I dette kapittelet gir vi en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst.
Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter.
2.1 Krav til internkontroll i statlige virksomheter
Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at:
- beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn
- måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning
- ressursbruken er effektiv
- regnskap og informasjon om resultater er pålitelig og nøyaktig
- virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte
- økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold
- misligheter og økonomisk kriminalitet forebygges og avdekkes
Økonomiregelverket inneholder også andre konkrete krav som vil inngå som en del av internkontrollen i en virksomhet. Eksempler her er krav knyttet til at styringsdialogen mellom departement og underliggende virksomheter skal være dokumenterbar, og krav knyttet til transaksjonskontroller, aggregerte kontroller, etterkontroll og dokumentasjon av kontrollaktiviteter. Videre stilles det krav til virksomhetens økonomisystem, bokføring, dokumentasjon og oppbevaring av regnskapsmateriale, krav i forbindelse med utstedelse av faktura, krav til attestasjon og undertegning av tilskuddsbrev, mv. Nevnte krav omtales ikke nærmere i veilederen, med unntak av kapittel 4.1.1 hvor dokumentasjon av internkontroll omtales nærmere. For øvrig forutsettes kravene ivaretatt gjennom målsettingskategoriene som omtales nærmere i kapittel 2.2.
Videre presiserer bestemmelsene at dersom virksomheten benytter en tjenesteyter i forbindelse med utførelse av økonomioppgaver, skal virksomhetens internkontroll være tilpasset arbeidsdelingen mellom virksomheten og tjenesteyteren. Virksomhetsleder har et selvstendig ansvar for økonomioppgavene, uavhengig av om deler av oppgavene utføres av andre.
I tillegg til økonomiregelverket vil statlige virksomheter være omfattet av annet lov- og regelverk som stiller eksplisitte krav til virksomhetenes internkontroll, og som forvaltes av andre statlige myndigheter enn DFØ. Selv om disse lov- og regelverkene ikke omtales nærmere i denne veilederen, understrekes det at overholdelsen av disse naturlig vil inkluderes i målsettingskategorien «Overholdelse av lover og regler», jf. nærmere omtale i kapittel 2.2.3.
Definisjonen av internkontroll som introduseres i neste avsnitt og som er lagt til grunn i denne veilederen, er mindre spesifikk enn de konkrete kravene som stilles til internkontroll i økonomiregelverket. Metodene og verktøyene som presenteres i veilederen, vil være egnet for å etablere og forbedre internkontroll knyttet til både spesifikke temaer og krav som omtales i økonomiregelverket, og krav som følger av annet lov- og regelverk.
2.2 Hva forstår vi med begrepet internkontroll?
Veilederen bygger på COSOs1 definisjon av internkontroll, og legger til grunn følgende.
Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder:
- målrettet og effektiv drift
- pålitelig rapportering
- overholdelse av lover og regler
I definisjonen forutsettes det at internkontroll gjennomføres av foretakets styre, ledelse og ansatte. Det er få statlige virksomheter som er organisert med et styre, og begrepet foretak er lite brukt i statsforvaltningen. Følgelig vil denne veilederen bruke benevnelsen virksomhet i stedet for foretak. Eventuelle styrers rolle i virksomhetens internkontrollarbeid omtales ikke nærmere i denne veilederen. Det vises imidlertid til bestemmelsene punkt 1.2 og reglementet § 3, hvor det kreves at departementet skal sørge for at det foreligger instrukser som beskriver myndighet og ansvar, inklusiv innbyrdes forhold mellom departementet, eventuelt styre og virksomhetsleder.
Definisjonen vektlegger at internkontroll må forstås som en prosess som er utformet for å gi rimelig sikkerhet for måloppnåelse. Denne prosessen må tilpasses og justeres i tråd med endrede forutsetninger, rammer og risiko. Etablering, gjennomføring og oppfølging av internkontrollen inngår derfor som en integrert del av de øvrige plan-, gjennomførings-, oppfølgings- og rapporteringsprosessene i virksomheten, og gir grunnlag for kontinuerlig læring og forbedring.
De tre målsettingskategoriene i COSOs definisjon av internkontroll klargjør formålet med internkontrollen. Økonomiregelverkets krav til internkontroll slik de fremgår av reglementet § 14 og bestemmelsene punkt 2.4 bokstavene a–g, kan innplasseres i henhold til de tre målsettingskategoriene. Det er derfor godt samsvar mellom formålet med internkontroll slik det fremgår av Økonomiregelverket, og COSOs beskrivelse av formålet operasjonalisert gjennom de tre målsettingskategoriene. Les mer i veilederen Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, vedlegg A.
COSO legger til grunn at internkontroll består av fem innbyrdes sammenhengende komponenter, henholdsvis kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåkning. På tilsvarende måte som for målsettingskategoriene gjenspeiles disse komponentene også i økonomireglementet, jf. bestemmelsene punkt 2.4.3 bokstavene a–e.
Komponentenes betydning utdypes som en del av en metode som beskrives nærmere i kapitlene 2–4. Nedenfor utdypes de tre målsettingskategoriene, og de settes inn i en statlig kontekst.
2.2.1 Målrettet og effektiv drift
En målrettet og effektiv drift er avgjørende for at virksomheten skal nå målene sine. I statlige virksomheter vil målrettet og effektiv drift reflektere det ansvaret virksomhetens ledelse har for å2
- gjennomføre aktiviteter i tråd med Stortingets vedtak og forutsetninger og fastsatte mål og prioriteringer fra departementet
- fastsette mål og resultatkrav og foreta prioriteringer med ettårig og flerårig perspektiv innenfor eget ansvarsområde
- sørge for planlegging, gjennomføring og oppfølging, herunder resultat- og regnskapsrapportering
- definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde for å sikre oppfyllelse av reglementet og bestemmelsene, herunder ansvarsforhold mellom virksomhetslederen og øvrig ledelse, og eventuelt styre
- etablere internkontroll
Implisitt i disse kravene ligger også et krav om at virksomheten bruker tildelte ressurser effektivt3.
Forenklet sett fremstilles produkter og tjenester ved at innsatsfaktorer i form av penger, kompetanse mv. omformes gjennom ulike aktiviteter og prosesser i virksomheten til produkter og tjenester som virksomheten leverer internt eller eksternt. Gjennomføringen av virksomhetens oppgaver kan derfor ses på som prosesser, og kan generelt deles inn i kjerneprosesser, støtteprosesser og styringsprosesser. Kvaliteten på produkter og tjenester er avhengig av god internkontroll både i og i tilknytning til disse prosessene.
I praksis handler internkontroll om å etablere og bruke strukturer og systemer som gir nødvendig trygghet for at oppgaveutførelsen gir ønsket kvalitet og effektivitet. Målrettet og effektiv drift innebærer at virksomhetens kjerne-, støtte- og styringsprosesser er utformet, gjennomført og fulgt opp på en måte som bidrar til at fastsatte mål og krav blir oppfylt.
Forhold som ofte er avgjørende for å oppnå målrettet og effektiv drift, kan blant annet knyttes til:
- hvordan virksomheten innretter produkt-/tjenesteområdene med tilhørende prosesser og funksjoner for å sikre ønsket kvalitet, og hvordan prosessene er lenket sammen
- hvilke kontroller som skal utføres i prosessen for å innfri mål og krav
- hvilken kompetanse medarbeidere som er involvert i arbeidet bør ha, og hvordan arbeidet er organisert
- hvorvidt medarbeidere får nødvendig informasjon av betydning for oppgaveutførelsen
Dette innebærer at internkontrollen omfatter både innretningen på selve prosessen (eksempelvis innebygde kontroller) og forhold som påvirker prosessen (eksempelvis hvordan ansvar og myndighet er definert og tydeliggjort i virksomheten, organisering, mv.).
2.2.2 Pålitelig rapportering
Med pålitelig rapportering menes at informasjon som formidles internt og eksternt skal være korrekt, rettidig og i samsvar med de kravene som er stilt. Det gjelder både informasjon som benyttes som grunnlag for beslutninger og intern styring, og informasjon som kommuniseres eksternt både til overordnet nivå og til allmennheten.
Som et ledd i virksomhetens interne styring vil virksomhetsledelsen ha fastsatt interne rapporteringskrav for ulike nivåer og enheter. Den eksterne rapporteringen fra statlige virksomheter omfatter årsrapport og annen rapportering til overordnet departement i tråd med de kravene som er stilt i tildelingsbrevet. Rapportering omfatter også pliktig regnskapsrapportering til henholdsvis statsregnskapet og andre eksterne parter med hjemmel i lov4.
Statlige virksomheters rapportering benyttes både som en del av beslutningsgrunnlaget for interne prioriteringer i virksomheten og som en viktig del av kunnskapsgrunnlaget som departementer og overordnede myndigheter baserer politikkutforming, beslutninger og prioriteringer på. Riktig kvalitet på rapportert informasjon er derfor avgjørende for god styring både i virksomhetene, departementene og samfunnet samlet sett.
Pålitelig rapportering forutsetter at virksomheten har oversikt over hvilke interne og eksterne krav som stilles til rapportering i virksomheten, og at den har etablert rutiner, systemer og strukturer som ivaretar disse kravene. Uavhengig av om dataene som inngår i rapporteringsgrunnlaget er utarbeidet internt eller eksternt, er det viktig at virksomheten har rutiner som sikrer at informasjonen er korrekt og pålitelig, og at datakilder og -grunnlag er definert og kan etterprøves. Effektiv internkontroll tilsier også at virksomheten følger opp at rapporteringen tjener sitt formål, dvs. at den er korrekt, rettidig og relevant, og at den er tilpasset mottakerens behov.
2.2.3 Overholdelse av lover og regler
Statlige virksomheter omfattes av en rekke lover og regler, som forvaltningsloven, offentlighetsloven, lov om offentlige anskaffelser, arbeidsmiljøloven og andre lover med tilhørende forskrifter som regulerer virksomheten eller fagområdet spesielt. Det å etterleve statlige regelverk som bevilgningsreglementet og økonomiregelverket er også et grunnleggende krav for statlige virksomheter. Overholdelse av disse regelverkene er derfor en viktig internkontrollmålsetting innenfor denne kategorien. Statens personalhåndbok og utredningsinstruksen inneholder også sentrale bestemmelser som statlige virksomheter er forpliktet til å følge. Videre vil instruks for økonomi- og virksomhetsstyring fra departement til virksomhet inneholde krav til virksomheten. Virksomheten kan også ha fastsatt ulike interne policyer og prosedyrer5 som faller innenfor denne målsettingskategorien for internkontroll.
Det kan fremstå som selvfølgelig at statlige virksomheter skal overholde gjeldende lover og regler. Like fullt finnes det eksempler på at det kan være utfordrende å oppnå tilfredsstillende sikkerhet for at dette faktisk skjer. Overholdelse av lover og regler forutsetter at virksomhetens ledere og medarbeidere har oversikt over hvilke lover, forskrifter, rundskriv og instrukser som gjelder for virksomheten, og hvilke interne policyer og prosedyrer som er etablert. Videre forutsettes det at virksomheten har oversikt over i hvilke prosesser, enheter/funksjoner og arbeidsoppgaver gjeldende lover og regler har betydning. Effektiv internkontroll innebærer at det er etablert tiltak som i nødvendig grad sikrer at krav som følger av lover og regelverk, ivaretas i de ulike prosessene og enhetene i virksomheten.
Virksomhetene kan gjennom ulike former for tiltak sørge for at lover og regler blir overholdt, eksempelvis gjennom å kreve at ansatte innehar en gitt type kompetanse, etablere opplæringsprogrammer, ha maler og prosedyrer som sikrer at sakene gjennomgår gitte steg, ha en klar arbeidsdeling, ha sjekklister, mv. Lover og regler kan endres, og det er derfor viktig at virksomheten har prosedyrer for å fange opp nye krav og endringer, og at ansvaret for å følge opp dette området er definert.
2.3 Hvorfor er det nødvendig med internkontroll?
Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som helhet. For den enkelte samfunnsborger er det avgjørende at statlige produkter og tjenester har god kvalitet.
God kvalitet gir sikkerhet for at det fattes riktige vedtak, at utbetalinger er rettidige og korrekte, at diagnoser er korrekte, og at behandlingen er effektiv. For samfunnet som helhet er oppgaveutførelsen i statlige virksomheter avgjørende for legitimitet, effektiv ressursbruk og oppfyllelse av fastsatte mål og forventede effekter.
Internkontroll bidrar til kvalitet og effektivitet
God internkontroll bidrar til kvalitet og effektivitet i statens produkt- og tjenesteleveranser, og bidrar dermed også til at samfunnsoppdraget oppfylles på en god måte.
Statlige virksomheter baserer sin virksomhet på de fire grunnleggende forvaltningsverdiene demokrati, rettssikkerhet, faglig integritet og effektivitet6. Effektiv internkontroll vil bidra til at statlige virksomheter oppfyller forventningen om at de utfører oppgavene sine i tråd med disse forvaltningsverdiene.
«Effektiv internkontroll legger til rette for at tingene gjøres riktig første gang».
Forebygger feil og negative hendelser
Effektiv7 internkontroll legger til rette for at tingene gjøres riktig første gang. Internkontroll kan på den måten bidra til å forebygge feil og negative hendelser. Samtidig vil internkontroll også bidra til kvalitet, effektivitet og forutsigbarhet i statens produkt- og tjenesteleveranser. Når arbeidsprosesser og oppgaver gjennomføres på en måte som sikrer ønsket kvalitet, kan ressurser hos ledelsen frigjøres fra brannslukking, kontrolloppgaver, feilretting og korrigering.
Bidrar til kontinuerlig forbedring
Virksomheter som arbeider systematisk med forbedringer i internkontrollen, opplever at internkontrollarbeidet gir viktige bidrag til virksomhetens arbeid med kontinuerlig forbedring. En slik systematisk tilnærming sikrer at virksomheten har begrunnet og dokumentert virksomhetens risikobilde og tilpasset det interne kontrollnivået deretter. Dersom virksomhetens internkontroll tilpasses egenart, risiko og vesentlighet, legges det til rette for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På den måten kan internkontrollen frigjøre ledelseskapasitet til strategisk styring.
For å være effektiv må internkontrollen integreres i driften og bygges inn i oppgaveutførelsen på en måte som sikrer systematikk og kvalitet også når virksomhetens systemer og rutiner utsettes for negativ og uforutsett påvirkning. En slik integrering gir både ledere og medarbeidere en trygghet for at oppgavene mestres, slik at de utføres med forventet kvalitet og i tråd med gjeldende lover og regler.
Bedrer evnen til å meste utfordringer
Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten bedrer virksomhetens evne til å mestre de kontroll- og styringsutfordringene virksomheten står overfor.
God kvalitet i ledelsens beslutningsgrunnlag er avgjørende for å kunne ta riktige beslutninger. Når relevant informasjon knyttet til etablering, forbedring og oppfølging av internkontrollen integreres i styringsprosessene i virksomheten og inngår som en del av beslutningsgrunnlaget for ledelsen, gir internkontrollarbeidet også en direkte merverdi til styringen. Merverdien avhenger av at internkontrollen integreres slik at informasjon om forbedringsbehov utnyttes i de ordinære styringsprosessene.
Selv med effektiv internkontroll kan det oppstå uheldige situasjoner og feil som følge av menneskelig eller teknisk svikt eller misforståelser, eller som følge av at ansatte bevisst omgår etablerte kontroller. Det å ha et formalisert og velfungerende internkontrollsystem reduserer sannsynligheten både for at ubevisste og bevisste feil inntreffer. God internkontroll hjelper virksomheten med å oppfylle mål og krav, ved at den kan unngå fallgruver og overraskelser. Med effektiv internkontroll er virksomheten bedre rustet mot de utfordringene som vil komme.
Fotnoter
1Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSO-rapport 1992 Intern kontroll – et integrert rammeverk, og en uoffisiell oversettelse av Draft dec. 2011 fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og økonomiregelverkets begrep intern kontroll.
2Bestemmelsene punkt 2.2.
3Reglemet § 4b og bestemmelsene punkt 2.4.
4Bestemmelsene kapittel 3. Skattetetaten og Statistisk sentralbyrå er eksempler på eksterne parter.
5Med policyer og prosedyrer menes her virksomhetens interne dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyre), jf. kapittel 4.1.1 i denne veilederen.
6St.meld. nr. 19 (2008–2009) Ei forvaltning for demokrati og fellesskap, punkt 3.4 og punkt 3.5.
7COSO 1992: Intern kontroll – et integrert rammeverk. Internkontrollen er effektiv hvis det med rimelig sikkerhet kan sies at ledelsen ser i hvilken grad virksomhetens operative mål oppnås, rapporteringen er pålitelig og gjeldende lover og regler overholdes.