Formålet med prosessen for internkontroll er å ha mer kontroll, og ikke nødvendigvis flere kontroller. Prosessen består av seks steg, men rekkefølgen kan variere. Noen av stegene kan overlappe eller foregå samtidig. Det viktigste er at alle stegene blir gjennomført i løpet av året for å sikre god internkontroll.
Steg 1 – Få oversikt over nåværende internkontroll
For å kunne planlegge arbeidet med internkontroll fremover, trenger virksomheten en oversikt over dagens internkontroll og hvor mye ressurser som brukes på dette arbeidet. En slik oversikt kan du få ved å gjennomføre en tilstandsvurdering eller egenevaluering. En annen mulighet er å se på fjorårets rapport om internkontroll og vurdere hvordan tiltak har fungert. Oversikten bør lages når du planlegger internkontrollaktiviteter for det kommende året. Planleggingen innebærer å sette rammer for arbeidet og å avsette ressurser, og den bør være en del av virksomhetsstyringen.
Start med å finne ut hvor godt internkontrollen fungerer i dag. Vurderingen skal vise om aktiviteter og prosesser gir dere god nok kontroll over områder der dere har identifisert høy risiko.
Steg 2 – Vurdere risiko og velge tiltak
Risikovurdering
Internkontrollen skal være risikobasert. Det betyr at tiltak må settes inn der dere vurderer at risikoene overskrider risikotoleransen som det er en felles forståelse for. Risikovurderingen tar utgangspunkt i de identifiserte risikoene i Steg 1. Dette er strategiske risikoer, det vil si risikoer som kan hindre virksomhetens måloppnåelse, derfor er virksomhetens mål og krav sentralt i dette arbeidet. I lys av den strategiske vurderingen bør dere i tillegg vurdere operasjonell risiko, det vil si i enkeltprosesser, på flere nivåer i virksomheten. Her kan det være lurt å strukturere risikovurderingene etter ((de tre målene for internkontroll+Målrettet og effektiv drift, etterlevelse av lover og regler, relevant og pålitelig rapportering)). Hver risiko estimeres ut fra sannsynlighet og konsekvens.
Risiko = sannsynlighet x konsekvens
Ledelsen bestemmer hvilke risikoer virksomheten er villig til å akseptere og hvor det er nødvendig med risikoreduserende tiltak. Dette utgjør virksomhetens risikotoleranse. Virksomhetens ledelse bør drøfte risikovurderinger og risikotoleranse i styringsdialogen, men først må ledelsen ha tenkt gjennom hva som er nyttig for departementet å kjenne til.
Foreslå og prioritere risikoreduserende tiltak
Virksomheten kan deretter, i dialog med ledere og fagfolk, drøfte forslag til tiltak som kan redusere risikoene. Hensikten med tiltak er at feil blir unngått, avdekket og/eller håndtert. Tiltak kan blant annet være å oppdatere rutiner, sikre kompetanse eller lage bedre verktøy for å utføre kontroller. Hvilke tiltak som er mulige kommer an på hva slags tjenester virksomheten leverer.
Videre må virksomheten prioritere tiltak, og alle foreslåtte og eksisterende tiltak må vurderes mot hverandre. Dette gjelder både de som reduserer samme risiko og de som reduserer ulike risikoer. Gjør en kost–nytte-vurdering for å prioritere mellom pågående og nye tiltak. I denne situasjonen betyr «nytte» en redusert risiko, og «kost» betyr bruk av ressurser. Husk også at vesentlighet bør påvirke virksomhetens prioriteringer. For eksempel kan svekket omdømme være en høy kostnad. Sett gjerne kriterier for hva som regnes som lav, middels og høy sannsynlighet og konsekvens, for eksempel for størrelsen på økonomisk tap, eller hvor ofte noe forventes å skje. Det gjør det enklere å sammenlikne ulike risikoer på en systematisk måte.
Beslutte tiltak
Beslutning av tiltak består av å velge hvilke tiltak som skal iverksettes, eventuelt avsluttes, avgjøre hvem som er ansvarlig og bestemme kravene til gjennomføring. Disse beslutningene kan tas på ulike nivåer i virksomheten, avhengig av hvordan ansvar er fordelt og myndighet delegert. Tiltakene som blir besluttet må beskrives og dokumenteres, slik at de kan følges opp. Les mer om dette i Steg 3.
Eksempler på fallgruver
- Manglende prioritering: En virksomhet fortsetter med å bruke ressurser på en leveranse som ikke gir god nok effekt.
- Feil prioritering: En virksomhet er så opptatt av å sikre seg mot saksbehandlingsfeil at den ikke lenger har tilstrekkelig kapasitet til å nå de viktigste målene sine.
Eksempler på lav og høy risikotoleranse
- En virksomhet bør ha lav risikotoleranse på lønnsutbetaling fordi dette får store konsekvenser for mange brukere og for virksomhetens omdømme.
- En virksomhet kan ha høy risikotoleranse på et testprosjekt, særlig hvis få blir berørt og de som blir berørt ikke er i en sårbar gruppe.
Steg 3 – Utforme internkontrollen
Økonomiregelverket sier at internkontrollen skal dokumenteres. Dette gjelder ikke bare systemer, rutiner og tiltak, men også gjennomførte kontroller. Et kjennetegn på god internkontroll er at den er dokumentert, har god struktur og er tilgjengelig. Da kjenner ledere og medarbeidere til rutinene, de kan verifisere at kontroller er gjort og de kan vurdere effekten av kontrollene. Dokumentasjonen må tilpasses virksomheten.
Internkontrollen gir en samlet oversikt over tiltakene som virksomheten har iverksatt. Dette krever at tiltakene dokumenteres systematisk og samlet. Dette gjelder uansett om tiltakene er fastsatt i egne rutiner og kontroller, eller om de er innebygget i fagsystemer, rapporteringsstrukturer eller faste møtepunkter. En samlet oversikt kan gjøre det mulig å vurdere om tiltakene er tilpasset lederes kapasitet til å følge opp tiltakene. Tiltak som ikke følges opp, kan gi falsk trygghet og mindre kontroll.
Dokumentasjonen kan sorteres i et dokumenthierarki med overordnede styringsdokumenter på toppen, slik som Prop. 1 S, instruks og tildelingsbrev. Policyer og rutiner er de to andre nivåene i dokumenthiearkiet. Disse nivåene kan også ha andre betegnelser. Noen virksomheter kan ha flere nivåer i hierarkiet, og antall nivåer må være tilpasset virksomhetens størrelse og egenart.
Utform og dokumentér policyer og rutiner
Ledelsen må vedta policyer, som består av retningslinjer, prinsipper, myndighet, roller og ansvar for viktige områder. Noen policyer kan implementeres direkte i rutiner, fagsystemer, organisering eller funksjonsbeskrivelser. For de viktigste områdene i virksomheten bør det derimot skrives egne policydokumenter. Andre policyer er grunnlag for å lage rutiner. Rutinene beskriver hvordan prosesser, aktiviteter og kontroller skal utføres. For mange virksomheter ligger noen rutiner innebygget i fagsystemer allerede. Virksomheten trenger ikke gjengi alle tilgangskontroller og prosess-steg i egne rutinedokumenter, men den må ha et dokument som beskriver hvordan systemet håndterer ulike risikoer.
Policyer og rutiner er en del av virksomhetens styrende dokumenter. Behovet for dokumenter varierer, og ledelsen må tilpasse dette til virksomheten. Dokumentasjonen bør uansett være oversiktlig og forståelig, med en standard mal for kvalitet og brukervennlighet. Policyer og rutiner bør være koblet sammen ved at de på viktige punkter henviser til hverandre.
Har dere mange styrende dokumenter, kan det være behov for egne medarbeidere som følger med på om policyer og rutiner motvirker hverandre og sikrer at revidering av dokumentene skjer sammenhengende.
Lag et system for dokumentasjon av gjennomførte kontroller
Virksomheten skal dokumentere gjennomførte kontroller og oppfølging av disse. Rutiner bør beskrive hvordan disse kravene skal følges opp, og av hvem. Mange digitale systemer har innebygget internkontroll. Da ligger dokumentasjonen i datasystemet, og det er ikke nødvendig med ytterlige rutiner for dokumentasjon.
Økonomiregelverket stiller konkrete krav til dokumentasjon av transaksjonskontroller og hvordan denne dokumentasjonen skal oppbevares.
Steg 4 – Gjennomføre
Ledelsen skal tilrettelegge for etterlevelse av internkontrollen. Det betyr at nye og eksisterende tiltak må være mulig å gjennomføre på en god måte. Ulike tiltak krever ulik tilrettelegging, men generelt er de tre punktene under alltid nødvendig, i kombinasjon med andre grep.
Kommuniser tydelig hvordan tiltak skal gjennomføres
Medarbeidere som blir berørt av tiltakene trenger informasjon om hva som forventes av dem, hvem som er ansvarlig, når tiltakene skal gjennomføres og hva som er kravene til utførelse. Krav til utførelse kan være krav til en bestemt kvalitet, der dette er mulig, eventuelt krav om prosess-steg og etterprøvbarhet. Gjør det tydelig hvem som skal følge opp og hvem som skal utføre hvilke oppgaver.
Det er alltid nyttig å informere medarbeidere om hensikten med kontrolltiltak og hvordan ledelsen anser risikoen som er grunnlag for tiltaket. Ledelsen må likevel alltid tenke over hvor utfyllende denne informasjonen skal være. Det er best å unngå å gi så mye informasjon at det viktigste forsvinner i støyen. I tillegg kan åpenhet om hensikt og risiko av og til øke sårbarheten for virksomheten. Virksomheten bør derfor avgjøre hvem som skal motta informasjonen og hvilke kanaler som brukes til dette. Dette skal sikre målrettet informasjon og gjøre informasjonen lett tilgjengelig.
Sørg for nok kompetanse og kapasitet
Å ha tilgang på rett kompetanse og kapasitet for å kunne utføre tiltakene krever planlegging og prioritering i god tid. Dere bør ikke bare jobbe målrettet med rekruttering og opplæring, men også hente inn råd og bistand fra en eventuell internkontrollfunksjon.
Skaff nødvendige verktøy og fagsystemer
Verktøy og fagsystemer kan gi støtte til gjennomføring av kontinuerlige tiltak. Dette kan for eksempel være maler for årlig rapportering, verktøy for risikovurdering eller virksomhetens interne saksbehandlingssystem. Undersøk derfor om virksomheten har eksisterende verktøy som kan bidra til gjennomføringen av tiltak, eller om dere trenger nye.
I tillegg bør ledelsen bygge en god kultur for internkontroll.
Steg 5 – Følge opp internkontrollen
Oppfølging av internkontrollen skal sikre at virksomheten har tilstrekkelig kontroll. Det betyr å systematisk vurdere om internkontrollen er hensiktsmessig, om rutiner blir fulgt og om tiltakene gir ønsket effekt. Oppfølgingen kan gjøres gjennom for eksempel testing, kontroller eller internrevisjoner. Type risiko og virksomhetens egenart påvirker hvilken oppfølging som er nødvendig og hvor ofte oppfølgingen må gjøres.
Oppfølgingen er en del av arbeidet med å få internkontrollen til å fungere godt. Bruk derfor oppfølgingen til styring, læring og forbedring. Ved å bruke data og erfaringer fra egne medarbeidere, brukere, leverandører og samarbeidspartnere kan virksomheten forbedre seg. Det må være en åpen kultur hvor det er greit å gjøre feil, så lenge feilene blir registrert og håndtert.
Løpende oppfølging
Det kan bli behov for ekstra oppfølging i ulike situasjoner. For eksempel kan uønskede hendelser oppstå som følge av menneskelig feil, teknisk svikt eller systemsvikt. Ytre omstendigheter kan føre til økt risiko som skaper behov for ekstra kontroll. Ekstra kontroller kan løses internt eller eksternt. Ved endringer i rammevilkår, faglige standarder eller regelverk må virksomheten gjøre nødvendige oppdateringer av internkontrollen. I tillegg kan interne eller eksterne gjennomganger avdekke svakheter ved internkontrollen som må følges opp.
En virksomhet som stadig har behov for ekstra oppfølging bør overveie å forbedre virksomhetens prosesser og løpende oppfølgingsaktiviteter. I tillegg kan den vurdere å etablere internrevisjon eller annen forsterkning av internkontrollen i virksomheten. Internrevisjonen legger frem en revisjonsplan med områder på internkontroll som bør styrkes.
Steg 6 – Rapportere resultater og status
For at ledelsen skal ha nødvendig oversikt over internkontrollen, bør enhetene i virksomheten rapportere om hvilke tiltak som er iverksatt og hva som er effekten av dem. Informasjon om hvordan kontrolltiltak følges opp bør samles slik at den kan brukes i den løpende styringen av virksomheten. Rapportering av internkontrollen kan være en del av øvrig rapportering i virksomheten. I tillegg kan virksomheten ha andre rapporteringspunkter for internkontroll, for eksempel avviksrapportering. Dette gjelder særlig virksomheter som har høy risiko for forsinkelser, kostnadsoverskridelser eller regelbrudd. Virksomheter av en viss størrelse eller kompleksitet bør utarbeide en felles intern rapport som gir en samlet oversikt over effekten av tiltakene. En slik samlet rapport er et innspill til neste års vurdering av internkontrollen og danner grunnlag for rapportering til departementet i årsrapportens del IV Styring og kontroll i virksomheten.
Kritiske avvik og uønskede hendelser som er oppstått og håndtert i løpet av rapporteringsperioden skal omtales i den interne rapporteringen. Rapporter skal gi status for mål og tiltak, og de bør beskrive utvikling i risiko og kvalitet på internkontrollen. Dette kan gjøres av ledere på flere nivåer og baseres på resultater fra oppfølgingen. I rapporteringen deles resultater fra oppfølgingen med riktig ledernivå til riktig tid. Da får ledere et godt grunnlag for å vurdere hvordan internkontrollen fungerer, og for å sette inn nye tiltak eller justere tiltak der det trengs.
Rapporteringen gir også toppledelsen oversikt over internkontrollen som helhet. Oversikten danner grunnlag for både intern styring og for rapportering til departementet. Har virksomheten en internrevisjon, kan også rapporteringen deres brukes av toppledelsen til å vurdere internkontrollen, se Steg 1. Denne vurderingen kan i neste omgang brukes for å utarbeide neste års revisjonsplan. På denne måten inngår rapporteringen i virksomhetens arbeid med kontinuerlig forbedring.