Internkontroll i virksomhetsstyringen

Internkontroll er en viktig del av virksomhetsstyringen og skal understøtte styringen og bidra til at virksomhetens mål nås. På denne siden gir vi svar på hvorfor internkontroll er en viktig del av virksomhetsstyringen, hvordan dere kan integrere internkontroll i virksomhetsstyringen, og hvordan internkontroll henger sammen med mål- og resultatstyring.

Hvorfor trenger dere god internkontroll i virksomhetsstyringen?

Statlige virksomheter er underlagt økonomiregelverket som stiller krav til internkontroll. Utover at det er et krav er det flere gode grunner til at det lønner seg å investere i god internkontroll. Her trekker vi fram tre av dem:

1. God internkontroll øker sannsynligheten for måloppnåelse

Svak internkontroll kan være en sentral årsak til at dere ikke når målene som er satt for virksomheten. Det vil være svært vanskelig å oppnå bruker- og samfunnsmål dersom dere ikke har kontroll på at produktene og tjenestene som blir levert til målgruppen er av god nok kvalitet og i riktig omfang. Tilsvarende vil tilstanden på produkter og tjenester avhenge av kvalitet og kontroll på innsatsfaktorer, aktiviteter og prosesser som skal til for å levere virksomhetens produkter og tjenester som planlagt.

2. God internkontroll hjelper oss å gjøre «riktig første gang» og gjør det «vanskelig å gjøre feil»

Har dere bygd inn god internkontroll i arbeidet med innsatsfaktorer, prosesser og aktiviteter, produkter og tjenester slik at driften er målrettet og effektiv, rapporteringen er pålitelig og virksomheten overholder lover og regler, hindrer dette at det oppstår bevisste og ubevisste feil. Da slipper dere å være reaktive og bruke tid og ressurser på feilrettinger, korrigeringer og «brannslukking». Dere kan heller bruke tiden på strategisk styring og verdiskapende arbeid for virksomhetens målgrupper.

3. Et godt internkontrollsystem er en forutsetning for å gi og få handlingsrom i styringsdialogen

Et internkontrollsystem som fungerer godt og etter hensikten, gir grunnlag for tillit i styringsdialogen med departementet. Departementet kan utøve overordnet kontrollansvar og basere seg på virksomhetens internkontrollsystem dersom det har tillit til at virksomheten har utviklet et godt internkontrollsystem tilpasset risiko og vesentlighet, og at dette fungerer etter hensikten. I motsatt tilfelle vil departementet måtte drive mer utstrakt grad av detaljstyring ved å stille krav og drive mer detaljert oppfølging av enkeltdeler av internkontrollen. Manglende internkontroll kan ta fra dere en del av handlingsrommet og binder ressurser til rapportering og ikke-effektskapende arbeid. Les mer om internkontroll i etatsstyringen.

Hvordan integrere internkontrollen i virksomhetsstyringen?

Økonomiregelverket, reglementet § 14 og bestemmelsene punkt 2.4, stiller krav til at statlige virksomheter skal etablere internkontroll, og at denne skal være innebygd i virksomhetens interne styring. Kravet gjelder ikke bare for økonomiområdet, men for alle områder og på ulike nivåer i virksomheten. 
Her får dere en eksempler på hvordan dere kan integrere internkontroll i virksomhetsstyringen med utgangspunkt i DFØs metode for å etablere og forbedre internkontrollen. DFØs metode består av to hoveddeler:

  • et fundament for god internkontroll som omfatter styrings- og kontrollmiljø
  • en prosess i seks steg for systematisk å etablere og forbedre internkontrollen

Prosessen kaller vi internkontrollprosessen. Denne består av seks steg:

  1. planlegging
  2. risikovurdering
  3. utforming av risikoreduserende tiltak
  4. implementering av risikoreduserende tiltak
  5. oppfølging
  6. rapportering

For en nærmere beskrivelse av metoden som omfatter både fundament og prosess, se veileder i internkontroll

Virksomhetsleder har det overordnede ansvaret for internkontrollen i virksomheten. For å ivareta dette ansvaret, må virksomhetslederen delegere oppgaver, myndighet og gi resultatansvar til ledere på lavere nivåer. Ledere på ulike nivåer har dermed ansvar for internkontroll innenfor eget ansvarsområde. 

DFØs metode er en generell tilnærming til arbeidet med internkontroll. Dere kan bruke metoden på ulike nivå i virksomheten – fra virksomhetsnivå helt ned til operative prosesser og i prosjekter. Det er sentralt i arbeidet med internkontrollen å etablere et godt fundament, det vil si et godt styrings- og kontrollmiljø, god informasjon og kommunikasjon, samt en systematisk prosess for å etablere og forbedre internkontroll innenfor eget ansvarsområde. Dersom lederne på ulike nivåer i virksomheten sørger for å etablere et godt fundament, vil dette øke sjansene for at virksomheten når fastsatte mål og krav, og at disse nås på en målrettet og effektiv måte, ved pålitelig rapportering og samtidig som lover og regler blir overholdt, det vil si med god internkontroll.

Når dere bruker samme systematiske metode og tankesett for arbeidet med å etablere og forbedre internkontrollen, skaper dere felles systematikk, referanser og ensartet begrepsbruk på tvers av nivåene i virksomheten.

Under utdyper vi hvordan dere kan bruke metoden på både på et overordnet nivå og på lavere nivå i virksomheten. I kapittel 5 i veileder i internkontroll kan du lese et gjennomgangseksempel om virksomheten Fysetat som bruker metoden kan på ulike nivå i virksomheten.

Integrer internkontrollprosessen i virksomhetsstyringen på overordnet nivå

Internkontroll er en prosess. Det betyr at arbeidet med internkontroll består av en rekke aktiviteter som skal bidra til et resultat. Resultatet er rimelig sikkerhet for at virksomheten drives målrettet og effektivt, har pålitelig intern og ekstern rapportering, samt overholder interne og eksterne lover og regler. Ettersom internkontroll er en prosess og ikke en enkelthendelse, en aktivitet, et system eller en «pakke» virksomheten kan kjøpe seg, vil arbeidet med internkontrollen foregå hele året og på alle nivå i virksomheten. De seks stegene i internkontrollprosessen kan på overordnet nivå bli sett på som et årshjul hvor dere:

  • planlegger arbeidet med internkontroll for året som kommer, og ser denne planleggingen i sammenheng med og som et resultat av den årlige risikovurderingen. Denne risikovurderingen og planleggingen kan dere gjennomføre i forbindelse med mottak av foreløpig eller endelig tildelingsbrev
  • utformer kontrollaktiviteter som blir sett i sammenheng med den årlige plan- og budsjettprosessen slik at kontrollaktiviteter blir integrert i virksomhetsplanen
  • følger opp tiltak og kontrollaktivitetene i løpet av året for å påse at de fungerer som tiltenkt og blir etterlevd
  • rapporterer effekten av kontrollaktiviteter løpende gjennom året og gjør en årlig vurdering av internkontrollen i virksomheten. Den samlede vurderingen av internkontrollen blir gjenspeilt i årsrapporten

Under beskriver vi nærmere integrering av de seks stegene i virksomhetsstyringen på overordnet nivå

Planlegging av arbeidet med internkontroll og risikovurdering (de to første stegene i internkontrollprosessen) bør dere se i sammenheng. Når dere gjennomfører årlig risikovurderinger hvor dere vurderer hvilke risikoer som kan true måloppnåelsen på overordnet og strategisk nivå, bør dere samtidig (i samme eller separat risikovurdering) også vurdere risiko på operasjonelt nivå innenfor målsetningskategoriene:

  • målrettet og effektiv drift
  • pålitelig rapportering
  • overholdelse av lover og regler

Tar dere hensyn til alle disse tre målsetningskategoriene, blir internkontrolltankegangen naturlig integrert i virksomhetsstyringen. Les mer om sammenhengen mellom risikostyring og internkontroll.

Som et grunnlag for planleggingen av internkontrollen det aktuelle året kan dere for eksempel gjennomføre en egenevaluering av internkontrollen slik at dere får opp en status og kan sette et ambisjonsnivå for internkontrollen. DFØ tilbyr et verktøy som gjør nettopp det. Verktøyet kan dere laste ned her – Verktøy egenevaluering av internkontrollen. Denne statusen på internkontrollen, eventuelt også resultatet av risikovurderingen, kan vise at dere har behov for å gjøre større forbedringer i internkontrollen på utvalgte områder. Da må dere i planleggingen sette av ressurser til det. Er det behov for større forbedringer i internkontrollen, bør disse tiltakene inn i virksomhetsplanen, bli fulgt opp og rapportert på gjennom året.

Virksomhetsledelsens overordnede risikovurdering kan også være utgangspunkt for å identifisere hvilke prosesser eller områder dere bør prioritere i internkontrollarbeidet. Hvilke risikoer anser ledelsen som de mest kritiske? På hvilke områder eller i hvilke prosesser (styrings-, støtte,- eller kjerneprosesser) slår disse risikoene inn? God internkontroll, i og i tilknytning til disse områdene og prosessene er vesentlig for at virksomheten skal kunne nå mål og oppfylle krav. Internkontroll koster og virksomhetsledelsen bør prioritere ressursene på internkontroll i de mest risikoutsatte områdene og prosessene. Det er dette som betyr å ha en risikobasert internkontroll. Det er et krav i økonomiregelverket at internkontrollen skal være tilpasset risiko og vesentlighet.

Etter at risikoreduserende tiltak/kontrollaktiviteter er identifisert og utformet, må ledelsen også sørge for at tiltakene blir implementert, slik at de faktisk blir iverksatt, gjennomført og etterlevd, samt påse at de fungerer og håndterer den risikoen de var ment å håndtere. Effektiv internkontroll forutsetter oppfølging, og det betyr at dere bør vurdere disse punktene: 

  • Gir den etablerte internkontrollen den effekten dere ønsker?
  • Etterlever vi den etablerte internkontrollen, gjør vi det som er bestemt? 

Oppfølging kan skje via løpende oppfølging, eller i form av mer frittstående oppfølging som evalueringer eller revisjoner. Informasjonen om resultater fra oppfølgingen og status på internkontrollen er et sentralt grunnlag for virksomhetsledelsens rapportering på styring og kontroll, både i kapittel IV i årsrapporten og i den løpende styringsdialogen med departement. Resultater fra oppfølgingen danner også et viktig grunnlag for kontinuerlig forbedring av internkontrollen i virksomheten. Dere kan ikke følge opp og rapportere på alt, men prioriter oppfølging av tiltak og kontrollaktiviteter på områder som er vesentlige for virksomhetens måloppnåelse.

Integrer internkontrollprosessen i virksomhetsstyringen på avdelings- og seksjonsnivå

Også på lavere nivåer som på avdeling- eller seksjonsnivå bør arbeidet med internkontroll og de seks stegene bli integrert i de eksisterende styringsprosessene i størst mulig grad. Dere bør planlegge arbeidet med internkontrollen og gjennomføre risikovurderinger i sammenheng med plan- og budsjettprosessen i seksjonen eller avdelingen. Tenk også på de tre målsettingskategoriene (målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler) når dere gjennomfører risikovurderinger av målene på avdelings- og seksjonsnivå.

Dere bør integrere risikoreduserende tiltak og kontrollaktiviteter i avdelings- og seksjonsplaner, ha oppfølging av disse og rapportere resultatet av oppfølgingen via de rapporteringsarenaene og kanalene dere allerede har. På den måten blir ikke internkontroll noe «på siden av», men en integrert del av styringen.

Dersom det i oppfølgingen blir avdekket feil og mangler i internkontrollen som ikke kan bli håndtert innenfor eget ansvarsområde, må dette løftes til neste nivå. Generelt bør dere sørge for å ha rutiner slik at alle resultater fra oppfølging (både positive og negative) blir rapportert til «rett nivå til rett tid», slik at informasjonen kan bli sammenstilt og integrert i øvrig rapportering til nivået over.

Rapporteringen fra lavere nivåer bør være av en slik art at den gir virksomhetsleder et dekkende bilde av hvordan internkontrollen fungerer i hele virksomheten. Dermed gir den virksomhetsleder et kvalifisert grunnlag for å vurdere status på den samlede internkontrollen i virksomheten. Resultatene fra oppfølgingen skal også bidra til kontinuerlig læring og forbedring på også på tvers av nivåer.

Integrer internkontroll i støtte-, kjerne, - og styringsprosesser

Det er særlig viktig med god internkontroll i risikoutsatte og vesentlige prosesser, områder, samt eventuelle vesentlige prosjekter, som er avgjørende for å levere produkter og tjenester av god kvalitet og effektivitet. For å få oppnå god internkontroll i disse prosessene kan dere også bruke de seks stegene i internkontrollprosessen. Alle prosesser (støtte-, kjerne-, og styringsprosesser) og prosjekter har ett eller flere mål. Dere kan etablere og forbedre internkontrollen i disse prosessene ved å systematisk

  • planleg ge og gjennomføre risikovurderinger knyttet til målene for prosessen eller aktiviteten 
  • utform e og implementere kontrollaktiviteter i prosessen
  • følge opp de mest vesentlige kontrollaktivitetene (nøkkelkontrollene) for å påse at de etterleves og gir ønsket effekt
  • rapportere resultatene fra oppfølgingen til rett nivå til rett tid
  • bruke resultatene fra oppfølging og rapporteringen til kontinuerlig læring og forbedring av prosessen

For veiledning i prosjektstyring og risikovurdering i prosjekter se Digitaliseringsdirektoratet sin prosjektveiviser.

Hvordan se internkontroll i sammenheng med mål- og resultatstyringen?

Mål- og resultatstyring skal kombineres med forsvarlig internkontroll. Økonomiregelverket § 4 Grunnleggende styringsprinsipper første ledd fastsetter et grunnleggende styringsprinsipp om forsvarlig internkontroll i statlig styring. Les mer om krav til MRS.

For å forklare hvordan internkontroll henger sammen med mål- og resultatstyringen kan vi ta utgangspunkt i resultatkjeden. God mål- og resultatstyring handler om å styre mot effekter. Det betyr at vi må følge opp at det er sannsynlig at leveransene våre, i form av produkter og tjenester, gir de effektene vi forventer å se hos brukerne og i samfunnet. Les mer om MRS. For å oppnå disse effektene må vi levere god kvalitet og effektivitet i produkt-, og tjenesteleveransene våre, og for å få til dette trenger vi god internkontroll. Da øker sannsynligheten for at vi oppnår effektene. God kvalitet og effektivitet i produkt- og tjenesteleveransene forutsetter igjen god internkontroll med innsatsfaktorer, aktiviteter og prosesser. Har vi for eksempel ikke kontroll med budsjettene våre eller folkene vi ansetter, eller vi har ineffektive aktiviteter og prosesser, vi bryter lover og regler med videre, ja da blir det vanskelig å levere gode og effektive produkter og tjenester, og således oppnå de effektene hos brukere og samfunn som vi styrer mot.

Jo lengre til venstre i resultatkjeden man befinner seg, jo mer kontroll over måloppnåelsen bør en kunne forvente at virksomheten har. Uønskede forhold eller hendelser som får negative konsekvenser for måloppnåelsen blir omtalt som risiko. Risiko kan oppstå langs alle leddene i resultatkjeden. Les mer om risiko. Risikoer som truer mål knyttet til leddene til venstre i resultatkjeden (innsatsfaktorer, aktiviteter/prosesser og produkter/tjenester) er ofte operasjonelle risikoer. Operasjonell risiko kan eksempelvis være tap som følge av menneskelige feil eller svikt i interne systemer og prosesser. Operasjonell risiko blir håndtert som en del av internkontrollen i virksomheten. Ved å etablere ulike typer risikoreduserende tiltak og kontrollaktiviteter kan virksomheten med rimelig sikkerhet sørge for målrettet og effektiv drift, pålitelig rapportering, overholdelse av lover. Operasjonelle risikoer kan imidlertid få strategiske konsekvenser. Det vil si at svikt i internkontrollen kan påvirke om virksomheten oppnår de ønskede effektene for bruker og samfunn.

Jo lengre til høyre man befinner seg i resultatkjeden, jo mindre direkte kontroll har virksomheten med måloppnåelsen. Det er mange faktorer utenfor virksomhetens kontroll som påvirker om målene for bruker og samfunn blir nådd. Uansett hvor god internkontroll virksomheten har, vil ikke dette alene garantere måloppnåelse.

Litt forenklet kan en si at god internkontroll er en viktig forutsetning for å nå de overordnede målene våre. Oppnår vi ikke de ønskede effektene hos målgruppene, kan svikt i internkontrollen være en av flere viktige årsaker. Samtidig gir ikke god internkontroll noen garanti for at de overordnede målene blir nådd. På denne måten henger internkontroll godt sammen med mål- og resultatstyring.

Figuren over viser at det kan oppstå risiko langs hele resultatkjeden og at svak internkontroll i leddene til venstre i resultatkjeden vil påvirke i hvilken grad virksomheten klarer å levere gode produkter og tjenester som igjen gir de effektene vi ønsker oss for bruker og samfunn.

Oppdatert: 20. september 2023

Kontakt

Har du spørsmål om styring i staten, send en e-post til styring [at] dfo.no (styring[at]dfo[dot]no). Eller bestill et møte med oss i DFØ.

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.