DFØ har utarbeidet en generell og overordnet metode for systematisk etablering, forbedring og oppfølging av internkontroll, uavhengig av fagområde og uavhengig av nivå i virksomheten. Her kan du lese mer om sammenhengen mellom DFØs metode og andre aktørers metoder og veiledningsmateriell.
Statlige virksomheter er omfattet av lover og regelverk som stiller eksplisitte krav til internkontroll i tillegg til de kravene som stilles i økonomiregelverket. Disse lovene og reglene blir forvaltet av andre statlige myndigheter enn DFØ.
Nedenfor finner dere en omtale av ulike regelverk, standarder, rammeverk og veiledninger knyttet til internkontroll som blir forvaltet av andre aktører enn DFØ. Dette er ingen komplett oversikt.
Flere regelverk krever internkontroll
Det finnes en rekke regelverk i Norge som stiller krav om internkontroll på ulike områder, for eksempel økonomi- og virksomhetsstyring, helse-, miljø- og sikkerhet (HMS), informasjonssikkerhet, vitale nasjonale sikkerhetsinteresser mv.
Noe regelverk gjelder både offentlig og privat sektor, f.eks. internkontrollforskriften innen HMS. Andre deler gjelder kun offentlig sektor, det vil si stat og kommune, for eksempel eForvaltningsforskriften § 15 om informasjonssikkerhet.
Videre gjelder noe regelverk for spesifikke deler av offentlig sektor, som økonomiregelverket som gjelder for staten og kommuneloven § 23 for kommunene. Begge de to siste har krav til internkontroll generelt.
Ulike veiledningsaktører knyttet til internkontroll
Det er ulike statlige aktører som er ansvarlige for å forvalte regelverk og gi veiledning om regelverket på ulike områder. For eksempel forvalter Arbeidstilsynet internkontrollforskriften om HMS, Digitaliseringsdirektoratet har ansvar for informasjonssikkerhet, NSM for Sikkerhetsloven og DFØ forvalter økonomiregelverket i staten.
På samme måte som regelverket har ulikt virkeområde, har de tilhørende veiledningene ulikt virkeområde. Noe gjelder kun statlige virksomheter, noe stat og kommuner og noe stat, kommuner og privat sektor og så videre.
Videre er både regelverket og de ulike veiledningene preget av det fagmiljø som har vært dominerende i utformingen av regelverket. Det er internasjonalt to fagmiljø som har dominert når det gjelder rammeverk og standarder knyttet til styringssystem, risikostyring og internkontroll. Dette er:
- COSO, med de to rammeverkene «Intern kontroll» og «Helhetlig risikostyring»
- ISO, med et sett av standarder for «Management systems» innen ulike områder som kvalitet, risikostyring, informasjonssikkerhet, miljø, mv. («Management systems» er av Norsk Standard tidligere oversatt til styringssystem, men de er fra høsten 2015 gått over til å kalle dem ledelsessystem)
Økonomiregelverket i staten er for eksempel tydelig forankret i COSO-rammeverket, mens informasjonssikkerhet, kvalitet, miljøstyring og til dels internkontrollforskriften HMS, er tydelig forankret i ISO-standarder eller forløperne til disse.
De ulike tilnærmingene mye felles. Utgangspunktet for de fleste er bl.a. at virksomheten skal etablere internkontroll som er tilpasset risiko. De viktigste innholdselementene eller aktivitetene er også de samme. De fleste rammeverkene, standardene og veiledningene er dessuten tydelig på at virksomhetene bør prøve å etablere helhetlige system for intern styring og kontroll, og ikke en rekke adskilte og forskjellige systemer eller løsninger for ulike fagområder.
Om virksomheten kaller det styrings- og kontrollsystem, kvalitetssystem, internkontrollsystem eller noe annet, har mindre betydning. Et felles mål for alle statlige virksomheter er å oppnå god styring og kontroll. Hvilke standarder og rammeverk virksomhetene ønsker å basere seg på for å oppnå dette er mindre viktig, så lenge det ikke eksisterer lovpålagte krav til å følge eller basere seg på en standard.
Den enkelte virksomhet har normalt fleksibilitet og handlingsrom til å tilpasse metoder, standarder eller rammeverk til virksomhetens egenart og status på internkontrollområdet.
For enkelte spesifikke områder som for eksempel internrevisjon eller informasjonssikkerhet, er det regelverkskrav om at virksomheten skal basere seg på anerkjente områdespesifikke standarder. Det er for informasjonssikkerhet anbefalt å basere seg på standarden ISO/IEC 27001 og Digdir har utarbeidet ytterligere veiledningsmateriell denne standarden. Likevel er det er opp til virksomhetsledelsen i den enkelte virksomhet å avgjøre omfang av etterlevelse av standarden.
For andre fagområder vil virksomheten stå mer fritt i forhold til hvilke standarder og rammeverk som vil være mest hensiktsmessig å støtte seg på for å oppfylle krav om internkontroll gitt virksomhetens egenart, risiko og vesentlighet.
Det avgjørende er at virksomhetene evner å benytte rammeverk, standarder og veiledninger som kunnskapskilder og støtte. Bruk, implementering eller tilpasning av enhver veiledning, standard, eller rammeverk vil kreve ressurser som må stå i forhold til den nytteverdien de gir. Rammeverk, standarder og veiledninger er utviklet til hjelp og er noe virksomheter kan basere seg på eller støtte seg til for å få tilstrekkelig internkontroll og kvalitet i sine prosesser, produkt og tjenesteleveranser.
Ansvar for overholdelse av lover og regler
Overholdelse av lover og regler er kun en av tre sentrale målsetninger med internkontrollen. Statlige virksomheter har ulik egenart og har som nevnt ulike lover og regler å forholde seg til. Det er virksomhetsleder som har det endelige ansvaret for internkontrollen og for at virksomheten som helhet drives:
- målrettet og effektivt
- har pålitelig rapportering
- overholder lover og regler
Det betyr for eksempel ansvar for at virksomheten i sin helhet etterlever Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) eller e-Forvaltningsforskriften og anerkjente standarder for styringssystem for informasjonssikkerhet (ISO 27001) som følger av denne.
Ledere på lavere nivå har ansvar for internkontroll innenfor sitt ansvarsområde. Medarbeidere har ansvar for internkontroll i utøvelse av sine arbeidsoppgaver og ansvarsområder. Dette er styrt av hvilken delegering som blir praktisert i virksomheten. Det betyr at ledere på ulikt nivå må ha oversikt over mål og krav innenfor sitt ansvarsområde, identifisere risikoer knyttet til oppnåelse som kan true om målene blir nådd, og håndtere disse risikoene innenfor sitt ansvarsområde.
Veiledningsmateriell internkontroll innen spesifikke fagområder
Ulike veiledningsaktører har som nevnt ulike mandat og ulike lover og regler de baserer seg på når de gir veiledning i hvordan etablere og forbedre internkontroll innenfor sitt spesifikke fagområde. Under følger en oversikt over noen sentrale aktører og deres veiledningsmateriell knyttet til internkontroll. Målgruppene for de ulike veiledningene vil variere ut fra fagområde, men formålet for alle aktørene er å gi veiledning slik at statlige virksomheter etablerer god internkontroll på fagområdet det gjelder og dermed overholder de lover og regler som følger av fagområdet. Oversikten under er ikke komplett.
Internkontroll knyttet til økonomistyring
Kravene til internkontroll når det gjelder økonomistyring er hjemlet i reglement for økonomiregelverket for staten og bestemmelser om økonomistyring i staten. Les mer om kravene.
Selv om økonomiregleverket er særlig rettet mot økonomiforvaltning, favner regelverket bredere og omfatter styring og kontroll også utover økonomiområdet. Internkontrollkravene i regelverket er basert på COSO internkontroll – et integrert rammeverk. DFØs Veileder i internkontroll er derfor også basert på COSOs internkontroll-rammeverk og omtaler en generell og overordnet metode for hvordan man kan etablere og systematisk forbedre internkontrollen uavhengig av fagområde eller nivå i virksomheten. Selve metoden er inspirert av Plan-Do-Check-Act-illustrasjonen som bl.a. var sentral i mange ISO-standarder tidligere.
Den primære målgruppen for veiledningsmateriellet er ledere på alle nivå og de som har fått et særlig ansvar i virksomheten for å støtte ledelsen i etablering og forbedring av internkontrollen.
Internkontroll knyttet til informasjonssikkerhet
Kravene til internkontroll når det gjelder informasjonssikkerhet er hjemlet i eForvaltningsforskriften §15, som krever at statlige virksomheter og kommuner skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Det betyr i praksis å basere seg på standarden ISO/IEC 27001.
Digitaliseringsdirektoratet skal gi anbefalinger på området og har utarbeidet et veiledningsmateriell som er basert på denne ISO-standarden. Digitaliseringsdirektoratets anbefalinger til aktiviteter innen internkontroll på informasjonssikkerhetsområdet skal med små justeringer kunne tilpasses slik at de inngår i ulike varianter av helhetlig styringssystem, kvalitetssystem eller internkontrollsystem. Dette gjelder også for DFØs generelle metode for arbeid med internkontroll.
Den primære målgruppen for veiledningsmateriellet er de som har fått et sentralt ansvar i virksomheten for å støtte ledelsen i etablering, vedlikehold og forbedring av internkontrollen innen informasjonssikkerhet.
Veiledning på Digitaliseringsdirektoratets nettsider:
- Veileder i internkontroll knyttet til informasjonssikkerhet
- Veiledning om helhetlig styring og kontroll av informasjonssikkerhet
Internkontroll knyttet til vitale nasjonale sikkerhetsinteresser
En virksomhet som har etablert et styringssystem i tråd med ISO 27001 vil også ha et godt grunnlag for å tilfredsstille kravene til sikkerhetsstyring som stilles bl.a. i Sikkerhetsloven. Sikkerhetsloven skal legge forholdene til rette for at rikets selvstendighet og andre vitale nasjonale sikkerhetsinteresser vernes mot spionasje, sabotasje eller terror (dvs. sikkerhetstruende virksomhet). Nasjonal sikkerhetsmyndighet (NSM) har utgitt en veileder i sikkerhetsstyring som gir råd til virksomheter om hvordan et styringssystem for sikkerhet kan etableres og videreutvikles.
Veilederen er generell og aktuell for alle som jobber helhetlig med sikkerhet. Den gir råd i tråd med praksis på området for sikkerhetsstyring og etablering av et styringssystem for sikkerhet. Veilederen kan sees på som et supplement til bl.a. DFØs veileder og relaterte verktøy for internkontroll, samt Digitaliseringsdirektoratets veileder for informasjonssikkerhet.
Veileder i sikkerhetsstyring finner du på nsm.stat.no.
Internkontroll knyttet til HMS
Kravene til internkontroll vedrørende helse, miljø og sikkerhet (HMS) er hjemlet i Internkontrollforskriften § 4. Innholdet i internkontrollarbeidet fremgår av §5. Forskriften er knyttet opp mot en rekke lover og forskrifter og forvaltes av flere myndigheter. Arbeidstilsynet har utgitt en veileder til internkontrollforskriften. Formålet med veiledningen er at helse-, miljø- og sikkerhetslovgivningen oppnås. Målgruppen er ansvarlig for virksomheten, arbeidstakere og tillitsvalgte både i offentlige og private virksomheter.
Veileder til HMS - forskriften finner du på nettsidene til Arbeidstilsynet.
Internkontroll knyttet til offentlige anskaffelser
Lov om offentlige anskaffelser stiller krav til effektive og lønnsomme innkjøp.
Veileder for internkontroll i offentlige anskaffelser finner du på anskaffelser.no.
Internkontroll knyttet til behandling av personopplysninger
Datatilsynet fører tilsyn med overholdelse av personopplysningsloven og har også gitt ut veiledere om internkontroll som dekker både informasjonssikkerhet og etterlevelse av loven for øvrig.
Internkontroll i sosial- og helsetjenesten
Veilederen Internkontroll i sosial og helsetjenesten er basert på forskrift om internkontroll i sosial- og helsetjenesten og er et uttrykk for myndighetenes klare satsning på systematisk styring og kontinuerlig forbedring. Veiledningen er utarbeidet i samarbeid mellom Helsedirektoratet og Statens helsetilsyn, og er ment som et hjelpemiddel for virksomheter som er i ferd med å etablere internkontroll, eller som en sjekkliste for de som allerede har internkontroll eller andre mer omfattende kvalitetssystemer.
Veileder i internkontroll i sosial- og helsetjenesten finner du på nettsiden til Helsedirektoratet.