logoRevisjon og regnskap

Logg på for å laste ned PDF
Revisjon

PhD, Statsautorisert revisor

Jonas Gaudernack

PricewaterhouseCoopersNorges HandelshøyskoleHandelshøyskolen UMB

Krav til internkontroll i stiftelser

Denne artikkelen omhandler kravene til internkontroll i stiftelser. Mitt utgangspunkt er at kravene i liten grad skiller seg fra det som kreves ved andre selskapsformer. Jeg anbefaler derfor stiftelsene å basere seg på generelt anerkjent praksis for god internkontroll - både for kapitalforvaltningen og for øvrige aktiviteter.

Artikkelens ambisjon er å gi et praktisk bidrag til styrking av internkontroll i stiftelser. Jeg innleder med en diskusjon av begrepet internkontroll. Deretter følger en gjennomgang av styrets forvaltnings- og tilsynsansvar, internkontroll over kapitalforvaltning, samt noen praktiske råd om etablering av helhetlig styring og kontroll. Gjennomgangen er basert på tolkninger av regulatoriske krav og beste praksis-rammeverk, samt egne erfaringer som akademiker, revisor og rådgiver.

Med utgangspunkt i Revisorforeningens publikasjoner om stiftelsesrett og Lotteri- og Stiftelsestilsynets tematilsyn om internkontroll i 2009 fastslår jeg at kravene til internkontroll i stiftelser i stor grad er sammenfallende med kravene til god internkontroll for øvrige selskapsformer. Stiftelsene bør derfor kjenne til de tolkninger som er gjort rundt de mest sentrale av disse kravene, samt hvordan kravene kan operasjonaliseres i praksis.

Begrepsavklaring - hva betyr «internkontroll»

Internkontroll handler om mer enn kontrolltiltak. Internkontroll kan defineres som de strukturer og prosesser som er etablert for å styre og kontrollere en virksomhet - inkludert det som gjøres for å identifisere og håndtere risiko. En slik bred tolkning av internkontrollbegrepet har støtte fra faglitteraturen og sentrale offentlige organer.

Tolkningen er i tråd med den dominerende definisjonen av internkontroll, som stammer fra COSO-rammeverkene (1992 og 2004).* Se www.coso.org for sammendrag av rammeverk for internkontroll (1992) og rammeverk for helhetlig risikostyring (2004). Essensen i COSO-definisjonen er at begrepet dekker summen av de aktivitetene som gjøres for systematisk å redusere risikoen for ikke å nå fastsatte mål. Man kan like godt si at internkontroll er de aktivitetene som gjøres for systematisk å øke muligheten til å nå fastsatte mål. Det blir da tydeligere at internkontroll er et bredt definert begrep som inneholder det meste av en virksomhets styring og kontroll.

Finanstilsynet og Senter for Statlig Økonomistyring har publisert liknende tolkninger.* Se Senter for Statlig Økonomistyring, Rapport 4/2009 pkt. 2.1.1, og Finanstilsynets veiledning til forskrift om risikostyring og internkontroll (rundskriv 3/2009). Hovedbudskapet fra disse er at «internal control» omfatter langt mer av styringsaspekter enn hva som på norsk ofte snevert forstås som interne kontrolltiltak.De konkluderer begge med at en riktig forståelse av begrepet internkontroll krever at man ser på den helhetlige sammenhengen mellom mål, risiko, styring og interne kontrolltiltak.

Oppsummert kan man derfor si at god internkontroll innebærer å etablere et godt system for styring og kontroll. For stiftelser bør systemet dekke formålsrealiseringen, kapitalforvaltningen, regnskapsrapportering samt øvrige vesentlige aktiviteter slik som næringsaktivitet.