Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960
Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn: En rekke rapporter fra Riksrevisjonen og diverse medieoppslag viser at internkontroll i offentlig sektor må styrkes Hensikt: Gi offentlige virksomheter en metodikk og et verktøy til å implementere internkontroll på anskaffelsesområdet Innhold: Veileder for hvordan internkontroll kan implementeres, verktøy for selvevaluering, eksempler og maler 2
HVorfor Dårlig omdømme gir liten tillitt til offentlige virksomheter 3
Hvorfor internkontroll. 2.4/ 14 Intern kontroll: Alle virksomheter skal etablere intern kontroll. Virksomhetens ledelse har ansvaret for å påse at den interne kontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres. Intern kontroll skal primært være innebygd i virksomhetens interne styring. 4
Hvorfor.internkontroll i et kontrollperspektiv 14 Intern kontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: a) beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning c) ressursbruken er effektiv d) regnskap og informasjon om resultater er pålitelig og nøyaktig e) virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte f) økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler g) misligheter og økonomisk kriminalitet forebygges og avdekkes 5
Hvorfor. Riksrevisjonen En fersk rapport (Dok 3:6) fra Riksrevisjonen påviser nok en gang til flere årsaker til at anskaffelsesregelverket brytes (som følge av Dok 1): -Manglende kompetanse på regelverk -Manglende lederforankring -Uhensiktsmessig organisering -Mangler anskaffelsesstrategi 6
Bakgrunn..FAD følger opp RR sin undersøkelse: Brev datert 14/9.11: Ber alle departement om å gi en oversikt over hvordan anskaffelsesområdet er behandlet i etatsstyringsdialogen med underliggende virksomheter; -Tildelingsbrev -Formelle styringsdokumenter -Risikovurderinger -Resultatrapportering -Etatsstyringsmøter 7
Hva er internkontroll? En mye brukt definisjon: Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i virksomhetens arbeidsprosesser 8
Metodisk rammeverk definisjon (COSO) Internkontroll er en kontinuerlig prosess - iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi rimelig grad av sikkerhet for måloppnåelse innen tre områder: Målrettet, effektiv og hensiktsmessig drift Pålitelig intern og ekstern rapportering Overholdelse av lover og regler, samt interne retningslinjer 11
Hvorfor mål og resultatstyring Å sette mål for hva virksomheten skal oppnå, å måle resultater og sammenligne de med målene, og bruke den informasjonen til styring, kontroll og læring for å utvikle og forbedre virksomheten. 12
Internkontroll komponenter (COSO) Velfungerende internkontroll består av fem komponenter: Virksomhetens kontrollmiljø Risikoanalyse og -håndtering Kontrollaktiviteter Informasjon og kommunikasjon Ledelsesmessig oppfølging 13 Coso - rammeverket
Internt miljø (kontrollmiljø) Internkontrollens grunnstruktur Grunnmuren for alle øvrige komponenter Disiplin og struktur Elementer i det interne miljøet Integritet, etiske verdier og kompetanse blant menneskene Rolle- og ansvarsfordeling Ledelsens organisering og utvikling av medarbeidere Ledelsens engasjement og overordnede styring 14
Lederansvar Det er konstatert flere til dels grove regelbrudd. Regelbruddene har pågått over lengre tid, og samlet sett har det dreid seg om betydelige beløp. Dette skyldes blant annet manglende opplæring og internkontroll Dermed konkluderer Oslo tingrett med at vedkommende leder gjorde flere ikke ubetydelige feil, som var knyttet til hans rolle som leder. Han har ikke vært utsatt for urimelig behandling av kommunen, og endringsoppsigelsen han fikk, således var saklig begrunnet og gyldig. Han er i tillegg dømt til å betale kommunens saksomkostninger, samtidig som hans egen advokat har fremlagt sin regning til sammen om lag 1,4 millioner kroner. 15
Eksempel på retningslinjer Retningslinje Fokusområde Forslag til innhold Retningslinje for når og hvordan varsling skal foregå 1. Etiske verdier, miljø og samfunnsansvar - Overordnet mål med retningslinjen - Beskrivelse av intern varslingsenhet i virksomheten - Beskrivelse av hvordan intern og ekstern varsling foregår - Link til materiell som kan benyttes i forbindelse med dilemmatrening for virksomhetens ledere og ansatte - Retningslinjen bør legges ved samtlige kontrakter virksomheten inngår 16
Kontrollaktiviteter Utgangspunkt i risikovurderingen Rutiner og retningslinjer som skal sikre at ledelsens styring følges opp Bidrar til håndtering av risiko og måloppnåelse På kryss og tvers i organisasjonen 17
Informasjon og kommunikasjon Relevant informasjon må identifiseres, registreres og kommuniseres i riktig form og til riktig tid Effektiv kommunikasjon må også finne sted i et videre perspektiv, vertikalt og horisontalt i virksomheten Ekstern kommunikasjon må også være effektiv 18
Overvåking / oppfølging Internkontrollsystemet må overvåkes Vurdering av kvalitet over tid Oppnås ved kontinuerlig overvåking eller separate evalueringer, eller en kombinasjon Svakheter i internkontrollen må rapporteres oppover i organisasjonen Alvorlige forhold må til ledelsen og styret 19
Difis anskaffelsesmodell Rammevilkår Ledelses og styringsprosesser Kjerne og støtteprosesser Formål Mennesker og kompetanse Partnere og leverandører Det gode innkjøp IKT Anskaffelsesprosesser 20
MAT 21
Risiko - definisjon Forhold eller hendelser som kan inntreffe og påvirke oppnåelse av målsettinger negativt. Risiko vurderes i forhold til sannsynligheten for at den inntreffer, og den forventede konsekvensen den vil medføre for virksomhetens måloppnåelse dersom den inntreffer. Praktisk tilrettelegging for å ivareta intern kontroll i regelverket. SSØ: Veileder i mål- og resultatstyring, november 2006. 22
Risikovurdering Sikre god målstyring Målsettingene er utgangspunkt Identifisering og evaluering av relevante risiko for måloppnåelse Virksomheter er utsatt for stadige endringer i rammebetingelser, bransjer og knyttet til driften Må ha mekanismer særlig rettet mot identifisering og håndtering av risiko 23
Styring og kontroll 24
Sannsynlighet Lav Høy Risikoanalyse - eksempel 3 1 = Nåværende risikovurdering = Forrige risikovurdering 3 2 4 Lav Konsekvens Høy Risiko Beskrivelse Sannsynlighet Konskvens Klassifisering Tiltak Ansvarlig Bestillere gjør anskaffelser utenom rammeavtaler pga. manglende kjennskap til Etabler prosedyre for implementering av nye virksomhetens rammeavtaler slik at disse forankres i 1 rammeavtaler. Høy Høy Kritisk virksomheten Innkjøpssjef Leverandører Utarbeid prosedyre for kontroll av faktura mot 2 overfakturerer Middels Høy Kritisk avtalepris Regnskapssjef Ansatte inngår avtaler med Utarbeid mal for habilitetserklæring, etabler virksomheter hvor de har prosedyre for evaluering av tilbud egne interesser m/kontrolltiltak, etabler et internt 3 Middels Middels Alvorlig varslingsorgan for korrupsjon Innkjøpssjef Virksomhetens ledere har ikke oversikt over hvor stor avtaledekning virksomheten 25 Utarbeid KPI for rapportering på avtaledekning 4 har Lav Middels Neglisjerbar månedlig Controller
Utfordringsbildet for internkontroll på anskaffelsesområdet Lagerstrategi?? Stort antall fakturaer Svak lagerstyring Manglende incentiver Økonomiforståelse Mange lagre Svak logistikkstyring Besparelser medfører budsjettreduksjon neste år Bred kontaktflate mot leverandør Stort antall leverandører Lav innkjøpskompetanse Mange rekvirenter Høye innkjøpspriser Svakt ledelsesengasjement Lav avtaledekning Mangelfulle systemer Svak innkjøpsfunksjon Ukoordinerte spesifikasjoner 26
Modenhetsnivå i internkontroll Modellen viser nivåer av modenhet for en virksomhets internkontroll. Hvis virksomheten styrker sin internkontroll vil de bevege seg oppover i modellen. 27
Internkontroll veiledningsmateriale fra Difi Veiledningsdokument m /vedlegg: Metodisk rammeverk Implementeringsmodell Eksempel på kontrollprogram Anbefalte retningslinjer m/ innspill til innhold Oversikt over spørsmålene i selvevalueringen Sjekkliste til selvevalueringen Selvevalueringsverktøy Maler og eksempler m/ tilhørende veiledning: Prosjektpresentasjon til virksomhetsledelsen Interessentanalyse Milepælsplan Prosjektmandat Risikoanalyse Kommunikasjonsplan Handlingsplan Habilitetserklæring 28
Noen andre kilder til veiledning Senter for statlig økonomistyring (SSØ) har utarbeidet veiledning om mål- og resultatstyring samt risikostyring http://www.sfso.no/templates/page 6523.aspx KS og Kommunal- og regionaldepartementet utarbeider for tiden et idéhefte for internkontroll i kommunal sektor http://www.ks.no/tema/innovasjon-og-forskning/fou/usystematiskinternkontroll-i-kommunesektoren/ Kredittilsynet 29
Veileder og verktøy for internkontroll i offentlige anskaffelser Mona Stormo Andersen Seniorrådgiver Mobil: 948 73 960
Difi har utarbeidet veileder og verktøy implementering av internkontroll Bakgrunn: En rekke rapporter fra Riksrevisjonen og diverse medieoppslag viser at internkontroll i offentlig sektor må styrkes Hensikt: Gi offentlige virksomheter en metodikk og et verktøy til å implementere internkontroll på anskaffelsesområdet Innhold: Veileder for hvordan internkontroll kan implementeres, verktøy for selvevaluering, eksempler og maler 31
Hvorfor.dårlig omdømme gir liten tillitt til offentlige virksomheter 32
Hvorfor internkontroll. 2.4/ 14 Intern kontroll: Alle virksomheter skal etablere intern kontroll. Virksomhetens ledelse har ansvaret for å påse at den interne kontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres. Intern kontroll skal primært være innebygd i virksomhetens interne styring. 33
Hvorfor.internkontroll i et kontrollperspektiv 14 Intern kontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll for å sikre at: a) beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn b) måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i nødvendig utstrekning c) ressursbruken er effektiv d) regnskap og informasjon om resultater er pålitelig og nøyaktig e) virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre økonomiske verdier, forvaltes på en forsvarlig måte f) økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende lover og regler g) misligheter og økonomisk kriminalitet forebygges og avdekkes 34
Hvorfor. Riksrevisjonen En fersk rapport (Dok 3:6) fra Riksrevisjonen påviser nok en gang til flere årsaker til at anskaffelsesregelverket brytes (som følge av Dok 1): -Manglende kompetanse på regelverk -Manglende lederforankring -Uhensiktsmessig organisering -Mangler anskaffelsesstrategi 35
Bakgrunn..FAD følger opp RR sin undersøkelse: Brev datert 14/0: Ber alle departement om å gi en oversikt over hvordan anskaffelsesområdet er behandlet i etatsstyringsdialogen med underliggende virksomheter; -Tildelingsbrev -Formelle styringsdokumenter -Risikovurderinger -Resultatrapportering -Etatsstyringsmøter 36
Hva er internkontroll? En mye brukt definisjon: Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i virksomhetens arbeidsprosesser 37
Alternativ tilnærming: Begrepet internkontroll er direkte oversatt fra det engelske begrepet internal control. Sistnevnte omfatter lagt mer av styringsaspekter enn hva som på norsk ofte snevert forstås som interne kontrolltiltak. Skal vi forstå begrepet intern kontroll må vi se sammenhengen mellom mål, risiko, styring og interne kontrolltiltak. Kilde: Senter for Statlig Økonomistyring, Rapport 4/2009 pkt. 2.1.1. 38
Hvorfor god internkontroll Skaper større sikkerhet gjennom redusert risiko Økt kvalitet i prosessene og derigjennom økt bruker- og medarbeidertilfredshet Økt kvalitet i økonomisk rapportering Reduserer sårbarheten i virksomheten Økt ansvarliggjøring i hele organisasjonen 39
Hvorfor mål og resultatstyring Å sette mål for hva virksomheten skal oppnå, å måle resultater og sammenligne de med målene, og bruke den infomrasjonen itl styring, kontroll og læring fo rå utvikle og forbedre virksomheten. 40
Metodisk rammeverk definisjon (COSO) Internkontroll er en kontinuerlig prosess - iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi rimelig grad av sikkerhet for måloppnåelse innen tre områder: Målrettet, effektiv og hensiktsmessig drift Pålitelig intern og ekstern rapportering Overholdelse av lover og regler, samt interne retningslinjer 41
Internkontroll komponenter (COSO) Velfungerende internkontroll består av fem komponenter: Virksomhetens kontrollmiljø Risikoanalyse og -håndtering Kontrollaktiviteter Informasjon og kommunikasjon Ledelsesmessig oppfølging 42 Coso - rammeverket
Difis anskaffelsesmodell Rammevilkår Ledelses og styringsprosesser Kjerne og støtteprosesser Formål Mennesker og kompetanse Partnere og leverandører Det gode innkjøp IKT Anskaffelsesprosesser 43
Internkontroll komponenter (COSO) Velfungerende internkontroll består av fem komponenter: Virksomhetens kontrollmiljø Risikoanalyse og -håndtering Kontrollaktiviteter Informasjon og kommunikasjon Ledelsesmessig oppfølging 44 Coso - rammeverket
Internt miljø (kontrollmiljø) Internkontrollens grunnstruktur Grunnmuren for alle øvrige komponenter Disiplin og struktur Elementer i det interne miljøet Integritet, etiske verdier og kompetanse blant menneskene Rolle- og ansvarsfordeling Ledelsens organisering og utvikling av medarbeidere Ledelsens engasjement og overordnede styring 45
Lederansvar Det er konstatert flere til dels grove regelbrudd. Regelbruddene har pågått over lengre tid, og samlet sett har det dreid seg om betydelige beløp. Dette skyldes blant annet manglende opplæring og internkontroll Dermed konkluderer Oslo tingrett med at vedkommende leder gjorde flere ikke ubetydelige feil, som var knyttet til hans rolle som leder. Han har ikke vært utsatt for urimelig behandling av kommunen, og endringsoppsigelsen han fikk, således var saklig begrunnet og gyldig. Han er i tillegg dømt til å betale kommunens saksomkostninger, samtidig som hans egen advokat har fremlagt sin regning til sammen om lag 1,4 millioner kroner. 46
Eksempel på retningslinjer Retningslinje Fokusområde Forslag til innhold Retningslinje for når og hvordan varsling skal foregå 1. Etiske verdier, miljø og samfunnsansvar - Overordnet mål med retningslinjen - Beskrivelse av intern varslingsenhet i virksomheten - Beskrivelse av hvordan intern og ekstern varsling foregår - Link til materiell som kan benyttes i forbindelse med dilemmatrening for virksomhetens ledere og ansatte - Retningslinjen bør legges ved samtlige kontrakter virksomheten inngår 47
Kontrollaktiviteter Utgangspunkt i risikovurderingen Rutiner og retningslinjer som skal sikre at ledelsens styring følges opp Bidrar til håndtering av risiko og måloppnåelse På kryss og tvers i organisasjonen 48
Informasjon og kommunikasjon Relevant informasjon må identifiseres, registreres og kommuniseres i riktig form og til riktig tid Effektiv kommunikasjon må også finne sted i et videre perspektiv, vertikalt og horisontalt i virksomheten Ekstern kommunikasjon må også være effektiv 49
Overvåking / oppfølging Internkontrollsystemet må overvåkes Vurdering av kvalitet over tid Oppnås ved kontinuerlig overvåking eller separate evalueringer, eller en kombinasjon Svakheter i internkontrollen må rapporteres oppover i organisasjonen Alvorlige forhold må til ledelsen og styret 50
Risiko Forhold eller hendelser som kan inntreffe og påvirke oppnåelse av målsettinger negativt. Risiko vurderes i forhold til sannsynligheten for at den inntreffer, og den forventede konsekvensen den vil medføre for virksomhetens måloppnåelse dersom den inntreffer. Praktisk tilrettelegging for å ivareta intern kontroll i regelverket. SSØ: Veileder i mål- og resultatstyring, november 2006. 51
Risikovurdering Sikre god målstyring Målsettingene er utgangspunkt Identifisering og evaluering av relevante risiko for måloppnåelse Virksomheter er utsatt for stadige endringer i rammebetingelser, bransjer og knyttet til driften Må ha mekanismer særlig rettet mot identifisering og håndtering av risiko 52
Styring og kontroll 53
Sannsynlighet Lav Høy Risikoanalyse - eksempel 3 1 = Nåværende risikovurdering = Forrige risikovurdering 3 2 4 Lav Konsekvens Høy Risiko Beskrivelse Sannsynlighet Konskvens Klassifisering Tiltak Ansvarlig Bestillere gjør anskaffelser utenom rammeavtaler pga. manglende kjennskap til Etabler prosedyre for implementering av nye virksomhetens rammeavtaler slik at disse forankres i 1 rammeavtaler. Høy Høy Kritisk virksomheten Innkjøpssjef Leverandører Utarbeid prosedyre for kontroll av faktura mot 2 overfakturerer Middels Høy Kritisk avtalepris Regnskapssjef Ansatte inngår avtaler med Utarbeid mal for habilitetserklæring, etabler virksomheter hvor de har prosedyre for evaluering av tilbud egne interesser m/kontrolltiltak, etabler et internt 3 Middels Middels Alvorlig varslingsorgan for korrupsjon Innkjøpssjef Virksomhetens ledere har ikke oversikt over hvor stor avtaledekning virksomheten 54 Utarbeid KPI for rapportering på avtaledekning 4 har Lav Middels Neglisjerbar månedlig Controller
Utfordringsbildet for internkontroll på anskaffelsesområdet Lagerstrategi?? Stort antall fakturaer Svak lagerstyring Manglende incentiver Økonomiforståelse Mange lagre Svak logistikkstyring Besparelser medfører budsjettreduksjon neste år Bred kontaktflate mot leverandør Stort antall leverandører Lav innkjøpskompetanse Mange rekvirenter Høye innkjøpspriser Svakt ledelsesengasjement Lav avtaledekning Mangelfulle systemer Svak innkjøpsfunksjon Ukoordinerte spesifikasjoner 55
Modenhetsnivå i internkontroll Modellen viser nivåer av modenhet for en virksomhets internkontroll. Hvis virksomheten styrker sin internkontroll vil de bevege seg oppover i modellen. 56
Internkontroll veiledningsmateriale fra Difi Veiledningsdokument m /vedlegg: Metodisk rammeverk Implementeringsmodell Eksempel på kontrollprogram Anbefalte retningslinjer m/ innspill til innhold Oversikt over spørsmålene i selvevalueringen Sjekkliste til selvevalueringen Selvevalueringsverktøy Maler og eksempler m/ tilhørende veiledning: Prosjektpresentasjon til virksomhetsledelsen Interessentanalyse Milepælsplan Prosjektmandat Risikoanalyse Kommunikasjonsplan Handlingsplan Habilitetserklæring 57
Noen andre kilder til veiledning Senter for statlig økonomistyring (SSØ) har utarbeidet veiledning om mål- og resultatstyring samt risikostyring http://www.sfso.no/templates/page 6523.aspx KS og Kommunal- og regionaldepartementet utarbeider for tiden et idéhefte for internkontroll i kommunal sektor http://www.ks.no/tema/innovasjon-og-forskning/fou/usystematiskinternkontroll-i-kommunesektoren/ Kredittilsynet 58