logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

Begge arbeider i PwCs rådgivningsavdeling. Jostein på Oslo-kontoret og Helene på Stavanger-kontoret.

Dr. Polit.

Jostein R. Askim

Senior Manager PricewaterhouseCoopers

Cand. Polit

Helene M. Ohm

Direktør PricewaterhouseCoopers

Internkontroll og virksomhetsstyring i kommunal sektor

Internkontroll er en viktig og lovpålagt del av kommunenes virksomhetsstyring, men det råder en del usikkerhet i kommunene omkring hvordan internkontroll skal forstås og utøves. Denne artikkelen beskriver hva internkontroll er og hvordan kommunal internkontroll kan styrkes og samtidig innpasses i virksomhetsstyringen for øvrig.

Artikkelen er basert på PricewaterhouseCoopers’ rapport «Internkontroll i kommuner» til Kommunal- og regionaldepartementet. Rapporten er tilgjengelig på pwc.com/no og www.dep.no/krd.

De siste årene har kommune-Norge opplevd en rekke tilfeller av misligheter, korrupsjon og myndighetsmisbruk. I tillegg har det jevnlig forekommet saker knyttet til brudd på myndighetskrav innenfor tjenesteområder som skole, barnevern og pleie og omsorg. Ofte skyldes disse sakene svikt i kommunens internkontroll, enten ved mangelfull kontroll eller ved at regelverk og rutiner ikke har blitt etterlevd.

Rådmannen er som administrativ leder ansvarlig for kommunens internkontroll. Rådmannens internkontroll er ett av tre elementer i den såkalte kommunale egenkontrollen. De to øvrige elementene er kontrollutvalget og revisjonen. I desember 2009 leverte en arbeidsgruppe rapporten «85 tilrådingar for styrkt eigenkontroll i kommunane» til kommunal- og regionalministeren. Rapportens hovedtilråding var å styrke rådmannens internkontroll.

Internkontroll og risiko i kommunal sektor

Med internkontroll menes i denne artikkelen følgende:

«Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i virksomhetens arbeidsprosesser.»

Vår definisjon av internkontroll fokuserer på formalisering. I dette ligger en vektlegging av dokumentasjonsrutiner (i motsetning til sedvane og andre udokumenterte rutiner), systematisering med rutiner for oppfølging av etterlevelse og vedlikehold av kontrollsystemet (i motsetning til engangs- og ad hoc-kontrollaktiviteter) samt risikovurderinger (i motsetning til tilfeldige og unødvendige kontrollaktiviteter).

Noen definisjoner av internkontroll er videre enn vår. For eksempel er det vanlig å se definisjoner som vektlegger sammenhengen mellom mål, risiko, styring og kontroll (se for eksempel SSØ: Internrevisjon og intern kontroll i statlige virksomheter - en kartlegging. Rapport 4/2009. Oslo: Senter for statlig økonomistyring (SSØ). I en slik vid forståelse av internkontroll fokuseres det på «risiko for manglende måloppnåelse» mens vi fokuserer på «risiko for styringssvikt, feil og mangler.» Vi innsnevrer altså her risikobegrepet til hendelser man vil unngå, ikke mål man vil oppnå. Denne avgrensningen skyldes blant annet vår vurdering av dagens virksomhetsstyring i kommunal sektor. Systematisk arbeid med strategi, resultatledelse og kvalitetsforbedring er utbredt i kommunene, mens kontrollsiden i virksomhetsstyringen er underutviklet og nedprioritert. Vi mener derfor at kommunene i arbeidet med å styrke internkontrollen bør fokusere på nettopp kontroll.

I dette perspektivet, hva er de viktigste risikoområdene i kommunal sektor? En kjerneprosess i kommunene er tjenesteproduksjon. Risikoelementer her knyttes blant annet til overholdelse av lover og regelverk, herunder myndighetskrav i særlovgivningen. En annen kjerneprosess i kommunene er saksbehandling og myndighetsutøvelse. Risikoelementer her knyttes blant annet til misligheter, korrupsjon og myndighetsmisbruk. Sentrale støtteprosesser i kommunene er økonomiforvaltning, personalforvaltning, anskaffelser samt IKT-styring og informasjonssikkerhet. Risikoelementer her knyttes blant annet til feil i finansiell rapportering, misligheter og korrupsjon og mangelfull overholdelse av lover og regler.

Et viktig kjennetegn ved kommunal sektor er variasjon i størrelse, kompleksitet og i lokale prioriteringer. Ved å bygge internkontrollen basert på risikovurderinger, legges det til rette for at den enkelte kommune kan etablere en internkontroll som er i tråd med og dimensjonert i forhold til lokale behov og prioriteringer.