Virksomhetens internkontroll må løpende tilpasses endrede forutsetninger og risikoer. Det er derfor viktig å innrette arbeidet med internkontroll på en strukturert og systematisk måte og se dette arbeidet i sammenheng med øvrig arbeid med læring og forbedring i virksomheten.
Metoden i seks steg, som illustrert i figur 5, legger til rette for dette.
Det er viktig å merke seg at selv om internkontrollprosessen beskrives som en prosess i seks steg, vil flere av stegene kunne overlappe hverandre i tid og gjennomføres ikke nødvendigvis i en stringent rekkefølge. Eksempelvis må planlegging og risikovurdering ses i nær sammenheng.
Det vil også være situasjoner hvor det ikke er behov for å utforme og implementere nye tiltak. I slike tilfeller vil stegene utforming og implementering ikke være aktuelle.
En strukturert metode for virksomhetens arbeid med etablering og forbedring av internkontroll, fordrer at det på virksomhetsnivå er etablert en årlig internkontrollprosess.
For at virksomhetsledelsen skal få et grunnlag for vurdering og prioritering av virksomhetens samlede internkontroll, bør internkontrollprosessen i tillegg gjennomføres på ulike nivåer, områder og prosesser i virksomheten, og disse må ses i sammenheng. Metoden som er omtalt i dette kapittelet, legger til rette for en strukturert og systematisk, enhetlig og helhetlig tilnærming til arbeidet med internkontroll.
4.1 Planlegging
Planlegging innebærer å fastsette rammer og ressurser for arbeidet med internkontroll.
Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og overordnet status, det vil si ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurdering.
4.1.1 Ambisjonsnivå og overordnet status for internkontrollen
Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontrollsystem. Ambisjonsnivået må tilpasses virksomhetens risiko, vesentlighet og egenart. Selv om virksomheter i utgangspunktet skal ha styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder og prosesser.
Det er i den forbindelse viktig at virksomhetsledelsen etablerer en felles oppfatning av ønsket balanse mellom det å ha kontroll og det å ta risiko. Basert på disse vurderingene må virksomhetsleder definere virksomhetens risikotoleranse. Les mer i metodedokumentet «Risikostyring i staten».
Økonomiregelverkets krav og føringer knyttet til intern- kontroll sammenholdt med de generelle kravene og føringene som gis i COSO og andre anerkjente rammeverk, viser at det er flere faktorer som er relevante å vurdere når virksomhetens ambisjon knyttet til internkontroll skal fastsettes.
Nedenfor er det listet opp syv kjennetegn på effektiv internkontroll som virksomheter bør tilstrebe å oppnå. Ambisjonsnivået med hensyn til det enkelte kjennetegn vil variere med virksomhetens risiko, vesentlighet og egenart. Gjennom å drøfte og ta stilling til i hvilken grad virksomhetens internkontroll bør preges av disse kjennetegnene, vil virksomheten ha et grunnlag for å sette ambisjonsnivået for internkontrollen.
Kjennetegn på effektiv internkontroll
Ledelsesforankret
Ledelsen viser et tydelig engasjement og ansvar for styring og kontroll gjennom å prioritere ressurser og fastsette ambisjoner og rammer for internkontrollen som understøtter behovet for og kravene til internkontroll som er tilpasset virksomheten. Ledelsen bidrar til å utvikle et godt styrings- og kontrollmiljø ved å gå foran som et godt eksempel.
Tilpasset virksomhetens egenart, risiko og vesentlighet
Omfanget av og innretningen på internkontrollen baseres på en vurdering av risiko og vesentlighet og tilpasses virksomhetens egenart. Internkontrollen dimensjoneres ut fra en vurdering av kost–nytte.
Tydeliggjort ansvar, myndighet og roller
Ansvar, myndighet og roller er tydelig definert slik at alle ledere og medarbeidere kjenner og forstår sine ansvars- og myndighetsområder. Det er tydelig hvem som har ansvar for hva og når.
Integrert i virksomhetens styring, prosesser og aktiviteter
Internkontrollen integreres i virksomhetens styring og drift og er i størst mulig grad innebygd i prosesser og aktiviteter.
Formalisert og dokumentert, kommunisert og tilgjengeliggjort
Innretningen på, omfanget av og kravene til utførelsen av internkontrollen er fastsatt, og dette er dokumentert, kommunisert og tilgjengeliggjort. Gjennomførte tiltak dokumenteres i nødvendig grad og på en måte som gjør det mulig både å følge opp og å etterprøve tiltakene.
Etterlevd og systematisk fulgt opp
Fastsatt internkontroll blir etterlevd og systematisk fulgt opp, vedlikeholdt og videreutviklet slik at den gir ønsket effekt.
Enhetlig og helhetlig
Internkontrollen standardiseres og har samme struktur og utforming på tvers av virksomheten der det er mulig (like ting gjøres likt). Internkontrollen på ulike områder og nivåer ses i sammenheng og utgjør en helhet.
I vurderingen av hvordan statusen på internkontrollen i den enkelte virksomhet er, vil ledelsen blant annet legge til grunn den kunnskapen den besitter på bakgrunn av informasjon fra tidligere år.
Eksempel på kilder kan være:
- oppfølging/testing av etterlevelse og effekt av tiltak mv.
- informasjon fra avvikssystemer og varslingskanaler
- tidligere gjennomførte risiko- og vesentlighetsvurderinger
- tidligere revisjoner, både rapporter fra Riksrevisjonen og eventuelt internrevisjon
- tilsynsrapporter og pålegg fra tilsynsmyndigheter
- intern rapportering på hvor godt internkontrollen fungerer, eksempelvis lederbekreftelser
- øvrige kjente feil og svakheter i virksomhetens internkontroll
Virksomhetsledelsen bør gjennomføre en selvstendig vurdering av samlet status på internkontrollen. Det kan for eksempel gjøres ved å gjennomføre egenevalueringer og/eller modenhetsvurderinger.
Det bør vurderes om det kan være hensiktsmessig at egenevalueringer blir utført på ulike nivåer i virksomheten. På denne måten kan ledere på alle nivåer få et bilde av status på internkontrollen innenfor eget ansvarsområde, og det vil være mulig å sammenligne mellom nivåer. Hvis det er stort avvik mellom de konklusjonene virksomhetsledelsen og ledere på lavere nivåer kommer frem til, kan dette gi nyttig informasjon om variasjoner og utfordringer som bør vurderes i arbeidet med internkontroll.
Når både ambisjonsnivå og status er klargjort, kan ledelsen gjennom en gap-analyse identifisere områder som krever spesiell oppmerksomhet og prioritet i internkontrollarbeidet.
4.1.2 Rammer og ressurser for internkontrollarbeidet
Ledelsen bør, med bakgrunn i gap-analysen, gjennomføre prioriteringer og fastsette rammer for internkontrollarbeidet. Virksomheten bør løpende eller minst én gang i året ta stilling til om det er behov for større gjennomganger av hele eller deler av internkontrollen, om det skal nedsettes prosjekter, eller om det er tilstrekkelig at arbeidet skjer som en del av den ordinære aktiviteten i linjen. Større tiltak og prosjekter bør inkluderes i virksomhetens planer. På den måten forankres og tydeliggjøres også ledelsens prioriteringer og holdning til arbeidet med internkontroll.
Som et resultat av ledelsens prioriteringer og rammer bør det defineres hvem som har ansvar for hva i internkontrollarbeidet, og når ulike aktiviteter skal skje. Ansvarsplassering må ses i sammenheng med valgt organisering og fullmaktsstruktur i virksomheten. Det kan være nødvendig å avklare forhold knyttet til ansvar og rolle for spesifikke aktiviteter eller tiltak som ledelsen har identifisert i planleggingssteget, og som ikke ligger i de etablerte ansvarsstrukturene.
Det vil også være hensiktsmessig at ledelsen som en del av den årlige planprosessen i virksomheten tar stilling til både hvor mye og hvilke ressurser som bør settes av til arbeidet med å etablere og forbedre virksomhetens internkontroll. Dette gjelder ressurser både i form av kompetanse og medarbeidere, og i form av eventuelle budsjettmessige allokeringer, eksempelvis til å gjennomføre kurs, mv.
Dersom ledelsen har etablert en rolle eller funksjon som skal ha et særskilt ansvar for å støtte, tilrettelegge og fungere som pådriver i internkontrollarbeidet, vil det være naturlig at ledelsen som en del av planleggingssteget godkjenner denne funksjonens plan for årets aktiviteter. Det er også viktig at ledelsen, som et ledd i sin planlegging, fastsetter på hvilke ledermøter internkontroll skal behandles og følges opp.
Det vil være nødvendig å se den endelige planleggingen av rammer og internkontrollressurser i sammenheng med risikovurderinger for det enkelte år.
4.1.3 Oppsummering
I planleggingssteget avklares og forankres ledelsens prioriteringer og rammer for internkontrollarbeidet. Dette innebærer at roller og ansvar tydeliggjøres, at det gjøres en ressursallokering og at tidsplaner, frister og rapporteringspunkter konkretiseres.
Planleggingen skjer på bakgrunn av en vurdering av status sett opp mot ambisjonsnivået for internkontrollen. Planleggingen må ses i nær sammenheng med neste steg, risikovurdering. Dette innebærer at resultatet fra risikovurderinger må foreligge før ledelsen kan fastsette endelige prioriteringer og rammer for internkontrollarbeidet.
Relevante verktøy i planleggingsfasen:
4.2 Risikovurdering
Risikovurdering innebærer å identifisere risikoer som kan true oppfyllelsen av virksomhetens mål og krav, herunder de tre internkontrollmålsettingene.
Med bakgrunn i mål og krav kan virksomheten beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. Videre vil risikovurderinger gi grunnlag for å vurdere behovet for forbedringer i form av tiltak og prioritere hva som bør følges opp. Risikovurderinger er derfor et nyttig verktøy for å få til en risikobasert internkontroll, og vil gi nyttig input til planleggingsarbeidet som er omtalt i forrige steg.
4.2.1 Etablere et grunnlag for risikovurderingen
Gode risikovurderinger forutsetter at ledelsen har oversikt over hvilke mål og krav som stilles til virksomheten.
Mål og krav fremkommer blant annet i overordnede styringsdokumenter som Prop. 1 S, tildelingsbrev, instruks for økonomi- og virksomhetsstyring fra departement til virksomhet og internt fastsatte styringsdokumenter som eksempelvis strategi, virksomhetsplan og/eller virksomhetsavtale mellom virksomhetsleder og ledere på underliggende nivåer.
Virksomheten må også forholde seg til krav som gis gjennom lover og regler, forskrifter og internt fastsatte policyer og prosedyrer. Videre må virksomheten forholde seg til ulike eksterne og interne rapporteringskrav. På virksomhetsnivå vil det være naturlig med en årlig gjennomgang av overordnede mål og krav for å identifisere om det har skjedd endringer fra tidligere år, og for å definere grunnlaget for risikovurderingene.
Denne gjennomgangen vil gjerne skje som et ledd i den ordinære planprosessen i virksomheten, og den vil inngå som en del av forberedelsene til den overordnede risikovurderingen. Virksomhetens risikovurderinger og risikotoleranse vil i den forbindelse også kunne være gjenstand for dialog mellom departement og underliggende virksomhet gjennom etatsstyringsdialogen.
De målene og kravene som gjelder for virksomheten som helhet, må i nødvendig grad operasjonaliseres og konkretiseres til mål og krav på lavere nivåer, eksempelvis for ulike avdelinger, seksjoner og prosesser. På tilsvarende måte som på virksomhetsnivå vil det være naturlig at ledere på lavere nivåer årlig gjennomgår og oppdaterer mål og krav for eget ansvarsområde. Det vil vanligvis skje som en del av planprosessen for enheten og inngå som en del av forberedelsene til risikovurderinger på eget ansvarsområde.
Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsfordeling i virksomheten. Dette omfatter oversikt over hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og som det derfor er spesielt viktig å prioritere i internkontrollarbeidet, samt hvem som er ansvarlig for prosessene (prosesseiere).
Siden kvaliteten på produkt- og tjenesteleveranser vil være avhengig av effektiv internkontroll både i og i tilknytning til prosessene, bør det, i tillegg til den overordnede risikovurderingen, i prinsippet gjennomføres risikovurderinger av alle vesentlige operative prosesser i virksomheten. Det er virksomhetsledelsen som beslutter hvilke prosesser som er å betrakte som vesentlige i denne sammenheng.
Hvilke momenter som tillegges vekt i en vesentlighetsvurdering kan variere, blant annet på bakgrunn av virksomhetens egenart og ambisjonsnivået for internkontrollen. Aktuelle momenter kan være følgende:
- I hvor stor grad påvirkes brukerne av feil eller svakheter i prosessen, og hvor mange brukere og hvilke brukergrupper berøres?
- I hvilken grad vil feil og mangler på det aktuelle området påvirke virksomhetens eller overordnet departements omdømme negativt?
- I hvor stor grad vil vesentlige systemer påvirkes – gir eventuelle feil og mangler i ett system følgefeil i andre systemer?
- I hvilken grad er prosessen av en natur som gjør den særlig utsatt for misligheter eller mislighold fra virksomhetens ansatte eller brukere?
- Hvor stor del av virksomheten vil berøres av feil og mangler knyttet til prosessen?
- I hvor stor grad får området/ resultatet av prosessen politisk oppmerksomhet?
- I hvor stor grad behandler prosessen store pengebeløp?
4.2.2 Gjennomføre risikovurderinger
Når det er klart hvilke mål og krav virksomheten har å forholde seg til, kan det gjennomføres risikovurderinger knyttet til disse. I internkontrollsammenheng bør oppmerksomheten også rettes mot risikoer som kan hindre at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler blir oppfylt.
I praksis innebærer det at ledelsen i sin risikovurdering på virksomhetsnivå også må sørge for at alle disse tre internkontrollmålsettingene ivaretas i vurderingen. Dette innebærer at risikovurderingen på virksomhetsnivå vil ha både en strategisk tilnærming gjennom å vurdere risiko opp mot overordnede mål og krav (gjøre de riktige tingene) og en operasjonell tilnærming gjennom å vurdere risiko ut fra oppfyllelse av de tre internkontrollmålsettingene (gjøre tingene riktig).
Det vil være naturlig at ledelsen ved risikovurderinger på virksomhetsnivå tar i betraktning vurderinger som er gjennomført på lavere nivåer. På denne måten vil risikoer som er synliggjort i risikovurderingen på lavere nivåer gi relevant informasjon til risikovurderingen på virksomhetsnivå.
Etter at ledelsen har gjennomført risikovurdering på virksomhetsnivå, kan resultatet oppsummeres i en samlet oversikt som viser hvilke prosesser som eksponeres for de identifiserte risikoene. En slik oversikt gir et bilde av hvilke prosesser ledelsen bør prioritere i internkontrollarbeidet. På denne måten vil virksomhetsledelsen gjennom risikovurderingen nyansere og supplere sin vurdering av hvilke prosesser og områder som vurderes som mest vesentlige i internkontrollsammenheng.
Figuren over viser et eksempel på styrings-, kjerne-, og støtteprosesser i en virksomhet som forvalter tilskudd. Som figuren viser, kan samme risiko treffe flere prosesser/områder.
Som et ledd i risikovurderingen på virksomhetsnivå bør virksomhetsledelsen derfor vurdere om risikoen er av en slik art at det er mest hensiktsmessig at den håndteres
- på virksomhetsnivå, for eksempel av virksomhetsledelsen gjennom virksomhetsovergripende tiltak
- på et lavere nivå, for eksempel av avdelingsleder, seksjonsleder eller prosesseier gjennom tiltak i eller i tilknytning til prosessen
Føringer som virksomhetsledelsen gir på bakgrunn av sin overordnede risikovurdering, må inngå i prioriteringene for internkontrollarbeidet på lavere nivåer i virksomheten. Det understrekes at selv om virksomhetsledelsen identifiserer områder og prosesser den ønsker at det skal legges særlig vekt på, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde.
Linjeleders ansvar innebærer således å vurdere eventuelle andre prosesser og områder som vedkommende på bakgrunn av egne risiko- og vesentlighetsvurderinger bør prioritere.
Virksomheten bør vurdere å gjennomføre risikovurderinger av alle vesentlige operative prosesser når prosessen etableres første gang, eller når det oppstår hendelser som endrer risikobildet, som tap av nøkkelkompetanse, endringer i IT-systemer, mv. Når virksomhetsledelsen i den overordnede risikovurderingen identifiserer prosesser som eksponeres for vesentlige risikoer, kan det indikere et behov for å gjennomføre risikovurdering ned på den aktuelle prosessen.
I slike tilfeller vil prosesseiere og/eller ledere på lavere nivåer vanligvis få i oppgave å følge opp ledelsens føringer gjennom å vurdere nærmere hvorvidt etablert internkontroll i og i tilknytning til de utvalgte prosessene er tilfredsstillende.
Som grunnlag for en risikovurdering av operative prosesser er det nyttig å ha en oversikt over:
- mål for prosessen
- hvilke aktiviteter som inngår i prosessen
- hvilke risikoer prosessen er eksponert for
- hvilke kontroller og øvrige risikoreduserende tiltak som eksisterer
Dersom det ikke foreligger noen slik oversikt, kan det være hensiktsmessig å gjennomføre en prosesskartlegging hvor disse elementene identifiseres og dokumenteres.
En prosesskartlegging gir et godt utgangspunkt for å vurdere risiko og kontroll i den enkelte prosess. En slik kartlegging gir også et grunnlag for å vurdere behovet for forbedringer, herunder grunnlag for å identifisere manglende, overflødige og/eller overlappende kontroller i prosessen. Prosesskartlegging kan gjøres enkelt og overordnet, men også detaljert og mer omfattende, avhengig av behov.
Prosesskartleggingen kan dokumenteres i en visuell oppstilling, som vist i eksempelet nedenfor. Oversikten vil også tjene som dokumentasjon av etablert internkontroll.
4.2.3 Vurdere behov for tiltak og/eller oppfølging
Risikovurderinger vil, uavhengig av hvilket nivå de er gjennomført på, lede til ulike typer beslutninger om hvordan gjenværende risiko bør håndteres. I prinsippet har ledelsen fire valg med hensyn til å håndtere risiko, nemlig å
- akseptere risikoen
- dele risikoen
- unngå risikoen
- redusere risikoen
I mange tilfeller vil statlige virksomheter ikke kunne velge verken å dele eller å unngå risikoen, siden produkt-/tjenesteområder og tilhørende mål og krav er fastsatt som en del av samfunnsoppdraget. I praksis vil det derfor som oftest være mest aktuelt å redusere risikoen, forutsatt at risikoen ikke kan aksepteres.
Når tiltak skal vurderes, må det besluttes hvem som er risikoeier, og som i kraft av denne rollen gis ansvar for å identifisere, vurdere og prioritere aktuelle tiltak som kan håndtere risikoen. Det må også avklares om risikoeier har myndighet til å beslutte tiltak, eller om beslutningen må løftes til et høyere nivå. Ofte vil risikoeier være prosesseier eller linjeleder, men virksomhetsledelsen kan også være risikoeier. Sistnevnte gjelder gjerne for risikoer med virksomhetsovergripende karakter.
Virksomhetsledelsen vil ofte ha oppmerksomheten rettet mot risikoer som har både høy sannsynlighet og høy konsekvens, siden dette er risikoer som åpenbart har et stort behov for kontroll. I internkontrollsammenheng er det viktig å være oppmerksom på at ledelsen også må vektlegge områder og prosesser hvor sannsynligheten for at risikoer inntreffer, er lav, men hvor risikoer kan få alvorlige konsekvenser hvis de først inntreffer.
Når sannsynligheten vurderes som lav fordi virksomheten allerede har etablert betydelige risikoreduserende tiltak, er det viktig at ledelsen prioriterer å følge opp internkontrollen i disse prosessene/områdene særskilt. Dette fordi konsekvensen av svikt i internkontrollen kan være alvorlig for virksomhetens evne til å oppfylle mål og krav, eksempelvis i form av alvorlige feil i myndighetsutøvelsen, svikt i kritisk tjenesteproduksjon, mv.
Det vil også være områder hvor sannsynligheten for at risikoen slår inn er lav, fordi negative hendelser forventes å forekomme svært sjelden. Eksempler kan være alvorlige ulykker, korrupsjon/ misligheter, pandemier, mv. For flere av disse områdene er det fastsatt egne krav til utarbeidelse av risikovurderinger og internkontroll gjennom lov- og regelverk, og disse områdene må også gis oppmerksomhet i oppfølgingen.
Hvilke områder som tilhører denne kategorien, vil imidlertid variere med virksomhetens egenart. Det vil for eksempel i enkelte virksomheter være behov for å utarbeide risikoanalyser med særlig vekt på risiko og sårbarhet, såkalte ROS-analyser.
Figuren nedenfor viser hvordan kontrollbehovet varierer ut fra hvor i risikomatrisen risikoen vurderes å være. Den røde stjernen nederst til høyre i figuren poengterer et behov for kontrollopplegg også for risikoer som har lav sannsynlighet når konsekvensen, dersom risikoen slår inn, er svært alvorlig.
Generelt vil risikoer som betegnes som gule, oransje eller røde, indikere et forbedringsbehov. Hva som anses som gult, oransje eller rødt, er avhengig av virksomhetens risikotoleranse.
Risikoeier vil ha ansvar for å identifisere og prioritere tiltak som er effektive i forhold til den risikoen som skal håndteres. Ofte vil det være nødvendig å gjøre nærmere undersøkelser eller analyser for å få opp alternativer og for å sikre at tiltakene som foreslås, er de som håndterer risikoen best også ut fra et kost–nytte-perspektiv. Arbeidet med å identifisere, vurdere, prioritere og beslutte aktuelle tiltak omtales i kapittel 4.3 Utforming.
På overordnet nivå, lavere nivå og i de operative prosessene vil det eksistere en rekke risikoer som virksomheten ønsker å ha kontroll over, men hvor det ikke er behov for forbedringer eller ytterligere tiltak for å håndtere risikoen ettersom dagens kontrolltiltak anses som tilstrekkelige. Enkelte av disse risikoene vil av virksomheten bli vurdert som risikoer det er mer kritisk å ha kontroll på enn andre.
Kontroller som håndterer viktige eller kritiske risikoer, blir ofte kalt nøkkelkontroller. Nøkkelkontrollene har ofte én eller begge av følgende kjennetegn:
- En nøkkelkontroll som svikter, kan i vesentlig grad påvirke virksomhetens evne til å oppfylle mål og krav (virksomhetsspesifikke målsettinger og internkontrollmålsettinger).
- Gjennomføringen av nøkkelkontroller kan forhindre andre kontrollsvakheter eller påvise slike svakheter før de får en vesentlig betydning for virksomhetens målsettinger.
Kontrollene som defineres som nøkkelkontroller, er kontroller som det er viktig at virksomheten konsentrerer seg spesielt om i sin oppfølging av internkontrollen. For noen risikoer kan det være aktuelt å utarbeide styringsparametere, slik at det er mulig å overvåke utviklingen og følge opp om etablert internkontroll har ønsket effekt. For andre risikoer kan det være aktuelt å teste og ta stikkprøver for å verifisere at rutiner og kontroller gjennomføres som forutsatt. Ledelsen kan også vurdere om det er behov for å gjennomgå/evaluere utvalgte områder eller prosesser. Oppfølging av internkontrollen omtales nærmere i kapittel 4.5 Oppfølging.
4.2.4 Oppsummering
Etter at risikovurderinger er gjennomført, har ledelsen på ulike nivåer i virksomheten oversikt over virksomhetens viktigste risikoer og hvilke områder og prosesser virksomheten må ha særskilt kontroll på. Disse områdene og prosessene bør prioriteres i internkontrollarbeidet. Risikovurderinger gir dessuten oversikt over hvordan identifiserte risikoer er håndtert, og om det er behov for å forbedre internkontrollen.
Risikovurderingen gir også grunnlag for å identifisere behovet for oppfølging av etablert internkontroll på kritiske områder. Etter at risikovurderingen er gjennomført, må ledelsen vurdere om det er behov for å justere de beslutningene som er tatt i planleggingssteget, for eksempel vurdere om det er behov for å justere ressursallokeringen knyttet til internkontrollarbeidet.
Relevante verktøy knyttet til risikovurdering:
4.3 Utforming
Å utforme tiltak innebærer å identifisere aktuelle tiltak som kan redusere den aktuelle risikoen, og å vurdere og prioritere disse ut fra en kost–nytte-vurdering.
Når et tiltak er valgt, må det utformes og beskrives. Å utforme et tiltak kan innebære både å utforme nye tiltak og å forbedre eksisterende tiltak.
Å utforme og oppdatere tiltak vil være en aktivitet som utføres på ulike nivåer i virksomheten. På virksomhetsnivå vil behovet for å utforme/ oppdatere tiltak ofte identifiseres i tilknytning til den overordnede risikovurderingen. På lavere nivåer vil behovet for å utforme og oppdatere tiltak fremkomme som et resultat av risikovurderinger på avdelings- og/eller seksjonsnivå.
For den enkelte prosess vil behovet for å utforme eller
oppdatere ulike typer tiltak gjerne identifiseres i forbindelse med
periodiske risikovurderinger og
gjennomganger av vesentlige prosesser, og i forbindelse med
etablering av nye prosesser.
Prosesskartlegging kan også være et nyttig verktøy når ulike tiltak skal vurderes.
Det er ledelsen som beslutter hvordan arbeidet med å utforme tiltak skal skje. Ved større tiltak kan det være behov for å nedsette prosjekter, arbeidsgrupper eller lignende, men arbeidet kan også legges direkte som en oppgave i linjen. Ved større tiltak vil det være hensiktsmessig å nedfelle mer formaliserte rammer for arbeidet i en godkjent plan. Hvor formelt dette gjøres, må tilpasses tiltakets omfang og kompleksitet. Eksempelvis vil det å utforme et nytt IKT-system kreve mer formelle rammer for arbeidet enn det å utforme nye avstemmingsrutiner eller utbedrede godkjenningsprosedyrer.
Generelt og uavhengig av hvor og på hvilket nivå i virksomheten utforming og oppdatering av risikoreduserende tiltak skjer, vil arbeidet foregå i tre trinn:
- Identifisere aktuelle tiltak
- Vurdere, prioritere og beslutte tiltak
- Utforme og dokumentere besluttede tiltak
4.3.1 Identifisere aktuelle tiltak
Når gjenværende risiko er vurdert til å være for høy, det vil si utenfor virksomhetens risikotoleranse, kan det skyldes flere forhold. Det er derfor viktig at virksomheten ikke trekker forhastede slutninger om hva som kan være aktuelle og relevante tiltak for å håndtere risikoen. For at tiltaket skal være effektivt, må det håndtere kjernen i problemet, det vil si den opprinnelige årsaken til risikoen.
For risikoer der årsaksbildet er komplekst eller uklart, kan det være aktuelt å gjøre en nærmere analyse, slik at rotårsaken1 til problemet eller risikoen identifiseres.
Erfaringsvis kan det være hensiktsmessig å involvere personer som utfører aktiviteten eller på annen måte er involvert i prosessen, når rotårsaken skal analyseres. Det kommer av at disse personene ofte kjenner området best, og derfor har best grunnlag for å komme opp med både risikoer, sannsynlige årsakssammenhenger, mangler ved eksisterende tiltak og forslag til nye tiltak.
Tiltak favner vidt og kan omfatte alt fra utvikling og forbedring av organisasjons- og ledelseskulturen i virksomheten, til virksomhetsovergripende kontroller eller konkrete kontrollaktiviteter i en prosess, for eksempel:
- kompetanseplaner og kompetanseutvikling
- fordeling av roller og ansvar, eksempelvis disponeringsmyndighet
- policyer og prosedyrer
- kontroll av fullstendighet og korrekthet i data
- IT generelle kontroller, eksempelvis tilgangs- og endringskontroll
- arbeidsdeling og sidemannskontroll
Når det skal tas stilling til mulige tiltak, bør det vurderes hva som er hensiktsmessige typer av tiltak ut fra hva som er formålet med tiltaket. Det finnes mange ulike typer av tiltak. Noen tiltak har som formål å forhindre at feil inntreffer (forebyggende/preventive), mens andre har som formål å avdekke feil slik at disse kan korrigeres (avdekkende/oppdagende).
Uavhengig av om tiltak er forebyggende eller avdekkende, kan tiltak grupperes i ulike kategorier. En mulig måte å gruppere eller kategorisere ulike typer tiltak på er å skille mellom tiltak som er overvåkende, tiltak som er generelle/virksomhetsgjennomgripende, og tiltak som er spesifikke. Ofte omtales tiltak i internkontrollsammenheng som kontroller og/eller kontrollaktiviteter.
Overvåkende kontroller har som formål å sikre at fastsatte kontrollaktiviteter av ulikt slag gjennomføres som forutsatt, eksempelvis stikkprøvekontroll av at kontroller i prosessene gjennomføres som beskrevet i prosedyrer e.l. Generelle kontroller (også kalt virksomhetsovergripende kontroller) omfatter hele virksomheten og har som formål å sikre enhetlighet og helhet på tvers av prosesser. Slike kontroller inkluderer blant annet fullmakter og etiske retningslinjer.
En annen gruppe av tiltak er spesifikke kontroller, som utgjør kontrollaktiviteter i prosessene som har som formål å forebygge, avdekke eller korrigerer feil og avvik i prosessene. Slike kontroller inkluderer blant annet bank- avstemminger og sidemannskontroll ved saksbehandling mv.
Når aktuelle tiltak skal identifiseres, må det gjøres ut fra hva som er mulig eller hensiktsmessig i den aktuelle prosessen. For prosesser som støttes av IT-systemer, for eksempel et saksbehandlingssystem, vil det være mulig å bygge inn automatiserte kontroller, som gyldighetskontroller for data som registreres. I andre tilfeller kan det være mest hensiktsmessig å bygge inn manuelle kontroller, som sidemannskontroller.
Risikovurderingen gir viktige innspill som er av betydning for vurderingen av hva som vil være aktuelle og egnede risikoreduserende tiltak. Det er likevel viktig å være oppmerksom på at ikke alle tiltak vil ha eksplisitt opphav i en risikovurdering. Økonomiregelverket stiller for eksempel flere eksplisitte krav til kontroller knyttet til regnskapsføring, anskaffelser, mv. Tilsvarende stilles det også krav gjennom annet lov- og regelverk. Eksempelvis vil rutinene for en regnskapsprosess bidra til å redusere risiko, men flere av kontrollene vil likevel ha sitt utspring i konkrete krav som fremgår av lover og regler.
Internt og eksternt fastsatte rapporteringskrav vil også kunne gi opphav til ulike typer kontrolltiltak som skal sikre kvalitet og pålitelighet i rapporterte data. Dessuten vil det kunne oppstå avvik og feil som må håndteres umiddelbart via ulike former for risikoreduserende tiltak.
4.3.2 Vurdere, prioritere og beslutte tiltak
Det er viktig at beslutninger om hvilke tiltak som skal iverksettes, fattes på riktig nivå i virksomheten og av personer som har myndighet til å fatte slike beslutninger. Noen beslutninger må fattes på virksomhetsledernivå, mens andre kan fattes på et lavere nivå.
Når ledelsen skal prioritere ulike alternativer for risikohåndtering, vil tiltakets virkning på henholdsvis sannsynlighet for og konsekvens av risikoen måtte vurderes. Effekten av tiltaket vil måtte ses i sammenheng med risikobildet. Dersom hovedårsaken til at risikoen befinner seg utenfor risikotoleransen, er at sannsynligheten er høy, vil det være mest hensiktsmessig å vurdere tiltak som virker sannsynlighetsreduserende.
Dersom hovedårsaken til at risikoen er utenfor risikotoleransen, er at konsekvensen er høy, vil det trolig være mest hensiktsmessig å vurdere tiltak som virker konsekvensreduserende.
Når tiltak skal vurderes opp mot hverandre, vil det være viktig å få opp et bilde av det relative forholdet mellom kost og nytte2 ved ulike alternative tiltak. Kost–nytte-vurderinger klargjør hvilke effekter og verdier de ulike tiltakene kan forventes å ha, og kostnaden og realiserbarheten ved å innføre de enkelte tiltakene. Kost–nytte-vurderinger kan være alt fra komplekse og omfattende kvantitative og kvalitative analyser til enkle kvalitative vurderinger.
Hvor omfattende vurderingene gjøres, vil avhenge av forhold som størrelsen på tiltaket, herunder tiltakets kostnad og kompleksitet. For større beslutninger bør kost–nytte-vurdering ved de alternative tiltakene som er identifisert, dokumenteres i beslutningsgrunnlaget.
I mange tilfeller er informasjon om effekter og nytte ikke tilgjengelig, og ledelsen må bygge beslutningene sine på kvalitative vurderinger, erfaring og skjønn. Kostnadssiden er ofte enklere å vurdere, for her finnes det gjerne mer presise erfaringstall og data. I noen tilfeller kan det være hensiktsmessig å benytte eksterne kvalitetssikrere for å gjennomgå og vurdere kost–nytte-vurderinger. Det er mest aktuelt for tiltak som omfatter mange parter, områder eller prosesser, eller tiltak som har store kostnadsmessige konsekvenser, siden kompleksiteten i kost–nytte-vurderingen kan være stor.
Det kan også være tilfeller der mindre kostbare tiltak som ikke påvirker andre forhold, kan iverksettes uten omfattende kost–nytte-vurderinger. Eksempelvis kan ledelsen se behovet for en ny rapport på et område for å kunne ta bedre beslutninger. En enkel kvalitativ vurdering av at nytten overstiger kostnaden ved utviklingen av en slik rapport, vil være tilstrekkelig gitt at eksisterende IKT-systemer enkelt kan produsere en slik rapport.
I skjemaet nedenfor vises et eksempel på hvordan ledelsen kan dokumentere sine kost–nytte-vurderinger i forbindelse med nye tiltak av større betydning.
Når virksomheten skal avgjøre hvilke tiltak som skal prioriteres, bør den vurdere alternative tiltak opp mot hvilke tiltak som allerede er etablert, og hvordan disse er innrettet. Dette innebærer blant annet å vurdere hvordan sammensetningen av forebyggende versus avdekkende kontroller er, og hvordan bruken av manuelle versus automatiserte kontroller er.
Virksomheter som har stor grad av overvåkende og avdekkende/oppdagende kontroller, bør vurdere om det er mulig og hensiktsmessig i større grad å etablere forebyggende kontroller. Det vil trolig også være hensiktsmessig å vurdere å ta i bruk automatiserte kontroller fremfor manuelle kontroller. Automatiserte kontroller vil ofte gi bedre og mer effektiv kontroll, men bruken må vurderes opp mot kostnaden ved å etablere slike kontroller. Dette poenget er illustrert i figuren nedenfor.
Når virksomheten skal beslutte hvilke tiltak som skal utformes, er det viktig å være oppmerksom på at tiltak på ett nivå, ett område eller i én prosess vil kunne påvirke tiltak på andre nivåer, områder eller prosesser. Eksempelvis vil et tiltak om å anskaffe et nytt IKT-system kreve flere ulike nye tiltak andre steder i virksomheten. Det kan dreie seg om tiltak i form av oppdatering av prosedyrer, opplæring, behov for nye automatiserte kontroller, nye manuelle kontroller, bortfall av tidligere brukte kontroller, mv.
Derfor er det, i forbindelse med valg av nye tiltak, viktig å se helheten og vurdere konsekvenser av å etablere tiltak på tvers av prosesser og virksomheten for øvrig. På denne måten er det mulig å forhindre at håndtering av risiko på ett sted i virksomheten bidrar til at risikoer andre steder i virksomheten ikke blir håndtert. Et helhetsperspektiv er også viktig for å forhindre at kontroller ubevisst dupliseres eller overdimensjoneres.
Underveis i diskusjonene rundt hvilke tiltak som skal besluttes, kan det være nyttig å stille seg noen kontrollspørsmål:
- Vil prosessen, slik den ser ut etter at nye tiltak er utformet,
være
- målrettet og effektiv?
- innrettet slik at prosessen sikrer pålitelig rapportering?
- innrettet slik at relevante lover, regler og retningslinjer overholdes?
- Er det god balanse i kontrollene som inngår i prosessen (manuelle versus automatiske, preventive versus avdekkende)?
- Vil tiltaket håndtere rotårsaken eller den opprinnelige årsaken til problemet?
- Vil noen av tiltakene være nøkkelkontroller og derfor ha behov for oppfølging for å verifisere at tiltaket etterleves og har ønsket effekt, jf. omtale i kapittel 4.2.3 Vurdere behov for tiltak og/eller oppfølging?
4.3.3 Utforme og dokumentere besluttede tiltak
Når det er besluttet hvilke tiltak som skal håndtere den aktuelle risikoen, må tiltakene utformes. Å utforme tiltak kan for eksempel gå ut på å:
- utarbeide eller oppdatere beskrivelser av kontroller som skal gjennomføres. Slike beskrivelser kan omfatte hvem som skal gjøre kontrollen, når kontrollen skal gjennomføres, hvordan kontrollen skal gjennomføres, og hvordan kontrollen skal dokumenteres
- utarbeide nye dokumenter i form av prosedyrer, policydokumenter o.l., blant annet utforme det konkrete innholdet i dokumentet eller oppdatere eksisterende dokumenter
- utarbeide kurs eller oppdatere opplæringsprogrammer for medarbeidere
- utarbeide kravspesifikasjon og utvikle ny modul i saksbehandlingssystemet
Ofte kan det være hensiktsmessig å fastsette en plan for hvordan aktuelle tiltak konkret skal utformes, herunder å tildele ansvar og roller for dette arbeidet for å sikre gjennomføringskraft. Om det er behov for en plan, og hvor omfattende denne planen skal være, vil avhenge av type tiltak. Tiltak kan være store, kostbare og kompliserte i form av at de er mer virksomhetsovergripende og/eller påvirker flere andre forhold i virksomheten.
Å utforme tiltak i form av for eksempel å anskaffe et nytt eller oppdatere et eksisterende IKT-system vil kunne kreve omfattende planer og store ressurser på tvers av virksomheten, og vil omfatte mange parter og dessuten strekke seg over tid. Å innføre en ny spesifikk kontroll i en prosess innenfor eget ansvarsområde vil derimot ikke nødvendigvis ha et tilsvarende behov for en plan knyttet til utformingen.
I forbindelse med at en virksomhet skal utforme besluttede tiltak, bør den også vurdere om det bør gjennomføres tester/stikkprøver eller etableres styringsparametere som gjør det mulig å følge opp effekten av nye eller forbedrede internkontrolltiltak. Ofte vil det være naturlig å vurdere om det skal rapporteres på tiltak som reduserer kritisk risiko i den ordinære løpende styringen.
4.3.4 Oppsummering
Etter å ha gjennomført steget utforming har virksomheten identifisert hvilke tiltak som kan være aktuelle for å håndtere risikoen. Videre er de aktuelle tiltakene vurdert og prioritert, og basert på en kost–nytte-vurdering er det besluttet hvilke tiltak som skal velges for å håndtere risikoen. Besluttede tiltak er utformet og beskrevet. Neste steg blir å implementere tiltakene for å sikre gjennomføring.
4.4 Implementering
Å implementere tiltak innebærer å iverksette besluttede tiltak, slik at de etterleves og gir varig effekt. Gjennom ulike implementeringsaktiviteter gjøres nye utformede eller oppdaterte tiltak kjent og forankres i virksomheten.
Hvilke implementeringsaktiviteter som skal til for at besluttede tiltak skal iverksettes og fungere som forutsatt, avhenger av type tiltak og tiltakets viktighet, kompleksitet og størrelse. Omfanget av implementeringsaktiviteter, herunder behovet for implementeringsplaner, kommunikasjonsplaner og opplæringsaktiviteter, vil naturlig følge av type tiltak, samt om implementeringen organiseres som en linjeaktivitet eller som et prosjekt.
Virksomheter bør i den grad det er mulig, tilstrebe å standardisere metoder og rutiner for implementering. Standardiserte metoder og rutiner på området bidrar til forutsigbarhet og effektivitet i implementeringsprosessen og til å sikre best mulig kvalitet i implementeringen.
4.4.1 Vurdere behovet for implementeringsaktiviteter
Erfaringer viser at det å implementere tiltak ofte undervurderes fordi det tas for gitt at beslutningen er både kjent, forstått og forankret. Det finnes flere eksempler på at virksomheter bruker mye tid og krefter på å utarbeide gode tiltak og planer, mens evnen til å iverksette tiltakene og i praksis gjennomføre det virksomheten har bestemt seg for, svikter. Nye og forbedrede prosedyrer har liten verdi hvis de blir liggende i en skuff og glemt, mens de personene som har ansvar for å gjennomføre oppgaven, løser den slik de «alltid» har gjort.
Et mer alvorlig eksempel er når planer og prosedyrer som omhandler ekstraordinære hendelser, som eksempelvis brann, ikke blir benyttet som forutsatt. Ofte er årsaken at prosedyrene ikke har vært kjent, eller at det ikke har vært gjennomført øvelser og trening.
Å implementere tiltak bidrar ikke bare til at tiltaket blir kjent, men også til at det blir erkjent. For tiltak som krever en bestemt type atferd, for eksempel evakuering, vil øvelser og trening i bruk og gjennomføring være avgjørende den dagen det haster med å handle og mange ting skjer samtidig. Tilsvarende vil ofte forståelsen for, og etterlevelsen av, eksempelvis etiske retningslinjer bedres hvis virksomheten i tillegg til å kommunisere og tilgjengeliggjøre retningslinjene gjennomføre opplæring der retningslinjene brukes i praktiske situasjoner.
4.4.2 Vurdere faktorer av betydning for en vellykket implementering
Figur 15 beskriver viktige suksesskriterier som avhengig av type tiltak bør tas hensyn til i implementeringsarbeidet. Fravær av ett eller flere av disse kriteriene kan være en mulig årsak til at besluttede tiltak ikke får ønsket effekt. Kriteriene omtales nærmere nedenfor.
Forankring, holdninger og atferd
En viktig suksessfaktor for endringsarbeid generelt er at lederne involverer seg, viser engasjement og fremstår som tydelige rollemodeller. Forankring og oppmerksomhet fra ledelsen, eksempelvis gjennom at ledelsen etterspør implementeringsplaner, følger opp status i forhold til plan og selv endrer atferd, synliggjør ledelsens engasjement og bidrar til å spre riktige holdninger til endring.
Utviklingsaktiviteter som utføres i form av et prosjekt, får gjerne mye oppmerksomhet i prosjektperioden. I den sammenheng kan det være viktig å være klar over at overføring fra prosjekt til linje ofte er en utfordring. For å sikre gjennomføring og etterlevelse er det viktig at ledelsen prioriterer å vise interesse for tiltaket, slik at linjen støttes og nødvendig oppmerksomhet opprettholdes også i implementeringsperioden.
Implementeringsarbeidet knyttet til store tiltak som medfører vesentlige endringer i måten de ansatte arbeider på, vil ofte gå mer smertefritt dersom ledelsen sørger for medarbeiderforankring og involvering underveis i utformingsfasen. Når de som berøres eller involveres sterkest av en endring, også gis mulighet til å påvirke og komme med sine innspill, bidrar det til at de forstår formålet med endringen. Gjennom å involvere nøkkelmedarbeidere underveis både i utformings- og implementeringsarbeidet, kan disse medarbeiderne også fremstå som «ambassadører» for endringen.
Informasjon, kommunikasjon og tilgjengeliggjøring
Når tiltak skal implementeres, er det helt avgjørende at informasjon om beslutningen (om at tiltaket skal iverksettes), iverksettelsestidspunkt, ansvar, krav til utførelse, mv. blir kommunisert, slik at det er tydelig for de ansatte som blir berørt av tiltakene, hva som forventes og kreves av dem.
Noen typer tiltak er rettet mot alle ansatte i virksomheten, mens andre typer bare angår eller involverer noen få.
Det vil variere hvor systematisk ledelsen kommuniserer besluttede tiltak. Ved store tiltak kan det som et ledd i implementeringsarbeidet være behov for å sette opp en kommunikasjonsplan.
Denne baseres på en kartlegging av hvem som berøres direkte av tiltaket, og hvem som berøres indirekte, samt en vurdering av hvilken informasjon de berørte trenger. Virksomhetens intranett, avdelings- og seksjonsmøter, ledermøter, medarbeidersamtaler, tavlemøter, kurssamlinger, mv. kan være mulige arenaer å benytte her. Allerede eksisterende kommunikasjonskanaler bør benyttes i størst mulig grad.
Tilstrekkelig informasjon og kommunikasjon av forventninger om hvilke resultater endringen/tiltaket skal gi, er også viktig med hensyn til forankring, holdninger og atferd, som er omtalt foran.
Kompetanse, ferdigheter og kapasitet
Når større tiltak skal implementeres, eksempelvis innføring av nytt saksbehandlingssystem, vil det ofte være hensiktsmessig at ansvaret for å planlegge og styre implementeringen tildeles konkrete medarbeidere eller funksjoner. For store og omfattende implementeringer vil det være hensiktsmessig at de medarbeiderne som gis et ansvar i implementeringsarbeidet, har erfaring fra tidligere med slikt arbeid.
En avgjørende faktor for vellykket implementering er dessuten at alle som blir berørt av tiltaket, har den nødvendige kompetansen og de ferdighetene som skal til for å gjennomføre det som er besluttet på en god måte. Det er derfor viktig at det også avsettes tid og ressurser til gjennomføring av opplæring og kompetanseutvikling for berørte medarbeidere. Dette kan omfatte opplæring i nye systemer, verktøy, prosedyrer mv.
Verktøy og systemstøtte
Implementering av enkelte tiltak forutsetter tilgang til verktøy og systemstøtte for å kunne utøve/ gjennomføre tiltaket. For slike tiltak er det avgjørende at medarbeiderne raskt får tilgang til verktøy og systemer som trengs for å kunne gjennomføre de nye arbeidsoppgavene på en effektiv og hensiktsmessig måte. Eksempelvis kan endrede interne og eksterne krav knyttet til innkjøp eller saksbehandling medføre behov for en ny type verktøy og en annen systemstøtte enn tidligere.
4.4.3 Oppsummering
Etter å ha implementert utformede tiltak skal tiltakene være operasjonalisert og etablert i virksomheten. En vellykket implementering bidrar til at tiltakene etterleves og fungerer som forutsatt, det vil si tiltakene reduserer den risikoen de var ment å håndtere.
4.5 Oppfølging
Oppfølging3 innebærer en systematisk vurdering av internkontrollsystemets utforming, og om internkontrollen etterleves og fungerer som forutsatt.
Gjennom oppfølgingen får ledelsen informasjon om hvorvidt internkontrollmålsettingene oppnås, og om implementerte tiltak etterleves og gir ønsket effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle fastsatte mål og krav. Resultatene fra oppfølgingen vil gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten.
4.5.1 Ledelsen har hovedansvaret
Ledelsen har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Det er viktig at ledelsen i sin oppfølging fokuserer særlig på internkontrolltiltak rettet mot virksomhetens vesentligste risikoer med tilhørende kontroller, herunder kontroller som har høy konsekvens dersom de svikter. Virksomheten bør vurdere behovet for å formalisere ledelsens oppfølging av internkontrollen i policyer og/eller prosedyrer.
Organisering av arbeidet
Avhengig av hvordan virksomheten velger å organisere internkontrollarbeidet, jf. kapittel 3.1.4, vil oppfølgingen skje på ulike måter, på ulike nivåer og av ulike roller og funksjoner i virksomheten. Oppfølging kan skje ved at ledere følger opp både om internkontrollen etterleves, og om den gir ønsket effekt.
Oppfølging kan skje gjennom stikkprøvekontroller/tester, analyser, innhenting og analyse av styringsparametere og indikatorer. Ettersom det ikke er hensiktsmessig å følge opp alt, er det nødvendig å prioritere de områdene og kontrollene som anses som viktigst med hensyn til risiko og vesentlighet. Basert på informasjon som innhentes gjennom oppfølgingen, bør lederne på ulike nivåer gjennomføre en helhetlig analyse og vurdering av internkontrollen innenfor eget område.
Forbedringsbehov innenfor eget ansvarsområde som lederen selv kan beslutte, må planlegges og inngå som en del av øvrig oppgaveportefølje på ansvarsområdet. Forbedringsbehov som ligger utenfor den aktuelle lederens ansvars- og myndighetsområde, må også håndteres, og oppfølgingen vil da bestå i å løfte saken videre for vurdering og beslutning på et høyere nivå.
For virksomheter som har organisert internkontrollarbeidet gjennom å definere en egen rolle eller funksjon som støtter ledelsen i arbeidet med internkontroll, vil oppfølging også kunne skje ved at denne funksjonen på vegne av ledelsen gjennomfører tester for å verifisere om internkontrollen etterleves og gir ønsket effekt.
Virksomheter som har internrevisjon4, vil kunne få en mer uavhengig tilbakemelding på hvordan hele eller deler av internkontrollsystemet fungerer på et gitt tidspunkt. Internrevisjonsfunksjonen omtales imidlertid ikke nærmere i denne veilederen.
4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt
Oppfølging kan skje i form av løpende oppfølging, frittstående oppfølging eller en kombinasjon av de to. Type oppfølging, hyppighet og omfang avhenger av den enkelte risiko og virksomhets behov. Virksomhetens størrelse og kompleksitet er relevant i denne sammen- heng. I store og komplekse virksomheter er virksomhetsledelsen ofte mindre involvert i gjennomføringen av kontroller og må derfor stole på oppfølgings- prosedyrer som utføres av lavere ledelsesnivåer. I mindre virksomheter er virksomhetsledelsen mer direkte involvert i oppfølgingen av risikoer og tilhørende kontroller, og får dermed mer direkte informasjon om statusen på internkontrollsystemet.
Risikonivået henger sammen med kompleksiteten. Derfor forventes det mer oppfølging på områder med større kompleksitet. Dette som følge av at risikoen er høyere, eksempelvis som følge av sektorrelaterte egenskaper, komplekst regelverk, antall produkter eller tjenester, sentralisert versus desentralisert organisering, mv. Virksomhetens styrings- og kontrollmiljø spiller også her en rolle. En virksomhet som har et velfungerende styrings- og kontrollmiljø, vil ha mindre behov for oppfølging i form av etterkontroller og stikkprøver.
Løpende oppfølging
Med løpende oppfølging menes ulike manuelle eller automatiske oppfølgingsaktiviteter som er bygd inn i virksomhetens rutinemessige driftsaktiviteter. Løpende oppfølging gir den viktigste støtten til ledelsens daglige oppfatning av hvor godt internkontrollsystemet fungerer, og gir den beste mulig- heten for å identifisere og korrigere kontrollsvakheter på et tidlig tidspunkt. Løpende oppfølging kan blant annet være ulike avstemminger, analyser og oppfølging av styringsparametere.
Eksempelvis kan oppfølging av en styringsparameter som viser brudd på saksbehandlingsfrister eller utvikling i antall klagesaker, være en relevant indikator som sier noe om hvor effektivt internkontrollen fungerer. Løpende oppfølging omfatter også tester/etterkontroller og stikkprøver for å verifisere at prosedyrer og kontroller gjennomføres som forutsatt og gir ønsket effekt og kvalitet. I den grad virksomheten kan automatisere oppfølgingen og integrere automatiserte oppfølgings- og kontrollaktiviteter som en del av eksisterende IKT-systemer, vil det bidra til mer effektiv oppfølging, styring og kontroll.
Enkelte virksomheter har etablert avvikssystemer hvor virksomheten løpende og systematisk registrerer og håndterer avvik. Avvikssystemer finnes i mange ulike typer, fra mer eller mindre komplekse og omfattende IKT-systemer og databaser som håndterer både rapportering, oppfølging og avslutning (lukking) av avvik, til enkle skjemaer eller oppfølgingspunkter på allerede eksisterende rapporteringsmaler.
Dersom virksomheten velger å etablere et avvikssystem, er det viktig at virksomheten definerer prosedyrer for bruk av dette systemet, blant annet for hvordan den skal registrere og håndtere avvik. Det er også viktig at informasjonen fra avvikssystemet faktisk benyttes som informasjonskilde i forbedringsarbeidet, og at informasjon om avvik ikke får negative konsekvenser for medarbeidere eller blir ignorert.
En spesiell form for avviksoppfølging er varslinger av kritikkverdige forhold. Alle virksomheter er i henhold til arbeidsmiljøloven pålagt å ha en uavhengig varslingskanal og legge forholdene til rette for intern varsling ved kritikkverdige forhold. Ledelsen må sørge for løpende oppfølging av registrerte varsler.
Frittstående oppfølging
Ved frittstående oppfølging kan de samme teknikkene benyttes som ved løpende oppfølging, men denne typen oppfølging er utformet for å følge opp kontroller periodevis. Ofte gjennomføres denne typen oppfølging på et mer objektivt grunnlag, av personer som har større avstand til og er mer uavhengige med hensyn til det området som skal vurderes. Oppfølgingen kan ha en bred tilnærming ved at hele eller store deler av virksomhetens internkontroll evalueres, eller evaluering kan begrenses til en enhet, et ansvarsområde eller en prosess.
Eksempler på frittstående oppfølging kan være oppfølginger og evalueringer som er gjennomført av internrevisjonen eller Riksrevisjonen, og evalueringer som er utført av kompetansemiljøer internt eller eksternt.
Omfang og hyppighet av frittstående oppfølging avhenger både av risikovurderingen og av hvor effektive de løpende oppfølgingsrutinene er5. Ofte kan frittstående oppfølging være aktuelt i situasjoner der ledelsen gjennom en risiko- og vesentlighetsvurdering har identifisert områder hvor de mener det er behov for en større gjennomgang. Bruk av en slik type evaluering er omtalt i reglementet § 16.
En virksomhet som opplever et stort behov for hyppig frittstående oppfølging og evaluering, bør vurdere å forbedre virksomhetens prosesser og løpende oppfølgingsaktiviteter og på den måten søke å integrere, dvs. «bygge inn» heller enn å «legge til», kontroller6.På den måten vil oppfølgingen i større grad integreres i, og ses i sammenheng med, den øvrige og løpende styringen og kontrollen av virksomheten. Jo større omfanget av og effektiviteten i løpende oppfølging er, jo mindre er behovet for frittstående oppfølging.
4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring
Systematisk og helhetlig oppfølging av internkontrollen, og aktiv bruk av resultatene fra oppfølgingen i virksomhetens planlegging og risikovurdering, vil bidra til å sikre at internkontrollen til enhver tid er tilpasset risiko og vesentlighet. Oppfølgingen er følgelig en viktig premiss for å utvikle en dynamisk og velfungerende internkontroll og for å oppfylle de tre internkontrollmålsettingene. Systematisk oppfølging er også et avgjørende element i virksomhetens generelle lærings- og forbedringsarbeid.
Læring og forbedring oppnås best i virksomheter som systematisk legger til rette for erfaringsutveksling ved å etablere arenaer for oppfølging, problemløsing og avvikshåndtering på alle nivåer i organisasjonen (team, seksjon, avdeling, virksomhet).
Ved å benytte kunnskap og erfaring som er opparbeidet internt i virksomheten, samt benytte kunnskap fra brukere, leverandører og samarbeidspartnere, vil virksomheten legge til rette for kontinuerlig forbedring og utvikling. For å få til en slik utvikling er det viktig at det i virksomheten skapes en åpenhetskultur hvor det er «akseptert» å gjøre utilsiktede feil, og hvor registrering og håndtering av avvik blir verdsatt og anerkjent som verdifullt for virksomhetens videre utvikling.
4.5.4 Oppsummering
Etter at internkontrollen har blitt fulgt opp på ulike nivåer i virksomheten, skal ledelsen kunne danne seg et kvalifisert grunnlag for å vurdere om internkontrollsystemet er tilstrekkelig oppdatert og i stand til å håndtere virksomhetens risikoer. Oppfølgingen skal følgelig kunne danne grunnlag for å rapportere tilstanden på internkontrollen innenfor eget område, og dessuten danne grunnlag for å forbedre og eventuelt korrigere internkontrollen.
Relevante verktøy:
4.6 Rapportering
Rapportering innebærer at resultater fra oppfølgingen på lavere nivåer rapporteres til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering.
Dette gir ledere på alle nivåer et grunnlag for å vurdere kvaliteten på og effekten av etablert internkontroll innenfor eget ansvarsområde.
Videre legges det til rette for at mangler ved internkontrollen blir håndtert på riktig nivå. Dette gir virksomhetsledelsen et grunnlag for å vurdere den samlede kvaliteten på virksomhetens internkontroll, og det gir nyttig informasjon til bruk i styringen og planleggingen av neste periode.
Rapporteringen skal også kunne gi virksomhetsleder et kvalifisert grunnlag for å konkludere og rapportere til overordnet departement om tilstanden på virksomhetens samlede internkontroll. Årsrapporten del IV omhandler styring og kontroll i virksomheten, og dette kan omfatte en kort tilstandsrapportering om internkontroll.
4.6.1 Rapportere resultater til rett nivå og til rett tid
Det er viktig at informasjon om internkontrollsystemets utforming, virkemåte og etterlevelsen av etablerte kontroller rapporteres til rett nivå og til rett tid, slik at nødvendige tiltak kan besluttes og implementeres.
Rapportering av resultater fra oppfølging av internkontrollen gir nyttig informasjon til bruk i styringen. Virksomheten vil i sin interne styring ha behov for gode prosedyrer for rapportering som sikrer at vesentlig styringsinformasjon, herunder informasjon om utvikling og svakheter, rapporteres i linjen, slik at nødvendige korrektive tiltak kan iverksettes.
Det gjelder både når korrektive tiltak er innrettet mot forbedringer i internkontrollen (hvordan sikre at virksomheten gjør tingene riktig), og når korrektive tiltak er innrettet mot strategiske valg (hvordan sikre at virksomheten gjør de riktige tingene). For å få til dette er det avgjørende at det er etablert tydelige krav til hva som skal rapporteres når og til hvem.
Hvilke konkrete krav som bør stilles, må vurderes i den enkelte virksomhet og ses i sammenheng med behovet. Generelt bør imidlertid informasjonen fra oppfølgingen på ulike nivåer sammenstilles og rapporteres for å gi grunnlag for en samlet vurdering av internkontrollens kvalitet og effektivitet.
De interne rapporteringskravene må innrettes slik at virksomheten også ivaretar eventuelle eksterne rapporteringskrav. Dette gjelder blant annet rapporteringskrav som stilles fra overordnet departement, knyttet til status på etablert internkontroll og rapportering av eventuelle vesentlige svakheter eller svikt i virksomhetens internkontroll.
Det er i denne sammenheng viktig at vesentlige svakheter knyttet til internkontrollen rapporteres til rett nivå. Svakheter som er identifisert i oppfølgingen på et lavere nivå, men som ikke kan håndteres på dette nivået alene, må komme tydelig frem i rapporteringen til neste nivå, slik at det kan tas en beslutning om hvordan risikoen skal håndteres, herunder om eventuelle korrektive tiltak skal iverksettes.
At det lavere nivået ikke kan håndtere svakhetene alene, kan for eksempel skyldes at svakhetene krever tiltak som vedkommende leder ikke har nødvendige fullmakter til å beslutte og håndtere, eller det kan skyldes at svakhetene har sin årsak i forhold utenfor ved- kommende leders ansvarsområde.
4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering
Rapportering knyttet til internkontrollen bør i størst mulig grad integreres i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten sikres det at all rapportering av verdi for styring og kontroll ses i sammenheng og benyttes i arbeidet med å planlegge, følge opp og forbedre internkontrollen.
De fleste virksomheter følger en årssyklus der planlegging av neste års aktivitet skjer i forkant av, og i forbindelse med, mottak av tildelingsbrev på høsten, og der årsrapport skal oversendes til overordnet departement påfølgende år. I tillegg har de fleste virksomheter ulike rapporteringer til overordnet departement gjennom året, som kvartals-, halvårs- eller tertialrapporteringer.
Det vil være naturlig at den årlige internkontrollprosessen på virksomhetsnivå følger de samme hovedlinjene. Det betyr at den årlige planleggingen av internkontrollen integreres i den øvrige planprosessen i virksomheten, og at oppfølging og rapportering skjer på tidspunkter som gjør virksomheten i stand til å avgi nødvendige uttalelser og nødvendig rapportering på internkontrollen på de tidspunktene som kreves i tildelingsbrevet.
Virksomheten vil normalt også ha andre rapporteringspunkter som er fastsatt ut fra interne styringsbehov i virksomheten. Eksempelvis vil noen virksomheter som ledd i oppfølgingen av virksomhetsplanen også rapportere om utvikling i risiko og styringsparametere, og status av risikoreduserende tiltak og oppfølging av nøkkelkontroller i virksomheten. Som en del av den løpende rapporteringen i virksomheten kan det stilles krav om at ledere på seksjons- eller avdelingsnivå på bestemte tidspunkter også rapporterer om status på internkontrollen samlet for sitt område.
Dersom slike krav er stilt i virksomheten, vil resultatene fra løpende og/eller frittstående oppfølging (for eksempel testing, nøkkelkontroller, eventuelle egenevalueringer, benchmarks og/eller internrevisjoner) være et nyttig grunnlag og dessuten nyttig dokumentasjon for å avgi en slik uttalelse på det aktuelle nivået. Slike eksplisitte krav om rapportering fra ledere bidrar til å forplikte ledere til systematisk å tenke gjennom og følge opp forhold knyttet til internkontrollen på regelmessig basis.
Ved at feil, svakheter og særskilte hendelser som fremkommer i oppfølgingen, rapporteres oppover i linjen og sammenstilles, vil de mest overordnede og alvorlige svakhetene i internkontrollen fremkomme i rapporteringen til virksomhetsledelsen. Virksomhetsledelsen får dermed en samlet oversikt over status og forbedringsbehov og et kvalifisert grunnlag for å kunne uttale seg om internkontrollen i virksomheten totalt sett.
I tillegg til den ordinære og systematiske rapporteringen som foregår i virksomheten som ledd i den interne styringen, er det også viktig å etablere kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og vesentlige risikoer som inntreffer eller truer med å inntreffe. Det vises her også til avvikshåndtering og varsling som ble omtalt i kapittel 4.5.2.
4.6.3 Oppsummering
Etter at ledere på ulike nivåer har rapportert resultatet fra oppfølgingen av internkontrollen innenfor eget ansvarsområde, skal informasjon om status og tilstand for internkontrollen for virksomheten som helhet kunne sammenstilles og kommuniseres. Denne informasjonen benyttes i ledelsens styring og kontroll av virksomheten, og gir viktige innspill til læring og forbedring og dessuten til planleggingen av internkontrollen for neste periode.
Relevante verktøy:
Fotnoter
1Med rotårsak menes her den opprinnelige og bakenforliggende årsaken til problemet, risikoen mv. som er den egentlige årsaken i første instans.
2Verdi og nytte anses i denne sammenheng som synonymer. Kostnaden er ett av elementene i vurderingen av hvor realiserbart tiltaket er (dersom kostnaden er høy, reduseres realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv.
3Oppfølging sammenfaller med betydningen av COSO-rammeverkets overvåkingskomponent.
4For en utdyping om internrevisjon kan DFØs rapport 2009:4 Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging og DFØs veileder Trenger vi en internrevisjon være relevante kilder.
5DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, kapittel 3.9.
6COSO 2009: Veiledning i oppfølging av internkontroll, del II: Anvendelse, s. 41.
Veileder i internkontroll
Innledning
Kort om veilederen
Formål
Målgruppe
Avgrensninger
Fotnoter
Hva er internkontroll?
2.1 Krav til internkontroll i statlige virksomheter
2.2 Hva forstår vi med begrepet internkontroll?
2.2.1 Målrettet og effektiv drift
2.2.2 Pålitelig rapportering
2.2.3 Overholdelse av lover og regler
2.3 Hvorfor er det nødvendig med internkontroll?
Internkontroll bidrar til kvalitet og effektivitet
Forebygger feil og negative hendelser
Bidrar til kontinuerlig forbedring
Bedrer evnen til å meste utfordringer
Fotnoter
Hvordan etablere internkontroll?
Metode – internkontrollprosess i seks steg
Internkontroll som årlig prosess i virksomheten
3.1 Etabler et fundament for internkontroll
Relevante verktøy
3.2 Styrings- og kontrollmiljø
3.2.1 Formelt og uformelt miljø må virke sammen
3.2.2 Gjelder både leder og medarbeidere
3.2.3 Dokumentasjon av internkontrollen
Dokumentasjon av etablert internkontroll
Dokumentasjon av gjennomført internkontroll
3.2.4 Organisering av internkontrollarbeidet
Førstelinje-, andrelinje- og tredjelinjeforsvar
3.3 Informasjon og kommunikasjon
Hvordan utføre internkontroll?
4.1 Planlegging
4.1.1 Ambisjonsnivå og overordnet status for internkontrollen
Kjennetegn på effektiv internkontroll
4.1.2 Rammer og ressurser for internkontrollarbeidet
4.1.3 Oppsummering
Relevante verktøy i planleggingsfasen:
4.2 Risikovurdering
4.2.1 Etablere et grunnlag for risikovurderingen
4.2.2 Gjennomføre risikovurderinger
4.2.3 Vurdere behov for tiltak og/eller oppfølging
4.2.4 Oppsummering
Relevante verktøy knyttet til risikovurdering:
4.3 Utforming
4.3.1 Identifisere aktuelle tiltak
4.3.2 Vurdere, prioritere og beslutte tiltak
4.3.3 Utforme og dokumentere besluttede tiltak
4.3.4 Oppsummering
4.4 Implementering
4.4.1 Vurdere behovet for implementeringsaktiviteter
4.4.2 Vurdere faktorer av betydning for en vellykket implementering
Forankring, holdninger og atferd
Informasjon, kommunikasjon og tilgjengeliggjøring
Kompetanse, ferdigheter og kapasitet
Verktøy og systemstøtte
4.4.3 Oppsummering
4.5 Oppfølging
4.5.1 Ledelsen har hovedansvaret
Organisering av arbeidet
4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt
Løpende oppfølging
Frittstående oppfølging
4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring
4.5.4 Oppsummering
Relevante verktøy:
4.6 Rapportering
4.6.1 Rapportere resultater til rett nivå og til rett tid
4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering
4.6.3 Oppsummering
Relevante verktøy:
Fotnoter
Gjennomgangseksempel