Uttalelsen gjelder økonomiregelverkets krav til internkontroll (§ 14 g), og hvorvidt det kreves særskilte risikovurderinger for å sikre at internkontrollen er tilpasset virksomhetens egenart, samt risiko og vesentlighet når det gjelder misligheter. Videre omtales hva slags dokumentasjon som er nødvendig for å oppfylle kravene til internkontroll i bestemmelsene punkt 2.4 første ledd.
Tolkningsuttalelse fra Finansdepartementet av 22. februar
2013
Mottaker: Riksrevisjonen
Finansdepartementets referanse: 12/4391
Publisert: 15. februar 2017
Riksrevisjonens tversgående undersøkelse om forebygging og avdekking av misligheter - vurdering av kravet i reglement for økonomistyring i staten § 14 bokstav g.
Vi viser til Riksrevisjonens brev av 25. januar 2013, og til telefonsamtale mellom underdirektør Dag Nenningsland og avdelingsdirektør Astri Tverstøl 15. februar 2013. Departementet er gitt utsatt frist for svar til torsdag 21. februar.
Riksrevisjonen har gjennomført en tversgående undersøkelse for regnskapsåret 2012 om forebygging og avdekking av misligheter i statsforvaltningen. Undersøkelsen var rettet til alle statlige virksomheter, også departementene. Som et ledd i undersøkelsen stilte Riksrevisjonen følgende spørsmål:
Har departementet/virksomheten vurdert konkret risiko for misligheter for å ivareta kravet i Reglement for økonomistyring i staten § 14 bokstav g?
DFØ har i en uttalelse 9. november 2012 vurdert spørsmålet om økonomiregelverket krever at det skal foretas egne risikovurderinger av hvert av punktene a til g under reglementets § 14, og konkluderer med at det ikke foreligger et slikt vilkår.
Fra Finansdepartementets side forstår vi det slik at Riksrevisjonen gjennom sin henvendelse ønsker svar på tre spørsmål.
1. Deler Finansdepartementets DFØs tolking av kravene til etterlevelse av regelverkets § 14 g?
Direktoratet for økonomistyring er delegert ansvaret for å forvalte det statlige økonomiregelverket, med unntak av Bestemmelsenes kap. 1 om departementenes styring av virksomheter. Dette innebærer at DFØ skal formidle og fortolke regelverk, standarder og god praksis på økonomistyringsområdet. Prinsipielle spørsmål skal forelegges Finansdepartement til avgjørelse.
I den aktuelle saken har Finansdepartementet bedt DFØ om å avgi en uttalelse i samsvaret med direktoratets mandat. Vi legger DFØs uttalelse av 9. november 2012 til grunn for departementets forståelse av kravet som stilles i samsvar med § 14 g.
2. Vi ber om Finansdepartementets vurdering av om det kreves risikovurderinger for å sikre at intern kontrollen er tilpasset virksomhetens egenart, samt risiko og vesentlighet, særskilt når det gjelder misligheter.
Effektiv intern kontroll står sentralt i oppfølgingen av økonomiregelverket. En sentral forutsetning for tolkningen av denne og andre bestemmelser i regelverket er reglementets § 4, hvor det stilles krav om at styring, oppfølgning, kontroll og forvaltning må tillpasses virksomhetens egenart samt risiko og vesentlighet. Krav om tilpasning til risiko og vesentlighet fremgår også av bestemmelsene punkt 2.4 om intern kontrol.
Styring, oppfølgning og kontroll - herunder systemer og rutiner for å sikre god intern kontroll - må basere seg på en risikovurdering som tar utgangspunkt i de særegne forhold i hver virksomhet. Det vil derfor ikke være hensiktsmessig å stille opp et allment krav om å gjennomføre en full mislighetsvurdering i alle virksomheter.
For at ledelsen i en virksomhet skal oppfylle kravet i bestemmelsenes punkt 2.4, må den imidlertid som et minimum har gjennomført en overordnet risikovurdering av virksomheten. En slik analyse vil gi grunnlag for å fastsette gode systemer og rutiner som har innebygd internkontroll. I en vurdering av risiko for styringssvikt, feil og mangler kan misligheter være ett av flere elementer som naturlig inngår i vurderingene på overordnet nivå, på lavere organisasjonsnivåer eller i operative prosesser.
Eksempelvis kan ledelsen i en liten virksomhet - på grunnlag av den overordnede risikovurdering - konkludere med at de allmenne krav om transaksjonskontroller som stilles i bestemmelsene punk 2.5 vil gi en tilstrekkelig sikkerhet på dette punktet.
3. Hva slags dokumentasjon er nødvendig for å oppfylle kravene i bestemmelsenes punkt 2.4 første ledd?
Statsforvaltningen omfatter mange virksomheter med ansvar for ulike funksjonsområder. Dagens regelverk er utformet for å imøtekomme den store variasjonen i statlige virksomheters egenart. Enkelte områder, spesielt styring, er derfor regulert på et overordnet nivå, jf. bestemmelsenes kap. 2.
Regelverket inneholder flere bestemmelser med krav til hva virksomheten skal kunne dokumentere. Felles for de fleste av kravene er at det ikke er spesifikt angitt hvilke dokumenter som må utarbeides, eller hvordan disse skal innrettes og bygges opp for å imøtekomme kravet til dokumentasjonen.
Det er derfor heller ikke spesifisert hva slags dokumentasjon som er nødvendig for å oppfylle bestemmelsene punkt 2.4, første ledd. Den enkelte virksomhet må selv avgjøre hvilke dokumenter det er behov for. Virksomheten vil også måtte avgjøre hva som er en hensiktsmessig form, struktur og omfang på dokumentene. Utformingen av dokumentasjonen for intern kontroll bør etter Finansdepartementets syn gjenspeile virksomhetens tilpasninger til risiko og vesentlighet, jf. omtale over.
Selv om Finansdepartementet mener at det ikke er hensiktsmessig å normere regelverket ytterligere, er det imidlertid behov for veiledning til virksomhetene på dette punktet. DFØ har derfor utarbeidet en veileder i internkontroll som vil bli publisert om kort tid. Veilederen presenterer en strukturert metode for arbeidet med intern kontroll, hvor utgangspunktet er en overordnet risikovurdering. DFØ vil også tilby konkrete, nettbaserte verktøy som virksomhetene kan laste ned og bruke.
En slikt verktøy er en sjekkliste som tar for seg virksomhetens styrings- og kontrollmiljø. En utfylt sjekkliste vil etter Finansdepartementets oppfatning kunne tjene som et godt eksempel på hvordan virksomhetens ledelse kan dokumentere at en har gjort de nødvendige vurderingene for å oppfylle kravene i bestemmelsene punkt 2.4.