Her gir vi en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll.
Økonomiregelverkets krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal tilpasses risiko, vesentlighet og egenart. Dette innebærer at ledelsen må vurdere virksomhetens behov og ambisjoner for internkontroll. En effektiv internkontroll forutsetter at virksomheten har etablert et fundament for internkontroll som understøtter de ambisjonene virksomheten har.
Virksomhetens styrings- og kontrollmiljø, samt informasjon og kommunikasjon, inngår i dette fundamentet. Videre forutsetter en effektiv internkontroll en strukturert tilnærming som legger til rette for kontinuerlig forbedring og tilpasning til endrede forutsetninger og risikoer. Samlet utgjør disse dimensjonene det som i denne veilederen omtales som virksomhetens internkontrollsystem. Figuren nedenfor illustrerer elementene som inngår i internkontrollsystemet.
Trekanten i midten av figuren representerer virksomheten. Virksomhetens samfunnsoppdrag skal utføres på en slik måte at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler oppfylles. Virksomhetens evne til å oppfylle mål og krav påvirkes av virksomhetens styrings- og kontrollmiljø og av hvordan informasjons- og kommunikasjonsflyten fungerer i virksomheten.
Disse to elementene ligger som et fundament for virksomhetens internkontroll og inngår som en del av trekanten i figuren. Fundamentet utgjør en viktig premiss for hvordan internkontrollen etterleves og fungerer i praksis. Dette omtales nærmere i kapittel 4.
Metode – internkontrollprosess i seks steg
Metoden i figuren viser en mulig måte å arbeide med internkontroll på. Metoden består av en kontinuerlig prosess i seks steg, heretter omtalt som internkontrollprosessen. En systematisk gjennomføring av disse seks stegene vil bidra til å oppfylle de tre internkontrollmålsettingene og kontinuerlig forbedre virksomheten.
Selv for virksomheter som har arbeidet mye med internkontroll, kan det være behov for en mer enhetlig og helhetlig tilnærming og en mer strukturert prosess, noe denne metoden legger til rette for. Metoden vil være egnet både ved etablering og ved forbedring av internkontrollen. Dette omtales nærmere i kapittel 5.
Internkontroll som årlig prosess i virksomheten
Det er virksomhetens ledelse som har ansvaret for å initiere og legge til rette for prosessen med å utvikle internkontrollen i virksomheten. Dette innebærer at virksomhetsledelsen bør etablere en årlig prosess på virksomhetsnivå for arbeidet med internkontroll. For at internkontrollprosessen skal gi merverdi i styringen, bør den integreres i virksomhetens øvrige styringsprosesser.
Tidspunktet for gjennomføringen av stegene planlegging, risikovurdering og rapportering i metoden bør derfor tilpasses virksomhetens årlige styringshjul. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering med hensyn til internkontroll tilpasses slik at den gir merverdi til neste års planlegging og arbeidet med virksomhetens årsrapport.
I internkontrollarbeidet vil virksomhetsledelsen støttes av ledere på ulike nivåer og medarbeidere med ulike roller og ansvar, blant annet prosesseiere, en eventuell støttefunksjon for arbeidet med internkontroll, mv. Internkontrollprosessens seks steg kan brukes på alle nivåer i virksomheten.
I gjennomgangen av fundamentet i kapittel 4 og metoden i kapittel 5 henvises det også til relevante verktøy og maler. Disse verktøyene og malene er ment som inspirasjon og hjelp i det konkrete arbeidet med internkontroll og må tilpasses den enkelte virksomhets behov.
3.1 Etabler et fundament for internkontroll
Virksomhetens produkt- og tjenesteleveranser skal oppfylle mål og krav. For at virksomhetsledelsen skal få en tilfredsstillende sikkerhet for måloppnåelse, må ledere på alle nivåer ha god internkontroll innen eget ansvarsområde. Effektiv internkontroll forutsetter at virksomheten har etablert et fundament i form av et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon.
Virksomhetens produkt- og tjenesteleveranser utvikles gjennom ulike prosesser i virksomheten. Prosessene i en virksomhet vil alltid være utsatt for risikoer knyttet til det å nå målsettingen for prosessen. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon bidrar til kvalitet både i og i tilknytning til disse prosessene.
Videre i kapittel 3 beskrives viktige dimensjoner som bør tas hensyn til både i utviklingen av et godt styrings- og kontrollmiljø og i utviklingen av en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten.
Relevante verktøy
3.2 Styrings- og kontrollmiljø
Økonomiregelverket inneholder ikke eksplisitte krav til hvordan styrings- og kontrollmiljøet skal utformes, men i bestemmelsene punkt 2.4 er det listet opp flere faktorer som naturlig vil inngå som en del av styrings- og kontrollmiljøet.
3.2.1 Formelt og uformelt miljø må virke sammen
Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser.
Styrings- og kontrollmiljøet består således av både det formelle og det uformelle i virksomheten. Det formelle styrings- og kontrollmiljøet setter de formelle rammene for virksomheten og omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Eksempler er:
- organisering og fullmaktstrukturer
- kompetansekrav
- policyer og prosedyrer som virksomhetens ansatte må forholde seg til
Det uformelle i virksomheten dreier seg om holdninger, integritet, etiske verdier og normer som preger virksomheten, og omtales ofte som virksomhetskulturen.
God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styrings- og kontrollmiljøet i virksomheten. I noen virksomheter overlapper det formelle og det uformelle styrings- og kontrollmiljøet hverandre i stor grad, mens i andre virksomheter er det større avstand mellom dem. En mulig indikator med hensyn til i hvor stor grad formelt og uformelt styrings- og kontrollmiljø overlapper hverandre, kan være i hvilken grad formaliserte systemer, styrende dokumenter, rutiner, mv. etterleves i virksomheten.
3.2.2 Gjelder både leder og medarbeidere
Et godt styrings- og kontrollmiljø innebærer at både ledere og medarbeidere bidrar til at virksomheten når målene sine ved at de utfører arbeidsoppgavene sine effektivt og hensiktsmessig, etterlever lover og regler, samt interne policyer og prosedyrer. Alle medarbeidere i en virksomhet har et ansvar for virksomhetens internkontroll gjennom den rollen de har i gjennomføringen av arbeidsoppgaver og etterlevelse av etablerte standarder og normer i virksomheten. Dette ansvaret innebærer også et ansvar for å informere sin leder om eventuelle problemer med driften mv.
Det er viktig at de ansatte har kunnskap og ferdigheter som gjør dem i stand til å utføre oppgavene sine på en hensiktsmessig og effektiv måte, og at alle ansatte forstår sitt individuelle ansvar for internkontroll. Medarbeidere som forstår sin rolle og mestrer sine arbeidsoppgaver, bidrar til et godt arbeidsmiljø gjennom motivasjon og trivsel.
Ledelsens etiske standard, holdninger og adferd, ofte omtalt som «tonen på toppen», har også stor betydning for styrings- og kontrollmiljøet i virksomheten. «Tonen på toppen» påvirker medarbeidernes evne og vilje til å forstå, gjennomføre og følge opp det som er fastsatt og bestemt av ledelsen. Med sine beslutninger og handlinger viser ledelsen hva som skal vektlegges og prioriteres i virksomheten.
Ledere bør stille krav til internkontrollen og opptre som gode rollemodeller og pådrivere. Lederes engasjement, prioriteringer og tilrettelegging vil ha stor innvirkning på internkontrollarbeidet i virksomheten. Ledere på alle nivåer vil på denne måten kunne bidra til å utvikle styrings- og kontrollmiljøet både innenfor eget ansvarsområde og innenfor virksomheten som helhet.
Et godt styrings- og kontrollmiljø utvikles over tid gjennom riktige holdninger, atferd og en kultur for etterlevelse av fastsatte normer og regler. Styrings- og kontrollmiljøet sier noe om «hvordan vi gjør ting hos oss», hva som er akseptert og ikke, og hva som forventes av ledere og medarbeidere. Varige endringer er bare mulig dersom både holdninger og tenkemåte i virksomheten endres. Et godt styrings- og kontrollmiljø vil følgelig kunne bidra til mindre ressursbruk knyttet til etterkontroller, rapportering og oppfølging fra virksomhetsledelsen.
3.2.3 Dokumentasjon av internkontrollen
Bestemmelsene punkt 2.4 slår fast at virksomhetens ledelse har ansvar for å påse at internkontrollen kan dokumenteres.
Kravet om at internkontrollen skal kunne dokumenteres, omfatter både et krav om at det i nødvendig grad foreligger beskrivelser av etablert internkontroll, og et krav om at selve gjennomføringen kan dokumenteres. Utformingen og omfanget av dokumentasjonen bør, innenfor de rammene som er fastsatt i økonomiregelverket, gjenspeile virksomhetens tilpasninger til risiko, vesentlighet og egenart.
I det følgende gis det eksempler på krav som stilles i økonomiregelverket, knyttet til etablering og dokumentasjon av internkontroll:
- Departementet skal fastsette instrukser både for departementet og underliggende virksomheter ( bestemmelsene punkt 1.3 ).
- Virksomheten skal definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde, herunder ansvarsforhold mellom virksomhetsledelsen og øvrig ledelse, eventuelt styre ( punkt 2.2 ).
- Virksomheten skal etablere systemer og rutiner knyttet til transaksjonskontroller, aggregerte kontroller og etterkontroller, og gjennomførte kontrollaktiviteter skal være dokumentert ( punkt 2.5 ).
- Virksomheten må ivareta krav knyttet til økonomisystemet ( punkt 4.3 ), lønn og oppgavepliktige ytelser ( punkt 5.2 ), anskaffelser ( punkt 5.3 ) og inntekter ( punkt 5.4 ).
- Virksomheten må ivareta krav knyttet til internkontroll hos tilskuddsforvalter ( punkt 6.3.8 ) og stønadsforvalter ( punkt 7.3.9 ).
I tillegg til de kravene som er stilt i økonomiregelverket, vil statlige virksomheter være omfattet av andre lover og regler som stiller krav til dokumentasjon av virksomhetens internkontroll.
Dokumentasjon av etablert internkontroll
Effektiv internkontroll forutsetter at ledelsen fastsetter rammer for hvordan virksomheten skal innrettes for at samfunnsoppdraget skal realiseres. Dette innebærer at ledelsen formaliserer og dokumenterer overordnede føringer og prinsipper, samt myndighet, roller og ansvar knyttet til virksomhetskritiske og risikoutsatte områder og prosesser. Slike dokumenter omtales heretter som policyer og tilsvarer det som i økonomiregelverket omtales som virksomhetens instrukser.
Ledelsen må formalisere og dokumentere hvordan overordnede føringer og prinsipper er operasjonalisert til konkrete prosesser, aktiviteter og kontroller som setter standarden for hvordan oppgaveutførelsen i virksomheten skal være. Slike dokumenter omtales heretter som prosedyrer og tilsvarer det som i økonomiregelverket omtales som rutiner.
Policyer og prosedyrer inngår som del av virksomhetens styrende dokumenter, og vil også utgjøre en viktig del av virksomhetens dokumentasjon av etablert internkontroll. Hvilke dokumenter det er behov for, hvor mange nivåer det legges opp til, og hvilke benevnelser virksomheten ønsker å benytte, vil variere. Dette er spørsmål det er opp til ledelsen i den enkelte virksomhet å avgjøre. Struktur og omfang på virksomhetens dokumenter må tilpasses den enkelte virksomhets egenart, risiko og vesentlighet.
Dokumentasjonen bør gi en sammenhengende, oversiktlig og forståelig fremstilling av standarder og krav for oppgaveutførelsen i virksomheten. En enhetlig struktur i henholdsvis policyer og prosedyrer er viktig for at dokumentenes innhold skal bli fremstilt på en strukturert og systematisk måte. En standard mal for innholdet i dokumentene bidrar til kvalitet og letter arbeidet med utforming og ajourhold. Samtidig vil sannsynligheten for etterlevelse øke når innholdet er tilgjengeliggjort på en brukervennligmåte gjennom en strukturert og oversiktlig mal.
Det bør være en direkte vertikal sammenheng fra mål og krav gjennom policyer og ned til prosedyrer på de ulike områdene. I en god struktur vil derfor overordnede dokumenter (eksempelvis en policy) ha tydelige «pekere» ned til underliggende prosedyrer, og omvendt. Dette legger samtidig til rette for at policyer og prosedyrer ses i sammenheng og utgjør en helhet.
Det bør være en sammenheng mellom styringsdokumenter fra overordnet departement og dokumenter som beskriver etablert internkontroll, da styringsdokumenter som eksempelvis instruks for økonomi- og virksomhetsstyring og tildelingsbrev fra overordnet departement til virksomhet vil kunne gi føringer for innholdet i virksomhetens policyer og prosedyrer.
I eksempelet i figur 3 består dokumentasjon av etablert internkontroll av to nivåer, henholdsvis policyer og prosedyrer. I tillegg vises det at det må være en sammenheng mellom forutsetninger og krav gitt av overordnet departementet og fastsatte policyer og prosedyrer i virksomheten.
Dokumentasjon av gjennomført internkontroll
I tillegg til dokumentasjon av etablert internkontroll i form av policyer og prosedyrer, vil dokumentasjon av internkontrollen også inkludere dokumentasjon av gjennomførte kontroller og oppfølging.
Økonomiregelverket stiller konkrete krav til gjennomføring og dokumentasjon av internkontroll knyttet til økonomiske transaksjoner, herunder transaksjonskontroller, aggregerte kontroller og etterkontroller. Økonomiregelverket inneholder også krav til hva som skal dokumenteres, og krav til oppbevaring av dokumentasjonen. Virksomhetens krav til dokumentasjonen og hvor denne skal oppbevares, bør være beskrevet i prosedyrene. Policyer, prosedyrer, dokumentasjon av gjennomførte kontrollaktiviteter og oppfølging av kontroller vil til sammen utgjøre dokumentasjonen av internkontrollen i virksomheten.
3.2.4 Organisering av internkontrollarbeidet
Det er virksomhetens ledelse som har ansvar for internkontrollen i virksomheten, og som formelt bestemmer og fastsetter hvordan internkontrollarbeidet skal gjennomføres og organiseres. I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med internkontroll, vil avhenge av hvordan den enkelte virksomhet beslutter å organisere arbeidet med internkontrollen.
I praksis vil det være hensiktsmessig at øverste leder formaliserer internkontrollansvaret til linjeledere på ulike nivåer. En slik formalisering av roller og ansvar knyttet til internkontroll kan nedfelles i en policy for internkontroll. Det forventes at ledere på lavere nivåer ivaretar ansvaret for internkontroll i alle prosesser og aktiviteter innenfor eget ansvarsområde.
Lederen har også ansvar for at medarbeiderne har tilstrekkelig kompetanse og kunnskap om de policyene og prosedyrene som er relevante for deres arbeidsoppgaver. Ansvaret innebærer blant annet å påse at avvik, feil og mangler blir håndtert på en tilfredsstillende måte, og å legge til rette for kontinuerlig forbedring og læring.
DFØ erfarer at det kan være krevende å utvikle og ajourholde effektiv internkontroll tilpasset risiko, vesentlighet og egenart. Erfaringen viser at mange virksomheter derfor velger å opprette en egen funksjon/rolle med fagansvar for internkontroll som støtter ledelsen og tilrettelegger for kontinuitet og en helhetlig tilnærming i virksomhetens arbeid med internkontroll. Les mer i DFØ-rapport 2009:4 Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging.
DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som kan støtte ledelsen og tilrettelegge for en enhetlig og helhetlig tilnærming i virksomhetens arbeid med internkontroll. Hvilken ressursandel som avsettes, må vurderes ut fra virksomhetens størrelse og kompleksitet. Selv om det å opprette en slik funksjon/rolle krever ressurser, vil det samtidig frigjøre ressurser hos ledelsen blant annet ved å bidra til en mer helhetlig og strukturert tilnærming i internkontrollarbeidet.
Det understrekes imidlertid at linjeledelsen har ansvaret for internkontroll, selv om virksomheten velger å organisere arbeidet gjennom å etablere en slik funksjon/rolle. Virksomheten bør vurdere å opprette en slik funksjon/rolle uavhengig av om virksomheten har, eller vurderer å etablere en internrevisjonsfunksjon. Les mer i DFØs veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon.
Eksempler på oppgaver som kan legges til en funksjon/rolle med fagansvar for internkontroll er å
- bistå ledelsen med å sørge for struktur og helhet i internkontrollarbeidet, gjennom blant annet å bistå med utvikling av maler og metoder
- bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet med etablering og forbedring av internkontrollsystemet
- bistå ledelsen i gjennomføringen av risikovurderinger
- være en støttespiller i arbeidet med operasjonalisering av internkontrollen, blant annet utarbeide opplæringsmateriell og sørge for opplæring av ledere og ansatte
- bidra til å bygge opp under en kultur for internkontroll – «slik gjør vi det hos oss»
- bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv.
Førstelinje-, andrelinje- og tredjelinjeforsvar
Rollene og ansvaret knyttet til internkontroll, blir ofte omtalt som førstelinje-, andrelinje- og tredjelinjeforsvar. Førstelinjen omfatter ansatte og ledere som har et ansvar for internkontroll innenfor sine respektive områder.
Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen i førstelinjen. I tillegg kan virksomheten velge å opprette en tredjelinje, eksempelvis i form av en internrevisjonsfunksjon. Internkontroll som er etablert og gjennomføres i de ulike forsvarslinjene, reduserer den risikoen virksomheten i utgangspunktet er eksponert for (iboende risiko) til et lavere nivå (gjenværende risiko). Det er illustrert i figuren under.
Riksrevisjonen og andre eksterne kontrollorganers plass i styrings- og kontrollsystemet er også synliggjort i figuren som en fjerdelinje. Disse er viktige elementer i helheten, men er ikke noe som inngår i virksomhetens interne styrings- og kontrollsystem.
Mer forklaring av figuren
Førstelinje (daglig styring og kontroll: Førstelinjen omfatter medarbeider og ledere i linjen. Medarbeidere har et løpende ansvar for å gjennomfør etablert internkontroll gjennom sine daglige arbeidsoppgaver. Ledelsen har ansvar for å utforme, gjennomføre og følge opp internkontroll innenfor sitt ansvarsområde, eksempelvis utforme fullmaktsstrukturer, policyer og prosedyrer, følge opp styringsparametere, kvalitetssikring, utføre stikkprøver, mv.
Andrelinje (oppfølging og rapportering): Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen av internkontroll som utføres av medarbeidere og ledere i førstelinjen. Andrelinjen kan eksempelvis bestå av controllere eller andre med kvalitets-, og fag-, risikostyrings- og/eller internkontrollansvar. Andrelinjekontroller kan skje i form av blant annet analyser av risikoer og resultater, kvalitetsgjennomganger, evalueringer, oppfølging av at policyer og prosedyrer, samt lover og regler blir etterlevd.
Tredjelinje (uavhengig vurdering, testing og kontroll): Tredjelinjen omfatter en funksjon uavhengig av linjen, typisk en internrevisjonsfunksjon eller annen uavhengig part. Et tredjelinjeansvar innebærer å vurdere om hele eller deler av internkontrollsystemet er tilstrekkelig, hensiktsmessig og fungerer eller forutsetningene. Denne instansen bør rapporter til øverste virksomhetsledelse eller til styret for de virksomhetene som har dette.
3.3 Informasjon og kommunikasjon
Av bestemmelsene punkt 2.3.2 fremgår det at «Det må etableres løpende informasjons- og kommunikasjonsrutiner for rapportering og gjennomføring av planer».
God kvalitet i informasjons- og kommunikasjonsflyten både horisontalt og vertikalt i virksomheten er avgjørende for virksomhetens evne til å oppfylle mål og krav. Velfungerende informasjons- og kommunikasjonsflyt satt i system er således en forutsetning for å kunne styre og kontrollere. Dette omfatter både den formelle informasjonen, som inkluderer styringsinformasjon, og den mer uformelle dialogen, som skjer både i linjen og på tvers av den formelle organisasjonsstrukturen.
Informasjons- og kommunikasjonsflyt bør i størst mulig grad være integrert i virksomhetens styring og drift. Dette vil sikre at nødvendig informasjon identifiseres, håndteres og rapporteres til riktig tid og til riktig nivå, og for å sikre at ledere og medarbeidere gjøres kjent med og forstår hvilket ansvar de har, og hva som må gjøres.
For enkelte virksomheter vil det i tillegg til å etablere en god intern informasjons- og kommunikasjonsflyt være hensiktsmessig å etablere eksterne informasjons- og kommunikasjonskanaler og arenaer som tillater innspill fra brukere, samarbeidspartnere, leverandører, myndigheter og andre. Ledelsen i den enkelte virksomhet må tilpasse omfanget og utformingen av informasjonskanaler og -systemer ut fra hva som er nødvendig for å styre og kontrollere virksomheten.
For at informasjonen som innhentes skal bidra til god styring, og være nyttig og egnet til bruk i oppfølging, læring og forbedring, må den være relevant, pålitelig, rettidig og tilstrekkelig. God internkontroll er således avgjørende for å sikre informasjonens kvalitet, og god informasjon og kommunikasjon er viktig for å sikre effektiv internkontroll.
Veileder i internkontroll
Innledning
Kort om veilederen
Formål
Målgruppe
Avgrensninger
Fotnoter
Hva er internkontroll?
2.1 Krav til internkontroll i statlige virksomheter
2.2 Hva forstår vi med begrepet internkontroll?
2.2.1 Målrettet og effektiv drift
2.2.2 Pålitelig rapportering
2.2.3 Overholdelse av lover og regler
2.3 Hvorfor er det nødvendig med internkontroll?
Internkontroll bidrar til kvalitet og effektivitet
Forebygger feil og negative hendelser
Bidrar til kontinuerlig forbedring
Bedrer evnen til å meste utfordringer
Fotnoter
Hvordan etablere internkontroll?
Metode – internkontrollprosess i seks steg
Internkontroll som årlig prosess i virksomheten
3.1 Etabler et fundament for internkontroll
Relevante verktøy
3.2 Styrings- og kontrollmiljø
3.2.1 Formelt og uformelt miljø må virke sammen
3.2.2 Gjelder både leder og medarbeidere
3.2.3 Dokumentasjon av internkontrollen
Dokumentasjon av etablert internkontroll
Dokumentasjon av gjennomført internkontroll
3.2.4 Organisering av internkontrollarbeidet
Førstelinje-, andrelinje- og tredjelinjeforsvar
3.3 Informasjon og kommunikasjon
Hvordan utføre internkontroll?
4.1 Planlegging
4.1.1 Ambisjonsnivå og overordnet status for internkontrollen
Kjennetegn på effektiv internkontroll
4.1.2 Rammer og ressurser for internkontrollarbeidet
4.1.3 Oppsummering
Relevante verktøy i planleggingsfasen:
4.2 Risikovurdering
4.2.1 Etablere et grunnlag for risikovurderingen
4.2.2 Gjennomføre risikovurderinger
4.2.3 Vurdere behov for tiltak og/eller oppfølging
4.2.4 Oppsummering
Relevante verktøy knyttet til risikovurdering:
4.3 Utforming
4.3.1 Identifisere aktuelle tiltak
4.3.2 Vurdere, prioritere og beslutte tiltak
4.3.3 Utforme og dokumentere besluttede tiltak
4.3.4 Oppsummering
4.4 Implementering
4.4.1 Vurdere behovet for implementeringsaktiviteter
4.4.2 Vurdere faktorer av betydning for en vellykket implementering
Forankring, holdninger og atferd
Informasjon, kommunikasjon og tilgjengeliggjøring
Kompetanse, ferdigheter og kapasitet
Verktøy og systemstøtte
4.4.3 Oppsummering
4.5 Oppfølging
4.5.1 Ledelsen har hovedansvaret
Organisering av arbeidet
4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt
Løpende oppfølging
Frittstående oppfølging
4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring
4.5.4 Oppsummering
Relevante verktøy:
4.6 Rapportering
4.6.1 Rapportere resultater til rett nivå og til rett tid
4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering
4.6.3 Oppsummering
Relevante verktøy:
Fotnoter
Gjennomgangseksempel