og dokumenteres.

En prosesskartlegging gir et godt utgangspunkt for å vurdere risiko og kontroll i den enkelte prosess. En slik kartlegging gir også et grunnlag for å vurdere behovet for forbedringer, herunder grunnlag for å identifisere manglende, overflødige og/eller overlappende kontroller i prosessen. Prosesskartlegging kan gjøres enkelt og overordnet, men også detaljert og mer omfattende, avhengig av behov. 

Prosesskartleggingen kan dokumenteres i en visuell oppstilling, som vist i eksempelet nedenfor. Oversikten vil også tjene som dokumentasjon av etablert internkontroll.

Figur 9: Eksempel på prosesskart som viser risikoer (R) og kontroller (K), herunder en overflødig kontroll og manglende kontroller illustrert ved de to sirklene.
Figur 9: Eksempel på prosesskart som viser risikoer (R) og kontroller (K), herunder en overflødig kontroll og manglende kontroller illustrert ved de to sirklene.

4.2.3 Vurdere behov for tiltak og/eller oppfølging

Risikovurderinger vil, uavhengig av hvilket nivå de er gjennomført på, lede til ulike typer beslutninger om hvordan gjenværende risiko bør håndteres. I prinsippet har ledelsen fire valg med hensyn til å håndtere risiko, nemlig å

  • akseptere risikoen
  • dele risikoen
  • unngå risikoen
  • redusere risikoen

I mange tilfeller vil statlige virksomheter ikke kunne velge verken å dele eller å unngå risikoen, siden produkt-/tjenesteområder og tilhørende mål og krav er fastsatt som en del av samfunnsoppdraget. I praksis vil det derfor som oftest være mest aktuelt å redusere risikoen, forutsatt at risikoen ikke kan aksepteres.

Når tiltak skal vurderes, må det besluttes hvem som er risikoeier, og som i kraft av denne rollen gis ansvar for å identifisere, vurdere og prioritere aktuelle tiltak som kan håndtere risikoen. Det må også avklares om risikoeier har myndighet til å beslutte tiltak, eller om beslutningen må løftes til et høyere nivå. Ofte vil risikoeier være prosesseier eller linjeleder, men virksomhetsledelsen kan også være risikoeier. Sistnevnte gjelder gjerne for risikoer med virksomhetsovergripende karakter.

Virksomhetsledelsen vil ofte ha oppmerksomheten rettet mot risikoer som har både høy sannsynlighet og høy konsekvens, siden dette er risikoer som åpenbart har et stort behov for kontroll. I internkontrollsammenheng er det viktig å være oppmerksom på at ledelsen også må vektlegge områder og prosesser hvor sannsynligheten for at risikoer inntreffer, er lav, men hvor risikoer kan få alvorlige konsekvenser hvis de først inntreffer. 

Når sannsynligheten vurderes som lav fordi virksomheten allerede har etablert betydelige risikoreduserende tiltak, er det viktig at ledelsen prioriterer å følge opp internkontrollen i disse prosessene/områdene særskilt. Dette fordi konsekvensen av svikt i internkontrollen kan være alvorlig for virksomhetens evne til å oppfylle mål og krav, eksempelvis i form av alvorlige feil i myndighetsutøvelsen, svikt i kritisk tjenesteproduksjon, mv.

Det vil også være områder hvor sannsynligheten for at risikoen slår inn er lav, fordi negative hendelser forventes å forekomme svært sjelden. Eksempler kan være alvorlige ulykker, korrupsjon/ misligheter, pandemier, mv. For flere av disse områdene er det fastsatt egne krav til utarbeidelse av risikovurderinger og internkontroll gjennom lov- og regelverk, og disse områdene må også gis oppmerksomhet i oppfølgingen. 

Hvilke områder som tilhører denne kategorien, vil imidlertid variere med virksomhetens egenart. Det vil for eksempel i enkelte virksomheter være behov for å utarbeide risikoanalyser med særlig vekt på risiko og sårbarhet, såkalte ROS-analyser. 

Figuren nedenfor viser hvordan kontrollbehovet varierer ut fra hvor i risikomatrisen risikoen vurderes å være. Den røde stjernen nederst til høyre i figuren poengterer et behov for kontrollopplegg også for risikoer som har lav sannsynlighet når konsekvensen, dersom risikoen slår inn, er svært alvorlig.

Figur 10: Risikomatrise som viser hvor det er behov for kontroll.
Figur 10: Risikomatrise som viser hvor det er behov for kontroll.

Generelt vil risikoer som betegnes som gule, oransje eller røde, indikere et forbedringsbehov. Hva som anses som gult, oransje eller rødt, er avhengig av virksomhetens risikotoleranse. 

Risikoeier vil ha ansvar for å identifisere og prioritere tiltak som er effektive i forhold til den risikoen som skal håndteres. Ofte vil det være nødvendig å gjøre nærmere undersøkelser eller analyser for å få opp alternativer og for å sikre at tiltakene som foreslås, er de som håndterer risikoen best også ut fra et kost–nytte-perspektiv. Arbeidet med å identifisere, vurdere, prioritere og beslutte aktuelle tiltak omtales i kapittel 4.3 Utforming.

På overordnet nivå, lavere nivå og i de operative prosessene vil det eksistere en rekke risikoer som virksomheten ønsker å ha kontroll over, men hvor det ikke er behov for forbedringer eller ytterligere tiltak for å håndtere risikoen ettersom dagens kontrolltiltak anses som tilstrekkelige. Enkelte av disse risikoene vil av virksomheten bli vurdert som risikoer det er mer kritisk å ha kontroll på enn andre.

Kontroller som håndterer viktige eller kritiske risikoer, blir ofte kalt nøkkelkontroller. Nøkkelkontrollene har ofte én eller begge av følgende kjennetegn:

  • En nøkkelkontroll som svikter, kan i vesentlig grad påvirke virksomhetens evne til å oppfylle mål og krav (virksomhetsspesifikke målsettinger og internkontrollmålsettinger).
  • Gjennomføringen av nøkkelkontroller kan forhindre andre kontrollsvakheter eller påvise slike svakheter før de får en vesentlig betydning for virksomhetens målsettinger.

Kontrollene som defineres som nøkkelkontroller, er kontroller som det er viktig at virksomheten konsentrerer seg spesielt om i sin oppfølging av internkontrollen. For noen risikoer kan det være aktuelt å utarbeide styringsparametere, slik at det er mulig å overvåke utviklingen og følge opp om etablert internkontroll har ønsket effekt. For andre risikoer kan det være aktuelt å teste og ta stikkprøver for å verifisere at rutiner og kontroller gjennomføres som forutsatt. Ledelsen kan også vurdere om det er behov for å gjennomgå/evaluere utvalgte områder eller prosesser. Oppfølging av internkontrollen omtales nærmere i kapittel 4.5 Oppfølging.

4.2.4 Oppsummering

Etter at risikovurderinger er gjennomført, har ledelsen på ulike nivåer i virksomheten oversikt over virksomhetens viktigste risikoer og hvilke områder og prosesser virksomheten må ha særskilt kontroll på. Disse områdene og prosessene bør prioriteres i internkontrollarbeidet. Risikovurderinger gir dessuten oversikt over hvordan identifiserte risikoer er håndtert, og om det er behov for å forbedre internkontrollen. 

Risikovurderingen gir også grunnlag for å identifisere behovet for oppfølging av etablert internkontroll på kritiske områder. Etter at risikovurderingen er gjennomført, må ledelsen vurdere om det er behov for å justere de beslutningene som er tatt i planleggingssteget, for eksempel vurdere om det er behov for å justere ressursallokeringen knyttet til internkontrollarbeidet.

Relevante verktøy knyttet til risikovurdering:

Idebank oversikt over lover og regler
xlsx 80.79 KB
Idebank mål risiko og kontroll
xlsx 71.69 KB
Risikovurderingsverktøy i 4-fargersskala
xlsx 747.83 KB
Veiledning prosesskartlegging
docx 502.27 KB

4.3 Utforming

Å utforme tiltak innebærer å identifisere aktuelle tiltak som kan redusere den aktuelle risikoen, og å vurdere og prioritere disse ut fra en kost–nytte-vurdering.

Når et tiltak er valgt, må det utformes og beskrives. Å utforme et tiltak kan innebære både å utforme nye tiltak og å forbedre eksisterende tiltak.

Å utforme og oppdatere tiltak vil være en aktivitet som utføres på ulike nivåer i virksomheten. På virksomhetsnivå vil behovet for å utforme/ oppdatere tiltak ofte identifiseres i tilknytning til den overordnede risikovurderingen. På lavere nivåer vil behovet for å utforme og oppdatere tiltak fremkomme som et resultat av risikovurderinger på avdelings- og/eller seksjonsnivå.

Figur 11: Internkontrollprosessen – utforming.
Figur 11: Internkontrollprosessen – utforming.

For den enkelte prosess vil behovet for å utforme eller oppdatere ulike typer tiltak gjerne identifiseres i forbindelse med periodiske risikovurderinger og
gjennomganger av vesentlige prosesser, og i forbindelse med etablering av nye prosesser. 

Prosesskartlegging kan også være et nyttig verktøy når ulike tiltak skal vurderes.

Det er ledelsen som beslutter hvordan arbeidet med å utforme tiltak skal skje. Ved større tiltak kan det være behov for å nedsette prosjekter, arbeidsgrupper eller lignende, men arbeidet kan også legges direkte som en oppgave i linjen. Ved større tiltak vil det være hensiktsmessig å nedfelle mer formaliserte rammer for arbeidet i en godkjent plan. Hvor formelt dette gjøres, må tilpasses tiltakets omfang og kompleksitet. Eksempelvis vil det å utforme et nytt IKT-system kreve mer formelle rammer for arbeidet enn det å utforme nye avstemmingsrutiner eller utbedrede godkjenningsprosedyrer.

Generelt og uavhengig av hvor og på hvilket nivå i virksomheten utforming og oppdatering av risikoreduserende tiltak skjer, vil arbeidet foregå i tre trinn:

  1. Identifisere aktuelle tiltak
  2. Vurdere, prioritere og beslutte tiltak
  3. Utforme og dokumentere besluttede tiltak

4.3.1 Identifisere aktuelle tiltak

Når gjenværende risiko er vurdert til å være for høy, det vil si utenfor virksomhetens risikotoleranse, kan det skyldes flere forhold. Det er derfor viktig at virksomheten ikke trekker forhastede slutninger om hva som kan være aktuelle og relevante tiltak for å håndtere risikoen. For at tiltaket skal være effektivt, må det håndtere kjernen i problemet, det vil si den opprinnelige årsaken til risikoen.

For risikoer der årsaksbildet er komplekst eller uklart, kan det være aktuelt å gjøre en nærmere analyse, slik at rotårsaken1 til problemet eller risikoen identifiseres. 

Erfaringsvis kan det være hensiktsmessig å involvere personer som utfører aktiviteten eller på annen måte er involvert i prosessen, når rotårsaken skal analyseres. Det kommer av at disse personene ofte kjenner området best, og derfor har best grunnlag for å komme opp med både risikoer, sannsynlige årsakssammenhenger, mangler ved eksisterende tiltak og forslag til nye tiltak.

Tiltak favner vidt og kan omfatte alt fra utvikling og forbedring av organisasjons- og ledelseskulturen i virksomheten, til virksomhetsovergripende kontroller eller konkrete kontrollaktiviteter i en prosess, for eksempel:

  • kompetanseplaner og kompetanseutvikling
  • fordeling av roller og ansvar, eksempelvis disponeringsmyndighet
  • policyer og prosedyrer
  • kontroll av fullstendighet og korrekthet i data
  • IT generelle kontroller, eksempelvis tilgangs- og endringskontroll
  • arbeidsdeling og sidemannskontroll

Når det skal tas stilling til mulige tiltak, bør det vurderes hva som er hensiktsmessige typer av tiltak ut fra hva som er formålet med tiltaket. Det finnes mange ulike typer av tiltak. Noen tiltak har som formål å forhindre at feil inntreffer (forebyggende/preventive), mens andre har som formål å avdekke feil slik at disse kan korrigeres (avdekkende/oppdagende).

Uavhengig av om tiltak er forebyggende eller avdekkende, kan tiltak grupperes i ulike kategorier. En mulig måte å gruppere eller kategorisere ulike typer tiltak på er å skille mellom tiltak som er overvåkende, tiltak som er generelle/virksomhetsgjennomgripende, og tiltak som er spesifikke. Ofte omtales tiltak i internkontrollsammenheng som kontroller og/eller kontrollaktiviteter. 

Overvåkende kontroller har som formål å sikre at fastsatte kontrollaktiviteter av ulikt slag gjennomføres som forutsatt, eksempelvis stikkprøvekontroll av at kontroller i prosessene gjennomføres som beskrevet i prosedyrer e.l. Generelle kontroller (også kalt virksomhetsovergripende kontroller) omfatter hele virksomheten og har som formål å sikre enhetlighet og helhet på tvers av prosesser. Slike kontroller inkluderer blant annet fullmakter og etiske retningslinjer. 

En annen gruppe av tiltak er spesifikke kontroller, som utgjør kontrollaktiviteter i prosessene som har som formål å forebygge, avdekke eller korrigerer feil og avvik i prosessene. Slike kontroller inkluderer blant annet bank- avstemminger og sidemannskontroll ved saksbehandling mv.

Når aktuelle tiltak skal identifiseres, må det gjøres ut fra hva som er mulig eller hensiktsmessig i den aktuelle prosessen. For prosesser som støttes av IT-systemer, for eksempel et saksbehandlingssystem, vil det være mulig å bygge inn automatiserte kontroller, som gyldighetskontroller for data som registreres. I andre tilfeller kan det være mest hensiktsmessig å bygge inn manuelle kontroller, som sidemannskontroller.

Risikovurderingen gir viktige innspill som er av betydning for vurderingen av hva som vil være aktuelle og egnede risikoreduserende tiltak. Det er likevel viktig å være oppmerksom på at ikke alle tiltak vil ha eksplisitt opphav i en risikovurdering. Økonomiregelverket stiller for eksempel flere eksplisitte krav til kontroller knyttet til regnskapsføring, anskaffelser, mv. Tilsvarende stilles det også krav gjennom annet lov- og regelverk. Eksempelvis vil rutinene for en regnskapsprosess bidra til å redusere risiko, men flere av kontrollene vil likevel ha sitt utspring i konkrete krav som fremgår av lover og regler.

Internt og eksternt fastsatte rapporteringskrav vil også kunne gi opphav til ulike typer kontrolltiltak som skal sikre kvalitet og pålitelighet i rapporterte data. Dessuten vil det kunne oppstå avvik og feil som må håndteres umiddelbart via ulike former for risikoreduserende tiltak.

4.3.2 Vurdere, prioritere og beslutte tiltak

Det er viktig at beslutninger om hvilke tiltak som skal iverksettes, fattes på riktig nivå i virksomheten og av personer som har myndighet til å fatte slike beslutninger. Noen beslutninger må fattes på virksomhetsledernivå, mens andre kan fattes på et lavere nivå.

Når ledelsen skal prioritere ulike alternativer for risikohåndtering, vil tiltakets virkning på henholdsvis sannsynlighet for og konsekvens av risikoen måtte vurderes. Effekten av tiltaket vil måtte ses i sammenheng med risikobildet. Dersom hovedårsaken til at risikoen befinner seg utenfor risikotoleransen, er at sannsynligheten er høy, vil det være mest hensiktsmessig å vurdere tiltak som virker sannsynlighetsreduserende. 

Dersom hovedårsaken til at risikoen er utenfor risikotoleransen, er at konsekvensen er høy, vil det trolig være mest hensiktsmessig å vurdere tiltak som virker konsekvensreduserende.

Når tiltak skal vurderes opp mot hverandre, vil det være viktig å få opp et bilde av det relative forholdet mellom kost og nytte2 ved ulike alternative tiltak. Kost–nytte-vurderinger klargjør hvilke effekter og verdier de ulike tiltakene kan forventes å ha, og kostnaden og realiserbarheten ved å innføre de enkelte tiltakene. Kost–nytte-vurderinger kan være alt fra komplekse og omfattende kvantitative og kvalitative analyser til enkle kvalitative vurderinger. 

Hvor omfattende vurderingene gjøres, vil avhenge av forhold som størrelsen på tiltaket, herunder tiltakets kostnad og kompleksitet. For større beslutninger bør kost–nytte-vurdering ved de alternative tiltakene som er identifisert, dokumenteres i beslutningsgrunnlaget.

I mange tilfeller er informasjon om effekter og nytte ikke tilgjengelig, og ledelsen må bygge beslutningene sine på kvalitative vurderinger, erfaring og skjønn. Kostnadssiden er ofte enklere å vurdere, for her finnes det gjerne mer presise erfaringstall og data. I noen tilfeller kan det være hensiktsmessig å benytte eksterne kvalitetssikrere for å gjennomgå og vurdere kost–nytte-vurderinger. Det er mest aktuelt for tiltak som omfatter mange parter, områder eller prosesser, eller tiltak som har store kostnadsmessige konsekvenser, siden kompleksiteten i kost–nytte-vurderingen kan være stor. 

Det kan også være tilfeller der mindre kostbare tiltak som ikke påvirker andre forhold, kan iverksettes uten omfattende kost–nytte-vurderinger. Eksempelvis kan ledelsen se behovet for en ny rapport på et område for å kunne ta bedre beslutninger. En enkel kvalitativ vurdering av at nytten overstiger kostnaden ved utviklingen av en slik rapport, vil være tilstrekkelig gitt at eksisterende IKT-systemer enkelt kan produsere en slik rapport.

I skjemaet nedenfor vises et eksempel på hvordan ledelsen kan dokumentere sine kost–nytte-vurderinger i forbindelse med nye tiltak av større betydning.

Figur 12: Kost–nytte-vurdering av ulike tiltak.
Figur 12: Kost–nytte-vurdering av ulike tiltak.

Når virksomheten skal avgjøre hvilke tiltak som skal prioriteres, bør den vurdere alternative tiltak opp mot hvilke tiltak som allerede er etablert, og hvordan disse er innrettet. Dette innebærer blant annet å vurdere hvordan sammensetningen av forebyggende versus avdekkende kontroller er, og hvordan bruken av manuelle versus automatiserte kontroller er. 

Virksomheter som har stor grad av overvåkende og avdekkende/oppdagende kontroller, bør vurdere om det er mulig og hensiktsmessig i større grad å etablere forebyggende kontroller. Det vil trolig også være hensiktsmessig å vurdere å ta i bruk automatiserte kontroller fremfor manuelle kontroller. Automatiserte kontroller vil ofte gi bedre og mer effektiv kontroll, men bruken må vurderes opp mot kostnaden ved å etablere slike kontroller. Dette poenget er illustrert i figuren nedenfor.

Figur 13: Sammenheng mellom kontrolltyper, risiko og kostnad.
Figur 13: Sammenheng mellom kontrolltyper, risiko og kostnad.

Når virksomheten skal beslutte hvilke tiltak som skal utformes, er det viktig å være oppmerksom på at tiltak på ett nivå, ett område eller i én prosess vil kunne påvirke tiltak på andre nivåer, områder eller prosesser. Eksempelvis vil et tiltak om å anskaffe et nytt IKT-system kreve flere ulike nye tiltak andre steder i virksomheten. Det kan dreie seg om tiltak i form av oppdatering av prosedyrer, opplæring, behov for nye automatiserte kontroller, nye manuelle kontroller, bortfall av tidligere brukte kontroller, mv. 

Derfor er det, i forbindelse med valg av nye tiltak, viktig å se helheten og vurdere konsekvenser av å etablere tiltak på tvers av prosesser og virksomheten for øvrig. På denne måten er det mulig å forhindre at håndtering av risiko på ett sted i virksomheten bidrar til at risikoer andre steder i virksomheten ikke blir håndtert. Et helhetsperspektiv er også viktig for å forhindre at kontroller ubevisst dupliseres eller overdimensjoneres.

Underveis i diskusjonene rundt hvilke tiltak som skal besluttes, kan det være nyttig å stille seg noen kontrollspørsmål:

  • Vil prosessen, slik den ser ut etter at nye tiltak er utformet, være
    •   målrettet og effektiv?
    •   innrettet slik at prosessen sikrer pålitelig rapportering?
    • innrettet slik at relevante lover, regler og retningslinjer overholdes?
  • Er det god balanse i kontrollene som inngår i prosessen (manuelle versus automatiske, preventive versus avdekkende)?
  • Vil tiltaket håndtere rotårsaken eller den opprinnelige årsaken til problemet?
  • Vil noen av tiltakene være nøkkelkontroller og derfor ha behov for oppfølging for å verifisere at tiltaket etterleves og har ønsket effekt, jf. omtale i kapittel 4.2.3 Vurdere behov for tiltak og/eller oppfølging?

4.3.3 Utforme og dokumentere besluttede tiltak

Når det er besluttet hvilke tiltak som skal håndtere den aktuelle risikoen, må tiltakene utformes. Å utforme tiltak kan for eksempel gå ut på å:

  • utarbeide eller oppdatere beskrivelser av kontroller som skal gjennomføres. Slike beskrivelser kan omfatte hvem som skal gjøre kontrollen, når kontrollen skal gjennomføres, hvordan kontrollen skal gjennomføres, og hvordan kontrollen skal dokumenteres
  • utarbeide nye dokumenter i form av prosedyrer, policydokumenter o.l., blant annet utforme det konkrete innholdet i dokumentet eller oppdatere eksisterende dokumenter
  • utarbeide kurs eller oppdatere opplæringsprogrammer for medarbeidere
  • utarbeide kravspesifikasjon og utvikle ny modul i saksbehandlingssystemet

Ofte kan det være hensiktsmessig å fastsette en plan for hvordan aktuelle tiltak konkret skal utformes, herunder å tildele ansvar og roller for dette arbeidet for å sikre gjennomføringskraft. Om det er behov for en plan, og hvor omfattende denne planen skal være, vil avhenge av type tiltak. Tiltak kan være store, kostbare og kompliserte i form av at de er mer virksomhetsovergripende og/eller påvirker flere andre forhold i virksomheten. 

Å utforme tiltak i form av for eksempel å anskaffe et nytt eller oppdatere et eksisterende IKT-system vil kunne kreve omfattende planer og store ressurser på tvers av virksomheten, og vil omfatte mange parter og dessuten strekke seg over tid. Å innføre en ny spesifikk kontroll i en prosess innenfor eget ansvarsområde vil derimot ikke nødvendigvis ha et tilsvarende behov for en plan knyttet til utformingen.

I forbindelse med at en virksomhet skal utforme besluttede tiltak, bør den også vurdere om det bør gjennomføres tester/stikkprøver eller etableres styringsparametere som gjør det mulig å følge opp effekten av nye eller forbedrede internkontrolltiltak. Ofte vil det være naturlig å vurdere om det skal rapporteres på tiltak som reduserer kritisk risiko i den ordinære løpende styringen.

4.3.4 Oppsummering

Etter å ha gjennomført steget utforming har virksomheten identifisert hvilke tiltak som kan være aktuelle for å håndtere risikoen. Videre er de aktuelle tiltakene vurdert og prioritert, og basert på en kost–nytte-vurdering er det besluttet hvilke tiltak som skal velges for å håndtere risikoen. Besluttede tiltak er utformet og beskrevet. Neste steg blir å implementere tiltakene for å sikre gjennomføring.

Veiledning prosesskartlegging
docx 502.27 KB
Veileder i rotårsaksanalyse
docx 1.02 MB

4.4 Implementering

Å implementere tiltak innebærer å iverksette besluttede tiltak, slik at de etterleves og gir varig effekt. Gjennom ulike implementeringsaktiviteter gjøres nye utformede eller oppdaterte tiltak kjent og forankres i virksomheten.

Hvilke implementeringsaktiviteter som skal til for at besluttede tiltak skal iverksettes og fungere som forutsatt, avhenger av type tiltak og tiltakets viktighet, kompleksitet og størrelse. Omfanget av implementeringsaktiviteter, herunder behovet for implementeringsplaner, kommunikasjonsplaner og opplæringsaktiviteter, vil naturlig følge av type tiltak, samt om implementeringen organiseres som en linjeaktivitet eller som et prosjekt.

Figur 14: Internkontrollprosessen – implementering.
Figur 14: Internkontrollprosessen – implementering.

Virksomheter bør i den grad det er mulig, tilstrebe å standardisere metoder og rutiner for implementering. Standardiserte metoder og rutiner på området bidrar til forutsigbarhet og effektivitet i implementeringsprosessen og til å sikre best mulig kvalitet i implementeringen.

4.4.1 Vurdere behovet for implementeringsaktiviteter

Erfaringer viser at det å implementere tiltak ofte undervurderes fordi det tas for gitt at beslutningen er både kjent, forstått og forankret. Det finnes flere eksempler på at virksomheter bruker mye tid og krefter på å utarbeide gode tiltak og planer, mens evnen til å iverksette tiltakene og i praksis gjennomføre det virksomheten har bestemt seg for, svikter. Nye og forbedrede prosedyrer har liten verdi hvis de blir liggende i en skuff og glemt, mens de personene som har ansvar for å gjennomføre oppgaven, løser den slik de «alltid» har gjort.

Et mer alvorlig eksempel er når planer og prosedyrer som omhandler ekstraordinære hendelser, som eksempelvis brann, ikke blir benyttet som forutsatt. Ofte er årsaken at prosedyrene ikke har vært kjent, eller at det ikke har vært gjennomført øvelser og trening. 

Å implementere tiltak bidrar ikke bare til at tiltaket blir kjent, men også til at det blir erkjent. For tiltak som krever en bestemt type atferd, for eksempel evakuering, vil øvelser og trening i bruk og gjennomføring være avgjørende den dagen det haster med å handle og mange ting skjer samtidig. Tilsvarende vil ofte forståelsen for, og etterlevelsen av, eksempelvis etiske retningslinjer bedres hvis virksomheten i tillegg til å kommunisere og tilgjengeliggjøre retningslinjene gjennomføre opplæring der retningslinjene brukes i praktiske situasjoner.

4.4.2 Vurdere faktorer av betydning for en vellykket implementering

Figur 15 beskriver viktige suksesskriterier som avhengig av type tiltak bør tas hensyn til i implementeringsarbeidet. Fravær av ett eller flere av disse kriteriene kan være en mulig årsak til at besluttede tiltak ikke får ønsket effekt. Kriteriene omtales nærmere nedenfor.

Figur 15: Suksesskriterier for vellykket implementering.
Figur 15: Suksesskriterier for vellykket implementering.

Forankring, holdninger og atferd

En viktig suksessfaktor for endringsarbeid generelt er at lederne involverer seg, viser engasjement og fremstår som tydelige rollemodeller. Forankring og oppmerksomhet fra ledelsen, eksempelvis gjennom at ledelsen etterspør implementeringsplaner, følger opp status i forhold til plan og selv endrer atferd, synliggjør ledelsens engasjement og bidrar til å spre riktige holdninger til endring.

Utviklingsaktiviteter som utføres i form av et prosjekt, får gjerne mye oppmerksomhet i prosjektperioden. I den sammenheng kan det være viktig å være klar over at overføring fra prosjekt til linje ofte er en utfordring. For å sikre gjennomføring og etterlevelse er det viktig at ledelsen prioriterer å vise interesse for tiltaket, slik at linjen støttes og nødvendig oppmerksomhet opprettholdes også i implementeringsperioden.

Implementeringsarbeidet knyttet til store tiltak som medfører vesentlige endringer i måten de ansatte arbeider på, vil ofte gå mer smertefritt dersom ledelsen sørger for medarbeiderforankring og involvering underveis i utformingsfasen. Når de som berøres eller involveres sterkest av en endring, også gis mulighet til å påvirke og komme med sine innspill, bidrar det til at de forstår formålet med endringen. Gjennom å involvere nøkkelmedarbeidere underveis både i utformings- og implementeringsarbeidet, kan disse medarbeiderne også fremstå som «ambassadører» for endringen.

Informasjon, kommunikasjon og tilgjengeliggjøring

Når tiltak skal implementeres, er det helt avgjørende at informasjon om beslutningen (om at tiltaket skal iverksettes), iverksettelsestidspunkt, ansvar, krav til utførelse, mv. blir kommunisert, slik at det er tydelig for de ansatte som blir berørt av tiltakene, hva som forventes og kreves av dem.

Noen typer tiltak er rettet mot alle ansatte i virksomheten, mens andre typer bare angår eller involverer noen få.

Det vil variere hvor systematisk ledelsen kommuniserer besluttede tiltak. Ved store tiltak kan det som et ledd i implementeringsarbeidet være behov for å sette opp en kommunikasjonsplan.

Denne baseres på en kartlegging av hvem som berøres direkte av tiltaket, og hvem som berøres indirekte, samt en vurdering av hvilken informasjon de berørte trenger. Virksomhetens intranett, avdelings- og seksjonsmøter, ledermøter, medarbeidersamtaler, tavlemøter, kurssamlinger, mv. kan være mulige arenaer å benytte her. Allerede eksisterende kommunikasjonskanaler bør benyttes i størst mulig grad. 

Tilstrekkelig informasjon og kommunikasjon av forventninger om hvilke resultater endringen/tiltaket skal gi, er også viktig med hensyn til forankring, holdninger og atferd, som er omtalt foran.

Kompetanse, ferdigheter og kapasitet

Når større tiltak skal implementeres, eksempelvis innføring av nytt saksbehandlingssystem, vil det ofte være hensiktsmessig at ansvaret for å planlegge og styre implementeringen tildeles konkrete medarbeidere eller funksjoner. For store og omfattende implementeringer vil det være hensiktsmessig at de medarbeiderne som gis et ansvar i implementeringsarbeidet, har erfaring fra tidligere med slikt arbeid.

En avgjørende faktor for vellykket implementering er dessuten at alle som blir berørt av tiltaket, har den nødvendige kompetansen og de ferdighetene som skal til for å gjennomføre det som er besluttet på en god måte. Det er derfor viktig at det også avsettes tid og ressurser til gjennomføring av opplæring og kompetanseutvikling for berørte medarbeidere. Dette kan omfatte opplæring i nye systemer, verktøy, prosedyrer mv.

Verktøy og systemstøtte

Implementering av enkelte tiltak forutsetter tilgang til verktøy og systemstøtte for å kunne utøve/ gjennomføre tiltaket. For slike tiltak er det avgjørende at medarbeiderne raskt får tilgang til verktøy og systemer som trengs for å kunne gjennomføre de nye arbeidsoppgavene på en effektiv og hensiktsmessig måte. Eksempelvis kan endrede interne og eksterne krav knyttet til innkjøp eller saksbehandling medføre behov for en ny type verktøy og en annen systemstøtte enn tidligere.

4.4.3 Oppsummering

Etter å ha implementert utformede tiltak skal tiltakene være operasjonalisert og etablert i virksomheten. En vellykket implementering bidrar til at tiltakene etterleves og fungerer som forutsatt, det vil si tiltakene reduserer den risikoen de var ment å håndtere.

4.5 Oppfølging

Oppfølging3 innebærer en systematisk vurdering av internkontrollsystemets utforming, og om internkontrollen etterleves og fungerer som forutsatt.

Gjennom oppfølgingen får ledelsen informasjon om hvorvidt internkontrollmålsettingene oppnås, og om implementerte tiltak etterleves og gir ønsket effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle fastsatte mål og krav. Resultatene fra oppfølgingen vil gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten.

Figur 16: Internkontrollprosessen – oppfølging.
Figur 16: Internkontrollprosessen – oppfølging.

4.5.1 Ledelsen har hovedansvaret

Ledelsen har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Det er viktig at ledelsen i sin oppfølging fokuserer særlig på internkontrolltiltak rettet mot virksomhetens vesentligste risikoer med tilhørende kontroller, herunder kontroller som har høy konsekvens dersom de svikter. Virksomheten bør vurdere behovet for å formalisere ledelsens oppfølging av internkontrollen i policyer og/eller prosedyrer.

Organisering av arbeidet

Avhengig av hvordan virksomheten velger å organisere internkontrollarbeidet, jf. kapittel 3.1.4, vil oppfølgingen skje på ulike måter, på ulike nivåer og av ulike roller og funksjoner i virksomheten. Oppfølging kan skje ved at ledere følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. 

Oppfølging kan skje gjennom stikkprøvekontroller/tester, analyser, innhenting og analyse av styringsparametere og indikatorer. Ettersom det ikke er hensiktsmessig å følge opp alt, er det nødvendig å prioritere de områdene og kontrollene som anses som viktigst med hensyn til risiko og vesentlighet. Basert på informasjon som innhentes gjennom oppfølgingen, bør lederne på ulike nivåer gjennomføre en helhetlig analyse og vurdering av internkontrollen innenfor eget område. 

Forbedringsbehov innenfor eget ansvarsområde som lederen selv kan beslutte, må planlegges og inngå som en del av øvrig oppgaveportefølje på ansvarsområdet. Forbedringsbehov som ligger utenfor den aktuelle lederens ansvars- og myndighetsområde, må også håndteres, og oppfølgingen vil da bestå i å løfte saken videre for vurdering og beslutning på et høyere nivå.

For virksomheter som har organisert internkontrollarbeidet gjennom å definere en egen rolle eller funksjon som støtter ledelsen i arbeidet med internkontroll, vil oppfølging også kunne skje ved at denne funksjonen på vegne av ledelsen gjennomfører tester for å verifisere om internkontrollen etterleves og gir ønsket effekt. 

Virksomheter som har internrevisjon4, vil kunne få en mer uavhengig tilbakemelding på hvordan hele eller deler av internkontrollsystemet fungerer på et gitt tidspunkt. Internrevisjonsfunksjonen omtales imidlertid ikke nærmere i denne veilederen.

4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt

Oppfølging kan skje i form av løpende oppfølging, frittstående oppfølging eller en kombinasjon av de to. Type oppfølging, hyppighet og omfang avhenger av den enkelte risiko og virksomhets behov. Virksomhetens størrelse og kompleksitet er relevant i denne sammen- heng. I store og komplekse virksomheter er virksomhetsledelsen ofte mindre involvert i gjennomføringen av kontroller og må derfor stole på oppfølgings- prosedyrer som utføres av lavere ledelsesnivåer. I mindre virksomheter er virksomhetsledelsen mer direkte involvert i oppfølgingen av risikoer og tilhørende kontroller, og får dermed mer direkte informasjon om statusen på internkontrollsystemet. 

Risikonivået henger sammen med kompleksiteten. Derfor forventes det mer oppfølging på områder med større kompleksitet. Dette som følge av at risikoen er høyere, eksempelvis som følge av sektorrelaterte egenskaper, komplekst regelverk, antall produkter eller tjenester, sentralisert versus desentralisert organisering, mv. Virksomhetens styrings- og kontrollmiljø spiller også her en rolle. En virksomhet som har et velfungerende styrings- og kontrollmiljø, vil ha mindre behov for oppfølging i form av etterkontroller og stikkprøver.

Løpende oppfølging

Med løpende oppfølging menes ulike manuelle eller automatiske oppfølgingsaktiviteter som er bygd inn i virksomhetens rutinemessige driftsaktiviteter. Løpende oppfølging gir den viktigste støtten til ledelsens daglige oppfatning av hvor godt internkontrollsystemet fungerer, og gir den beste mulig- heten for å identifisere og korrigere kontrollsvakheter på et tidlig tidspunkt. Løpende oppfølging kan blant annet være ulike avstemminger, analyser og oppfølging av styringsparametere.

Eksempelvis kan oppfølging av en styringsparameter som viser brudd på saksbehandlingsfrister eller utvikling i antall klagesaker, være en relevant indikator som sier noe om hvor effektivt internkontrollen fungerer. Løpende oppfølging omfatter også tester/etterkontroller og stikkprøver for å verifisere at prosedyrer og kontroller gjennomføres som forutsatt og gir ønsket effekt og kvalitet. I den grad virksomheten kan automatisere oppfølgingen og integrere automatiserte oppfølgings- og kontrollaktiviteter som en del av eksisterende IKT-systemer, vil det bidra til mer effektiv oppfølging, styring og kontroll.

Enkelte virksomheter har etablert avvikssystemer hvor virksomheten løpende og systematisk registrerer og håndterer avvik. Avvikssystemer finnes i mange ulike typer, fra mer eller mindre komplekse og omfattende IKT-systemer og databaser som håndterer både rapportering, oppfølging og avslutning (lukking) av avvik, til enkle skjemaer eller oppfølgingspunkter på allerede eksisterende rapporteringsmaler. 

Dersom virksomheten velger å etablere et avvikssystem, er det viktig at virksomheten definerer prosedyrer for bruk av dette systemet, blant annet for hvordan den skal registrere og håndtere avvik. Det er også viktig at informasjonen fra avvikssystemet faktisk benyttes som informasjonskilde i forbedringsarbeidet, og at informasjon om avvik ikke får negative konsekvenser for medarbeidere eller blir ignorert.

En spesiell form for avviksoppfølging er varslinger av kritikkverdige forhold. Alle virksomheter er i henhold til arbeidsmiljøloven pålagt å ha en uavhengig varslingskanal og legge forholdene til rette for intern varsling ved kritikkverdige forhold. Ledelsen må sørge for løpende oppfølging av registrerte varsler.

Frittstående oppfølging

Ved frittstående oppfølging kan de samme teknikkene benyttes som ved løpende oppfølging, men denne typen oppfølging er utformet for å følge opp kontroller periodevis. Ofte gjennomføres denne typen oppfølging på et mer objektivt grunnlag, av personer som har større avstand til og er mer uavhengige med hensyn til det området som skal vurderes. Oppfølgingen kan ha en bred tilnærming ved at hele eller store deler av virksomhetens internkontroll evalueres, eller evaluering kan begrenses til en enhet, et ansvarsområde eller en prosess. 

Eksempler på frittstående oppfølging kan være oppfølginger og evalueringer som er gjennomført av internrevisjonen eller Riksrevisjonen, og evalueringer som er utført av kompetansemiljøer internt eller eksternt.

Omfang og hyppighet av frittstående oppfølging avhenger både av risikovurderingen og av hvor effektive de løpende oppfølgingsrutinene er5. Ofte kan frittstående oppfølging være aktuelt i situasjoner der ledelsen gjennom en risiko- og vesentlighetsvurdering har identifisert områder hvor de mener det er behov for en større gjennomgang. Bruk av en slik type evaluering er omtalt i reglementet § 16.

En virksomhet som opplever et stort behov for hyppig frittstående oppfølging og evaluering, bør vurdere å forbedre virksomhetens prosesser og løpende oppfølgingsaktiviteter og på den måten søke å integrere, dvs. «bygge inn» heller enn å «legge til», kontroller6.På den måten vil oppfølgingen i større grad integreres i, og ses i sammenheng med, den øvrige og løpende styringen og kontrollen av virksomheten. Jo større omfanget av og effektiviteten i løpende oppfølging er, jo mindre er behovet for frittstående oppfølging.

4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring

Systematisk og helhetlig oppfølging av internkontrollen, og aktiv bruk av resultatene fra oppfølgingen i virksomhetens planlegging og risikovurdering, vil bidra til å sikre at internkontrollen til enhver tid er tilpasset risiko og vesentlighet. Oppfølgingen er følgelig en viktig premiss for å utvikle en dynamisk og velfungerende internkontroll og for å oppfylle de tre internkontrollmålsettingene. Systematisk oppfølging er også et avgjørende element i virksomhetens generelle lærings- og forbedringsarbeid.

Læring og forbedring oppnås best i virksomheter som systematisk legger til rette for erfaringsutveksling ved å etablere arenaer for oppfølging, problemløsing og avvikshåndtering på alle nivåer i organisasjonen (team, seksjon, avdeling, virksomhet).

Ved å benytte kunnskap og erfaring som er opparbeidet internt i virksomheten, samt benytte kunnskap fra brukere, leverandører og samarbeidspartnere, vil virksomheten legge til rette for kontinuerlig forbedring og utvikling. For å få til en slik utvikling er det viktig at det i virksomheten skapes en åpenhetskultur hvor det er «akseptert» å gjøre utilsiktede feil, og hvor registrering og håndtering av avvik blir verdsatt og anerkjent som verdifullt for virksomhetens videre utvikling.

4.5.4 Oppsummering

Etter at internkontrollen har blitt fulgt opp på ulike nivåer i virksomheten, skal ledelsen kunne danne seg et kvalifisert grunnlag for å vurdere om internkontrollsystemet er tilstrekkelig oppdatert og i stand til å håndtere virksomhetens risikoer. Oppfølgingen skal følgelig kunne danne grunnlag for å rapportere tilstanden på internkontrollen innenfor eget område, og dessuten danne grunnlag for å forbedre og eventuelt korrigere internkontrollen.

Relevante verktøy:

Mal registrering og håndtering av avvik
xlsx 334.16 KB
Veiledning - test av internkontroll
xlsx 107.22 KB
Veiledning prosedyre registrering og håndtering av avvik
docx 222.69 KB

4.6 Rapportering

Rapportering innebærer at resultater fra oppfølgingen på lavere nivåer rapporteres til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering.

Dette gir ledere på alle nivåer et grunnlag for å vurdere kvaliteten på og effekten av etablert internkontroll innenfor eget ansvarsområde.

Figur 17: Internkontrollprosessen – rapportering.
Figur 17: Internkontrollprosessen – rapportering.

Videre legges det til rette for at mangler ved internkontrollen blir håndtert på riktig nivå. Dette gir virksomhetsledelsen et grunnlag for å vurdere den samlede kvaliteten på virksomhetens internkontroll, og det gir nyttig informasjon til bruk i styringen og planleggingen av neste periode.

Rapporteringen skal også kunne gi virksomhetsleder et kvalifisert grunnlag for å konkludere og rapportere til overordnet departement om tilstanden på virksomhetens samlede internkontroll. Årsrapporten del IV omhandler styring og kontroll i virksomheten, og dette kan omfatte en kort tilstandsrapportering om internkontroll.

4.6.1 Rapportere resultater til rett nivå og til rett tid

Det er viktig at informasjon om internkontrollsystemets utforming, virkemåte og etterlevelsen av etablerte kontroller rapporteres til rett nivå og til rett tid, slik at nødvendige tiltak kan besluttes og implementeres.

Rapportering av resultater fra oppfølging av internkontrollen gir nyttig informasjon til bruk i styringen. Virksomheten vil i sin interne styring ha behov for gode prosedyrer for rapportering som sikrer at vesentlig styringsinformasjon, herunder informasjon om utvikling og svakheter, rapporteres i linjen, slik at nødvendige korrektive tiltak kan iverksettes. 

Det gjelder både når korrektive tiltak er innrettet mot forbedringer i internkontrollen (hvordan sikre at virksomheten gjør tingene riktig), og når korrektive tiltak er innrettet mot strategiske valg (hvordan sikre at virksomheten gjør de riktige tingene). For å få til dette er det avgjørende at det er etablert tydelige krav til hva som skal rapporteres når og til hvem.

Hvilke konkrete krav som bør stilles, må vurderes i den enkelte virksomhet og ses i sammenheng med behovet. Generelt bør imidlertid informasjonen fra oppfølgingen på ulike nivåer sammenstilles og rapporteres for å gi grunnlag for en samlet vurdering av internkontrollens kvalitet og effektivitet. 

De interne rapporteringskravene må innrettes slik at virksomheten også ivaretar eventuelle eksterne rapporteringskrav. Dette gjelder blant annet rapporteringskrav som stilles fra overordnet departement, knyttet til status på etablert internkontroll og rapportering av eventuelle vesentlige svakheter eller svikt i virksomhetens internkontroll.

Det er i denne sammenheng viktig at vesentlige svakheter knyttet til internkontrollen rapporteres til rett nivå. Svakheter som er identifisert i oppfølgingen på et lavere nivå, men som ikke kan håndteres på dette nivået alene, må komme tydelig frem i rapporteringen til neste nivå, slik at det kan tas en beslutning om hvordan risikoen skal håndteres, herunder om eventuelle korrektive tiltak skal iverksettes. 

At det lavere nivået ikke kan håndtere svakhetene alene, kan for eksempel skyldes at svakhetene krever tiltak som vedkommende leder ikke har nødvendige fullmakter til å beslutte og håndtere, eller det kan skyldes at svakhetene har sin årsak i forhold utenfor ved- kommende leders ansvarsområde.

4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering

Rapportering knyttet til internkontrollen bør i størst mulig grad integreres i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten sikres det at all rapportering av verdi for styring og kontroll ses i sammenheng og benyttes i arbeidet med å planlegge, følge opp og forbedre internkontrollen.

De fleste virksomheter følger en årssyklus der planlegging av neste års aktivitet skjer i forkant av, og i forbindelse med, mottak av tildelingsbrev på høsten, og der årsrapport skal oversendes til overordnet departement påfølgende år. I tillegg har de fleste virksomheter ulike rapporteringer til overordnet departement gjennom året, som kvartals-, halvårs- eller tertialrapporteringer. 

Det vil være naturlig at den årlige internkontrollprosessen på virksomhetsnivå følger de samme hovedlinjene. Det betyr at den årlige planleggingen av internkontrollen integreres i den øvrige planprosessen i virksomheten, og at oppfølging og rapportering skjer på tidspunkter som gjør virksomheten i stand til å avgi nødvendige uttalelser og nødvendig rapportering på internkontrollen på de tidspunktene som kreves i tildelingsbrevet.

Virksomheten vil normalt også ha andre rapporteringspunkter som er fastsatt ut fra interne styringsbehov i virksomheten. Eksempelvis vil noen virksomheter som ledd i oppfølgingen av virksomhetsplanen også rapportere om utvikling i risiko og styringsparametere, og status av risikoreduserende tiltak og oppfølging av nøkkelkontroller i virksomheten. Som en del av den løpende rapporteringen i virksomheten kan det stilles krav om at ledere på seksjons- eller avdelingsnivå på bestemte tidspunkter også rapporterer om status på internkontrollen samlet for sitt område. 

Dersom slike krav er stilt i virksomheten, vil resultatene fra løpende og/eller frittstående oppfølging (for eksempel testing, nøkkelkontroller, eventuelle egenevalueringer, benchmarks og/eller internrevisjoner) være et nyttig grunnlag og dessuten nyttig dokumentasjon for å avgi en slik uttalelse på det aktuelle nivået. Slike eksplisitte krav om rapportering fra ledere bidrar til å forplikte ledere til systematisk å tenke gjennom og følge opp forhold knyttet til internkontrollen på regelmessig basis. 

Ved at feil, svakheter og særskilte hendelser som fremkommer i oppfølgingen, rapporteres oppover i linjen og sammenstilles, vil de mest overordnede og alvorlige svakhetene i internkontrollen fremkomme i rapporteringen til virksomhetsledelsen. Virksomhetsledelsen får dermed en samlet oversikt over status og forbedringsbehov og et kvalifisert grunnlag for å kunne uttale seg om internkontrollen i virksomheten totalt sett.

I tillegg til den ordinære og systematiske rapporteringen som foregår i virksomheten som ledd i den interne styringen, er det også viktig å etablere kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og vesentlige risikoer som inntreffer eller truer med å inntreffe. Det vises her også til avvikshåndtering og varsling som ble omtalt i kapittel 4.5.2.

4.6.3 Oppsummering

Etter at ledere på ulike nivåer har rapportert resultatet fra oppfølgingen av internkontrollen innenfor eget ansvarsområde, skal informasjon om status og tilstand for internkontrollen for virksomheten som helhet kunne sammenstilles og kommuniseres. Denne informasjonen benyttes i ledelsens styring og kontroll av virksomheten, og gir viktige innspill til læring og forbedring og dessuten til planleggingen av internkontrollen for neste periode.

Relevante verktøy:

Mal - rapportering knyttet til internkontroll
xlsx 82.91 KB

Fotnoter

1Med rotårsak menes her den opprinnelige og bakenforliggende årsaken til problemet, risikoen mv. som er den egentlige årsaken i første instans.
2Verdi og nytte anses i denne sammenheng som synonymer. Kostnaden er ett av elementene i vurderingen av hvor realiserbart tiltaket er (dersom kostnaden er høy, reduseres realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv.

3Oppfølging sammenfaller med betydningen av COSO-rammeverkets overvåkingskomponent.
4For en utdyping om internrevisjon kan DFØs rapport 2009:4 Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging og DFØs veileder Trenger vi en internrevisjon være relevante kilder.
5DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, kapittel 3.9.
6COSO 2009: Veiledning i oppfølging av internkontroll, del II: Anvendelse, s. 41.

Gjennomgangseksempel

I dette kapittelet illustreres metoden som er vist i veilederen, ved hjelp av et gjennomgangseksempel knyttet til en fiktiv virksomhet – FYSetat. Eksempelet viser hvordan metoden rent praktisk kan anvendes, og viser hvordan etablering, forbedring og oppfølging av internkontroll på ulike nivåer, på ulike områder og i ulike prosesser kan ses i sammenheng og utgjøre en helhet.

Siden hovedformålet med eksempelet er å illustrere og eksemplifisere en mulig metode for arbeidet med internkontroll, er det gjort en rekke forenklinger for å illustrere ulike poenger. Eksempelet illustrerer derfor ikke en «perfekt» og fullstendig løsning.

Eksempelvirksomheten FYSetat er etablert for å fremme fysisk aktivitet blant barn og unge. FYSetat driver informasjonsvirksomhet og forvalter en tilskuddsordning. Skoler, lag, foreninger osv. kan søke FYSetat om tilskudd til tiltak for økt fysisk aktivitet i lokalsamfunnene. Overordnet departement har utarbeidet et regelverk for tilskuddsordningen, der blant annet tildelingskriterier fremgår.

Som vist i organisasjonskartet i figur 18 er FYSetat organisert i fire avdelinger og én stab. De fire avdelingslederne inngår i direktørens ledergruppe. For å skape et godt fundament for internkontroll har virksomhetsledelsen vurdert det som viktig å arbeide systematisk med å utvikle et godt styrings- og kontrollmiljø. Som et ledd i arbeidet med å utvikle et slikt miljø er det nylig opprettet en funksjon med fagansvar for internkontroll. Denne funksjonen inngår i direktørens stab. Utvikling av et godt styrings- og kontrollmiljø er vurdert som en god investering som skal legge til rette for at virksom- heten på sikt skal kunne bruke mindre ressurser på etterkontroll.

Figur 18: Organisasjonskart FYSetat.
Figur 18: Organisasjonskart FYSetat.

5.1 Eksempel planlegging

5.1.1 Ambisjonsnivå og overordnet status for internkontrollen i FYSetat

Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontroll. Vurderingen gjøres på grunnlag av risiko, vesentlighet og virksomhetens egenart.

Selv om virksomheten i utgangspunktet bør ha kontroll på alt, er det ikke hensiktsmessig å etablere en like omfattende internkontroll på alle områder. Det er viktig at virksomhetsledelsen etablerer en felles oppfatning av balansen mellom det å ha kontroll og det å ta risiko, herunder definerer virksomhetens risikotoleranse.

Figur 6 Internkontrollprosessen, planlegging.
Figur 19: Internkontrollprosessen – planlegging.

Ledergruppen i FYSetat har benyttet DFØs egenevalueringsverktøy, og vurdert hva som er status ut fra syv kjennetegn på god internkontroll.

Egenevaluering av internkontrollen
xlsx 479.83 KB

Scoren (1–6) er vurdert ut fra kjennskap til virksomhetens styrker og svakheter, rapportert status og forbedringstiltak fra alle fire avdelings- ledere, tidligere merknader fra Riksrevisjonen, mv. Resultatet av denne egenevalueringen for FYSetat er vist i figuren under.

Figur 20: FYSetats egenevaluering av internkontrollen.
Figur 20: FYSetats egenevaluering av internkontrollen.

Med bakgrunn i egenevalueringen konkluderer virksomhetsledelsen med at det særlig er to områder knyttet til internkontrollen som virksomheten ønsker å forbedre. Disse områdene er:

  • Tydeliggjort ansvar, myndighet og roller
    Virksomhetsledelsen ser spesielt et behov for å tydeliggjøre hva som ligger i linjens intern- kontrollansvar med hensyn til grensesnittet opp mot fagansvarlig internkontroll, ettersom denne funksjonen er ny. Dessuten har det i den senere tid oppstått flere spørsmål og uklarheter som følge av utydelig grensesnitt og ansvarsdeling mellom avdelingene, spesielt gjelder det i grensesnittet mellom tilskuddsavdelingen, administrasjonsavdelingen og IKT-avdelingen.
  • Formalisert og dokumentert, kommunisert og tilgjengeliggjort
    Virksomhetsledelsen har spesielt lagt merke til at det er lite bevissthet rundt hva som blir dokumentert, og det som har blitt dokumentert, er ikke nødvendigvis kommunisert og tilgjengeliggjort til relevante ansatte. Ledelsen ser også et behov for å oppdatere policyer og prosedyrer, da det har vært høy turnover og flere tilfeller av sykemelding det siste året. Nyansatte og innleide vikarer er usikre på hvordan arbeidet skal utføres, og hvem som har ansvar for hva.

5.1.2 Ressurser og rammer knyttet til arbeidet med internkontroll

FYSetat har som nevnt nylig opprettet en funksjon med fagansvar for internkontroll, jf. figur 18. De viktigste oppgavene til denne funksjonen er å støtte virksomhetsledelsen i forbindelse med gjennomføring, koordinering og videreutvikling av arbeidet med å etablere og forbedre virksom- hetens internkontroll og å støtte avdelingene/linjen i internkontrollarbeidet etter behov.

Et viktig fokusområde for inneværende år er å tydeliggjøre og formalisere roller og ansvar. Ledelsen konkluderer derfor med at avdelingene må sette av ressurser til dette arbeidet for å bistå fagansvarlig internkontroll. Det anslås at det foreløpig bør settes av cirka et halvt årsverk fordelt på de fire avdelingene til utbedringer det kommende året i tillegg til ett årsverk for fagansvarlig internkontroll. Den endelige fastsettelsen av rammer og ressurser til arbeidet med internkontroll må ses i nær sammenheng med risikovurderingene som gjennomføres årlig.

Virksomhetsledelsen skal hvert år vedta en handlingsplan for fagansvarlig internkontroll. Planen blir endelig godkjent først etter at eventuelle utfordringer som fremkommer i de årlige risikovurderingene i virksomheten, er identifisert.

I virksomhetsledelsens møtekalender for det kommende året er internkontroll satt opp på agendaen for tre møter:

Desember
  • gjennomføre årlig risikovurdering i FYSetats ledergruppe
  • beslutte handlingsplan for arbeid med internkontroll (ressurser, rammer, fokusområder mv.)
Juni
  • rapportere status på internkontrollfunksjonens handlingsplan
  • rapportere status på avdelingslederes handlingsplaner (tiltak identifisert i forbindelse med virksomhetsledelsens risikoworkshop og eventuelle tiltak identifisert på lavere nivå innenfor ansvarsområder i den enkelte avdeling)
November
  • rapportere avdelingenes status med hensyn til internkontrollen for året og gi innspill til neste års planarbeid

5.2 Eksempel risikovurdering

5.2.1 Etablere et grunnlag for risikovurdering

Mål og krav på virksomhetsnivå

Gode risikovurderinger forutsetter at virksomheten har oversikt over hvilke mål og krav som stilles til virksomheten.

FYSetat har identifisert mål og krav for virksomheten ut fra lover, forskrifter, regelverk for tilskuddsordningen, føringer gitt i tildelingsbrev, mv. På virksomhetsnivå har FYSetat ett overordnet mål som er operasjonalisert i fire hovedmål. Målene er oppsummert i tabellen i figur 22.

Figur 7: Internkontrollprosessen – risikovurdering.
Figur 21: Internkontrollprosessen – risikovurdering.
Mål

Overordnet mål:

Økt fysisk aktivitet i befolkningen

Hovedmål:

Korrekt og effektiv bruk av tilskuddsmidler, relevant informasjon til befolkningen og til potensielle brukere, styring og kontroll understøtter FYSetats mål på en god måte og effektive IT-løsninger som understøtter driften

Figur 22: FYSetats overordnede mål og hovedmål på virksomhetsnivå. 

De viktigste kravene FYSetat må forholde seg til, er oppsummert i tabellen i figur 23.

Krav med henvisning til kilde Avdeling
Forvaltningsloven Tilskudd
Offentleglova Tilskudd, administrasjon
Arbeidsmiljøloven Administrasjon
Arkivlova Administrasjon
Personopplysningsloven Administrasjon
Personopplysningsforskriften Administrasjon
Arkivforskriften Administrasjon (tilskudd)
eForvaltningsforskriften IT, administrasjon
Forskrift om offentlige anskaffelser Administrasjon
Reglement for økonomistyring i staten Tilskudd, administrasjon og IT
Bestemmelser om økonomistyring i staten Tilskudd, administrasjon og IT
Etiske retningslinjer i staten Alle, ledelsen
Regelverk for tilskuddsordningen Tilskudd
Rapporteringskrav for tilskuddsordningen fremsatt i tildelingsbrevet Alle
God forvaltningsskikk Alle

Figur 23: Utdrag av krav som er relevante for FYSetat på virksomhetsnivå.

Mål og krav på lavere nivåer

De fire avdelingslederne, for henholdsvis administrasjons-, informasjons-, tilskudds- og IKT- avdelingen, har gjort tilsvarende oppdatering av mål og krav for sine respektive avdelinger.

På tilskuddsområdet er hovedmålet om korrekt og effektiv bruk av tilskuddsmidler operasjonalisert og konkretisert i følgende tre delmål:

  • Profesjonell og effektiv tilskuddsforvaltning
  • Tydelig, korrekt og effektiv formidling
  • Kompetent rådgivning

I tillegg har tilskuddsavdelingen sett et behov for å sette opp en oversikt over de mest sentrale kravene som gjelder på tilskuddsområdet.

Idebank oversikt over lover og regler
xlsx 80.79 KB

Et utdrag fra denne oversikten er vist i tabellen i figur 24.

Krav med henvisning til kilde Relevante punkter
Forvaltningsloven

Kap. 2 Habilitet
Kap. 3 Alminnelige regler om saksbehandligen
Kap. 4 Om saksforberdelse ved enkeltvedtak
Kap. 6 Om klage og omgjøring

Offentleglova

Kap. 2 Hovedreglene om innsyn
Kap. 3 Unntak fra innsynsretten
Kap. 4 Saksbehandling og klage

Reglement for økonomistyring i staten

Kap. III – Iverksettelse av Stortingets budsjettvedtak
Kap. V Kontroll

Bestemmelser om økonomistyring i staten

Kap. 6.3 Tilskudssforvaltning
Kap. 2.4 Arkivrutiner

Forskrift om offentlege arkiv

Kap. II Arkivorganisering og arkivsystem
Kap. III Arkivrutiner

Regelverk for tilskuddsordningen

Hele tilskuddsregelverket

Garanti vedr. saksbehandlingstid

Serviceerklæring tilgjengeliggjort på FYSetats internettside
Rapportering på antall avslåtte søknader og kategorisering etter avslagsgrunn

Tildelingsbrevet kap. VII Rapportering og resultatoppfølging

Figur 24: Utdrag av krav som er relevante for FYSetat på tilskuddsområdet.

Oversikt over FYSetats prosesser

Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsdeling, herunder hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og hvem som er prosesseiere for disse prosessene.

Ledelsen i FYSetat har på intranettet satt opp en oversikt over virksomhetens prosesser kategorisert i henholdsvis kjerne-, støtte- og styringsprosesser.

Veiledning prosesskartlegging
docx 502.27 KB

Dette er vist i figur 25.

Kvaliteten på virksomhetens tjenesteleveranse vil være avhengig av god internkontroll både i og i tilknytning til prosessene. Ledelsen i FYSetat har derfor vurdert det dit hen at det etter hvert bør gjennomføres risikovurderinger på lavere nivåer knyttet til alle vesentlige prosesser i virksomheten, i tillegg til den årlige risikovurderingen på virksomhetsnivå.

Virksomhetsledelsen vurderer, ut fra sin kjennskap til virksomheten, at prosessene for søknadsbehandling tilskudd, IKT og økonomi er de prosessene som er mest vesentlige med hensyn til å oppfylle virksomhetens mål og krav.

Søknadsbehandling tilskudd er en kjerneprosess, mens IKT støtter opp om søknadsbehandlingen gjennom å tilgjengeliggjøre og drifte saksbehandlingssystemet. Kvalitet i IKT-systemet, blant annet med hensyn til nedetid og funksjonalitet, påvirker effektiviteten i søknadsbehandlingen direkte. 

Økonomiprosessen har høy risiko og er vesentlig i seg selv på grunn av en rekke lovkrav i tillegg til en iboende risiko for misligheter. Økonomiprosessen er også vesentlig for tilskudds- forvaltningen, siden utbetaling av tilskudd står for størstedelen av de økonomiske transaksjonene i virksomheten.

5.2.2 Gjennomføre risikovurderinger

Risikovurdering på virksomhetsnivå

Virksomhetsledelsen har valgt å gjennomføre en risikoworkshop hvert år, i forbindelse med den årlige planprosessen. Som forberedelse til denne risikoworkshopen blir avdelingslederne bedt om å innhente innspill fra sine respektive ledergrupper, slik at virksomhetsledelsen har med informasjon fra lavere nivåer i vurderingen av risiko på virksomhetsnivå. Til hjelp i risikovurderingen har de benyttet et risikovurderingsverktøy.

Risikovurderingsverktøy i 4-fargersskala
xlsx 747.83 KB

I risikovurderingen på virksomhetsnivå har virksomhetsledelsen lagt vekt på å identifisere både risikoer som kan hindre virksomheten fra å oppfylle de målene og kravene som er identifisert over, og risikoer som kan hindre virksomheten fra å oppfylle de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelige rapportering og overholdelse av lover og regler.

I risikovurderingen på virksomhetsnivå ble alle de fire hovedmålene til FYSetat risikovurdert basert på sannsynlighet og konsekvens. Risikovurderingen på virksomhetsnivå resulterte i totalt 12 risikoer fordelt på de fire hovedmålene. For målet effektive IT-løsninger som understøtter driften er det ikke formulert kritiske suksessfaktorer (KSF), siden det i FYSetat er opp til den enkelte avdelingsleder å vurdere om det er ønskelig å gå veien om KSFer, eller om det er ønskelig å gå direkte til vurdering av risiko.

Resultatet av risikovurderingen på virksomhetsnivå er vist i tabellen i figur 26.

Resultatet fra risikovurderingen på virksomhetsnivå er sammenstilt i risikokartet i figur 27.

Figur 27: Risikokart for samlet risikovurdering på virksomhetsnivå 47.
Figur 27: Risikokart for samlet risikovurdering på virksomhetsnivå 47.

Etter at virksomhetsledelsen har gjennomført risikovurderingen knyttet til virksomhetens hovedmål, kan resultatet oppsummeres i en samlet oversikt som illustrerer hvilke prosesser som eksponeres for de mest kritiske risikoene. 

I figur 28 er de syv mest kritiske risikoene (høy risiko og middels risiko) fra risikovurderingen på virksomhetsnivå oppsummert og plassert i de prosessene som eksponeres spesielt for de aktuelle risikoene. Denne samlede oversikten gir virksomhets- ledelsen et visuelt bilde av hvor virksomheten bør prioritere å ha kontroll.

Oversikten gir et nyttig supplement til ledelsens tidligere vurderinger av hvilke prosesser de har vurdert som mest vesentlige med hensyn til å oppfylle mål og krav, jf. kapittel 5.2.1.

Prosessen søknadsbehandling tilskudd er eksponert for flere risikoer. Risiko R11 som slår inn i IKT-prosessen (nedetid), påvirker også effektiviteten i søknadsbehandlingen negativt. Risikoene R5 og R10 om uklar fordeling av roller og ansvar påvirker flere prosesser, noe som tilsier at dette er risikoer som gjelder på tvers av virksomheten.

Basert på risikovurderingen på virksomhetsnivå og ledelsens tidligere vurdering av vesentlige prosesser anses søknadsbehandling tilskudd, IKT og økonomi fortsatt for å være de prosessene som er mest vesentlige med hensyn til å oppfylle FYSetats overordnede mål og krav, og bør dermed gis høyest prioritet i internkontrollarbeidet.

Det er ikke fremkommet andre forhold gjennom risikovurderingene som medfører et behov for å justere eller endre internkontrollplanen det kommende året.

Risikovurdering på lavere nivåer

Tilskuddsavdelingen i FYSetat skiller seg særskilt ut i risikovurderingen på virksomhetsnivå, da prosessene under denne avdelingen eksponeres for mange av de identifiserte risikoene. Dette indikerer at det er et behov for å gjøre en nærmere risikovurdering av en eller flere av prosessene som inngår i denne avdelingen.

Selv om det i risikovurderingen på virksomhetsnivå ble identifisert prosesser som det er viktig å ha særlig kontroll på fra et virksomhetsperspektiv, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. Dette innebærer å vurdere om det er eventuelle andre prosesser eller områder som bør prioriteres for å gi rimelig grad av sikkerhet for effektiv intern- kontroll innenfor eget ansvarsområde. 

Linjelederens vurderinger baseres på egen erfaring i tillegg til risiko- og vesentlighetsvurderinger innenfor eget ansvarsområde.

Basert på risikovurderingen på virksomhetsnivå, egenevalueringen og de spørsmålene som har oppstått rundt roller og ansvar, arbeidsprosesser mv. i den senere tid, har avdelingsleder for tilskuddsavdelingen bedt prosesseier for søknadsbehandling tilskudd om å gjøre en risikovurdering knyttet til denne prosessen.

Som grunnlag for en slik gjennomgang vil det være hensiktsmessig å definere mål for prosessen, samt dokumentere henholdsvis hvilke aktiviteter som inngår, hvilke risikoer som truer prosessen, og hvilke kontroller/risikoreduserende tiltak som er etablert for å håndtere disse risikoene.

Prosesseier for søknadsbehandling tilskudd har valgt å benytte prosesskartlegging som et verktøy for å få opp en oppdatert oversikt over og dokumentasjon av prosessen.

Veiledning prosesskartlegging
docx 502.27 KB

Tilskuddsavdelingen har fastsatt følgende mål for prosessen søknadsbehandling tilskudd: Prosessmål: Korrekte, gyldige og rettidige vedtak.

FYSetat har gjennomført prosesskartlegging for prosessen søknadsbehandling tilskudd. Prosesskartet er illustrert i figur 29. I prosesskartet vises hvordan risikoer (merket rødt) omtalt i figur 30 er håndtert gjennom kontroller (merket grønt) omtalt i samme figur.

En samlet oversikt over prosessen søknadsbehandlig tilskudd er oppsummert i figur 30. Her fremkommer risikoer, etablerte kontroller og en vurdering av gjenværende risiko 49, samt om kontrollene er definert som en nøkkelkontroll. Kontroller som gjelder hele prosessen er ikke illustrert i figur 29. 

Dette gjelder k1 og k11 jf. figur 30. Som det fremgår av tabellen i figur 30 er det identifisert en risikofaktor r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet. Dette er en risiko som gjelder hele FYSetat og som prosesseier for søknadsbehandling tilskudd mener bør håndteres på virksomhetsnivå.

5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging

Risikovurderinger, uavhengig av hvilke nivåer de er gjennomført på, vil lede frem til en oversikt over ulike risikoer som bør håndteres, forutsatt at disse er utenfor risikotoleransen til virksomheten. I prinsippet har ledelsen fire valg for håndtering av risiko: akseptere, dele, unngå eller redusere. I den grad risikoen skal reduseres, må det besluttes hvem som er risikoeier, og som derfor får ansvar for å identifisere, vurdere, prioritere og beslutte ulike typer tiltak.

Vurdere behov for tiltak på virksomhetsnivå

Ledelsen i FYSetat har tatt stilling til hvilke av risikoene som ble identifisert i risikovurderingen på virksomhetsnivå, som det er mest hensiktsmessig å håndtere på henholdsvis virksomhetsnivå og på lavere nivåer. For risikoer som skal håndteres på virksomhetsnivå er virksomhetsleder i FYSetat risikoeier, og for risikoer som skal håndteres på lavere nivåer er avdelingsleder, seksjonsleder eller prosesseier risikoeier.

Ledelsen i FYSetat har merket seg at det ikke kun er risikoer med høy sannsynlighet og høy konsekvens virksomhetsledelsen må konsentrere seg om. Eksempelvis har FYSetat i sin risikovurdering på virksomhetsnivå konkludert med at R2 Det gis tilskudd til feil mottaker eller på feil grunnlag vil ha svært høy konsekvens. 

Virksomheten har imidlertid etablert omfattende kontroll i form av blant annet kontroll av søknad mot tildelingskriterier, kontroll av søkergrunnlag mot offentlig register og etterkontroll av beregninger gjort i søknaden for å håndtere denne risikoen, slik at risikoen samlet sett (sannsynlighet x konsekvens) vurderes som middels. 

Kontroll av søknadsgrunnlag mot offentlig register og kontroll av søknad mot tildelingskriterier defineres som to nøkkel- kontroller og følges opp regelmessig i tilskuddsavdelingen (av seksjonsleder for søknadsbehandling tilskudd) for å sikre at risikoen blir håndtert som forutsatt.

Det er definert risikoeiere for de ulike risikoene, jf. oppsummering i figur 31.

  • For R1 og R2 er det besluttet å akseptere risikoen, men risikoene skal følges opp.
  • R3 håndteres av avdelingsleder for tilskuddsavdelingen .
  • R4, R5 og R10 håndteres av virksomhetsleder.
  • R11 håndteres av avdelingsleder i IKT-avdelingen .

Vurdering av behov for tiltak – lavere nivåer

Basert på prosesskartleggingen som ble gjennomført i tilskuddsavdelingen knyttet til prosessen søknadsbehandling tilskudd, ser prosesseier at r2 og r5 ikke er tilstrekkelig håndtert i dagens prosess, jf. figur 29 og 30. En tredje risiko r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet er også utilstrekkelig håndtert, og vil også påvirke prosessen for søknadsbehandling tilskudd. Denne håndteres på virksomhetsnivå.

Det besluttes derfor at det må igangsettes risikoreduserende tiltak for å håndtere følgende risikoer:

Risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen:

Dagens prosedyre forutsetter at saksbehandler tar kontakt med søkere og etterspør manglende informasjon etter hvert som slike mangler oppdages underveis i saksbehandlingen. Dette medfører uhensiktsmessig bruk av saksbehandlers tid.

Risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn):

Dagens prosedyre forutsetter at saksbehandler skal registrere tilsagn i et regneark. Det er uklart for saksbehandlerne hvilket ansvar de har, hvor ofte regnearket skal oppdateres, og hvor den siste versjonen er lagret.

Dessuten har prosesseier identifisert en overlappende kontroll, kontroll k7 Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register. Denne kontrollen gjøres både som ledd i vurderingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp, jf. figur 29. 

Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register kan dermed utgå ved beregning og fastsettelse av tilskuddsbeløp, forutsatt at kontrollen som skjer når det vurderes om søknaden er kvalifisert for tilskudd, også ivaretar de forholdene som vanligvis sjekkes ved beregning og fastsettelse av tilskudd. Dokumentasjon av utført kontroll mot offentlig register må følge sakspapirene.

Det er også identifisert en overlappende kontroll, kontroll k8 Saksbehandler kontrollsummerer beregninger gjort i søknaden. Det viser seg at denne kontrollen gjøres både som et ledd i vurder- ingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp.

Det er tilstrekkelig at kontrollsummeringen skjer ved beregning og fastsettelse av tilskuddsbeløp. Kontrollsummering kan da utgå ved vurdering av om søknaden gir grunnlag for tilskudd.

Risikoene r3 Manglende sikring mot bevisste feil og misligheter og r4 Tilskudd gis på feil grunnlag er tilstrekkelig håndtert med dagens etablerte kontroller, når en hensyntar at det på virksomhets- nivå vil vurderes tiltak knyttet til etiske retningslinjer og habilitet. Det er imidlertid behov for oppfølging og spesielt anses fem av kontrollene som mer kritiske enn de øvrige. FYSetat omtaler slike kontroller som nøkkelkontroller.

Disse er henholdsvis:
  • k3 Tilgangsbegrensninger i saksbehandlingssystemet og økonomisystemet. Automatisk loggføring av endringer i faste data.
  • k5 Tilskuddsbrev undertegnes av person med budsjettdisponeringsmyndighet
  • k7 Saksbehandler kontrollerer søknadsgrunnlaget mot offentlig register
  • k9 Saksbehandler kontrollerer at søknad oppfyller tildelingskriterier fastsatt i tilskuddsregelverket

Kontrollen k4 alle tilskuddsutbetalinger attesteres før utbetaling er også en nøkkelkontroll, og følges opp i administrasjonsavdelingen i forbindelse med utbetaling. At disse kontrollene anses som mer kritiske enn de øvrige, begrunnes med at svikt i kontrollen i vesentlig grad vil påvirke målsettingen om korrekte, gyldige og rettidige vedtak, og at gjennomføringen av disse kontrollene kan forhindre andre kontrollsvakheter før de får en vesentlig betydning.

Seksjonleder med ansvar for søknadsbehandling tilskudd ønsker dermed i oppfølgingen å teste om disse kontrollene etterleves og fungerer som forutsatt, noe som er nærmere omtalt under kapittel 5.5 Eksempel oppfølging.

5.3 Eksempel utforming

5.3.1 Identifisere aktuelle tiltak

Utforming av nye tiltak og oppdatering av eksisterende tiltak vil bli utført på ulike nivåer i virksomheten avhengig av hvor det er hensiktsmessig å håndtere risikoen, og hvem som er risikoeier. Generelt og uavhengig av hvor i virksomheten håndteringen av risiko skjer, vil arbeidet med utforming og oppdatering av tiltak i større eller mindre grad skje i tre trinn:

  1. Identifisere aktuelle tiltak for å håndtere risikoen
  2. Vurdere, prioritere og beslutte tiltak
  3. Utforme og dokumentere besluttede tiltak
Figur 11: Internkontrollprosessen – utforming.
Figur 32: Internkontrollprosessen – utforming

Identifisere tiltak på virksomhetsnivå 

Virksomhetsledelsen har i forlengelsen av risikovurderingen på virksomhetsnivå umiddelbart identifisert fire tiltak på virksomhetsnivå.

Siden både egenevalueringen av internkontrollen og risikovurderingen på virksomhetsnivå har avdekket et behov for å tydeliggjøre roller og ansvar på ulike områder og formalisere dette ansvaret, har ledelsen identifisert tiltak knyttet til dette behovet. I tillegg har det blitt besluttet tiltak om reforhandling av driftsavtale med leverandør for å løse problemene knyttet til nedetid.

Ledelsen er opptatt av å ikke beslutte forhastede tiltak, da de bakenforliggende årsakene til problemene ofte bør utredes før tiltak besluttes. For problemene som er omtalt over, er det imidlertid ikke behov for noen nærmere rotårsaksanalyse, da årsakssammenhengene er klare og har vært kjent over lengre tid.

Veileder i rotårsaksanalyse
docx 1.02 MB

Følgende tiltak kan dermed utformes på virksomhetsnivå uten å identifisere ulike alternativer og vurdere/prioritere mellom disse:

  • R4: Operasjonalisere etiske retningslinjer for statstjenesten gjennom dilemmatrening og praktiske caser med spesiell vekt på problemstillinger knyttet til habilitet og misligheter. Virksomhetsledelsen oppfatter at det er usikkerhet knyttet til i hvor stor grad de etiske retningslinjene er kjent blant de ansatte. Etiske problemstillinger knyttet til tilskuddssaker har medført store medieoppslag i den senere tid, og ledelsen vurderer at dette er et område det er nødvendig å øke oppmerksomheten på i FYSetat.
  • R5: Oppdatere policy for tilskuddsforvaltningen for å tydeliggjøre rolle- og ansvarsfordelingen mellom tilskudds- , økonomi- og IKT-avdelingen . Det eksisterer en policy på området fra tidligere, men denne er ikke oppdatert på lang tid og omtaler ikke dette grensesnittet særskilt.
  • R10: Utarbeide en policy for internkontroll siden ansvarsdelingen mellom den nyopprettede funksjonen og linjeledere knyttet til oppfølgingen av internkontroll er uklar. Virksomhetsledelsen vil forsikre seg om at linjen forstår og følger opp sitt ansvar for internkontroll, selv om virksomheten har opprettet en slik rolle/funksjon.
  • R11: Reforhandle driftsavtalen med leverandøren av saksbehandlingsløsningen for å redusere risikoen for at nedetid og ustabilitet i saksbehandlingsløsningen forsinker saksbehandlingen.

Det er besluttet å opprette en tverrfaglig arbeidsgruppe satt sammen av representanter fra tilskudds-, administrasjons- og IKT-avdelingen som skal bistå fagansvarlig internkontroll i arbeidet med å forbedre formaliseringen knyttet til roller og ansvar i grensesnittet mellom linjen og fag- ansvarlig internkontroll (R10). Fagansvarlig internkontroll leder denne arbeidsgruppen.

Identifisere tiltak på lavere nivåer

Kartleggingen av prosessen for søknadsbehandling tilskudd viste at det var et behov for forbedringer for å håndtere risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen og risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn), jf. figur 30. Risiko r5 er en konkretisering av risiko R3 i risikovurderingen på virksomhetsnivå.

I arbeidet med å få på plass hensiktsmessige og gode tiltak ser prosesseier et behov for å identifisere hva som kan være aktuelle tiltak, og vurdere hvilke av disse alternative tiltakene som vil være mest hensiktsmessige og effektive med tanke på å håndtere risikoen. Prosesseiers vurdering av hva som vil være aktuelle tiltak, er listet opp i tabellen i figur 33.

Risiko Aktuelle tiltak Type tiltak

r2- Mangelfulle søknader gir uhensiktsmessig tidsbruk i saks- behandlingen

A Innføre fullstendighetssjekk av søknaden før søknaden går til behandling.

B Utarbeide og tilgjengeliggjøre mal for søknad.

C Utarbeide veiledningsmateriell der krav til søknaden konkretiseres.

D Klargjøre regelverket slik at tildelingskriteriene blir tydeligere.

Forebyggende manuell kontroll


Forebyggende manuell kontroll


Forebyggende manuell kontroll

Forebyggende manuell kontroll

r5- Mangelfull oversikt over inngåtte forpliktelser (tilsagn)

A Det defineres en ny rolle med ansvar for oppdatering av tilsagnsregister.

B Det opprettes et tilsagnsregister som ny modul i saksbehandlings- systemet.

C Prosedyrene oppdateres slik at det blir tydelig hvilket ansvar den enkelte saksbehandler har og hvordan registrering skal skje.

Forebyggende manuell kontroll

 

Forebyggende automatisk kontroll

 

Forebyggende manuell kontroll



Figur 33: Oversikt over ulike mulige tiltak i prosessen søknadsbehandling tilskudd.

I vurderingen av mulige tiltak har prosesseier forsøkt å identifisere kontroller som er forebyggende og automatiske, slik at kontrollene i størst mulig grad er «bygget inn» i prosesser og systemer.

5.3.2 Vurdere, prioritere og beslutte tiltak

Vurdere, prioritere og beslutte tiltak på virksomhetsnivå

Som nevnt har ledelsen i FYSetat i forbindelse med risikovurderingen på virksomhetsnivå konkludert med at de har tilstrekkelig grunnlag til både å identifisere og å beslutte tiltak på virksomhetsnivå.

Vurdere, prioritere og beslutte tiltak på lavere nivåer

Basert på listen over aktuelle tiltak beslutter prosesseier for søknadsbehandling tilskudd at tiltak A Innføre fullstendighetssjekk av søknader før søknaden går til behandling jf. figur 33, er det tiltaket som ønskes prioritert for å håndtere risiko r2. I vurderingen er det vektlagt at dette er et tiltak som har lav kostnad, kan igangsettes raskt, krever lite forberedelse og vil gi en rask bedring i saksbehandlingskapasiteten.

Når det gjelder beslutning knyttet til hvilket tiltak som skal velges for å håndtere r5, er vurderingen mer kompleks. De ulike tiltakene har et svært ulikt kostnadsestimat, og for ett av tiltakene vil det være nødvendig å involvere IKT-avdelingen, siden tiltaket innebærer en endring i saksbehandlingssystemet som IKT-avdelingen har ansvar for å drifte. 

Utvikling av ny modul vil også kreve utviklings- ressurser fra IKT-avdelingen i tillegg til ressurser som må avsettes fra tilskuddsavdelingen. Prosess- eier for søknadsbehandling tilskudd ser det derfor som hensiktsmessig å gjøre en kost–nytte- analyse av ulike mulige tiltak og vurdere disse opp mot hverandre.

Kost–nytte-vurderingen er illustrert i figur 34. I figuren vil tiltakene som kommer best ut med hensyn til verdi1 og realiserbarhet2, bli prioritert.

Prosesseier ønsker å prioritere tiltak B Det opprettes et tilsagnsregister som ny modul i saks- behandlingssystemet. Valget begrunnes med at tiltaket har klart høyest verdi. Tiltak B er samtidig det tiltaket som på kort sikt er mest kostnadskrevende i form av utviklingskostnader. En ny modul vil imidlertid gi automatisert kontroll, slik at tiltaket vil generere minimale kostnader på lengre sikt.

Tiltakene A og C har høy realiserbarhet, siden de medfører begrensede kostnader. De prioriteres likevel etter tiltak B, siden verdien vurderes vesentlig lavere, noe som blant annet begrunnes med at kontrollene vil være manuelle og prosedyren vil være sårbar, fordi den baseres på at alle saksbehandlere registrerer inn i et åpent regneark. Dette tiltaket vil også kreve saksbehandlerressurser til gjennomføring og oppfølging.

Figur 34: Prioritering av tiltak.
Figur 34: Prioritering av tiltak.

5.3.3 Utforme og dokumentere besluttede tiltak

FYSetat har nå besluttet hvilke tiltak som skal velges for å håndtere de ulike risikoene på ulike nivåer i virksomheten. Neste steg er å utforme de spesifikke tiltakene som er besluttet. Den enkelte risikoeier må avgjøre hvem som skal utforme tiltakene, og hvordan utformingen skal skje.

Utforme og forbedre på virksomhetsnivå

På virksomhetsnivå betyr dette at avdelingsleder for administrasjonsavdelingen er tildelt et ansvar for å utforme opplegget for dilemmatrening knyttet til etiske retningslinjer. Fagansvarlig internkontroll utarbeider et utkast til policy for internkontroll som skal godkjennes av virksomhetsleder. 

Avdelingsleder for tilskuddsavdelingen er tildelt ansvar for å gjennomgå eksisterende policy for tilskuddsforvaltning og gjøre oppdateringer slik at grensesnitt, herunder roller og ansvar mellom økonomi- og IKT-avdelingen, blir ivaretatt på en god måte. Fagansvarlig internkontroll vil bistå avdelingsleder for tilskuddsavdelingen i dette arbeidet. Avdelingsleder for IKT-avdelingen har støttet seg på juridisk ekspertise i arbeidet med å forberede reforhandling av driftsavtalen for saksbehandlingsløsningen.

Fagansvarlig internkontroll i FYSetat vil ta utgangspunkt i mal for policy for internkontroll utarbeidet av DFØ når policy for internkontroll skal utarbeides.

Veiledning – policy for internkontroll
docx 936.12 KB

Avdelingsleder for tilskuddsavdelingen vil også ta utgangspunkt i FYSetats felles mal for policyer når policy for tilskuddsforvaltning skal oppdateres. Dette for å sikre at innholdet i hver enkelt policy følger en fast mal og at de tydelig angir hvor ansvaret for ulike oppgaver skal ligge.

Utforme og forbedre på lavere nivåer

Prosesseier har, som nevnt i kapittel 5.3.2, besluttet at to nye tiltak skal utformes i prosessen for søknadsbehandling tilskudd. Disse tiltakene er følgende:

  1. innføre fullstendighetssjekk av søknader før søknaden går til behandling
  2. opprette et tilsagnsregister som ny modul i saksbehandlingssystemet
For tiltak 1 gis en av saksbehandlerne i oppgave å utforme tiltaket. Utformingen omfatter å:
  • utarbeide sjekkliste for avkrysning av at påkrevd informasjon inngår i søknaden
  • utarbeide mal for følgebrev til søker
  • utarbeide avkrysningsliste som legges ved søknader som sendes i retur
For tiltak 2 etableres det et prosjekt med representanter fra både tilskuddsavdelingen og IKT-avdelingen. Prosjektet deles inn i to faser:
  • fase 1, som omfatter utvikling og godkjenning av ny modul
  • fase 2, som omfatter utforming av ny og oppdatert prosedyre

Etter at de to tiltakene er utformet, har prosesseier oppdatert prosesskartet slik at det viser oppdatert arbeidsflyt. I tillegg til å innarbeide de to nye tiltakene er prosessen oppdatert slik at overlappende kontroller som ble identifisert i kapittel 5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging, er tatt bort.

I figur 35 vises hvordan FYSetat har valgt å dokumentere besluttede tiltak gjennom et nytt og oppdatert prosesskart for prosessen søknadsbehandling tilskudd med tilhørende prosedyrebeskrivelse. De to overlappende kontrollene, henholdsvis k7 og k8, er korrigert slik at k7 og k8 nå kun gjennomføres en gang, samt at nye tiltak (ny k2 og ny k10) knyttet til r2 og r5 er innarbeidet.

I tabellen i figur 36 vises et utdrag fra prosedyrebeskrivelsen for prosedyren for søknadsbehandling i FYSetat. Her gis en nærmere beskrivelse av aktivitetene som inngår i prosessen søknadsbehandling tilskudd.

Nummer  Handling Ansvarlig Når
1 Arkiv mottar innkomne søknader og journalfører disse Administrasjon, Arkiv Løpende
2 Saksbehandler kontrollerer om søknad er fullstendig og om nødven- dig informasjon er vedlagt. Kontrollen dokumenteres ved utfylling av sjekkliste. Tilskuddsavdelingen Løpende
3 Saksbehandler returnerer ufullstendige søknader. Søknader som returneres vedlegges et returbrev, og avkrysningsliste hvor mangler ved søknaden fremkommer. Tilskuddsavdelingen Løpende
4 ...    
5 ...    
osv. ...    
15 Utbetaling til tilskuddsmottakere Regnskapsavdelingen Månedlig

Figur 36: Utdrag fra prosedyre for søknadsbehandling.

5.4 Eksempel implementering

FYSetat er opptatt av å sikre at besluttede tiltak blir iverksatt og etablert i virksomheten, slik at endringen blir gjennomført og besluttede tiltak blir etterlevd og får ønsket effekt.

Ledelsen i FYSetat har tidligere erfart at jobben ikke er gjort idet tiltakene er utformet, og har innsett hvor viktig det er å prioritere ressurser til å iverksette og gjennomføre besluttede tiltak

Figur 14: Internkontrollprosessen – implementering.
Figur 37: Internkontrollprosessen – implementering.
Viktige suksesskriterier i dette arbeidet er forhold som:
  • forankring, holdninger og atferd både hos ledelsen og involverte ansatte knyttet til tiltakene
  • informasjon, kommunikasjon og tilgjengeliggjøring knyttet til tiltakene
  • tilstrekkelig kompetanse, ferdigheter og ressurser knyttet til tiltakene
  • tilpassede verktøy og systemstøtte for å underbygge og støtte opp om tiltakene

De som er ansvarlig for de ulike tiltakene i FYSetat, er i tillegg ansvarlig for å sikre en vellykket implementering. Dette ansvaret innebærer også å ivareta de ovennevnte punktene.

Implementering på virksomhetsnivå

I figur 38 gjengis FYSetats implementeringsaktiviteter knyttet til ett av de fire tiltakene på virksomhetsnivå. Tiltaket gjelder utarbeidelse av policy for internkontroll.

Aktivitet Ansvar Frist Utført

Behandling i virksomhetens ledergruppe før godkjenning av virksomhetsleder

Virksomhetsleder 24/4  

Gjennomgang i ledergruppene til de fire avdelingene

Respektive avdelingsledere 2/5  

Utsending av informasjon via intranett, presentasjon av tiltaket og henvisning til hvor policy er tilgjengelig

Leder adm.avd. 5/5  

Figur 38: Implementeringsaktiviteter knyttet til tiltaket Utarbeidelse av policy internkontroll.

Implementering på lavere nivåer

Etter at de to nye tiltakene i søknadsbehandlingsprosessen er utformet, er neste trinn å implementere endringen. Nedenfor følger en kort beskrivelse og implementeringsplan for ett av de to tiltakene.

Tiltak 1 – det innføres fullstendighetssjekk av søknader før søknaden går til behandling

Det besluttes at fullstendighetssjekk av søknader med påfølgende retur av ufullstendige søknader innføres etter neste søknadsrunde, dvs. én måned frem i tid. I forkant av implementeringsdato må alle saksbehandlere informeres og gis opplæring i bruk av sjekkliste, brevmal og avkrysningsliste. Siden saksbehandlerne selv har etterspurt en mer effektiv saksgang og har vært med på å foreslå og utforme tiltaket, er det stor forståelse for og tilslutning til det nye tiltaket internt. Søkerne har imidlertid vært vant til å bli kontaktet av saksbehandlerne, som har bidratt med veiledning og hjelp i forbindelse med å fremskaffe nødvendig informasjon til søknaden. 

Det vurderes derfor dit hen at det er et behov for både direkte informasjon i form av brev til allerede registrerte søkere (søkere som søker ofte) og mer generell informasjon på FYSetats internettsider til nye søkere. I informasjonen bør det fremkomme at endringen vil være til søkernes fordel siden saksbehand- lingstiden etter endringen forventes å gå ned.

Prosesseier setter opp en kort implementeringsplan for tiltaket som vist i figur 39.

Aktivitet Ansvar Frist Utført
Informere arkiv om nye rutiner Prosesseier

25/4

 
Utarbeide og sende informasjonsbrev til tidligere registrerte søkere Prosesseier

2/5

 
Utarbeide informasjon om ny praksis som legges på internett Prosesseier/stab

10/5

 
Lære opp saksbehandlere og tilgjengeliggjøre ny og oppdatert prosedyre Prosesseier

15/5

 

Figur 39: Implementeringsaktiviteter knyttet til tiltaket det innføres fullstendighetssjekk av søknader før søknaden går til behandling.

5.5 Eksempel oppfølging

Oppfølging skal sikre en systematisk vurdering av internkontrollen og gi virksomhetsledelsen rimelig grad av sikkerhet for at besluttede tiltak etterleves og gir ønsket effekt. Oppfølging kan skje i form av løpende eller frittstående oppfølging eller i en kombinasjon av de to.

Virksomhetsledelsen i FYSetat har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Virksomhetsledelsen legger i sin oppfølging særlig vekt på tiltak rettet mot virksomhetens vesentligste risikoer og kontroller. I inneværende år er det ikke prioritert å gjennomføre frittstående oppfølging.

Figur 16: Internkontrollprosessen – oppfølging.
Figur 40: Internkontrollprosessen – oppfølging.

5.5.1 Vurdering av om internkontrollen etterleves og gir ønsket effekt

Oppfølging av risikoer på virksomhetsnivå

For risikoen R1 Manglende relevant og riktig kompetanse på tilskuddsområdet og risiko R2 Det gis tilskudd til feil mottaker eller på feil grunnlag ble det besluttet at etablerte tiltak var tilstrekkelige, og at ytterligere tiltak ikke skulle prioriteres.

Virksomhetsledelsen har likevel vurdert det som viktig å følge opp at etablert internkontroll knyttet til disse risikoene fungerer som tiltenkt. Det kommer av at konsekvensen, hvis risikoene inntreffer, er vurdert som høy. Oppfølgingen skjer ved at virksomhetsleder to ganger i året har møter med de respektive avdelingslederne hvor virksomhetsavtalen gjennomgås.

Virksomhetsleders oppfølgingspunkter overfor avdelingsleder for tilskuddsavdelingen er blant annet:
  • andel klager som får medhold
  • utvikling når det gjelder kompetansesituasjonen i avdelingen
  • saksbehandlingstid i forhold til krav i serviceerklæringen
  • tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom  tilskuddsavdelingen og IKT-avdelingen er utbedret
  • andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer
Virksomhetsleders oppfølgingspunkter overfor avdelingsleder for IKT-avdelingen er blant annet:
  • nedetid for saksbehandlingssystemet
  • tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom  tilskuddsavdelingen og IKT-avdelingen er utbedret
  • andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer 

Oppfølging på lavere nivåer

På lavere nivåer skjer oppfølgingen av internkontrollen i FYSetat ved at ledere for de ulike avdelingene følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. Oppfølging skjer gjennom stikkprøvekontroller/tester, analyser og styringsparametere. Ettersom det ikke er hensiktsmessig å følge opp alt, har den enkelte avdelingsleder prioritert de områdene og kontrollene som de anser som viktigst ut fra risiko og vesentlighet innenfor sitt respektive ansvarsområde.

I tillegg til å følge opp at allerede etablert internkontroll etterleves og gir ønsket effekt, må det også følges opp at nye tiltak og forbedringer som besluttes, blir gjennomført som forutsatt.

På avdelings- og seksjonsnivå kan det være fornuftig å ha en plan eller oversikt over oppfølgingsoppgaver. Gjennomføring av denne planen danner blant annet grunnlaget for den årlige rapporteringen på internkontrollen som avdelingsledere avgir til virksomhetsleder i november hvert år.

Avdelingsleder for tilskuddsavdelingen har, som vist i figur 41, følgende områder som følges opp løpende gjennom året via styringsparametere og analyser.

Oppfølgingsaktivitet Type oppfølging Utføre oppfølging Frist

Oppfølging av styringsparametere:

  • oppfølging av saksbehandlingstid mot krav i serviceerklæring
  • oppfølging av andel klager som får medhold
  • oppfølging av antall avslag
  • oppfølging av inngåtte forpliktelser (tilsagn)
  • oppfølging gjennom måling av brukertilfredshet ved rådgivning
  • oppfølging av at rapporteringsfrister overholdes





Ta ut rapporter fra saksbehandlings- systemet











Avdelingsleder for tilskuddsavdelingen












Kvartalsvis












Figur 41: Eksempler på oppfølgingsaktiviteter i tilskuddsavdelingen.

Seksjonsleder for søknadsbehandling tilskudd har satt opp følgende oversikt for sitt ansvarsområde.

Oppfølgingsaktivitet Type oppfølging Utføre oppfølging Frist

Verifisering av kontroll k3

Kontroll mot systemdokumentasjon

Sjekk av logg på stikkprøvebasis

Seksjonsleder for søknadsbehandling

Juni og stikkprøver ved nytilsettinger og avgang

Verifisering av kontroll k7

Stikkprøver av saksbehandlers dokumentasjon, utfylt sjekkliste

Seksjonsleder for søknadsbehandling

Halvårlig i juni og november

Verifisering av kontroll k9

Stikkprøvekontroller av saks- behandlers dokumentasjon, jf. sjekkliste mot tildelingskriterier

Seksjonsleder for søknadsbehandling November

Oppfølging av styringsparametere:

  • nedetid for saksbehandlingssystemet
  • antall klager saksbehandlingstid

Uttak av rapporter fra saksbehandlingssystemet

 

Seksjonsleder for søknadsbehandling

 

Månedlig

 

Figur 42: Eksempler på oppfølgingsaktiviteter i prosessen søknadsbehandling tilskudd.

Tilsvarende oversikter er utarbeidet for øvrige avdelinger og for de prosessene i FYSetat som er definert som vesentlige.

Som tidligere nevnt blir planen for fagansvarlig internkontroll for året godkjent av virksomhets- ledelsen, og statusen på denne blir fulgt opp i avdelingsmøte i juni. Etter hvert vil også denne planen omfatte en oversikt over de oppfølgingsaktivitetene som fagansvarlig internkontroll skal gjennomføre for å følge opp at linjen ivaretar sitt internkontrollansvar på en tilfredsstillende måte.

5.5.2 Bruk av informasjon fra oppfølgingen til styring, læring og forbedring

Ledelsen i FYSetat legger vekt på at oppfølgingen av internkontrollen skal være systematisk og helhetlig. Resultatet fra oppfølgingen brukes følgelig aktivt i forbindelse med planlegging og risikovurderinger for neste år, både på virksomhetsnivå og på lavere nivåer. Ledelsen i FYSetat har også erfart at systematisk oppfølging er et avgjørende element i forbindelse med virksomhetens lærings- og forbedringsarbeid. 

Virksomheten har, som resultat av et mer systematisk arbeid med internkontrollen oppnådd større bevissthet om betydningen av god internkontroll, samt fått bedre oversikt over status og risikoområder som bør prioriteres i internkontrollarbeidet. Dette gir virksomhetsledelsen større trygghet for at virksomheten har en mer systematisk, enhetlig og helhetlig tilnærming i internkontrollarbeidet uavhengig av hvilke personer som leder de ulike avdelingene.

FYSetat erfarer også at forbedringer i internkontrollen har fristilt tid og ressurser for ledere, ved at oppgaver i større grad blir gjort riktig første gang. Selv om det fremdeles er behov for forbedringer i internkontrollen brukes det nå mindre tid på brannslukking, og en har oppnådd en mer hensiktsmessig oppfølging og rapportering. Internkontrollarbeidet har på denne måten bidratt til bedre styring, ved at virksomhetsledelsen kan bruke mer tid på å gjøre de «riktige» tingene og mindre tid på å følge opp og kontrollere for å sikre at virksomheten «gjør tingene riktig».

Virksomhetsledelsen har derfor prioritert å etablere flere arenaer for oppfølging, problemløsing og avvikshåndtering på ulike nivåer i organisasjonen (team, seksjon, avdeling, virksomhet).

Ledergruppen i tilskuddsavdelingen i FYSetat går for eksempel hver måned gjennom registrerte avvik og klagesaker fra søkere. Fagansvarlig internkontroll deltar på disse møtene for å vurdere om det er svakheter denne avdelingen har felles med andre avdelinger, og om det er behov for tiltak på høyere nivå.

Det er dessuten lagt til rette for at eksterne kan gi tilbakemeldinger på for eksempel hvordan de opplever kvaliteten på FYSetats tjenester. Det skjer via internett, og virksomheten gjennomfører også årlige spørreundersøkelser.

5.6 Eksempel rapportering

5.6.1 Rapportere resultater knyttet til internkontroll til rett nivå og til rett tid og integrere rapporteringen med øvrig rapportering

Resultatet fra oppfølgingen gir virksomhetsledelsen i FYSetat et grunnlag for å vurdere kvaliteten på etablert internkontroll, en mulighet for å iverksette korrektive tiltak, få input til forbedringsarbeidet og dessuten et godt utgangspunkt for neste planperiode.

Figur 17: Internkontrollprosessen – rapportering.
Figur 43: Internkontrollprosessen – rapportering.

Effektiv og pålitelig rapportering forutsetter at tilstrekkelig, pålitelig og relevant informasjon rapporteres til rett nivå og til rett tid. Det er avgjørende at informasjonen som rapporteres, er tilpasset behovet for og formålet med rapporteringen. I FYSetat er det etablert tydelige krav til hva som skal rapporteres når og til hvem. Ansatte i FYSetat må følgelig forholde seg til både interne og eksterne rapporteringskrav.

Rapportering knyttet til internkontrollen er i FYSetat i størst mulig grad integrert i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten blir all rapportering av verdi for styring og kontroll sett i sammenheng og benyttet i arbeidet med å etablere korrektive tiltak og planlegge neste periode.

I tillegg til den ordinære og regelmessige interne og eksterne rapporteringen som foregår i FYSetat som et ledd i styringen, er det også etablert kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og risikoer som inntreffer eller truer med å inntreffe. FYSetat har i henhold til arbeidsmiljøloven etablert en uavhengig varslingskanal og har prosedyrer for oppfølging og rapportering av varslinger av kritikkverdige forhold.

Direktøren i FYSetat har besluttet at det halvårlig (i juni og i november) i et ledermøte skal rapporteres på status for håndtering av risiko identifisert i risikovurderinger og status for relevante styringsparametere innenfor de ulike avdelingene.

I tillegg har direktøren i FYSetat bestemt at avdelingslederne én gang i året (i november) skal rapportere på status for internkontrollen innenfor eget ansvarsområde. Fagansvarlig internkontroll har ansvar for å samle inn og sammenstille lederrapporteringen fra de fire avdelingene. Dette gir virksomhetsleder et godt grunnlag for å vurdere hvordan FYSetas internkontrollsystem fungerer, om det er behov for å iverksette korrektive tiltak, om det er vesentlige tiltak som ikke er fulgt opp det siste året, og om det er vesentlige forbedringsområder innenfor de ulike avdelingene som bør løftes og håndteres. 

Rapporteringene benyttes også som grunnlag for å omtale virksomhetens internkontroll i FYSetats årsrapport.

Rapportering på lavere nivåer

Avdelingsleder for tilskuddsavdelingen har brukt FYSetats felles mal for rapportering på avdelings- og seksjonsnivå, som er vist i figur 44. Avdelingsledere må selv sørge for å etterspørre status fra ledere og prosesseiere på lavere nivåer og gjennomføre den oppfølgingen og de analysene de selv anser for å være nødvendig for å kunne rapportere hvordan tilstanden på internkontrollen innenfor eget ansvarsområde er.

Mal - rapportering knyttet til internkontroll
xlsx 82.91 KB

Rapportering på virksomhetsnivå

Fagansvarlig internkontroll sammenstiller rapporteringene fra de fire avdelingene i et felles skjema, som vist i figur 45. Her fremkommer status for internkontrollen basert på de respektive avdelingers utfylling av rapportmalen, der grønn indikerer at status er tilfredsstillende, gul delvis tilfredsstillende og rød ikke tilfredsstillende.

Den sammenstilte rapporteringen gir virksomhetsledelsen et overordnet bilde av status og utfordringer i de ulike avdelingene. Basert på den sammenstilte rapporteringen fra avdelingene kan virksomhetsleder årlig gjøre en overordnet vurdering av internkontrollen for FYSetat samlet. Vurderingen på virksomhetsnivå danner grunnlag for rapportering til overordnet departement og FYSetats omtale av styring og kontroll i årsrapporten. I verktøyet Mal – rapportering knyttet til internkontroll finnes det også en mal for en samlet vurdering av status på virksomhetens internkontroll.

Rapporteringen i FYSetat viser at det gjennomføres risikovurderinger i alle avdelingene bortsett fra i IKT-avdelingen. Uklare ansvarsforhold var identifisert som et av problemområdene for FYSetat ved risikovurderingen på virksomhetsnivå, og rapporteringen viser at det fremdeles gjenstår arbeid med å etablere og oppdatere policyer som skal klargjøre ansvarsforhold. 

Arbeidet med formalisering må derfor fortsette inn i neste planperiode. For informasjonsavdelingen mangler det fremdeles enkelte policyer og prosedyrer. Alle avdelingene har fortsatt en jobb å gjøre med hensyn til å få policyer og prosedyrer kjent og etterlevd. IKT-avdelingen har gjenstående anmerkninger fra Riksrevisjonen, som må følges opp i neste planperiode. Alle avdelinger har rapportert status gul knyttet til manglende kjennskap til etiske retningslinjer, og det forventes derfor at alle avdelinger gjennomfører etisk dilemmatrening kommende år.

Virksomhetsledelsen har satt av tid i ledermøtet i november for å drøfte resultatet som fremkommer gjennom den sammenstilte rapporteringen fra avdelingene. Konklusjoner fra dette møtet vil, sammen med annen informasjon, herunder resultater fra løpende oppfølging og eventuelle nye merknader fra Riksrevisjonen, inngå som en del av grunnlaget for neste års planprosess.

Informasjonen som fremkommer av oppfølgingen og rapporteringene foretatt i de ulike avdelingene benyttes som grunnlag for læring og forbedring av FYSetats internkontrollsystem.

Fotnoter

1Verdi og nytte anses i denne sammenheng som synonymer. 
2Kostnaden er ett av elementene i vurderingen av hvor realiserbare tiltakene er (dersom kostnaden er høy, bidrar det til å redusere realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv.