← Til dfo.no
Veileder i internkontroll

4.1 Planlegging

Oppdatert

Planlegging innebærer å fastsette rammer og ressurser for arbeidet med internkontroll.

Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og overordnet status, det vil si ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurdering.

Figur 6: Internkontrollprosessen – planlegging

4.1.1 Ambisjonsnivå og overordnet status for internkontrollen

Det er virksomhetsledelsen som setter ambisjonsnivået for virksomhetens internkontrollsystem. Ambisjonsnivået må tilpasses virksomhetens risiko, vesentlighet og egenart. Selv om virksomheter i utgangspunktet skal ha styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder og prosesser. 

Det er i den forbindelse viktig at virksomhetsledelsen etablerer en felles oppfatning av ønsket balanse mellom det å ha kontroll og det å ta risiko. Basert på disse vurderingene må virksomhetsleder definere virksomhetens risikotoleranse. Les mer i metodedokumentet «Risikostyring i staten»

Økonomiregelverkets krav og føringer knyttet til intern- kontroll sammenholdt med de generelle kravene og føringene som gis i COSO og andre anerkjente rammeverk, viser at det er flere faktorer som er relevante å vurdere når virksomhetens ambisjon knyttet til internkontroll skal fastsettes.

Nedenfor er det listet opp syv kjennetegn på effektiv internkontroll som virksomheter bør tilstrebe å oppnå. Ambisjonsnivået med hensyn til det enkelte kjennetegn vil variere med virksomhetens risiko, vesentlighet og egenart. Gjennom å drøfte og ta stilling til i hvilken grad virksomhetens internkontroll bør preges av disse kjennetegnene, vil virksomheten ha et grunnlag for å sette ambisjonsnivået for internkontrollen.

Kjennetegn på effektiv internkontroll

  • Ledelsen viser et tydelig engasjement og ansvar for styring og kontroll gjennom å prioritere ressurser og fastsette ambisjoner og rammer for internkontrollen som understøtter behovet for og kravene til internkontroll som er tilpasset virksomheten. Ledelsen bidrar til å utvikle et godt styrings- og kontrollmiljø ved å gå foran som et godt eksempel.

  • Omfanget av og innretningen på internkontrollen baseres på en vurdering av risiko og vesentlighet og tilpasses virksomhetens egenart. Internkontrollen dimensjoneres ut fra en vurdering av kost–nytte.

  • Ansvar, myndighet og roller er tydelig definert slik at alle ledere og medarbeidere kjenner og forstår sine ansvars- og myndighetsområder. Det er tydelig hvem som har ansvar for hva og når.

  • Internkontrollen integreres i virksomhetens styring og drift og er i størst mulig grad innebygd i prosesser og aktiviteter.

  • Innretningen på, omfanget av og kravene til utførelsen av internkontrollen er fastsatt, og dette er dokumentert, kommunisert og tilgjengeliggjort. Gjennomførte tiltak dokumenteres i nødvendig grad og på en måte som gjør det mulig både å følge opp og å etterprøve tiltakene.

  • Fastsatt internkontroll blir etterlevd og systematisk fulgt opp, vedlikeholdt og videreutviklet slik at den gir ønsket effekt.

  • Internkontrollen standardiseres og har samme struktur og utforming på tvers av virksomheten der det er mulig (like ting gjøres likt). Internkontrollen på ulike områder og nivåer ses i sammenheng og utgjør en helhet.

I vurderingen av hvordan statusen på internkontrollen i den enkelte virksomhet er, vil ledelsen blant annet legge til grunn den kunnskapen den besitter på bakgrunn av informasjon fra tidligere år.

Eksempel på kilder kan være:

  • oppfølging/testing av etterlevelse og effekt av tiltak mv.
  • informasjon fra avvikssystemer og varslingskanaler
  • tidligere gjennomførte risiko- og vesentlighetsvurderinger
  • tidligere revisjoner, både rapporter fra Riksrevisjonen og eventuelt internrevisjon
  • tilsynsrapporter og pålegg fra tilsynsmyndigheter
  • intern rapportering på hvor godt internkontrollen fungerer, eksempelvis lederbekreftelser
  • øvrige kjente feil og svakheter i virksomhetens internkontroll

Virksomhetsledelsen bør gjennomføre en selvstendig vurdering av samlet status på internkontrollen. Det kan for eksempel gjøres ved å gjennomføre egenevalueringer og/eller modenhetsvurderinger. 

Det bør vurderes om det kan være hensiktsmessig at egenevalueringer blir utført på ulike nivåer i virksomheten. På denne måten kan ledere på alle nivåer få et bilde av status på internkontrollen innenfor eget ansvarsområde, og det vil være mulig å sammenligne mellom nivåer. Hvis det er stort avvik mellom de konklusjonene virksomhetsledelsen og ledere på lavere nivåer kommer frem til, kan dette gi nyttig informasjon om variasjoner og utfordringer som bør vurderes i arbeidet med internkontroll.

Når både ambisjonsnivå og status er klargjort, kan ledelsen gjennom en gap-analyse identifisere områder som krever spesiell oppmerksomhet og prioritet i internkontrollarbeidet.

4.1.2 Rammer og ressurser for internkontrollarbeidet

Ledelsen bør, med bakgrunn i gap-analysen, gjennomføre prioriteringer og fastsette rammer for internkontrollarbeidet. Virksomheten bør løpende eller minst én gang i året ta stilling til om det er behov for større gjennomganger av hele eller deler av internkontrollen, om det skal nedsettes prosjekter, eller om det er tilstrekkelig at arbeidet skjer som en del av den ordinære aktiviteten i linjen. Større tiltak og prosjekter bør inkluderes i virksomhetens planer. På den måten forankres og tydeliggjøres også ledelsens prioriteringer og holdning til arbeidet med internkontroll.

Som et resultat av ledelsens prioriteringer og rammer bør det defineres hvem som har ansvar for hva i internkontrollarbeidet, og når ulike aktiviteter skal skje. Ansvarsplassering må ses i sammenheng med valgt organisering og fullmaktsstruktur i virksomheten. Det kan være nødvendig å avklare forhold knyttet til ansvar og rolle for spesifikke aktiviteter eller tiltak som ledelsen har identifisert i planleggingssteget, og som ikke ligger i de etablerte ansvarsstrukturene.

Det vil også være hensiktsmessig at ledelsen som en del av den årlige planprosessen i virksomheten tar stilling til både hvor mye og hvilke ressurser som bør settes av til arbeidet med å etablere og forbedre virksomhetens internkontroll. Dette gjelder ressurser både i form av kompetanse og medarbeidere, og i form av eventuelle budsjettmessige allokeringer, eksempelvis til å gjennomføre kurs, mv.

Dersom ledelsen har etablert en rolle eller funksjon som skal ha et særskilt ansvar for å støtte, tilrettelegge og fungere som pådriver i internkontrollarbeidet, vil det være naturlig at ledelsen som en del av planleggingssteget godkjenner denne funksjonens plan for årets aktiviteter. Det er også viktig at ledelsen, som et ledd i sin planlegging, fastsetter på hvilke ledermøter internkontroll skal behandles og følges opp.

Det vil være nødvendig å se den endelige planleggingen av rammer og internkontrollressurser i sammenheng med risikovurderinger for det enkelte år.

4.1.3 Oppsummering

I planleggingssteget avklares og forankres ledelsens prioriteringer og rammer for internkontrollarbeidet. Dette innebærer at roller og ansvar tydeliggjøres, at det gjøres en ressursallokering og at tidsplaner, frister og rapporteringspunkter konkretiseres. 

Planleggingen skjer på bakgrunn av en vurdering av status sett opp mot ambisjonsnivået for internkontrollen. Planleggingen må ses i nær sammenheng med neste steg, risikovurdering. Dette innebærer at resultatet fra risikovurderinger må foreligge før ledelsen kan fastsette endelige prioriteringer og rammer for internkontrollarbeidet.

Relevante verktøy i planleggingsfasen:

Fant du det du lette etter?