logo

Krav til internkontroll i stiftelser

Denne artikkelen omhandler kravene til internkontroll i stiftelser. Mitt utgangspunkt er at kravene i liten grad skiller seg fra det som kreves ved andre selskapsformer. Jeg anbefaler derfor stiftelsene å basere seg på generelt anerkjent praksis for god internkontroll - både for kapitalforvaltningen og for øvrige aktiviteter.

Artikkelens ambisjon er å gi et praktisk bidrag til styrking av internkontroll i stiftelser. Jeg innleder med en diskusjon av begrepet internkontroll. Deretter følger en gjennomgang av styrets forvaltnings- og tilsynsansvar, internkontroll over kapitalforvaltning, samt noen praktiske råd om etablering av helhetlig styring og kontroll. Gjennomgangen er basert på tolkninger av regulatoriske krav og beste praksis-rammeverk, samt egne erfaringer som akademiker, revisor og rådgiver.

Med utgangspunkt i Revisorforeningens publikasjoner om stiftelsesrett og Lotteri- og Stiftelsestilsynets tematilsyn om internkontroll i 2009 fastslår jeg at kravene til internkontroll i stiftelser i stor grad er sammenfallende med kravene til god internkontroll for øvrige selskapsformer. Stiftelsene bør derfor kjenne til de tolkninger som er gjort rundt de mest sentrale av disse kravene, samt hvordan kravene kan operasjonaliseres i praksis.

Begrepsavklaring - hva betyr «internkontroll»

Internkontroll handler om mer enn kontrolltiltak. Internkontroll kan defineres som de strukturer og prosesser som er etablert for å styre og kontrollere en virksomhet - inkludert det som gjøres for å identifisere og håndtere risiko. En slik bred tolkning av internkontrollbegrepet har støtte fra faglitteraturen og sentrale offentlige organer.

Tolkningen er i tråd med den dominerende definisjonen av internkontroll, som stammer fra COSO-rammeverkene (1992 og 2004).# Se www.coso.org for sammendrag av rammeverk for internkontroll (1992) og rammeverk for helhetlig risikostyring (2004). Essensen i COSO-definisjonen er at begrepet dekker summen av de aktivitetene som gjøres for systematisk å redusere risikoen for ikke å nå fastsatte mål. Man kan like godt si at internkontroll er de aktivitetene som gjøres for systematisk å øke muligheten til å nå fastsatte mål. Det blir da tydeligere at internkontroll er et bredt definert begrep som inneholder det meste av en virksomhets styring og kontroll.

Finanstilsynet og Senter for Statlig Økonomistyring har publisert liknende tolkninger.# Se Senter for Statlig Økonomistyring, Rapport 4/2009 pkt. 2.1.1, og Finanstilsynets veiledning til forskrift om risikostyring og internkontroll (rundskriv 3/2009). Hovedbudskapet fra disse er at «internal control» omfatter langt mer av styringsaspekter enn hva som på norsk ofte snevert forstås som interne kontrolltiltak.De konkluderer begge med at en riktig forståelse av begrepet internkontroll krever at man ser på den helhetlige sammenhengen mellom mål, risiko, styring og interne kontrolltiltak.

Oppsummert kan man derfor si at god internkontroll innebærer å etablere et godt system for styring og kontroll. For stiftelser bør systemet dekke formålsrealiseringen, kapitalforvaltningen, regnskapsrapportering samt øvrige vesentlige aktiviteter slik som næringsaktivitet.

Styrets forvaltnings- og tilsynsansvar

Ved tolkninger av hva som ligger i stiftelseslovens forvaltnings- og tilsynsansvar, kan man ha nytte av å se på aksjelovgivningen, NUES-anbefalingene om styrets internkontrollansvar og internkontrollforskriften.# NUES er Norsk Utvalg for Eierstyring og Selskapsledelse, som har utgitt Norsk Standard for Eierstyring og Selskapsledelse. Kapittel 10 i standarden omhandler styrets ansvar for internkontroll. Se www.nues.no.

Aksjelovgivningens krav til styrets forvaltnings og tilsynsansvar (§ 6-12 og 6-13) innebærer i praksis at det må etableres et helhetlig system for styring og kontroll. Styret har et strategi- og organiseringsansvar, og et påfølgende tilsyns-/kontrollansvar. I forvaltningsansvaret ligger det at styret skal sette overordnede mål for virksomheten (strategier, planer, budsjetter), organisere virksomheten på en slik måte at den settes i stand til å nå målene, samt gi retningslinjer til daglig leder og virksomheten (typisk mandater, instrukser, policies og lignende). I tilsynsansvaret ligger det at styret skal følge opp at det er betryggende kontroll over virksomheten, formuesforvaltningen og økonomi/regnskap. Av aksjelovgivnings regler om forsvarlig egenkapital (§ 3-4 og § 3-5) følger det videre at styret har et ansvar for løpende å følge med på virksomhetens omfang og risiko i forhold til kapitalen (i offentlig sektor kan man likestille «kapitalen» med budsjettrammene). Når reglene ses i sammenheng med daglig leders rapporteringsplikt til styret (6-14), ser man at aksjelovgivningen legger opp til et helhetlig system for styring og kontroll, som også inkluderer vurderinger av risiko og internkontroll.

Norsk Anbefaling for Eierstyring og Selskapsledelse (NUES) kapittel 10 presiserer styrets ansvar knyttet til risikostyring og internkontroll. Av kapittel 10 fremgår det at styret skal påse at virksomheten har et egnet system for risikostyring og internkontroll, og at styret årlig skal vurdere vesentlige risikoforhold og tilhørende kontrolltiltak. Min erfaring er at mange har etablert en årlig vurdering av risiko, men at flertallet ikke gjør en eksplisitt vurdering av selve systematikken for hvordan man styrer risiko og følger opp internkontroll (for eksempel roller, ansvar og metodikk). NUES presiserer at begge vurderingene er påkrevd, noe jeg er enig i at er god praksis.

Jeg har fått mange spørsmål om hva som ligger i «systemene for risikostyring og internkontroll». Finanstilsynets internkontrollforskrift § 3 gir god veiledning, gjennom at den presiserer hva styret skal følge opp. Blant annet skal virksomheten ha (1) klar arbeidsdeling mellom styret og leder, fastsatt i instrukser, (2) en klar organisasjonsstruktur (merk: som lar seg overvåke), (3) strategier, planer og budsjetter, (4) vurderinger av risikoevne og -vilje (risikoappetitt), (5) prinsipper for risikostyring og internkontroll (typisk roller, ansvar, metodikk og prosesser) og (6) løpende og periodisk oppfølging av risiko og internkontroll, både på totalnivå og virksomhetsområdenivå. Forskriften, med tilhørende veiledning, reflekterer et bredt syn på hva som ligger i risikostyring og internkontroll, og presiseringene er nyttige for de som vil ha regulatorisk støtte for hva som er god praksis.

COSO-rammeverkene er etter min mening mindre nyttige dersom man allerede kjenner NUES og internkontrollforskriften. COSO bidrar mest med begrepsdefinisjoner, og inneholder lite konkret veiledning til hvordan man kan legge opp en god prosess for styring og kontroll. Et unntak er 2009-veiledningen om oppfølging av internkontroll, som inneholder stegene (1) identifiser og prioriter risikoene, (2) identifiser kontrollene som håndterer risikoene, og (3) etabler en systematisk oppfølging av informasjonen som indikerer om risikoene endres eller kontrollene svikter.

Internkontroll over kapitalforvaltningen

Stiftelsene er anbefalt å følge kapitalforvaltningsforskriftens krav til god kontroll over kapitalforvaltningen.# Lotteri- og Stiftelsestilsynets tematilsyn om internkontroll i 2009 pkt. 7.2 anbefaler stiftelser, så langt det passer, å anvende forskrift om kapitalforvaltning i livsforsikring av 17. desember 2007 nr. 1457. God internkontroll over kapitalforvaltningen begynner med tydelig fastsettelse av mål og plasseringsbegrensninger. En strategisk aktivaallokering, med tilhørende referanseindekser, bør fastsettes ut fra en vurdering av (1) hvilket langsiktig avkastningsnivå som er nødvendig for å oppnå varig formålsrealisering, og (2) hvor store svingninger i avkastningen man tåler underveis. Videre må man bestemme seg for om man aktivt skal forvalte midlene eller om man skal følge referanseindeksene mer mekanisk - i begge tilfeller må man angi hvor store avvik fra den strategiske allokeringen som tillates. I tillegg bør strategien angi rammer for de viktigste risikoene (marked, kreditt og likviditet), kriterier for hvordan eksponering skal måles, samt eventuelle plasseringsbegrensninger - for eksempel forbud mot bruk av derivater.

Når strategien er lagt, må kapitalforvaltningen organiseres på en forsvarlig måte. Det må være tydelig hvem som har ansvar og myndighet i forhold til investeringsbeslutninger. Dersom styret ikke selv skal ta enkeltbeslutninger om investeringer, bør det etableres investeringsmandater for forvalterne - bestående av mål og plasseringsbegrensninger. Deretter bør det etableres uavhengig måling, analyse og rapportering av posisjoner, avkastning og risiko. Styret bør også sikre at egen oppfølging av kapitalforvaltningen er tilstrekkelig, både i form av kompetanse, tidsbruk og dybde. Dersom styret ikke har lagt opp til selv å ta aktive investeringsvalg, bør man ikke begi seg inn på det før strategien og organiseringen er tilrettelagt for det - uansett hvor overbevisst enkelte styremedlemmer kan være om at «nå må vi satse i Kina».

Etter min mening kan mange styrer ha nytte av å etablere et rådgivende investeringsutvalg der det kan trekkes på ekstern spisskompetanse - både i forhold til overordnede allokeringsbeslutninger og i forhold til eventuelle enkeltinvesteringer. Videre kan mange styrer ha nytte av å få utført en uavhengig vurdering av om de har organisert kapitalforvaltningen på en forsvarlig måte. Det er ofte små grep som skal til for å sikre gode forvaltningsprosesser med forsvarlig internkontroll.

Avsluttende råd om helhetlig styring og kontroll

Det er noen fallgruver forbundet med å få til et helhetlig system for internkontroll. For det første må man flytte fokuset vekk fra detaljerte kontrolltiltak og heller fokusere på den overordnede strukturen for styring og kontroll, i hvert fall inntil sistnevnte er vel etablert. Det kan være et godt utgangspunkt å begynne med å beskrive styringsmodellen i et sammenfattende dokument, slik at styrings- og kontrollprosessene blir tydeliggjort. Min erfaring er at mange av utfordringene da vil komme til overflaten, slik at de kan håndteres.

For det andre må man definere en tydelig prosess for å vurdere risikoeksponering og tilhørende kontrolltiltak. Roller og ansvar må være tydeliggjort; hvem skal vurdere risiko, hvem skal håndtere risiko, og hvem skal forvalte metodikken og tilrettelegge for vurderingen. Metodikken bør ikke være mer kompleks enn at den fremskaffer en analyse som gir styret og ledelsen grunnlag for å ta stilling til risikoeksponeringen og nivået på kontrolltiltak. Jeg tror de fleste med hell kan droppe kompliserte, kvantitative skalaer og heller fokusere på en overordnet vurdering av risikobildet, og hvor mye det eventuelt haster å gjøre noe. Jeg mener også at risiko- og kontrollvurderinger bør være en integrert del av de generelle planleggings- og oppfølgingsprosessene. Det siste kan oppnås ved at man anerkjenner at strategi og planarbeid, med påfølgende styre-/ledermøter og perioderapportering, er de sentrale aktivitetene for å håndtere risiko og utfordringer. Deretter kan man søke å styrke disse aktivitetene ved å tilføre elementer av strukturert risikovurderingsmetodikk.

For det tredje vil jeg gi en advarsel til de som iverksetter prosjekter for å styrke risikostyring og internkontroll. Pass på at det ikke blir rene dokumentasjonsøvelser der man nedfeller masse rutiner som verken de ansatte eller ledelsen/styret trenger eller kommer til å vedlikeholde. Pass også på at det ikke etableres tungvinte, byråkratiske prosesser for risiko- og internkontrollvurderinger på utsiden av den reelle styringen. Begge deler er dømt til å mislykkes. Prøv heller å bygge gode kontrollpunkter inn i stiftelsens hovedaktiviteter, og fokuser innledningsvis på de vesentligste forholdene.