For å kunne jobbe godt med internkontroll må virksomheten ha et godt fundament og hensiktsmessig organisering. Det er derfor viktig å vurdere om dette fungerer godt nok, eller om det må forbedres eller endres.
Fundamentet for god internkontroll
Internkontroll består av mange aktiviteter. Risikovurderinger, kontrollaktiviteter og oppfølging er sentralt. For at disse aktivitetene skal fungere må et fundament være på plass. I tillegg til god kultur og gode kanaler for kommunikasjon og informasjonsdeling består fundamentet av et godt styrings- og kontrollmiljø.
Kommunikasjon og informasjonsdeling
For å kunne gjøre gode vurderinger, må medarbeidere ha tilgang på relevant informasjon. Derfor må nødvendig informasjon identifiseres, håndteres og kommuniseres til relevante medarbeidere. Vurder kanal, mengde og tidspunkt nøye. Ansvarsfordeling og aktiviteter som skal gjennomføres er eksempler på vedtak som må kommuniseres godt. Virksomheten må også legge opp prosesser som sørger for relevant og pålitelig rapportering til riktig leder.
Styrings- og kontrollmiljø
Formelt skal virksomheten ha dokumentert organisering, roller, ansvar, fullmakter, kompetansekrav, policyer og rutiner. Styrings- og kontrollmiljøet består også av uformelle elementer, slik som holdninger og kulturen i virksomheten. Ledelsen har et ekstra ansvar for å legge til rette for god kultur og gode holdninger, selv om alle medarbeidere har et ansvar for å bidra til internkontrollen.
Organiseringen av internkontrollarbeidet
Internkontroll handler om å redusere risiko for feil, ineffektivitet eller redusert måloppnåelse. Arbeidet med å redusere risiko organiseres ofte i flere forsvarslinjer, der risikoen reduseres for hver ny linje. Uansett hvordan dere velger å organisere arbeidet, må ansvar og roller være tydelig fordelt. Dere bør også vurdere om virksomheten skal ha en egen internkontrollfunksjon.
Forsvarslinjer i internkontrollarbeidet
Det meste av internkontrollen foregår i den daglige driften, der ledere iverksetter tiltak som reduserer risiko for feil, medarbeidere følger rutiner og ledere følger opp medarbeideres arbeid. Dette kalles førstelinjen i internkontrollarbeidet. Tiltak for å redusere risiko i førstelinjen kan for eksempel være fullmakter, opplæring, policyer og rutiner, ulike typer manuelle kontroller og kontroller innebygd i IT-systemene.
Ledelsen må vurdere om førstelinjen reduserer risikoen til et akseptabelt nivå, eller om det trengs en andrelinje som kan jobbe på vegne av ledelsen. Dette kan være ulike typer stabs- og linjeenheter, slik som controllere, kvalitetsrådgivere og fagansvarlige for internkontroll. Andrelinjen kan bidra med faglig veiledning, analyser av risiko og resultater, kvalitetsgjennomganger og evalueringer, samt oppfølging av om policyer, rutiner, lover og regler etterleves. Sørg for at det er tydelig når andrelinjen gir faglig støtte og når de utfører jobb på vegne av toppledelsen.
I noen virksomheter kan det være behov for å redusere risikoen ytterligere ved å etablere en internrevisjon eller lignende. Denne tredjelinjen er det ytterste laget med kontroll. Internrevisjonen skal på objektivt og uavhengig grunnlag vurdere hvor effektiv og hensiktsmessig styringen og kontrollen er i første- og andrelinjen.
Alle norske statlige virksomheter har en fjerde forsvarslinje. Denne inngår ikke i virksomhetens internkontroll, men er en ekstern kontroll av virksomheten. Riksrevisjonen er den fjerde forsvarslinjen i staten, sammen med eventuelle internasjonale kontrollorganer.
Bør dere ha en egen internkontrollfunksjon?
I enhver virksomhet, uavhengig av størrelse, må ansvaret knyttet til internkontrollarbeidet være tydelig plassert. Det kan være nyttig å ha en enhet eller et team med fagansvar for internkontroll. Det gjelder særlig hvis virksomheten har et komplekst samfunnsoppdrag, eller hvis internkontrollen er fragmentert eller mangler struktur. En slik funksjon kan bistå ledelsen med oversikt og helhet og tilrettelegge for god kultur.
Vanlige oppgaver for en internkontrollfunksjon
- Utvikle kompetansetiltak
- Utvikle maler, metoder og rapporteringsrutiner
- Bistå ledelsen i gjennomføring av risikovurderinger
- Utføre stikkprøver og evalueringer
- Foreslå forbedringer av internkontrollarbeidet
- Ha et overordnet ansvar for rapportering til ledelsen
- Koordinere og/eller bistå ved planleggingen av internkontrollarbeidet i virksomheten
Kontakt
Har du spørsmål om styring i staten, send en e-post til styring [at] dfo.no (styring[at]dfo[dot]no). Eller bestill et møte med oss i DFØ.