I definisjonen forutsettes det at internkontroll gjennomføres av foretakets styre, ledelse og ansatte. Det er få statlige virksomheter som er organisert med et styre, og begrepet foretak er lite brukt i statsforvaltningen. Følgelig vil denne veilederen bruke benevnelsen virksomhet i stedet for foretak. Eventuelle styrers rolle i virksomhetens internkontrollarbeid omtales ikke nærmere i denne veilederen. Det vises imidlertid til bestemmelsene punkt 1.2 og reglementet § 3, hvor det kreves at departementet skal sørge for at det foreligger instrukser som beskriver myndighet og ansvar, inklusiv innbyrdes forhold mellom departementet, eventuelt styre og virksomhetsleder.

Definisjonen vektlegger at internkontroll må forstås som en prosess som er utformet for å gi rimelig sikkerhet for måloppnåelse. Denne prosessen må tilpasses og justeres i tråd med endrede forutsetninger, rammer og risiko. Etablering, gjennomføring og oppfølging av internkontrollen inngår derfor som en integrert del av de øvrige plan-, gjennomførings-, oppfølgings- og rapporteringsprosessene i virksomheten, og gir grunnlag for kontinuerlig læring og forbedring.

De tre målsettingskategoriene i COSOs definisjon av internkontroll klargjør formålet med internkontrollen. Økonomiregelverkets krav til internkontroll slik de fremgår av reglementet § 14 og bestemmelsene punkt 2.4 bokstavene a–g, kan innplasseres i henhold til de tre målsettingskategoriene. Det er derfor godt samsvar mellom formålet med internkontroll slik det fremgår av Økonomiregelverket, og COSOs beskrivelse av formålet operasjonalisert gjennom de tre målsettingskategoriene. Les mer i veilederen Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, vedlegg A. 

COSO legger til grunn at internkontroll består av fem innbyrdes sammenhengende komponenter, henholdsvis kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåkning. På tilsvarende måte som for målsettingskategoriene gjenspeiles disse komponentene også i økonomireglementet, jf. bestemmelsene punkt 2.4.3 bokstavene a–e.

Komponentenes betydning utdypes som en del av en metode som beskrives nærmere i kapitlene 2–4. Nedenfor utdypes de tre målsettingskategoriene, og de settes inn i en statlig kontekst.

2.2.1 Målrettet og effektiv drift

Forenklet sett fremstilles produkter og tjenester ved at innsatsfaktorer i form av penger, kompetanse mv. omformes gjennom ulike aktiviteter og prosesser i virksomheten til produkter og tjenester som virksomheten leverer internt eller eksternt. Gjennomføringen av virksomhetens oppgaver kan derfor ses på som prosesser, og kan generelt deles inn i kjerneprosesser, støtteprosesser og styringsprosesser. Kvaliteten på produkter og tjenester er avhengig av god internkontroll både i og i tilknytning til disse prosessene.

I praksis handler internkontroll om å etablere og bruke strukturer og systemer som gir nødvendig trygghet for at oppgaveutførelsen gir ønsket kvalitet og effektivitet. Målrettet og effektiv drift innebærer at virksomhetens kjerne-, støtte- og styringsprosesser er utformet, gjennomført og fulgt opp på en måte som bidrar til at fastsatte mål og krav blir oppfylt.

Forhold som ofte er avgjørende for å oppnå målrettet og effektiv drift, kan blant annet knyttes til:

• hvordan virksomheten innretter produkt-/tjenesteområdene med tilhørende prosesser og funksjoner for å sikre ønsket kvalitet, og hvordan prosessene er lenket sammen
• hvilke kontroller som skal utføres i prosessen for å innfri mål og krav
• hvilken kompetanse medarbeidere som er involvert i arbeidet bør ha, og hvordan arbeidet er organisert
• hvorvidt medarbeidere får nødvendig informasjon av betydning for oppgaveutførelsen

Dette innebærer at internkontrollen omfatter både innretningen på selve prosessen (eksempelvis innebygde kontroller) og forhold som påvirker prosessen (eksempelvis hvordan ansvar og myndighet er definert og tydeliggjort i virksomheten, organisering, mv.).

2.2.2 Pålitelig rapportering

Med pålitelig rapportering menes at informasjon som formidles internt og eksternt skal være korrekt, rettidig og i samsvar med de kravene som er stilt. Det gjelder både informasjon som benyttes som grunnlag for beslutninger og intern styring, og informasjon som kommuniseres eksternt både til overordnet nivå og til allmennheten.

Som et ledd i virksomhetens interne styring vil virksomhetsledelsen ha fastsatt interne rapporteringskrav for ulike nivåer og enheter. Den eksterne rapporteringen fra statlige virksomheter omfatter årsrapport og annen rapportering til overordnet departement i tråd med de kravene som er stilt i tildelingsbrevet. Rapportering omfatter også pliktig regnskapsrapportering til henholdsvis statsregnskapet og andre eksterne parter med hjemmel i lov⁴.

Statlige virksomheters rapportering benyttes både som en del av beslutningsgrunnlaget for interne prioriteringer i virksomheten og som en viktig del av kunnskapsgrunnlaget som departementer og overordnede myndigheter baserer politikkutforming, beslutninger og prioriteringer på. Riktig kvalitet på rapportert informasjon er derfor avgjørende for god styring både i virksomhetene, departementene og samfunnet samlet sett.

Pålitelig rapportering forutsetter at virksomheten har oversikt over hvilke interne og eksterne krav som stilles til rapportering i virksomheten, og at den har etablert rutiner, systemer og strukturer som ivaretar disse kravene. Uavhengig av om dataene som inngår i rapporteringsgrunnlaget er utarbeidet internt eller eksternt, er det viktig at virksomheten har rutiner som sikrer at informasjonen er korrekt og pålitelig, og at datakilder og -grunnlag er definert og kan etterprøves. Effektiv internkontroll tilsier også at virksomheten følger opp at rapporteringen tjener sitt formål, dvs. at den er korrekt, rettidig og relevant, og at den er tilpasset mottakerens behov.

2.2.3 Overholdelse av lover og regler

Statlige virksomheter omfattes av en rekke lover og regler, som forvaltningsloven, offentlighetsloven, lov om offentlige anskaffelser, arbeidsmiljøloven og andre lover med tilhørende forskrifter som regulerer virksomheten eller fagområdet spesielt. Det å etterleve statlige regelverk som bevilgningsreglementet og økonomiregelverket er også et grunnleggende krav for statlige virksomheter. Overholdelse av disse regelverkene er derfor en viktig internkontrollmålsetting innenfor denne kategorien. Statens personalhåndbok og utredningsinstruksen inneholder også sentrale bestemmelser som statlige virksomheter er forpliktet til å følge. Videre vil instruks for økonomi- og virksomhetsstyring fra departement til virksomhet inneholde krav til virksomheten. Virksomheten kan også ha fastsatt ulike interne policyer og prosedyrer⁵ som faller innenfor denne målsettingskategorien for internkontroll.

Det kan fremstå som selvfølgelig at statlige virksomheter skal overholde gjeldende lover og regler. Like fullt finnes det eksempler på at det kan være utfordrende å oppnå tilfredsstillende sikkerhet for at dette faktisk skjer. Overholdelse av lover og regler forutsetter at virksomhetens ledere og medarbeidere har oversikt over hvilke lover, forskrifter, rundskriv og instrukser som gjelder for virksomheten, og hvilke interne policyer og prosedyrer som er etablert. Videre forutsettes det at virksomheten har oversikt over i hvilke prosesser, enheter/funksjoner og arbeidsoppgaver gjeldende lover og regler har betydning. Effektiv internkontroll innebærer at det er etablert tiltak som i nødvendig grad sikrer at krav som følger av lover og regelverk, ivaretas i de ulike prosessene og enhetene i virksomheten.

Virksomhetene kan gjennom ulike former for tiltak sørge for at lover og regler blir overholdt, eksempelvis gjennom å kreve at ansatte innehar en gitt type kompetanse, etablere opplæringsprogrammer, ha maler og prosedyrer som sikrer at sakene gjennomgår gitte steg, ha en klar arbeidsdeling, ha sjekklister, mv. Lover og regler kan endres, og det er derfor viktig at virksomheten har prosedyrer for å fange opp nye krav og endringer, og at ansvaret for å følge opp dette området er definert.

¹Definisjonen bygger på COSO (Committee of Sponsoring Organizations of the Treadway Commission), jf. COSO-rapport 1992 Intern kontroll – et integrert rammerverk, og en uoffisiell oversettelse av Draft dec. 2011 fra COSO. Begrepet internkontroll benyttes synonymt med COSOs og økonomiregelverkets begrep intern kontroll.
²Bestemmelsene punkt 2.2.
³Reglemet § 4b og bestemmelsene punkt 2.4.
⁴Bestemmelsene kapittel 3. Skattetetaten og Statistisk sentralbyrå er eksempler på eksterne parter.
⁵Med policyer og prosedyrer menes her virksomhetens interne dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyre), jf. kapittel 4.1.1 i denne veilederen.