Som leder er du ansvarlig for å initiere og legge til rette for prosessen med å gjennomføre og utvikle internkontrollen i virksomheten.

Planlegg med rammer og ressurser

Arbeidet med å etablere og forbedre internkontrollen krever at ledelsen har fastsatt ambisjoner og rammer for internkontrollarbeidet. Gjennom planleggingen fastsettes rammer og ressurser for arbeidet med internkontroll. Rammene og ressursene baseres på virksomhetsledelsens ambisjonsnivå for internkontrollen og status, dvs. ønsket nivå på sikt sett opp mot nåsituasjonen. Planleggingen av internkontrollarbeidet må ses i nær sammenheng med både tidligere års risikovurderinger og inneværende års risikovurderinger.

Vurder risiko på alle nivåer 

Som leder må du sørge for at det gjennomføres risikovurderinger, og at disse ses i sammenheng med hverandre. Gjennom risikovurderinger identifiseres risikoer som kan true oppfyllelsen av virksomhetens mål og krav, herunder de tre internkontrollmålsettingene. Med bakgrunn i dette kan ledelsen beslutte hvilke områder og prosesser som bør ha størst prioritet i kommende periodes internkontrollarbeid. For å kunne gjennomføre gode risikovurderinger forutsettes det at ledelsen har en tilfredsstillende oversikt over mål og krav, de mest sentrale prosessene i virksomheten, samt hvordan ansvarsforholdet i og i tilknytning til disse prosessene er definert. Risikovurdering gir deg som leder et grunnlag for å vurdere gjenværende risiko og klargjør behovet for å forbedre og følge opp internkontrollen.

Utform risikoreduserende tiltak

Gjennom prosessen med å utforme tiltak vil aktuelle risikoreduserende tiltak bli identifisert, vurdert, prioritert, besluttet og utformet. Tiltak kan være alt fra å utforme eller oppdatere policyer, prosedyrer og kompetanseutviklingstiltak, til å utforme og justere nye transaksjonskontroller. Når det skal besluttes hvilke tiltak som skal utformes, bør det gjennomføres en kost–nytte-vurdering av tiltakene. Det er ledelsen som beslutter hvordan arbeidet med å utforme og oppdatere tiltak skal gjøres, for eksempel om det skal nedsettes prosjekter, eller om arbeidet skal skje i linjen.

Gjennomfør nye tiltak på en god måte

Gjennom arbeidet med å implementere nye tiltak sikres det at besluttede tiltak blir iverksatt, slik at de etterleves og gir varig effekt. Det er ikke tilstrekkelig å utforme gode tiltak. Ledelsen må sikre at disse faktisk blir iverksatt, gjennomført og etterlevd. Nye tiltak kan implementeres gjennom ulike typer aktiviteter, som opplæring, tilgjengeliggjøring av nye/oppdaterte policyer og prosedyrer, iverksetting av nytt IT-system, mv. For tiltak som krever en bestemt type atferd, eksempelvis evakuering ved brann eller praktisering av etiske retningslinjer, vil øvelser og trening i bruk og gjennomføring også kunne inngå som aktuelle implementeringsaktiviteter.

Følg opp effekt, og driv kontinuerlig forbedring

Gjennom oppfølging¹¹ av internkontrollen kan du som leder sikre en systematisk vurdering av internkontrollsystemets utforming, etterlevelse og effekt. I tillegg vil regelmessig og systematisk oppfølging bidra til at svakheter korrigeres før de i vesentlig grad påvirker virksomhetens evne til å oppfylle mål og krav. Resultatene fra oppfølgingen vil også gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten. Som leder må du følge opp både at besluttede forbedringer blir utformet og implementert, og at allerede etablert internkontroll etterleves og fungerer som forutsatt. Oppfølgingen kan enten være en del av den løpende driften, eller den kan være organisert som en frittstående aktivitet eller oppgave.

Rapporter resultater fra oppfølgingen til riktig nivå og rett tid

Gjennom rapportering sikres det at resultater fra oppfølgingen på lavere nivåer formidles til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering. Det gir deg som leder et grunnlag for å vurdere kvaliteten på internkontrollen innenfor eget ansvarsområde. Videre legges det til rette for at mangler ved internkontrollen blir formidlet til og håndtert på riktig nivå, og slik gir grunnlag for kontinuerlig forbedring. Rapportering gir virksomhetsledelsen et grunnlag for å vurdere den samlede kvaliteten på virksomhetens internkontroll, og gir nyttig informasjon til bruk i styringen og planleggingen av neste periode. Rapporteringen skal også kunne gi virksomhetsleder et kvalifisert grunnlag for å konkludere og rapportere til overordnet departement om tilstanden på virksomhetens samlede internkontroll.¹²

^{11Oppfølging er sammenfallende med betydningen av COSO-rammeverkets overvåkningskomponent.
12I henhold til Høringsnotat Årsrapport og årsregnskap for statlige virksomheter, med høringsfrist 8. april 2013, skal årsrapporten i del IV omhandle styring og kontroll i virksomheten.}