kurs i internkontroll¥der/internkontroll/kurs-i-internkontroll... · god informasjon og...
TRANSCRIPT
Kurs i internkontroll 29. September 2016
Program for dagen – en
3-deling
1. Hva er internkontroll i en statlig kontekst?
2. Hvorfor skal vi bruke tid og ressurser på
internkontroll?
3. Hvordan etablere og forbedre
internkontroll ved hjelp av
• et godt fundament for internkontroll?
• en strukturert metode i seks steg?
2
Forventninger til dagen?
23.01.2017 3
Nødutganger og prosedyre i tilfelle evakuering
• Nødutganger – legg merke til disse
• Kursleder viser veien ut ved evakuering
• Ingen bruker heis ved evakuering
• Samleplass er «Spikersuppa»
• Hold kontakt med kursleder til situasjonen er avklart og ny beskjed
blir gitt
23.01.2017 4
Introduksjon til kurset internkontroll og sammenheng til kurs i MRS og risikostyring
Side 6
DFØs veiledningsmateriell knyttet til internkontroll
www.dfo.no/internkontroll
Bedre internkontroll, ikke nødvendigvis mer internkontroll!
Hovedveileder +
gjennomgangs-
eksempel
Ledersammendrag Praktiske verktøy til bruk i gjennomføring
og oppfølging av internkontrollen
MRS – Risikostyring – Internkontroll
aktiviteter/
prosesser
produkter/
tjenester
bruker-
effekter
samfunns-
effekter
innsats-
faktorer
Innenfor virksomhetens
interne kontroll
Utenfor virksomhetens
kontroll
Side 7
Operasjonell risiko Strategisk risiko
(gjøre de riktige tingene) (gjøre tingene riktig)
Risiko
Del 1 – Hva er internkontroll
I en statlig kontekst Ola Otterdal
Side 9
Hva legger dere i begrepet internkontroll?
Refleksjonsspørsmål I
Internkontroll er så mangt…..
Side 10
Kompetanse
Etiske verdier Ledelsesfilosofi Organisering
Tonen på toppen
Identifisere, vurdere
og håndtere risikoer - Virksomhet - Avdelings- og
seksjon - Prosess
Godkjennelser
Attestasjoner Verifikasjoner Avstemminger
Driftsgjennomganger Ansvarsfordeling
Sikring av ressurser
Følge opp om
internkontrollen fungerer og gir ønsket effekt
Løpende /inngår i daglig ledelse
Frittstående
Identifisere, analysere og
formidle relevant og riktig informasjon til riktig tid
Kommunikasjonskanaler
Internkontroll skal bidra til så mangt…..
Side 11
Målrettet og effektiv drift
‾ At fastsatte mål og resultatkrav oppnås
‾ Ressursbruken er effektiv
‾ Forsvarlig forvaltning av ressurser
Pålitelig rapportering, både
regnskapsinformasjon og annen informasjon - Internt
- Eksternt - Dep.
- Brukere
- Tilsyn
Overholdelse av
lover og regler - Interne policyer og
prosedyrer
- Eksterne lover og regler
Veilederens tilnærming bygger på COSO
Internkontroll er en prosess, gjennomført av foretakets
styre, ledelse og ansatte som er utformet for å gi rimelig
sikkerhet vedrørende måloppnåelse innen følgende
områder:
• Målrettet og effektiv drift
• Pålitelig rapportering
• Overholdelse av lover og regler
Side 12
Hva innebærer kravet om målrettet og effektiv
drift? Pålitelig rapportering? og Overholdelse
av lover og regler?
• Målrettet og effektiv drift forutsetter kvalitet i oppgaveutførelsen
(Bestemmelsene pkt. 2.2)
• Pålitelig informasjon forutsetter kvalitet i arbeidet med innhenting,
bearbeiding og rapportering av informasjon (Bestemmelsene pkt. 2.3)
• Overholdelse av lover og regler forutsetter at disse er kjent og innarbeidet i
oppgavegjennomføringen (Bestemmelsene pkt. 2.2)
Side 13
Reglementets § 14 Internkontroll Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll
for å sikre at:
a) Beløpsmessige rammer ikke overskrides og at forutsatte inntekter kommer inn
b) Måloppnåelse og resultater står i et tilfredsstillende forhold til fastsatte mål og
resultatkrav, og at eventuelle vesentlige avvik forebygges, avdekkes og korrigeres i
nødvendig utstrekning
c) Ressursbruken er effektiv
d) Regnskap og informasjon om resultater er pålitelig og nøyaktig
e) Virksomhetens verdier, herunder fast eiendom, materiell, utstyr, verdipapirer og andre
økonomiske verdier, forvaltes på en forsvarlig måte
f) Økonomistyringen er organisert på en forsvarlig måte og utføres i samsvar med gjeldende
lover og regler, herunder at transaksjoner er i samsvar med underliggende forhold
g) Misligheter og økonomisk kriminalitet forebygges og avdekkes
Side 14
Bestemmelsene punkt 2.4 Internkontroll
For å kunne utøve nødvendig intern kontroll, skal virksomhetens ledelse etablere
systemer, rutiner og tiltak med vekt på blant annet følgende faktorer:
a) Ledelsens og tilsattes kompetanse og holdning til resultatoppfølging og kontroll
b) Identifisering av risikofaktorer som kan medvirke til at virksomhetens mål ikke nås, og
korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende
måloppnåelse
c) Sikring av kvaliteten i den interne styringen, herunder forsvarlig arbeidsdeling, og
produktivitet i arbeidsprosessene
d) Informasjonsrutiner som sikrer at viktig og pålitelig informasjon av betydning for
måloppnåelsen kommuniseres på en effektiv måte
e) Rutiner for behandling og lagring av vesentlig informasjon som sikrer konfidensialitet,
integritet og tilgjengelighet
Side 15
DFØs metode - en generell tilnærming til
internkontroll • Veilederen legger til grunn et helthetlig perspektiv på
internkontroll, dvs. internkontroll på alle nivå og i hele
virksomheten (alle virksomhetens områder og prosesser–
ikke kun økonomi området!)
• Ulike fagområder har sine veiledere og standarder i
internkontroll, eksempelvis
• Internkontroll knyttet til anskaffelser (DIFI)
• Internkontroll knyttet til HMS (Internkontrollforskriften)
• Internkontroll knyttet til sikkerhet og beredskap (NSM, DSB)
• Internkontroll knyttet til informasjonssikkerhet/IKT systemer (DIFI)
• …
• …
16
Snurr film
https://www.youtube.com/watch?v=woifcCSqOGs
17
Pause
Del 1 – Hvorfor internkontroll?
Christine Vik
Side 20
Myter knyttet til internkontroll – ofte hørt…
“Internkontroll er for komplekst
og koster mer enn det smaker”
“Stoler på mine ansatte
så trenger ikke internkontroll”
“Vi er så spesielle så vi trenger ikke
internkontroll i like stor grad som for vanlige virksomheter”
“Min virksomhet er
så liten at jeg ikke trenger internkontroll”
Hvorfor bruke tid og ressurser på IK?
Side 21
Effektiv internkontroll gir merverdi i form av å;
• hjelpe oss å nå målene våre
• Samfunnseffekter og fornøyde brukere
• Kvalitet og effektivitet i produkt- og tjenesteleveranser
• gjøre det «enkelt å gjøre riktig første gang» og «vanskelig å
gjøre feil» –> forhindre bevisste/ ubevisste feil
• Fra reaktiv til proaktiv
• Frigjør ressurser til strategisk styring – «gjøre de riktige tingene»
• Fornøyde ledere og medarbeidere
• kontinuerlig forbedring gjennom system og struktur
«litt bedre enn i går» «like ting gjøres likt»
Internkontroll har to sider:
Improve your business
Keep you out of trouble
Del 3 – Hvordan oppnå effektiv internkontroll? Systematikk og struktur
Christine Vik og Ola Otterdal
Side 23
Internkontrollsystemet – DFØs tilnærming
Den enkelte virksomhets
internkontroll satt i system.
Beskrivelse av
internkontrollsystem i denne
veilederen består av et;
fundament som omfatter
styrings- og kontrollmiljø og
informasjon og
kommunikasjon
en strukturert metode for
arbeidet med etablering og
forbedring av
internkontrollen.
Side 24
Internkontrollsystemet forts.
Omfatter:
En strukturert prosess
i seks steg
Omfatter:
styrings- og kontrollmiljø
informasjon og kommunikasjon
Fundament Internkontrollprosessen
Internkontroll på ulike nivå i virksomheten
Side 25
© Direktoratet for økonomistyring 23.01.2017
Side 26
Strategier
Strukturer
Systemer
Kompetanse
Verdier og normer
Motivasjon
Følelser
Interesser
Tenkemåter
Styrings- og kontrollmiljø –
et fundament for effektiv internkontroll!
Styrende
dokumenter
Organisering
Forankret og dokumentert
fundament for internkontroll?
Sterk intern kultur «God kontroll»
«Lite kontroll» Liten effekt
Formelle krav og tiltak,
dokumentert og
etterprøvbart
Etterlevd
Dokumentasjon av etablert
internkontroll
Prosedyrer
Policyer
Overordnede
føringer og krav
Hvem og hva…
Hvordan …
Gjennomført IK
Internkontrollen er dokumentert og beskrevet i policyer og
prosedyrer el.
Side 30 © Direktoratet for økonomistyring
23.01.2017
Levere fellesløsninger til statlige virksomheter
Bygge kompetanse i statlige virksomheter
Forvalte økonomiregelverket, utredningsinstruks og samf.øk.analyse
Kommunikasjon med statlige virksomheter
Utvikle regelverkene
Drive
fagnettverk
Formidle
kompetanse Levere
veiledere
Levere analyser
og utredninger
Forvalte
konsernkonto-
ordningen
Levere
statsregnskapet
Levere
regnskapstjenester
Levere
lønnstjenester
Behandle
henvendelser
Kommunikasjon med statlige virksomheter
Strategi, styring og
ledelse
Utvikle faglig
standpunkt
Støtteprosesser og felles rammeverk
Administrasjo
n
Prosjekt-
styring
Prosess-
styring IT-styring
Kunde-
kommunikasjo
n
Tjeneste-
utvikling
Klikkbar oversikt på intranett og kundenett
Eksempel
Klikkbar oversikt på intranett
Side 31
Eksempel
Side 32
Eksempler på oppgaver som kan legges til en funksjon/rolle
med fagansvar for internkontroll er å:
• sørge for struktur og helhet i internkontrollarbeidet,
• bistå ledelsen i gjennomføring, kvalitetssikring og oppfølging av arbeidet
med etablering og forbedring av internkontrollsystemet
• bistå ledelsen i gjennomføringen av risikovurderinger
• være en støttespiller i arbeidet med operasjonalisering av internkontrollen,
sørge for opplæring av ledere og ansatte
• bidra til å bygge opp under en kultur for internkontroll – «slik gjør vi det
hos oss»
• bistå ledelsen i oppfølgingen av at etablert internkontroll etterleves og gir
ønsket effekt, eksempelvis gjennom stikkprøvekontroller, evalueringer mv.
Organisering av arbeidet med internkontroll -
fagansvarlig IK
Ledelsen har fortsatt det overordnede ansvaret for internkontrollen
og internkontrollen skal utføres i linjen!
Side 33
God informasjon og kommunikasjon er en forutsetning for
effektiv internkontroll!
• Informasjon til rett tid og til rett nivå
• Informasjon må identifiseres, fanges opp og formidles for å bli en kilde til bedre styring, læring og forbedring ned, på tvers og opp i organisasjonen.
• Informasjon og kommunikasjon vedr. internkontroll må integreres i øvrig styring
• Eksterne informasjons- og kommunikasjonskanaler
• Innspill og informasjonsutveksling fra brukere, samarbeidspartnere, myndigheter mv.
Informasjon og kommunikasjon
Side 34
Verktøy knyttet til fundamentet
• Sjekklister:
• Sjekkliste styrings- og kontrollmiljø
• Sjekkliste informasjon og kommunikasjon
• Veiledninger, maler og eksempler:
• Dokumentasjon av etablert internkontroll -> dokumenthierarki
• Policy for internkontroll
Refleksjon
Hvordan ser det ut i din virksomhet? I hvilken kvadrant
passer virksomheten inn?
• Diskuter med sidemann/kvinne
• Oppsummering i plenum
35
Lunsj
Del 3 – Hvordan oppnå effektiv internkontroll? forts
Internkontrollprosessen – en strukturert metode i seks steg
Side 38
Internkontrollprosessen
Internkontrollprosessen -
en kontinuerlig prosess i seks
steg for etablering,
forbedring og oppfølging av
internkontroll.
Systematisk gjennomføring av
stegene bidrar til å oppfylle de
tre internkontrollmålsettingene
og kontinuerlig forbedring i
virksomheten.
Internkontrollprosessen på ulike nivå i
virksomheten
Side 39
© Direktoratet for økonomistyring 23.01.2017
Planlegging
1. Overordnet status og ambisjon for internkontrollen
2. Rammer og ressurser for internkontrollarbeidet
40
Status Ambisjon
Gap?
Avsett rammer og
ressurser for å
lukke gapet
Merknader
tilsyn eller
RR?
Internrevisjoner
eller
evalueringer?
Avvikssystem?
Risikovurderinger?
Bruker-
undersøkelser?
Res. fra
oppfølginger
Etatsstyringsdialogen
Dialog med RR
Vesentlighetskriterier
Ledelsens
risikotoleranse
Krav
Hvordan synliggjøre status og ambisjon?
Verktøy for planlegging – eksempel I
DFØs egenevalueringsskjema
41
Hvordan synliggjøre status og ambisjon?
Verktøy for planlegging – eksempel II
Modenhetstrappen (CMM)
• Ta utgangspunkt i ett av verktøyene vist i de foregående
eksemplene I eller II. Bli enige på gruppebordet!
1. Hva er status i din virksomhet? Evt. innenfor ditt avgrensede
arbeidsområde?
2. Hva mener du bør være ambisjonsnivå gitt risiko og
vesentlighet i din virksomhet/på ditt område?
• Oppsummering og erfaringsutveksling
1. På gruppebordet først
2. I plenum (dersom tid)
Planlegging av arbeidet med IK i praksis –
oppgave (20 min)
44
Planlegging i praksis:
Hvordan ser det ut i din virksomhet
(status og ambisjon)? Spiderdiagram til bruk i oppgave eks. I
Tegn inn status på hvert kjennetegn
Side 45
Verktøy knyttet til planleggingssteget
• Egenevaluering av internkontrollen – 7 kjennetegn på god
internkontroll
Pause?
Risikovurdering
1. Etablere et grunnlag for risikovurderingen
2. Gjennomføre risikovurderinger (identifisere og
vurdere risiko)
3. Vurdere behov for tiltak og/eller oppfølging
47
48
Virksomhets-
nivå
Operativt
nivå
Mål og krav på
overordnet nivå Prop. 1 S
Tildelingsbrev
Instruks
Lover og regler
Etc.
Lavere
nivåer
Mål og krav på
prosesser -
prosesskartlegging
Mål og krav på
avdelings- og
seksjonsnivå
Mål (hovedmål og
delmål) og krav på
virksomhetsnivå
Etablere et grunnlag for risikovurderinger Risikovurdering
aktiviteter produkter/
tjenester
bruker-
effekter
samfunns-
effekter
innsats-
faktorer
aktiviteter produkter/ tjenester
bruker- effekter
samfunns- effekter
innsats- faktorer
aktiviteter produkter/ tjenester
bruker- effekter
samfunns- effekter
innsats- faktorer
Start
Gjennomføre risikovurdering og vurdere
behov for tiltak Gjennomfør risikovurderinger og vurdere behov for nye tiltak
og/eller kun oppfølging av eksisterende etablerte tiltak
• Risikoer med høy sannsynlighet og konsekvens
• Risikoen er ikke tilstrekkelig håndtert
---> Behov for risikoreduserende tiltak?
• Risikoer med lav sannsynlighet og høy konsekvens
• Fordi det skjer sjelden
• Fordi vi har allerede har redusert
sannsynligheten gjennom tiltak
---> Behov for oppfølging av risiko
og eksisterende tiltak!
Side 49
Risikovurdering
Side 50 © Direktoratet for økonomistyring
23.01.2017
Levere fellesløsninger til statlige virksomheter
Bygge kompetanse i statlige virksomheter
Forvalte økonomiregelverket, utredningsinstruks og samf.øk.analyse
Kommunikasjon med statlige virksomheter
Utvikle regelverkene
Drive fagnettverk Formidle
kompetanse Levere veiledere
Levere analyser
og utredninger
Forvalte
konsernkonto-
ordningen
Levere
statsregnskapet
Levere
regnskapstjenester
Levere
lønnstjenester
Behandle henvendelser
Kommunikasjon med statlige virksomheter
Strategi, styring og ledelse
Utvikle faglig
standpunkt
Støtteprosesser
Administrasjon Prosjekt-
styring
Prosess-
styring IT-styring
Kunde-
kommunikasjon
Tjeneste-
utvikling
Risikovurdering
Eksempel
Styringsprosesser K
jern
ep
ros
es
se
r
Top – down tilnærming. Sammenheng fra
virksomhetsnivå ned til vesentlige prosesser
Side 51
432 3 4 5 3
43 5
4839 523 5 577
Risikovurdering
Risikovurdering på
virksomhetsnivå
Mål og krav
Identifisering av vesentlige
prosesser
Kartlegging og
risikovurdering av
vesentlige prosesser
Sørg for god internkontroll i risikoutsatte/
vesentlige prosesser
Side 52
432 3 4 5 3
43 5
4839 523 5 577
Nøkkelkontroller
Eksempel prosesskart tilskudd. Kartlegging av risiko og kontroller
Refleksjon
• Hvordan vet vi at vi har god internkontroll i prosessene våre
(kjerne-, støtte-, og styringsprosesser)?
• Dersom vi ikke har noen mål for prosessen eller har oversikt over krav (har
vi ikke det, har vi alltids de 3 IK målsetningene)
• Dersom vi ikke har prosedyrer som sier hvordan vi skal jobbe og definert
tydelige roller og ansvar
• Dersom vi ikke har identifisert hva som kan gå galt og bevisst etablert tiltak
(kontrollaktiviteter) for å redusere dette
• Dersom vi ikke vet om etablerte kontroller faktisk fungerer (blir etterlevd og
fungerer som tiltenkt)
Overraskelser, lovbrudd, feil, ineffektivitet og manglene kontinuerlig forbedring
Manglende måloppnåelse og ønskede resultater/effekter
23.01.2017 53
aktiviteter produkter/
tjenester
bruker-
effekter
samfunns-
effekter
innsats-
faktorer
Verktøy knyttet til risikovurdering
54
• Risikovurderingsverktøy • Veiledning
• Mal for gjennomføring og dokumentering av risikovurderinger
• Stemmeverktøy
• Idèbank – oversikt over lover og regler
• Idèbank – utvalgte prosesser med eksempler på mål,
risiko og kontroller (beskrivelse av innhold i et prosesskart)
• Veiledning prosesskartlegging
Utforming
1. Identifisere aktuelle tiltak
2. Vurdere, prioritere og beslutte tiltak
3. Utforme og dokumentere besluttede tiltak
55
Overvåkende
• Periodiske gjennomganger
• Internrevisjoner
• Evalueringer
• Analyser ol.
Generelle
• Fullmakter og autorisasjoner
• Arbeidsdeling
• Policyer og prosedyrer
• Kompetanseutvikling
• IT-generelle kontroller (tilgang og endring)
Spesifikke
• Sjekklister
• Avstemminger
• Avviksrapporter
• Kvalitetskontroller
• Applikasjonskontroller
Identifiser aktuelle tiltak/kontroller
Side 56
Det kan utarbeides risikoreduserende tiltak/kontroller
på alle nivåer i virksomheten
Utforming
Identifiser aktuelle tiltak/kontroller
57
Lavere risiko
og kostn.
Økt risiko
og kostn.
Au
tom
ati
se
rt
Ma
nu
ell
Korrigerende/avdekkende Forebyggende
God balanse mellom ulike typer kontroller
Utforming
Side 58
Vurdere, prioritere og beslutte tiltak
Realiserbarhet
Ve
rdi
for
vir
ks
om
he
ten
Lav
Lav Høy
Høy
Tiltaksprioritering
1
2
3
Tiltaket må vurderes ut fra en kost/nytte - vurdering!
Utforming
Side 59
• Hvem er ansvarlig og skal utarbeide/designe
tiltaket?
• Hvordan skal dette gjøres?
• Beskrivelse av tiltaket slik at involverte forstår
hvordan det skal gjennomføres?
• Tidsfrist for ferdigstillelse av tiltak
Utforme og dokumentere besluttede tiltak
Utforming av tiltak skal legge til rette for å kunne
gjennomføre tiltaket
Utforming
Side 60
Målet med implementering
er å gjøre det vi har bestemt
oss for slik at tiltaket
etterleves og får
ønsket effekt!
Implementering
Å implementere tiltak bidrar ikke bare til at tiltaket blir
kjent men også erkjent
Verktøy knyttet til utforming og
implementering
• Veiledning prosesskartlegging
• Veiledning rotårsaksanalyse • Identifisere og analysere rotårsaken til et problem
• Identifisere tilhørende løsningsforslag
• Vurdere, prioritere og beslutte tiltak
• Bruk av «5- Hvorfor» teknikk og fiskebeindagram
61
Formål med dokumentert rotåraskasanalyse
En støtte i å…
• Forstå omfang - løfte blikket og se helheten
• Dokumentere beslutningsgrunnlaget
• Dele opp og gjøre problemet
håndterbart
• Involvere og
forankre
Når benyttes rotårsaksanalyse?
• En rotårsaksanalyse benyttes ofte når problemet eller en risiko er kompleks,
uklar, involverer flere personer eller enheter på tvers av organisatoriske
enheter, eller omfatter utfordringer knyttet til kultur og organisasjon.
• Motsatt av «brannslukking» og «quick fix» når vi ønsker å ta «roten» til et
problem
63
Hvem bør gjennomføre en rotårsaksanalyse?
• Gruppe eller teamøvelse
• Samle personer med best kunnskap om problemet (prosess, faglig eller
økonomiske elementer)
• Interessenter som avgir input eller mottar output i den aktuelle prosessen
• Objektiv og uavhengig fasilitator en fordel
64
Se problemet i forhold til målet og finn
«riktig» tiltak!
Problembeskrivelse -
premisset for resten av
analysen!
• Hva er egentlig problemet?
• Hva er målet?
Basert på svarene over
• Hva er da beste løsning/tiltak?
Side 66
Teknikk I
Identifisere rotårsaker – «5 x hvorfor»
• «Skrelle» ned til kjernen i problemet/risikoen
• Ekte problemløsning fremfor
symptombehandling
Et problem/en risiko kan ofte ha flere årsaker og
således trengs flere tiltak/løsninger per risiko!
Hvorfor?
Hvorfor?
Hvorfor?
Hvorfor?
Hvorfor?
Teknikk II
Fiskebeindiagram
• Bidrar til å identifisere, sortere og vise mulige rotårasker til et større,
komplekst problem (mennesker, teknologi, arbeidsmiljø, materiale,
metode/prosess)
• Gjennomføres med flere deltakere/i grupper
• Krever mer tid enn 5 Hvorfor!
• Kan avdekke et mangfold av rotårsker
67
Eksempel fra veilederen –
søknadsbehandlingsprosessen
68
Gruppearbeid 20 min + 10 min
oppsummering i plenum
• Ta utgangspunkt i en risiko/problem (tenk evt. de generelle
målsettingskategoriene: målrettet og effektiv drift, overholdelse av
lover og regler, pålitelig rapportering, evt. resultatkjeden):
• Bruk 5-hvorfor teknikken identifiser tiltak som håndterer
rotårsaken til at risikoen inntreffer/problemet oppstår
• Oppsummering av erfaringer i plenum
69
Pause
Side 71
Effektiv internkontroll forutsetter oppfølging!
• Vurdere om internkontrollen
• gir ønsket effekt (fungerer tiltaket/kontrollen?)
• etterleves (gjør vi det som er bestemt?)
• Nyttig informasjon fra oppfølgingen til styring, læring og
forbedring av internkontrollen spesielt og virksomheten
generelt
• Legg til rette for erfaringsutveksling!
• Skap en åpenhetskultur og forbedringskultur!
Oppfølging
Side 72
• Ulike typer oppfølging
• Løpende oppfølging
• Frittstående oppfølging
• Kombinasjon av løpende og frittstående
• Hyppighet og omfang
• Avhenger av type kontroll/tiltak, risiko og frekvens på utført kontroll
Oppfølging forts.
Sørg for oppfølging/overvåkning knyttet til det
som er viktigst for måloppnåelsen
Oppfølging
Verktøy knytte til oppfølging
74
• Test av internkontrollen – Veiledning i hvordan teste – ulike teknikker
– Mal testplan og mal for å dokumentere testing
– Eksempel
• Registrering og håndtering av avvik – Veiledning – prosedyre for registrering og håndtering av avvik
– Mal – registrering og håndtering av avvik
Oppfølging
Side 75
• Resultater fra oppfølgingen av interkontrollen rapporteres
til rett nivå til rett tid
• Rapportering knyttet til internkontrollen integreres med
øvrig rapportering ‾ gir grunnlag for en samlet vurdering av internkontrollsystemet og
vurdering av om kritiske enkeltrisikoer er tilstrekkelig håndtert
‾ informasjonen benyttes inn i styringen
Rapportering
Ikke mer rapportering men bedre og kun nødvendig rapportering!
Krav til årsrapport i bestemmelsene
Punkt 1.5.1: Departementet skal stille nærmere krav til innholdet i årsrapporten fra
virksomheten
Årsrapporten skal inneholde seks deler, med følgende benevnelse og
rekkefølge: I Leders beretning
II Introduksjon til virksomheten og hovedtall
III Årets aktiviteter og resultater
IV Styring og kontroll i virksomheten
V Vurdering av framtidsutsikter
VI Årsregnskap
Rapportering
Krav til å vurdere bruk av internrevisjon
Rundskriv om internrevisjon i staten (R-117/15).
Vurderingen skal gjennomføres basert på fastsatte
vurderingskriterier;
• Størrelse
• Kompleksitet
• Risiko
• Vesentlighet
• Modenheten på styring og kontroll
© Direktoratet for økonomistyring
Veiledningsmateriell fra DFØ:
http://www.dfo.no/no/Styring/Internrevisjon/
Verktøy knyttet til rapportering
78
Uttalelse om internkontrollen i virksomheten
Side 79
Sammenstilling av lederbekreftelser fra lavere nivå til
overordnet nivå.
Grunnlag for årsrapport og input til virksomhetsstyringen
Rapportering
Oppsummering – styring og (intern)kontroll i sammenheng
81
Årshjul
Internkontroll-
prosessen
Fastsettelse av mål
Planlegging
Budsjettering
Oppfølging
og Rapportering
Analyse
Revurdering
Styrings-
prosessen
og strategi
Se (virksomhet)styring og (intern)kontroll i
sammenheng!
Avslutning
Avsjekk mot forventninger/ønsker fra
introduksjonen tidligere i dag
83
Effektiv internkontroll
Styrer risiko for å skape verdier og nå målene våre
Under-
kontrollerer
Over-
kontrollerer
Verdiskapning/
måloppnåelse
Kostn.
Intern-
kontroll Risikoaversjon
Bremsene på – kommer ingen vei
Stor risikovilje
Bremsene av – ute av kontroll
Definer risikotolleranse og kvalitetsstandarder
Finn riktig balanse for at IK skal gi merverdi!
Ikke mulig og
ønskelig å være
feilfri på alle
områder!
Internkontrollsystemet – praktiske
verktøy for å komme i gang
85 www.dfo.no/internkontroll
Takk for oppmerksomheten! Lykke til med internkontrollarbeidet!
[email protected] 917 17 647 [email protected] 957 35 629