Bruk av passord og autorisasjonsordninger, kontroll av tallgrunnlaget i en rapport, opplæringstiltak, prosessbeskrivelser og rutiner, sjekk av referanser, arbeidsdeling og sidemannskontroll er alle eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll.

Internkontroll omfatter derfor ikke bare kontrollaktiviteter knyttet til utførelsen av konkrete oppgaver, aktiviteter og prosesser, men også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar i virksomheten, kompetanse, kultur og holdninger, mv.

Virksomhetens internkontroll skal bidra til å gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. God internkontroll i oppgavegjennomføringen bidrar på denne måten til kvalitet i statlige produkter og tjenester. Internkontrollen utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll.

Økonomiregelverkets¹ krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal baseres på en vurdering av risiko, vesentlighet og virksomhetens egenart². 

Forhold som størrelse og kompleksitet, oppgaveportefølje og oppgavesammensetning, virksomhetsområde, organisering og grunnleggende styringskrav inngår som en del av denne vurderingen. Det er derfor ikke hensiktsmessig å skissere én spesifikk standard for hva som er et effektivt internkontrollsystem³ som vil passe for alle virksomheter. Det er ledelsen i hver enkelt virksomhet som må gjøre vurderinger og ta beslutninger som ivaretar de hensynene som er relevante for virksomheten.

Kort om veilederen

Formål

Formålet med denne veilederen er å gi medarbeidere og ledere i statlige virksomheter en bedre forståelse av hva internkontroll er, og hvordan virksomheten kan arbeide systematisk med etablering⁴, forbedring og oppfølging av internkontrollen. I veilederen presenteres en strukturert metode som kan benyttes i arbeidet med å etablere og forbedre internkontrollen både for enkeltområder i virksomheten og for virksomheten samlet sett.

Metoden som presenteres, er illustrert ved et gjennomgangseksempel som konkretiserer hvordan arbeidet kan gjennomføres. For å gi praktisk nytte i virksomhetens arbeid med internkontroll har DFØ i tilknytning til veilederen også utarbeidet veiledningsmateriell som består av ulike maler, sjekklister og verktøy. Disse er tilgjengelige på dfo.no/internkontroll.

I tillegg til denne veilederen er det utarbeidet en kortversjon spesielt rettet mot ledere. I kortversjonen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du kan ivareta ditt ansvar for internkontroll.

Målgruppe

Veileder i internkontroll er rettet mot ledere og medarbeidere som er gitt et særlig ansvar for å legge til rette for og ivareta det praktiske arbeidet med internkontroll.

Veilederen er rettet mot virksomheter som har behov for å etablere eller forbedre en allerede eksisterende internkontroll. Veilederen er også rettet mot virksomheter som har et ønske om å få til et mer systematisk arbeid med hensyn til å følge opp og forbedre virksomhetens internkontroll, og som ser et behov for å integrere internkontrollarbeidet bedre i styringen av virksomheten.

Metodikk, verktøy og begrepsapparat som presenteres i denne veilederen, vil kunne benyttes av alle statlige virksomheter. Dette omfatter også departementenes arbeid med etablering og forbedring av internkontroll i egen virksomhet.

Avgrensninger

Veilederen vil gjennom en generell tilnærming gi råd og støtte til hvordan virksomheten kan innrette seg etter økonomiregelverkets krav til internkontroll. Veilederen utdyper ikke spesifikke temaer som eksempelvis internkontroll med hensyn til misligheter og økonomisk kriminalitet eller internkontroll med tanke på å hindre at beløpsmessige rammer overskrides. Metodikken i veilederen er imidlertid også godt egnet som utgangspunkt for å forbedre internkontrollen knyttet til slike spesifikke temaer.

Veilederen legger til grunn at det finnes flere anerkjente metoder som kan brukes i forbindelse med risikovurderinger i virksomheter. Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen (RIS), vil være én blant flere metoder. Denne veilederen bygger på metoden som er vist i RIS, og vil derfor i liten grad beskrive eller gjennomgå selve metoden for risikovurdering.

Departementenes oppfølging av internkontroll i underliggende virksomheter omhandles ikke spesifikt i denne veilederen. Det vises her til veileder i etatsstyring kapittel 2.6.

Fotnoter

¹Reglement for økonomistyring i staten (reglementet) og bestemmelser om økonomistyring i staten (bestemmelsene) omtales samlet som økonomiregelverket.
²Reglementet § 4, 10 og 16, og bestemmelsene punkt 1.2, 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, 5.4.2.2, 6.5, 7.4 og 8.5.
³Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et fundament som omfatter styrings- og kontrollmiljø og informasjon- og kommunikasjon, i tillegg til en strukturert metode for arbeidet med etablering og forbedring av internkontroll.
⁴Med etablering forstås både etablering ved nyoppretting av virksomhet og ved etablering av internkontroll når virksomheten får ansvar for nye områder, prosesser mv.