Publisert: 03.06.2020
God internkontroll er både et kontinuerlig arbeid og et resultat av arbeidet; vi arbeider med internkontroll, og vi har internkontroll.
KS gir tre generelle råd til kommuner som vil styrke sin internkontroll.
Risiko- og kontrollmatriseRåd nr 1: Mer formalisert internkontroll
Vi må ha formalitetene i orden! En forutsetning for god internkontroll er at vi har avklart roller og ansvar. Dette betyr blant annet at delegeringsreglement er utarbeidet, oppdatert og kjent. Delegering er avgjørende for organisering og myndighet i kommunen, og er et eksempel på at god internkontroll og god ledelse er mye av samme. Mer formalisering betyr også mer skriftlighet, dvs dokumentasjon. Dette gjelder vedtak og beslutninger, både i tjenesteyting, myndighetsutøvelse og som arbeidsgiver.
Det er også nødvendig å dokumentere hva som er gjort, eksempelvis risikovurderinger, undersøkelser om hvordan internkontrollen fungerer, samt innmelding og lukking av avvik. Det kan også være riktig å dokumentere vurderinger som ligger til grunn for en beslutning, særlig når ulike hensyn eller momenter er veid opp mot hverandre forut for en konklusjon. I mange tilfeller ivaretas dette gjennom møtereferat eller notater fra samtaler.
Sist, men ikke minst så må dokumenter lagres slik at det er gjenfinnbart for ettertiden og av andre.
Husk: Legg vekt på felles språk (begrep) og forståelse om hva som er forventet. Dette har også nytte i kommunikasjon på tvers i organisasjonen og med de folkevalgte
Tips: Bruk felles maler og verktøy – for bruk i hele organisasjonen. Dette tydeliggjør hva som er forventet av dokumentasjon, og forenkler arbeidet for den som skal samle resultater fra hele organisasjonen.
Råd nr. 2: Mer risikobasert internkontroll
Å arbeide risikobasert betyr å ha oppmerksomhet på hva som kan gå galt, og deretter gjøre det som er nødvendig for å redusere risikoen til et akseptabelt nivå. Et hovedfunn i rapporten "85 tilrådingar for styrkt eigenkontroll" var at kommunenes internkontroll var for lite risikobasert. Det kan bety at det er risikoer som ikke er kjent og derved ikke vurdert eller håndtert mht reduksjon av risiko. Det kan også bety at dere har internkontroll eller tiltak som ikke er treffsikre eller relevante, eller at de er overflødige.
Hensikten med å kartlegge og analysere er altså å bli tilstrekkelig trygg på at uønskede hendelser ikke inntreffer, dvs at våre rutiner og arbeidsformer er gode nok. En systematisk tilnærming bidrar til at vi oppdager og blir bevisst på risikoer som ellers kunne blitt oversett.
Kommunene er svært komplekse organisasjoner hvor det utføres mange ulike aktiviteter og oppgaver. I praksis vil det ikke være mulig å gjøre detaljerte risikovurderinger av alle arbeidsprosesser, men dere må være sikre på at internkontrollen er god nok der risikoen er størst.
I veilederen finnes en enkel metode for risikobasert internkontroll, les om dette i kapittel 6, 7 og 8.
Husk: Det er ikke nødvendig å sikre seg mot alle eventualiteter, og risiko behøver ikke være null. Kommunesektoren har for det meste ærlige og pliktoppfyllende medarbeidere som ønsker å gjøre en god jobb, internkontrollen skal ikke ta utgangspunkt i at folk er kriminelle eller udugelige.
Figur: KS
Råd nr. 3: Bedre sammenheng mellom internkontroll og øvrig ledelse og styring
God internkontroll handler i stor grad om god ledelse, organisering og styring av virksomheten. Kommunedirektørens rolle som pådriver i arbeidet er avgjørende for at dere skal lykkes med styrking av internkontrollen. Styrking av internkontroll handler om endring, utvikling og læring. Ledere og medarbeidere på alle nivå er derfor viktig i forbedringsarbeidet.
Ledere har stor verdi og stort ansvar som tilretteleggere og rollemodeller. Ledere må representere et positivt og støttende engasjement, gi hjelp og veiledning underveis, og formidle forventninger og ambisjoner. Gjennom å vise et positivt og støttende engasjement og vise til fordelene ved god internkontroll, bygges troverdighet og legitimitet. God internkontroll handler ikke om mistillit og detaljkontroll, men om trygghet og merverdi i arbeidshverdagen. Samtidig er ledelsen i posisjon til å gjennomføre og følge opp gjennom organisering og tilrettelegging, og ved å etterspørre aktiviteter og resultater.
Enten du er medarbeider eller leder så er ikke internkontroll en "ekstra" oppgave eller ansvar som kommer i tillegg til den egentlige jobben. Tvert om handler det mye om hvordan vi gjør den egentlige jobben vår, og da har både arbeidsformer og organisasjonskultur betydning.
Tenk gjennom
- Er roller og ansvar gjennomgått og kjent?
- Dokumenterer vi vurderinger og beslutninger
- Bruker vi felles maler og begrep, og lagrer vi gjenfinnbart?
- Tenker vi internkontroll som en del av lederansvaret, og ikke "noe ekstra"?