5.1.1 Ambisjonsnivå og overordnet status for internkontrollen i FYSetat

Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontroll. Vurderingen gjøres på grunnlag av risiko, vesentlighet og virksomhetens egenart.

Selv om virksomheten i utgangspunktet bør ha kontroll på alt, er det ikke hensiktsmessig å etablere en like omfattende internkontroll på alle områder. Det er viktig at virksomhetsledelsen etablerer en felles oppfatning av balansen mellom det å ha kontroll og det å ta risiko, herunder definerer virksomhetens risikotoleranse.

Ledergruppen i FYSetat har benyttet DFØs egenevalueringsverktøy og vurdert hva som er status ut fra syv kjennetegn på god internkontroll. Scoren (1–6) er vurdert ut fra kjennskap til virksomhetens styrker og svakheter, rapportert status og forbedringstiltak fra alle fire avdelings- ledere, tidligere merknader fra Riksrevisjonen, mv. Resultatet av denne egenevalueringen for FYSetat er vist i figuren under.

Med bakgrunn i egenevalueringen konkluderer virksomhetsledelsen med at det særlig er to områder knyttet til internkontrollen som virksomheten ønsker å forbedre. Disse områdene er:

• Tydeliggjort ansvar, myndighet og roller
  Virksomhetsledelsen ser spesielt et behov for å tydeliggjøre hva som ligger i linjens intern- kontrollansvar med hensyn til grensesnittet opp mot fagansvarlig internkontroll, ettersom denne funksjonen er ny. Dessuten har det i den senere tid oppstått flere spørsmål og uklarheter som følge av utydelig grensesnitt og ansvarsdeling mellom avdelingene, spesielt gjelder det i grensesnittet mellom tilskuddsavdelingen, administrasjonsavdelingen og IKT-avdelingen.
• Formalisert og dokumentert, kommunisert og tilgjengeliggjort
  Virksomhetsledelsen har spesielt lagt merke til at det er lite bevissthet rundt hva som blir dokumentert, og det som har blitt dokumentert, er ikke nødvendigvis kommunisert og tilgjengeliggjort til relevante ansatte. Ledelsen ser også et behov for å oppdatere policyer og prosedyrer, da det har vært høy turnover og flere tilfeller av sykemelding det siste året. Nyansatte og innleide vikarer er usikre på hvordan arbeidet skal utføres, og hvem som har ansvar for hva.

5.1.2 Ressurser og rammer knyttet til arbeidet med internkontroll

FYSetat har som nevnt nylig opprettet en funksjon med fagansvar for internkontroll, jf. figur 18. De viktigste oppgavene til denne funksjonen er å støtte virksomhetsledelsen i forbindelse med gjennomføring, koordinering og videreutvikling av arbeidet med å etablere og forbedre virksom- hetens internkontroll og å støtte avdelingene/linjen i internkontrollarbeidet etter behov.

Et viktig fokusområde for inneværende år er å tydeliggjøre og formalisere roller og ansvar. Ledelsen konkluderer derfor med at avdelingene må sette av ressurser til dette arbeidet for å bistå fagansvarlig internkontroll. Det anslås at det foreløpig bør settes av cirka et halvt årsverk fordelt på de fire avdelingene til utbedringer det kommende året i tillegg til ett årsverk for fagansvarlig internkontroll. Den endelige fastsettelsen av rammer og ressurser til arbeidet med internkontroll må ses i nær sammenheng med risikovurderingene som gjennomføres årlig.

Virksomhetsledelsen skal hvert år vedta en handlingsplan for fagansvarlig internkontroll. Planen blir endelig godkjent først etter at eventuelle utfordringer som fremkommer i de årlige risikovurderingene i virksomheten, er identifisert.

I virksomhetsledelsens møtekalender for det kommende året er internkontroll satt opp på agendaen for tre møter: