Kurs i internkontroll 29. September 2016

Program for dagen – en

3-deling

1. Hva er internkontroll i en statlig kontekst?

2. Hvorfor skal vi bruke tid og ressurser på

internkontroll?

3. Hvordan etablere og forbedre

internkontroll ved hjelp av

• et godt fundament for internkontroll?

• en strukturert metode i seks steg?

2

Forventninger til dagen?

23.01.2017 3

Nødutganger og prosedyre i tilfelle evakuering

• Nødutganger – legg merke til disse

• Kursleder viser veien ut ved evakuering

• Ingen bruker heis ved evakuering

• Samleplass er «Spikersuppa»

• Hold kontakt med kursleder til situasjonen er avklart og ny beskjed

blir gitt

23.01.2017 4

Introduksjon til kurset internkontroll og sammenheng til kurs i MRS og risikostyring

Side 6

DFØs veiledningsmateriell knyttet til internkontroll

www.dfo.no/internkontroll

Bedre internkontroll, ikke nødvendigvis mer internkontroll!

Hovedveileder +

gjennomgangs-

eksempel

Ledersammendrag Praktiske verktøy til bruk i gjennomføring

og oppfølging av internkontrollen

MRS – Risikostyring – Internkontroll

aktiviteter/

prosesser

produkter/

tjenester

bruker-

effekter

samfunns-

effekter

innsats-

faktorer

Innenfor virksomhetens

interne kontroll

Utenfor virksomhetens

kontroll

Side 7

Operasjonell risiko Strategisk risiko

(gjøre de riktige tingene) (gjøre tingene riktig)

Risiko

Del 1 – Hva er internkontroll

I en statlig kontekst Ola Otterdal

Side 9

Hva legger dere i begrepet internkontroll?

Refleksjonsspørsmål I

Internkontroll er så mangt…..

Side 10

Kompetanse

Etiske verdier Ledelsesfilosofi Organisering

Tonen på toppen

Identifisere, vurdere

og håndtere risikoer - Virksomhet - Avdelings- og

seksjon - Prosess

Godkjennelser

Attestasjoner Verifikasjoner Avstemminger

Driftsgjennomganger Ansvarsfordeling

Sikring av ressurser

Følge opp om

internkontrollen fungerer og gir ønsket effekt

Løpende /inngår i daglig ledelse

Frittstående

Identifisere, analysere og

formidle relevant og riktig informasjon til riktig tid

Kommunikasjonskanaler

Internkontroll skal bidra til så mangt…..

Side 11

Målrettet og effektiv drift

‾ At fastsatte mål og resultatkrav oppnås

‾ Ressursbruken er effektiv

‾ Forsvarlig forvaltning av ressurser

Pålitelig rapportering, både

regnskapsinformasjon og annen informasjon - Internt

- Eksternt - Dep.

- Brukere

- Tilsyn

Overholdelse av

lover og regler - Interne policyer og

prosedyrer

- Eksterne lover og regler

Veilederens tilnærming bygger på COSO

Internkontroll er en prosess, gjennomført av foretakets

styre, ledelse og ansatte som er utformet for å gi rimelig

sikkerhet vedrørende måloppnåelse innen følgende

områder:

• Målrettet og effektiv drift

• Pålitelig rapportering

• Overholdelse av lover og regler

Side 12

Hva innebærer kravet om målrettet og effektiv

drift? Pålitelig rapportering? og Overholdelse

av lover og regler?

• Målrettet og effektiv drift forutsetter kvalitet i oppgaveutførelsen

(Bestemmelsene pkt. 2.2)

• Pålitelig informasjon forutsetter kvalitet i arbeidet med innhenting,

bearbeiding og rapportering av informasjon (Bestemmelsene pkt. 2.3)

• Overholdelse av lover og regler forutsetter at disse er kjent og innarbeidet i

oppgavegjennomføringen (Bestemmelsene pkt. 2.2)

Side 13

Reglementets § 14 Internkontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll

for å sikre at:

a) Beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn

b) Måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og

resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i

nødvendig utstrekning

c) Ressursbruken er effektiv

d) Regnskap og informasjon om resultater er pålitelig og nøyaktig

e) Virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre

økonomiske verdier, forvaltes på en forsvarlig måte

f) Økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende

lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold

g) Misligheter og økonomisk kriminalitet forebygges og avdekkes

Side 14

Bestemmelsene punkt 2.4 Internkontroll

For å kunne utøve nødvendig intern kontroll, skal virksomhetens ledelse etablere

systemer, rutiner og tiltak med vekt på blant annet følgende faktorer:

a) Ledelsens og tilsattes kompetanse og holdning til resultatoppfølging og kontroll

b) Identifisering av risikofaktorer som kan medvirke til at virksomhetens mål ikke nås, og

korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende

måloppnåelse

c) Sikring av kvaliteten i den interne styringen, herunder forsvarlig arbeidsdeling, og

produktivitet i arbeidsprosessene

d) Informasjonsrutiner som sikrer at viktig og pålitelig informasjon av betydning for

måloppnåelsen kommuniseres på en effektiv måte

e) Rutiner for behandling og lagring av vesentlig informasjon som sikrer konfidensialitet,

integritet og tilgjengelighet

Side 15

DFØs metode - en generell tilnærming til

internkontroll • Veilederen legger til grunn et helthetlig perspektiv på

internkontroll, dvs. internkontroll på alle nivå og i hele

virksomheten (alle virksomhetens områder og prosesser–

ikke kun økonomi området!)

• Ulike fagområder har sine veiledere og standarder i

internkontroll, eksempelvis

• Internkontroll knyttet til anskaffelser (DIFI)

• Internkontroll knyttet til HMS (Internkontrollforskriften)

• Internkontroll knyttet til sikkerhet og beredskap (NSM, DSB)

• Internkontroll knyttet til informasjonssikkerhet/IKT systemer (DIFI)

• …

• …

16

Snurr film

https://www.youtube.com/watch?v=woifcCSqOGs

17

Pause

Del 1 – Hvorfor internkontroll?

Christine Vik

Side 20

Myter knyttet til internkontroll – ofte hørt…

“Internkontroll er for komplekst

og koster mer enn det smaker”

“Stoler på mine ansatte

så trenger ikke internkontroll”

“Vi er så spesielle så vi trenger ikke

internkontroll i like stor grad som for vanlige virksomheter”

“Min virksomhet er

så liten at jeg ikke trenger internkontroll”

Hvorfor bruke tid og ressurser på IK?

Side 21

Effektiv internkontroll gir merverdi i form av å;

• hjelpe oss å nå målene våre

• Samfunnseffekter og fornøyde brukere

• Kvalitet og effektivitet i produkt- og tjenesteleveranser

• gjøre det «enkelt å gjøre riktig første gang» og «vanskelig å

gjøre feil» –> forhindre bevisste/ ubevisste feil

• Fra reaktiv til proaktiv

• Frigjør ressurser til strategisk styring – «gjøre de riktige tingene»

• Fornøyde ledere og medarbeidere

• kontinuerlig forbedring gjennom system og struktur

«litt bedre enn i går» «like ting gjøres likt»

Internkontroll har to sider:

Improve your business

Keep you out of trouble

Del 3 – Hvordan oppnå effektiv internkontroll? Systematikk og struktur

Christine Vik og Ola Otterdal

Side 23

Internkontrollsystemet – DFØs tilnærming

Den enkelte virksomhets

internkontroll satt i system.

Beskrivelse av

internkontrollsystem i denne

veilederen består av et;

fundament som omfatter

styrings- og kontrollmiljø og

informasjon og

kommunikasjon

en strukturert metode for

arbeidet med etablering og

forbedring av

internkontrollen.

Side 24

Internkontrollsystemet forts.

Omfatter:

En strukturert prosess

i seks steg

Omfatter:

styrings- og kontrollmiljø

informasjon og kommunikasjon

Fundament Internkontrollprosessen

Internkontroll på ulike nivå i virksomheten

Side 25

© Direktoratet for økonomistyring 23.01.2017

Side 26

Strategier

Strukturer

Systemer

Kompetanse

Verdier og normer

Motivasjon

Følelser

Interesser

Tenkemåter

Styrings- og kontrollmiljø –

et fundament for effektiv internkontroll!

Styrende

dokumenter

Organisering

Forankret og dokumentert

fundament for internkontroll?

Sterk intern kultur «God kontroll»

«Lite kontroll» Liten effekt

Formelle krav og tiltak,

dokumentert og

etterprøvbart

Etterlevd

Dokumentasjon av etablert

internkontroll

Prosedyrer

Policyer

Overordnede

føringer og krav

Hvem og hva…

Hvordan …

Gjennomført IK

Internkontrollen er dokumentert og beskrevet i policyer og

prosedyrer el.

Side 30 © Direktoratet for økonomistyring

23.01.2017

Levere fellesløsninger til statlige virksomheter

Bygge kompetanse i statlige virksomheter

Forvalte økonomiregelverket, utredningsinstruks og samf.øk.analyse

Kommunikasjon med statlige virksomheter

Utvikle regelverkene

Drive

fagnettverk

Formidle

kompetanse Levere

veiledere

Levere analyser

og utredninger

Forvalte

konsernkonto-

ordningen

Levere

statsregnskapet

Levere

regnskapstjenester

Levere

lønnstjenester

Behandle

henvendelser

Kommunikasjon med statlige virksomheter

Strategi, styring og

ledelse

Utvikle faglig

standpunkt

Støtteprosesser og felles rammeverk

Administrasjo

n

Prosjekt-

styring

Prosess-

styring IT-styring

Kunde-

kommunikasjo

n

Tjeneste-

utvikling

Klikkbar oversikt på intranett og kundenett

Eksempel

Klikkbar oversikt på intranett

Side 31

Eksempel

Side 32

Eksempler på oppgaver som kan legges til en funksjon/rolle

med fagansvar for internkontroll er å:

• sørge for struktur og helhet i internkontrollarbeidet,

• bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet

med etablering og forbedring av internkontrollsystemet

• bistå ledelsen i gjennomføringen av risikovurderinger

• være en støttespiller i arbeidet med operasjonalisering av internkontrollen,

sørge for opplæring av ledere og ansatte

• bidra til å bygge opp under en kultur for internkontroll – «slik gjør vi det

hos oss»

• bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir

ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv.

Organisering av arbeidet med internkontroll -

fagansvarlig IK

Ledelsen har fortsatt det overordnede ansvaret for internkontrollen

og internkontrollen skal utføres i linjen!

Side 33

God informasjon og kommunikasjon er en forutsetning for

effektiv internkontroll!

• Informasjon til rett tid og til rett nivå

• Informasjon må identifiseres, fanges opp og formidles for å bli en kilde til bedre styring, læring og forbedring ned, på tvers og opp i organisasjonen.

• Informasjon og kommunikasjon vedr. internkontroll må integreres i øvrig styring

• Eksterne informasjons- og kommunikasjonskanaler

• Innspill og informasjonsutveksling fra brukere, samarbeidspartnere, myndigheter mv.

Informasjon og kommunikasjon

Side 34

Verktøy knyttet til fundamentet

• Sjekklister:

• Sjekkliste styrings- og kontrollmiljø

• Sjekkliste informasjon og kommunikasjon

• Veiledninger, maler og eksempler:

• Dokumentasjon av etablert internkontroll -> dokumenthierarki

• Policy for internkontroll

Refleksjon

Hvordan ser det ut i din virksomhet? I hvilken kvadrant

passer virksomheten inn?

• Diskuter med sidemann/kvinne

• Oppsummering i plenum

35

Lunsj

Del 3 – Hvordan oppnå effektiv internkontroll? forts

Internkontrollprosessen – en strukturert metode i seks steg

Side 38

Internkontrollprosessen

Internkontrollprosessen -

en kontinuerlig prosess i seks

steg for etablering,

forbedring og oppfølging av

internkontroll.

Systematisk gjennomføring av

stegene bidrar til å oppfylle de

tre internkontrollmålsettingene

og kontinuerlig forbedring i

virksomheten.

Internkontrollprosessen på ulike nivå i

virksomheten

Side 39

© Direktoratet for økonomistyring 23.01.2017

Planlegging

1. Overordnet status og ambisjon for internkontrollen

2. Rammer og ressurser for internkontrollarbeidet

40

Status Ambisjon

Gap?

Avsett rammer og

ressurser for å

lukke gapet

Merknader

tilsyn eller

RR?

Internrevisjoner

eller

evalueringer?

Avvikssystem?

Risikovurderinger?

Bruker-

undersøkelser?

Res. fra

oppfølginger

Etatsstyringsdialogen

Dialog med RR

Vesentlighetskriterier

Ledelsens

risikotoleranse

Krav

Hvordan synliggjøre status og ambisjon?

Verktøy for planlegging – eksempel I

DFØs egenevalueringsskjema

41

Hvordan synliggjøre status og ambisjon?

Verktøy for planlegging – eksempel II

Modenhetstrappen (CMM)

• Ta utgangspunkt i ett av verktøyene vist i de foregående

eksemplene I eller II. Bli enige på gruppebordet!

1. Hva er status i din virksomhet? Evt. innenfor ditt avgrensede

arbeidsområde?

2. Hva mener du bør være ambisjonsnivå gitt risiko og

vesentlighet i din virksomhet/på ditt område?

• Oppsummering og erfaringsutveksling

1. På gruppebordet først

2. I plenum (dersom tid)

Planlegging av arbeidet med IK i praksis –

oppgave (20 min)

44

Planlegging i praksis:

Hvordan ser det ut i din virksomhet

(status og ambisjon)? Spiderdiagram til bruk i oppgave eks. I

Tegn inn status på hvert kjennetegn

Side 45

Verktøy knyttet til planleggingssteget

• Egenevaluering av internkontrollen – 7 kjennetegn på god

internkontroll

Pause?

Risikovurdering

1. Etablere et grunnlag for risikovurderingen

2. Gjennomføre risikovurderinger (identifisere og

vurdere risiko)

3. Vurdere behov for tiltak og/eller oppfølging

47

48

Virksomhets-

nivå

Operativt

nivå

Mål og krav på

overordnet nivå Prop. 1 S

Tildelingsbrev

Instruks

Lover og regler

Etc.

Lavere

nivåer

Mål og krav på

prosesser -

prosesskartlegging

Mål og krav på

avdelings- og

seksjonsnivå

Mål (hovedmål og

delmål) og krav på

virksomhetsnivå

Etablere et grunnlag for risikovurderinger Risikovurdering

aktiviteter produkter/

tjenester

bruker-

effekter

samfunns-

effekter

innsats-

faktorer

aktiviteter produkter/ tjenester

bruker- effekter

samfunns- effekter

innsats- faktorer

aktiviteter produkter/ tjenester

bruker- effekter

samfunns- effekter

innsats- faktorer

Start

Gjennomføre risikovurdering og vurdere

behov for tiltak Gjennomfør risikovurderinger og vurdere behov for nye tiltak

og/eller kun oppfølging av eksisterende etablerte tiltak

• Risikoer med høy sannsynlighet og konsekvens

• Risikoen er ikke tilstrekkelig håndtert

---> Behov for risikoreduserende tiltak?

• Risikoer med lav sannsynlighet og høy konsekvens

• Fordi det skjer sjelden

• Fordi vi har allerede har redusert

sannsynligheten gjennom tiltak

---> Behov for oppfølging av risiko

og eksisterende tiltak!

Side 49

Risikovurdering

Side 50 © Direktoratet for økonomistyring

23.01.2017

Levere fellesløsninger til statlige virksomheter

Bygge kompetanse i statlige virksomheter

Forvalte økonomiregelverket, utredningsinstruks og samf.øk.analyse

Kommunikasjon med statlige virksomheter

Utvikle regelverkene

Drive fagnettverk Formidle

kompetanse Levere veiledere

Levere analyser

og utredninger

Forvalte

konsernkonto-

ordningen

Levere

statsregnskapet

Levere

regnskapstjenester

Levere

lønnstjenester

Behandle henvendelser

Kommunikasjon med statlige virksomheter

Strategi, styring og ledelse

Utvikle faglig

standpunkt

Støtteprosesser

Administrasjon Prosjekt-

styring

Prosess-

styring IT-styring

Kunde-

kommunikasjon

Tjeneste-

utvikling

Risikovurdering

Eksempel

Styringsprosesser K

jern

ep

ros

es

se

r

Top – down tilnærming. Sammenheng fra

virksomhetsnivå ned til vesentlige prosesser

Side 51

432 3 4 5 3

43 5

4839 523 5 577

Risikovurdering

Risikovurdering på

virksomhetsnivå

Mål og krav

Identifisering av vesentlige

prosesser

Kartlegging og

risikovurdering av

vesentlige prosesser

Sørg for god internkontroll i risikoutsatte/

vesentlige prosesser

Side 52

432 3 4 5 3

43 5

4839 523 5 577

Nøkkelkontroller

Eksempel prosesskart tilskudd. Kartlegging av risiko og kontroller

Refleksjon

• Hvordan vet vi at vi har god internkontroll i prosessene våre

(kjerne-, støtte-, og styringsprosesser)?

• Dersom vi ikke har noen mål for prosessen eller har oversikt over krav (har

vi ikke det, har vi alltids de 3 IK målsetningene)

• Dersom vi ikke har prosedyrer som sier hvordan vi skal jobbe og definert

tydelige roller og ansvar

• Dersom vi ikke har identifisert hva som kan gå galt og bevisst etablert tiltak

(kontrollaktiviteter) for å redusere dette

• Dersom vi ikke vet om etablerte kontroller faktisk fungerer (blir etterlevd og

fungerer som tiltenkt)

Overraskelser, lovbrudd, feil, ineffektivitet og manglene kontinuerlig forbedring

Manglende måloppnåelse og ønskede resultater/effekter

23.01.2017 53

aktiviteter produkter/

tjenester

bruker-

effekter

samfunns-

effekter

innsats-

faktorer

Verktøy knyttet til risikovurdering

54

• Risikovurderingsverktøy • Veiledning

• Mal for gjennomføring og dokumentering av risikovurderinger

• Stemmeverktøy

• Idèbank – oversikt over lover og regler

• Idèbank – utvalgte prosesser med eksempler på mål,

risiko og kontroller (beskrivelse av innhold i et prosesskart)

• Veiledning prosesskartlegging

Utforming

1. Identifisere aktuelle tiltak

2. Vurdere, prioritere og beslutte tiltak

3. Utforme og dokumentere besluttede tiltak

55

Overvåkende

• Periodiske gjennomganger

• Internrevisjoner

• Evalueringer

• Analyser ol.

Generelle

• Fullmakter og autorisasjoner

• Arbeidsdeling

• Policyer og prosedyrer

• Kompetanseutvikling

• IT-generelle kontroller (tilgang og endring)

Spesifikke

• Sjekklister

• Avstemminger

• Avviksrapporter

• Kvalitetskontroller

• Applikasjonskontroller

Identifiser aktuelle tiltak/kontroller

Side 56

Det kan utarbeides risikoreduserende tiltak/kontroller

på alle nivåer i virksomheten

Utforming

Identifiser aktuelle tiltak/kontroller

57

Lavere risiko

og kostn.

Økt risiko

og kostn.

Au

tom

ati

se

rt

Ma

nu

ell

Korrigerende/avdekkende Forebyggende

God balanse mellom ulike typer kontroller

Utforming

Side 58

Vurdere, prioritere og beslutte tiltak

Realiserbarhet

Ve

rdi

for

vir

ks

om

he

ten

Lav

Lav Høy

Høy

Tiltaksprioritering

1

2

3

Tiltaket må vurderes ut fra en kost/nytte - vurdering!

Utforming

Side 59

• Hvem er ansvarlig og skal utarbeide/designe

tiltaket?

• Hvordan skal dette gjøres?

• Beskrivelse av tiltaket slik at involverte forstår

hvordan det skal gjennomføres?

• Tidsfrist for ferdigstillelse av tiltak

Utforme og dokumentere besluttede tiltak

Utforming av tiltak skal legge til rette for å kunne

gjennomføre tiltaket

Utforming

Side 60

Målet med implementering

er å gjøre det vi har bestemt

oss for slik at tiltaket

etterleves og får

ønsket effekt!

Implementering

Å implementere tiltak bidrar ikke bare til at tiltaket blir

kjent men også erkjent

Verktøy knyttet til utforming og

implementering

• Veiledning prosesskartlegging

• Veiledning rotårsaksanalyse • Identifisere og analysere rotårsaken til et problem

• Identifisere tilhørende løsningsforslag

• Vurdere, prioritere og beslutte tiltak

• Bruk av «5- Hvorfor» teknikk og fiskebeindagram

61

Formål med dokumentert rotåraskasanalyse

En støtte i å…

• Forstå omfang - løfte blikket og se helheten

• Dokumentere beslutningsgrunnlaget

• Dele opp og gjøre problemet

håndterbart

• Involvere og

forankre

Når benyttes rotårsaksanalyse?

• En rotårsaksanalyse benyttes ofte når problemet eller en risiko er kompleks,

uklar, involverer flere personer eller enheter på tvers av organisatoriske

enheter, eller omfatter utfordringer knyttet til kultur og organisasjon.

• Motsatt av «brannslukking» og «quick fix» når vi ønsker å ta «roten» til et

problem

63

Hvem bør gjennomføre en rotårsaksanalyse?

• Gruppe eller teamøvelse

• Samle personer med best kunnskap om problemet (prosess, faglig eller

økonomiske elementer)

• Interessenter som avgir input eller mottar output i den aktuelle prosessen

• Objektiv og uavhengig fasilitator en fordel

64

Se problemet i forhold til målet og finn

«riktig» tiltak!

Problembeskrivelse -

premisset for resten av

analysen!

• Hva er egentlig problemet?

• Hva er målet?

Basert på svarene over

• Hva er da beste løsning/tiltak?

Side 66

Teknikk I

Identifisere rotårsaker – «5 x hvorfor»

• «Skrelle» ned til kjernen i problemet/risikoen

• Ekte problemløsning fremfor

symptombehandling

Et problem/en risiko kan ofte ha flere årsaker og

således trengs flere tiltak/løsninger per risiko!

Hvorfor?

Hvorfor?

Hvorfor?

Hvorfor?

Hvorfor?

Teknikk II

Fiskebeindiagram

• Bidrar til å identifisere, sortere og vise mulige rotårasker til et større,

komplekst problem (mennesker, teknologi, arbeidsmiljø, materiale,

metode/prosess)

• Gjennomføres med flere deltakere/i grupper

• Krever mer tid enn 5 Hvorfor!

• Kan avdekke et mangfold av rotårsker

67

Eksempel fra veilederen –

søknadsbehandlingsprosessen

68

Gruppearbeid 20 min + 10 min

oppsummering i plenum

• Ta utgangspunkt i en risiko/problem (tenk evt. de generelle

målsettingskategoriene: målrettet og effektiv drift, overholdelse av

lover og regler, pålitelig rapportering, evt. resultatkjeden):

• Bruk 5-hvorfor teknikken identifiser tiltak som håndterer

rotårsaken til at risikoen inntreffer/problemet oppstår

• Oppsummering av erfaringer i plenum

69

Pause

Side 71

Effektiv internkontroll forutsetter oppfølging!

• Vurdere om internkontrollen

• gir ønsket effekt (fungerer tiltaket/kontrollen?)

• etterleves (gjør vi det som er bestemt?)

• Nyttig informasjon fra oppfølgingen til styring, læring og

forbedring av internkontrollen spesielt og virksomheten

generelt

• Legg til rette for erfaringsutveksling!

• Skap en åpenhetskultur og forbedringskultur!

Oppfølging

Side 72

• Ulike typer oppfølging

• Løpende oppfølging

• Frittstående oppfølging

• Kombinasjon av løpende og frittstående

• Hyppighet og omfang

• Avhenger av type kontroll/tiltak, risiko og frekvens på utført kontroll

Oppfølging forts.

Sørg for oppfølging/overvåkning knyttet til det

som er viktigst for måloppnåelsen

Oppfølging

Verktøy knytte til oppfølging

74

• Test av internkontrollen – Veiledning i hvordan teste – ulike teknikker

– Mal testplan og mal for å dokumentere testing

– Eksempel

• Registrering og håndtering av avvik – Veiledning – prosedyre for registrering og håndtering av avvik

– Mal – registrering og håndtering av avvik

Oppfølging

Side 75

• Resultater fra oppfølgingen av interkontrollen rapporteres

til rett nivå til rett tid

• Rapportering knyttet til internkontrollen integreres med

øvrig rapportering ‾ gir grunnlag for en samlet vurdering av internkontrollsystemet og

vurdering av om kritiske enkeltrisikoer er tilstrekkelig håndtert

‾ informasjonen benyttes inn i styringen

Rapportering

Ikke mer rapportering men bedre og kun nødvendig rapportering!

Krav til årsrapport i bestemmelsene

Punkt 1.5.1: Departementet skal stille nærmere krav til innholdet i årsrapporten fra

virksomheten

Årsrapporten skal inneholde seks deler, med følgende benevnelse og

rekkefølge: I Leders beretning

II Introduksjon til virksomheten og hovedtall

III Årets aktiviteter og resultater

IV Styring og kontroll i virksomheten

V Vurdering av framtidsutsikter

VI Årsregnskap

Rapportering

Krav til å vurdere bruk av internrevisjon

Rundskriv om internrevisjon i staten (R-117/15).

Vurderingen skal gjennomføres basert på fastsatte

vurderingskriterier;

• Størrelse

• Kompleksitet

• Risiko

• Vesentlighet

• Modenheten på styring og kontroll

© Direktoratet for økonomistyring

Veiledningsmateriell fra DFØ:

http://www.dfo.no/no/Styring/Internrevisjon/

Verktøy knyttet til rapportering

78

Uttalelse om internkontrollen i virksomheten

Side 79

Sammenstilling av lederbekreftelser fra lavere nivå til

overordnet nivå.

Grunnlag for årsrapport og input til virksomhetsstyringen

Rapportering

Oppsummering – styring og (intern)kontroll i sammenheng

81

Årshjul

Internkontroll-

prosessen

Fastsettelse av mål

Planlegging

Budsjettering

Oppfølging

og Rapportering

Analyse

Revurdering

Styrings-

prosessen

og strategi

Se (virksomhet)styring og (intern)kontroll i

sammenheng!

Avslutning

Avsjekk mot forventninger/ønsker fra

introduksjonen tidligere i dag

83

Effektiv internkontroll

Styrer risiko for å skape verdier og nå målene våre

Under-

kontrollerer

Over-

kontrollerer

Verdiskapning/

måloppnåelse

Kostn.

Intern-

kontroll Risikoaversjon

Bremsene på – kommer ingen vei

Stor risikovilje

Bremsene av – ute av kontroll

Definer risikotolleranse og kvalitetsstandarder

Finn riktig balanse for at IK skal gi merverdi!

Ikke mulig og

ønskelig å være

feilfri på alle

områder!

Internkontrollsystemet – praktiske

verktøy for å komme i gang

85 www.dfo.no/internkontroll

Takk for oppmerksomheten! Lykke til med internkontrollarbeidet!

Ola.otterdal@dfo.no 917 17 647 Christine.vik@dfo.no 957 35 629