Innledning

Alle ledere og medarbeidere bidrar til internkontroll i sitt daglige arbeid, men ikke alle er oppmerksomme på at oppgavene som gjøres, og måten de gjøres på, inngår som en del av virksomhetens internkontroll.

Bruk av passord og autorisasjonsordninger, kontroll av tallgrunnlaget i en rapport, opplæringstiltak, prosessbeskrivelser og rutiner, sjekk av referanser, arbeidsdeling og sidemannskontroll er alle eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll.

Internkontroll omfatter derfor ikke bare kontrollaktiviteter knyttet til utførelsen av konkrete oppgaver, aktiviteter og prosesser, men også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar i virksomheten, kompetanse, kultur og holdninger, mv.

Virksomhetens internkontroll skal bidra til å gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. God internkontroll i oppgavegjennomføringen bidrar på denne måten til kvalitet i statlige produkter og tjenester. Internkontrollen utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll.

Økonomiregelverkets1 krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal baseres på en vurdering av risiko, vesentlighet og virksomhetens egenart2

Forhold som størrelse og kompleksitet, oppgaveportefølje og oppgavesammensetning, virksomhetsområde, organisering og grunnleggende styringskrav inngår som en del av denne vurderingen. Det er derfor ikke hensiktsmessig å skissere én spesifikk standard for hva som er et effektivt internkontrollsystem3 som vil passe for alle virksomheter. Det er ledelsen i hver enkelt virksomhet som må gjøre vurderinger og ta beslutninger som ivaretar de hensynene som er relevante for virksomheten.

Kort om veilederen

Formål

Formålet med denne veilederen er å gi medarbeidere og ledere i statlige virksomheter en bedre forståelse av hva internkontroll er, og hvordan virksomheten kan arbeide systematisk med etablering4, forbedring og oppfølging av internkontrollen. I veilederen presenteres en strukturert metode som kan benyttes i arbeidet med å etablere og forbedre internkontrollen både for enkeltområder i virksomheten og for virksomheten samlet sett.

Metoden som presenteres, er illustrert ved et gjennomgangseksempel som konkretiserer hvordan arbeidet kan gjennomføres. For å gi praktisk nytte i virksomhetens arbeid med internkontroll har DFØ i tilknytning til veilederen også utarbeidet veiledningsmateriell som består av ulike maler, sjekklister og verktøy. Disse er tilgjengelige på dfo.no/internkontroll.

I tillegg til denne veilederen er det utarbeidet en kortversjon spesielt rettet mot ledere. I kortversjonen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du kan ivareta ditt ansvar for internkontroll.

Målgruppe

Veileder i internkontroll er rettet mot ledere og medarbeidere som er gitt et særlig ansvar for å legge til rette for og ivareta det praktiske arbeidet med internkontroll.

Veilederen er rettet mot virksomheter som har behov for å etablere eller forbedre en allerede eksisterende internkontroll. Veilederen er også rettet mot virksomheter som har et ønske om å få til et mer systematisk arbeid med hensyn til å følge opp og forbedre virksomhetens internkontroll, og som ser et behov for å integrere internkontrollarbeidet bedre i styringen av virksomheten.

Metodikk, verktøy og begrepsapparat som presenteres i denne veilederen, vil kunne benyttes av alle statlige virksomheter. Dette omfatter også departementenes arbeid med etablering og forbedring av internkontroll i egen virksomhet.

Avgrensninger

Veilederen vil gjennom en generell tilnærming gi råd og støtte til hvordan virksomheten kan innrette seg etter økonomiregelverkets krav til internkontroll. Veilederen utdyper ikke spesifikke temaer som eksempelvis internkontroll med hensyn til misligheter og økonomisk kriminalitet eller internkontroll med tanke på å hindre at beløpsmessige rammer overskrides. Metodikken i veilederen er imidlertid også godt egnet som utgangspunkt for å forbedre internkontrollen knyttet til slike spesifikke temaer.

Veilederen legger til grunn at det finnes flere anerkjente metoder som kan brukes i forbindelse med risikovurderinger i virksomheter. Metoden som presenteres i DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen (RIS), vil være én blant flere metoder. Denne veilederen bygger på metoden som er vist i RIS, og vil derfor i liten grad beskrive eller gjennomgå selve metoden for risikovurdering.

Departementenes oppfølging av internkontroll i underliggende virksomheter omhandles ikke spesifikt i denne veilederen. Det vises her til veileder i etatsstyring kapittel 2.6.

Fotnoter

1Reglement for økonomistyring i staten (reglementet) og bestemmelser om økonomistyring i staten (bestemmelsene) omtales samlet som økonomiregelverket.
2Reglementet § 4, 10 og 16, og bestemmelsene punkt 1.2, 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, 5.4.2.2, 6.5, 7.4 og 8.5.
3Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et fundament som omfatter styrings- og kontrollmiljø og informasjon- og kommunikasjon, i tillegg til en strukturert metode for arbeidet med etablering og forbedring av internkontroll.
4Med etablering forstås både etablering ved nyoppretting av virksomhet og ved etablering av internkontroll når virksomheten får ansvar for nye områder, prosesser mv.

Oppdatert: 1. mai 2022

Veileder i internkontroll

Innledning

Kort om veilederen

Formål

Målgruppe

Avgrensninger

Fotnoter

Hva er internkontroll?

2.1 Krav til internkontroll i statlige virksomheter

2.2 Hva forstår vi med begrepet internkontroll?

2.2.1 Målrettet og effektiv drift

2.2.2 Pålitelig rapportering

2.2.3 Overholdelse av lover og regler

2.3 Hvorfor er det nødvendig med internkontroll?

Internkontroll bidrar til kvalitet og effektivitet

Forebygger feil og negative hendelser

Bidrar til kontinuerlig forbedring

Bedrer evnen til å meste utfordringer

Fotnoter

Hvordan etablere internkontroll?

Metode – internkontrollprosess i seks steg

Internkontroll som årlig prosess i virksomheten

3.1 Etabler et fundament for internkontroll

Relevante verktøy

3.2 Styrings- og kontrollmiljø

3.2.1 Formelt og uformelt miljø må virke sammen

3.2.2 Gjelder både leder og medarbeidere

3.2.3 Dokumentasjon av internkontrollen

Dokumentasjon av etablert internkontroll

Dokumentasjon av gjennomført internkontroll

3.2.4 Organisering av internkontrollarbeidet

Førstelinje-, andrelinje- og tredjelinjeforsvar

3.3 Informasjon og kommunikasjon

Hvordan utføre internkontroll?

4.1 Planlegging

4.1.1 Ambisjonsnivå og overordnet status for internkontrollen

Kjennetegn på effektiv internkontroll

4.1.2 Rammer og ressurser for internkontrollarbeidet

4.1.3 Oppsummering

Relevante verktøy i planleggingsfasen:

4.2 Risikovurdering

4.2.1 Etablere et grunnlag for risikovurderingen

4.2.2 Gjennomføre risikovurderinger

4.2.3 Vurdere behov for tiltak og/eller oppfølging

4.2.4 Oppsummering

Relevante verktøy knyttet til risikovurdering:

4.3 Utforming

4.3.1 Identifisere aktuelle tiltak

4.3.2 Vurdere, prioritere og beslutte tiltak

4.3.3 Utforme og dokumentere besluttede tiltak

4.3.4 Oppsummering

4.4 Implementering

4.4.1 Vurdere behovet for implementeringsaktiviteter

4.4.2 Vurdere faktorer av betydning for en vellykket implementering

Forankring, holdninger og atferd

Informasjon, kommunikasjon og tilgjengeliggjøring

Kompetanse, ferdigheter og kapasitet

Verktøy og systemstøtte

4.4.3 Oppsummering

4.5 Oppfølging

4.5.1 Ledelsen har hovedansvaret

Organisering av arbeidet

4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt

Løpende oppfølging

Frittstående oppfølging

4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring

4.5.4 Oppsummering

Relevante verktøy:

4.6 Rapportering

4.6.1 Rapportere resultater til rett nivå og til rett tid

4.6.2 Integrere internkontroll-rapporteringen med øvrig rapportering

4.6.3 Oppsummering

Relevante verktøy:

Fotnoter

Gjennomgangseksempel

5.1 Eksempel planlegging

5.1.1 Ambisjonsnivå og overordnet status for internkontrollen i FYSetat

5.1.2 Ressurser og rammer knyttet til arbeidet med internkontroll

5.2 Eksempel risikovurdering

5.2.1 Etablere et grunnlag for risikovurdering

Mål og krav på virksomhetsnivå

Mål og krav på lavere nivåer

Oversikt over FYSetats prosesser

5.2.2 Gjennomføre risikovurderinger

Risikovurdering på virksomhetsnivå

Risikovurdering på lavere nivåer

5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging

Vurdere behov for tiltak på virksomhetsnivå

Vurdering av behov for tiltak – lavere nivåer

5.3 Eksempel utforming

5.3.1 Identifisere aktuelle tiltak

Identifisere tiltak på virksomhetsnivå 

Identifisere tiltak på lavere nivåer

5.3.2 Vurdere, prioritere og beslutte tiltak

Vurdere, prioritere og beslutte tiltak på virksomhetsnivå

Vurdere, prioritere og beslutte tiltak på lavere nivåer

5.3.3 Utforme og dokumentere besluttede tiltak

Utforme og forbedre på virksomhetsnivå

Utforme og forbedre på lavere nivåer

5.4 Eksempel implementering

Implementering på virksomhetsnivå

Implementering på lavere nivåer

5.5 Eksempel oppfølging

5.5.1 Vurdering av om internkontrollen etterleves og gir ønsket effekt

Oppfølging av risikoer på virksomhetsnivå

Oppfølging på lavere nivåer

5.5.2 Bruk av informasjon fra oppfølgingen til styring, læring og forbedring

5.6 Eksempel rapportering

5.6.1 Rapportere resultater knyttet til internkontroll til rett nivå og til rett tid og integrere rapporteringen med øvrig rapportering

Rapportering på lavere nivåer

Rapportering på virksomhetsnivå

Fotnoter

Skriv ut / lag pdf av veileder

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord