Sammenhengen mellom risikostyring og internkontroll

Risikostyring og internkontroll er to begreper som blir brukt om hverandre og som henger tett sammen. Risikostyring på operasjonelt nivå i virksomheten er det samme som arbeidet med internkontroll. På denne siden gir vi en forklaring på sammenhengen og bruken av begrepene.

Kravene til internkontroll i økonomiregelverket er også krav til risikostyring. Kravene til risikostyring og internkontroll finner du i §§ 4, 14 og punkt 2.4 i bestemmelser om økonomistyring i staten

Reglement for økonomistyring i staten (regjeringen.no)

Risikostyring og internkontroll er begreper som omfatter mye av det samme. Komponentene som inngår i de teoretiske rammeverkene for henholdsvis risikostyring og internkontroll er delvis overlappende, og definisjonene av risikostyring og internkontroll er på mange punkter like. Eksempel på internasjonale og anerkjente rammeverk for henholdsvis risikostyring, internkontroll og kvalitet kommer fra COSO – Committee of Sponsoring Organizations of the Treadway Commission og fra ISO – International Organization for Standardization, og særlig 9000 serien som omhandler kvalitetsledelse.

Internkontroll handler først og fremst om å «gjøre tingene riktig», det betyr å gjennomføre det som er fastsatt i mål og krav og samtidig sørge for at det som er bestemt blir gjennomført. Av økonomiregelverket, som er inspirert av COSO rammeverket, er det tre kategorier av målsettinger som virksomheten skal oppfylle for å ha god internkontroll:

  • målrettet og effektivt drift
  • pålitelig rapportering
  • overholdelse av lover og regler

Risikostyring og internkontroll er derfor mye overlappende når vi snakker om å identifisere og håndtere risiko som hindrer måloppnåelse innenfor målkategoriene:

  • driftsrelaterte mål – målrettet og effektiv drift
  • rapporteringsrelaterte mål – pålitelig rapportering
  • etterlevelsesrelaterte mål – overholdelse av lover og regler

I tillegg finnes det en fjerde kategori av mål, nemlig strategiske mål også ofte kalt overordnede mål. Selv om de overordnede målene for statlige virksomheter er bestemt på politisk nivå, vil det likevel være handlingsrom til å operasjonalisere disse målene, både for departement og virksomhet. Risikovurderinger av overordnede mål resulterer i beslutninger om strategiske tiltak og planer som handler om å «gjøre de riktige tingene» for å ivareta samfunnsoppdraget som er gitt. Risikostyring på dette nivået vil normalt sett ikke resultere i internkontrolltiltak eller kontrollaktiviteter som mange vil forbinde med internkontrollen i virksomheten. Utredningsinstruksen gjelder for alle tiltak med virkninger «ut over egen virksomhet».

Bruk av resultatkjeden for å illustrere sammenhengen mellom risikostyring og internkontroll

Vi kan bruke resultatkjeden til å forklare og tydeliggjøre sammenhengen mellom risikostyring og internkontroll. Se figuren nedenfor.

Litt forenklet kan vi si at risikostyring og internkontroll er det samme dersom vi snakker om risikostyring knyttet til mål på leddene til venstre i resultatkjeden. Det betyr mål for

  • innsatsfaktorer
  • aktiviteter/prosesser
  • produkter/tjenester 

Risiko knyttet til mål på leddene til venstre i resultatkjeden blir ofte håndtert som del av internkontrollen, eksempelvis i form av ulike kontrolltiltak og kontrollaktiviteter. Jo lenger til venstre i resultatkjeden, jo mer er det forventet at virksomheten har kontroll med måloppnåelsen.

Risiko kan imidlertid oppstå knyttet til mål på alle leddene i resultatkjeden. I figuren under er risiko illustrert med en grå boks som ligger over alle leddene i resultatkjeden. 

Resultatkjeden i 5 steg. Fra venstre: 1 innsatsfaktorer, 2 aktiviteter/prosesser, 3 produkter/tjenester, 4 brukereffekter, og 5 samfunnseffekter. Steg 1, 2 og 3 gjelder innenfor virksomheten, og steg 4 og 5 gjelder utenfor virksomheten. Risiko går fra venstre: operasjonell mot høyre: strategisk.
Figur av risiko langs resultatkjeden

Brukermål og samfunnsmål, også kalt effektmål, adresserer effekter vi ønsker å se hos målgruppen(e) våre og i samfunnet. Å oppnå disse effektmålene er utenfor virksomhetens kontroll, det vil si at virksomheten alene ikke kan garantere at brukermålene og samfunnsmålene blir nådd uansett hvor god risikostyring og internkontroll virksomheten har. God risikostyring og internkontroll skal legge til rette for og bidra til at effektene blir nådd, men kan ikke sikre at dette skjer. Det er økende kompleksitet, usikkerhet og måle- og tolkningsproblemer jo lenger til høyre man er i resultatkjeden. Generelt kan en si at 

  • jo lenger til høyre i resultatkjeden en risiko inntreffer, jo mer strategisk er risikoen 
  • jo lenger til venstre i resultatkjeden en risiko inntreffer, jo mer operasjonell er risikoen 

Det er likevel situasjonsbestemt om en risiko er strategisk eller operasjonell.

  • En risiko som i utgangspunktet er operasjonell, kan ha strategisk konsekvens hvis den i stor grad påvirker om effektene vi ønsker å se hos bruker og samfunn blir nådd.
  • En risiko som i utgangspunktet er strategisk, kan også ha stor betydning for den operasjonelle driften dersom den påvirker leveransene eller hvordan leveransene blir utformet.

Det er derfor ikke mulig, og heller ikke nødvendig, å sette et entydig og klart skille mellom operasjonell og strategisk risiko, operasjonelle og strategiske tiltak, og hvorvidt disse tiltakene blir regnet som en del av internkontrollen eller ikke. Men resultatkjeden kan bidra til å tydeliggjøre forskjellen på operasjonell risikostyring eller internkontroll, og den mer strategiske risikostyringen og strategiske tiltak.

Risikostyringen og internkontroll gir kun rimelig grad av sikkerhet for måloppnåelse

Økonomiregelverkets krav om å tilpasse styring, oppfølging, kontroll og forvaltning til risiko, egenart og vesentlighet, innebærer at det verken er hensiktsmessig eller effektivt å ha en risikostyring og internkontroll som gir 100 % sikkerhet for at målene blir nådd. Uansett hvor god risikostyringen og internkontrollen er, kan den bare gi rimelig grad av sikkerhet for at virksomheten vil nå målene sine. Noen av forholdene som bidrar til at det verken er mulig eller ønskelig med full sikkerhet, er oppsummert i punktene under:

  • uklare målformuleringer og mål som går på tvers av ulike virksomheter
  • ulik oppfattelse av mål og risikotoleranser
  • svakheter i menneskelig dømmekraft (risiko er forbundet med usikkerhet)
  • beslutninger om tiltak og kontrollaktiviteter må bygge på en kost/nyttevurdering og målene skal nås innenfor disponible ressurser
  • tiltak og kontrollaktiviteter blir ikke gjennomført som forutsatt på grunn av ubevisste eller bevisste feil

Veiledninger fra DFØ på risikostyring og internkontroll

Det finnes ulike rammeverk og metoder for henholdsvis risikostyring og internkontroll, og DFØ har to hovedpublikasjoner om disse temaene:

Fokuset og vektleggingen i de to dokumentene er ulik, men begge veilederne omhandler både risikostyring og internkontroll. Metodedokumentet i risikostyring beskriver en metode for hvordan du på en strukturert måte kan benytte risikostyring som et verktøy for å gi rimelig sikkerhet for at virksomheten når sine mål, både på virksomhetsnivå og på lavere organisatoriske nivåer, inklusive operasjonelle prosesser og prosjekter. Vektleggingen er altså på en generell metode for å identifisere, vurdere, håndtere og følge opp risikoer uavhengig av organisatorisk nivå i virksomheten.

Veileder i internkontroll beskriver en generell metode for å etablere og forbedre internkontrollen, hvor også risikovurderinger utgjør et sentralt element i metoden. Vektleggingen i Veileder i internkontroll er på det operasjonelle nivået i virksomheten, og handler om hvordan sørge for god internkontroll med innsatsfaktorer og aktiviteter/prosesser som må til for å oppnå god kvalitet og effektivitet i virksomhetenes produkt- og tjenesteleveranser. God kvalitet og effektivitet i produkt- og tjenesteleveranser skal igjen bidra til at målene for brukerne og samfunnet blir nådd. Veileder i internkontroll vektlegger mål og risiko som først og fremst hindrer måloppnåelse innenfor kategoriene:

  • driftsrelaterte mål – målrettet og effektiv drift
  • rapporteringsrelaterte mål – pålitelig rapportering
  • etterlevelsesrelaterte mål – etterlevelse av gjeldene lover og regler

Begge metodene i veilederne omfatter de samme fundamentene som er forutsetninger for både risikostyring og internkontroll nemlig:

  • styrings- og kontrollmiljø  
  • informasjon og kommunikasjon

Disse to komponentene ligger som et fundament for virksomhetens risikostyring og internkontroll og utgjør en viktig premiss for hvordan risikostyringen og internkontrollen etterleves og fungerer i praksis.

Styrings- og kontrollmiljø som reflekterer ønsket holdning og kultur

Styrings- og kontrollmiljøet påvirker de ansattes holdning til både risikostyring og internkontroll. 

Styrings- og kontrollmiljø omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser. Styrings- og kontrollmiljøet består både av det formelle og det uformelle i virksomheten. 

  • Det formelle omfatter eksempelvis formaliserte og dokumenterte krav til risikostyring og internkontroll som alle ansatte forventes å etterleve. 
  • Det uformelle dreier seg om forhold som "tonen på toppen", holdninger, verdier og normer som preger virksomheten, gjerne omtalt som virksomhetskulturen. 

God risikostyring og internkontroll er avhengig av at det skapes en god sammenheng og overlapp mellom det formelle og det uformelle styrings- og kontrollmiljøet. Hvor god overlapp det faktisk er, gjenspeiles ofte i den reelle etterlevelsen av etablert risikostyring og internkontroll.

Informasjons- og kommunikasjonsflyt som er tilpasset styrings- og kontrollbehovet 

God informasjon og kommunikasjon på alle nivåer i virksomheten er nødvendig for en velfungerende risikostyring og internkontroll. Risiko må bli identifisert, vurdert, håndtert, fulgt opp og rapportert på ulike nivå i virksomheten slik at risiko og risikoreduserende tiltak kan sees i sammenheng på ulike nivåer i virksomheten.

Det er viktig å sørge for at virksomheten har en informasjons- og kommunikasjonsflyt knyttet til risiko og internkontroll som i størst mulig grad er integrert i virksomhetens styring og drift. Dette for å sikre at viktig informasjon identifiseres, håndteres og rapporteres til rett tid og til rett nivå. 

En informasjons- og kommunikasjonsflyt som er tilpasset behovet i virksomheten, bidrar til at ledere og medarbeidere gjøres kjent med og forstår hvilket ansvar de har, hva de skal gjøre, og hvordan de skal gjennomføre arbeidet sitt. Informasjon og kommunikasjon er også viktig for motivasjon og prioritering i forbindelse med gjennomføringen av internkontrolltiltak. 

Oppdatert: 8. november 2023

Kontakt

Har du spørsmål om styring i staten, send en e-post til styring [at] dfo.no (styring[at]dfo[dot]no). Eller bestill et møte med oss i DFØ.

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.