Internkontroll i etatsstyringen

På denne siden gir vi noen råd om hvordan departementet bør utøve overordnede kontrollansvar og samtidig sikre seg at virksomheten har tilfredsstillende internkontroll.

Oppdatert

Departementene skal sikre seg at underliggende virksomheter har tilfredsstillende internkontroll slik at fastsatte mål og resultatkrav blir fulgt opp, ressursbruken er effektiv og virksomheten overholder lover og regler. Internkontroll er en integrert del av lederansvaret i underliggende virksomhet. 

Departementet bør utøve overordnet kontroll

Ønskede effekter for brukere og samfunn er det viktigste resultatnivået i mål- og resultatstyringen, men departementet må følge opp at virksomheten også har god kontroll med innsatsfaktorer, aktiviteter/prosesser og produkter/tjenester, fordi dette er en viktig forutsetning for å oppnå de ønskede effektene. I samspillet mellom departement og underliggende virksomhet er det viktig å avklare hvem som skal ha kontroll på de ulike delene (leddene) i resultatkjeden. I økonomiregelverket, reglementet § 4 fremkommer det at det skal være en arbeidsdeling mellom departementet og underliggende virksomhet. Å ha overordnet kontroll for et departement betyr at rolledelingen mellom virksomheten og departementet tar utgangspunkt i at:

Virksomheten skal

  • ha kontroll på leddene til venstre i resultatkjeden, det vil si innsatsfaktorer, aktiviteter/prosesser og produkter/tjenester
  • følge opp om virksomheten oppnår ønskede effekter. For eksempel ved å følge med på tilstandsutviklingen hos målgruppen(e) og sannsynliggjøre at endringer hos målgruppen(e) har sammenheng med de leveransene som virksomheten har tilbudt
  • følge opp fastsatte mål og resultatkrav, sørge for at ressursbruken er effektiv og at virksomheten har pålitelig rapportering og overholder lover og regler

Departementet skal

  • konsentrere seg om bruker- og samfunnseffekter og sammenhengen mellom oppnådde effekter og tilbudte produkter/tjenester
  • ha et overordnet og strategisk perspektiv
  • sikre seg  at underliggende virksomheter selv tar ansvar og følger opp fastsatte mål- og resultatkrav, har effektiv ressursbruk, pålitelig rapportering og overholder lover og regler

Rolledelingen må tilpasses hvert enkelt tilfelle. Hvis egenart, risiko og vesentlighet tilsier det, kan departementet ut fra sitt kontrollansvar også ha behov for å følge med på innsatsfaktorer, aktiviteter/prosesser eller produkter/tjenester. I så fall er det viktig at både departement og virksomhet har en bevisst og felles forståelse av hvorfor dette er nødvendig. Rolledelingen kan dere som departement tydeliggjøre gjennom å klargjøre virksomhetens rolle og ansvar i instruksen. I tillegg må dere sørge for at virksomheten gjør en egen vurdering av internkontrollen og at diskusjoner om internkontroll på en systematisk måte inngår som del av styringsdialogen. Gjennom en felles forståelse for roller og ansvar, samt en god dialog om internkontroll i styringsdialogen, ligger det til rette for at departementet kan utøve overordnet kontroll.

Figuren under illustrerer rolledelingen. Departementet har det formelle ansvaret for hele sektoren og bør i etatsstyringen ha særlig oppmerksomhet på bruker- og samfunnseffekter og sammenhengen mellom hva virksomheten leverer og oppnådde effekter. Virksomheten tar ansvar for helheten og sammenhengen mellom det som blir gjort og levert i form av produkter og tjenester, og det som blir oppnådd av effekter hos målgruppen. Denne rolledelingen i styringen forutsetter at departementet må ha tilstrekkelig innsikt i virksomhetens internkontroll og trygghet for at den fungerer, slik at de faktisk kan utøve et overordnet kontrollansvar.

Illustrasjon av målhierarkiet
Illustrasjon av målhierarkiet

Departementet bør utøve kontroll på systemnivå

Departementet bør utøve kontroll på systemnivå. Det betyr for internkontrollen å påse at det er etablert hensiktsmessig systemer og strukturer for internkontroll i virksomheten, heller enn å stille konkrete krav til tiltak og kontrollaktiviteter.

Det betyr at dere som departement:

  • klargjør virksomhetens rolle og ansvar, og  hva som er forventet av virksomhetens internkontroll
  • får bekreftelse på at virksomheten har etablert et internkontrollsystem og en orientering om hva dette består av sett i forhold til det risikobildet og  den risikotoleransen dere er enig om
  • får bekreftelse på at internkontrollsystemet fungerer som tiltenkt, det vil si om feil og svakheter blir forhindret eller oppdaget i tide

En viktig forutsetning for å få til dette er å ha en god dialog for å sikre at departementet og virksomheten har en felles forståelse for risikobildet, tilhørende risikotoleranse, kost/nytte-perspektiv på hva som er en tilfredsstillende internkontroll i forhold til det målbildet dere er blitt enige om og dialog om tilstanden på virksomhetens internkontroll. En annen viktig forutsetning er at departementet har god kompetanse om virksomhetens drift, samt har egne interne systemer og rutiner slik at underliggende virksomheter kan bli fulgt opp på forsvarlig vis. Les mer om risikostyring i etatsstyringen her.

Dersom risiko og vesentlighet tilsier det, eller departementet ikke har tilstrekkelig trygghet for at virksomheten ivaretar sitt ansvar for internkontroll på en god måte, kan departementet ha behov for å be om redegjørelse om internkontrollen på enkeltområder eller til og med stille konkrete krav til tiltak eller kontrollaktiviteter. 

Virksomheten har et selvstendig ansvar for å innrette internkontrollen ut fra risiko, vesentlighet og egenart. Det betyr at virksomheten selv skal ta ansvar for å etablere et hensiktsmessig internkontrollsystem, og selv gjøre begrunnede valg for innretningen av og innholdet i dette systemet, og hvordan det skal følges opp og utvikles. Vær oppmerksomme på at jo mer detaljerte krav dere som departement stiller til spesifikke rutiner, systemer, tiltak eller kontrollaktiviteter, jo mer tar dere over ansvaret for internkontrollen hos virksomheten, og jo mindre blir virksomheten selv ansvarliggjort for egen internkontroll. Dersom virksomheten ikke får handlingsrom til å gjøre egne valg og prioriteringer i sitt arbeid for å sørge for god internkontroll, er det også fare for at virksomheten mister motivasjon og eierskap til egen internkontroll.

Kontroll på systemnivå er effektivt

Det er mer effektivt for departementet å kunne påse at virksomheten har etablert gode systemer og strukturer, heller enn å følge opp og be om redegjørelse og rapportering på enkeltelementer som kan være både tid- og kostnadskrevende. Dette kan eksempelvis gjelde å påse at virksomheten har etablert kvalitetssystem eller sikkerhet- og beredskapssystem. Et annet eksempel kan være kontroll med prosjekter dersom virksomheten organiserer mye av din drift i prosjekter. Departementet bør eksempelvis påse at virksomheten har etablert et godt system for prosjekt- eller porteføljestyring inkludert gevinstrealisering, motta en orientering om systemet og en bekreftelse på at systemet fungerer som tiltenkt, heller enn å be om en rapportering på kontroll med enkeltprosjekter. Det er dette systemperspektivet som bør være deres innfallsvinkel som del av det å utøve overordnet kontrollansvar.

Det kan i lys av egenart, risiko og vesentlighet være nødvendig å stille mer detaljerte krav til innretning av internkontrollsystemet og innholdet i dette, og ha en mer detaljert kontroll på enkeltområder. For eksempel dersom virksomhetens egenart tilsier at virksomheten har store og komplekse IKT-prosjekter eller byggeprosjekter, blir omfattet av nye eller komplekse regelverk, får nye produkter/tjenester eller er i en større omorganisering som kan påvirke leveransene. For utviklingsprosjekter som er et resultat av satsinger med krav til rapportering til Stortinget, vil trolig departementet alltid måtte følge opp på enkeltprosjekter, ettersom disse prosjektene ofte har høyere risiko og vesentlighet og ikke er en del av virksomhetens ordinære drift. Det er i slike situasjoner viktig at begge parter har et bevisst forhold til hvorfor det er behov for strammere oppfølging og rapportering, og at de detaljerte kravene opphører når virksomheten er tilbake i en normalsituasjon med lavere risiko og vesentlighet på de aktuelle områdene.

Hva er passe dose tillit og kontroll?

Det er større mulighet for å utøve overordnet kontroll og kontroll på systemnivå, dersom dere har tillit til at virksomheten har en god internkontroll. Denne tilliten kan dere som departement styrke dersom dere har god innsikt i og forståelse for virksomhetens kompleksitet og egenart og god kjennskap til opplegget for internkontroll. Videre at dere og virksomheten har en felles forståelse for risikotoleranser og god informasjon og kommunikasjon om vesentlige svakheter og avvik. Når det eksisterer en felles oppfatning av betydningen av god internkontroll og virksomhetens ledelse viser at den har forstått sin rolle og sitt ansvar for internkontroll, jf. bestemmelsene punkt 2.4, og det er en felles forståelse for etatsstyrer sin rolle og sitt ansvar, jf. bestemmelsene punkt 1.3, gir dette grunnlag for tillit. Tillit blir utviklet og vedlikeholdt i styringsdialogen.

Det er mange forhold som påvirker hva som er passe «dose» tillit og kontroll. Det vil avhenge av både av den enkelte relasjon og situasjonen. Det er nærmest umulig å gi en universell fasit, derfor nøyer vi oss med å liste noen viktige forhold som kan inngå i styringsdialogen. Like viktig som å stille spørsmålene, er det å få innsikt i hva som er forutsetningene og begrunnelsen for de svarene dere får på spørsmålene dere stiller. Listen er ikke uttømmende.

  • Har virksomheten et opplegg for å identifisere, vurdere, håndtere og følge opp risiko
    • på virksomhetsnivå (overordnede mål knyttet til effekter)?  
    • på lavere ledernivå (på produkt- og tjenestenivå og på vesentlige områder, aktiviteter og prosesser)?
  • Har virksomheten sørget for å gjøre det tydelig hvem som har ansvaret for hva på vesentlige og risikoutsatte områder, og hvordan risikoutsatte og vesentlige oppgaver skal bli gjennomført?
  • Har virksomheten systemer og strukturer for oppfølging av om internkontrollen fungerer som tiltenkt og om den blir etterlevd? Eksempelvis hva slags løpende oppfølging og mer frittstående oppfølging har virksomheten, eksempelvis i form av bruk av evalueringer og bruk av internrevisjon mv.  
  • Har virksomheten systemer og strukturer som gjør det mulig å måle og følge opp om ressursbruken er effektiv?
  • Har virksomheten systemer og strukturer som sørger for at resultatene fra oppfølgingen blir brukt til læring og forbedring? 
  • Er det etablert et hensiktsmessig opplegg for informasjon og kommunikasjon som er tilpasset virksomhetens organisering og behov? 
  • Har virksomheten en kultur og holdninger som gjenspeiler fastsatte etiske verdier? Hvordan blir det fulgt opp?
  • Fanger virksomhetens etablerte styrings- og kontrollsystemer opp feil og mangler før virksomheten blir gjort oppmerksom på feil og mangler etter eksterne gjennomganger (Riksrevisjonen, tilsyn og lignende)?

Som overordnet departement bør dere ha en dialog om disse forholdene og skaffe dere en forståelse for hva som er grunnlaget for at virksomheten kan si at de oppnår fastsatte mål og resultatkrav, har en effektiv ressursbruk og overholder lover og regler mv. Med andre ord, hvilke systemer og strukturer har virksomheten på plass for å sikre god internkontroll og hvordan vet vi at det fungerer? Basert på en slik systematisk og åpen dialog, kan dere som departement gjøre dere opp en mening om i hvilken grad virksomheten har en god internkontroll og hva som er passe «dose» tillit og kontroll.

Hvordan kan departementet ivareta overordnet ansvar for internkontroll i styringsdialogen?

Kontrollansvaret kommer til uttrykk i styringsdialogen. Styringsdialogen består av de formelle skriftlige styringsdokumentene som er instruks, tildelingsbrev og tillegg til tildelingsbrev, årsrapport og eventuelle andre rapporter, samt etatsstyringsmøtene. Hvordan krav og føringer til virksomhetens internkontroll blir formulert i disse skriftlige styringsdokumentene, eksempelvis hvilke krav dere stiller til rapporteringen i del IV om styring og kontroll i årsrapporten til virksomheten, påvirker hvor overordnet ansvar dere som departement blir oppfattet å ta. 

Dere vil som departement også ha en fagdialog med virksomhetene dere styrer. Det er viktig å tenke igjennom hvilken rolle departementet har i henholdsvis styringsdialogen og i fagdialogen. Innretningen og kommunikasjonen i fagdialogen mellom departement og virksomhet kan også påvirke hvor overordnet kontrollansvar departementet blir oppfattet å ta. God rolleforståelse og kompetanse hos departementsmedarbeidere som er involvert i både fag- og styringsdialogen, er derfor viktig for å sikre at fagdialogen ikke blir oppfattet som styring og vice versa. Styringsdialogen skal være dokumentert, jf. krav i bestemmelser om økonomistyring i staten punkt 1.4.

I tabellen under har vi oppsummert og gitt noen eksempler på hvordan departementets overordnet ansvar for internkontroll kan komme til uttrykk i styringsdialogen.

Fase i styringen

Overordnet kontroll/kontroll på systemnivå

Dersom risiko og vesentlighet tilsier det vil det være behov for å mer detaljert kontroll

Vær varsom med følgende

Planlegging

Dere bør gjennomføre egen overordnet risikovurdering av målene for den underliggende virksomheten som grunnlag for dialog om strategisk risiko og operasjonell risiko, og således dialogen om internkontroll. Denne risikovurderingen kan være grunnlag for å stille krav til deler av internkontrollen i styringsdokumenter eller i etatsstyringsmøtene, dersom risiko og vesentlighet tilsier det. Les mer om risikostyring i etatsstyringen her.

Det er en fordel om risikovurderingen blir gjort i forbindelse med arbeidet med tildelingsbrevet, slik at en har en gjensidig forståelse for risikobildet ved inngangen til hvert år.

Dere bør være varsomme med å stille krav til konkret utforming av innholdet i internkontrollsystemet til virksomheten i styringsdialogen.

Planlegging/

Oppfølging

Dere bør ha dialog med virksomheten om områder eller forhold i virksomheten med særskilt høy risiko og sørge for at det er en gjensidig forståelse for risikotoleransen på disse områdene og således behovet for internkontroll.

Dere bør overlate til virksomheten å vurdere/utrede hvilke risikoreduserende tiltak som er best egnet til å håndtere risikoen på disse områdene med særskilt høy risiko.

Dere bør være varsomme med å pålegge virksomheten å etablere spesifikke kontrollaktiviteter eller kontrolltiltak.

 

Oppfølging

Dere bør basere dere på virksomhetens oppfølging av internkontrollen. Det vil si at deres oppfølging og kontroll skjer i form av å påse at det er etablert et internkontrollsystem, at virksomheten selv har en systematisk oppfølging og tilpasning av sitt internkontrollsystem basert på risiko. Dette kan skje ved at dere i etatsstyringsmøtene ber om en redegjørelse for hvordan virksomheten jobber med å etablere, følge opp og forbedre internkontrollen og en redegjørelse fra virksomhetsleder på om den etablerte interkontrollen er tilstrekkelig og fungerer som forutsatt.

Dere bør være varsomme med å basere deres overordnede kontrollansvar på oppfølging med enkeltdeler av internkontrollen hos virksomheten.

Oppfølging

Dere bør påse at virksomheten har systemer og strukturer som sørger for at de kan dokumentere om ressursene blir brukt mest mulig effektivt.

Hvilke systemer, prosesser, rutiner og verktøy virksomheten benytter seg av, bør virksomheten selv bestemme.

Dere bør ikke stille krav til hvordan virksomheten bør jobbe for å jobbe mest mulig effektivt.

Oppfølging

Dere bør påse at virksomheten har etablert systemer og rutiner som gjør at lover og regler blir overholt og feil og svakheter blir avdekket og tatt tak i. Dere bør avtale at departementet blir varslet dersom det er vesentlig svikt og avvik i disse systemene og rutinene.

Det bør være toleranse og aksept for feil, men virksomhetens internkontrollsystem skal oppdage feilene og sørge for at feilene blir rapportert til rett nivå i virksomheten, slik at dette kan gi lærdom og grunnlag for forbedringer og forebygge feil i framtiden.

Dere bør ikke be om løpende orientering og rapportering av feil og svakheter, kun dersom disse er vesentlige og påvirker virksomhetens evne til å nå ivareta sitt samfunnsansvar på en tilfredsstillende måte.

Oppfølging

Virksomhetens ledelse er ansvarlig for internkontrollen. Det er virksomheten som best har forutsetninger for å vurdere hva som er tilfredsstillende internkontroll og om etablert internkontroll er «god nok». Som departement bør dere som minimum påse at virksomheten gjør vurderinger knyttet til om internkontrollen er tilfredsstillende, og ha nok innsikt og kompetanse til å kunne vurdere grunnlaget for hvorfor virksomheten mener den har god internkontroll.

Dere bør derfor

  • få bekreftelse på at virksomheten har etablert et internkontrollsystem og få en orientering om hva dette består av
  • få en bekreftelse på at internkontrollsystemet fungerer som tiltenkt, det vil si at feil og svakheter blir forhindret eller oppdaget i tide

Dere vil sjelden ha behov for en fullstendig og detaljert redegjørelse for opplegget for internkontroll hvert år, men be om en overordnet vurdering slik at dere får et reelt bilde av status og eventuelt blir orientert om utfordringer knyttet til internkontrollsystemet. Ved for eksempel større omorganiseringer, nye produkter eller tjenester, store utviklingsprosjekter eller lignende vil det trolig være behov for tettere kontroll i en periode.

Les mer om veiledning til årsrapport Del IV Styring og kontroll i virksomheten 

Dere trenger normalt sett ikke kjenne til innholdet i internkontrollsystemet i detalj eller gjøre egne vurderinger av om innholdet er «godt nok». Dere bør heller basere dere på virksomheten sin egen vurdering av sitt internkontrollsystem og se denne vurderingen opp mot deres egen vurdering av virksomhetens internkontroll.

 

 

 

Kontaktinfo

Har du spørsmål om internkontroll i etatsstyringen, send en e-post til forvaltning@dfo.no.

Vi behandler spørsmål så raskt som mulig, og normalt innen 3 uker.
Du kan eventuelt ta direkte kontakt med:

Fant du det du lette etter?