Internkontroll skal bidra til at statens ressurser brukes i tråd med Stortingets vedtak og forutsetninger, og til god kvalitet og effektivitet i statens leveranser av produkter og tjenester. Internkontrollen skal gjøre det enkelt å gjøre ting riktig første gang og justere når det skjer noe uforutsett. Dette handler mer om ha god kontroll enn om antall kontroller dere utfører.
Formelle krav til internkontrollen
Kravene til internkontroll i staten er omtalt i regelverket for økonomistyring i staten, også kalt økonomiregelverket, og i andre lover og regelverk. Nedenfor er en oversikt over det viktigste.
Økonomiregelverkets fire deler
Reglementet inneholder hovedreglene.
Bestemmelsene utdyper reglementet.
Tolkningsuttalelser er ofte svar på spørsmål fra virksomheter, f.eks. unntakssøknader.
Rundskriv fra Finansdepartementet presiserer og orienterer.
Reglementet
Reglementet krever at alle virksomheter etablerer systemer og rutiner som har innebygd intern kontroll, blant annet for å sikre at virksomheten ikke bruker mer penger enn den har til rådighet, at ressursbruken er effektiv og at regnskap og resultatinformasjon er pålitelig. Her er sentrale paragrafer om styring og en egen paragraf om intern kontroll.
§ 1. Formål
§ 1. Formål
«Reglement for økonomistyring har som formål å sikre at:
Fra reglementet
a) statlige midler brukes og inntekter oppnås i samsvar med Stortingets vedtak og forutsetninger
b) fastsatte mål og resultatkrav oppnås
c) statlige midler brukes effektivt
d) statens materielle verdier forvaltes på en forsvarlig måte»
Formålet med reglementet er altså å sikre at mål og resultatkrav fra Stortinget og regjeringen følges opp, og at statlige midler brukes på en effektiv måte. Dette må gjøres innenfor lover og regler. Internkontrollen skal gi rimelig sikkerhet for at mål oppnås og at lover og regler etterleves. Arbeidet med internkontrollen må tilpasses egenart, risiko vesentlighet, så det skal ikke være standardisert på tvers av områder og nivåer.
§ 4. Grunnleggende styringsprinsipper
§ 4. Grunnleggende styringsprinsipper
«Alle virksomheter skal:
Fra reglementet
…
b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, herunder krav til god forvaltningsskikk, habilitet og etisk adferd.
…
Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet.»
Departementer og underliggende virksomheter skal altså sette mål og beskrive forventede resultater, og de skal sørge for at disse oppnås på en effektiv måte og i henhold til lover og regler. En forutsetning for å få til dette er at tiltakene som iverksettes tilpasses virksomhetenes behov.
§ 14. Intern kontroll
§ 14. Intern kontroll
«Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at:
Fra reglementet
a) beløpsmessige rammer ikke overskrides og at forutsatte
inntekter kommer inn
b) måloppnåelse og resultater står i et tilfredsstillende forhold til
fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik
forebygges, avdekkes og korrigeres i nødvendig utstrekning
c) ressursbruken er effektiv
d) regnskap og informasjon om resultater er pålitelig og nøyaktig
e) virksomhetens verdier, herunder fast eiendom, materiell,
utstyr, verdipapirer og andre økonomiske verdier, forvaltes på
en forsvarlig måte
f) økonomistyringen er organisert på en forsvarlig måte og
utføres i samsvar med gjeldende lover og regler
g) misligheter og økonomisk kriminalitet forebygges og avdekkes»
Det betyr at alle virksomheter skal jobbe systematisk for å sikre måloppnåelse og resultater innenfor vedtatte økonomiske rammer. I tillegg må informasjon om disse resultatene formidles på en hensiktsmessig, pålitelig og nøyaktig måte, slik at det gir grunnlag for læring og forbedring. Den interne kontrollen skal også sikre at virksomheten forebygger og avdekker avvik, og justerer ved behov.
Bestemmelsene
Bestemmelsene fremhever også ledelsens rolle i internkontroll. Virksomhetens ledelse skal etablere systemer, rutiner og tiltak for å kunne utøve nødvendig internkontroll, og blant annet arbeide med lederes og ansattes kompetanse og holdninger.
Kapittel 1. Departementets styring av virksomheter
Punkt 1.3 e)
«Departementet har overordnet ansvar for at det gjennomføres kontroll med virksomheten og at virksomheten har forsvarlig internkontroll.»
Fra bestemmelsene
Kapittel 1 omtaler departementets overordnede ansvar for å følge opp at virksomheten har forsvarlig internkontroll. Dette betyr at departementet må sikre at underliggende virksomheter har tilstrekkelige kontrollmekanismer og kontrollsystemer, uten å gi føringer for hvilke kontroller som skal gjennomføres og hvordan disse innrettes.
Punkt 2.4 Internkontroll
Punkt 2.4 Internkontroll
«Alle virksomheter skal etablere internkontroll. Virksomhetens ledelse har ansvaret for å påse at internkontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres. Internkontroll skal primært være innebygd i virksomhetens interne styring.»
...
«For å kunne utøve nødvendig internkontroll, skal virksomhetens ledelse etablere systemer, rutiner og tiltak med vekt på blant annet følgende faktorer:
a. ledelsens og ansattes kompetanse og holdning til resultatoppfølging og kontroll
b. identifisering av risikofaktorer som kan medvirke til at virksomhetens mål ikke nås, og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse
c. sikring av kvaliteten i den interne styringen, herunder forsvarlig arbeidsdeling, og produktivitet i arbeidsprosessene
d. informasjonsrutiner som sikrer at viktig og pålitelig informasjon av betydning for måloppnåelsen kommuniseres på en effektiv måte
e. rutiner for behandling og lagring av vesentlig informasjon som sikrer konfidensialitet, integritet og tilgjengelighet.»...
«Ved etablering av kontrolltiltak skal virksomhetens ledelse vurdere hvilke kostnader tiltaket medfører, målt opp mot den nytte og de fordeler som kan oppnås.»
Fra bestemmelsene
Andre deler fra kapittel 2. Virksomhetens interne styring
Kapittel 2 omtaler kravene til virksomhetens interne styring. Kapitlet beskriver hvordan virksomheten skal dokumentere prosesser og systemer de har etablert for å sikre kontroll. Dokumentasjonskravet gjelder også hvordan prosesser og systemer følges opp og brukes.
2.5 Kontroll av utgifts- og inntektstransaksjoner beskriver detaljerte krav til kontroller.
2.5.2 Transaksjonskontroll av utgifter
Det skal gjennomføres kontroll av alle økonomiske transaksjoner. Dette for å bekrefte at alle beløp er korrekte, at det er budsjettmessig dekning og at transaksjonene er økonomisk forsvarlige.
2.5.4 Aggregerte kontroller
Aggregerte kontroller skal gjennomføres for å sikre at virksomhetens samlede økonomiske aktiviteter er i samsvar med krav. Disse kontrollene gir grunnlaget for en helhetlig vurdering av økonomistyringen og identifisering av avvik eller risikoer.
2.5.5 Etterkontroll
Etterkontroller gjennomføres for å sikre at tidligere utførte kontroller samsvarer med krav og har hatt ønsket effekt. Når kontrollaktivitetene er dokumentert, kan du både verifisere at kontrollene er utført og evaluere om kontrollene er effektive.
Kapittel 4–8
Kapittel 4 og 5
Kapittel 4 og 5 går mer i detalj på økonomistyring, som økonomisystemer og lønn.
Kapittel 6, 7 og 8
Kapittel 6, 7 og 8 handler om utforming og forvaltning av tilskudds- og stønadsordninger og forvaltning av garantiordninger.
Situasjoner og tilfeller der det er spesifikke krav
Ved utstedelse av faktura skal det kontrolleres at fakturajournalen er i samsvar med fastsatte krav. Dette sikrer samsvar mellom faktura og kravgrunnlag. Bestemmelsene punkt 5.4.2.2 sier hvordan slike kontroller kan tilpasses.
For å sikre kontroll ved tildeling og utbetaling av tilskudd skal den personen som har bevilgningsfullmakt undertegne tilskuddsbrevet og attestere tilskuddsbeløpet før utbetaling (bestemmelsene punkt 6.3.3).
Tolkningsuttalelser
To tolkningsuttalelser om internkontroll handler om hvorvidt det kreves særskilte risikovurderinger for å sikre at internkontrollen er tilpasset virksomhetens egenart i tillegg til risiko og vesentlighet når det gjelder misligheter.
Rundskriv
Rundskriv 117 presiserer at større virksomheter skal vurdere å bruke internrevisjon som en del av virksomhetens system for styring og kontroll.
Andre lover og regelverk
Flere regelverk enn økonomiregelverket setter rammer og føringer for hvordan statlige virksomheter skal drives. Eksempler på lover som statlige virksomheter må følge er forvaltningsloven, arbeidsmiljøloven, arkivloven og eForvaltningsforskriften. Noen lover og regler kan berøre aktiviteter og prosesser innen internkontroll.
Lover og regelverk som kan berøre prosesser og aktiviteter innen internkontroll
Det er fornuftig å lage en oversikt over hvilke lover og regelverk som er relevant for arbeidet med internkontroll i deres virksomhet. Dette vil gjøre det enklere å overvåke endringer i regelverk som kan indikere behov for å endre eget system for internkontroll. For mange virksomheter og sektorer er det også nødvendig å ha oversikt over relevante internasjonale regelverk, direktiver og faglige standarder som kan gi føringer for tilpasning av internkontrollen. Under er aktuelle lover og regelverk med kobling til prosesser og aktiviteter innen internkontroll.
Arkivlova – Arkivering
Offentleglova – Saksbehandling og arkivering
Personopplysningsloven (GDPR) – Informasjonssikkerhet og personvern
Personopplysningsforskriften – Informasjonssikkerhet og personvern
Lov om offentlige anskaffelser – Innkjøp
Arbeidsmiljøloven – Personalforvaltning, HMS og varsling
Statens personalhåndbok – Personalforvaltning
Forvaltningsloven – Saksbehandling og tilskuddsforvaltning
Bevilgningsreglementet – Økonomiforvaltning
Internkontrollforskriften – HMS-arbeid og varsling
eForvaltningsforskriften § 15 – Informasjonssikkerhet (krever internkontroll basert på ISO/IEC 27001)
Sikkerhetsloven – Nasjonal sikkerhet og informasjonssikkerhet