Gjennom oppfølgingen får ledelsen informasjon om hvorvidt internkontrollmålsettingene oppnås, og om implementerte tiltak etterleves og gir ønsket effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle fastsatte mål og krav. Resultatene fra oppfølgingen vil gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten.

4.5.1 Ledelsen har hovedansvaret

Ledelsen har hovedansvaret for at virksomhetens internkontrollsystem fungerer effektivt. Det er viktig at ledelsen i sin oppfølging fokuserer særlig på internkontrolltiltak rettet mot virksomhetens vesentligste risikoer med tilhørende kontroller, herunder kontroller som har høy konsekvens dersom de svikter. Virksomheten bør vurdere behovet for å formalisere ledelsens oppfølging av internkontrollen i policyer og/eller prosedyrer.

Organisering av arbeidet

Avhengig av hvordan virksomheten velger å organisere internkontrollarbeidet, jf. kapittel 3.1.4, vil oppfølgingen skje på ulike måter, på ulike nivåer og av ulike roller og funksjoner i virksomheten. Oppfølging kan skje ved at ledere følger opp både om internkontrollen etterleves, og om den gir ønsket effekt. 

Oppfølging kan skje gjennom stikkprøvekontroller/tester, analyser, innhenting og analyse av styringsparametere og indikatorer. Ettersom det ikke er hensiktsmessig å følge opp alt, er det nødvendig å prioritere de områdene og kontrollene som anses som viktigst med hensyn til risiko og vesentlighet. Basert på informasjon som innhentes gjennom oppfølgingen, bør lederne på ulike nivåer gjennomføre en helhetlig analyse og vurdering av internkontrollen innenfor eget område. 

Forbedringsbehov innenfor eget ansvarsområde som lederen selv kan beslutte, må planlegges og inngå som en del av øvrig oppgaveportefølje på ansvarsområdet. Forbedringsbehov som ligger utenfor den aktuelle lederens ansvars- og myndighetsområde, må også håndteres, og oppfølgingen vil da bestå i å løfte saken videre for vurdering og beslutning på et høyere nivå.

For virksomheter som har organisert internkontrollarbeidet gjennom å definere en egen rolle eller funksjon som støtter ledelsen i arbeidet med internkontroll, vil oppfølging også kunne skje ved at denne funksjonen på vegne av ledelsen gjennomfører tester for å verifisere om internkontrollen etterleves og gir ønsket effekt. 

Virksomheter som har internrevisjon², vil kunne få en mer uavhengig tilbakemelding på hvordan hele eller deler av internkontrollsystemet fungerer på et gitt tidspunkt. Internrevisjonsfunksjonen omtales imidlertid ikke nærmere i denne veilederen.

4.5.2 Vurdere om internkontrollen etterleves og gir ønsket effekt

Oppfølging kan skje i form av løpende oppfølging, frittstående oppfølging eller en kombinasjon av de to. Type oppfølging, hyppighet og omfang avhenger av den enkelte risiko og virksomhets behov. Virksomhetens størrelse og kompleksitet er relevant i denne sammen- heng. I store og komplekse virksomheter er virksomhetsledelsen ofte mindre involvert i gjennomføringen av kontroller og må derfor stole på oppfølgings- prosedyrer som utføres av lavere ledelsesnivåer. I mindre virksomheter er virksomhetsledelsen mer direkte involvert i oppfølgingen av risikoer og tilhørende kontroller, og får dermed mer direkte informasjon om statusen på internkontrollsystemet. 

Risikonivået henger sammen med kompleksiteten. Derfor forventes det mer oppfølging på områder med større kompleksitet. Dette som følge av at risikoen er høyere, eksempelvis som følge av sektorrelaterte egenskaper, komplekst regelverk, antall produkter eller tjenester, sentralisert versus desentralisert organisering, mv. Virksomhetens styrings- og kontrollmiljø spiller også her en rolle. En virksomhet som har et velfungerende styrings- og kontrollmiljø, vil ha mindre behov for oppfølging i form av etterkontroller og stikkprøver.

Løpende oppfølging

Med løpende oppfølging menes ulike manuelle eller automatiske oppfølgingsaktiviteter som er bygd inn i virksomhetens rutinemessige driftsaktiviteter. Løpende oppfølging gir den viktigste støtten til ledelsens daglige oppfatning av hvor godt internkontrollsystemet fungerer, og gir den beste mulig- heten for å identifisere og korrigere kontrollsvakheter på et tidlig tidspunkt. Løpende oppfølging kan blant annet være ulike avstemminger, analyser og oppfølging av styringsparametere.

Eksempelvis kan oppfølging av en styringsparameter som viser brudd på saksbehandlingsfrister eller utvikling i antall klagesaker, være en relevant indikator som sier noe om hvor effektivt internkontrollen fungerer. Løpende oppfølging omfatter også tester/etterkontroller og stikkprøver for å verifisere at prosedyrer og kontroller gjennomføres som forutsatt og gir ønsket effekt og kvalitet. I den grad virksomheten kan automatisere oppfølgingen og integrere automatiserte oppfølgings- og kontrollaktiviteter som en del av eksisterende IKT-systemer, vil det bidra til mer effektiv oppfølging, styring og kontroll.

Enkelte virksomheter har etablert avvikssystemer hvor virksomheten løpende og systematisk registrerer og håndterer avvik. Avvikssystemer finnes i mange ulike typer, fra mer eller mindre komplekse og omfattende IKT-systemer og databaser som håndterer både rapportering, oppfølging og avslutning (lukking) av avvik, til enkle skjemaer eller oppfølgingspunkter på allerede eksisterende rapporteringsmaler. 

Dersom virksomheten velger å etablere et avvikssystem, er det viktig at virksomheten definerer prosedyrer for bruk av dette systemet, blant annet for hvordan den skal registrere og håndtere avvik. Det er også viktig at informasjonen fra avvikssystemet faktisk benyttes som informasjonskilde i forbedringsarbeidet, og at informasjon om avvik ikke får negative konsekvenser for medarbeidere eller blir ignorert.

En spesiell form for avviksoppfølging er varslinger av kritikkverdige forhold. Alle virksomheter er i henhold til arbeidsmiljøloven pålagt å ha en uavhengig varslingskanal og legge forholdene til rette for intern varsling ved kritikkverdige forhold. Ledelsen må sørge for løpende oppfølging av registrerte varsler.

Frittstående oppfølging

Ved frittstående oppfølging kan de samme teknikkene benyttes som ved løpende oppfølging, men denne typen oppfølging er utformet for å følge opp kontroller periodevis. Ofte gjennomføres denne typen oppfølging på et mer objektivt grunnlag, av personer som har større avstand til og er mer uavhengige med hensyn til det området som skal vurderes. Oppfølgingen kan ha en bred tilnærming ved at hele eller store deler av virksomhetens internkontroll evalueres, eller evaluering kan begrenses til en enhet, et ansvarsområde eller en prosess. 

Eksempler på frittstående oppfølging kan være oppfølginger og evalueringer som er gjennomført av internrevisjonen eller Riksrevisjonen, og evalueringer som er utført av kompetansemiljøer internt eller eksternt.

Omfang og hyppighet av frittstående oppfølging avhenger både av risikovurderingen og av hvor effektive de løpende oppfølgingsrutinene er³. Ofte kan frittstående oppfølging være aktuelt i situasjoner der ledelsen gjennom en risiko- og vesentlighetsvurdering har identifisert områder hvor de mener det er behov for en større gjennomgang. Bruk av en slik type evaluering er omtalt i reglementet § 16.

En virksomhet som opplever et stort behov for hyppig frittstående oppfølging og evaluering, bør vurdere å forbedre virksomhetens prosesser og løpende oppfølgingsaktiviteter og på den måten søke å integrere, dvs. «bygge inn» heller enn å «legge til», kontroller⁴.På den måten vil oppfølgingen i større grad integreres i, og ses i sammenheng med, den øvrige og løpende styringen og kontrollen av virksomheten. Jo større omfanget av og effektiviteten i løpende oppfølging er, jo mindre er behovet for frittstående oppfølging.

4.5.3 Bruke informasjon fra oppfølgingen til styring, læring og forbedring

Systematisk og helhetlig oppfølging av internkontrollen, og aktiv bruk av resultatene fra oppfølgingen i virksomhetens planlegging og risikovurdering, vil bidra til å sikre at internkontrollen til enhver tid er tilpasset risiko og vesentlighet. Oppfølgingen er følgelig en viktig premiss for å utvikle en dynamisk og velfungerende internkontroll og for å oppfylle de tre internkontrollmålsettingene. Systematisk oppfølging er også et avgjørende element i virksomhetens generelle lærings- og forbedringsarbeid.

Læring og forbedring oppnås best i virksomheter som systematisk legger til rette for erfaringsutveksling ved å etablere arenaer for oppfølging, problemløsing og avvikshåndtering på alle nivåer i organisasjonen (team, seksjon, avdeling, virksomhet).

Ved å benytte kunnskap og erfaring som er opparbeidet internt i virksomheten, samt benytte kunnskap fra brukere, leverandører og samarbeidspartnere, vil virksomheten legge til rette for kontinuerlig forbedring og utvikling. For å få til en slik utvikling er det viktig at det i virksomheten skapes en åpenhetskultur hvor det er «akseptert» å gjøre utilsiktede feil, og hvor registrering og håndtering av avvik blir verdsatt og anerkjent som verdifullt for virksomhetens videre utvikling.

4.5.4 Oppsummering

Etter at internkontrollen har blitt fulgt opp på ulike nivåer i virksomheten, skal ledelsen kunne danne seg et kvalifisert grunnlag for å vurdere om internkontrollsystemet er tilstrekkelig oppdatert og i stand til å håndtere virksomhetens risikoer. Oppfølgingen skal følgelig kunne danne grunnlag for å rapportere tilstanden på internkontrollen innenfor eget område, og dessuten danne grunnlag for å forbedre og eventuelt korrigere internkontrollen.

¹Oppfølging sammenfaller med betydningen av COSO-rammeverkets overvåkingskomponent.
²For en utdyping om internrevisjon kan DFØs rapport 2009:4 Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging og DFØs veileder Trenger vi en internrevisjon være relevante kilder.
³DFØs metodedokument Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen, kapittel 3.9.
⁴COSO 2009: Veiledning i oppfølging av internkontroll, del II: Anvendelse, s. 41.