logo

Internkontroll og virksomhetsstyring i kommunal sektor

Internkontroll er en viktig og lovpålagt del av kommunenes virksomhetsstyring, men det råder en del usikkerhet i kommunene omkring hvordan internkontroll skal forstås og utøves. Denne artikkelen beskriver hva internkontroll er og hvordan kommunal internkontroll kan styrkes og samtidig innpasses i virksomhetsstyringen for øvrig.

Artikkelen er basert på PricewaterhouseCoopers’ rapport «Internkontroll i kommuner» til Kommunal- og regionaldepartementet. Rapporten er tilgjengelig på pwc.com/no og www.dep.no/krd.

De siste årene har kommune-Norge opplevd en rekke tilfeller av misligheter, korrupsjon og myndighetsmisbruk. I tillegg har det jevnlig forekommet saker knyttet til brudd på myndighetskrav innenfor tjenesteområder som skole, barnevern og pleie og omsorg. Ofte skyldes disse sakene svikt i kommunens internkontroll, enten ved mangelfull kontroll eller ved at regelverk og rutiner ikke har blitt etterlevd.

Rådmannen er som administrativ leder ansvarlig for kommunens internkontroll. Rådmannens internkontroll er ett av tre elementer i den såkalte kommunale egenkontrollen. De to øvrige elementene er kontrollutvalget og revisjonen. I desember 2009 leverte en arbeidsgruppe rapporten «85 tilrådingar for styrkt eigenkontroll i kommunane» til kommunal- og regionalministeren. Rapportens hovedtilråding var å styrke rådmannens internkontroll.

God internkontroll er viktig for å sikre kommunens omdømme og innbyggernes tillit. Samtidig er internkontroll bare ett av flere mål ved kommunal virksomhetsstyring. Andre viktige mål er strategisk ledelse, måloppnåelse og kvalitet i og forbedring av tjenesteproduksjonen. Rådmannen må ta hensyn til alle disse målene i sin virksomhetsstyring.

Internkontroll og risiko i kommunal sektor

Med internkontroll menes i denne artikkelen følgende:

«Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter utformes, gjennomføres og følges opp med basis i vurderinger av risiko for styringssvikt, feil og mangler i virksomhetens arbeidsprosesser.»

Vår definisjon av internkontroll fokuserer på formalisering. I dette ligger en vektlegging av dokumentasjonsrutiner (i motsetning til sedvane og andre udokumenterte rutiner), systematisering med rutiner for oppfølging av etterlevelse og vedlikehold av kontrollsystemet (i motsetning til engangs- og ad hoc-kontrollaktiviteter) samt risikovurderinger (i motsetning til tilfeldige og unødvendige kontrollaktiviteter).

Noen definisjoner av internkontroll er videre enn vår. For eksempel er det vanlig å se definisjoner som vektlegger sammenhengen mellom mål, risiko, styring og kontroll (se for eksempel SSØ: Internrevisjon og intern kontroll i statlige virksomheter - en kartlegging. Rapport 4/2009. Oslo: Senter for statlig økonomistyring (SSØ). I en slik vid forståelse av internkontroll fokuseres det på «risiko for manglende måloppnåelse» mens vi fokuserer på «risiko for styringssvikt, feil og mangler.» Vi innsnevrer altså her risikobegrepet til hendelser man vil unngå, ikke mål man vil oppnå. Denne avgrensningen skyldes blant annet vår vurdering av dagens virksomhetsstyring i kommunal sektor. Systematisk arbeid med strategi, resultatledelse og kvalitetsforbedring er utbredt i kommunene, mens kontrollsiden i virksomhetsstyringen er underutviklet og nedprioritert. Vi mener derfor at kommunene i arbeidet med å styrke internkontrollen bør fokusere på nettopp kontroll.

I dette perspektivet, hva er de viktigste risikoområdene i kommunal sektor? En kjerneprosess i kommunene er tjenesteproduksjon. Risikoelementer her knyttes blant annet til overholdelse av lover og regelverk, herunder myndighetskrav i særlovgivningen. En annen kjerneprosess i kommunene er saksbehandling og myndighetsutøvelse. Risikoelementer her knyttes blant annet til misligheter, korrupsjon og myndighetsmisbruk. Sentrale støtteprosesser i kommunene er økonomiforvaltning, personalforvaltning, anskaffelser samt IKT-styring og informasjonssikkerhet. Risikoelementer her knyttes blant annet til feil i finansiell rapportering, misligheter og korrupsjon og mangelfull overholdelse av lover og regler.

Et viktig kjennetegn ved kommunal sektor er variasjon i størrelse, kompleksitet og i lokale prioriteringer. Ved å bygge internkontrollen basert på risikovurderinger, legges det til rette for at den enkelte kommune kan etablere en internkontroll som er i tråd med og dimensjonert i forhold til lokale behov og prioriteringer.

Prinsipper for god internkontroll i kommunal sektor

Rådmannens arbeid med å utvikle og styrke internkontrollen i kommunen bør bygge på allment aksepterte prinsipper for god internkontroll. Vi har følgende tilrådninger for forbedring av internkontrollpraksis i kommunal sektor:

  1. Internkontroll er et ledelsesansvar. Rådmannen må gjennom holdninger og handlinger vise at internkontrollen er et viktig element i kommunens virksomhetsstyring, og tydelig kommunisere at internkontrollen er en integrert del av både lederansvar og medarbeideransvar i kommunen.

  2. Internkontroll er basert på systematiske risikovurderinger. Risikovurdering er lite brukt i kommunenes virksomhetsstyring. Vår tilråding er at kommunene med fordel i større grad kan benytte seg av risikovurderinger i virksomhetsstyringen, særlig i defineringen av internkontrollens innretning og omfang.

  3. Internkontroll handler om formalisering av kontroll. Vår tilråding er at alle kommuner bør redusere sin avhengighet av uformell kontroll. Formalisering vil redusere kommunens sårbarhet for personellskifter, endringer i rammebetingelser og habilitetskritikk og vil øke organisatorisk hukommelse og læring.

  4. Beskrivelser av oppgaver, ansvar og myndighet er et viktig prinsipp for god internkontroll. Vår tilråding er at kommunene bruker og vedlikeholder dokumenter som beskriver roller og ansvar. I tillegg tilråder vi at kommunene i større grad inkluderer kontrollansvar i disse dokumentene.

  5. Arbeidsdeling er også et viktig prinsipp for god internkontroll. Med dette menes at en og samme person ikke skal være ansvarlig for både aktivitet og kontroll. Vår tilråding er at kommunene ivaretar arbeidsdelingen ved design og utføring av kontrollaktiviteter.

  6. Internkontroll må inkludere tiltak som kan sikre at kontrollkrav er kommunisert og forstått. Vår tilråding er at kommunene etablerer tiltak som sikrer god løpende informasjon og kommunikasjon til ledere og medarbeidere, og som sikrer målgruppen nødvendig opplæring og kompetanse. Kommunikasjon og forståelse er viktig for å sikre etterlevelse av internkontrollen.

  7. Internkontroll krever at ledere og medarbeidere har nødvendig kompetanse. Vår tilråding er at kommunene har en systematisk tilnærming til kompetanseutvikling og -sikring gjennom opplæringstiltak, informasjon og rekruttering. Kompetanse er viktig for å sikre etterlevelse av internkontrollen.

  8. Internkontrollsystem må følges opp og vedlikeholdes. Kommunene må i den løpende drift av internkontrollen avsette ressurser til nødvendig oppfølging og vedlikehold. Sentralt i et velfungerende internkontrollsystem er at ansvaret for oppdatering og revidering av dokumentasjon er tydelig plassert. Det er videre sentralt at oppdatering av risikovurderinger, design av kontrollaktiviteter og evaluering og rapportering av internkontrollen skjer regelmessig, eksempelvis i henhold til et internkontroll-årshjul. Oppfølging og vedlikehold er viktig for å sikre etterlevelse av internkontrollen.

Sammenligning av rammeverk for virksomhetsstyring

Risikoreduksjon gjennom styrket internkontroll er som nevnt bare ett av flere viktige siktemål for kommunal virksomhetsstyring. De fleste kommuner har hatt strategisk ledelse, resultatledelse og kvalitet i fokus når de har bygget sine styringssystemer. Indikasjoner på dette er den store utbredelsen av rammeverk for kvalitetsutvikling og fremfor alt rammeverk for mål- og resultatstyring, som balansert målstyring (BMS). Grenseflatene mellom slike rammeverk er uklare for mange.

Vi gjør på denne bakgrunn en overordnet sammenligning av tre rammeverk for kommunal virksomhetsstyring: COSO 1 (internkontroll), ISO 9001 (kvalitet) og BMS (mål- og resultatstyring). Rammeverkene sammenlignes på hvordan de understøtter syv oppgaver innenfor virksomhetsstyring, se tabell 1.

Tabell 1 viser en sammenligning av de tre rammeverkene COSO, ISO 9001 og BMS.

COSO 1 (internkontroll)

ISO 9001 (kvalitetssystem)

Balansert målstyring (mål- og resultatstyring)

Operasjonalisere strategiske mål

-

-

++

Identifisere risiko

++

-

-

Identifisere prosessforbedringer

-

++

-

Redusere risiko gjennom kontrollhandlinger

++

-

-

Forbedre prosesser gjennom tiltak

-

++

+

Overvåke og avdekke avvik fra rutiner og kontroller

++

++

+

Følge opp og lukke avvik

+

+

+

Tabell 1: Sammenligning av rammeverk for virksomhetsstyring.

Utvelgelsen av disse syv oppgavene yter ikke alle rammeverkene like stor rettferdighet, men er likevel bred nok til å få frem vårt hovedpoeng med sammenligningen: Rammeverk for internkontroll, kvalitetsutvikling og mål- og resultatstyring har ulike styrker og svakheter. For eksempel har COSO, med sin opprinnelse i regnskap og revisjon, særlig svakheter på strategisk styring og kvalitetsutvikling, der BMS er sterk.

Vår vurdering er derfor at verktøyene og det bakenforliggende tankegodset må innpasses i kommunens helhetlige virksomhetsstyring. Kanskje er det slik at COSO-tenkning er best egnet for styring av arbeidsprosesser der risiko er høy og der behovet for nytenkning er begrenset? Kanskje trenger styring av tjenesteproduksjon større islett av kvalitetsutvikling og strategisk styring, og dermed mindre islett av COSO-tenkning? Og trolig er BMS det beste rammeverket for å knytte aktiviteter opp mot strategiske mål.

Vårt råd er at den enkelte kommune i sin vurdering av hvordan målstyring, kvalitet og kontroll kan ivaretas, må ta utgangspunkt i sitt eksisterende styringssystem. Kommunen må videreføre de elementene som allerede er sterke og forbedre de elementene som er svake.

Er internkontroll et hensiktsmessig rammeverk for kommunal styring?

Ja, i kombinasjon med andre rammeverk.

Behovene for styring, kontroll og forbedring må veies mot hverandre. Vår vurdering er likevel at vektingen i dag er skjev. De fleste kommuner trenger større islett av kontroll i virksomhetsstyringen. Dagens dominerende rammeverk for virksomhetsstyring i kommunesektoren, BMS/mål- og resultatstyring, legger for liten vekt på risikovurdering og kontroll. Når det gjelder hvordan man finner veien videre med kombinasjon og justering mellom styringsrammeverk, må den enkelte kommune starte fra der den står. Kommuner med et velutviklet kvalitetssystem bør naturligvis ikke kaste dette på båten, men heller ta grep som sikrer nødvendige innslag av kontroll og målstyring. Tilsvarende bør kommuner med velutviklet målstyring sikre nødvendige islett av kvalitetsutvikling og kontroll, og (de få) kommuner som har velutviklet internkontroll bør sikre nødvendige innslag av kvalitetsutvikling og målstyring. De respektive rammeverkene gir bistand til slik justering av helhetlig virksomhetsstyring.

Ja, dimensjonert riktig.

Hver kommune må dimensjonere sin internkontroll ut fra rådmannens vurdering av vesentlighet og risiko i lys av lokale behov og prioriteringer. Kommunestørrelse, kompetanse i organisasjonen og grad av uformell kontroll påvirker behovet for formalisert internkontroll. Det viktigste er kontroll av høy kvalitet. En del kommuner gaper for høyt. De legger opp til et for høyt kontrollnivå i en for stor del av virksomheten og med for mange kontroller. Vi tilråder kommunene å prioritere noen overordnede ledelseskontroller. Disse bør være integrert i rådmannens virksomhetsstyring og være basis i kontrollsystemet. I tillegg bør kommunene etablere kontrollaktiviteter for arbeidsprosesser på områder med høy risiko.

Ja, gitt at systemet vedlikeholdes.

Vedlikehold er akilleshælen for all systematisk virksomhetsstyring. Mange kommuner strever med å dra systemer for internkontroll over fra prosjekt til drift. Dokumentasjon som ikke har nødvendig kvalitet, har begrenset verdi. Evner man ikke å vedlikeholde systemet og dokumentasjonen tilknyttet systemet, kan man like gjerne la være. Vi tilråder kommunene å opprioritere vedlikehold og løpende drift av kontrollsystemet.

Ja, gitt at systemet etterleves.

Vår erfaring er at mange virksomheter ved etableringen av internkontroll overser eller nedprioriterer å etablere og gjennomføre systematiske prosesser for å sikre etterlevelse. Dette er særlig tilfelle i perioden etter utviklingsfasen. Tiltak for å sikre etterlevelse må ivaretas løpende.