• Har virksomheten etablert internkontroll tilpasset risiko, vesentlighet og egenart, og hvordan vet du i så fall det?
• Har virksomheten et avklart forhold til balansen mellom det å ha kontroll og det å ta risiko, og er dette et tema i ledelsens diskusjoner?
• Etterleves etablert internkontroll, og gir den ønsket effekt, og hvordan vet du i så fall det?

Risikotoleranse

Selv om virksomheten i utgangspunktet skal ha styring og kontroll på alt, er det ikke hensiktsmessig å etablere like omfattende internkontroll innenfor alle områder i virksomheten. Det er i den forbindelse viktig at det etableres en felles forståelse av virksomhetens risikotoleranse⁶. Det innebærer at ledelsen i den enkelte virksomhet må ta stilling til hva som er tilstrekkelig kontrollnivå ut fra risiko, og på hvilke områder det er viktigst å ha kontroll.

Det er virksomhetens ledelse som har ansvar for internkontrollen, og som formelt bestemmer og fastsetter hvordan arbeidet med å etablere og forbedre internkontrollen skal gjennomføres. Det innebærer også et ansvar for å fastsette ambisjonsnivået for internkontrollen, organisere arbeidet og fastsette hvordan internkontrollen skal gjennomføres og følges opp, herunder hvordan avvik og feil skal behandles, og hva som skal rapporteres.

Internkontrollansvarlig

I hvilken utstrekning virksomhetsledelsen selv er direkte involvert i arbeidet med å etablere og forbedre internkontrollen, vil avhenge av hvordan den enkelte virksomhet velger å organisere arbeidet. DFØ anbefaler at virksomhetsleder definerer en egen funksjon/rolle med fagansvar for internkontroll som skal støtte ledelsen og tilrettelegge for en helhetlig tilnærming i virksomhetens arbeid med internkontroll. Det understrekes at ledelsen i linjen har ansvar for internkontroll i virksomheten selv om virksomheten velger å organisere arbeidet ved å etablere en slik funksjon/rolle.

Oppfølging/etterlevelse

Som leder er det imidlertid ikke nok å påse at det etableres tilfredsstillende internkontroll i virksomheten. Som leder må du i tillegg sørge for at etablert internkontroll etterleves på en måte som gir ledelsen trygghet for at driften fungerer som forutsatt og gir de resultatene som forventes, det være seg i form av oppfyllelse av mål og krav, overholdelse av lover og regler, eller korrekt og pålitelig rapportering internt og eksternt. Som leder må du derfor påse at det skjer en strukturert oppfølging av at internkontrollen etterleves og fungerer på en tilfredsstillende måte. Dette innebærer også at du som leder etterspør dokumentasjon og innhenter informasjon som viser hvilke effekter som oppnås på vesentlige områder. Det kan i tillegg innebære at du som leder sørger for at det blir utført kontroller, for eksempel i form av stikkprøvekontroller og oppfølging av styringsparametere, for å verifisere at etablert internkontroll og konkrete tiltak etterleves. Denne oppfølgingen bør i størst mulig grad integreres i øvrig ledelsesoppfølging i virksomheten.

Integrering i styringsprosessene

Internkontroll skal primært integreres i de etablerte styringsprosessene i virksomheten. Dette innebærer at du som leder må sørge for at internkontrollarbeidet integreres i virksomhetens øvrige planleggings-, oppfølgings- og rapporteringsrutiner for å gi nødvendig styringsinformasjon og beslutningsgrunnlag. Eksempelvis bør risikovurdering og planlegging gjøres i forbindelse med innspill til og mottak av tildelingsbrev. Tilsvarende bør virksomhetens rapportering på internkontrollen tilpasses slik at den gir informasjon som er nyttig for planleggingen av neste år og arbeidet med virksomhetens årsrapport.

^{6DFØ 01/2008: Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen. Risikotoleranse: Et akseptert nivå på risiko for ikke å nå den enkelte målsetting.}