Veileder. Veileder i internkontroll

Transkript

1 Veileder Veileder i internkontroll

2 DFØ 04/2013, 1. opplag

3 Forord God internkontroll understøtter styringen og bidrar til at virksomhetens mål og krav blir oppfylt. Internkontroll handler om å sikre kvalitet i virksomhetens produkt- og tjenesteleveranser. En velfungerende internkontroll gir rimelig sikkerhet for at virksomhetens drift er målrettet og effektiv, for at rapportering er pålitelig, og for at virksomheten overholder lover og regler. Det er virksomhetens ledelse som har ansvar for internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart. Samtidig bidrar alle ledere og medarbeidere til internkontroll gjennom utførelsen av sine arbeidsoppgaver. Gjennom å fastsette ambisjonsnivået for virksomhetens internkontroll etablerer ledelsen et grunnlag for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På denne måten kan internkontroll frigjøre ledelseskapasitet til strategisk styring. Parallelt med veilederen utgis Kort om internkontroll for deg som er leder. I denne kortversjonen av veilederen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du som leder kan ivareta ditt ansvar for internkontroll. Veiledningsmateriellet er utarbeidet på bakgrunn av Direktoratet for økonomistyrings (DFØ) rolle som forvalter av Økonomiregelverket. Veilederne gir gjennom en generell tilnærming råd og støtte til hvordan virksomheten kan innrette seg etter Økonomiregelverkets krav til internkontroll, og bygger samtidig på COSOs tilnærming og definisjon av internkontroll. Dette veiledningsmateriellet er et resultat av et omfattende arbeid i DFØ. For å sikre at materiellet imøtekommer behovet hos statlige virksomheter, har DFØ hatt utstrakt dialog med andre statlig virksomheter underveis i arbeidet. Som en del av utviklingsarbeidet har DFØ blant annet kartlagt god praksis for internkontroll hos utvalgte statlige virksomheter og én privat virksomhet. Vi vil takke alle eksterne og interne referanser som har bistått oss i arbeidet og gitt tilbakemeldinger på veiledningsmateriellet underveis i prosessen. Vi retter en særlig takk til Helse Sør-Øst, Forsvarsbygg, NAV, Lånekassen, Skatt øst, Forskningsrådet og Hydro ASA som stilte opp og ga oss tilgang til sitt materiell i forbindelse med kartleggingen av god praksis knyttet til internkontroll, og som også har gitt tilbakemeldinger på veiledningsmateriellet underveis i prosessen. April 2013 Øystein Børmer, direktør Direktoratet for økonomistyring 3

4 Innholdsfortegnelse Innledning...5 Del 1 1 Hva er internkontroll? Krav til internkontroll i statlige virksomheter Hva forstår vi med begrepet internkontroll? Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Hvorfor er det nødvendig med internkontroll? Del 2 2 Hvordan etablere effektiv internkontroll? Etabler et fundament for internkontroll Styrings- og kontrollmiljø Dokumentasjon av internkontrollen Organisering av internkontrollarbeidet Informasjon og kommunikasjon Etabler en strukturert metode for arbeidet med internkontroll Planlegging Ambisjonsnivå og overordnet status for internkontrollen Rammer og ressurser for internkontrollarbeidet Oppsummering Risikovurdering Etablere et grunnlag for risikovurderingen Gjennomføre risikovurderinger Vurdere behov for tiltak og/eller oppfølging Oppsummering Utforming Identifisere aktuelle tiltak Vurdere, prioritere og beslutte tiltak Utforme og dokumentere besluttede tiltak Oppsummering Implementering Vurdere behovet for implementeringsaktiviteter Vurdere faktorer av betydning for en vellykket implementering Oppsummering Oppfølging Vurdere om internkontrollen etterleves og gir ønsket effekt Bruke informasjon fra oppfølgingen til styring, læring og forbedring Oppsummering Rapportering Rapportere resultater til rett nivå og til rett tid Integrere rapporteringen knyttet til internkontroll med øvrig rapportering Oppsummering...54 Del 3 Gjennomgangseksempel Sentral litteratur

5 Innledning Alle ledere og medarbeidere bidrar til internkontroll i sitt daglige arbeid, men ikke alle er oppmerksomme på at oppgavene som gjøres, og måten de gjøres på, inngår som en del av virksomhetens internkontroll. Bruk av passord og autorisasjonsordninger, kontroll av tallgrunnlaget i en rapport, opplæringstiltak, prosessbeskrivelser og rutiner, sjekk av referanser, arbeidsdeling og sidemannskontroll er alle eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll. Internkontroll omfatter derfor ikke bare kontrollaktiviteter knyttet til utførelsen av konkrete oppgaver, aktiviteter og prosesser, men også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar i virksomheten, kompetanse, kultur og holdninger, mv. Virksomhetens internkontroll skal bidra til å gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. God internkontroll i oppgavegjennomføringen bidrar på denne måten til kvalitet i statlige produkter og tjenester. Internkontrollen utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll. Økonomiregelverkets 1 krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal baseres på en vurdering av risiko, vesentlighet og virksomhetens egenart. 2 Forhold som størrelse og kompleksitet, oppgaveportefølje og oppgavesammensetning, virksomhetsområde, organisering og grunnleggende styringskrav inngår som en del av denne vurderingen. Det er derfor ikke hensiktsmessig å skissere én spesifikk standard for hva som er et effektivt internkontrollsystem 3 som vil passe for alle virksomheter. Det er ledelsen i hver enkelt virksomhet som må gjøre vurderinger og ta beslutninger som ivaretar de hensynene som er relevante for virksomheten. Kort om veilederen Formål Formålet med denne veilederen er å gi medarbeidere og ledere i statlige virksomheter en bedre forståelse av hva internkontroll er, og hvordan virksomheten kan arbeide systematisk med etablering 4, forbedring og oppfølging av internkontrollen. I veilederen presenteres en strukturert metode som kan benyttes i arbeidet med å etablere og forbedre internkontrollen både for enkeltområder i virksomheten og for virksomheten samlet sett. Metoden som presenteres, er illustrert ved et gjennomgangseksempel som konkretiserer hvordan arbeidet kan gjennomføres (Del 3). For å gi praktisk nytte i virksomhetens arbeid med internkontroll har DFØ i tilknytning til veilederen også utarbeidet veiledningsmateriell som består av ulike maler, sjekklister og verktøy. Disse er tilgjengelige på 1 Reglement for økonomistyring i staten (Reglementet) og Bestemmelser om økonomistyring i staten (Bestemmelsene) omtales samlet som Økonomiregelverket. 2 Reglementet 4, 10 og 16 og Bestemmelsene punkt 1.2., 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, , 6.5, 7.4 og Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et fundament som omfatter styrings- og kontrollmiljø og informasjon- og kommunikasjon, i tillegg til en strukturert metode for arbeidet med etablering og forbedring av internkontroll. 4 Med etablering forstås både etablering ved nyoppretting av virksomhet og ved etablering av internkontroll når virksomheten får ansvar for nye områder, prosesser mv. 5

6 I tillegg til denne veilederen er det utarbeidet en kortversjon spesielt rettet mot ledere. I kortversjonen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du kan ivareta ditt ansvar for internkontroll. Målgruppe Veileder i internkontroll er rettet mot ledere og medarbeidere som er gitt et særlig ansvar for å legge til rette for og ivareta det praktiske arbeidet med internkontroll. Veilederen er rettet mot virksomheter som har behov for å etablere eller forbedre en allerede eksisterende internkontroll. Veilederen er også rettet mot virksomheter som har et ønske om å få til et mer systematisk arbeid med hensyn til å følge opp og forbedre virksomhetens internkontroll, og som ser et behov for å integrere internkontrollarbeidet bedre i styringen av virksomheten. Metodikk, verktøy og begrepsapparat som presenteres i denne veilederen, vil kunne benyttes av alle statlige virksomheter. Dette omfatter også departementenes arbeid med etablering og forbedring av internkontroll i egen virksomhet. Avgrensninger Veilederen vil gjennom en generell tilnærming gi råd og støtte til hvordan virksomheten kan innrette seg etter Økonomiregelverkets krav til internkontroll. Veilederen utdyper ikke spesifikke temaer som eksempelvis internkontroll med hensyn til misligheter og økonomisk kriminalitet eller internkontroll med tanke på å hindre at beløpsmessige rammer overskrides 5. Metodikken i veilederen er imidlertid også godt egnet som utgangspunkt for å forbedre internkontrollen knyttet til slike spesifikke temaer. Veilederen legger til grunn at det finnes flere anerkjente metoder som kan brukes i forbindelse med risikovurderinger i virksomheter. Metoden som presenteres i DFØs metodedokument Risikostyring i staten håndtering av risiko i mål- og resultatstyringen (RIS), vil være én blant flere metoder. Denne veilederen bygger på metoden som er vist i RIS, og vil derfor i liten grad beskrive eller gjennomgå selve metoden for risikovurdering. Departementenes oppfølging av internkontroll i underliggende virksomheter omhandles ikke spesifikt i denne veilederen. Det vises her til Finansdepartementets Veileder i etatsstyring 6. 5 Reglementet Finansdepartementet 2011: Veileder i etatsstyring, punkt

7 Leseveiledning Veilederen er delt inn i tre hoveddeler: Del 1: Hva er internkontroll (kapittel 1) Her gis en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst. Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig Økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter. Del 2: Hvordan etablere og forbedre virksomhetens internkontroll (kapittel 2, 3 og 4) Her gis en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll. Beskrivelsen er omtalt i kapittel 2 og er illustrert ved en figur som har to hovedbudskap. For det første understrekes betydningen av å etablere et fundament for virksomhetens internkontroll. Virksomhetens fundament omtales nærmere i kapittel 3. For det andre understrekes betydningen av å etablere en strukturert metode for å etablere og forbedre virksomhetens internkontroll. Metoden omtales nærmere i kapittel 4. Del 3: Gjennomgangseksempel praktisk bruk av metoden (kapittel 5) Her illustreres metoden som er vist i veilederen, ved hjelp av et gjennomgangseksempel knyttet til en fiktiv virksomhet FYSetat. Eksempelet viser hvordan metoden rent praktisk kan anvendes, og viser hvordan etablering, forbedring og oppfølging av internkontroll på ulike nivåer, på ulike områder og i ulike prosesser kan ses i sammenheng og utgjøre en helhet. Dersom du har behov for en helhetlig innføring i hva internkontroll er, og hvordan virksomheten kan arbeide strukturert med å etablere og forbedre internkontrollen, vil det være nyttig å lese hele veilederen. Dersom du kun har behov for informasjon eller inspirasjon knyttet til utvalgte temaer og problemstillinger, kan du bruke veilederen som oppslagsverk eller idékilde. 7

8 8

9 Del 1 Hva er internkontroll Her gis en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst. Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig Økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter. 9

10 1 Hva er internkontroll? 1.1 Krav til internkontroll i statlige virksomheter Reglementets 14 setter følgende krav til virksomhetens internkontroll: Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: a) beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning c) ressursbruken er effektiv d) regnskap og informasjon om resultater er pålitelig og nøyaktig e) virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte f) økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold g) misligheter og økonomisk kriminalitet forebygges og avdekkes Økonomiregelverket inneholder også andre konkrete krav som vil inngå som en del av internkontrollen i en virksomhet. Eksempler her er krav knyttet til at styringsdialogen mellom departement og underliggende virksomheter skal være dokumenterbar 7, og krav knyttet til transaksjonskontroller 8, aggregerte kontroller 9, etterkontroll og dokumentasjon av kontrollaktiviteter 10. Videre stilles det krav til virksomhetens økonomisystem, bokføring, dokumentasjon og oppbevaring av regnskapsmateriale 11, krav i forbindelse med utstedelse av faktura 12, krav til attestasjon og undertegning av tilskuddsbrev 13, mv. Nevnte krav omtales ikke nærmere i veilederen, med unntak av kapittel hvor dokumentasjon av internkontroll omtales nærmere. For øvrig forutsettes kravene ivaretatt gjennom målsettingskategoriene som omtales nærmere i kapittel 1.2 nedenfor. Videre presiserer Bestemmelsene at dersom virksomheten benytter en tjenesteyter i forbindelse med utførelse av økonomioppgaver, skal virksomhetens internkontroll være tilpasset arbeidsdelingen mellom virksomheten og tjenesteyteren. Virksomhetsleder har et selvstendig ansvar for økonomioppgavene, uavhengig av om deler av oppgavene utføres av andre. 7 Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene kapittel Bestemmelsene punkt Bestemmelsene punkt

11 I tillegg til Økonomiregelverket vil statlige virksomheter være omfattet av annet lov- og regelverk som stiller eksplisitte krav til virksomhetenes internkontroll, og som forvaltes av andre statlige myndigheter enn DFØ. Selv om disse lov- og regelverkene ikke omtales nærmere i denne veilederen, understrekes det at overholdelsen av disse naturlig vil inkluderes i målsettingskategorien «Overholdelse av lover og regler», jf. nærmere omtale i kapittel Definisjonen av internkontroll som introduseres i neste avsnitt og som er lagt til grunn i denne veilederen, er mindre spesifikk enn de konkrete kravene som stilles til internkontroll i Økonomiregelverket. Metodene og verktøyene som presenteres i veilederen, vil være egnet for å etablere og forbedre internkontroll knyttet til både spesifikke temaer og krav som omtales i Økonomiregelverket, og krav som følger av annet lov- og regelverk. 1.2 Hva forstår vi med begrepet internkontroll? Veilederen bygger på COSOs 14 definisjon av internkontroll, og legger til grunn følgende. Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler I definisjonen forutsettes det at internkontroll gjennomføres av foretakets styre, ledelse og ansatte. Det er få statlige virksomheter som er organisert med et styre, og begrepet foretak er lite brukt i statsforvaltningen. Følgelig vil denne veilederen bruke benevnelsen virksomhet i stedet for foretak. Eventuelle styrers rolle i virksomhetens internkontrollarbeid omtales ikke nærmere i denne veilederen. Det vises imidlertid til Bestemmelsene punkt 1.2 og Reglementet 3, hvor det kreves at departementet skal sørge for at det foreligger instrukser som beskriver myndighet og ansvar, inklusiv innbyrdes forhold mellom departementet, eventuelt styre og virksomhetsleder. Definisjonen vektlegger at internkontroll må forstås som en prosess som er utformet for å gi rimelig sikkerhet for måloppnåelse. Denne prosessen må tilpasses og justeres i tråd med endrede forutsetninger, rammer og risiko. Etablering, gjennomføring og oppfølging av internkontrollen inngår derfor som en integrert del av de øvrige plan-, gjennomførings-, oppfølgings- og rapporteringsprosessene i virksomheten, og gir grunnlag for kontinuerlig læring og forbedring. De tre målsettingskategoriene i COSOs definisjon av internkontroll klargjør formålet med internkontrollen. Økonomiregelverkets krav til internkontroll slik de fremgår av Reglementet 14 og Bestemmelsene punkt 2.4 bokstav a g, kan innplasseres i henhold til de tre målsettingskategoriene. Det er derfor godt samsvar mellom formålet med internkontroll slik det fremgår av Økonomiregelverket, og COSOs beskrivelse av formålet operasjonalisert gjennom de tre målsettingskategoriene Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSOrapport 1992 Intern kontroll et integrert rammeverk, og en uoffisiell oversettelse av Draft dec fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og Økonomiregelverkets begrep intern kontroll. 15 For nærmere utdyping, se Risikostyring i staten håndtering av risiko i mål- og resultatstyringen vedlegg A. 11

12 COSO legger til grunn at internkontroll består av fem innbyrdes sammenhengende komponenter, henholdsvis kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåkning. På tilsvarende måte som for målsettingskategoriene gjenspeiles disse komponentene også i Økonomireglementet, jf. Bestemmelsene punkt avsnitt bokstavene a e. Komponentenes betydning utdypes som en del av en metode som beskrives nærmere i kapitlene 2 4. Nedenfor utdypes de tre målsettingskategoriene, og de settes inn i en statlig kontekst Målrettet og effektiv drift En målrettet og effektiv drift er avgjørende for at virksomheten skal nå målene sine. I statlige virksomheter vil målrettet og effektiv drift reflektere det ansvaret virksomhetens ledelse har for å : 16 a) gjennomføre aktiviteter i tråd med Stortingets vedtak og forutsetninger og fastsatte mål og prioriteringer fra departementet b) fastsette mål og resultatkrav og foreta prioriteringer med ettårig og flerårig perspektiv innenfor eget ansvarsområde c) sørge for planlegging, gjennomføring og oppfølging, herunder resultat- og regnskapsrapportering d) definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde for å sikre oppfyllelse av reglementet og bestemmelsene, herunder ansvarsforhold mellom virksomhetslederen og øvrig ledelse, og eventuelt styre e) etablere internkontroll Implisitt i disse kravene ligger også et krav om at virksomheten bruker tildelte ressurser effektivt. 17 Forenklet sett fremstilles produkter og tjenester ved at innsatsfaktorer i form av penger, kompetanse mv. omformes gjennom ulike aktiviteter og prosesser i virksomheten til produkter og tjenester som virksomheten leverer internt eller eksternt. Gjennomføringen av virksomhetens oppgaver kan derfor ses på som prosesser, og kan generelt deles inn i kjerneprosesser, støtteprosesser og styringsprosesser. Kvaliteten på produkter og tjenester er avhengig av god internkontroll både i og i tilknytning til disse prosessene. I praksis handler internkontroll om å etablere og bruke strukturer og systemer som gir nødvendig trygghet for at oppgaveutførelsen gir ønsket kvalitet og effektivitet. Målrettet og effektiv drift innebærer at virksomhetens kjerne-, støtte- og styringsprosesser er utformet, gjennomført og fulgt opp på en måte som bidrar til at fastsatte mål og krav blir oppfylt. 16 Bestemmelsene punkt Reglementet 4 b og Bestemmelsene punkt

13 Forhold som ofte er avgjørende for å oppnå målrettet og effektiv drift, kan blant annet knyttes til: hvordan virksomheten innretter produkt-/tjenesteområdene med tilhørende prosesser og funksjoner for å sikre ønsket kvalitet, og hvordan prosessene er lenket sammen hvilke kontroller som skal utføres i prosessen for å innfri mål og krav hvilken kompetanse medarbeidere som er involvert i arbeidet bør ha, og hvordan arbeidet er organisert hvorvidt medarbeidere får nødvendig informasjon av betydning for oppgaveutførelsen Dette innebærer at internkontrollen omfatter både innretningen på selve prosessen (eksempelvis innebygde kontroller) og forhold som påvirker prosessen (eksempelvis hvordan ansvar og myndighet er definert og tydeliggjort i virksomheten, organisering, mv.) Pålitelig rapportering Med pålitelig rapportering menes at informasjon som formidles internt og eksternt skal være korrekt, rettidig og i samsvar med de kravene som er stilt. Det gjelder både informasjon som benyttes som grunnlag for beslutninger og intern styring, og informasjon som kommuniseres eksternt både til overordnet nivå og til allmennheten. Som et ledd i virksomhetens interne styring vil virksomhetsledelsen ha fastsatt interne rapporteringskrav for ulike nivåer og enheter. Den eksterne rapporteringen fra statlige virksomheter omfatter årsrapport og annen rapportering til overordnet departement i tråd med de kravene som er stilt i tildelingsbrevet. Rapportering omfatter også pliktig regnskapsrapportering til henholdsvis statsregnskapet og andre eksterne parter med hjemmel i lov 18. Statlige virksomheters rapportering benyttes både som en del av beslutningsgrunnlaget for interne prioriteringer i virksomheten og som en viktig del av kunnskapsgrunnlaget som departementer og overordnede myndigheter baserer politikkutforming, beslutninger og prioriteringer på. Riktig kvalitet på rapportert informasjon er derfor avgjørende for god styring både i virksomhetene, departementene og samfunnet samlet sett. Pålitelig rapportering forutsetter at virksomheten har oversikt over hvilke interne og eksterne krav som stilles til rapportering i virksomheten, og at den har etablert rutiner, systemer og strukturer som ivaretar disse kravene. Uavhengig av om dataene som inngår i rapporteringsgrunnlaget er utarbeidet internt eller eksternt, er det viktig at virksomheten har rutiner som sikrer at informasjonen er korrekt og pålitelig, og at datakilder og -grunnlag er definert og kan etterprøves. Effektiv internkontroll tilsier også at virksomheten følger opp at rapporteringen tjener sitt formål, dvs. at den er korrekt, rettidig og relevant, og at den er tilpasset mottakerens behov. 18 Bestemmelsene kapittel 3. Skatteetaten og Statistisk sentralbyrå er eksempler på slike eksterne parter. 13

14 1.2.3 Overholdelse av lover og regler Statlige virksomheter omfattes av en rekke lover og regler, som forvaltningsloven, offentlighetsloven, lov om offentlige anskaffelser, arbeidsmiljøloven og andre lover med tilhørende forskrifter som regulerer virksomheten eller fagområdet spesielt. Det å etterleve statlige regelverk som Bevilgningsreglementet og Økonomiregelverket er også et grunnleggende krav for statlige virksomheter. Overholdelse av disse regelverkene er derfor en viktig internkontrollmålsetting innenfor denne kategorien. Statens personalhåndbok og utredningsinstruksen inneholder også sentrale bestemmelser som statlige virksomheter er forpliktet til å følge. Videre vil instruks for økonomiog virksomhetsstyring fra departement til virksomhet inneholde krav til virksomheten.virksomheten kan også ha fastsatt ulike interne policyer og prosedyrer 19 som faller innenfor denne målsettingskategorien for internkontroll. Det kan fremstå som selvfølgelig at statlige virksomheter skal overholde gjeldende lover og regler. Like fullt finnes det eksempler på at det kan være utfordrende å oppnå tilfredsstillende sikkerhet for at dette faktisk skjer. Overholdelse av lover og regler forutsetter at virksomhetens ledere og medarbeidere har oversikt over hvilke lover, forskrifter, rundskriv og instrukser som gjelder for virksomheten, og hvilke interne policyer og prosedyrer som er etablert. Videre forutsettes det at virksomheten har oversikt over i hvilke prosesser, enheter/funksjoner og arbeidsoppgaver gjeldende lover og regler har betydning. Effektiv internkontroll innebærer at det er etablert tiltak som i nødvendig grad sikrer at krav som følger av lover og regelverk, ivaretas i de ulike prosessene og enhetene i virksomheten. Virksomhetene kan gjennom ulike former for tiltak sørge for at lover og regler blir overholdt, eksempelvis gjennom å kreve at ansatte innehar en gitt type kompetanse, etablere opplæringsprogrammer, ha maler og prosedyrer som sikrer at sakene gjennomgår gitte steg, ha en klar arbeidsdeling, ha sjekklister, mv. Lover og regler kan endres, og det er derfor viktig at virksomheten har prosedyrer for å fange opp nye krav og endringer, og at ansvaret for å følge opp dette området er definert. 1.3 Hvorfor er det nødvendig med internkontroll? Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som helhet. For den enkelte samfunnsborger er det avgjørende at statlige produkter og tjenester har god kvalitet. God kvalitet gir sikkerhet for at det fattes riktige vedtak, at utbetalinger er rettidige og korrekte, at diagnoser er korrekte, og at behandlingen er effektiv. For samfunnet som helhet er oppgaveutførelsen i statlige virksomheter avgjørende for legitimitet, effektiv ressursbruk og oppfyllelse av fastsatte mål og forventede effekter. God internkontroll bidrar til kvalitet og effektivitet i statens produkt- og tjenesteleveranser, og bidrar dermed også til at samfunnsoppdraget oppfylles på en god måte. 19 Med policyer og prosedyrer menes her virksomhetens interne dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyre), jf. kapittel i denne veilederen. 20 St.meld. nr. 19 ( ) Ei forvaltning for demokrati og fellesskap, punkt 3.4 og punkt

15 Statlige virksomheter baserer sin virksomhet på de fire grunnleggende forvaltningsverdiene demokrati, rettssikkerhet, faglig integritet og effektivitet 20. Effektiv internkontroll vil bidra til at statlige virksomheter oppfyller forventningen om at de utfører oppgavene sine i tråd med disse forvaltningsverdiene. Effektiv 21 internkontroll legger til rette for at tingene gjøres riktig første gang. Internkontroll kan på den måten bidra til å forebygge feil og negative hendelser. Samtidig vil internkontroll også bidra til kvalitet, effektivitet og forutsigbarhet i statens produkt- og tjenesteleveranser. Når arbeidsprosesser og oppgaver gjennomføres på en måte som sikrer ønsket kvalitet, «Effektiv internkontroll legger til rette for at tingene gjøres riktig første gang» kan ressurser hos ledelsen frigjøres fra brannslukking, kontrolloppgaver, feilretting og korrigering. Virksomheter som arbeider systematisk med forbedringer i internkontrollen, opplever at internkontrollarbeidet gir viktige bidrag til virksomhetens arbeid med kontinuerlig forbedring. En slik systematisk tilnærming sikrer at virksomheten har begrunnet og dokumentert virksomhetens risikobilde og tilpasset det interne kontrollnivået deretter. Dersom virksomhetens internkontroll tilpasses egenart, risiko og vesentlighet, legges det til rette for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På den måten kan internkontrollen frigjøre ledelseskapasitet til strategisk styring. For å være effektiv må internkontrollen integreres i driften og bygges inn i oppgaveutførelsen på en måte som sikrer systematikk og kvalitet også når virksomhetens systemer og rutiner utsettes for negativ og uforutsett påvirkning. En slik integrering gir både ledere og medarbeidere en trygghet for at oppgavene mestres, slik at de utføres med forventet kvalitet og i tråd med gjeldende lover og regler. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten bedrer virksomhetens evne til å mestre de kontroll- og styringsutfordringene virksomheten står overfor. God kvalitet i ledelsens beslutningsgrunnlag er avgjørende for å kunne ta riktige beslutninger. Når relevant informasjon knyttet til etablering, forbedring og oppfølging av internkontrollen integreres i styringsprosessene i virksomheten og inngår som en del av beslutningsgrunnlaget for ledelsen, gir internkontrollarbeidet også en direkte merverdi til styringen. Merverdien avhenger av at internkontrollen integreres slik at informasjon om forbedringsbehov utnyttes i de ordinære styringsprosessene. Selv med effektiv internkontroll kan det oppstå uheldige situasjoner og feil som følge av menneskelig eller teknisk svikt eller misforståelser, eller som følge av at ansatte bevisst omgår etablerte kontroller. Det å ha et formalisert og velfungerende internkontrollsystem reduserer sannsynligheten både for at ubevisste og bevisste feil inntreffer. God internkontroll hjelper virksomheten med å oppfylle mål og krav, ved at den kan unngå fallgruver og overraskelser. Med effektiv internkontroll er virksomheten bedre rustet mot de utfordringene som vil komme. 21 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 1992: Intern kontroll et integrert rammeverk. Internkontrollen er effektiv hvis det med rimelig sikkerhet kan sies at ledelsen ser i hvilken grad virksomhetens operative mål oppnås, rapporteringen er pålitelig og gjeldende lover og regler overholdes. 15

16 16

17 Del 2 Hvordan etablere og forbedre virksomhetens internkontroll Her gis en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll. Beskrivelsen er omtalt i kapittel 2 og er illustrert ved en figur som har to hovedbudskap. For det første understrekes betydningen av å etablere et fundament for virksomhetens internkontroll. Virksomhetens fundament omtales nærmere i kapittel 3. For det andre understrekes betydningen av å etablere en strukturert metode for å etablere og forbedre virksomhetens internkontroll. Metoden omtales nærmere i kapittel 4. 17

18 2 Hvordan etablere effektiv internkontroll? Økonomiregelverkets krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal tilpasses risiko, vesentlighet og egenart. Dette innebærer at ledelsen må vurdere virksomhetens behov og ambisjoner for internkontroll. En effektiv internkontroll forutsetter at virksomheten har etablert et fundament for internkontroll som «Internkontroll er ikke et system eller en pakke en virksomhet kan kjøpe seg» understøtter de ambisjonene virksomheten har. Virksomhetens styrings- og kontrollmiljø, samt informasjon og kommunikasjon, inngår i dette fundamentet. Videre forutsetter en effektiv internkontroll en strukturert tilnærming som legger til rette for kontinuerlig forbedring og tilpasning til endrede forutsetninger og risikoer. Samlet utgjør disse dimensjonene det som i denne veilederen omtales som virksomhetens internkontrollsystem. Figuren nedenfor illustrerer elementene som inngår i internkontrollsystemet. Oppfølging Rapportering Overholdelse av lover og regler Virksomhet Planlegging Målrettet og effektiv drift Risikovurdering Pålitelig rapportering Implementering Utforming Figur 1: Internkontrollsystemet. Trekanten i midten av figuren representerer virksomheten. Virksomhetens samfunnsoppdrag skal utføres på en slik måte at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler oppfylles. Virksomhetens evne til å oppfylle mål og krav påvirkes av virksomhetens styrings- og kontrollmiljø og av hvordan informasjons- og kommunikasjonsflyten fungerer i virksomheten. Disse to elementene ligger som et fundament for 18

19 virksomhetens internkontroll og inngår som en del av trekanten i figuren. Fundamentet utgjør en viktig premiss for hvordan intern kontrollen etterleves og fungerer i praksis. Dette omtales nærmere i kapittel 3. Metoden i figuren viser en mulig måte å arbeide med internkontroll på. Metoden består av en kontinuerlig prosess i seks steg, heretter omtalt som internkontrollprosessen. En systematisk gjennomføring av disse seks stegene vil bidra til å oppfylle de tre internkontrollmålsettingene og kontinuerlig forbedre virksomheten. Selv for virksomheter som har arbeidet mye med internkontroll, kan det være behov for en mer enhetlig og helhetlig tilnærming og en mer strukturert prosess, noe denne metoden legger til rette for. Metoden vil være egnet både ved etablering og ved forbedring av internkontrollen. Dette omtales nærmere i kapittel 4. Det er virksomhetens ledelse som har ansvaret for å initiere og legge til rette for prosessen med å utvikle internkontrollen i virksomheten. Dette innebærer at virksomhetsledelsen bør etablere en årlig prosess på virksomhetsnivå for arbeidet med internkontroll. For at internkontrollprosessen skal gi merverdi i styringen, bør den integreres i virksomhetens øvrige styringsprosesser. Tidspunktet for gjennomføringen av stegene planlegging, risikovurdering og rapportering i metoden bør derfor tilpasses virksomhetens årlige styringshjul. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering med hensyn til internkontroll tilpasses slik at den gir merverdi til neste års planlegging og arbeidet med virksomhetens årsrapport. I internkontrollarbeidet vil virksomhetsledelsen støttes av ledere på ulike nivåer og medarbeidere med ulike roller og ansvar, blant annet prosesseiere, en eventuell støttefunksjon for arbeidet med internkontroll, mv. Internkontrollprosessens seks steg kan brukes på alle nivåer i virksomheten. I gjennomgangen av fundamentet og metoden i kapittel 3 og kapittel 4 henvises det også til relevante verktøy og maler. Disse verktøyene og malene er ment som inspirasjon og hjelp i det konkrete arbeidet med internkontroll og må tilpasses den enkelte virksomhets behov. Verktøyene er tilgjengelige på dfo.no/internkontroll. I Del 3 i veilederen er fundamentet og hvert steg i metoden illustrert ved et gjennomgangseksempel. 19

20 3 Etabler et fundament for internkontroll Virksomhetens produkt- og tjenesteleveranser skal oppfylle mål og krav. For at virksomhetsledelsen skal få en tilfredsstillende sikkerhet for måloppnåelse, må ledere på alle nivåer ha god internkontroll innen eget ansvarsområde. Effektiv internkontroll forutsetter at virksomheten har etablert et fundament i form av et godt styringsog kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon. Virksomhetens produkt- og tjenesteleveranser utvikles gjennom ulike prosesser i virksomheten. Prosessene i en virksomhet vil alltid være utsatt for risikoer knyttet til det å nå målsettingen for prosessen. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon bidrar til kvalitet både i og i tilknytning til disse prosessene. I dette kapittelet beskrives viktige dimensjoner som bør tas hensyn til både i utviklingen av et godt styrings- og kontrollmiljø og i utviklingen av en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten. Oppfølging f Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Figur 2: Fundamentet i internkontrollsystemet. Risikovurdering Relevante verktøy: Sjekkliste for styrings- og kontrollmiljø Veiledning dokumentasjon av etablert internkontroll Veiledning policy for internkontroll Sjekkliste for informasjon og kommunikasjon 20

21 3.1 Styrings- og kontrollmiljø Økonomiregelverket inneholder ikke eksplisitte krav til hvordan styrings- og kontrollmiljøet skal utformes, men i Bestemmelsene punkt 2.4 er det listet opp flere faktorer som naturlig vil inngå som en del av styrings- og kontrollmiljøet. Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser. Styrings- og kontrollmiljøet består således av både det formelle og det uformelle i virksomheten. Det formelle styrings- og kontrollmiljøet setter de formelle rammene for virksomheten og omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Eksempler er organisering og fullmaktstrukturer, kompetansekrav, policyer og prosedyrer som virksomhetens ansatte må forholde seg til. Det uformelle i virksomheten dreier seg om holdninger, integritet, etiske verdier og normer som preger virksomheten, og omtales ofte som virksomhetskulturen. God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styrings- og kontrollmiljøet i virksomheten. I noen virksomheter overlapper det formelle og det uformelle styrings- og kontrollmiljøet hverandre i stor grad, mens i andre virksomheter er det større avstand mellom dem. En mulig indikator med hensyn til i hvor stor grad formelt og uformelt styrings- og kontrollmiljø overlapper hverandre, kan være i hvilken grad formaliserte systemer, styrende dokumenter, rutiner, mv. etterleves i virksomheten. «God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styringsog kontrollmiljøet i virksomheten» Et godt styrings- og kontrollmiljø innebærer at både ledere og medarbeidere bidrar til at virksomheten når målene sine ved at de utfører arbeidsoppgavene sine effektivt og hensiktsmessig, etterlever lover og regler, samt interne policyer og prosedyrer. Alle medarbeidere i en virksomhet har et ansvar for virksomhetens internkontroll gjennom den rollen de har i gjennomføringen av arbeidsoppgaver og etterlevelse av etablerte standarder og normer i virksomheten. Dette ansvaret innebærer også et ansvar for å informere sin leder om eventuelle problemer med driften mv. Det er viktig at de ansatte har kunnskap og ferdigheter som gjør dem i stand til å utføre oppgavene sine på en hensiktsmessig og effektiv måte, og at alle ansatte forstår sitt individuelle ansvar for internkontroll. Medarbeidere som forstår sin rolle og mestrer sine arbeidsoppgaver, bidrar til et godt arbeidsmiljø gjennom motivasjon og trivsel. 21

22 Ledelsens etiske standard, holdninger og adferd, ofte omtalt som «tonen på toppen», har også stor betydning for styrings- og kontrollmiljøet i virksomheten. «Tonen på toppen» påvirker medarbeidernes evne og vilje til å forstå, gjennomføre og følge opp det som er fastsatt og bestemt av ledelsen. Med sine beslutninger og handlinger viser ledelsen hva som skal vektlegges og prioriteres i virksomheten. Ledere bør stille krav til internkontrollen og opptre som gode rollemodeller og pådrivere. Lederes engasjement, prioriteringer og tilrettelegging vil ha stor innvirkning på internkontrollarbeidet i virksomheten. Ledere på alle nivåer vil på denne måten kunne bidra til å utvikle styrings- og kontrollmiljøet både innenfor eget ansvarsområde og innenfor virksomheten som helhet. Et godt styrings- og kontrollmiljø utvikles over tid gjennom riktige holdninger, atferd og en kultur for etterlevelse av fastsatte normer og regler. Styrings- og kontrollmiljøet sier noe om «hvordan vi gjør ting hos oss», hva som er akseptert og ikke, og hva som forventes av ledere og medarbeidere. Varige endringer er bare mulig dersom både holdninger og tenkemåte i virksomheten endres. Et godt styrings- og kontrollmiljø vil følgelig kunne bidra til mindre ressursbruk knyttet til etterkontroller, rapportering og oppfølging fra virksomhetsledelsen Dokumentasjon av internkontrollen Bestemmelsene punkt 2.4 slår fast at virksomhetens ledelse har ansvar for å påse at internkontrollen kan dokumenteres. Kravet om at internkontrollen skal kunne dokumenteres, omfatter både et krav om at det i nødvendig grad foreligger beskrivelser av etablert internkontroll, og et krav om at selve gjennomføringen kan dokumenteres. Utformingen og omfanget av dokumentasjonen bør, innenfor de rammene som er fastsatt i Økonomiregelverket, gjenspeile virksomhetens tilpasninger til risiko, vesentlighet og egenart. I det følgende gis det eksempler på krav som stilles i Økonomiregelverket, knyttet til etablering og dokumentasjon av internkontroll: Departementet skal fastsette instrukser både for departementet og underliggende virksomheter. 22 Virksomheten skal definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde, herunder ansvarsforhold mellom virksomhetsledelsen og øvrig ledelse, eventuelt styre. 23 Virksomheten skal etablere systemer og rutiner knyttet til transaksjonskontroller, aggregerte kontroller og etterkontroller, og gjennomførte kontrollaktiviteter skal være dokumentert. 24 Virksomheten må ivareta krav knyttet til økonomisystemet 25, lønn og oppgavepliktige ytelser 26, anskaffelser 27 og inntekter. 28 Virksomheten må ivareta krav knyttet til internkontroll hos tilskuddsforvalter 29 og stønadsforvalter Reglementet 3, jf. Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt

23 I tillegg til de kravene som er stilt i Økonomiregelverket, vil statlige virksomheter være omfattet av andre lover og regler som stiller krav til dokumentasjon av virksomhetens internkontroll. Dokumentasjon av etablert internkontroll Effektiv internkontroll forutsetter at ledelsen fastsetter rammer for hvordan virksomheten skal innrettes for at samfunnsoppdraget skal realiseres. Dette innebærer at ledelsen formaliserer og dokumenterer overordnede føringer og prinsipper, samt myndighet, roller og ansvar knyttet til virksomhetskritiske og risikoutsatte områder og prosesser. Slike dokumenter omtales heretter som policyer og tilsvarer det som i Økonomiregelverket omtales som virksomhetens instrukser. Ledelsen må videre formalisere og dokumentere hvordan overordnede føringer og prinsipper er operasjonalisert til konkrete prosesser, aktiviteter og kontroller som setter standarden for hvordan oppgaveutførelsen i virksomheten skal være. Slike dokumenter omtales heretter som prosedyrer og tilsvarer det som i Økonomiregelverket omtales som rutiner. Policyer og prosedyrer inngår som del av virksomhetens styrende dokumenter, og vil også utgjøre en viktig del av virksomhetens dokumentasjon av etablert internkontroll. Hvilke dokumenter det er behov for, hvor mange nivåer det legges opp til, og hvilke benevnelser virksomheten ønsker å benytte, vil variere. Dette er spørsmål det er opp til ledelsen i den enkelte virksomhet å avgjøre. Struktur og omfang på virksomhetens dokumenter må tilpasses den enkelte virksomhets egenart, risiko og vesentlighet. Dokumentasjonen bør gi en sammenhengende, oversiktlig og forståelig fremstilling av standarder og krav for oppgaveutførelsen i virksomheten. En enhetlig struktur i henholdsvis policyer og prosedyrer er viktig for at dokumentenes innhold skal bli fremstilt på en strukturert og systematisk måte. En standard mal for innholdet i dokumentene bidrar til kvalitet og letter arbeidet med utforming og ajourhold. Samtidig vil sannsynligheten for etterlevelse øke når innholdet er tilgjengeliggjort på en brukervennligmåte gjennom en strukturert og oversiktlig mal. Det bør være en direkte vertikal sammenheng fra mål og krav gjennom policyer og ned til prosedyrer på de ulike områdene. I en god struktur vil derfor overordnende dokumenter (eksempelvis en policy) ha tydelige «pekere» ned til underliggende prosedyrer, og omvendt. Dette legger samtidig til rette for at policyer og prosedyrer ses i sammenheng og utgjør en helhet. Det bør være en sammenheng mellom styringsdokumenter fra overordnet departement og dokumenter som beskriver etablert internkontroll, da styringsdokumenter som eksempelvis instruks for økonomi- og virksomhetsstyring og tildelingsbrev fra overordnet departement 31 til virksomhet vil kunne gi føringer for innholdet i virksomhetens policyer og prosedyrer. I eksempelet i figur 3 består dokumentasjon av etablert internkontroll av to nivåer, henholdsvis policyer og prosedyrer. I tillegg vises det at det må være en sammenheng mellom forutsetninger og krav gitt av overordnet departementet og fastsatte policyer og prosedyrer i virksomheten. 31 DFØ 01/2011: Eksempelsamling med kommentarer styringsdokumenta instruks for økonomi og verksemdsstyring og tildelingsbrev frå departement til verksemd. 23

24 Overordnede føringer og krav Overordnede føringer og krav i form av Instruks for økonomi- og virksomhetsstyring, tildelingsbrev, samt lover og regler mv. som virksomheten må forholde seg til. Hvem og hva... Hvordan Policyer Prosedyrer En policy regulerer overordnede føringer og prinsipper, samt tydeliggjør roller og ansvar gjennom å definere hvem som har ansvaret for hva innenfor det området policyen gjelder for. En prosedyre beskriver hvordan aktiviteter, kontroller, oppfølging og rapportering skal gjennomføres for å håndtere risiko og fastsatte krav på en målrettet og effektiv måte. Figur 3: Eksempel på dokumentasjon av etablert internkontroll. Dokumentasjon av gjennomført internkontroll I tillegg til dokumentasjon av etablert internkontroll i form av policyer og prosedyrer, vil dokumentasjon av internkontrollen også inkludere dokumentasjon av gjennomførte kontroller og oppfølging. Økonomiregelverket stiller konkrete krav til gjennomføring og dokumentasjon av internkontroll knyttet til økonomiske transaksjoner, herunder transaksjonskontroller, aggregerte kontroller og etterkontroller. Økonomiregelverket inneholder også krav til hva som skal dokumenteres, og krav til oppbevaring av dokumentasjonen. Virksomhetens krav til dokumentasjonen og hvor denne skal oppbevares, bør være beskrevet i prosedyrene. Policyer, prosedyrer, dokumentasjon av gjennomførte kontrollaktiviteter og oppfølging av kontroller vil til sammen utgjøre dokumentasjonen av internkontrollen i virksomheten. 24

25 3.1.2 Organisering av internkontrollarbeidet Det er virksomhetens ledelse som har ansvar for internkontrollen i virksomheten, og som formelt bestemmer og fastsetter hvordan internkontrollarbeidet skal gjennomføres og organiseres. I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med internkontroll, vil avhenge av hvordan den enkelte virksomhet beslutter å organisere arbeidet med internkontrollen. I praksis vil det være hensiktsmessig at øverste leder formaliserer internkontrollansvaret til linjeledere på ulike nivåer. En slik formalisering av roller og ansvar knyttet til internkontroll kan nedfelles i en policy for internkontroll. Det forventes at ledere på lavere nivåer ivaretar ansvaret for internkontroll i alle prosesser og aktiviteter innenfor eget ansvarsområde. Lederen har også ansvar for at medarbeiderne har tilstrekkelig kompetanse og kunnskap om de policyene og prosedyrene som er relevante for deres arbeidsoppgaver. Ansvaret innebærer blant annet å påse at avvik, feil og mangler blir håndtert på en tilfredsstillende måte, og å legge til rette for kontinuerlig forbedring og læring. DFØ erfarer at det kan være krevende å utvikle og ajourholde effektiv internkontroll tilpasset risiko, vesentlighet og egenart. Erfaringen viser at mange virksomheter derfor velger å opprette en egen funksjon/rolle med fagansvar for internkontroll som støtter ledelsen og tilrettelegger for kontinuitet og en helhetlig tilnærming i virksomhetens arbeid med internkontroll. 32 DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som kan støtte ledelsen og tilrettelegge for en enhetlig og helhetlig tilnærming i virksomhetens arbeid med internkontroll. Hvilken ressursandel som avsettes, må vurderes ut fra virksomhetens størrelse og kompleksitet. Selv om det å opprette en slik funksjon/rolle krever ressurser, vil det samtidig frigjøre ressurser hos ledelsen blant annet ved å bidra til en mer helhetlig og strukturert tilnærming i internkontrollarbeidet. Det understrekes imidlertid at linjeledelsen har ansvaret for internkontroll, selv om virksomheten velger å organisere arbeidet gjennom å etablere en slik funksjon/rolle. Virksomheten bør vurdere å opprette en slik funksjon/rolle uavhengig av om virksomheten har, eller vurderer å etablere en internrevisjonsfunksjon. 33 Eksempler på oppgaver som kan legges til en funksjon/rolle med fagansvar for internkontroll er å: bistå ledelsen med å sørge for struktur og helhet i internkontrollarbeidet, gjennom blant annet å bistå med utvikling av maler og metoder bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet med etablering og forbedring av internkontrollsystemet bistå ledelsen i gjennomføringen av risikovurderinger være en støttespiller i arbeidet med operasjonalisering av internkontrollen, blant annet utarbeide opplæringsmateriell og sørge for opplæring av ledere og ansatte bidra til å bygge opp under en kultur for internkontroll «slik gjør vi det hos oss» bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv. 32 DFØs rapport 4/2009: Internrevisjon og intern kontroll i statlige virksomheter en kartlegging viser at nesten en tredjedel av virksomhetene har valgt å opprette en egen enhet enten i staben eller direkte under virksomhetsleder. En slik funksjon var mest vanlig i virksomheter med 100 ansatte eller flere. 33 DFØs veileder 12/2011: Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon. 25