Veileder. Veileder i internkontroll

Transkript

1 Veileder Veileder i internkontroll

2 DFØ 04/2013, 1. opplag

3 Forord God internkontroll understøtter styringen og bidrar til at virksomhetens mål og krav blir oppfylt. Internkontroll handler om å sikre kvalitet i virksomhetens produkt- og tjenesteleveranser. En velfungerende internkontroll gir rimelig sikkerhet for at virksomhetens drift er målrettet og effektiv, for at rapportering er pålitelig, og for at virksomheten overholder lover og regler. Det er virksomhetens ledelse som har ansvar for internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart. Samtidig bidrar alle ledere og medarbeidere til internkontroll gjennom utførelsen av sine arbeidsoppgaver. Gjennom å fastsette ambisjonsnivået for virksomhetens internkontroll etablerer ledelsen et grunnlag for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På denne måten kan internkontroll frigjøre ledelseskapasitet til strategisk styring. Parallelt med veilederen utgis Kort om internkontroll for deg som er leder. I denne kortversjonen av veilederen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du som leder kan ivareta ditt ansvar for internkontroll. Veiledningsmateriellet er utarbeidet på bakgrunn av Direktoratet for økonomistyrings (DFØ) rolle som forvalter av Økonomiregelverket. Veilederne gir gjennom en generell tilnærming råd og støtte til hvordan virksomheten kan innrette seg etter Økonomiregelverkets krav til internkontroll, og bygger samtidig på COSOs tilnærming og definisjon av internkontroll. Dette veiledningsmateriellet er et resultat av et omfattende arbeid i DFØ. For å sikre at materiellet imøtekommer behovet hos statlige virksomheter, har DFØ hatt utstrakt dialog med andre statlig virksomheter underveis i arbeidet. Som en del av utviklingsarbeidet har DFØ blant annet kartlagt god praksis for internkontroll hos utvalgte statlige virksomheter og én privat virksomhet. Vi vil takke alle eksterne og interne referanser som har bistått oss i arbeidet og gitt tilbakemeldinger på veiledningsmateriellet underveis i prosessen. Vi retter en særlig takk til Helse Sør-Øst, Forsvarsbygg, NAV, Lånekassen, Skatt øst, Forskningsrådet og Hydro ASA som stilte opp og ga oss tilgang til sitt materiell i forbindelse med kartleggingen av god praksis knyttet til internkontroll, og som også har gitt tilbakemeldinger på veiledningsmateriellet underveis i prosessen. April 2013 Øystein Børmer, direktør Direktoratet for økonomistyring 3

4 Innholdsfortegnelse Innledning...5 Del 1 1 Hva er internkontroll? Krav til internkontroll i statlige virksomheter Hva forstår vi med begrepet internkontroll? Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Hvorfor er det nødvendig med internkontroll? Del 2 2 Hvordan etablere effektiv internkontroll? Etabler et fundament for internkontroll Styrings- og kontrollmiljø Dokumentasjon av internkontrollen Organisering av internkontrollarbeidet Informasjon og kommunikasjon Etabler en strukturert metode for arbeidet med internkontroll Planlegging Ambisjonsnivå og overordnet status for internkontrollen Rammer og ressurser for internkontrollarbeidet Oppsummering Risikovurdering Etablere et grunnlag for risikovurderingen Gjennomføre risikovurderinger Vurdere behov for tiltak og/eller oppfølging Oppsummering Utforming Identifisere aktuelle tiltak Vurdere, prioritere og beslutte tiltak Utforme og dokumentere besluttede tiltak Oppsummering Implementering Vurdere behovet for implementeringsaktiviteter Vurdere faktorer av betydning for en vellykket implementering Oppsummering Oppfølging Vurdere om internkontrollen etterleves og gir ønsket effekt Bruke informasjon fra oppfølgingen til styring, læring og forbedring Oppsummering Rapportering Rapportere resultater til rett nivå og til rett tid Integrere rapporteringen knyttet til internkontroll med øvrig rapportering Oppsummering...54 Del 3 Gjennomgangseksempel Sentral litteratur

5 Innledning Alle ledere og medarbeidere bidrar til internkontroll i sitt daglige arbeid, men ikke alle er oppmerksomme på at oppgavene som gjøres, og måten de gjøres på, inngår som en del av virksomhetens internkontroll. Bruk av passord og autorisasjonsordninger, kontroll av tallgrunnlaget i en rapport, opplæringstiltak, prosessbeskrivelser og rutiner, sjekk av referanser, arbeidsdeling og sidemannskontroll er alle eksempler på tiltak som ofte inngår som en del av virksomhetens internkontroll. Internkontroll omfatter derfor ikke bare kontrollaktiviteter knyttet til utførelsen av konkrete oppgaver, aktiviteter og prosesser, men også virksomhetsovergripende systemer og strukturer som fullmakter, fordeling av roller og ansvar i virksomheten, kompetanse, kultur og holdninger, mv. Virksomhetens internkontroll skal bidra til å gi rimelig sikkerhet for at driften er målrettet og effektiv, at rapporteringen både internt og eksternt er pålitelig, og at virksomheten overholder lover og regler. God internkontroll i oppgavegjennomføringen bidrar på denne måten til kvalitet i statlige produkter og tjenester. Internkontrollen utgjør derfor en viktig del av styringen gjennom å bidra til at virksomhetens ledelse har kontroll. Økonomiregelverkets 1 krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal baseres på en vurdering av risiko, vesentlighet og virksomhetens egenart. 2 Forhold som størrelse og kompleksitet, oppgaveportefølje og oppgavesammensetning, virksomhetsområde, organisering og grunnleggende styringskrav inngår som en del av denne vurderingen. Det er derfor ikke hensiktsmessig å skissere én spesifikk standard for hva som er et effektivt internkontrollsystem 3 som vil passe for alle virksomheter. Det er ledelsen i hver enkelt virksomhet som må gjøre vurderinger og ta beslutninger som ivaretar de hensynene som er relevante for virksomheten. Kort om veilederen Formål Formålet med denne veilederen er å gi medarbeidere og ledere i statlige virksomheter en bedre forståelse av hva internkontroll er, og hvordan virksomheten kan arbeide systematisk med etablering 4, forbedring og oppfølging av internkontrollen. I veilederen presenteres en strukturert metode som kan benyttes i arbeidet med å etablere og forbedre internkontrollen både for enkeltområder i virksomheten og for virksomheten samlet sett. Metoden som presenteres, er illustrert ved et gjennomgangseksempel som konkretiserer hvordan arbeidet kan gjennomføres (Del 3). For å gi praktisk nytte i virksomhetens arbeid med internkontroll har DFØ i tilknytning til veilederen også utarbeidet veiledningsmateriell som består av ulike maler, sjekklister og verktøy. Disse er tilgjengelige på 1 Reglement for økonomistyring i staten (Reglementet) og Bestemmelser om økonomistyring i staten (Bestemmelsene) omtales samlet som Økonomiregelverket. 2 Reglementet 4, 10 og 16 og Bestemmelsene punkt 1.2., 1.3, 1.5.2, 1.5.3, 2.2, 2.4, 2.5.3, 2.5.5, 2.6, 4.3.6, , 6.5, 7.4 og Den enkelte virksomhets internkontroll satt i system. Beskrivelse av internkontrollsystem i denne veilederen består av et fundament som omfatter styrings- og kontrollmiljø og informasjon- og kommunikasjon, i tillegg til en strukturert metode for arbeidet med etablering og forbedring av internkontroll. 4 Med etablering forstås både etablering ved nyoppretting av virksomhet og ved etablering av internkontroll når virksomheten får ansvar for nye områder, prosesser mv. 5

6 I tillegg til denne veilederen er det utarbeidet en kortversjon spesielt rettet mot ledere. I kortversjonen gis det en innføring i hva internkontroll er, hvorfor virksomheten skal ha internkontroll, hva internkontroll betyr for deg som leder, og hvordan du kan ivareta ditt ansvar for internkontroll. Målgruppe Veileder i internkontroll er rettet mot ledere og medarbeidere som er gitt et særlig ansvar for å legge til rette for og ivareta det praktiske arbeidet med internkontroll. Veilederen er rettet mot virksomheter som har behov for å etablere eller forbedre en allerede eksisterende internkontroll. Veilederen er også rettet mot virksomheter som har et ønske om å få til et mer systematisk arbeid med hensyn til å følge opp og forbedre virksomhetens internkontroll, og som ser et behov for å integrere internkontrollarbeidet bedre i styringen av virksomheten. Metodikk, verktøy og begrepsapparat som presenteres i denne veilederen, vil kunne benyttes av alle statlige virksomheter. Dette omfatter også departementenes arbeid med etablering og forbedring av internkontroll i egen virksomhet. Avgrensninger Veilederen vil gjennom en generell tilnærming gi råd og støtte til hvordan virksomheten kan innrette seg etter Økonomiregelverkets krav til internkontroll. Veilederen utdyper ikke spesifikke temaer som eksempelvis internkontroll med hensyn til misligheter og økonomisk kriminalitet eller internkontroll med tanke på å hindre at beløpsmessige rammer overskrides 5. Metodikken i veilederen er imidlertid også godt egnet som utgangspunkt for å forbedre internkontrollen knyttet til slike spesifikke temaer. Veilederen legger til grunn at det finnes flere anerkjente metoder som kan brukes i forbindelse med risikovurderinger i virksomheter. Metoden som presenteres i DFØs metodedokument Risikostyring i staten håndtering av risiko i mål- og resultatstyringen (RIS), vil være én blant flere metoder. Denne veilederen bygger på metoden som er vist i RIS, og vil derfor i liten grad beskrive eller gjennomgå selve metoden for risikovurdering. Departementenes oppfølging av internkontroll i underliggende virksomheter omhandles ikke spesifikt i denne veilederen. Det vises her til Finansdepartementets Veileder i etatsstyring 6. 5 Reglementet Finansdepartementet 2011: Veileder i etatsstyring, punkt

7 Leseveiledning Veilederen er delt inn i tre hoveddeler: Del 1: Hva er internkontroll (kapittel 1) Her gis en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst. Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig Økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter. Del 2: Hvordan etablere og forbedre virksomhetens internkontroll (kapittel 2, 3 og 4) Her gis en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll. Beskrivelsen er omtalt i kapittel 2 og er illustrert ved en figur som har to hovedbudskap. For det første understrekes betydningen av å etablere et fundament for virksomhetens internkontroll. Virksomhetens fundament omtales nærmere i kapittel 3. For det andre understrekes betydningen av å etablere en strukturert metode for å etablere og forbedre virksomhetens internkontroll. Metoden omtales nærmere i kapittel 4. Del 3: Gjennomgangseksempel praktisk bruk av metoden (kapittel 5) Her illustreres metoden som er vist i veilederen, ved hjelp av et gjennomgangseksempel knyttet til en fiktiv virksomhet FYSetat. Eksempelet viser hvordan metoden rent praktisk kan anvendes, og viser hvordan etablering, forbedring og oppfølging av internkontroll på ulike nivåer, på ulike områder og i ulike prosesser kan ses i sammenheng og utgjøre en helhet. Dersom du har behov for en helhetlig innføring i hva internkontroll er, og hvordan virksomheten kan arbeide strukturert med å etablere og forbedre internkontrollen, vil det være nyttig å lese hele veilederen. Dersom du kun har behov for informasjon eller inspirasjon knyttet til utvalgte temaer og problemstillinger, kan du bruke veilederen som oppslagsverk eller idékilde. 7

8 8

9 Del 1 Hva er internkontroll Her gis en innføring i hva internkontroll er, med vekt på å konkretisere internkontroll i en statlig kontekst. Tilnærmingen i veilederen bygger på COSOs rammeverk for internkontroll og ivaretar samtidig Økonomiregelverkets bestemmelser om internkontroll i statlige virksomheter. 9

10 1 Hva er internkontroll? 1.1 Krav til internkontroll i statlige virksomheter Reglementets 14 setter følgende krav til virksomhetens internkontroll: Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: a) beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning c) ressursbruken er effektiv d) regnskap og informasjon om resultater er pålitelig og nøyaktig e) virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte f) økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold g) misligheter og økonomisk kriminalitet forebygges og avdekkes Økonomiregelverket inneholder også andre konkrete krav som vil inngå som en del av internkontrollen i en virksomhet. Eksempler her er krav knyttet til at styringsdialogen mellom departement og underliggende virksomheter skal være dokumenterbar 7, og krav knyttet til transaksjonskontroller 8, aggregerte kontroller 9, etterkontroll og dokumentasjon av kontrollaktiviteter 10. Videre stilles det krav til virksomhetens økonomisystem, bokføring, dokumentasjon og oppbevaring av regnskapsmateriale 11, krav i forbindelse med utstedelse av faktura 12, krav til attestasjon og undertegning av tilskuddsbrev 13, mv. Nevnte krav omtales ikke nærmere i veilederen, med unntak av kapittel hvor dokumentasjon av internkontroll omtales nærmere. For øvrig forutsettes kravene ivaretatt gjennom målsettingskategoriene som omtales nærmere i kapittel 1.2 nedenfor. Videre presiserer Bestemmelsene at dersom virksomheten benytter en tjenesteyter i forbindelse med utførelse av økonomioppgaver, skal virksomhetens internkontroll være tilpasset arbeidsdelingen mellom virksomheten og tjenesteyteren. Virksomhetsleder har et selvstendig ansvar for økonomioppgavene, uavhengig av om deler av oppgavene utføres av andre. 7 Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene kapittel Bestemmelsene punkt Bestemmelsene punkt

11 I tillegg til Økonomiregelverket vil statlige virksomheter være omfattet av annet lov- og regelverk som stiller eksplisitte krav til virksomhetenes internkontroll, og som forvaltes av andre statlige myndigheter enn DFØ. Selv om disse lov- og regelverkene ikke omtales nærmere i denne veilederen, understrekes det at overholdelsen av disse naturlig vil inkluderes i målsettingskategorien «Overholdelse av lover og regler», jf. nærmere omtale i kapittel Definisjonen av internkontroll som introduseres i neste avsnitt og som er lagt til grunn i denne veilederen, er mindre spesifikk enn de konkrete kravene som stilles til internkontroll i Økonomiregelverket. Metodene og verktøyene som presenteres i veilederen, vil være egnet for å etablere og forbedre internkontroll knyttet til både spesifikke temaer og krav som omtales i Økonomiregelverket, og krav som følger av annet lov- og regelverk. 1.2 Hva forstår vi med begrepet internkontroll? Veilederen bygger på COSOs 14 definisjon av internkontroll, og legger til grunn følgende. Internkontroll er en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler I definisjonen forutsettes det at internkontroll gjennomføres av foretakets styre, ledelse og ansatte. Det er få statlige virksomheter som er organisert med et styre, og begrepet foretak er lite brukt i statsforvaltningen. Følgelig vil denne veilederen bruke benevnelsen virksomhet i stedet for foretak. Eventuelle styrers rolle i virksomhetens internkontrollarbeid omtales ikke nærmere i denne veilederen. Det vises imidlertid til Bestemmelsene punkt 1.2 og Reglementet 3, hvor det kreves at departementet skal sørge for at det foreligger instrukser som beskriver myndighet og ansvar, inklusiv innbyrdes forhold mellom departementet, eventuelt styre og virksomhetsleder. Definisjonen vektlegger at internkontroll må forstås som en prosess som er utformet for å gi rimelig sikkerhet for måloppnåelse. Denne prosessen må tilpasses og justeres i tråd med endrede forutsetninger, rammer og risiko. Etablering, gjennomføring og oppfølging av internkontrollen inngår derfor som en integrert del av de øvrige plan-, gjennomførings-, oppfølgings- og rapporteringsprosessene i virksomheten, og gir grunnlag for kontinuerlig læring og forbedring. De tre målsettingskategoriene i COSOs definisjon av internkontroll klargjør formålet med internkontrollen. Økonomiregelverkets krav til internkontroll slik de fremgår av Reglementet 14 og Bestemmelsene punkt 2.4 bokstav a g, kan innplasseres i henhold til de tre målsettingskategoriene. Det er derfor godt samsvar mellom formålet med internkontroll slik det fremgår av Økonomiregelverket, og COSOs beskrivelse av formålet operasjonalisert gjennom de tre målsettingskategoriene Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSOrapport 1992 Intern kontroll et integrert rammeverk, og en uoffisiell oversettelse av Draft dec fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og Økonomiregelverkets begrep intern kontroll. 15 For nærmere utdyping, se Risikostyring i staten håndtering av risiko i mål- og resultatstyringen vedlegg A. 11

12 COSO legger til grunn at internkontroll består av fem innbyrdes sammenhengende komponenter, henholdsvis kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåkning. På tilsvarende måte som for målsettingskategoriene gjenspeiles disse komponentene også i Økonomireglementet, jf. Bestemmelsene punkt avsnitt bokstavene a e. Komponentenes betydning utdypes som en del av en metode som beskrives nærmere i kapitlene 2 4. Nedenfor utdypes de tre målsettingskategoriene, og de settes inn i en statlig kontekst Målrettet og effektiv drift En målrettet og effektiv drift er avgjørende for at virksomheten skal nå målene sine. I statlige virksomheter vil målrettet og effektiv drift reflektere det ansvaret virksomhetens ledelse har for å : 16 a) gjennomføre aktiviteter i tråd med Stortingets vedtak og forutsetninger og fastsatte mål og prioriteringer fra departementet b) fastsette mål og resultatkrav og foreta prioriteringer med ettårig og flerårig perspektiv innenfor eget ansvarsområde c) sørge for planlegging, gjennomføring og oppfølging, herunder resultat- og regnskapsrapportering d) definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde for å sikre oppfyllelse av reglementet og bestemmelsene, herunder ansvarsforhold mellom virksomhetslederen og øvrig ledelse, og eventuelt styre e) etablere internkontroll Implisitt i disse kravene ligger også et krav om at virksomheten bruker tildelte ressurser effektivt. 17 Forenklet sett fremstilles produkter og tjenester ved at innsatsfaktorer i form av penger, kompetanse mv. omformes gjennom ulike aktiviteter og prosesser i virksomheten til produkter og tjenester som virksomheten leverer internt eller eksternt. Gjennomføringen av virksomhetens oppgaver kan derfor ses på som prosesser, og kan generelt deles inn i kjerneprosesser, støtteprosesser og styringsprosesser. Kvaliteten på produkter og tjenester er avhengig av god internkontroll både i og i tilknytning til disse prosessene. I praksis handler internkontroll om å etablere og bruke strukturer og systemer som gir nødvendig trygghet for at oppgaveutførelsen gir ønsket kvalitet og effektivitet. Målrettet og effektiv drift innebærer at virksomhetens kjerne-, støtte- og styringsprosesser er utformet, gjennomført og fulgt opp på en måte som bidrar til at fastsatte mål og krav blir oppfylt. 16 Bestemmelsene punkt Reglementet 4 b og Bestemmelsene punkt

13 Forhold som ofte er avgjørende for å oppnå målrettet og effektiv drift, kan blant annet knyttes til: hvordan virksomheten innretter produkt-/tjenesteområdene med tilhørende prosesser og funksjoner for å sikre ønsket kvalitet, og hvordan prosessene er lenket sammen hvilke kontroller som skal utføres i prosessen for å innfri mål og krav hvilken kompetanse medarbeidere som er involvert i arbeidet bør ha, og hvordan arbeidet er organisert hvorvidt medarbeidere får nødvendig informasjon av betydning for oppgaveutførelsen Dette innebærer at internkontrollen omfatter både innretningen på selve prosessen (eksempelvis innebygde kontroller) og forhold som påvirker prosessen (eksempelvis hvordan ansvar og myndighet er definert og tydeliggjort i virksomheten, organisering, mv.) Pålitelig rapportering Med pålitelig rapportering menes at informasjon som formidles internt og eksternt skal være korrekt, rettidig og i samsvar med de kravene som er stilt. Det gjelder både informasjon som benyttes som grunnlag for beslutninger og intern styring, og informasjon som kommuniseres eksternt både til overordnet nivå og til allmennheten. Som et ledd i virksomhetens interne styring vil virksomhetsledelsen ha fastsatt interne rapporteringskrav for ulike nivåer og enheter. Den eksterne rapporteringen fra statlige virksomheter omfatter årsrapport og annen rapportering til overordnet departement i tråd med de kravene som er stilt i tildelingsbrevet. Rapportering omfatter også pliktig regnskapsrapportering til henholdsvis statsregnskapet og andre eksterne parter med hjemmel i lov 18. Statlige virksomheters rapportering benyttes både som en del av beslutningsgrunnlaget for interne prioriteringer i virksomheten og som en viktig del av kunnskapsgrunnlaget som departementer og overordnede myndigheter baserer politikkutforming, beslutninger og prioriteringer på. Riktig kvalitet på rapportert informasjon er derfor avgjørende for god styring både i virksomhetene, departementene og samfunnet samlet sett. Pålitelig rapportering forutsetter at virksomheten har oversikt over hvilke interne og eksterne krav som stilles til rapportering i virksomheten, og at den har etablert rutiner, systemer og strukturer som ivaretar disse kravene. Uavhengig av om dataene som inngår i rapporteringsgrunnlaget er utarbeidet internt eller eksternt, er det viktig at virksomheten har rutiner som sikrer at informasjonen er korrekt og pålitelig, og at datakilder og -grunnlag er definert og kan etterprøves. Effektiv internkontroll tilsier også at virksomheten følger opp at rapporteringen tjener sitt formål, dvs. at den er korrekt, rettidig og relevant, og at den er tilpasset mottakerens behov. 18 Bestemmelsene kapittel 3. Skatteetaten og Statistisk sentralbyrå er eksempler på slike eksterne parter. 13

14 1.2.3 Overholdelse av lover og regler Statlige virksomheter omfattes av en rekke lover og regler, som forvaltningsloven, offentlighetsloven, lov om offentlige anskaffelser, arbeidsmiljøloven og andre lover med tilhørende forskrifter som regulerer virksomheten eller fagområdet spesielt. Det å etterleve statlige regelverk som Bevilgningsreglementet og Økonomiregelverket er også et grunnleggende krav for statlige virksomheter. Overholdelse av disse regelverkene er derfor en viktig internkontrollmålsetting innenfor denne kategorien. Statens personalhåndbok og utredningsinstruksen inneholder også sentrale bestemmelser som statlige virksomheter er forpliktet til å følge. Videre vil instruks for økonomiog virksomhetsstyring fra departement til virksomhet inneholde krav til virksomheten.virksomheten kan også ha fastsatt ulike interne policyer og prosedyrer 19 som faller innenfor denne målsettingskategorien for internkontroll. Det kan fremstå som selvfølgelig at statlige virksomheter skal overholde gjeldende lover og regler. Like fullt finnes det eksempler på at det kan være utfordrende å oppnå tilfredsstillende sikkerhet for at dette faktisk skjer. Overholdelse av lover og regler forutsetter at virksomhetens ledere og medarbeidere har oversikt over hvilke lover, forskrifter, rundskriv og instrukser som gjelder for virksomheten, og hvilke interne policyer og prosedyrer som er etablert. Videre forutsettes det at virksomheten har oversikt over i hvilke prosesser, enheter/funksjoner og arbeidsoppgaver gjeldende lover og regler har betydning. Effektiv internkontroll innebærer at det er etablert tiltak som i nødvendig grad sikrer at krav som følger av lover og regelverk, ivaretas i de ulike prosessene og enhetene i virksomheten. Virksomhetene kan gjennom ulike former for tiltak sørge for at lover og regler blir overholdt, eksempelvis gjennom å kreve at ansatte innehar en gitt type kompetanse, etablere opplæringsprogrammer, ha maler og prosedyrer som sikrer at sakene gjennomgår gitte steg, ha en klar arbeidsdeling, ha sjekklister, mv. Lover og regler kan endres, og det er derfor viktig at virksomheten har prosedyrer for å fange opp nye krav og endringer, og at ansvaret for å følge opp dette området er definert. 1.3 Hvorfor er det nødvendig med internkontroll? Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som helhet. For den enkelte samfunnsborger er det avgjørende at statlige produkter og tjenester har god kvalitet. God kvalitet gir sikkerhet for at det fattes riktige vedtak, at utbetalinger er rettidige og korrekte, at diagnoser er korrekte, og at behandlingen er effektiv. For samfunnet som helhet er oppgaveutførelsen i statlige virksomheter avgjørende for legitimitet, effektiv ressursbruk og oppfyllelse av fastsatte mål og forventede effekter. God internkontroll bidrar til kvalitet og effektivitet i statens produkt- og tjenesteleveranser, og bidrar dermed også til at samfunnsoppdraget oppfylles på en god måte. 19 Med policyer og prosedyrer menes her virksomhetens interne dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyre), jf. kapittel i denne veilederen. 20 St.meld. nr. 19 ( ) Ei forvaltning for demokrati og fellesskap, punkt 3.4 og punkt

15 Statlige virksomheter baserer sin virksomhet på de fire grunnleggende forvaltningsverdiene demokrati, rettssikkerhet, faglig integritet og effektivitet 20. Effektiv internkontroll vil bidra til at statlige virksomheter oppfyller forventningen om at de utfører oppgavene sine i tråd med disse forvaltningsverdiene. Effektiv 21 internkontroll legger til rette for at tingene gjøres riktig første gang. Internkontroll kan på den måten bidra til å forebygge feil og negative hendelser. Samtidig vil internkontroll også bidra til kvalitet, effektivitet og forutsigbarhet i statens produkt- og tjenesteleveranser. Når arbeidsprosesser og oppgaver gjennomføres på en måte som sikrer ønsket kvalitet, «Effektiv internkontroll legger til rette for at tingene gjøres riktig første gang» kan ressurser hos ledelsen frigjøres fra brannslukking, kontrolloppgaver, feilretting og korrigering. Virksomheter som arbeider systematisk med forbedringer i internkontrollen, opplever at internkontrollarbeidet gir viktige bidrag til virksomhetens arbeid med kontinuerlig forbedring. En slik systematisk tilnærming sikrer at virksomheten har begrunnet og dokumentert virksomhetens risikobilde og tilpasset det interne kontrollnivået deretter. Dersom virksomhetens internkontroll tilpasses egenart, risiko og vesentlighet, legges det til rette for en kostnads- og formålseffektiv balanse mellom ressurser som blir brukt til kontroll, og ressurser som blir brukt til andre oppgaver. På den måten kan internkontrollen frigjøre ledelseskapasitet til strategisk styring. For å være effektiv må internkontrollen integreres i driften og bygges inn i oppgaveutførelsen på en måte som sikrer systematikk og kvalitet også når virksomhetens systemer og rutiner utsettes for negativ og uforutsett påvirkning. En slik integrering gir både ledere og medarbeidere en trygghet for at oppgavene mestres, slik at de utføres med forventet kvalitet og i tråd med gjeldende lover og regler. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten bedrer virksomhetens evne til å mestre de kontroll- og styringsutfordringene virksomheten står overfor. God kvalitet i ledelsens beslutningsgrunnlag er avgjørende for å kunne ta riktige beslutninger. Når relevant informasjon knyttet til etablering, forbedring og oppfølging av internkontrollen integreres i styringsprosessene i virksomheten og inngår som en del av beslutningsgrunnlaget for ledelsen, gir internkontrollarbeidet også en direkte merverdi til styringen. Merverdien avhenger av at internkontrollen integreres slik at informasjon om forbedringsbehov utnyttes i de ordinære styringsprosessene. Selv med effektiv internkontroll kan det oppstå uheldige situasjoner og feil som følge av menneskelig eller teknisk svikt eller misforståelser, eller som følge av at ansatte bevisst omgår etablerte kontroller. Det å ha et formalisert og velfungerende internkontrollsystem reduserer sannsynligheten både for at ubevisste og bevisste feil inntreffer. God internkontroll hjelper virksomheten med å oppfylle mål og krav, ved at den kan unngå fallgruver og overraskelser. Med effektiv internkontroll er virksomheten bedre rustet mot de utfordringene som vil komme. 21 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 1992: Intern kontroll et integrert rammeverk. Internkontrollen er effektiv hvis det med rimelig sikkerhet kan sies at ledelsen ser i hvilken grad virksomhetens operative mål oppnås, rapporteringen er pålitelig og gjeldende lover og regler overholdes. 15

16 16

17 Del 2 Hvordan etablere og forbedre virksomhetens internkontroll Her gis en beskrivelse av hvordan virksomheten kan etablere en effektiv internkontroll. Beskrivelsen er omtalt i kapittel 2 og er illustrert ved en figur som har to hovedbudskap. For det første understrekes betydningen av å etablere et fundament for virksomhetens internkontroll. Virksomhetens fundament omtales nærmere i kapittel 3. For det andre understrekes betydningen av å etablere en strukturert metode for å etablere og forbedre virksomhetens internkontroll. Metoden omtales nærmere i kapittel 4. 17

18 2 Hvordan etablere effektiv internkontroll? Økonomiregelverkets krav til internkontroll i statlige virksomheter innebærer at det samlede styrings- og kontrollopplegget skal tilpasses risiko, vesentlighet og egenart. Dette innebærer at ledelsen må vurdere virksomhetens behov og ambisjoner for internkontroll. En effektiv internkontroll forutsetter at virksomheten har etablert et fundament for internkontroll som «Internkontroll er ikke et system eller en pakke en virksomhet kan kjøpe seg» understøtter de ambisjonene virksomheten har. Virksomhetens styrings- og kontrollmiljø, samt informasjon og kommunikasjon, inngår i dette fundamentet. Videre forutsetter en effektiv internkontroll en strukturert tilnærming som legger til rette for kontinuerlig forbedring og tilpasning til endrede forutsetninger og risikoer. Samlet utgjør disse dimensjonene det som i denne veilederen omtales som virksomhetens internkontrollsystem. Figuren nedenfor illustrerer elementene som inngår i internkontrollsystemet. Oppfølging Rapportering Overholdelse av lover og regler Virksomhet Planlegging Målrettet og effektiv drift Risikovurdering Pålitelig rapportering Implementering Utforming Figur 1: Internkontrollsystemet. Trekanten i midten av figuren representerer virksomheten. Virksomhetens samfunnsoppdrag skal utføres på en slik måte at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler oppfylles. Virksomhetens evne til å oppfylle mål og krav påvirkes av virksomhetens styrings- og kontrollmiljø og av hvordan informasjons- og kommunikasjonsflyten fungerer i virksomheten. Disse to elementene ligger som et fundament for 18

19 virksomhetens internkontroll og inngår som en del av trekanten i figuren. Fundamentet utgjør en viktig premiss for hvordan intern kontrollen etterleves og fungerer i praksis. Dette omtales nærmere i kapittel 3. Metoden i figuren viser en mulig måte å arbeide med internkontroll på. Metoden består av en kontinuerlig prosess i seks steg, heretter omtalt som internkontrollprosessen. En systematisk gjennomføring av disse seks stegene vil bidra til å oppfylle de tre internkontrollmålsettingene og kontinuerlig forbedre virksomheten. Selv for virksomheter som har arbeidet mye med internkontroll, kan det være behov for en mer enhetlig og helhetlig tilnærming og en mer strukturert prosess, noe denne metoden legger til rette for. Metoden vil være egnet både ved etablering og ved forbedring av internkontrollen. Dette omtales nærmere i kapittel 4. Det er virksomhetens ledelse som har ansvaret for å initiere og legge til rette for prosessen med å utvikle internkontrollen i virksomheten. Dette innebærer at virksomhetsledelsen bør etablere en årlig prosess på virksomhetsnivå for arbeidet med internkontroll. For at internkontrollprosessen skal gi merverdi i styringen, bør den integreres i virksomhetens øvrige styringsprosesser. Tidspunktet for gjennomføringen av stegene planlegging, risikovurdering og rapportering i metoden bør derfor tilpasses virksomhetens årlige styringshjul. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering med hensyn til internkontroll tilpasses slik at den gir merverdi til neste års planlegging og arbeidet med virksomhetens årsrapport. I internkontrollarbeidet vil virksomhetsledelsen støttes av ledere på ulike nivåer og medarbeidere med ulike roller og ansvar, blant annet prosesseiere, en eventuell støttefunksjon for arbeidet med internkontroll, mv. Internkontrollprosessens seks steg kan brukes på alle nivåer i virksomheten. I gjennomgangen av fundamentet og metoden i kapittel 3 og kapittel 4 henvises det også til relevante verktøy og maler. Disse verktøyene og malene er ment som inspirasjon og hjelp i det konkrete arbeidet med internkontroll og må tilpasses den enkelte virksomhets behov. Verktøyene er tilgjengelige på dfo.no/internkontroll. I Del 3 i veilederen er fundamentet og hvert steg i metoden illustrert ved et gjennomgangseksempel. 19

20 3 Etabler et fundament for internkontroll Virksomhetens produkt- og tjenesteleveranser skal oppfylle mål og krav. For at virksomhetsledelsen skal få en tilfredsstillende sikkerhet for måloppnåelse, må ledere på alle nivåer ha god internkontroll innen eget ansvarsområde. Effektiv internkontroll forutsetter at virksomheten har etablert et fundament i form av et godt styringsog kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon. Virksomhetens produkt- og tjenesteleveranser utvikles gjennom ulike prosesser i virksomheten. Prosessene i en virksomhet vil alltid være utsatt for risikoer knyttet til det å nå målsettingen for prosessen. Et godt styrings- og kontrollmiljø og en hensiktsmessig informasjon og kommunikasjon bidrar til kvalitet både i og i tilknytning til disse prosessene. I dette kapittelet beskrives viktige dimensjoner som bør tas hensyn til både i utviklingen av et godt styrings- og kontrollmiljø og i utviklingen av en hensiktsmessig informasjons- og kommunikasjonsflyt i virksomheten. Oppfølging f Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Figur 2: Fundamentet i internkontrollsystemet. Risikovurdering Relevante verktøy: Sjekkliste for styrings- og kontrollmiljø Veiledning dokumentasjon av etablert internkontroll Veiledning policy for internkontroll Sjekkliste for informasjon og kommunikasjon 20

21 3.1 Styrings- og kontrollmiljø Økonomiregelverket inneholder ikke eksplisitte krav til hvordan styrings- og kontrollmiljøet skal utformes, men i Bestemmelsene punkt 2.4 er det listet opp flere faktorer som naturlig vil inngå som en del av styrings- og kontrollmiljøet. Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser. Styrings- og kontrollmiljøet består således av både det formelle og det uformelle i virksomheten. Det formelle styrings- og kontrollmiljøet setter de formelle rammene for virksomheten og omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Eksempler er organisering og fullmaktstrukturer, kompetansekrav, policyer og prosedyrer som virksomhetens ansatte må forholde seg til. Det uformelle i virksomheten dreier seg om holdninger, integritet, etiske verdier og normer som preger virksomheten, og omtales ofte som virksomhetskulturen. God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styrings- og kontrollmiljøet i virksomheten. I noen virksomheter overlapper det formelle og det uformelle styrings- og kontrollmiljøet hverandre i stor grad, mens i andre virksomheter er det større avstand mellom dem. En mulig indikator med hensyn til i hvor stor grad formelt og uformelt styrings- og kontrollmiljø overlapper hverandre, kan være i hvilken grad formaliserte systemer, styrende dokumenter, rutiner, mv. etterleves i virksomheten. «God internkontroll er avhengig av at det skapes en god sammenheng mellom det formelle og det uformelle styringsog kontrollmiljøet i virksomheten» Et godt styrings- og kontrollmiljø innebærer at både ledere og medarbeidere bidrar til at virksomheten når målene sine ved at de utfører arbeidsoppgavene sine effektivt og hensiktsmessig, etterlever lover og regler, samt interne policyer og prosedyrer. Alle medarbeidere i en virksomhet har et ansvar for virksomhetens internkontroll gjennom den rollen de har i gjennomføringen av arbeidsoppgaver og etterlevelse av etablerte standarder og normer i virksomheten. Dette ansvaret innebærer også et ansvar for å informere sin leder om eventuelle problemer med driften mv. Det er viktig at de ansatte har kunnskap og ferdigheter som gjør dem i stand til å utføre oppgavene sine på en hensiktsmessig og effektiv måte, og at alle ansatte forstår sitt individuelle ansvar for internkontroll. Medarbeidere som forstår sin rolle og mestrer sine arbeidsoppgaver, bidrar til et godt arbeidsmiljø gjennom motivasjon og trivsel. 21

22 Ledelsens etiske standard, holdninger og adferd, ofte omtalt som «tonen på toppen», har også stor betydning for styrings- og kontrollmiljøet i virksomheten. «Tonen på toppen» påvirker medarbeidernes evne og vilje til å forstå, gjennomføre og følge opp det som er fastsatt og bestemt av ledelsen. Med sine beslutninger og handlinger viser ledelsen hva som skal vektlegges og prioriteres i virksomheten. Ledere bør stille krav til internkontrollen og opptre som gode rollemodeller og pådrivere. Lederes engasjement, prioriteringer og tilrettelegging vil ha stor innvirkning på internkontrollarbeidet i virksomheten. Ledere på alle nivåer vil på denne måten kunne bidra til å utvikle styrings- og kontrollmiljøet både innenfor eget ansvarsområde og innenfor virksomheten som helhet. Et godt styrings- og kontrollmiljø utvikles over tid gjennom riktige holdninger, atferd og en kultur for etterlevelse av fastsatte normer og regler. Styrings- og kontrollmiljøet sier noe om «hvordan vi gjør ting hos oss», hva som er akseptert og ikke, og hva som forventes av ledere og medarbeidere. Varige endringer er bare mulig dersom både holdninger og tenkemåte i virksomheten endres. Et godt styrings- og kontrollmiljø vil følgelig kunne bidra til mindre ressursbruk knyttet til etterkontroller, rapportering og oppfølging fra virksomhetsledelsen Dokumentasjon av internkontrollen Bestemmelsene punkt 2.4 slår fast at virksomhetens ledelse har ansvar for å påse at internkontrollen kan dokumenteres. Kravet om at internkontrollen skal kunne dokumenteres, omfatter både et krav om at det i nødvendig grad foreligger beskrivelser av etablert internkontroll, og et krav om at selve gjennomføringen kan dokumenteres. Utformingen og omfanget av dokumentasjonen bør, innenfor de rammene som er fastsatt i Økonomiregelverket, gjenspeile virksomhetens tilpasninger til risiko, vesentlighet og egenart. I det følgende gis det eksempler på krav som stilles i Økonomiregelverket, knyttet til etablering og dokumentasjon av internkontroll: Departementet skal fastsette instrukser både for departementet og underliggende virksomheter. 22 Virksomheten skal definere myndighet og ansvar og fastsette instrukser innenfor eget ansvarsområde, herunder ansvarsforhold mellom virksomhetsledelsen og øvrig ledelse, eventuelt styre. 23 Virksomheten skal etablere systemer og rutiner knyttet til transaksjonskontroller, aggregerte kontroller og etterkontroller, og gjennomførte kontrollaktiviteter skal være dokumentert. 24 Virksomheten må ivareta krav knyttet til økonomisystemet 25, lønn og oppgavepliktige ytelser 26, anskaffelser 27 og inntekter. 28 Virksomheten må ivareta krav knyttet til internkontroll hos tilskuddsforvalter 29 og stønadsforvalter Reglementet 3, jf. Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt Bestemmelsene punkt

23 I tillegg til de kravene som er stilt i Økonomiregelverket, vil statlige virksomheter være omfattet av andre lover og regler som stiller krav til dokumentasjon av virksomhetens internkontroll. Dokumentasjon av etablert internkontroll Effektiv internkontroll forutsetter at ledelsen fastsetter rammer for hvordan virksomheten skal innrettes for at samfunnsoppdraget skal realiseres. Dette innebærer at ledelsen formaliserer og dokumenterer overordnede føringer og prinsipper, samt myndighet, roller og ansvar knyttet til virksomhetskritiske og risikoutsatte områder og prosesser. Slike dokumenter omtales heretter som policyer og tilsvarer det som i Økonomiregelverket omtales som virksomhetens instrukser. Ledelsen må videre formalisere og dokumentere hvordan overordnede føringer og prinsipper er operasjonalisert til konkrete prosesser, aktiviteter og kontroller som setter standarden for hvordan oppgaveutførelsen i virksomheten skal være. Slike dokumenter omtales heretter som prosedyrer og tilsvarer det som i Økonomiregelverket omtales som rutiner. Policyer og prosedyrer inngår som del av virksomhetens styrende dokumenter, og vil også utgjøre en viktig del av virksomhetens dokumentasjon av etablert internkontroll. Hvilke dokumenter det er behov for, hvor mange nivåer det legges opp til, og hvilke benevnelser virksomheten ønsker å benytte, vil variere. Dette er spørsmål det er opp til ledelsen i den enkelte virksomhet å avgjøre. Struktur og omfang på virksomhetens dokumenter må tilpasses den enkelte virksomhets egenart, risiko og vesentlighet. Dokumentasjonen bør gi en sammenhengende, oversiktlig og forståelig fremstilling av standarder og krav for oppgaveutførelsen i virksomheten. En enhetlig struktur i henholdsvis policyer og prosedyrer er viktig for at dokumentenes innhold skal bli fremstilt på en strukturert og systematisk måte. En standard mal for innholdet i dokumentene bidrar til kvalitet og letter arbeidet med utforming og ajourhold. Samtidig vil sannsynligheten for etterlevelse øke når innholdet er tilgjengeliggjort på en brukervennligmåte gjennom en strukturert og oversiktlig mal. Det bør være en direkte vertikal sammenheng fra mål og krav gjennom policyer og ned til prosedyrer på de ulike områdene. I en god struktur vil derfor overordnende dokumenter (eksempelvis en policy) ha tydelige «pekere» ned til underliggende prosedyrer, og omvendt. Dette legger samtidig til rette for at policyer og prosedyrer ses i sammenheng og utgjør en helhet. Det bør være en sammenheng mellom styringsdokumenter fra overordnet departement og dokumenter som beskriver etablert internkontroll, da styringsdokumenter som eksempelvis instruks for økonomi- og virksomhetsstyring og tildelingsbrev fra overordnet departement 31 til virksomhet vil kunne gi føringer for innholdet i virksomhetens policyer og prosedyrer. I eksempelet i figur 3 består dokumentasjon av etablert internkontroll av to nivåer, henholdsvis policyer og prosedyrer. I tillegg vises det at det må være en sammenheng mellom forutsetninger og krav gitt av overordnet departementet og fastsatte policyer og prosedyrer i virksomheten. 31 DFØ 01/2011: Eksempelsamling med kommentarer styringsdokumenta instruks for økonomi og verksemdsstyring og tildelingsbrev frå departement til verksemd. 23

24 Overordnede føringer og krav Overordnede føringer og krav i form av Instruks for økonomi- og virksomhetsstyring, tildelingsbrev, samt lover og regler mv. som virksomheten må forholde seg til. Hvem og hva... Hvordan Policyer Prosedyrer En policy regulerer overordnede føringer og prinsipper, samt tydeliggjør roller og ansvar gjennom å definere hvem som har ansvaret for hva innenfor det området policyen gjelder for. En prosedyre beskriver hvordan aktiviteter, kontroller, oppfølging og rapportering skal gjennomføres for å håndtere risiko og fastsatte krav på en målrettet og effektiv måte. Figur 3: Eksempel på dokumentasjon av etablert internkontroll. Dokumentasjon av gjennomført internkontroll I tillegg til dokumentasjon av etablert internkontroll i form av policyer og prosedyrer, vil dokumentasjon av internkontrollen også inkludere dokumentasjon av gjennomførte kontroller og oppfølging. Økonomiregelverket stiller konkrete krav til gjennomføring og dokumentasjon av internkontroll knyttet til økonomiske transaksjoner, herunder transaksjonskontroller, aggregerte kontroller og etterkontroller. Økonomiregelverket inneholder også krav til hva som skal dokumenteres, og krav til oppbevaring av dokumentasjonen. Virksomhetens krav til dokumentasjonen og hvor denne skal oppbevares, bør være beskrevet i prosedyrene. Policyer, prosedyrer, dokumentasjon av gjennomførte kontrollaktiviteter og oppfølging av kontroller vil til sammen utgjøre dokumentasjonen av internkontrollen i virksomheten. 24

25 3.1.2 Organisering av internkontrollarbeidet Det er virksomhetens ledelse som har ansvar for internkontrollen i virksomheten, og som formelt bestemmer og fastsetter hvordan internkontrollarbeidet skal gjennomføres og organiseres. I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med internkontroll, vil avhenge av hvordan den enkelte virksomhet beslutter å organisere arbeidet med internkontrollen. I praksis vil det være hensiktsmessig at øverste leder formaliserer internkontrollansvaret til linjeledere på ulike nivåer. En slik formalisering av roller og ansvar knyttet til internkontroll kan nedfelles i en policy for internkontroll. Det forventes at ledere på lavere nivåer ivaretar ansvaret for internkontroll i alle prosesser og aktiviteter innenfor eget ansvarsområde. Lederen har også ansvar for at medarbeiderne har tilstrekkelig kompetanse og kunnskap om de policyene og prosedyrene som er relevante for deres arbeidsoppgaver. Ansvaret innebærer blant annet å påse at avvik, feil og mangler blir håndtert på en tilfredsstillende måte, og å legge til rette for kontinuerlig forbedring og læring. DFØ erfarer at det kan være krevende å utvikle og ajourholde effektiv internkontroll tilpasset risiko, vesentlighet og egenart. Erfaringen viser at mange virksomheter derfor velger å opprette en egen funksjon/rolle med fagansvar for internkontroll som støtter ledelsen og tilrettelegger for kontinuitet og en helhetlig tilnærming i virksomhetens arbeid med internkontroll. 32 DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som kan støtte ledelsen og tilrettelegge for en enhetlig og helhetlig tilnærming i virksomhetens arbeid med internkontroll. Hvilken ressursandel som avsettes, må vurderes ut fra virksomhetens størrelse og kompleksitet. Selv om det å opprette en slik funksjon/rolle krever ressurser, vil det samtidig frigjøre ressurser hos ledelsen blant annet ved å bidra til en mer helhetlig og strukturert tilnærming i internkontrollarbeidet. Det understrekes imidlertid at linjeledelsen har ansvaret for internkontroll, selv om virksomheten velger å organisere arbeidet gjennom å etablere en slik funksjon/rolle. Virksomheten bør vurdere å opprette en slik funksjon/rolle uavhengig av om virksomheten har, eller vurderer å etablere en internrevisjonsfunksjon. 33 Eksempler på oppgaver som kan legges til en funksjon/rolle med fagansvar for internkontroll er å: bistå ledelsen med å sørge for struktur og helhet i internkontrollarbeidet, gjennom blant annet å bistå med utvikling av maler og metoder bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet med etablering og forbedring av internkontrollsystemet bistå ledelsen i gjennomføringen av risikovurderinger være en støttespiller i arbeidet med operasjonalisering av internkontrollen, blant annet utarbeide opplæringsmateriell og sørge for opplæring av ledere og ansatte bidra til å bygge opp under en kultur for internkontroll «slik gjør vi det hos oss» bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv. 32 DFØs rapport 4/2009: Internrevisjon og intern kontroll i statlige virksomheter en kartlegging viser at nesten en tredjedel av virksomhetene har valgt å opprette en egen enhet enten i staben eller direkte under virksomhetsleder. En slik funksjon var mest vanlig i virksomheter med 100 ansatte eller flere. 33 DFØs veileder 12/2011: Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon. 25

26 Rollene og ansvaret knyttet til internkontroll, blir ofte omtalt som førstelinje-, andrelinje- og tredjelinjeforsvar. Førstelinjen omfatter ansatte og ledere som har et ansvar for internkontroll innenfor sine respektive områder. Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen i førstelinjen. I tillegg kan virksomheten velge å opprette en tredjelinje, eksempelvis i form av en internrevisjonsfunksjon. Internkontroll som er etablert og gjennomføres i de ulike forsvarslinjene, reduserer den risikoen virksomheten i utgangspunktet er eksponert for (iboende risiko) til et lavere nivå (gjenværende risiko). Det er illustrert i figur 4. Iboende risiko Førstelinjekontroller Andrelinjekontroller Tredjelinjekontroller Førstelinje (daglig styring og kontroll): Førstelinjen omfatter medarbeidere og ledere i linjen. Medarbeidere har et løpende ansvar for å gjennomføre etablert internkontroll gjennom sine daglige arbeidsoppgaver. Ledelsen har ansvar for å utforme, gjennomføre og følge opp internkontroll innenfor sitt ansvarsområde, eksempelvis utforme fullmaktstrukturer, policyer og prosedyrer, følge opp styringsparametere, kvalitetssikring, utføre stikkprøver, mv. Andrelinje (oppfølging og rapportering): Andrelinjen omfatter ulike funksjoner som legger til rette for, bistår og følger opp gjennomføringen av internkontroll som utføres av medarbeidere og ledere i førstelinjen. Andrelinjen kan eksempelvis bestå av controllere eller andre med kvalitets-, fag-, risikostyrings- og/eller internkontrollansvar. Andrelinjekontroller kan skje i form av blant annet analyser av risiko og resultater, kvalitetsgjennomganger, evalueringer, oppfølging av at policyer og prosedyrer samt lover og regler blir etterlevd. Gjenværende risiko Tredjelinje (uavhengig vurdering, testing og kontroll): Tredjelinjen omfatter en funksjon uavhengig av linjen, typisk en internrevisjons- funksjon eller annen uavhengig part. Et tredjelinjeansvar innebærer å vurdere om hele eller deler av internkontrollsystemet er tilstrekkelig, hensiktsmessig og fungerer etter forutsetningene. Denne instansen bør rapportere til øverste virksomhetsledelse eller til styret for de virksomhetene som har dette. Figur 4: Modell med tre forsvarslinjer. 26

27 3.2 Informasjon og kommunikasjon Av Bestemmelsene punkt fremgår det at «Det må etableres løpende informasjons- og kommunikasjonsrutiner for rapportering og gjennomføring av planer». God kvalitet i informasjons- og kommunikasjonsflyten både horisontalt og vertikalt i virksomheten er avgjørende for virksomhetens evne til å oppfylle mål og krav. Velfungerende informasjons- og kommunikasjonsflyt satt i system er således en forutsetning for å kunne styre og kontrollere. Dette omfatter både den formelle informasjonen, som inkluderer styringsinformasjon, og den mer uformelle dialogen, som skjer både i linjen og på tvers av den formelle organisasjonsstrukturen. «God informasjon og kommunikasjon både horisontalt og vertikalt er avgjørende for oppfyllelse av mål og krav» Informasjons- og kommunikasjonsflyt bør i størst mulig grad være integrert i virksomhetens styring og drift. Dette vil sikre at nødvendig informasjon identifiseres, håndteres og rapporteres til riktig tid og til riktig nivå, og for å sikre at ledere og medarbeidere gjøres kjent med og forstår hvilket ansvar de har, og hva som må gjøres. For enkelte virksomheter vil det i tillegg til å etablere en god intern informasjons- og kommunikasjonsflyt være hensiktsmessig å etablere eksterne informasjons- og kommunikasjonskanaler og arenaer som tillater innspill fra brukere, samarbeidspartnere, leverandører, myndigheter og andre. Ledelsen i den enkelte virksomhet må tilpasse omfanget og utformingen av informasjonskanaler og -systemer ut fra hva som er nødvendig for å styre og kontrollere virksomheten. For at informasjonen som innhentes skal bidra til god styring, og være nyttig og egnet til bruk i oppfølging, læring og forbedring, må den være relevant, pålitelig, rettidig og tilstrekkelig. God internkontroll er således avgjørende for å sikre informasjonens kvalitet, og god informasjon og kommunikasjon er viktig for å sikre effektiv internkontroll. 27

28 4 Etabler en strukturert metode for arbeidet med internkontroll Virksomhetens internkontroll må løpende tilpasses endrede forutsetninger og risikoer. Det er derfor viktig å innrette arbeidet med internkontroll på en strukturert og systematisk måte og se dette arbeidet i sammenheng med øvrig arbeid med læring og forbedring i virksomheten. Metoden i seks steg, som illustrert i figur 5, legger til rette for dette. Det er viktig å merke seg at selv om internkontrollprosessen beskrives som en prosess i seks steg, vil flere av stegene kunne overlappe hverandre i tid og gjennomføres ikke nødvendigvis i en stringent rekkefølge. Eksempelvis må planlegging og risikovurdering ses i nær sammenheng. Det vil også være situasjoner hvor det ikke er behov for å utforme og implementere nye tiltak. I slike tilfeller vil stegene utforming og implementering ikke være aktuelle. f Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Figur 5: Internkontrollprosessen en strukturert metode i internkontrollsystemet. Risikovurdering En strukturert metode for virksomhetens arbeid med etablering og forbedring av internkontroll, fordrer at det på virksomhetsnivå er etablert en årlig internkontrollprosess. For at virksomhetsledelsen skal få et grunnlag for vurdering og prioritering av virksomhetens samlede internkontroll, bør internkontrollprosessen i tillegg gjennomføres på ulike nivåer, områder og prosesser i virksomheten, og disse må ses i sammenheng. Metoden som er omtalt i dette kapittelet, legger til rette for en strukturert og systematisk, enhetlig og helhetlig tilnærming til arbeidet med internkontroll. I det følgende gjennomgås de seks stegene i metoden. 28

29 4.1 Planlegging Planlegging innebærer å fastsette rammer og ressurser for arbeidet med internkontroll. Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og overordnet status, dvs. ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurdering Ambisjonsnivå og overordnet status for internkontrollen Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontrollsystem. Ambisjonsnivået må tilpasses virksomhetens risiko, vesentlighet og egenart. Selv om virksomheter i utgangspunktet skal ha Figur 6: Internkontrollprosessen planlegging. styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder og prosesser. Det er i den forbindelse viktig at virksomhetsledelsen etablerer en felles oppfatning av ønsket balanse mellom det å ha kontroll og det å ta risiko. Basert på disse vurderingene må virksomhetsleder definere virksomhetens risikotoleranse. 34 Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering Økonomiregelverkets krav og føringer knyttet til internkontroll sammenholdt med de generelle kravene og føringene som gis i COSO og andre anerkjente rammeverk, viser at det er flere faktorer som er relevante å vurdere når virksomhetens ambisjon knyttet til internkontroll skal fastsettes. «Ambisjonsnivået må tilpasses virksomhetens risiko, vesentlighet og egenart» Nedenfor er det listet opp syv kjennetegn på effektiv internkontroll som virksomheter bør tilstrebe å oppnå. Ambisjonsnivået med hensyn til det enkelte kjennetegn vil variere med virksomhetens risiko, vesentlighet og egenart. Gjennom å drøfte og ta stilling til i hvilken grad virksomhetens internkontroll bør preges av disse kjennetegnene, vil virksomheten ha et grunnlag for å sette ambisjonsnivået for internkontrollen. 34 DFØ 01/2008: Risikostyring i staten: Risikotoleranse; akseptert nivå på risiko for ikke å nå den enkelte målsetting. 29

30 Kjennetegn på effektiv internkontroll: Ledelsesforankret Ledelsen viser et tydelig engasjement og ansvar for styring og kontroll gjennom å prioritere ressurser og fastsette ambisjoner og rammer for internkontrollen som understøtter behovet for og kravene til internkontroll som er tilpasset virksomheten. Ledelsen bidrar til å utvikle et godt styrings- og kontrollmiljø ved å gå foran som et godt eksempel. Tilpasset virksomhetens egenart, risiko og vesentlighet Omfanget av og innretningen på internkontrollen baseres på en vurdering av risiko og vesentlighet og tilpasses virksomhetens egenart. Internkontrollen dimensjoneres ut fra en vurdering av kost nytte. Tydeliggjort ansvar, myndighet og roller Ansvar, myndighet og roller er tydelig definert slik at alle ledere og medarbeidere kjenner og forstår sine ansvars- og myndighetsområder. Det er tydelig hvem som har ansvar for hva og når. Integrert i virksomhetens styring, prosesser og aktiviteter Internkontrollen integreres i virksomhetens styring og drift og er i størst mulig grad innebygd i prosesser og aktiviteter. Formalisert og dokumentert, kommunisert og tilgjengeliggjort Innretningen på, omfanget av og kravene til utførelsen av internkontrollen er fastsatt, og dette er dokumentert, kommunisert og tilgjengeliggjort. Gjennomførte tiltak dokumenteres i nødvendig grad og på en måte som gjør det mulig både å følge opp og å etterprøve tiltakene. Etterlevd og systematisk fulgt opp Fastsatt internkontroll blir etterlevd og systematisk fulgt opp, vedlikeholdt og videreutviklet slik at den gir ønsket effekt. Enhetlig og helhetlig Internkontrollen standardiseres og har samme struktur og utforming på tvers av virksomheten der det er mulig (like ting gjøres likt). Internkontrollen på ulike områder og nivåer ses i sammenheng og utgjør en helhet. 30

31 I vurderingen av hvordan statusen på internkontrollen i den enkelte virksomhet er, vil ledelsen blant annet legge til grunn den kunnskapen den besitter på bakgrunn av informasjon fra tidligere år. Eksempel på kilder kan være: oppfølging/testing av etterlevelse og effekt av tiltak mv. informasjon fra avvikssystemer og varslingskanaler tidligere gjennomførte risiko- og vesentlighetsvurderinger tidligere revisjoner, både rapporter fra Riksrevisjonen og eventuelt internrevisjon tilsynsrapporter og pålegg fra tilsynsmyndigheter intern rapportering på hvor godt internkontrollen fungerer, eksempelvis lederbekreftelser øvrige kjente feil og svakheter i virksomhetens internkontroll Virksomhetsledelsen bør gjennomføre en selvstendig vurdering av samlet status på internkontrollen. Det kan for eksempel gjøres ved å gjennomføre egenevalueringer og/eller modenhetsvurderinger. Det bør vurderes om det kan være hensiktsmessig at egenevalueringer blir utført på ulike nivåer i virksomheten. På denne måten kan ledere på alle nivåer få et bilde av status på internkontrollen innenfor eget ansvarsområde, og det vil være mulig å sammenligne mellom nivåer. Hvis det er stort avvik mellom de konklusjonene virksomhetsledelsen og ledere på lavere nivåer kommer frem til, kan dette gi nyttig informasjon om variasjoner og utfordringer som bør vurderes i arbeidet med internkontroll. Når både ambisjonsnivå og status er klargjort, kan ledelsen gjennom en gap-analyse identifisere områder som krever spesiell oppmerksomhet og prioritet i internkontrollarbeidet Rammer og ressurser for internkontrollarbeidet Ledelsen bør, med bakgrunn i gap-analysen, gjennomføre prioriteringer og fastsette rammer for internkontrollarbeidet. Virksomheten bør løpende eller minst én gang i året ta stilling til om det er behov for større gjennomganger av hele eller deler av internkontrollen, om det skal nedsettes prosjekter, eller om det er tilstrekkelig at arbeidet skjer som en del av den ordinære aktiviteten i linjen. Større tiltak og prosjekter bør inkluderes i virksomhetens planer. På den måten forankres og tydeliggjøres også ledelsens prioriteringer og holdning til arbeidet med internkontroll. Som et resultat av ledelsens prioriteringer og rammer bør det defineres hvem som har ansvar for hva i internkontrollarbeidet, og når ulike aktiviteter skal skje. Ansvarsplassering må ses i sammenheng med valgt organisering og fullmaktsstruktur i virksomheten. Det kan være nødvendig å avklare forhold knyttet til ansvar og rolle for spesifikke aktiviteter eller tiltak som ledelsen har identifisert i planleggingssteget, og som ikke ligger i de etablerte ansvarsstrukturene. Det vil også være hensiktsmessig at ledelsen som en del av den årlige planprosessen i virksomheten tar stilling til både hvor mye og hvilke ressurser som bør settes av til arbeidet med å etablere og forbedre virksomhetens internkontroll. Dette gjelder ressurser både i form av kompetanse og medarbeidere, og i form av eventuelle budsjettmessige allokeringer, eksempelvis til å gjennomføre kurs, mv. 31

32 Dersom ledelsen har etablert en rolle eller funksjon som skal ha et særskilt ansvar for å støtte, tilrettelegge og fungere som pådriver i internkontrollarbeidet, vil det være naturlig at ledelsen som en del av planleggingssteget godkjenner denne funksjonens plan for årets aktiviteter. Det er også viktig at ledelsen, som et ledd i sin planlegging, fastsetter på hvilke ledermøter internkontroll skal behandles og følges opp. Det vil være nødvendig å se den endelige planleggingen av rammer og internkontrollressurser i sammenheng med risikovurderinger for det enkelte år Oppsummering I planleggingssteget avklares og forankres ledelsens prioriteringer og rammer for internkontrollarbeidet. Dette innebærer at roller og ansvar tydeliggjøres, at det gjøres en ressursallokering og at tidsplaner, frister og rapporteringspunkter konkretiseres. Planleggingen skjer på bakgrunn av en vurdering av status sett opp mot ambisjonsnivået for internkontrollen. Planleggingen må ses i nær sammenheng med neste steg, risikovurdering. Dette innebærer at resultatet fra risikovurderinger må foreligge før ledelsen kan fastsette endelige prioriteringer og rammer for internkontrollarbeidet. Relevante verktøy i planleggingsfasen: Egenevaluering av internkontrollen 32

33 4.2 Risikovurdering Risikovurdering innebærer å identifisere risikoer som kan true oppfyllelsen av virksomhetens mål og krav, herunder de tre internkontrollmålsettingene. Med bakgrunn i mål og krav kan virksomheten beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. Videre vil risikovurderinger gi grunnlag for å vurdere behovet for forbedringer i form av tiltak og prioritere hva som bør følges opp. Risikovurderinger er derfor et nyttig verktøy for å få til en risikobasert internkontroll, og vil gi nyttig input til planleggingsarbeidet som er omtalt i forrige steg. Oppfølging f Rapportering Overholdelse av lover og regler Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Risikovurdering Etablere et grunnlag for risikovurderingen Implementering Utforming Gode risikovurderinger forutsetter at ledelsen har oversikt over hvilke mål og krav som stilles til virksomheten. Figur 7: Internkontrollprosessen risikovurdering. Mål og krav fremkommer blant annet i overordnede styringsdokumenter som Prop. 1 S, tildelingsbrev, instruks for økonomi- og virksomhetsstyring fra departement til virksomhet og internt fastsatte styringsdokumenter som eksempelvis strategi, virksomhetsplan og/eller virksomhetsavtale mellom virksomhetsleder og ledere på underliggende nivåer. Virksomheten må også forholde seg til krav som gis gjennom lover og regler, forskrifter og internt fastsatte policyer og prosedyrer. Videre må virksomheten forholde seg til ulike eksterne og interne rapporteringskrav. På virksomhetsnivå vil det være naturlig med en årlig gjennomgang av overordnede mål og krav for å identifisere om det har skjedd endringer fra tidligere år, og for å definere grunnlaget for risikovurderingene. Denne gjennomgangen vil gjerne skje som et ledd i den ordinære planprosessen i virksomheten, og den vil inngå som en del av forberedelsene til den overordnede risikovurderingen. Virksomhetens risikovurderinger og risikotoleranse vil i den forbindelse også kunne være gjenstand for dialog mellom departement og underliggende virksomhet gjennom etatsstyringsdialogen. De målene og kravene som gjelder for virksomheten som helhet, må i nødvendig grad operasjonaliseres og konkretiseres til mål og krav på lavere nivåer, eksempelvis for ulike avdelinger, seksjoner og prosesser. På tilsvarende måte som på virksomhetsnivå vil det være naturlig at ledere på lavere nivåer årlig gjennomgår og oppdaterer mål og krav for eget ansvarsområde. Det vil vanligvis skje som en del av planprosessen for enheten og inngå som en del av forberedelsene til risikovurderinger på eget ansvarsområde. Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsfordeling i virksomheten. Dette omfatter oversikt over hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og som det derfor er spesielt viktig å prioritere i internkontrollarbeidet, samt hvem som er ansvarlig for prosessene (prosesseiere). 33

34 Siden kvaliteten på produkt- og tjenesteleveranser vil være avhengig av effektiv internkontroll både i og i tilknytning til prosessene, bør det, i tillegg til den overordnede risikovurderingen, i prinsippet gjennomføres risikovurderinger av alle vesentlige operative prosesser i virksomheten. Det er virksomhetsledelsen som beslutter hvilke prosesser som er å betrakte som vesentlige i denne sammenheng. Hvilke momenter som tillegges vekt i en vesentlighetsvurdering kan variere, blant annet på bakgrunn av virksomhetens egenart og ambisjonsnivået for internkontrollen. Aktuelle momenter kan være følgende: I hvor stor grad påvirkes brukerne av feil eller svakheter i prosessen, og hvor mange brukere og hvilke brukergrupper berøres? I hvilken grad vil feil og mangler på det aktuelle området påvirke virksomhetens eller overordnet departements omdømme negativt? I hvor stor grad vil vesentlige systemer påvirkes gir eventuelle feil og mangler i ett system følgefeil i andre systemer? Hvor stor del av virksomheten vil berøres av feil og mangler knyttet til prosessen? I hvor stor grad får området/ resultatet av prosessen politisk oppmerksomhet? I hvor stor grad behandler prosessen store pengebeløp? I hvilken grad er prosessen av en natur som gjør den særlig utsatt for misligheter eller mislighold fra virksomhetens ansatte eller brukere? Gjennomføre risikovurderinger Når det er klart hvilke mål og krav virksomheten har å forholde seg til, kan det gjennomføres risikovurderinger knyttet til disse. I internkontrollsammenheng bør oppmerksomheten også rettes mot risikoer som kan hindre at de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler blir oppfylt. I praksis innebærer det at ledelsen i sin risikovurdering på virksomhetsnivå også må sørge for at alle disse tre internkontrollmålsettingene ivaretas i vurderingen. Dette innebærer at risikovurderingen på virksomhetsnivå vil ha både en strategisk tilnærming gjennom å vurdere risiko opp mot overordnede mål og krav (gjøre de riktige tingene) og en operasjonell tilnærming gjennom å vurdere risiko ut fra oppfyllelse av de tre internkontrollmålsettingene (gjøre tingene riktig). Det vil være naturlig at ledelsen ved risikovurderinger på virksomhetsnivå tar i betraktning vurderinger som er gjennomført på lavere nivåer. På denne måten vil risikoer som er synliggjort i risikovurderingen på lavere nivåer gi relevant informasjon til risikovurderingen på virksomhetsnivå. Etter at ledelsen har gjennomført risikovurdering på virksomhetsnivå, kan resultatet oppsummeres i en samlet oversikt som viser hvilke prosesser som eksponeres for de identifiserte risikoene. En slik oversikt gir et bilde av hvilke prosesser ledelsen bør prioritere i internkontrollarbeidet. På denne måten vil virksomhetsledelsen gjennom risikovurderingen nyansere og supplere sin vurdering av hvilke prosesser og områder som vurderes som mest vesentlige i internkontrollsammenheng, jf. kapittel

35 Støtteprosesser Styringsprosesser Strategi Fastsette mål, planlegging, rapportering, analyse og revurdering Kjerneprosesser Rådgivning R3 R5 Opplysningsarbeid Søknadsbehandling tilskudd R1 R2 R3 Rapportering tilskudd R1 R4 R5 R3 Økonomi IKT HR Anskaffelser Figur 8: Illustrasjon på sammenhengen mellom prosesser og identifiserte risikoer. Figur 8 viser et eksempel på styrings-, kjerne-, og støtteprosesser i en virksomhet som forvalter tilskudd. Som figuren viser, kan samme risiko treffe flere prosesser/områder. Som et ledd i risikovurderingen på virksomhetsnivå bør virksomhetsledelsen derfor vurdere om risikoen er av en slik art at det er mest hensiktsmessig at den håndteres: på virksomhetsnivå, for eksempel av virksomhetsledelsen gjennom virksomhetsovergripende tiltak på et lavere nivå, for eksempel av avdelingsleder, seksjonsleder eller prosesseier gjennom tiltak i eller i tilknytning til prosessen Føringer som virksomhetsledelsen gir på bakgrunn av sin overordnede risikovurdering, må inngå i prioriteringene for internkontrollarbeidet på lavere nivåer i virksomheten. Det understrekes at selv om virksomhetsledelsen identifiserer områder og prosesser den ønsker at det skal legges særlig vekt på, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. Linjeleders ansvar innebærer således å vurdere eventuelle andre prosesser og områder som vedkommende på bakgrunn av egne risiko- og vesentlighetsvurderinger bør prioritere. Virksomheten bør vurdere å gjennomføre risikovurderinger av alle vesentlige operative prosesser når prosessen etableres første gang, eller når det oppstår hendelser som endrer risikobildet, som tap av nøkkelkompetanse, endringer i IT-systemer, mv. Når virksomhetsledelsen i den overordnede risikovurderingen identifiserer prosesser som eksponeres for vesentlige risikoer, kan det indikere et behov for å gjennomføre risikovurdering ned på den aktuelle prosessen. I slike tilfeller vil prosesseiere og/ eller ledere på lavere nivåer vanligvis få i oppgave å følge opp ledelsens føringer gjennom å vurdere nærmere hvorvidt etablert internkontroll i og i tilknytning til de utvalgte prosessene er tilfredsstillende. Som grunnlag for en risikovurdering av operative prosesser er det nyttig å ha en oversikt over: mål for prosessen hvilke aktiviteter som inngår i prosessen hvilke risikoer prosessen er eksponert for hvilke kontroller og øvrige risikoreduserende tiltak som eksisterer 35

36 Dersom det ikke foreligger noen slik oversikt, kan det være hensiktsmessig å gjennomføre en prosesskartlegging hvor disse elementene identifiseres og dokumenteres. En prosesskartlegging gir et godt utgangspunkt for å vurdere risiko og kontroll i den enkelte prosess. En slik kartlegging gir også et grunnlag for å vurdere behovet for forbedringer, herunder grunnlag for å identifisere manglende, overflødige og/eller overlappende kontroller i prosessen. Prosesskartlegging kan gjøres enkelt og overordnet, men også detaljert og mer omfattende, avhengig av behov. Prosesskartleggingen kan dokumenteres i en visuell oppstilling, som vist i eksempelet nedenfor. Oversikten vil også tjene som dokumentasjon av etablert internkontroll. Prosessmål: Korrekte, gyldige og rettidige vedtak Prosesseier: Avdelingsleder tilskuddsavdelingen Søker Utforme og sende søknad Motta avslagsbrev Motta tilskuddsbrev Motta utbetaling Utforme og sende avslag Sende tilskuddsbrev Tilskuddsavdeling Motta og journalføre søknad R R R R R Registrere søknad i saksbehandlingssystemet Vurdere og kontrollere informasjon i søknad Grunnlag for tilskudd? Nei Ja Beregne og fastsette tilskudd Utforme tilskuddsbrev Ja R Godkjenne? K K K K Nei Ja Administrasjonsavdeling R K Utbetale tilskudd Figur 9: Eksempel på prosesskart som viser risikoer (R) og kontroller (K), herunder en overflødig kontroll og manglede kontroller illustrert ved de to sirklene Vurdere behov for tiltak og/eller oppfølging Risikovurderinger vil, uavhengig av hvilket nivå de er gjennomført på, lede til ulike typer beslutninger om hvordan gjenværende risiko bør håndteres. I prinsippet har ledelsen fire valg med hensyn til å håndtere risiko, nemlig å: akseptere risikoen dele risikoen unngå risikoen redusere risikoen I mange tilfeller vil statlige virksomheter ikke kunne velge verken å dele eller å unngå risikoen, siden produkt-/tjenesteområder og tilhørende mål og krav er fastsatt som en del av samfunnsoppdraget. I praksis vil det derfor som oftest være mest aktuelt å redusere risikoen, forutsatt at risikoen ikke kan aksepteres. 36

37 Når tiltak skal vurderes, må det besluttes hvem som er risikoeier, og som i kraft av denne rollen gis ansvar for å identifisere, vurdere og prioritere aktuelle tiltak som kan håndtere risikoen. Det må også avklares om risikoeier har myndighet til å beslutte tiltak, eller om beslutningen må løftes til et høyere nivå. Ofte vil risikoeier være prosesseier eller linjeleder, men virksomhetsledelsen kan også være risikoeier. Sistnevnte gjelder gjerne for risikoer med virksomhetsovergripende karakter. Virksomhetsledelsen vil ofte ha oppmerksomheten rettet mot risikoer som har både høy sannsynlighet og høy konsekvens, siden dette er risikoer som åpenbart har et stort behov for kontroll. I internkontrollsammenheng er det viktig å være oppmerksom på at ledelsen også må vektlegge områder og prosesser hvor sannsynligheten for at risikoer inntreffer, er lav, men hvor risikoer kan få alvorlige konsekvenser hvis de først inntreffer. Når sannsynligheten vurderes som lav fordi virksomheten allerede har etablert betydelige risikoreduserende tiltak, er det viktig at ledelsen prioriterer å følge opp internkontrollen i disse prosessene/områdene særskilt. Dette fordi konsekvensen av svikt i internkontrollen kan være alvorlig for virksomhetens evne til å oppfylle mål og krav, eksempelvis i form av alvorlige feil i myndighetsutøvelsen, svikt i kritisk tjenesteproduksjon, mv. Det vil også være områder hvor sannsynligheten for at risikoen slår inn er lav, fordi negative hendelser forventes å forekomme svært sjelden. Eksempler kan være alvorlige ulykker, korrupsjon/ misligheter, pandemier, mv. For flere av disse områdene er det fastsatt egne krav til utarbeidelse av risikovurderinger og internkontroll gjennom lov- og regelverk, og disse områdene må også gis oppmerksomhet i oppfølgingen. Hvilke områder som tilhører denne kategorien, vil imidlertid variere med virksomhetens egenart. Det vil for eksempel i enkelte virksomheter være behov for å utarbeide risikoanalyser med særlig vekt på risiko og sårbarhet, såkalte ROS-analyser. Figuren nedenfor viser hvordan kontrollbehovet varierer ut fra hvor i risikomatrisen risikoen vurderes å være. Den røde stjernen nederst til høyre i figuren poengterer et behov for kontrollopplegg også for risikoer som har lav sannsynlighet når konsekvensen, dersom risikoen slår inn, er svært alvorlig. Svært stor Høyt fokus og kontrollbehov Sannsynlighet Stor Moderat Liten Risiko Kritisk Høy Moderat Lav Meget Liten Lavt fokus og kontrollbehov kontrollopplegg Ubetydelig Lav Moderat Alvorlig Svært alvorlig Konsekvens Figur 10: Risikomatrise som viser hvor det er behov for kontroll. 37

38 Generelt vil risikoer som betegnes som gule, oransje eller røde, indikere et forbedringsbehov. Hva som anses som gult, oransje eller rødt, er avhengig av virksomhetens risikotoleranse. Risikoeier vil ha ansvar for å identifisere og prioritere tiltak som er effektive i forhold til den risikoen som skal håndteres. Ofte vil det være nødvendig å gjøre nærmere undersøkelser eller analyser for å få opp alternativer og for å sikre at tiltakene som foreslås, er de som håndterer risikoen best også ut fra et kost nytte-perspektiv. Arbeidet med å identifisere, vurdere, prioritere og beslutte aktuelle tiltak omtales i kapittel 4.3 Utforming. På overordnet nivå, lavere nivå og i de operative prosessene vil det eksistere en rekke risikoer som virksomheten ønsker å ha kontroll over, men hvor det ikke er behov for forbedringer eller ytterligere tiltak for å håndtere risikoen ettersom dagens kontrolltiltak anses som tilstrekkelige. Enkelte av disse risikoene vil av virksomheten bli vurdert som risikoer det er mer kritisk å ha kontroll på enn andre. Kontroller som håndterer viktige eller kritiske risikoer, blir ofte kalt nøkkelkontroller. Nøkkelkontrollene har ofte én eller begge av følgende kjennetegn: En nøkkelkontroll som svikter, kan i vesentlig grad påvirke virksomhetens evne til å oppfylle mål og krav (virksomhetsspesifikke målsettinger og internkontrollmålsettinger). Gjennomføringen av nøkkelkontroller kan forhindre andre kontrollsvakheter eller påvise slike svakheter før de får en vesentlig betydning for virksomhetens målsettinger 35. Kontrollene som defineres som nøkkelkontroller, er kontroller som det er viktig at virksomheten konsentrerer seg spesielt om i sin oppfølging av internkontrollen. For noen risikoer kan det være aktuelt å utarbeide styringsparametere, slik at det er mulig å overvåke utviklingen og følge opp om etablert internkontroll har ønsket effekt. For andre risikoer kan det være aktuelt å teste og ta stikkprøver for å verifisere at rutiner og kontroller gjennomføres som forutsatt. Ledelsen kan også vurdere om det er behov for å gjennomgå/evaluere utvalgte områder eller prosesser. Oppfølging av internkontrollen omtales nærmere i kapittel 4.5 Oppfølging Oppsummering Etter at risikovurderinger er gjennomført, har ledelsen på ulike nivåer i virksomheten oversikt over virksomhetens viktigste risikoer og hvilke områder og prosesser virksomheten må ha særskilt kontroll på. Disse områdene og prosessene bør prioriteres i internkontrollarbeidet. Risikovurderinger gir dessuten oversikt over hvordan identifiserte risikoer er håndtert, og om det er behov for å forbedre internkontrollen. Risikovurderingen gir også grunnlag for å identifisere behovet for oppfølging av etablert internkontroll på kritiske områder. Etter at risikovurderingen er gjennomført, må ledelsen vurdere om det er behov for å justere de beslutningene som er tatt i planleggingssteget, for eksempel vurdere om det er behov for å justere ressursallokeringen knyttet til internkontrollarbeidet. Relevante verktøy knyttet til risikovurdering: Idébank oversikt over lover og regler Idébank utvalgte prosesser med eksempler på mål, risiko og kontroller Risikovurderingsverktøy Veiledning prosesskartlegging 35 COSO 2009: Veiledning i oppfølging av internkontroll, Del II: Anvendelse, s

39 4.3 Utforming Å utforme tiltak innebærer å identifisere aktuelle tiltak som kan redusere den aktuelle risikoen, og å vurdere og prioritere disse ut fra en kost nyttevurdering. Når et tiltak er valgt, må det utformes og beskrives. Å utforme et tiltak kan innebære både å utforme nye tiltak og å forbedre eksisterende tiltak. Å utforme og oppdatere tiltak vil være en aktivitet som utføres på ulike nivåer i virksomheten. På virksomhetsnivå vil behovet for å utforme/ oppdatere tiltak ofte identifiseres i tilknytning til den overordnede risikovurderingen. På lavere nivåer vil behovet for å utforme og oppdatere tiltak fremkomme som et resultat av risikovurderinger på avdelings- og/eller seksjonsnivå. Oppfølging f Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering For den enkelte prosess vil behovet for å utforme Figur 11: Internkontrollprosessen utforming. eller oppdatere ulike typer tiltak gjerne identifiseres i forbindelse med periodiske risikovurderinger og gjennomganger av vesentlige prosesser, og i forbindelse med etablering av nye prosesser. Prosesskartlegging kan også være et nyttig verktøy når ulike tiltak skal vurderes. Det er ledelsen som beslutter hvordan arbeidet med å utforme tiltak skal skje. Ved større tiltak kan det være behov for å nedsette prosjekter, arbeidsgrupper eller lignende, men arbeidet kan også legges direkte som en oppgave i linjen. Ved større tiltak vil det være hensiktsmessig å nedfelle mer formaliserte rammer for arbeidet i en godkjent plan. Hvor formelt dette gjøres, må tilpasses tiltakets omfang og kompleksitet. Eksempelvis vil det å utforme et nytt IKT-system kreve mer formelle rammer for arbeidet enn det å utforme nye avstemmingsrutiner eller utbedrede godkjenningsprosedyrer. Generelt og uavhengig av hvor og på hvilket nivå i virksomheten utforming og oppdatering av risikoreduserende tiltak skjer, vil arbeidet foregå i tre trinn: 1 Identifisere aktuelle tiltak 2 Vurdere, prioritere og beslutte tiltak 3 Utforme og dokumentere besluttede tiltak Identifisere aktuelle tiltak Når gjenværende risiko er vurdert til å være for høy, dvs. utenfor virksomhetens risikotoleranse, kan det skyldes flere forhold. Det er derfor viktig at virksomheten ikke trekker forhastede slutninger om hva som kan være aktuelle og relevante tiltak for å håndtere risikoen. For at tiltaket skal være effektivt, må det håndtere kjernen i problemet, dvs. den opprinnelige årsaken til risikoen. 39

40 For risikoer der årsaksbildet er komplekst eller uklart, kan det være aktuelt å gjøre en nærmere analyse, slik at rotårsaken 36 til problemet eller risikoen identifiseres. Erfaringsvis kan det være hensiktsmessig å involvere personer som utfører aktiviteten eller på annen måte er involvert i prosessen, når rotårsaken skal analyseres. Det kommer av at disse personene ofte kjenner området best, og derfor har best grunnlag for å komme opp med både risikoer, sannsynlige årsakssammenhenger, mangler ved eksisterende tiltak og forslag til nye tiltak. Tiltak favner vidt og kan omfatte alt fra utvikling og forbedring av organisasjons- og ledelseskulturen i virksomheten, til design av konkrete kontrollaktiviteter i en prosess, for eksempel: utvikling og oppfølging av kompetanseplaner og kompetanseutvikling utvikling og oppfølging av policy og prosedyrer løpende gjennomganger av resultater innenfor eget ansvarsområde kontroll av fullstendighet og korrekthet i data, for eksempel sjekk mot kontrollfiler ved overføring av data fra forsystemer til regnskapssystemer fysiske kontroller av varelager, inklusiv kontrolltellinger løpende oppfølging av styringsparametere, for eksempel antall klagesaker som får medhold bruk av arbeidsdeling for å redusere mulighet for feil eller misligheter Når det skal tas stilling til mulige tiltak, bør det vurderes hva som er hensiktsmessige typer av tiltak ut fra hva som er formålet med tiltaket. Det finnes mange ulike typer av tiltak. Noen tiltak har som formål å forhindre at feil inntreffer (forebyggende/preventive), mens andre har som formål å avdekke feil slik at disse kan korrigeres (avdekkende/oppdagende). Uavhengig av om tiltak er forebyggende eller avdekkende, kan tiltak grupperes i ulike kategorier. En mulig måte å gruppere eller kategorisere ulike typer tiltak på er å skille mellom tiltak som er overvåkende, tiltak som er generelle/virksomhetsgjennomgripende, og tiltak som er spesifikke. Ofte omtales tiltak i internkontrollsammenheng som kontroller og/eller kontrollaktiviteter. Overvåkende kontroller har som formål å sikre at fastsatte kontrollaktiviteter av ulikt slag gjennomføres som forutsatt, eksempelvis stikkprøvekontroll av at kontroller i prosessene gjennomføres som beskrevet i prosedyrer e.l. Generelle kontroller (også kalt virksomhetsovergripende kontroller) omfatter hele virksomheten og har som formål å sikre enhetlighet og helhet på tvers av prosesser. Slike kontroller inkluderer blant annet fullmakter og etiske retningslinjer. En annen gruppe av tiltak er spesifikke kontroller, som utgjør kontrollaktiviteter i prosessene som har som formål å forebygge, avdekke eller korrigerer feil og avvik i prosessene. Slike kontroller inkluderer blant annet bankavstemminger og sidemannskontroll ved saksbehandling mv. Når aktuelle tiltak skal identifiseres, må det gjøres ut fra hva som er mulig eller hensiktsmessig i den aktuelle prosessen. For prosesser som støttes av IT-systemer, for eksempel et saksbehandlingssystem, vil det være mulig å bygge inn automatiserte kontroller, som gyldighetskontroller for data som registreres. I andre tilfeller kan det være mest hensiktsmessig å bygge inn manuelle kontroller, som sidemannskontroller. Risikovurderingen gir viktige innspill som er av betydning for vurderingen av hva som vil være aktuelle og egnede risikoreduserende tiltak. Det er likevel viktig å være oppmerksom på at ikke 36 Med rotårsak menes her den opprinnelige og bakenforliggende årsaken til problemet, risikoen mv. som er den egentlige årsaken i første instans. 40

41 alle tiltak vil ha eksplisitt opphav i en risikovurdering. Økonomiregelverket stiller for eksempel flere eksplisitte krav til kontroller knyttet til regnskapsføring, anskaffelser, mv. Tilsvarende stilles det også krav gjennom annet lov- og regelverk. Eksempelvis vil rutinene for en regnskapsprosess bidra til å redusere risiko, men flere av kontrollene vil likevel ha sitt utspring i konkrete krav som fremgår av lover og regler. Internt og eksternt fastsatte rapporteringskrav vil også kunne gi opphav til ulike typer kontrolltiltak som skal sikre kvalitet og pålitelighet i rapporterte data. Dessuten vil det kunne oppstå avvik og feil som må håndteres umiddelbart via ulike former for risikoreduserende tiltak Vurdere, prioritere og beslutte tiltak Det er viktig at beslutninger om hvilke tiltak som skal iverksettes, fattes på riktig nivå i virksomheten og av personer som har myndighet til å fatte slike beslutninger. Noen beslutninger må fattes på virksomhetsledernivå, mens andre kan fattes på et lavere nivå. «Valg av tiltak bør baseres på en kost nytte-vurdering» Når ledelsen skal prioritere ulike alternativer for risikohåndtering, vil tiltakets virkning på henholdsvis sannsynlighet for og konsekvens av risikoen måtte vurderes. Effekten av tiltaket vil måtte ses i sammenheng med risikobildet. Dersom hovedårsaken til at risikoen befinner seg utenfor risikotoleransen, er at sannsynligheten er høy, vil det være mest hensiktsmessig å vurdere tiltak som virker sannsynlighetsreduserende. Men dersom hovedårsaken til at risikoen er utenfor risikotoleransen, er at konsekvensen er høy, vil det trolig være mest hensiktsmessig å vurdere tiltak som virker konsekvensreduserende. Når tiltak skal vurderes opp mot hverandre, vil det være viktig å få opp et bilde av det relative forholdet mellom kost og nytte 37 ved ulike alternative tiltak. Kost nytte-vurderinger klargjør hvilke effekter og verdier de ulike tiltakene kan forventes å ha, og kostnaden og realiserbarheten ved å innføre de enkelte tiltakene. Kost nytte-vurderinger kan være alt fra komplekse og omfattende kvantitative og kvalitative analyser til enkle kvalitative vurderinger. Hvor omfattende vurderingene gjøres, vil avhenge av forhold som størrelsen på tiltaket, herunder tiltakets kostnad og kompleksitet. For større beslutninger bør kost nytte-vurdering ved de alternative tiltakene som er identifisert, dokumenteres i beslutningsgrunnlaget. I mange tilfeller er informasjon om effekter og nytte ikke tilgjengelig, og ledelsen må bygge beslutningene sine på kvalitative vurderinger, erfaring og skjønn. Kostnadssiden er ofte enklere å vurdere, for her finnes det gjerne mer presise erfaringstall og data. I noen tilfeller kan det være hensiktsmessig å benytte eksterne kvalitetssikrere for å gjennomgå og vurdere kost nyttevurderinger. Det er mest aktuelt for tiltak som omfatter mange parter, områder eller prosesser, eller tiltak som har store kostnadsmessige konsekvenser, siden kompleksiteten i kost nyttevurderingen kan være stor. Det kan også være tilfeller der mindre kostbare tiltak som ikke påvirker andre forhold, kan iverksettes uten omfattende kost nytte-vurderinger. Eksempelvis kan ledelsen se behovet for en ny rapport på et område for å kunne ta bedre beslutninger. En enkel kvalitativ vurdering av at nytten overstiger kostnaden ved utviklingen av en slik rapport, vil være tilstrekkelig gitt at eksisterende IKT-systemer enkelt kan produsere en slik rapport. 37 Verdi og nytte anses i denne sammenheng som synonymer. Kostnaden er ett av elementene i vurderingen av hvor realiserbart tiltaket er (dersom kostnaden er høy, reduseres realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv. 41

42 I skjemaet nedenfor vises et eksempel på hvordan ledelsen kan dokumentere sine kost nyttevurderinger i forbindelse med nye tiltak av større betydning. Verdi for virksomheten Høy Lav Lav Realiserbarhet Høy Figur 12: Kost nytte-vurdering av ulike tiltak. Når virksomheten skal avgjøre hvilke tiltak som skal prioriteres, bør den vurdere alternative tiltak opp mot hvilke tiltak som allerede er etablert, og hvordan disse er innrettet. Dette innebærer blant annet å vurdere hvordan sammensetningen av forebyggende versus avdekkende kontroller er, og hvordan bruken av manuelle versus automatiserte kontroller er. Virksomheter som har stor grad av overvåkende og avdekkende/oppdagende kontroller, bør vurdere om det er mulig og hensiktsmessig i større grad å etablere forebyggende kontroller. Det vil trolig også være hensiktsmessig å vurdere å ta i bruk automatiserte kontroller fremfor manuelle kontroller. Automatiserte kontroller vil ofte gi bedre og mer effektiv kontroll, men bruken må vurderes opp mot kostnaden ved å etablere slike kontroller. Dette poenget er illustrert i figuren nedenfor. Automatisert Lavere risiko og kostnad Manuell Økt risiko og kostnad Avdekkende Forebyggende Figur 13: Sammenheng mellom kontrolltyper, risiko og kostnad. 42

43 Når virksomheten skal beslutte hvilke tiltak som skal utformes, er det viktig å være oppmerksom på at tiltak på ett nivå, ett område eller i én prosess vil kunne påvirke tiltak på andre nivåer, områder eller prosesser. Eksempelvis vil et tiltak om å anskaffe et nytt IKT-system kreve flere ulike nye tiltak andre steder i virksomheten. Det kan dreie seg om tiltak i form av oppdatering av prosedyrer, opplæring, behov for nye automatiserte kontroller, nye manuelle kontroller, bortfall av tidligere brukte kontroller, mv. Derfor er det, i forbindelse med valg av nye tiltak, viktig å se helheten og vurdere konsekvenser av å etablere tiltak på tvers av prosesser og virksomheten for øvrig. På denne måten er det mulig å forhindre at håndtering av risiko på ett sted i virksomheten bidrar til at risikoer andre steder i virksomheten ikke blir håndtert. Et helhetsperspektiv er også viktig for å forhindre at kontroller ubevisst dupliseres eller overdimensjoneres. Underveis i diskusjonene rundt hvilke tiltak som skal besluttes, kan det være nyttig å stille seg noen kontrollspørsmål: Vil prosessen, slik den ser ut etter at nye tiltak er utformet, være - målrettet og effektiv? - innrettet slik at prosessen sikrer pålitelig rapportering? - innrettet slik at relevante lover, regler og retningslinjer overholdes? Er det god balanse i kontrollene som inngår i prosessen (manuelle versus automatiske, preventive versus avdekkende)? Vil tiltaket håndtere rotårsaken eller den opprinnelige årsaken til problemet? Vil noen av tiltakene være nøkkelkontroller og derfor ha behov for oppfølging for å verifisere at tiltaket etterleves og har ønsket effekt, jf. omtale i kapittel Vurdere behov for tiltak og/eller oppfølging? Utforme og dokumentere besluttede tiltak Når det er besluttet hvilke tiltak som skal håndtere den aktuelle risikoen, må tiltakene utformes. Å utforme tiltak kan for eksempel gå ut på å: utarbeide eller oppdatere beskrivelser av kontroller som skal gjennomføres. Slike beskrivelser kan omfatte hvem som skal gjøre kontrollen, når kontrollen skal gjennomføres, hvordan kontrollen skal gjennomføres, og hvordan kontrollen skal dokumenteres utarbeide nye dokumenter i form av prosedyrer, policydokumenter o.l., blant annet utforme det konkrete innholdet i dokumentet eller oppdatere eksisterende dokumenter utarbeide kurs eller oppdatere opplæringsprogrammer for medarbeidere utarbeide kravspesifikasjon og utvikle ny modul i saksbehandlingssystemet 43

44 Ofte kan det være hensiktsmessig å fastsette en plan for hvordan aktuelle tiltak konkret skal utformes, herunder å tildele ansvar og roller for dette arbeidet for å sikre gjennomføringskraft. Om det er behov for en plan, og hvor omfattende denne planen skal være, vil avhenge av type tiltak. Tiltak kan være store, kostbare og kompliserte i form av at de er mer virksomhetsovergripende og/eller påvirker flere andre forhold i virksomheten. Å utforme tiltak i form av for eksempel å anskaffe et nytt eller oppdatere et eksisterende IKT-system vil kunne kreve omfattende planer og store ressurser på tvers av virksomheten, og vil omfatte mange parter og dessuten strekke seg over tid. Å innføre en ny spesifikk kontroll i en prosess innenfor eget ansvarsområde vil derimot ikke nødvendigvis ha et tilsvarende behov for en plan knyttet til utformingen. I forbindelse med at en virksomhet skal utforme besluttede tiltak, bør den også vurdere om det bør gjennomføres tester/stikkprøver eller etableres styringsparametere som gjør det mulig å følge opp effekten av nye eller forbedrede internkontrolltiltak. Ofte vil det være naturlig å vurdere om det skal rapporteres på tiltak som reduserer kritisk risiko i den ordinære løpende styringen Oppsummering Etter å ha gjennomført steget utforming har virksomheten identifisert hvilke tiltak som kan være aktuelle for å håndtere risikoen. Videre er de aktuelle tiltakene vurdert og prioritert, og basert på en kost nytte-vurdering er det besluttet hvilke tiltak som skal velges for å håndtere risikoen. Besluttede tiltak er utformet og beskrevet. Neste steg blir å implementere tiltakene for å sikre gjennomføring. Relevante verktøy: Veiledning prosesskartlegging Veiledning rotårsaksanalyse 44

45 4.4 Implementering Å implementere tiltak innebærer å iverksette besluttede tiltak, slik at de etterleves og gir varig effekt. Gjennom ulike implementeringsaktiviteter gjøres nye utformede eller oppdaterte tiltak kjent og forankres i virksomheten. Hvilke implementeringsaktiviteter som skal til for at besluttede tiltak skal iverksettes og fungere som forutsatt, avhenger av type tiltak og tiltakets viktighet, kompleksitet og størrelse. Omfanget av implementeringsaktiviteter, herunder behovet for implementeringsplaner, kommunikasjonsplaner og opplæringsaktiviteter, vil naturlig følge av type tiltak, samt om implementeringen organiseres som en linjeaktivitet eller som et prosjekt. Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering Virksomheter bør i den grad det er mulig, tilstrebe å standardisere metoder og rutiner for implementering. Standardiserte metoder og rutiner på området bidrar til forutsigbarhet og effektivitet i implementeringsprosessen og til å sikre best mulig kvalitet i implementeringen. Figur 14: Internkontrollprosessen implementering Vurdere behovet for implementeringsaktiviteter Erfaringer viser at det å implementere tiltak ofte undervurderes fordi det tas for gitt at beslutningen er både kjent, forstått og forankret. Det finnes flere eksempler på at virksomheter bruker mye tid og krefter på å utarbeide gode tiltak og planer, mens evnen til å iverksette tiltakene og i praksis gjennomføre det virksomheten har bestemt seg for, svikter. Nye og forbedrede prosedyrer har liten verdi hvis de blir liggende i en skuff og glemt, mens de personene som har ansvar for å gjennomføre oppgaven, løser den slik de «alltid» har gjort. Et mer alvorlig eksempel er når planer og prosedyrer som omhandler ekstraordinære hendelser, som eksempelvis brann, ikke blir benyttet som forutsatt. Ofte er årsaken at prosedyrene ikke har vært kjent, eller at det ikke har vært gjennomført øvelser og «Å implementere tiltak bidrar ikke bare til at tiltaket blir kjent, men også til at det blir erkjent» trening. Å implementere tiltak bidrar ikke bare til at tiltaket blir kjent, men også til at det blir erkjent. For tiltak som krever en bestemt type atferd, for eksempel evakuering, vil øvelser og trening i bruk og gjennomføring være avgjørende den dagen det haster med å handle og mange ting skjer samtidig. Tilsvarende vil ofte forståelsen for, og etterlevelsen av, eksempelvis etiske retningslinjer bedres hvis virksomheten i tillegg til å kommunisere og tilgjengeliggjøre retningslinjene gjennomføre opplæring der retningslinjene brukes i praktiske situasjoner. 45

46 4.4.2 Vurdere faktorer av betydning for en vellykket implementering Figur 15 beskriver viktige suksesskriterier som avhengig av type tiltak bør tas hensyn til i implementeringsarbeidet. Fravær av ett eller flere av disse kriteriene kan være en mulig årsak til at besluttede tiltak ikke får ønsket effekt. Kriteriene omtales nærmere nedenfor. Forankring, Forankring, holdninger og og adferd Informasjon, kommunikasjon kommunikasjon og og tilgjengeliggjøring Implementering Implementering -v arig endring Kompetanse,, ferdigheter og kapasitet Verktøy og og systemstøtte e Figur 15: Suksesskriterier for vellykket implementering. Forankring, holdninger og atferd En viktig suksessfaktor for endringsarbeid generelt er at lederne involverer seg, viser engasjement og fremstår som tydelige rollemodeller. Forankring og oppmerksomhet fra ledelsen, eksempelvis gjennom at ledelsen etterspør implementeringsplaner, følger opp status i forhold til plan og selv endrer atferd, synliggjør ledelsens engasjement og bidrar til å spre riktige holdninger til endring. Utviklingsaktiviteter som utføres i form av et prosjekt, får gjerne mye oppmerksomhet i prosjektperioden. I den sammenheng kan det være viktig å være klar over at overføring fra prosjekt til linje ofte er en utfordring. For å sikre gjennomføring og etterlevelse er det viktig at ledelsen prioriterer å vise interesse for tiltaket, slik at linjen støttes og nødvendig oppmerksomhet opprettholdes også i implementeringsperioden. Implementeringsarbeidet knyttet til store tiltak som medfører vesentlige endringer i måten de ansatte arbeider på, vil ofte gå mer smertefritt dersom ledelsen sørger for medarbeiderforankring og involvering underveis i utformingsfasen. Når de som berøres eller involveres sterkest av en endring, 46

47 også gis mulighet til å påvirke og komme med sine innspill, bidrar det til at de forstår formålet med endringen. Gjennom å involvere nøkkelmedarbeidere underveis både i utformings- og implementeringsarbeidet, kan disse medarbeiderne også fremstå som «ambassadører» for endringen. Informasjon, kommunikasjon og tilgjengeliggjøring Når tiltak skal implementeres, er det helt avgjørende at informasjon om beslutningen (om at tiltaket skal iverksettes), iverksettelsestidspunkt, ansvar, krav til utførelse, mv. blir kommunisert, slik at det er tydelig for de ansatte som blir berørt av tiltakene, hva som forventes og kreves av dem. Noen typer tiltak er rettet mot alle ansatte i virksomheten, mens andre typer bare angår eller involverer noen få. Det vil variere hvor systematisk ledelsen kommuniserer besluttede tiltak. Ved store tiltak kan det som et ledd i implementeringsarbeidet være behov for å sette opp en kommunikasjonsplan. Denne baseres på en kartlegging av hvem som berøres direkte av tiltaket, og hvem som berøres indirekte, samt en vurdering av hvilken informasjon de berørte trenger. Virksomhetens intranett, avdelings- og seksjonsmøter, ledermøter, medarbeidersamtaler, tavlemøter, kurssamlinger, mv. kan være mulige arenaer å benytte her. Allerede eksisterende kommunikasjonskanaler bør benyttes i størst mulig grad. Tilstrekkelig informasjon og kommunikasjon av forventninger om hvilke resultater endringen/tiltaket skal gi, er også viktig med hensyn til forankring, holdninger og atferd, som er omtalt foran. Kompetanse, ferdigheter og kapasitet Når større tiltak skal implementeres, eksempelvis innføring av nytt saksbehandlingssystem, vil det ofte være hensiktsmessig at ansvaret for å planlegge og styre implementeringen tildeles konkrete medarbeidere eller funksjoner. For store og omfattende implementeringer vil det være hensiktsmessig at de medarbeiderne som gis et ansvar i implementeringsarbeidet, har erfaring fra tidligere med slikt arbeid. En avgjørende faktor for vellykket implementering er dessuten at alle som blir berørt av tiltaket, har den nødvendige kompetansen og de ferdighetene som skal til for å gjennomføre det som er besluttet på en god måte. Det er derfor viktig at det også avsettes tid og ressurser til gjennomføring av opplæring og kompetanseutvikling for berørte medarbeidere. Dette kan omfatte opplæring i nye systemer, verktøy, prosedyrer mv. Verktøy og systemstøtte Implementering av enkelte tiltak forutsetter tilgang til verktøy og systemstøtte for å kunne utøve/ gjennomføre tiltaket. For slike tiltak er det avgjørende at medarbeiderne raskt får tilgang til verktøy og systemer som trengs for å kunne gjennomføre de nye arbeidsoppgavene på en effektiv og hensiktsmessig måte. Eksempelvis kan endrede interne og eksterne krav knyttet til innkjøp eller saksbehandling medføre behov for en ny type verktøy og en annen systemstøtte enn tidligere Oppsummering Etter å ha implementert utformede tiltak skal tiltakene være operasjonalisert og etablert i virksomheten. En vellykket implementering bidrar til at tiltakene etterleves og fungerer som forutsatt, dvs. at tiltakene reduserer den risikoen de var ment å håndtere. 47

48 4.5 Oppfølging Oppfølging 38 innebærer en systematisk vurdering av internkontrollsystemets utforming, og om internkontrollen etterleves og fungerer som forutsatt. Gjennom oppfølgingen får ledelsen informasjon om hvorvidt internkontrollmålsettingene oppnås, og om implementerte tiltak etterleves og gir ønsket effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle fastsatte mål og krav. Resultatene fra oppfølgingen vil gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten. Oppfølging f Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Risikovurdering Ledelsen har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Det er viktig at ledelsen i sin oppfølging fokuserer særlig på internkontrolltiltak rettet mot virksomhetens Figur 16: Internkontrollprosessen oppfølging. vesentligste risikoer med tilhørende kontroller, herunder kontroller som har høy konsekvens dersom de svikter. Virksomheten bør vurdere behovet for å formalisere ledelsens oppfølging av internkontrollen i policyer og/eller prosedyrer. Utforming Avhengig av hvordan virksomheten velger å organisere internkontrollarbeidet, jf. kapittel 3.1.2, vil oppfølgingen skje på ulike måter, på ulike nivåer og av ulike roller og funksjoner i virksomheten. Oppfølging kan skje ved at ledere følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. Oppfølging kan skje gjennom stikkprøvekontroller/tester, analyser, innhenting og analyse av styringsparametere og indikatorer. Ettersom det ikke er hensiktsmessig å følge opp alt, er det nødvendig å prioritere de områdene og kontrollene som anses som viktigst med hensyn til risiko og vesentlighet. Basert på informasjon som innhentes gjennom oppfølgingen, bør lederne på ulike nivåer gjennomføre en helhetlig analyse og vurdering av internkontrollen innenfor eget område. Forbedringsbehov innenfor eget ansvarsområde som lederen selv kan beslutte, må planlegges og inngå som en del av øvrig oppgaveportefølje på ansvarsområdet. Forbedringsbehov som ligger utenfor den aktuelle lederens ansvars- og myndighetsområde, må også håndteres, og oppfølgingen vil da bestå i å løfte saken videre for vurdering og beslutning på et høyere nivå. For virksomheter som har organisert internkontrollarbeidet gjennom å definere en egen rolle eller funksjon som støtter ledelsen i arbeidet med internkontroll, vil oppfølging også kunne skje ved at denne funksjonen på vegne av ledelsen gjennomfører tester for å verifisere om internkontrollen etterleves og gir ønsket effekt. Virksomheter som har internrevisjon 39, vil kunne få en mer uavhengig tilbakemelding på hvordan hele eller deler av internkontrollsystemet fungerer på et gitt tidspunkt. Internrevisjonsfunksjonen omtales imidlertid ikke nærmere i denne veilederen. 38 Oppfølging sammenfaller med betydningen av COSO-rammeverkets overvåkningskomponent. 39 For en utdyping om internrevisjon kan DFØs rapport 4/2009: Internrevisjon og intern kontroll i statlige virksomheter en kartlegging og DFØs veileder 12/2011: Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon være relevante kilder. 48

49 4.5.1 Vurdere om internkontrollen etterleves og gir ønsket effekt «Type oppfølging, hyppighet og omfang avhenger av den enkelte risiko og virksomhets behov» Oppfølging kan skje i form av løpende oppfølging, frittstående oppfølging eller en kombinasjon av de to. Type oppfølging, hyppighet og omfang avhenger av den enkelte risiko og virksomhets behov. Virksomhetens størrelse og kompleksitet er relevant i denne sammenheng. I store og komplekse virksomheter er virksomhetsledelsen ofte mindre involvert i gjennomføringen av kontroller og må derfor stole på oppfølgingsprosedyrer som utføres av lavere ledelsesnivåer. I mindre virksomheter er virksomhetsledelsen mer direkte involvert i oppfølgingen av risikoer og tilhørende kontroller, og får dermed mer direkte informasjon om statusen på internkontrollsystemet. Risikonivået henger sammen med kompleksiteten. Derfor forventes det mer oppfølging på områder med større kompleksitet. Dette som følge av at risikoen er høyere, eksempelvis som følge av sektorrelaterte egenskaper, komplekst regelverk, antall produkter eller tjenester, sentralisert versus desentralisert organisering, mv. Virksomhetens styrings- og kontrollmiljø spiller også her en rolle. En virksomhet som har et velfungerende styringsog kontrollmiljø, vil ha mindre behov for oppfølging i form av etterkontroller og stikkprøver. Løpende oppfølging Med løpende oppfølging menes ulike manuelle eller automatiske oppfølgingsaktiviteter som er bygd inn i virksomhetens rutinemessige driftsaktiviteter. Løpende oppfølging gir den viktigste støtten til ledelsens daglige oppfatning av hvor godt internkontrollsystemet fungerer, og gir den beste muligheten for å identifisere og korrigere kontrollsvakheter på et tidlig tidspunkt. Løpende oppfølging kan blant annet være ulike avstemminger, analyser og oppfølging av styringsparametere. Eksempelvis kan oppfølging av en styringsparameter som viser brudd på saksbehandlingsfrister eller utvikling i antall klagesaker, være en relevant indikator som sier noe om hvor effektivt internkontrollen fungerer. Løpende oppfølging omfatter også tester/etterkontroller og stikkprøver for å verifisere at prosedyrer og kontroller gjennomføres som forutsatt og gir ønsket effekt og kvalitet. I den grad virksomheten kan automatisere oppfølgingen og integrere automatiserte oppfølgings- og kontrollaktiviteter som en del av eksisterende IKT-systemer, vil det bidra til mer effektiv oppfølging, styring og kontroll. Enkelte virksomheter har etablert avvikssystemer hvor virksomheten løpende og systematisk registrerer og håndterer avvik. Avvikssystemer finnes i mange ulike typer, fra mer eller mindre komplekse og omfattende IKT-systemer og databaser som håndterer både rapportering, oppfølging og avslutning (lukking) av avvik, til enkle skjemaer eller oppfølgingspunkter på allerede eksisterende rapporteringsmaler. Dersom virksomheten velger å etablere et avvikssystem, er det viktig at virksomheten definerer prosedyrer for bruk av dette systemet, blant annet for hvordan den skal registrere og håndtere avvik. Det er også viktig at informasjonen fra avvikssystemet faktisk benyttes som informasjonskilde i forbedringsarbeidet, og at informasjon om avvik ikke får negative konsekvenser for medarbeidere eller blir ignorert. 49

50 En spesiell form for avviksoppfølging er varslinger av kritikkverdige forhold. Alle virksomheter er i henhold til arbeidsmiljøloven pålagt å ha en uavhengig varslingskanal og legge forholdene til rette for intern varsling ved kritikkverdige forhold. Ledelsen må sørge for løpende oppfølging av registrerte varsler. Frittstående oppfølging Ved frittstående oppfølging kan de samme teknikkene benyttes som ved løpende oppfølging, men denne typen oppfølging er utformet for å følge opp kontroller periodevis. Ofte gjennomføres denne typen oppfølging på et mer objektivt grunnlag, av personer som har større avstand til og er mer uavhengige med hensyn til det området som skal vurderes. Oppfølgingen kan ha en bred tilnærming ved at hele eller store deler av virksomhetens internkontroll evalueres, eller evaluering kan begrenses til en enhet, et ansvarsområde eller en prosess. Eksempler på frittstående oppfølging kan være oppfølginger og evalueringer som er gjennomført av internrevisjonen eller Riksrevisjonen, og evalueringer som er utført av kompetansemiljøer internt eller eksternt. Omfang og hyppighet av frittstående oppfølging avhenger både av risikovurderingen og av hvor effektive de løpende oppfølgingsrutinene er. 40 Ofte kan frittstående oppfølging være aktuelt i situasjoner der ledelsen gjennom en risiko- og vesentlighetsvurdering har identifisert områder hvor de mener det er behov for en større gjennomgang. Bruk av en slik type evaluering er omtalt i Reglementet 16. En virksomhet som opplever et stort behov for hyppig frittstående oppfølging og evaluering, bør vurdere å forbedre virksomhetens prosesser og løpende oppfølgingsaktiviteter og på den måten søke å integrere, dvs. «bygge inn» heller enn å «legge til», kontroller. 41 På den måten vil oppfølgingen i større grad integreres i, og ses i sammenheng med, den øvrige og løpende styringen og kontrollen av virksomheten. Jo større omfanget av og effektiviteten i løpende oppfølging er, jo mindre er behovet for frittstående oppfølging Bruke informasjon fra oppfølgingen til styring, læring og forbedring Systematisk og helhetlig oppfølging av internkontrollen, og aktiv bruk av resultatene fra oppfølgingen i virksomhetens planlegging og risikovurdering, vil bidra til å sikre at internkontrollen til enhver tid er tilpasset risiko og vesentlighet. Oppfølgingen er følgelig en viktig premiss for å utvikle en dynamisk og velfungerende internkontroll og for å oppfylle de tre internkontrollmålsettingene. Systematisk oppfølging er også et avgjørende element i virksomhetens generelle lærings- og forbedringsarbeid. Læring og forbedring oppnås best i virksomheter som systematisk legger til rette for erfaringsutveksling ved å etablere arenaer for oppfølging, problemløsing og avvikshåndtering på alle nivåer i organisasjonen (team, seksjon, avdeling, virksomhet). Ved å benytte kunnskap og erfaring som er opparbeidet internt i virksomheten, samt benytte kunnskap fra brukere, leverandører og samarbeidspartnere, vil virksomheten legge til rette for kontinuerlig forbedring og «Systematisk oppfølging av internkontroll er et avgjørende element i virksomhetens generelle lærings- og forbedringsarbeid» 40 DFØs metodedokument Risikostyring i staten håndtering av risiko i mål- og resultatstyringen, kapittel COSO 2009: Veiledning i oppfølging av internkontroll, Del II: Anvendelse, s

51 utvikling. For å få til en slik utvikling er det viktig at det i virksomheten skapes en åpenhetskultur hvor det er «akseptert» å gjøre utilsiktede feil, og hvor registrering og håndtering av avvik blir verdsatt og anerkjent som verdifullt for virksomhetens videre utvikling Oppsummering Etter at internkontrollen har blitt fulgt opp på ulike nivåer i virksomheten, skal ledelsen kunne danne seg et kvalifisert grunnlag for å vurdere om internkontrollsystemet er tilstrekkelig oppdatert og i stand til å håndtere virksomhetens risikoer. Oppfølgingen skal følgelig kunne danne grunnlag for å rapportere tilstanden på internkontrollen innenfor eget område, og dessuten danne grunnlag for å forbedre og eventuelt korrigere internkontrollen. Relevante verktøy: Veiledning test av internkontroll Veiledning prosedyre for registrering og håndtering av avvik Mal registrering og håndtering av avvik 51

52 4.6 Rapportering Rapportering innebærer at resultater fra oppfølgingen på lavere nivåer rapporteres til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering. Dette gir ledere på alle nivåer et grunnlag for å vurdere kvaliteten på og effekten av etablert internkontroll innenfor eget ansvarsområde. Videre legges det til rette for at mangler ved internkontrollen blir håndtert på riktig nivå. Dette gir virksomhetsledelsen et grunnlag for å vurdere den samlede kvaliteten på virksomhetens internkontroll, og det gir nyttig informasjon til bruk i styringen og planleggingen av neste periode. Rapporteringen skal også kunne gi virksomhetsleder et kvalifisert grunnlag for å konkludere og rapportere til overordnet departement om tilstanden på virksomhetens samlede internkontroll. 42 Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Figur 17: Internkontrollprosessen rapportering. Risikovurdering Rapportere resultater til rett nivå og til rett tid Det er viktig at informasjon om internkontrollsystemets utforming, virkemåte og etterlevelsen av etablerte kontroller rapporteres til rett nivå og til rett tid, slik at nødvendige tiltak kan besluttes og implementeres. Rapportering av resultater fra oppfølging av internkontrollen gir nyttig informasjon til bruk i styringen. Virksomheten vil i sin interne styring ha behov for gode prosedyrer for rapportering som sikrer at vesentlig styringsinformasjon, herunder informasjon om utvikling og svakheter, rapporteres i linjen, slik at nødvendige korrektive tiltak kan iverksettes. Det gjelder både når korrektive tiltak er innrettet mot forbedringer i internkontrollen (hvordan sikre at virksomheten gjør tingene riktig), og når korrektive tiltak er innrettet mot strategiske valg (hvordan sikre at virksomheten gjør de riktige tingene). For å få til dette er det avgjørende at det er etablert tydelige krav til hva som skal rapporteres når og til hvem. Hvilke konkrete krav som bør stilles, må vurderes i den enkelte virksomhet og ses i sammenheng med behovet. Generelt bør imidlertid informasjonen fra oppfølgingen på ulike nivåer sammenstilles og rapporteres for å gi grunnlag for en samlet vurdering av internkontrollens kvalitet og effektivitet. De interne rapporteringskravene må innrettes slik at virksomheten også ivaretar eventuelle eksterne rapporteringskrav. Dette gjelder blant annet rapporteringskrav som stilles fra overordnet departement, knyttet til status på etablert internkontroll og rapportering av eventuelle vesentlige svakheter eller svikt i virksomhetens internkontroll. 42 I henhold til Høringsnotat Årsrapport og årsregnskap for statlige virksomheter, med høringsfrist 8. april 2013, skal årsrapporten i del IV omhandle styring og kontroll i virksomheten. I henhold til anbefalingene kan dette eksempelvis omfatte en kort tilstandsrapportering knyttet til internkontroll. 52

53 Det er i denne sammenheng viktig at vesentlige svakheter knyttet til internkontrollen rapporteres til rett nivå. Svakheter som er identifisert i oppfølgingen på et lavere nivå, men som ikke kan håndteres på dette nivået alene, må komme tydelig frem i rapporteringen til neste nivå, slik at det kan tas en beslutning om hvordan risikoen skal håndteres, herunder om eventuelle korrektive tiltak skal iverksettes. At det lavere nivået ikke kan håndtere svakhetene alene, kan for eksempel skyldes at svakhetene krever tiltak som vedkommende leder ikke har nødvendige fullmakter til å beslutte og håndtere, eller det kan skyldes at svakhetene har sin årsak i forhold utenfor vedkommende leders ansvarsområde Integrere rapporteringen knyttet til internkontroll med øvrig rapportering Rapportering knyttet til internkontrollen bør i størst mulig grad integreres i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten sikres det at all rapportering av verdi for styring og kontroll ses i sammenheng og benyttes i arbeidet med å planlegge, følge opp og forbedre internkontrollen. De fleste virksomheter følger en årssyklus der planlegging av neste års aktivitet skjer i forkant av, og i forbindelse med, mottak av tildelingsbrev på høsten, og der årsrapport skal oversendes til overordnet departement påfølgende år. I tillegg har de fleste virksomheter ulike rapporteringer til overordnet departement gjennom året, som kvartals-, halvårs- eller tertialrapporteringer. Det vil være naturlig at den årlige internkontrollprosessen på virksomhetsnivå følger de samme hovedlinjene. Det betyr at den årlige planleggingen av internkontrollen integreres i den øvrige planprosessen i virksomheten, og at oppfølging og rapportering skjer på tidspunkter som gjør virksomheten i stand til å avgi nødvendige uttalelser og nødvendig rapportering på internkontrollen på de tidspunktene som kreves i tildelingsbrevet. Virksomheten vil normalt også ha andre rapporteringspunkter som er fastsatt ut fra interne styringsbehov i virksomheten. Eksempelvis vil noen virksomheter som ledd i oppfølgingen av virksomhetsplanen også rapportere om utvikling i risiko og styringsparametere, og status av risikoreduserende tiltak og oppfølging av nøkkelkontroller i virksomheten. Som en del av den løpende rapporteringen i virksomheten kan det stilles krav om at ledere på seksjons- eller avdelingsnivå på bestemte tidspunkter også rapporterer om status på internkontrollen samlet for sitt område. Dersom slike krav er stilt i virksomheten, vil resultatene fra løpende og/eller frittstående oppfølging (for eksempel testing, nøkkelkontroller, eventuelle egenevalueringer, benchmarks og/eller internrevisjoner) være et nyttig grunnlag og dessuten nyttig dokumentasjon for å avgi en slik uttalelse på det aktuelle nivået. Slike eksplisitte krav om rapportering fra ledere bidrar til å forplikte ledere til systematisk å tenke gjennom og følge opp forhold knyttet til internkontrollen på regelmessig basis. Ved at feil, svakheter og særskilte hendelser som fremkommer i oppfølgingen, rapporteres oppover i linjen og sammenstilles, vil de mest overordnede og alvorlige svakhetene i internkontrollen fremkomme i rapporteringen til virksomhetsledelsen. Virksomhetsledelsen får dermed en samlet oversikt over status og forbedringsbehov og et kvalifisert grunnlag for å kunne uttale seg om internkontrollen i virksomheten totalt sett. 53

54 I tillegg til den ordinære og systematiske rapporteringen som foregår i virksomheten som ledd i den interne styringen, er det også viktig å etablere kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og vesentlige risikoer som inntreffer eller truer med å inntreffe. Det vises her også til avvikshåndtering og varsling som ble omtalt i kapittel Oppsummering Etter at ledere på ulike nivåer har rapportert resultatet fra oppfølgingen av internkontrollen innenfor eget ansvarsområde, skal informasjon om status og tilstand for internkontrollen for virksomheten som helhet kunne sammenstilles og kommuniseres. Denne informasjonen benyttes i ledelsens styring og kontroll av virksomheten, og gir viktige innspill til læring og forbedring og dessuten til planleggingen av internkontrollen for neste periode. Relevante verktøy: Mal rapportering knyttet til internkontroll 54

55 Del 3 Gjennomgangseksempel praktisk bruk av metoden Her illustreres metoden som er vist i veilederen, ved hjelp av et gjennomgangseksempel knyttet til en fiktiv virksomhet FYSetat. Eksempelet viser hvordan metoden rent praktisk kan anvendes, og viser hvordan etablering, forbedring og oppfølging av internkontroll på ulike nivåer, på ulike områder og i ulike prosesser kan ses i sammenheng og utgjøre en helhet. Siden hovedformålet med eksempelet er å illustrere og eksemplifisere en mulig metode for arbeidet med internkontroll, er det gjort en rekke forenklinger for å illustrere ulike poenger. Eksempelet illustrerer derfor ikke en «perfekt» og fullstendig løsning. 55

56 5 Gjennomgangseksempel praktisk bruk av metoden Eksempelvirksomheten FYSetat er etablert for å fremme fysisk aktivitet blant barn og unge. FYSetat driver informasjonsvirksomhet og forvalter en tilskuddsordning. Skoler, lag, foreninger osv. kan søke FYSetat om tilskudd til tiltak for økt fysisk aktivitet i lokalsamfunnene. Overordnet departement har utarbeidet et regelverk for tilskuddsordningen, der blant annet tildelingskriterier fremgår. Som vist i organisasjonskartet i figur 18 er FYSetat organisert i fire avdelinger og én stab. De fire avdelingslederne inngår i direktørens ledergruppe. For å skape et godt fundament for internkontroll har virksomhetsledelsen vurdert det som viktig å arbeide systematisk med å utvikle et godt styringsog kontrollmiljø. Som et ledd i arbeidet med å utvikle et slikt miljø er det nylig opprettet en funksjon med fagansvar for internkontroll. Denne funksjonen inngår i direktørens stab. Utvikling av et godt styrings- og kontrollmiljø er vurdert som en god investering som skal legge til rette for at virksomheten på sikt skal kunne bruke mindre ressurser på etterkontroll. direktør stab inkl. fagansvarlig internkontroll informasjonsavdeling administrasjonsavdeling tilskuddsavdeling IKT-avdeling ansvarsområder: økonomi HR arkiv ansvarsområder: opplysningsarbeid ansvarsområder: rådgivning søknadsbehandling rapportering ansvarsområder: IKT Figur 18: Organisasjonskart FYSetat. 56

57 5.1 Planlegging Ambisjonsnivå og overordnet status for internkontrollen i FYSetat Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontroll. Vurderingen gjøres på grunnlag av risiko, vesentlighet og virksomhetens egenart. Selv om virksomheten i utgangspunktet bør ha kontroll på alt, er det ikke hensiktsmessig å etablere en like omfattende internkontroll på alle områder. Det er viktig at virksomhetsledelsen etablerer en felles oppfatning av balansen mellom det å ha kontroll og det å ta risiko, herunder definerer virksomhetens risikotoleranse. Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering Ledergruppen i FYSetat har benyttet DFØs egenevalueringsverktøy 43 og vurdert hva som Figur 19: Internkontrollprosessen planlegging. er status ut fra syv kjennetegn på god internkontroll. Scoren (1 6) er vurdert ut fra kjennskap til virksomhetens styrker og svakheter, rapportert status og forbedringstiltak fra alle fire avdelingsledere, tidligere merknader fra Riksrevisjonen, mv. Resultatet av denne egenevalueringen for FYSetat er vist i figur Verktøyet Egenevaluering av internkontrollen er tilgjengelig på dfo.no/internkontroll. 57

58 Etterlevd og systematisk fulgt opp Ledelsesforankret Tydeliggjort ansvar, myndighet og roller Enhetlig og helhetlig Tilpasset virksomhetens egenart, risiko og vesentlighet Formalisert og dokumentert, kommunisert og tilgjengeliggjort Integrert i virksomhetens styring, aktiviteter og prosesser Virksomhet: FYSetat Dato: Utført av: Ledergruppen Figur 20: FYSetats egenevaluering av internkontrollen. Med bakgrunn i egenevalueringen konkluderer virksomhetsledelsen med at det særlig er to områder knyttet til internkontrollen som virksomheten ønsker å forbedre. Disse områdene er: Tydeliggjort ansvar, myndighet og roller Virksomhetsledelsen ser spesielt et behov for å tydeliggjøre hva som ligger i linjens internkontrollansvar med hensyn til grensesnittet opp mot fagansvarlig internkontroll, ettersom denne funksjonen er ny. Dessuten har det i den senere tid oppstått flere spørsmål og uklarheter som følge av utydelig grensesnitt og ansvarsdeling mellom avdelingene, spesielt gjelder det i grensesnittet mellom tilskuddsavdelingen, administrasjonsavdelingen og IKT-avdelingen. Formalisert og dokumentert, kommunisert og tilgjengeliggjort Virksomhetsledelsen har spesielt lagt merke til at det er lite bevissthet rundt hva som blir dokumentert, og det som har blitt dokumentert, er ikke nødvendigvis kommunisert og tilgjengeliggjort til relevante ansatte. Ledelsen ser også et behov for å oppdatere policyer og prosedyrer, da det har vært høy turnover og flere tilfeller av sykemelding det siste året. Nyansatte og innleide vikarer er usikre på hvordan arbeidet skal utføres, og hvem som har ansvar for hva. 58

59 5.1.2 Ressurser og rammer knyttet til arbeidet med internkontroll FYSetat har som nevnt nylig opprettet en funksjon med fagansvar for internkontroll, jf. figur 18. De viktigste oppgavene til denne funksjonen er å støtte virksomhetsledelsen i forbindelse med gjennomføring, koordinering og videreutvikling av arbeidet med å etablere og forbedre virksomhetens internkontroll og å støtte avdelingene/linjen i internkontrollarbeidet etter behov. Et viktig fokusområde for inneværende år er å tydeliggjøre og formalisere roller og ansvar. Ledelsen konkluderer derfor med at avdelingene må sette av ressurser til dette arbeidet for å bistå fagansvarlig internkontroll. Det anslås at det foreløpig bør settes av cirka et halvt årsverk fordelt på de fire avdelingene til utbedringer det kommende året i tillegg til ett årsverk for fagansvarlig internkontroll. Den endelige fastsettelsen av rammer og ressurser til arbeidet med internkontroll må ses i nær sammenheng med risikovurderingene som gjennomføres årlig. Virksomhetsledelsen skal hvert år vedta en handlingsplan for fagansvarlig internkontroll. Planen blir endelig godkjent først etter at eventuelle utfordringer som fremkommer i de årlige risikovurderingene i virksomheten, er identifisert. I virksomhetsledelsens møtekalender for det kommende året er internkontroll satt opp på agendaen for tre møter: Desember - gjennomføre årlig risikovurdering i FYSetats ledergruppe - beslutte handlingsplan for arbeid med internkontroll (ressurser, rammer, fokusområder mv.) Juni - rapportere status på internkontrollfunksjonens handlingsplan - rapportere status på avdelingslederes handlingsplaner (tiltak identifisert i forbindelse med virksomhetsledelsens risikoworkshop og eventuelle tiltak identifisert på lavere nivå innenfor ansvarsområder i den enkelte avdeling) November - rapportere avdelingenes status med hensyn til internkontrollen for året og gi innspill til neste års planarbeid 59

60 5.2 Risikovurdering Etablere et grunnlag for risikovurdering Mål og krav på virksomhetsnivå Gode risikovurderinger forutsetter at virksomheten har oversikt over hvilke mål og krav som stilles til virksomheten. FYSetat har identifisert mål og krav for virksomheten ut fra lover, forskrifter, regelverk for tilskuddsordningen, føringer gitt i tildelingsbrev, mv. På virksomhetsnivå har FYSetat ett overordnet mål som er operasjonalisert i fire hovedmål. Målene er oppsummert i tabellen i figur 22. Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering Figur 21: Internkontrollprosessen risikovurdering. Mål Overordnet mål: Økt fysisk aktivitet i befolkningen Hovedmål: Korrekt og effektiv bruk av tilskuddsmidler Relevant informasjon til befolkningen og til potensielle brukere Styring og kontroll understøtter FYSetats mål på en god måte Effektive IT-løsninger som understøtter driften Figur 22: FYSetats overordnede mål og hovedmål på virksomhetsnivå. 60

61 De viktigste kravene FYSetat må forholde seg til, er oppsummert i tabellen i figur 23. Krav med henvisning til kilde Forvaltningsloven Offentleglova Arbeidsmiljøloven Arkivlova Personopplysningsloven Personopplysningsforskriften Arkivforskriften eforvaltningsforskriften Forskrift om offentlige anskaffelser Reglement for økonomistyring i staten Bestemmelser om økonomistyring i staten Etiske retningslinjer i staten Regelverk for tilskuddsordningen Rapporteringskrav for tilskuddsordningen fremsatt i tildelingsbrevet God forvaltningsskikk Avdeling Tilskudd Tilskudd Administrasjon Administrasjon Administrasjon Administrasjon Administrasjon Administrasjon (tilskudd) IT Administrasjon Administrasjon Tilskudd Administrasjon IT Tilskudd Administrasjon IT Alle/ledelsen Tilskudd Alle Alle Figur 23: Utdrag av krav som er relevante for FYSetat på virksomhetsnivå. Mål og krav på lavere nivåer De fire avdelingslederne, for henholdsvis administrasjons-, informasjons-, tilskudds- og IKTavdelingen, har gjort tilsvarende oppdatering av mål og krav for sine respektive avdelinger. På tilskuddsområdet er hovedmålet om korrekt og effektiv bruk av tilskuddsmidler operasjonalisert og konkretisert i følgende tre delmål: Profesjonell og effektiv tilskuddsforvaltning Tydelig, korrekt og effektiv formidling Kompetent rådgivning I tillegg har tilskuddsavdelingen sett et behov for å sette opp en oversikt over de mest sentrale kravene som gjelder på tilskuddsområdet. 44 Et utdrag fra denne oversikten er vist i tabellen i figur Verktøyet Idébank oversikt over lover og regler er tilgjengelig på dfo.no/internkontroll. 61

62 Krav med henvisning til kilde Forvaltningsloven Offentleglova Reglement for økonomistyring i staten Bestemmelser om økonomistyring i staten Forskrift om offentlege arkiv Regelverk for tilskuddsordningen Garanti vedr. saksbehandlingstid Rapportering på antall avslåtte søknader og kategorisering etter avslagsgrunn Relevante punkter Kap. 2 Habilitet Kap. 3 Alminnelige regler om saksbehandlingen Kap. 4 Om saksforberedelse ved enkeltvedtak Kap. 6 Om klage og omgjøring Kap. 2 Hovedreglene om innsyn Kap. 3 Unntak fra innsynsretten Kap. 4 Saksbehandling og klage Kap. III Iverksettelse av Stortingets budsjettvedtak Kap. V Kontroll Kap. 6.3 Tilskudssforvaltning Kap. 2.4 Intern kontroll Kap. II Arkivorganisering og arkivsystem Kap. III Arkivrutiner Hele tilskuddsregelverket Serviceerklæring tilgjengeliggjort på FYSetats internettside Tildelingsbrevet kap. VII Rapportering og resultatoppfølging Figur 24: Utdrag av krav som er relevante for FYSetat på tilskuddsområdet. Oversikt over FYSetats prosesser Gode risikovurderinger forutsetter også at ledelsen har oversikt over organisering og ansvarsdeling, herunder hvilke prosesser som er etablert for å sikre at mål og krav blir oppfylt, og hvem som er prosesseiere for disse prosessene. Ledelsen i FYSetat har på intranettet satt opp en oversikt over virksomhetens prosesser kategorisert i henholdsvis kjerne-, støtte- og styringsprosesser, 45 som vist i figur 25. Støtteprosesser Styringsprosesser Strategi Fastsette mål, planlegging, rapportering, analyse og revurdering Kjerneprosesser Rådgivning Opplysningsarbeid Søknadsbehandling tilskudd Rapportering tilskudd Økonomi IKT HR Anskaffelser Figur 25: FYSetats prosesser. 45 Verktøyet Veiledning prosesskartlegging er tilgjengelig på dfo.no/internkontroll. 62

63 Kvaliteten på virksomhetens tjenesteleveranse vil være avhengig av god internkontroll både i og i tilknytning til prosessene. Ledelsen i FYSetat har derfor vurdert det dit hen at det etter hvert bør gjennomføres risikovurderinger på lavere nivåer knyttet til alle vesentlige prosesser i virksomheten, i tillegg til den årlige risikovurderingen på virksomhetsnivå. Virksomhetsledelsen vurderer, ut fra sin kjennskap til virksomheten, at prosessene for søknadsbehandling tilskudd, IKT og økonomi er de prosessene som er mest vesentlige med hensyn til å oppfylle virksomhetens mål og krav. Søknadsbehandling tilskudd er en kjerneprosess, mens IKT støtter opp om søknadsbehandlingen gjennom å tilgjengeliggjøre og drifte saksbehandlingssystemet. Kvalitet i IKT-systemet, blant annet med hensyn til nedetid og funksjonalitet, påvirker effektiviteten i søknadsbehandlingen direkte. Økonomiprosessen har høy risiko og er vesentlig i seg selv på grunn av en rekke lovkrav i tillegg til en iboende risiko for misligheter. Økonomiprosessen er også vesentlig for tilskuddsforvaltningen, siden utbetaling av tilskudd står for størstedelen av de økonomiske transaksjonene i virksomheten Gjennomføre risikovurderinger Risikovurdering på virksomhetsnivå Virksomhetsledelsen har valgt å gjennomføre en risikoworkshop hvert år, i forbindelse med den årlige planprosessen. Som forberedelse til denne risikoworkshopen blir avdelingslederne bedt om å innhente innspill fra sine respektive ledergrupper, slik at virksomhetsledelsen har med informasjon fra lavere nivåer i vurderingen av risiko på virksomhetsnivå. Til hjelp i risikovurderingen har de benyttet et risikovurderingsverktøy 46. I risikovurderingen på virksomhetsnivå har virksomhetsledelsen lagt vekt på å identifisere både risikoer som kan hindre virksomheten fra å oppfylle de målene og kravene som er identifisert over, og risikoer som kan hindre virksomheten fra å oppfylle de tre internkontrollmålsettingene målrettet og effektiv drift, pålitelige rapportering og overholdelse av lover og regler. I risikovurderingen på virksomhetsnivå ble alle de fire hovedmålene til FYSetat risikovurdert basert på sannsynlighet og konsekvens. Risikovurderingen på virksomhetsnivå resulterte i totalt 12 risikoer fordelt på de fire hovedmålene. For målet effektive IT-løsninger som understøtter driften er det ikke formulert kritiske suksessfaktorer (KSF), siden det i FYSetat er opp til den enkelte avdelingsleder å vurdere om det er ønskelig å gå veien om KSFer, eller om det er ønskelig å gå direkte til vurdering av risiko. Resultatet av risikovurderingen på virksomhetsnivå er vist i tabellen i figur Verktøyet Risikovurderingsverktøy er tilgjengelig på dfo.no/internkontroll. Bildet i figur 26 er hentet fra dette verktøyet. 63

64 Risikonr. R1 Kritiske suksessfaktorer Relevant og riktig kompetanse på tilskuddsområdet Risiko for manglende måloppnåelse Manglende relevant og riktig kompetanse på tilskuddsområdet Eksisterende tiltak/ merknad til risikoen S K Tiltak: Opplæring i regelverk for ordningen, Økonomiregelverket, relevante lovkrav, prosedyre for tilskuddsforvaltning. Årlig kvalitetsgjennomgang Mål tilskuddsavdelingen: Korrekt og effektiv bruk av tilskuddsmidler Risikovurdering Risikonivå S K Gj.sn. risiko for målet: 2 4 Middels Risikonivå 2 4 Middels R2 Riktig tilskudd til rett mottaker Det gis tilskudd til feil mottakere eller på feil grunnlag Tiltak: Gode sjekklister, kontroll av søknad mot tildelingskriterier og offentlig register, etterkontroll av beregninger, kontroll av satser, mv. 1 5 Middels R3 Lover og regler overholdes Lover og regler overholdes ikke Merknad til risiko: Upålitelig oversikt over inngåtte forpliktelser (tilsagn). Risiko for brudd på Økonomiregelverket 3 4 Høy R4 Ingen misligheter Misligheter Merknad til risiko: Det er liten bevissthet rundt etiske retningslinjer og habilitetsspørsmål. Risiko for at saksbehandlere utsettes for påvirkning fra søkere. 3 5 Høy R5 Klar rolle- og ansvarsfordeling mellom avdelinger som er involvert i tilskuddsforvaltningen Uklar rolle- og ansvarsfordeling mellom avdelinger som er involvert i tilskuddsforvaltning fører til ineffektivitet og feil Tiltak: Attesterte tilskudd utbetales via økonomi. IKT-avdelingen forvalter driftsavtale for søknadsbehandlingssystemet. Merknad til risiko: Uklart hvem som følger opp feil i overføring av betalingsforslag. Uklart hvem som beslutter akseptabel nedetid. 3 3 Middels Risikonr. R6 Kritiske suksessfaktorer Informasjonspakke har god kvalitet Risiko for manglende måloppnåelse Informasjonpakke har ikke god nok kvalitet Eksisterende tiltak/ merknad til risikoen S K Tiltak: Informasjon kvalitetssikres av fagressurser i tilskuddsavdelingen (informasjon på internett, rundskriv til kommuner, brosjyrer, mv.) 2 2 Lav R7 God oversikt over potensielle søkeres informasjonsbehov For dårlig oversikt over potensielle søkeres informasjonsbehov Tiltak: Systematisk oppfølging av ofte stilte spørsmål 2 2 Lav Risiko nr. R8 Kritiske suksessfaktorer God oppfølging av internkontroll Risiko for manglende måloppnåelse For dårlig oppfølgning av internkontroll Eksisterende tiltak/ merknad til risikoen S K Tiltak: Ledelsesrapportering på internkontroll inngår som del av rapporteringsrutinene Mål informasjonsavdelingen: Relevant informasjon til befolkningen og til potensielle brukere Risikovurdering Risikonivå S K Gj.sn. risiko for målet: 2 2 Lav Risikonivå Mål administrasjonsavdelingen: Styring og kontroll understøtter FYSetats mål på en god måte Risikovurdering Risikonivå S K Gj.sn. risiko for målet: 2 3 Middels Risikonivå 2 2 Lav R9 God kompetanse på styring og kontroll For dårlig kompetanse på styring og kontroll Tiltak: Ny funksjon fagansvarlig internkontroll 2 2 Lav R10 Klar rolle- og ansvarsfordeling mellom fagansvarlig internkontroll og avdelingene knyttet til oppfølging av internkontroll Uklar rolle- og ansvarsfordeling mellom fagansvarlig internkontroll og avdelingene knyttet til oppfølging av internkontroll Tiltak: Stillingsbeskrivelse for fagansvarlig internkontroll 3 4 Høy 64

65 Mål IKT-avdelingen: Effektive IT-løsninger som understøtter driften Risikonr. R11 Kritiske suksessfaktorer Risiko for manglende måloppnåelse Høy nedetid grunnet ustabilt system Eksisterende tiltak/ merknad til risikoen Tiltak: Driftsavtale med leverandør Merknad til risiko: Nedetid er ikke tilstrekkelig regulert i avtalen S K Risikovurdering Risikonivå S K Gj.sn. risiko for målet: 3 3 Middels Risikonivå 3 4 Høy R12 Manglende kompetanse Tiltak: Outsourcing av driften til leverandør 2 2 Lav Figur 26: Resultat av FYSetats risikovurdering på virksomhetsnivå. Resultatet fra risikovurderingen på virksomhetsnivå er sammenstilt i risikokartet i figur 27. Risikovurdering Svært stor Sannsynlighet Stor Moderat Liten R9 R7 R6 R12 R8 R5 R10 R3 R11 R1 R4 Meget Liten R2 Ubetydelig Lav Moderat Alvorlig Svært alvorlig Konsekvens Figur 27: Risikokart for samlet risikovurdering på virksomhetsnivå 47. Etter at virksomhetsledelsen har gjennomført risikovurderingen knyttet til virksomhetens hovedmål, kan resultatet oppsummeres i en samlet oversikt som illustrerer hvilke prosesser som eksponeres for de mest kritiske risikoene. I figur 28 er de syv mest kritiske risikoene (høy risiko og middels risiko) fra risikovurderingen på virksomhetsnivå oppsummert og plassert i de prosessene som eksponeres spesielt for de aktuelle risikoene. Denne samlede oversikten gir virksomhetsledelsen et visuelt bilde av hvor virksomheten bør prioritere å ha kontroll. Oversikten gir et nyttig supplement til ledelsens tidligere vurderinger av hvilke prosesser de har vurdert som mest vesentlige med hensyn til å oppfylle mål og krav, jf. kapittel I denne figuren er det benyttet et risikokart med tre farger som i DFØs Risikovurderingsverktøy. 65

66 Støtteprosesser Styringsprosesser Kjerneprosesser Strategi Fastsette mål, planlegging, budsjettering, rapportering, analyse og revurdering Rådgivning Opplysningsarbeid Søknadsbehandling tilskudd Rapportering tilskudd R4 R5 R5 R11 R3 Økonomi IKT HR Arkiv R3 R1 R4 R2 R5 R11 R3 R1 R10 R1. Manglende relevant og riktig kompetanse på tilskuddsområdet R2. Det gis tilskudd til feil mottaker eller på feil grunnlag R3. Lover og regler overholdes ikke R4. Misligheter R5. Uklar rolle- og ansvarsfordeling mellom avdelinger som er involvert i tilskuddsforvaltning fører til ineffektivitet og feil R10. Uklar rolle- og ansvarsfordeling mellom fagansvarlig internkontroll og avdelingene knyttet til oppfølging av internkontroll R11. Høy nedetid grunnet ustabilt system Figur 28: Oversikt over hvilke prosesser som eksponeres for FYSetats mest kritiske risikoer (høy og middels risiko). Prosessen søknadsbehandling tilskudd er eksponert for flere risikoer. Risiko R11 som slår inn i IKT-prosessen (nedetid), påvirker også effektiviteten i søknadsbehandlingen negativt. Risikoene R5 og R10 om uklar fordeling av roller og ansvar påvirker flere prosesser, noe som tilsier at dette er risikoer som gjelder på tvers av virksomheten. Basert på risikovurderingen på virksomhetsnivå og ledelsens tidligere vurdering av vesentlige prosesser anses søknadsbehandling tilskudd, IKT og økonomi fortsatt for å være de prosessene som er mest vesentlige med hensyn til å oppfylle FYSetats overordnede mål og krav, og bør dermed gis høyest prioritet i internkontrollarbeidet. Det er ikke fremkommet andre forhold gjennom risikovurderingene som medfører et behov for å justere eller endre internkontrollplanen det kommende året. Risikovurdering på lavere nivåer Tilskuddsavdelingen i FYSetat skiller seg særskilt ut i risikovurderingen på virksomhetsnivå, da prosessene under denne avdelingen eksponeres for mange av de identifiserte risikoene. Dette indikerer at det er et behov for å gjøre en nærmere risikovurdering av en eller flere av prosessene som inngår i denne avdelingen. Selv om det i risikovurderingen på virksomhetsnivå ble identifisert prosesser som det er viktig å ha særlig kontroll på fra et virksomhetsperspektiv, vil den enkelte linjeleder være ansvarlig for internkontrollen på eget ansvarsområde. Dette innebærer å vurdere om det er eventuelle andre prosesser eller områder som bør prioriteres for å gi rimelig grad av sikkerhet for effektiv internkontroll innenfor eget ansvarsområde. Linjelederens vurderinger baseres på egen erfaring i tillegg til risiko- og vesentlighetsvurderinger innenfor eget ansvarsområde. Basert på risikovurderingen på virksomhetsnivå, egenevalueringen og de spørsmålene som har oppstått rundt roller og ansvar, arbeidsprosesser mv. i den senere tid, har avdelingsleder for tilskuddsavdelingen bedt prosesseier for søknadsbehandling tilskudd om å gjøre en risikovurdering knyttet til denne prosessen. 66

67 Som grunnlag for en slik gjennomgang vil det være hensiktsmessig å definere mål for prosessen, samt dokumentere henholdsvis hvilke aktiviteter som inngår, hvilke risikoer som truer prosessen, og hvilke kontroller/risikoreduserende tiltak som er etablert for å håndtere disse risikoene. Prosesseier for søknadsbehandling tilskudd har valgt å benytte prosesskartlegging 48 som et verktøy for å få opp en oppdatert oversikt over og dokumentasjon av prosessen. Tilskuddsavdelingen har fastsatt følgende mål for prosessen søknadsbehandling tilskudd: Prosessmål: Korrekte, gyldige og rettidige vedtak. FYSetat har gjennomført prosesskartlegging for prosessen søknadsbehandling tilskudd. Prosesskartet er illustrert i figur 29. I prosesskartet vises hvordan risikoer ( X ) omtalt i figur 30 er håndtert gjennom kontroller ( X ) omtalt i samme figur. Prosessmål: Korrekte, gyldige og rettidige vedtak Prosesseier: Seksjonsleder søknadsbehandling tilskudd Søker Utforme og sende søknad Motta avslagsbrev Motta tilskuddsbrev Akseptere vilkår Motta utbetaling Utforme og sende avslag Sende tilskuddsbrev Tilskuddsavdeling 3 Registrere søknad i saksbehandlingssystemet Vurdere og kontrollere informasjon i søknad Nei Grunnlag for tilskudd? Ja Beregne og fastsette tilskudd Utforme tilskuddsbrev med vilkår Utforme utbetalingsforslag 3 5 Attestere? Nei c c 10 Administrasjonsavdeling Motta og journalføre søknad Journalføre aksept av vilkår 3 4 Utbetale tilskudd 3 Figur 29: Prosesskart for prosessen søknadsbehandling tilskudd med eksempler på risikoer og kontroller. En samlet oversikt over prosessen søknadsbehandlig tilskudd er oppsummert i figur 30. Her fremkommer risikoer, etablerte kontroller og en vurdering av gjenværende risiko 49, samt om kontrollene er definert som en nøkkelkontroll. Kontroller som gjelder hele prosessen er ikke illustrert i figur 29. Dette gjelder k1 og k11 jf. figur 30. Som det fremgår av tabellen i figur 30 er det identifisert en risikofaktor r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet. Dette er en risiko som gjelder hele FYSetat og som prosesseier for søknadsbehandling tilskudd mener bør håndteres på virksomhetsnivå. 48 Verktøyet Veiledning prosesskartlegging er tilgjengelig på dfo.no/internkontroll. 49 Merk at dette er en illustrasjon for å vise hvordan sammenhengen mellom risikoer og kontrolltiltak i en prosess kan systematiseres. 67

68 Risiko- ID Risiko (hva kan gå galt?) Kontroll- ID Kontroll Gjenværende risiko Kommentar gjenværende risiko Nøkkelkontroll r1 Manglende kompetanse kan gi feil eller forsinkelser i saksbehandlingen k1 Opplæringsprogram for saksbehandlere Tiltaket håndterer risikoen Nei r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen k2 Saksbehandler tar kontakt for å innhente manglende informasjon fra søker Tiltaket håndterer ikke risikoen Nytt tiltak vurderes Nei r3 Manglende sikring mot bevisste feil og misligheter k3 Tilgangsbegrensinger i saksbehandlingssystem og økonomisystem Tiltaket håndterer risikoen Ja Automatisk loggføring av endringer i faste data k4 Alle tilskuddsutbetalinger skal attesteres før utbetaling Tiltaket håndterer risikoen Ja k5 Tilskuddsbrev undertegnes av person med budsjettdisponeringsmyndighet Tiltaket håndterer risikoen Ja k6 Kontroll mangler Liten bevissthet om etiske retningslinjer og habilitetsspørsmål Gjelder generelt for hele FYSetat Tiltak vurderes på virksomhetsnivå r4 Tilskudd gis på feil grunnlag k7 Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register Tiltaket håndterer risikoen Ja k8 Saksbehandler kontrollsummerer beregninger gjort i søknaden Tiltaket håndterer risikoen Nei k9 Saksbehandler kontrollerer at søknad oppfyller tildelingskriterier Tiltaket håndterer risikoen Ja r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn) k10 I følge prosedyre skal gitte tilsagn registereres i regneark, men dette følges ikke opp av saksbehandlere Tiltaket håndterer ikke risikoen Registreringsprosedyre fungere ikke Nytt tiltak vurderes r6 Nedetid på saksbehandlingssystemet forsinker saksbehandlingen k11 IT avdelingen har inngått driftsavtale Driftsavtalen regulerer ikke akseptabel nedetid Nei Figur 30: Risiko- og kontrollmatrise for prosessen søknadsbehandling tilskudd. 68

69 5.2.3 Vurdere behov for tiltak og/eller behov for oppfølging Risikovurderinger, uavhengig av hvilke nivåer de er gjennomført på, vil lede frem til en oversikt over ulike risikoer som bør håndteres, forutsatt at disse er utenfor risikotoleransen til virksomheten. I prinsippet har ledelsen fire valg for håndtering av risiko: akseptere, dele, unngå eller redusere. I den grad risikoen skal reduseres, må det besluttes hvem som er risikoeier, og som derfor får ansvar for å identifisere, vurdere, prioritere og beslutte ulike typer tiltak. Vurdere behov for tiltak på virksomhetsnivå Ledelsen i FYSetat har tatt stilling til hvilke av risikoene som ble identifisert i risikovurderingen på virksomhetsnivå, som det er mest hensiktsmessig å håndtere på henholdsvis virksomhetsnivå og på lavere nivåer. For risikoer som skal håndteres på virksomhetsnivå er virksomhetsleder i FYSetat risikoeier, og for risikoer som skal håndteres på lavere nivåer er avdelingsleder, seksjonsleder eller prosesseier risikoeier. Ledelsen i FYSetat har merket seg at det ikke kun er risikoer med høy sannynlighet og høy konsekvens virksomhetsledelsen må konsentrere seg om. Eksempelvis har FYSetat i sin risikovurdering på virksomhetsnivå konkludert med at R2 Det gis tilskudd til feil mottaker eller på feil grunnlag vil ha svært høy konsekvens. Virksomheten har imidlertid etablert omfattende kontroll i form av blant annet kontroll av søknad mot tildelingskriterier, kontroll av søkergrunnlag mot offentlig register og etterkontroll av beregninger gjort i søknaden for å håndtere denne risikoen, slik at risikoen samlet sett (sannsynlighet x konsekvens) vurderes som middels. Kontroll av søknadsgrunnlag mot offentlig register og kontroll av søknad mot tildelingskriterier defineres som to nøkkelkontroller og følges opp regelmessig i tilskuddsavdelingen (av seksjonsleder for søknadsbehandling tilskudd) for å sikre at risikoen blir håndtert som forutsatt. Det er definert risikoeiere for de ulike risikoene, jf. oppsummering i figur 31. For R1 og R2 er det besluttet å akseptere risikoen, men risikoene skal følges opp. R3 håndteres av avdelingsleder for tilskuddsavdelingen. R4, R5 og R10 håndteres av virksomhetsleder. R11 håndteres av avdelingsleder i IKT-avdelingen. 69

70 Risikonr. Risiko for manglende måloppnåelse Eksisterende tiltak/merknad til risikoen Risikoeier S K Risikonivå Risikohåndtering R1 Manglende relevant og riktig kompetanse på tilskuddsområdet Tiltak: Opplæring i regelverk for ordningen, Økonomiregelverket, relevante lovkrav, prosedyre for tilskuddsforvaltning. Årlig kvalitetsgjennomgang 2 4 Middels Avd.leder tilskuddsavd. Akseptere risiko, følge opp etablerte tiltak R2 Det gis tilskudd til feil mottakere eller på feil grunnlag Tiltak: Gode sjekklister, kontroll av søknad mot tildelingskriterier og offentlig register, etterkontroll av beregninger, kontroll av satser, mv. 1 5 Middels Avd.leder tilskuddsavd. Akseptere risiko, følge opp etablerte tiltak R3 Lover og regler overholdes ikke Merknad til risiko: Upålitelig oversikt over inngåtte forpliktelser (tilsagn). Risiko for brudd på Økonomiregelverket 3 4 Høy Avd.leder tilskuddsavd. Vurderes nærmere i tilskuddsprosessen R4 Misligheter Merknad til risiko: Det er liten bevissthet rundt etiske retningslinjer og habilitetsspørsmål. Risiko for at saksbehandlere utsettes for påvirkning fra søkere. 3 5 Høy Virksomhetsleder Redusere risiko gjennom nye tiltak R5 Uklar rolle- og ansvarsfordeling mellom avdelinger som er involvert i tilskuddsforvaltning fører til ineffektivitet og feil Tiltak: Attesterte tilskudd utbetales via økonomi. IKT-avdelingen forvalter driftsavtale for søknadsbehandlingssystemet. Merknad til risiko: Uklart hvem som følger opp feil i overføring av betalingsforslag. Uklart hvem som beslutter akseptabel nedetid. 3 3 Middels Virksomhetsleder Redusere risiko gjennom nye tiltak R10 Uklar rolle- og ansvarsfordeling mellom fagansvarlig internkontroll og avdelingene knyttet til oppfølging av internkontroll Tiltak: Stillingsbeskrivelse for fagansvarlig internkontroll, muntlig avtale om hvem som gjør hva i oppfølgingen av internkontroll 3 4 Høy Virksomhetsleder Redusere risiko gjennom nye tiltak R11 Høy nedetid grunnet ustabilt system Tiltak: Driftsavtale med leverandør. Merknad til risiko: Nedetid er ikke tilstrekkelig regulert i avtale 3 4 Høy Avd.leder IT-avd. Redusere risiko gjennom nye tiltak Figur 31: De mest kritiske risikoene på virksomhetsnivå med risikoeiere og valg av risikohåndtering. Vurdering av behov for tiltak lavere nivåer Basert på prosesskartleggingen som ble gjennomført i tilskuddsavdelingen knyttet til prosessen søknadsbehandling tilskudd, ser prosesseier at r2 og r5 ikke er tilstrekkelig håndtert i dagens prosess, jf. figur 29 og 30. En tredje risiko r3 knyttet til manglende bevissthet om etiske retningslinjer og habilitet er også utilstrekkelig håndtert, og vil også påvirke prosessen for søknadsbehandling tilskudd. Denne håndteres på virksomhetsnivå. 70

71 Det besluttes derfor at det må igangsettes risikoreduserende tiltak for å håndtere følgende risikoer: Risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen: - Dagens prosedyre forutsetter at saksbehandler tar kontakt med søkere og etterspør manglende informasjon etter hvert som slike mangler oppdages underveis i saksbehandlingen. Dette medfører uhensiktsmessig bruk av saksbehandlers tid. Risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn): - Dagens prosedyre forutsetter at saksbehandler skal registrere tilsagn i et regneark. Det er uklart for saksbehandlerne hvilket ansvar de har, hvor ofte regnearket skal oppdateres, og hvor den siste versjonen er lagret. Dessuten har prosesseier identifisert en overlappende kontroll, kontroll k7 Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register. Denne kontrollen gjøres både som ledd i vurderingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp, jf. figur 29. Saksbehandler kontrollerer søknadsgrunnlag mot offentlig register kan dermed utgå ved beregning og fastsettelse av tilskuddsbeløp, forutsatt at kontrollen som skjer når det vurderes om søknaden er kvalifisert for tilskudd, også ivaretar de forholdene som vanligvis sjekkes ved beregning og fastsettelse av tilskudd. Dokumentasjon av utført kontroll mot offentlig register må følge sakspapirene. Det er også identifisert en overlappende kontroll, kontroll k8 Saksbehandler kontrollsummerer beregninger gjort i søknaden. Det viser seg at denne kontrollen gjøres både som et ledd i vurderingen av om grunnlag for tilskudd er til stede, og som ledd i vurderingene som gjøres ved beregning og fastsettelse av tilskuddsbeløp. Det er tilstrekkelig at kontrollsummeringen skjer ved beregning og fastsettelse av tilskuddsbeløp. Kontrollsummering kan da utgå ved vurdering av om søknaden gir grunnlag for tilskudd. Risikoene r3 Manglende sikring mot bevisste feil og misligheter og r4 Tilskudd gis på feil grunnlag er tilstrekkelig håndtert med dagens etablerte kontroller, når en hensyntar at det på virksomhetsnivå vil vurderes tiltak knyttet til etiske retningslinjer og habilitet. Det er imidlertid behov for oppfølging og spesielt anses fem av kontrollene som mer kritiske enn de øvrige. FYSetat omtaler slike kontroller som nøkkelkontroller. Disse er henholdsvis: k3 Tilgangsbegrensninger i saksbehandlingssystemet og økonomisystemet. Automatisk loggføring av endringer i faste data. k5 Tilskuddsbrev undertegnes av person med budsjettdisponeringsmyndighet k7 Saksbehandler kontrollerer søknadsgrunnlaget mot offentlig register k9 Saksbehandler kontrollerer at søknad oppfyller tildelingskriterier fastsatt i tilskuddsregelverket Kontrollen k4 alle tilskuddsutbetalinger attesteres før utbetaling er også en nøkkelkontroll, og følges opp i administrasjonsavdelingen i forbindelse med utbetaling. At disse kontrollene anses som mer kritiske enn de øvrige, begrunnes med at svikt i kontrollen i vesentlig grad vil påvirke målsettingen om korrekte, gyldige og rettidige vedtak, og at gjennomføringen av disse kontrollene kan forhindre andre kontrollsvakheter før de får en vesentlig betydning. Seksjonleder med ansvar for søknadsbehandling tilskudd ønsker dermed i oppfølgingen å teste om disse kontrollene etterleves og fungerer som forutsatt, noe som er nærmere omtalt under kapittel 5.5 Oppfølging. 71

72 5.3 Utforming Identifisere aktuelle tiltak Utforming av nye tiltak og oppdatering av eksisterende tiltak vil bli utført på ulike nivåer i virksomheten avhengig av hvor det er hensiktsmessig å håndtere risikoen, og hvem som er risikoeier. Generelt og uavhengig av hvor i virksomheten håndteringen av risiko skjer, vil arbeidet med utforming og oppdatering av tiltak i større eller mindre grad skje i tre trinn: 1 Identifisere aktuelle tiltak for å håndtere risikoen 2 Vurdere, prioritere og beslutte tiltak 3 Utforme og dokumentere besluttede tiltak Identifisere tiltak på virksomhetsnivå Virksomhetsledelsen har i forlengelsen av risikovurderingen på virksomhetsnivå umiddelbart identifisert fire tiltak på virksomhetsnivå. Oppfølging Rapportering Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Figur 32: Internkontrollprosessen utforming. Risikovurdering Siden både egenevalueringen av internkontrollen og risikovurderingen på virksomhetsnivå har avdekket et behov for å tydeliggjøre roller og ansvar på ulike områder og formalisere dette ansvaret, har ledelsen identifisert tiltak knyttet til dette behovet. I tillegg har det blitt besluttet tiltak om reforhandling av driftsavtale med leverandør for å løse problemene knyttet til nedetid. Ledelsen er opptatt av å ikke beslutte forhastede tiltak, da de bakenforliggende årsakene til problemene ofte bør utredes før tiltak besluttes. For problemene som er omtalt over, er det imidlertid ikke behov for noen nærmere rotårsaksanalyse 50, da årsakssammenhengene er klare og har vært kjent over lengre tid. Følgende tiltak kan dermed utformes på virksomhetsnivå uten å identifisere ulike alternativer og vurdere/prioritere mellom disse: R4: Operasjonalisere etiske retningslinjer for statstjenesten gjennom dilemmatrening og praktiske caser med spesiell vekt på problemstillinger knyttet til habilitet og misligheter. Virksomhetsledelsen oppfatter at det er usikkerhet knyttet til i hvor stor grad de etiske retningslinjene er kjent blant de ansatte. Etiske problemstillinger knyttet til tilskuddssaker har medført store medieoppslag i den senere tid, og ledelsen vurderer at dette er et område det er nødvendig å øke oppmerksomheten på i FYSetat. R5: Oppdatere policy for tilskuddsforvaltningen for å tydeliggjøre rolle- og ansvarsfordelingen mellom tilskudds-, økonomi- og IKT-avdelingen. Det eksisterer en policy på området fra tidligere, men denne er ikke oppdatert på lang tid og omtaler ikke dette grensesnittet særskilt. 50 Verktøyet Veiledning rotårsaksanalyse er tilgjengelig på dfo.no/internkontroll. 72

73 R10: Utarbeide en policy for internkontroll siden ansvarsdelingen mellom den nyopprettede funksjonen og linjeledere knyttet til oppfølgingen av internkontroll er uklar. Virksomhetsledelsen vil forsikre seg om at linjen forstår og følger opp sitt ansvar for internkontroll, selv om virksomheten har opprettet en slik rolle/funksjon. R11: Reforhandle driftsavtalen med leverandøren av saksbehandlingsløsningen for å redusere risikoen for at nedetid og ustabilitet i saksbehandlingsløsningen forsinker saksbehandlingen. Det er besluttet å opprette en tverrfaglig arbeidsgruppe satt sammen av representanter fra tilskudds-, administrasjons- og IKT-avdelingen som skal bistå fagansvarlig internkontroll i arbeidet med å forbedre formaliseringen knyttet til roller og ansvar i grensesnittet mellom linjen og fagansvarlig internkontroll (R10). Fagansvarlig internkontroll leder denne arbeidsgruppen. Identifisere tiltak på lavere nivåer Kartleggingen av prosessen for søknadsbehandling tilskudd viste at det var et behov for forbedringer for å håndtere risiko r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen og risiko r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn), jf. figur 30. Risiko r5 er en konkretisering av risiko R3 i risikovurderingen på virksomhetsnivå. I arbeidet med å få på plass hensiktsmessige og gode tiltak ser prosesseier et behov for å identifisere hva som kan være aktuelle tiltak, og vurdere hvilke av disse alternative tiltakene som vil være mest hensiktsmessige og effektive med tanke på å håndtere risikoen. Prosesseiers vurdering av hva som vil være aktuelle tiltak, er listet opp i tabellen i figur 33. Risiko Aktuelle tiltak Type tiltak r2 Mangelfulle søknader gir uhensiktsmessig tidsbruk i saksbehandlingen r5 Mangelfull oversikt over inngåtte forpliktelser (tilsagn) A Innføre fullstendighetssjekk av søknaden før søknaden går til behandling. B Utarbeide og tilgjengeliggjøre mal for søknad. C Utarbeide veiledningsmateriell der krav til søknaden konkretiseres. D Klargjøre regelverket slik at tildelingskriteriene blir tydeligere. A Det defineres en ny rolle med ansvar for oppdatering av tilsagnsregister. B Det opprettes et tilsagnsregister som ny modul i saksbehandlingssystemet. C Prosedyrene oppdateres slik at det blir tydelig hvilket ansvar den enkelte saksbehandler har og hvordan registrering skal skje. Forebyggende manuell kontroll Forebyggende manuell kontroll Forebyggende manuell kontroll Forebyggende manuell kontroll Forebyggende manuell kontroll Forebyggende automatisk kontroll Forebyggende manuell kontroll Figur 33: Oversikt over ulike mulige tiltak i prosessen søknadsbehandling tilskudd. 73

74 I vurderingen av mulige tiltak har prosesseier forsøkt å identifisere kontroller som er forebyggende og automatiske, slik at kontrollene i størst mulig grad er «bygget inn» i prosesser og systemer Vurdere, prioritere og beslutte tiltak Vurdere, prioritere og beslutte tiltak på virksomhetsnivå Som nevnt har ledelsen i FYSetat i forbindelse med risikovurderingen på virksomhetsnivå konkludert med at de har tilstrekkelig grunnlag til både å identifisere og å beslutte tiltak på virksomhetsnivå. Vurdere, prioritere og beslutte tiltak på lavere nivåer Basert på listen over aktuelle tiltak beslutter prosesseier for søknadsbehandling tilskudd at tiltak A Innføre fullstendighetssjekk av søknader før søknaden går til behandling jf. figur 33, er det tiltaket som ønskes prioritert for å håndtere risiko r2. I vurderingen er det vektlagt at dette er et tiltak som har lav kostnad, kan igangsettes raskt, krever lite forberedelse og vil gi en rask bedring i saksbehandlingskapasiteten. Når det gjelder beslutning knyttet til hvilket tiltak som skal velges for å håndtere r5, er vurderingen mer kompleks. De ulike tiltakene har et svært ulikt kostnadsestimat, og for ett av tiltakene vil det være nødvendig å involvere IKT-avdelingen, siden tiltaket innebærer en endring i saksbehandlingssystemet som IKT-avdelingen har ansvar for å drifte. Utvikling av ny modul vil også kreve utviklingsressurser fra IKT-avdelingen i tillegg til ressurser som må avsettes fra tilskuddsavdelingen. Prosesseier for søknadsbehandling tilskudd ser det derfor som hensiktsmessig å gjøre en kost nytteanalyse av ulike mulige tiltak og vurdere disse opp mot hverandre. Kost nytte-vurderingen er illustrert i figur 34. I figuren vil tiltakene som kommer best ut med hensyn til verdi 51 og realiserbarhet 52, bli prioritert. Prosesseier ønsker å prioritere tiltak B Det opprettes et tilsagnsregister som ny modul i saksbehandlingssystemet. Valget begrunnes med at tiltaket har klart høyest verdi. Tiltak B er samtidig det tiltaket som på kort sikt er mest kostnadskrevende i form av utviklingskostnader. En ny modul vil imidlertid gi automatisert kontroll, slik at tiltaket vil generere minimale kostnader på lengre sikt. Tiltakene A og C har høy realiserbarhet, siden de medfører begrensede kostnader. De prioriteres likevel etter tiltak B, siden verdien vurderes vesentlig lavere, noe som blant annet begrunnes med at kontrollene vil være manuelle og prosedyren vil være sårbar, fordi den baseres på at alle saksbehandlere registrerer inn i et åpent regneark. Dette tiltaket vil også kreve saksbehandlerressurser til gjennomføring og oppfølging. 51 Verdi og nytte anses i denne sammenheng som synonymer. 52 Kostnaden er ett av elementene i vurderingen av hvor realiserbare tiltakene er (dersom kostnaden er høy, bidrar det til å redusere realiserbarheten). Andre elementer kan være kompetanse, kapasitet, tid, tekniske begrensninger, mv. 74

75 Verdi for virksomheten Høy Lav B A C A B C Det defineres en ny rolle med ansvar for oppdatering av tilsagnsregister. Det opprettes et tilsagnsregister som ny modul i saksbehandlingssystemet. Prosedyren oppdateres slik at det blir tydelig hvilket ansvar den enkelte saksbehandler har og hvordan registering skal skje. Lav Realiserbarhet Høy Figur 34: Prioritering av tiltak Utforme og dokumentere besluttede tiltak FYSetat har nå besluttet hvilke tiltak som skal velges for å håndtere de ulike risikoene på ulike nivåer i virksomheten. Neste steg er å utforme de spesifikke tiltakene som er besluttet. Den enkelte risikoeier må avgjøre hvem som skal utforme tiltakene, og hvordan utformingen skal skje. Utforme og forbedre på virksomhetsnivå På virksomhetsnivå betyr dette at avdelingsleder for administrasjonsavdelingen er tildelt et ansvar for å utforme opplegget for dilemmatrening knyttet til etiske retningslinjer. Fagansvarlig internkontroll utarbeider et utkast til policy for internkontroll som skal godkjennes av virksomhetsleder. Avdelingsleder for tilskuddsavdelingen er tildelt ansvar for å gjennomgå eksisterende policy for tilskuddsforvaltning og gjøre oppdateringer slik at grensesnitt, herunder roller og ansvar mellom økonomi- og IKT-avdelingen, blir ivaretatt på en god måte. Fagansvarlig internkontroll vil bistå avdelingsleder for tilskuddsavdelingen i dette arbeidet. Avdelingsleder for IKT-avdelingen har støttet seg på juridisk ekspertise i arbeidet med å forberede reforhandling av driftsavtalen for saksbehandlingsløsningen. Fagansvarlig internkontroll i FYSetat vil ta utgangspunkt i mal for policy for internkontroll utarbeidet av DFØ 53 når policy for internkontroll skal utarbeides. Avdelingsleder for tilskuddsavdelingen vil også ta utgangspunkt i FYSetats felles mal for policyer 54 når policy for tilskuddsforvaltning skal oppdateres. Dette for å sikre at innholdet i hver enkelt policy følger en fast mal og at de tydelig angir hvor ansvaret for ulike oppgaver skal ligge. 53 Verktøyet Veiledning policy for internkontroll er tilgjengelig på dfo.no/internkontroll. 54 Mal for policy beskrives i verktøyet Veiledning dokumentasjon av etablert internkontroll, som er tilgjengelig på dfo.no/internkontroll. 75

76 Utforme og forbedre på lavere nivåer Prosesseier har, som nevnt i kapittel 5.3.2, besluttet at to nye tiltak skal utformes i prosessen for søknadsbehandling tilskudd. Disse tiltakene er følgende: i. innføre fullstendighetssjekk av søknader før søknaden går til behandling ii. opprette et tilsagnsregister som ny modul i saksbehandlingssystemet For tiltak i. gis en av saksbehandlerne i oppgave å utforme tiltaket. Utformingen omfatter å: utarbeide sjekkliste for avkrysning av at påkrevd informasjon inngår i søknaden utarbeide mal for følgebrev til søker utarbeide avkrysningsliste som legges ved søknader som sendes i retur For tiltak ii. etableres det et prosjekt med representanter fra både tilskuddsavdelingen og IKT-avdelingen. Prosjektet deles inn i to faser: fase 1, som omfatter utvikling og godkjenning av ny modul fase 2, som omfatter utforming av ny og oppdatert prosedyre Etter at de to tiltakene er utformet, har prosesseier oppdatert prosesskartet slik at det viser oppdatert arbeidsflyt. I tillegg til å innarbeide de to nye tiltakene er prosessen oppdatert slik at overlappende kontroller som ble identifisert i kapittel Vurdere behov for tiltak og/eller behov for oppfølging, er tatt bort. I figur 35 vises hvordan FYSetat har valgt å dokumentere besluttede tiltak gjennom et nytt og oppdatert prosesskart for prosessen søknadsbehandling tilskudd med tilhørende prosedyrebeskrivelse. De to overlappende kontrollene, henholdsvis k7 og k8, er korrigert slik at k7 og k8 nå kun gjennomføres en gang, samt at nye tiltak (ny k2 og ny k10) knyttet til r2 og r5 er innarbeidet. 76

77 Prosessmål: Korrekte, gyldige og rettidige vedtak Prosesseier: Seksjonsleder søknadsbehandling tilskudd Søker Utforme og sende søknad Motta returbrev Motta avslagsbrev Motta tilskuddsbrev Akseptere vilkår Motta utbetaling Sende søknaden i retur Utforme og sende avslag Sende tilskuddsbrev Tilskuddsavdeling 2 Nei Søknad er fullstendig? 3 2 Ja Registrere søknad i saksbehandlingssystemet Vurdere og kontrollere informasjon i søknad Nei Grunnlag for tilskudd? Ja Beregne og fastsette tilskudd Utforme og undertegne tilskuddsbrev med vilkår Utforme utbetalingsforslag Attestere? Ja Automatisk oppdatering av tilsagnsregister Nei c c Administrasjonsavdeling Motta og journalføre søknad Journalføre aksept av vilkår 3 4 Utbetale tilskudd 3 Figur 35: Prosesskart for søknadsbehandling tilskudd etter utforming av tiltak. I tabellen i figur 36 vises et utdrag fra prosedyrebeskrivelsen for prosedyren for søknadsbehandling i FYSetat. Her gis en nærmere beskrivelse av aktivitetene som inngår i prosessen søknadsbehandling tilskudd 55. Nr. Handling Ansvarlig Når 1 Arkiv mottar innkomne søknader og journalfører disse Administrasjon, Arkiv Løpende 2 Saksbehandler kontrollerer om søknad er fullstendig og om nødvendig informasjon er vedlagt. Kontrollen dokumenteres ved utfylling av sjekkliste. 3 Saksbehandler returnerer ufullstendige søknader. Søknader som returneres vedlegges et returbrev, og avkrysningsliste hvor mangler ved søknaden fremkommer Osv.... Tilskuddsavdelingen Tilskuddsavdelingen Løpende Løpende 15 Utbetaling til tilskuddsmottakere Regnskapsavdelingen Månedlig Figur 36: Utdrag fra prosedyre for søknadsbehandling. 55 Mal for prosedyre beskrives i verktøyet Veiledning dokumentasjon av etablert internkontroll, som er tilgjengelig på dfo.no/internkontroll. 77

78 5.4 Implementering FYSetat er opptatt av å sikre at besluttede tiltak blir iverksatt og etablert i virksomheten, slik at endringen blir gjennomført og besluttede tiltak blir etterlevd og får ønsket effekt. Ledelsen i FYSetat har tidligere erfart at jobben ikke er gjort idet tiltakene er utformet, og har innsett hvor viktig det er å prioritere ressurser til å iverksette og gjennomføre besluttede tiltak. Viktige suksesskriterier i dette arbeidet er forhold som: Oppfølging Rapportering Overholdelse av lover og regler forankring, holdninger og atferd både hos ledelsen og involverte ansatte knyttet til tiltakene informasjon, kommunikasjon og tilgjengeliggjøring knyttet til tiltakene tilstrekkelig kompetanse, ferdigheter og ressurser knyttet til tiltakene tilpassede verktøy og systemstøtte for å underbygge og støtte opp om tiltakene Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Risikovurdering Utforming Figur 37: Internkontrollprosessen implementering. De som er ansvarlig for de ulike tiltakene i FYSetat, er i tillegg ansvarlig for å sikre en vellykket implementering. Dette ansvaret innebærer også å ivareta de ovennevnte punktene. Implementering på virksomhetsnivå I figur 38 gjengis FYSetats implementeringsaktiviteter knyttet til ett av de fire tiltakene på virksomhetsnivå. Tiltaket gjelder utarbeidelse av policy for internkontroll. Aktivitet Ansvar Frist Utført? Behandling i virksomhetens ledergruppe før godkjenning av virksomhetsleder Virksomhetsleder 24/4 Gjennomgang i ledergruppene til de fire avdelingene Respektive avdelingsledere 2/5 Utsending av informasjon via intranett, presentasjon av tiltaket og henvisning til hvor policy er tilgjengelig Leder adm.avd. 5/5 Figur 38: Implementeringsaktiviteter knyttet til tiltaket Utarbeidelse av policy internkontroll. 78

79 Implementering på lavere nivåer Etter at de to nye tiltakene i søknadsbehandlingsprosessen er utformet, er neste trinn å implementere endringen. Nedenfor følger en kort beskrivelse og implementeringsplan for ett av de to tiltakene. Tiltak i. det innføres fullstendighetssjekk av søknader før søknaden går til behandling Det besluttes at fullstendighetssjekk av søknader med påfølgende retur av ufullstendige søknader innføres etter neste søknadsrunde, dvs. én måned frem i tid. I forkant av implementeringsdato må alle saksbehandlere informeres og gis opplæring i bruk av sjekkliste, brevmal og avkrysningsliste. Siden saksbehandlerne selv har etterspurt en mer effektiv saksgang og har vært med på å foreslå og utforme tiltaket, er det stor forståelse for og tilslutning til det nye tiltaket internt. Søkerne har imidlertid vært vant til å bli kontaktet av saksbehandlerne, som har bidratt med veiledning og hjelp i forbindelse med å fremskaffe nødvendig informasjon til søknaden. Det vurderes derfor dit hen at det er et behov for både direkte informasjon i form av brev til allerede registrerte søkere (søkere som søker ofte) og mer generell informasjon på FYSetats internettsider til nye søkere. I informasjonen bør det fremkomme at endringen vil være til søkernes fordel siden saksbehandlingstiden etter endringen forventes å gå ned. Prosesseier setter opp en kort implementeringsplan for tiltaket som vist i figur 39. Aktivitet Ansvar Frist Utført? Informere arkiv om nye rutiner Prosesseier 25/4 Utarbeide og sende informasjonsbrev til tidligere registrerte søkere Prosesseier 2/5 Utarbeide informasjon om ny praksis som legges på internett Prosesseier/stab 10/5 Lære opp saksbehandlere og tilgjengeliggjøre ny og oppdatert prosedyre Prosesseier 15/5 Figur 39: Implementeringsaktiviteter knyttet til tiltaket det innføres fullstendighetssjekk av søknader før søknaden går til behandling. 79

80 5.5 Oppfølging Oppfølging skal sikre en systematisk vurdering av internkontrollen og gi virksomhetsledelsen rimelig grad av sikkerhet for at besluttede tiltak etterleves og gir ønsket effekt. Oppfølging kan skje i form av løpende eller frittstående oppfølging eller i en kombinasjon av de to. Virksomhetsledelsen i FYSetat har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Virksomhetsledelsen legger i sin oppfølging særlig vekt på tiltak rettet mot virksomhetens vesentligste risikoer og kontroller. I inneværende år er det ikke prioritert å gjennomføre frittstående oppfølging. Rapportering Vurdering av om internkontrollen etterleves og gir ønsket effekt Figur 40: Internkontrollprosessen oppfølging. Oppfølging av risikoer på virksomhetsnivå For risikoen R1 Manglende relevant og riktig kompetanse på tilskuddsområdet og risiko R2 Det gis tilskudd til feil mottaker eller på feil grunnlag ble det besluttet at etablerte tiltak var tilstrekkelige, og at ytterligere tiltak ikke skulle prioriteres. Virksomhetsledelsen har likevel vurdert det som viktig å følge opp at etablert internkontroll knyttet til disse risikoene fungerer som tiltenkt. Det kommer av at konsekvensen, hvis risikoene inntreffer, er vurdert som høy. Oppfølgingen skjer ved at virksomhetsleder to ganger i året har møter med de respektive avdelingslederne hvor virksomhetsavtalen gjennomgås. Virksomhetsleders oppfølgingspunkter overfor avdelingsleder for tilskuddsavdelingen er blant annet: andel klager som får medhold utvikling når det gjelder kompetansesituasjonen i avdelingen saksbehandlingstid i forhold til krav i serviceerklæringen tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom tilskuddsavdelingen og IKT-avdelingen er utbedret andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer Oppfølging Overholdelse av lover og regler Implementering Virksomhet Pålitelig rapportering Planlegging Målrettet og effektiv drift Utforming Risikovurdering 80

81 Virksomhetsleders oppfølgingspunkter overfor avdelingsleder for IKT-avdelingen er blant annet: nedetid for saksbehandlingssystemet tilbakemelding om hvorvidt uklarheter knyttet til ansvarsavgrensningen mellom tilskuddsavdelingen og IKT-avdelingen er utbedret andel ansatte som har deltatt på dilemmatrening knyttet til etiske retningslinjer Oppfølging på lavere nivåer På lavere nivåer skjer oppfølgingen av internkontrollen i FYSetat ved at ledere for de ulike avdelingene følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. Oppfølging skjer gjennom stikkprøvekontroller/tester, analyser og styringsparametere. Ettersom det ikke er hensiktsmessig å følge opp alt, har den enkelte avdelingsleder prioritert de områdene og kontrollene som de anser som viktigst ut fra risiko og vesentlighet innenfor sitt respektive ansvarsområde. I tillegg til å følge opp at allerede etablert internkontroll etterleves og gir ønsket effekt, må det også følges opp at nye tiltak og forbedringer som besluttes, blir gjennomført som forutsatt. På avdelings- og seksjonsnivå kan det være fornuftig å ha en plan eller oversikt over oppfølgingsoppgaver. Gjennomføring av denne planen danner blant annet grunnlaget for den årlige rapporteringen på internkontrollen som avdelingsledere avgir til virksomhetsleder i november hvert år. Avdelingsleder for tilskuddsavdelingen har, som vist i figur 41, følgende områder som følges opp løpende gjennom året via styringsparametere og analyser. Oppfølgingsaktivitet Type oppfølging Utføre oppfølging Frist Oppfølging av styringsparametere: oppfølging av saksbehandlingstid mot krav i serviceerklæring oppfølging av andel klager som får medhold oppfølging av antall avslag oppfølging av inngåtte forpliktelser (tilsagn) oppfølging gjennom måling av brukertilfredshet ved rådgivning oppfølging av at rapporteringsfrister overholdes Ta ut rapporter fra saksbehandlingssystemet Avdelingsleder for tilskuddsavdelingen Kvartalsvis Figur 41: Eksempler på oppfølgingsaktiviteter i tilskuddsavdelingen. 81

82 Seksjonsleder for søknadsbehandling tilskudd har satt opp følgende oversikt for sitt ansvarsområde. Oppfølgingsaktivitet Type oppfølging Utføre oppfølging Frist Verifisering av kontroll k3 Kontroll mot systemdokumentasjon Sjekk av logg på stikkprøvebasis Seksjonsleder for søknadsbehandling Juni og stikkprøver ved nytilsettinger og avgang Verifisering av kontroll k7 Stikkprøver av saksbehandlers dokumentasjon, utfylt sjekkliste Seksjonsleder for søknadsbehandling Halvårlig i juni og november Verifisering av kontroll k9 Stikkprøvekontroller av saksbehandlers dokumentasjon, jf. sjekkliste mot tildelingskriterier Seksjonsleder for søknadsbehandling November Oppfølging av styringsparametere: nedetid for saksbehandlingssystemet antall klager saksbehandlingstid Uttak av rapporter fra saksbehandlingssystemet Seksjonsleder for søknadsbehandling Månedlig Figur 42: Eksempler på oppfølgingsaktiviteter i prosessen søknadsbehandling tilskudd. Tilsvarende oversikter er utarbeidet for øvrige avdelinger og for de prosessene i FYSetat som er definert som vesentlige. Som tidligere nevnt blir planen for fagansvarlig internkontroll for året godkjent av virksomhetsledelsen, og statusen på denne blir fulgt opp i avdelingsmøte i juni. Etter hvert vil også denne planen omfatte en oversikt over de oppfølgingsaktivitetene som fagansvarlig internkontroll skal gjennomføre for å følge opp at linjen ivaretar sitt internkontrollansvar på en tilfredsstillende måte Bruk av informasjon fra oppfølgingen til styring, læring og forbedring Ledelsen i FYSetat legger vekt på at oppfølgingen av internkontrollen skal være systematisk og helhetlig. Resultatet fra oppfølgingen brukes følgelig aktivt i forbindelse med planlegging og risikovurderinger for neste år, både på virksomhetsnivå og på lavere nivåer. Ledelsen i FYSetat har også erfart at systematisk oppfølging er et avgjørende element i forbindelse med virksomhetens lærings- og forbedringsarbeid. Virksomheten har, som resultat av et mer systematisk arbeid med internkontrollen oppnådd større bevissthet om betydningen av god internkontroll, samt fått bedre oversikt over status og risikoområder som bør prioriteres i internkontrollarbeidet. Dette gir virksomhetsledelsen større trygghet for at virksomheten har en mer systematisk, enhetlig og helhetlig tilnærming i internkontrollarbeidet uavhengig av hvilke personer som leder de ulike avdelingene. 82

83 FYSetat erfarer også at forbedringer i internkontrollen har fristilt tid og ressurser for ledere, ved at oppgaver i større grad blir gjort riktig første gang. Selv om det fremdeles er behov for forbedringer i internkontrollen brukes det nå mindre tid på brannslukking, og en har oppnådd en mer hensiktsmessig oppfølging og rapportering. Internkontrollarbeidet har på denne måten bidratt til bedre styring, ved at virksomhetsledelsen kan bruke mer tid på å gjøre de «riktige» tingene og mindre tid på å følge opp og kontrollere for å sikre at virksomheten «gjør tingene riktig». Virksomhetsledelsen har derfor prioritert å etablere flere arenaer for oppfølging, problemløsing og avvikshåndtering på ulike nivåer i organisasjonen (team, seksjon, avdeling, virksomhet). Ledergruppen i tilskuddsavdelingen i FYSetat går for eksempel hver måned gjennom registrerte avvik og klagesaker fra søkere. Fagansvarlig internkontroll deltar på disse møtene for å vurdere om det er svakheter denne avdelingen har felles med andre avdelinger, og om det er behov for tiltak på høyere nivå. Det er dessuten lagt til rette for at eksterne kan gi tilbakemeldinger på for eksempel hvordan de opplever kvaliteten på FYSetats tjenester. Det skjer via internett, og virksomheten gjennomfører også årlige spørreundersøkelser. 83

84 5.6 Rapportering Rapportere resultater knyttet til internkontroll til rett nivå og til rett tid og integrere rapporteringen med øvrig rapportering Resultatet fra oppfølgingen gir virksomhetsledelsen i FYSetat et grunnlag for å vurdere kvaliteten på etablert internkontroll, en mulighet for å iverksette korrektive tiltak, få input til forbedringsarbeidet og dessuten et godt utgangspunkt for neste planperiode. Oppfølging Rapportering Overholdelse av lover og regler Virksomhet Planlegging Målrettet og effektiv drift Risikovurdering Effektiv og pålitelig rapportering forutsetter at tilstrekkelig, pålitelig og relevant informasjon rapporteres til rett nivå og til rett tid. Det er avgjørende at informasjonen som rapporteres, er tilpasset behovet for og formålet med rapporteringen. I FYSetat er det etablert tydelige krav til hva som skal rapporteres når og til hvem. Ansatte i FYSetat må følgelig forholde seg til både interne og eksterne rapporteringskrav. Implementering Pålitelig rapportering Utforming Figur 43: Internkontrollprosessen rapportering. Rapportering knyttet til internkontrollen er i FYSetat i størst mulig grad integrert i eksisterende rapporteringslinjer og kommunikasjonskanaler. På den måten blir all rapportering av verdi for styring og kontroll sett i sammenheng og benyttet i arbeidet med å etablere korrektive tiltak og planlegge neste periode. I tillegg til den ordinære og regelmessige interne og eksterne rapporteringen som foregår i FYSetat som et ledd i styringen, er det også etablert kanaler og rutiner som ivaretar behovet for umiddelbar rapportering av vesentlige avvik og risikoer som inntreffer eller truer med å inntreffe. FYSetat har i henhold til arbeidsmiljøloven etablert en uavhengig varslingskanal og har prosedyrer for oppfølging og rapportering av varslinger av kritikkverdige forhold. Direktøren i FYSetat har besluttet at det halvårlig (i juni og i november) i et ledermøte skal rapporteres på status for håndtering av risiko identifisert i risikovurderinger og status for relevante styringsparametere innenfor de ulike avdelingene. I tillegg har direktøren i FYSetat bestemt at avdelingslederne én gang i året (i november) skal rapportere på status for internkontrollen innenfor eget ansvarsområde. Fagansvarlig internkontroll har ansvar for å samle inn og sammenstille lederrapporteringen fra de fire avdelingene. Dette gir virksomhetsleder et godt grunnlag for å vurdere hvordan FYSetas internkontrollsystem fungerer, om det er behov for å iverksette korrektive tiltak, om det er vesentlige tiltak som ikke er fulgt opp det siste året, og om det er vesentlige forbedringsområder innenfor de ulike avdelingene som bør løftes og håndteres. Rapporteringene benyttes også som grunnlag for å omtale virksomhetens internkontroll i FYSetats årsrapport. 84

85 Rapportering på lavere nivåer Avdelingsleder for tilskuddsavdelingen har brukt FYSetats felles mal for rapportering på avdelingsog seksjonsnivå 56, som er vist i figur 44. Avdelingsledere må selv sørge for å etterspørre status fra ledere og prosesseiere på lavere nivåer og gjennomføre den oppfølgingen og de analysene de selv anser for å være nødvendig for å kunne rapportere hvordan tilstanden på internkontrollen innenfor eget ansvarsområde er. Periode Rapporterende enhet Ansvarlig Dato 2012 Tilskuddsavdelingen Avd. leder 15. november 2012 Område Spørsmål Ja Delvis Nei Kommentar Risikovurderinger Er det gjennomført risikovurderinger for din avdeling/seksjon siste år? Er det etablert tiltak som følge av risikovurderinger? X X Utforming av styrende dokumenter Er det utformet policyer og/eller prosedyrer på de områder der dette er besluttet? X Arbeid med oppdatering av policy for tilskuddsforvaltning pågår Er tiltak som følge av risikovurderinger fulgt opp? X Er alle vesentlige avvik, spesielle hendelser og svakheter registrert og fulgt opp? X Oppfølging Er policyer og prosedyrer gjeldende for ditt ansvarsområde kjent og etterlevd? X Gjelder etiske retningslinjer Er alle identifiserte forbedringsområder eller risikoer fra tidligere periode håndtert? X Oppsummering Er anmerkninger fra tilsyn, eksternrevisor, internrevisor og lignende fulgt opp? Er internkontrollen på ditt ansvarsområde utformet slik at avdelingen/seksjonen har målrettet og effektiv drift, pålitelig rapportering og overholder lover og regler? X X Forslag til forbedringer Beskrivelse Planlagt ferdigstilt Ansvar Ferdigstille policy for tilskuddsforvaltning 31. desember 2012 Avdelingsleder tilskudd Gjennomføre dilemmatrening i etiske retningslinjer for de som ikke har vært med pga. sykdom 1. februar 2013 Seksjonsleder søknadsbehandling Figur 44: Rapportering på internkontrollen fra tilskuddsavdelingen. 56 FYSetats mal er basert på DFØs verktøy Mal rapportering knyttet til internkontroll. 85

86 Rapportering på virksomhetsnivå Fagansvarlig internkontroll sammenstiller rapporteringene fra de fire avdelingene i et felles skjema, som vist i figur 45. Her fremkommer status for internkontrollen basert på de respektive avdelingers utfylling av rapportmalen, der grønn indikerer at status er tilfredsstillende, gul delvis tilfredsstillende og rød ikke tilfredsstillende. Område Spørsmål Tilskuddsavdelingen IKTavdelingen Informasjonsavdelingen Adm.- avdelingen Risikovurderinger Er det gjennomført risikovurderinger for din avdeling/seksjon siste år? Er det etablert tiltak som følge av riskovurderinger? Utforming av styrende dokumenter Er det utformet policyer og/eller prosedyrer på de områdene der dette er besluttet? Er tiltak som følge av risikovurderinger fulgt opp? Er alle vesentlige avvik, spesielle hendelser og svakheter registrert og fulgt opp? Oppfølging Er policyer og prosedyrer gjeldende for ditt ansvarsområde kjent og etterlevd? Er alle identifiserte forbedringsområder eller risikoer fra tidligere perioder håndtert? Er anmerkninger fra tilsyn, eksternrevisor, internrevisor og lignende fulgt opp? Oppsummering Er internkontrollen på ditt ansvarsområde utformet slik at avdelingen/ seksjonen har målrettet og effektiv drift, pålitelig rapportering og overholder lover og regler? Forslag til forbedringer Beskrivelse Planlagt ferdigstilt Ansvar Ferdigstille policy for tilskuddsforvaltning 31. desember 2012 Avdelingsleder tilskudd Gjennomføre dilemmatrening i etiske retningslinjer for de som ikke har vært med pga. sykdom 1. februar 2013 Seksjonsleder søknadsbehandling Gjennomføre risikovurdering 15. desember 2012 Avdelingsleder IKT- avdelingen Håndtere merknader fra Riksrevisjonen 31. desember 2012 Avdelingsleder IKT- avdelingen Figur 45: Samlet rapportering på internkontrollen virksomhetsnivå. 86

87 Den sammenstilte rapporteringen gir virksomhetsledelsen et overordnet bilde av status og utfordringer i de ulike avdelingene. Basert på den sammenstilte rapporteringen fra avdelingene kan virksomhetsleder årlig gjøre en overordnet vurdering av internkontrollen for FYSetat samlet. Vurderingen på virksomhetsnivå danner grunnlag for rapportering til overordnet departement og FYSetats omtale av styring og kontroll i årsrapporten. I verktøyet Mal rapportering knyttet til internkontroll finnes det også en mal for en samlet vurdering av status på virksomhetens internkontroll. Rapporteringen i FYSetat viser at det gjennomføres risikovurderinger i alle avdelingene bortsett fra i IKT-avdelingen. Uklare ansvarsforhold var identifisert som et av problemområdene for FYSetat ved risikovurderingen på virksomhetsnivå, og rapporteringen viser at det fremdeles gjenstår arbeid med å etablere og oppdatere policyer som skal klargjøre ansvarsforhold. Arbeidet med formalisering må derfor fortsette inn i neste planperiode. For informasjonsavdelingen mangler det fremdeles enkelte policyer og prosedyrer. Alle avdelingene har fortsatt en jobb å gjøre med hensyn til å få policyer og prosedyrer kjent og etterlevd. IKT-avdelingen har gjenstående anmerkninger fra Riksrevisjonen, som må følges opp i neste planperiode. Alle avdelinger har rapportert status gul knyttet til manglende kjennskap til etiske retningslinjer, og det forventes derfor at alle avdelinger gjennomfører etisk dilemmatrening kommende år. Virksomhetsledelsen har satt av tid i ledermøtet i november for å drøfte resultatet som fremkommer gjennom den sammenstilte rapporteringen fra avdelingene. Konklusjoner fra dette møtet vil, sammen med annen informasjon, herunder resultater fra løpende oppfølging og eventuelle nye merknader fra Riksrevisjonen, inngå som en del av grunnlaget for neste års planprosess. Informasjonen som fremkommer av oppfølgingen og rapporteringene foretatt i de ulike avdelingene benyttes som grunnlag for læring og forbedring av FYSetats internkontrollsystem. 87

88 Sentral litteratur Commitee of Sponsoring Organizations of the Treadway Commission (COSO) 1992: Internal control Integrated Framework. NIRF oversatte denne i 1996 med tittelen «Intern kontroll et integrert rammeverk» Commitee of Sponsoring Organizations of the Treadway Commission (COSO) 2004: Enterprise Risk Management Integrated Framework, september NIRF oversatte denne i 2005 med tittelen «Helhetlig risikostyring et integrert rammeverk» Commitee of Sponsoring Organizations of the Treadway Commission (COSO) 2009: Guidance on Monitoring Internal Control Systems (Volume I Guidance, Volume II Application, Volume III Examples). NIRF oversatte disse i 2009 med tittelen «Veiledning i oppfølging av internkontroll Helhetlig risikostyring et integrert rammeverk» (Del 1 Veiledning, Del 2 Anvendelse, Del 3 Eksempler) Commitee of Sponsoring Organizations of the Treadway Commission (COSO) 2011: Internal control Integrated Framework, Post Public Exposure draft Direktoratet for forvaltning og IKT (DIFI) Rapport 14/2012: Ute av kontroll? En artikkelsamling om kontroll og rapportering i staten. Artikkelen «God rapportering gir god styring» av Direktoratet for økonomistyring (DFØ) Direktoratet for økonomistyring (DFØ) 2005: Risikostyring i staten håndtering av risiko i mål- og resultatstyringen Direktoratet for økonomistyring (DFØ) 2007: Hvordan få en god start på risikostyring i statlige virksomheter Direktoratet for økonomistyring (DFØ) Rapport 4/2009: Internrevisjon og intern kontroll i statlige virksomheter en kartlegging Direktoratet for økonomistyring (DFØ) 01/2011: Eksempelsamling med kommentarer Styringsdokumenta instruks for økonomi- og verksemdsstyring og tildelingsbrev frå departement til verksemd Direktoratet for økonomistyring (DFØ) 2011: Rettleiar for statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon Finansdepartementet 2010: Regelverket for økonomistyring i staten Finansdepartementet 2011: Veileder i etatsstyring Finansdepartementet 2013: Høringsnotat Årsrapport og årsregnskap for statlige virksomheter Fornyings-, administrasjons- og kirkedepartementet : St.meld. nr. 19 ( ) Ei forvaltning for demokrati og fellesskap 88

89 Notater 89

90 90 Notater

91

92 Offentlige institusjoner kan bestille flere eksemplarer av denne publikasjonen fra: Direktoratet for økonomistyring Internett: E-post: Telefon: ISBN