Prosjekt egenkontroll: «Godt nok»

(1)

FYLKESMANNEN I OPPLAND

Prosjekt egenkontroll: «Godt nok»

En god nok egenkontroll i kommunene gir mindre behov for statlige tilsyn

17.03.2014

Fylkesmannen i Oppland igangsatte et prosjekt for å få til en bedre egenkontroll i kommunene.

Prosjektet gir anbefalinger på forbedringer av tilsynene, kontrollutvalgenes bruk av

forvaltningsrevisjoner og ulike forbedringer av rådmannens internkontroll. Ved å følge opp disse anbefalingene kan statlige tilsyn reduseres. Dette bidrar til forenkling.

(2)

Prosjekt egenkontroll: «Godt nok» - En god nok egenkontroll i kommunene gir mindre behov for

statlige tilsyn Side 1

Forord

Som en oppfølging av Fylkesmannens initiativrolle, ble det igangsatt et prosjekt med et mål om å få til bedre egenkontroll i kommunene. Ved å følge opp dette prosjektet oppnås en mer effektiv ressursutnytting i forholdet mellom kommuner og tilsynsmyndigheter. Samtidig gir en god egenkontroll vilkår for læring og forbedring i kommunene. Det vises i den forbindelse til Fylkesmannens ansvar for å samordne all statlig tilsynsvirksomhet rettet mot kommunene og fylkeskommunene, og bidra til at tilsynsvirksomheten er rasjonell, effektiv og fremmer læring hos kommunene. Da kan statlige tilsyn reduseres. Dette vil også bidra til forenkling, som er ett av regjeringens satsingsområder. Samtidig bør dette prosjektet bidra til å gi en bedre tilbakemelding til sentrale statlige myndigheter på helhetsperspektivet som kommunene representerer.

Kristin Hille Valla

Fylkesmannen i Oppland

(3)

Innhold

1. Innledning ... 3

1.1. Bakgrunn ... 3

1.2. Målet for prosjektet ... 3

1.3. Definisjon og avgrensning ... 3

1.4. Metode ... 3

1.5. Organisering av arbeidet ... 4

1.6. Leserveiledning ... 4

2. Bruk av statlige tilsyn ... 5

3. Egenkontroll ... 6

3.1 Hva er egenkontroll? ... 6

3.2. Bruk av forvaltningsrevisjoner ... 6

3.4. Rådmannens internkontroll ... 7

4. Vurderinger og anbefalinger ... 8

4.1. Behovet for helhetlig styring ... 8

4.2. Erfaringer med statlig tilsyn og videre anbefalinger ... 9

4.3. Erfaringer med forvaltningsrevisjon og videre anbefalinger ... 10

4.4. Forbedringer av rådmannens internkontroll ... 11

4.4.1 Overordnet tilnærming ... 11

4.4.2. Mal for hvordan internkontrollen styres ... 11

4.4.3 Lederes ansvar for internkontrollen ... 12

4.4.4. Bruk av risikovurderinger ... 12

4.4.5. Elektronisk kvalitetsverktøy ... 12

4.4.6. Etikk og organisasjonskultur ... 13

4.4.7. Om internkontroll og risikovurderinger i årsrapporten ... 13

4.4.8. Kompetanse ... 13 Vedlegg

(4)

1. Innledning 1.1. Bakgrunn

Fylkesmannen i Oppland igangsatte et prosjekt: Utvikling av egenkontrollen i kommunene i mai 2013.

Dette følger opp stortingsmelding nr. 12 (2011 – 2012) Stat og kommune. Her mener departementet at om en i større grad ser sammenhenger mellom kommunenes egenkontroll og statlige tilsyn, kan en oppnå en mer effektiv ressursutnytting og bedre vilkår for læring og forbedring i kommunene.

Videre at det må være et mål at statlige krav ikke har unødvendige omfattende krav til

kontrollaktiviteter og dokumentasjon. Dette er også i tråd med regjeringens mål om å forenkle, fornye og forbedre tjenestene i offentlig sektor.

1.2. Målet for prosjektet

Prosjektet har sett på forbedringer av egenkontrollen i kommunene. Ved økt bruk av egenkontroll i de statlige tilsynene må egenkontrollen i kommunene kvalitetssikres. Målet for prosjektet er å få til et godt egenkontrollsystem som bidrar til god styring, læring og en helhetlig utvikling av kommunale tjenesteyting og forvaltningspraksis. Med et godt egenkontrollsystem i kommunene, kan omfanget av statlige tilsyn reduseres.

1.3. Definisjon og avgrensning

Kommunal egenkontroll er den kontrollen kommunen selv gjennomfører i egen virksomhet basert på kommunelovens bestemmelser om kontrollutvalg, revisjon og internkontrollen til rådmannen.

Prosjektet er en oppfølging av rapporten fra Kommunal og regionaldepartementet med «85

tilrådingar for styrkt eigenkontroll i kommunane». Her gir tilråding 85:»Fylkesmannen bør i samband med planlegging og gjennomføring av tilsyn holde seg orientert om planer og resultat i den

kommunale egenkontrollen. Det bør være et mål at kommuner ikke får tilsyn på områder der det nylig er gjennomført eller snart skal gjennomføres forvaltningsrevisjon.»

Prosjektet har avgrenset seg til rådmannens internkontroll, og i tillegg omfanget av forvaltningsrevisjoner bestilt av kontrollutvalget.

1.4. Metode

I tillegg til dokumentstudier har det blitt gjennomført nettverksmøter. Hensikten med

nettverksmøtene var å få til økt innsikt i helheten som rådmannen skal ivareta, men også å få frem mulige forbedringspunkter. På den måten ønsket en å få frem gode ideer, læring av hverandre og mest mulig konkrete forslag til forbedringer av internkontrollen. For å vurdere egenkontrollsystemet på et overordnet nivå, var det vesentlig at rådmenn deltok i prosjektet.

Følgende kommuner har deltatt: Jevnaker, Nordre Land, Nord-Aurdal, Lillehammer, Gausdal og Østre Toten.Deltakerne til prosjektet ble valgt ut av Fylkesmannen i Oppland.

Lillehammer kommune defineres som en stor kommune (mer enn 20 000), mens de øvrige kommunene defineres som mellomstore kommuner (5 000 – 19 999).

(5)

1.5. Organisering av arbeidet

Det har blitt gjennomført nettverkssamlinger med deltakende kommuner. KS-heftet: «Rådmannens internkontroll – Hvordan få orden i eget hus?» har vært lagt til grunn for gjennomføringen av prosjektet.

Prosjekteier: Embetsledelsen Prosjektansvarlig: Asbjørn Lund Prosjektleder: Aslaug Dæhlen Styringsgruppe: Tilsynsforum

Referansegruppe: Arbeidsgruppa i tilsynsforum Ledergruppa hos Fylkesmannen Det har vært sju nettverkssamlinger.

1.6. Leserveiledning

Det er innledningsvis gitt en kort beskrivelse av statlige tilsyn i kapittel 2 og egenkontroll i kapittel 3.

Deretter kommer vurderinger og videre anbefalinger i kapittel 4. Dette gjelder statlige tilsyn, forvaltningsrevisjon og rådmannens internkontroll. Når det gjelder forbedringer av rådmannens internkontroll er det henvisninger til maler, som er vedlegg til rapporten.

(6)

2. Bruk av statlige tilsyn

Kommuneloven kapittel 10 A inneholder generelle regler om statlig tilsyn med kommuner og fylkeskommuner. Bestemmelsene gir rammer, prosedyrer og virkemidler for kommunerettet statlig tilsyn. Reglene skal gjøre det statlige tilsynet med kommunesektoren mer oversiktlig, ensartet og forutsigbart. Mens kommuneloven kapittel 10 A fastsetter hvordan statlig tilsyn skal gjennomføres, er det særlovene som angir hvilke kommunale plikter og områder av kommunens virksomhet det kan føres tilsyn med.

Stortinget har lagt til grunn at innføring av hjemmel for statlig tilsyn skal bygge på en risiko- og sårbarhetsanalyse, og at valg av tilsyn som virkemiddel skal kunne forsvares gjennom en kost- og nytteanalyse. Ved vurderingen av om statlig tilsyn bør innføres, skal risikovurderingen knyttes til sannsynligheten for at loven brytes og hvilke konsekvenser dette vil få.

Når staten pålegger kommuner og fylkeskommuner oppgaver gjennom lovverket har det sitt utgangspunkt i bl.a. følgende nasjonale mål og hensyn:

 Ivaretakelse av enkelt menneskers rettssikkerhet

 Likhet/likeverd i tjenestetilbudet

 Kostnadseffektiv ressursbruk

 Makroøkonomisk styring

 Samfunnssikkerhet

(7)

3. Egenkontroll

3.1 Hva er egenkontroll?

Kommunal egenkontroll er den kontrollen kommunen selv gjennomfører i egen virksomhet basert på kommunelovens bestemmelser om kontrollutvalg, revisjon og internkontrollen til rådmannen.

3.2. Bruk av forvaltningsrevisjoner

I regelverket blir forvaltningsrevisjon definert som systematisk vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets vedtak og forutsetninger (kommuneloven § 77 nr. 4). I forskrift om revisjon § 7 blir det nærmere spesifisert ulike typer

undersøkelser som kan være aktuelle i forvaltningsrevisjoner. Dette omfatter vurderinger knyttet til:

 Vedtaksoppfølging

 Effektivitet og måloppnåelse

 Regeletterlevelse

 Styringsverktøyenes hensiktsmessighet

 Administrasjonens saksbehandling

 Resultat av kommunens tjenesteproduksjon

Kontrollutvalget skal sørge for at det blir gjennomført forvaltningsrevisjon. For å sikre at

kommunestyret velger ut de mest relevante prosjektene, skal kontrollutvalget utarbeide en plan for forvaltningsrevisjon. For å utarbeide gode planer som får frem hvilke områder i kommunen som bør kontrolleres, må det gjennomføres en overordnet analyse av kommunens virksomhet. Den

overordnede analyse skal gi svar på hvilke områder det er knyttet størst risiko til, og hvilke områder det er mest vesentlig for kontrollutvalget å undersøke. Formålet med analysen vil være å avdekke mangler og svakheter som fører til avvik innenfor kommunens virksomhetsområder. I dette blir det viktig å vurdere hvilke områder som er mest vesentlige. Målsetting er å avdekke forbedringsområder, slik at kommunen kan nå de mål som er satt. Det er utarbeidet en egen veileder av Kommunal- og regionaldepartementet «Kontrollutvalgsboken – om kontrollutvalgets rolle og oppgaver. I den anbefales det å involvere administrasjonen, som vanligvis har den mest inngående kunnskap om kommunenes virksomhet.

Kommunestyret

Kontrollutvalget

Revisjon Sekretariat

Rådmannen

(8)

Når kontrollutvalget bestiller forvaltningsrevisjon over regeletterlevelse, blir det tilsvarende fokus som et tilsyn har.

3.4. Rådmannens internkontroll

Rådmannens internkontroll brukes for å beskrive det ansvaret og de oppgavene som ligger til

administrasjonssjefen etter kommuneloven. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for

betryggende kontroll. Kommuneloven § 23 nr. 2.

Hensikten med internkontroll:

 Kvalitet og effektivitet i tjenestene o Kostnads- og resultateffektivitet o Tilfredse brukere og innbyggere o Forbedringsarbeid

 Helhetlig styring og riktig utvikling o Utvikling i tråd med vedtatte mål

o God samspill mellom virksomhetsstyring og internkontroll

 Etterlevelse av lover og regler

o Kvalitet og tilgang på tjenester o Hindre myndighetsmisbruk o Forebygge uønskede hendelser

I praksis vil det si formaliseringer, dokumenter, rutiner som utarbeides, vedlikeholdes, kontrolleres og følges opp for å sikre at kommunen har den ønskede utvikling, at lover og regler overholdes, at det er kvalitet og effektivitet i tjenestene, og at omdømme og legitimitet ikke svekkes. KS-heftet:

«Rådmannens internkontroll – Hvordan få orden i eget hus?» gir en god innføring i rådmannens internkontroll.

(9)

4. Vurderinger og anbefalinger 4.1. Behovet for helhetlig styring

En kommune er en kompleks organisasjon som krever en god overordnet strategisk styring. Som en del av dette er oppfølgingen av internkontrollen.

Kommuner styres av en rekke lover og forskrifter. Staten sikrer seg at lover oppfylles blant annet gjennom klageadgang og bruk av tilsyn. I den siste tiden har det vært mye omtale av et økende byråkrati, som igjen kommer av et omfattende lovverk med en økende bruk av lovfestede rettigheter. Dette bidrar til likhet, men også økte forventninger og mer byråkrati.

Stadig økende behov for tjenester gir et press for kommunene, som har en begrenset økonomisk ramme til rådighet. Utfordringene forsterkes av demografiske endringer og økte forventninger til de kommunale tjenestene. Høy kvalitet på de kommunale tjenestene og effektiv ressursbruk er

avgjørende fremover. Dette tilsier økt fokus på en god helhetlig styring av kommunene. Kommunene må hele tiden legget vekt på systematisk arbeid med effektivitets- og kvalitetsutvikling, i tillegg til helhetlig styring og utvikling i sin kommune. Det innebærer å utforme og utvikle organisasjonen, slik at den kan være mest mulig effektiv. Det går også ut på å sørge for god drift med hensyn til de oppgavene organisasjonen skal løse. Det handler om å foreta gode analyser og vurderinger som grunnlag for riktig styring. God virksomhetsstyring handler om å gjøre de riktige tingene på den rette måten.

En del av styringen er også oppfølgingen av internkontrollen. Dette synliggjøres gjennom en helhetlig ledelse:

 God administrasjon og styring (blant annet internkontroll)

 Lederskap og relasjon

 Endring, fornyelse og innovasjon

Internkontroll handler om ledelse. Hva kjennetegner de som ikke får avvik ved tilsyn? «De har ledere som er dedikerte, systematiske, nyskapende, nysgjerrige, målorienterte, evaluerende og kreative.

Det handler om ledelse, kultur og system» (direktør Jan Fredrik Andresen i Statens helsetilsyn).

Prosjektet skal bidra til «godt nok» eller for den enkelte kommune. Gjennom rådmannens styring av internkontroll skal det sikre betryggende kontroll. Samtidig må ikke oppfølgingen av internkontrollen være så omfattende at det ikke blir tid til andre forhold som rådmannen skal følge opp.

Videre anbefalinger:

 Gjennom rådmannens styring av internkontroll skal det sikre betryggende kontroll. Samtidig må ikke oppfølgingen av internkontrollen være så omfattende at det ikke blir tid til andre forhold som rådmannen skal følge opp. Rådmannen skal ha en helhetlig strategisk styring av kommunen.

(10)

4.2. Erfaringer med statlig tilsyn og videre anbefalinger

KS har gjennom Norsk institutt for by- og regionforskning utarbeidet en rapport «Hvordan påvirker det statlige tilsynet kommunene og det lokale selvstyret». Som oppfølging av rapporten har hovedstyret i KS blant annet understreket behovet for at:

o Tilsynet må reduseres i omfang, klarere avgrenses som lovlighetstilsyn og samordnes bedre nasjonalt og regionalt.

o Tilsynet må innrettes slik at det i større grad medvirker til læring, bl.a. ved at

kommunesektoren er mer involvert i forberedelser til tilsyn og større frihet for Fylkesmannen til lokal tilpasning av tilsynet.

o Veiledningen må skilles tydeligere fra tilsynet, og i større grad være etterspørselsbasert og dialogbasert.

o Skriftlige veiledere og retningslinjer mv. må ta mer hensyn til lokale prioriteringer og lokale forhold og tydeligere formidle at de ikke er rettslig bindende.

Dagens styring av kommuner viser at kommunene blir møtt med ulik styring, avhengig av hvilket departement som er «lovgiver». Deltakende kommuner i prosjektet opplever dette tydelig i møtet med ulike avdelinger fra Fylkesmannen. Denne forskjellen merkes også fra Fylkesmannen, som fører tilsyn med kommunene. Fylkesmannen får ulik grad av pålegg om landsomfattende tilsyn, avhengig av hvilket departement som er bestiller.

 For å få til en forenkling og mer målrettet styring av tilsyn, anbefales at dette skjer etter en helhetlig risikovurdering gjennomført av både kommuner og den enkelte Fylkesmann. Har kommunene et bedre egenkontrollsystem, vil det være mindre behov for bruk av tilsyn. Ved at kommuner gir en årlig egenvurdering av risiko og internkontrolloppfølging, som gjøres kjent for Fylkesmannen, vil det være med i vurderingen av behovet for tilsyn. Fylkesmannen kan da selv, på bakgrunn av kommunens egenvurdering av risiko og internkontrolloppfølging, tidligere tilsyn, klagebehandlinger, medieoppslag og andre observasjoner, gjennomfører egne risikovurderinger som grunnlag for å velge ut hvilke kommuner og hvilke

tjenesteområder det skal gjennomføres tilsyn med.

 Læring og forbedring er viktige temaer innenfor internkontroll. Deltakende kommuner i prosjektet etterlyser tilbakemeldinger på forhold som er positive under tilsyn. Videre at det er viktig å få til god dialog under tilsyn. Det anbefales at tilsynsmyndigheter finner beste praksis på gjennomføring av tilsyn slik at det også bidrar til læring. Det anbefales at dette følges opp av tilsynsmyndighetene gjennom Tilsynsforum. Dette er også i tråd med de anbefalingene som Norsk institutt for by- og regionforskning utarbeidet en rapport «Hvordan påvirker det statlige tilsynet kommunene og det lokale selvstyret».

 Deltakende kommuner i prosjektet etterlyser et tydeligere skille mellom avvik fra lov og forskrifter, til forhold som går på råd og veiledning. Når det gis avvik under tilsyn, må det være fra lov og forskrifter, og ikke fra statlige veiledere. Dette er også i tråd med de

anbefalingene som Norsk institutt for by- og regionforskning utarbeidet en rapport «Hvordan påvirker det statlige tilsynet kommunene og det lokale selvstyret». Det anbefales at dette følges opp av tilsynsmyndighetene gjennom Tilsynsforum.

(11)

 Deltakende kommuner i prosjektet etterlyser en plan for tilsyn. Denne bør inneholde valg av kommune, valg av tilsynsområde og tidsperiode. Det er også viktig at dette også kan tilpasses kommuner øvrige aktiviteter. Gjennom kommunenes årsrapporter vil Fylkesmannen få kjennskap til risikovurdering, internkontrollen, forvaltningsrevisjoner og tilsyn. Det anbefales at tilsynsplaner utvikles og koordineres bedre. Dette følges opp av tilsynsmyndighetene gjennom Tilsynsforum.

 Dagens styring av kommuner viser at kommunene blir møtt med ulik styring, avhengig av hvilket departement som er «lovgiver». For å møte denne kompleksiteten anbefales det at regionale tilsynsmyndighetene i større grad gir høringssvar som ivaretar en tilnærming hvor det legge vekt på behovet som en kommune har for helhetlig styring, risikovurdering og en vektlegging av at noe er viktigere enn noe annet. Dette er også i tråd med regjeringens mål om å forenkle, fornye og forbedre tjenestene i offentlig sektor.

4.3. Erfaringer med forvaltningsrevisjon og videre anbefalinger

Hensikten med dette delprosjektet var å evaluere bruk av forvaltningsrevisjoner i kommunenes egenkontroll. Her ses det på koblingen mellom forvaltningsrevisjoner, rådmannens internkontroll og bruk av tilsyn. Mens tilsynet er avgrenset til å gjelde kontroll av om kommunene oppfyller de forpliktelsene de er pålagte i eller i henhold til lover, tar kommunen sin egenkontroll i tillegg hensyn til lokale behov og mål, ressursbruk, effektivitet og kvalitet. Det er kontrollutvalget som bestiller forvaltningsrevisjoner. Når kontrollutvalget bestiller forvaltningsrevisjon over regeletterlevelse, blir det tilsvarende fokus som et tilsyn har.

Det ble utarbeidet et eget spørreskjema om forvaltningsrevisjon som deltakende kommuner i prosjektet besvarte. Vedlegg nr. 1.

Hovedfunnene fra undersøkelsen om forvaltningsrevisjon viser at:

 Gjennomsnittet for forvaltningsrevisjon i deltakende kommuner er 1,67 i 2013.

 I hovedsak velger kontrollutvalgene andre temaer enn tilsynene som blir gjennomført.

 Formøter med rådmannen praktiseres i varierende grad.

 Det er et ulikt syn blant deltakende kommuner på kompetansen om forvaltningsrevisjon i revisjonsfirmaene.

 For å sikre god ressursutnyttelse er det viktig at Fylkesmannen er kjent med hvilke områder det er gjennomført forvaltningsrevisjoner. Kontrollutvalget må også være kjent med hvilke områder det er gjennomført tilsyn. Det anbefales at rådmannen beskriver gjennomførte

forvaltningsrevisjoner og tilsyn i årsrapporten.

 Kravet om en overordnet analyse som grunnlag for en plan for forvaltningsrevisjon er fornuftig og nødvendig for å sikre ei systematisk tilnærming og fokus på overordnet styring. Det anbefales

(12)

at kontrollutvalget gjennomfører formøter med rådmannen hvor risikovurderinger legges til grunn.

 Kompetansen om forvaltningsrevisjon hos revisjonsfirmaene kan bedres.

 Det anbefales et nytt prosjekt hvor Fylkesmannen ser nærmere på hvordan kontrollutvalgene sikrer en god egenkontroll, slik at statlige tilsyn kan reduseres.

4.4. Forbedringer av rådmannens internkontroll

4.4.1 Overordnet tilnærming

Også når det gjelder internkontroll er det viktig at oppfølgingen begynner med en overordnet tilnærming gjennom bruk av risikovurderinger. God internkontroll er å sørge for kontinuerlig evaluering av fag, lederskap, arbeidsprosesser og ressursbruk. Bruk av risikovurderinger kan gi en annen tilnærming til internkontroll og ved å se dette i sammenheng med andre evalueringer, vil dette være med på å gi læring og forbedring. Gjennomføringen bidrar til å rette fokus mot styring.

Oppfølging av avvik gir læring og skal bidra til forbedringer. Ordet avvik har i seg selv noe negativt over seg, og derfor er det viktig å fokusere på at dette skal bidra til læring og forbedringer. Fokuset på risikovurderinger har noe mer offensivt over seg. Noe er viktigere enn noe annet og det er viktig å vurdere «det viktigste av det viktige». Her handler det om å begynne med et overordnet blikk og vurdere om kommunen gjør de riktige tingene på den rette måten». Deretter å gjennomføre risikovurderinger hvor fokuset er «det viktigste av det viktige». Da handler det om å gå fra en mer overordnet tilnærming til en mer detaljert oppfølging. Når det gjelder internkontroll er noe viktigere enn noe annet. Skal ikke denne oppfølgingen bli for omfattende, er det viktig å ha en overordnet tilnærming slik at selve arbeidet prioriteres på en god måte. Det handler om «godt nok». I en kommune med en begrenset økonomisk ramme og en oppgaveportefølje som ikke harmonerer, er det viktig å vurdere «godt nok» hele tiden.

 Det anbefales at rådmannens styring av internkontroll har en overordnet tilnærming.

4.4.2. Mal for hvordan internkontrollen styres

For å vise at rådmannen har betryggende kontroll, anbefales det å utarbeide et dokument som viser hvordan internkontrollen styres. Her må følgende områder beskrives:

 Kommunestyrets oppdrag og rammer gitt til rådmannen o Overordnede styringsdokumenter

o Delegering

 Rådmannens oppdrag og rammer gitt videre til organisasjonen o Overordnede styringsdokumenter

o Organisering o Delegering

o Administrativ møtestruktur o Lederavtaler

o Rapportering og oppfølging av internkontrollen.

(13)

Det er utarbeidet en egen mal for «Slik styres internkontrollen» hvor dette er nærmere beskrevet.

Malen viser hvordan rådmannen gjennom sine rutiner og dokumentasjon sikrer en betryggende kontroll.

Videre anbefaling:

 Det anbefales at rådmannen utarbeider et eget dokument om hvordan internkontrollen styres. Dette dokumentet kan regionale tilsynsmyndigheter be om å få oversendt, og ha med som et grunnlag for å vurdere behovet for tilsyn. Det henvises til malen «Slik styres

internkontrollen». Vedlegg nr. 2.

4.4.3. Lederes ansvar for internkontrollen

Ledere i en kommune vil som regel også ha et ansvar for internkontroll. Ledere trenger da et rammeverk på hva ansvaret for internkontroll innebærer. Dette er nærmere beskrevet i

«Internkontroll – et lederansvar».

 Ledere må få et overordnet rammeverk på hva ansvaret for internkontroll innebærer. Det henvises til «Internkontrollen – et lederansvar». Vedlegg nr. 3.

4.4.4. Bruk av risikovurderinger

Som det ble vist til under punktet 4.2, overordet oppfølging av internkontrollen, er det viktig å begynne med en overordnet tilnærming med bruk av risikovurderinger. Noe er viktigere enn noe annet og «det å løfte blikket» er vesentlig. Da vurderes risiko mot manglende oppfølging av lov og forskrifter. Dette kan for eksempel være mangler eller svikt i tjenestene og uønskede hendelser.

Det er utarbeidet en mal for bruk av risikovurderinger. Det skilles mellom en enkel risikovurdering og en mer omfattende gjennom bruk ROS (risiko og sårbarhetsanalyser). Det er utarbeidet egne maler som kan benyttes til rapporteringer. I ulike kvalitetsverktøy finnes dette også i elektronisk form.

 Det anbefales å benytte risikovurderinger i større grad som en del av

internkontrolloppfølgingen. Det er utarbeidet en mal for bruk av risikovurderinger. Det må vurderes hvor omfattende risikovurderingene skal være. Det skilles mellom en enkel risikovurdering og en mer omfattende gjennom bruk ROS (risiko og sårbarhetsanalyser).

Vedlegg nr. 4.

 Det anbefales å gjennomføre en årlig risikovurdering som rapporteres til rådmannen.

4.4.5. Elektronisk kvalitetsverktøy

Mange kommuner har innført elektroniske verktøy med oversikt over rutiner og mulighet for

avvikshåndtering. Deltakende kommuner i prosjektet har ulike elektroniske verktøy. Flere kommuner har i løpet av prosjektet innført, eller er i gang med å innføre et elektronisk kvalitetsverktøy.

Avvikshåndtering handler om å lære av sine feil – slik at risikoen i neste omgang blir mindre.

Avvikshåndtering er derfor en viktig del av en levende internkontroll med oppmerksomhet på læring og forbedring. Avviksrapportering og – håndtering skal følges opp slik at det enkelte avviket blir

(14)

lukket, men de skal også bidra til at tilsvarende eller andre feil eller avvik kan forebygges. Merverdien for å styrke internkontrollen oppstår først når avvikstilfellene enkeltvis og aggregert benyttes til læring og utvikling, altså til et systematisk forbedringsarbeid.

 Det anbefales å ha et elektronisk kvalitetsverktøy.

4.4.6. Etikk og organisasjonskultur

I tillegg til de formaliserte rutiner må det også være en styring av det uformelle i organisasjonen. Det uformelle dreier seg om holdninger, verdier og normer som preger organisasjonen. Rådmannen må ha en bevisst holdning og plan for å utvikle en god organisasjonskultur. Dette må omtales i

årsrapporten. Dette gjelder også kulturen for oppfølgingen av internkontrollen.

 Rådmannen må ha en plan for å utvikle en god organisasjonskultur.

4.4.7. Om internkontroll og risikovurderinger i årsrapporten

For å få til en forenkling og mer målrettet styring av tilsyn, anbefales at rådmannen gir en nærmere redegjørelse i årsrapporten. Ved at kommuner gir en årlig egenvurdering av risiko og

internkontrolloppfølging som gjøres kjent for Fylkesmannen vil det være med i vurderingen av behovet for tilsyn. Dette er også nyttig for kontrollutvalget og vil være med i vurderingen av behovet for forvaltningsrevisjoner.

Det vises også til endringer i kommuneloven § 48 nr. 5 gjeldende fra 1. juli 2013, hvor det innføres et krav om rapportering om internkontrollen i årsberetningen til kommunen. Dette er ment som et virkemiddel til å sette arbeidet med internkontrollen på dagsordenen lokalt. Kravet innebærer at det skal gjøres rede for både iverksatte tiltak og planlagte tiltak for å sikre betryggende kontroll.

 Rådmannen gir en årlig egenvurdering av risiko og internkontrolloppfølgingen i årsrapporten hvor følgende forhold beskrives:

o Status internkontroll o Status risikovurderinger

o Status etikk og organisasjonskultur o Gjennomførte tilsyn

o Gjennomførte forvaltningsrevisjoner 4.4.8. Kompetanse

Det er viktig å få god kompetanse om internkontroll. KS har utarbeidet et eget hefte: «Rådmannens internkontroll – Hvordan få orden i eget hus?». Heftet gir en god innføring i internkontroll. I tillegg gjennomfører KS egne nettverk om internkontroll.

Som en del av internkontrollen må også rådmannen sørge for å gjennomføre egne kontroller. For å sikre god egenkontroll bør rådmannen også vurdere behovet for å gjennomføre internrevisjon. Dette behovet kan øke ved reduserte tilsyn. Det vises til Direktoratet for økonomistyring som har

(15)

utarbeidet en egen veileder om «Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon».

 Det anbefales at rådmenn setter seg inn i KS heftet: «Rådmannens internkontroll – Hvordan få orden i eget hus?». For å få ytterligere kompetanse om internkontroll anbefales det å delta i et KS-nettverk om internkontroll.

 Det anbefales at Fylkesmannen gjennomfører kurs for kommuner om internrevisjon.

(16)

Vedlegg nr. 1:

Prosjekt egenkontroll – Evaluering av forvaltningsrevisjoner

Hensikten med dette delprosjektet er å evaluere bruk av forvaltningsrevisjoner i kommunenes egenkontroll. Her vil vi se på koblingen mellom forvaltningsrevisjoner, rådmannens internkontroll og bruk av tilsyn.

Deltakende kommuner: Jevnaker, Nordre Land, Nord-Aurdal, Lillehammer, Gausdal og Østre Toten.

Fyll ut skjemaet og returner dette til: Aslaug Dæhlen, e-post: [email protected] Frist: 17. januar 2014

Omfanget av forvaltningsrevisjoner.

 Antall forvaltningsrevisjoner i 2013?

 Innenfor hvilke områder er det gjennomført forvaltningsrevisjon i 2013?

Prosessen rundt valg av temaer for gjennomføring av forvaltningsrevisjon

 Gjennomfører kontrollutvalget møter med rådmannen om aktuelle temaer for forvaltningsrevisjon?

 Hva legges til grunn når kontrollutvalget velger temaer for forvaltningsrevisjon?

(gjennomførte tilsyn, mediasaker, rådmannens risikovurderinger, rådmannens status om internkontroll, årsrapporter etc)

Sammenhengen mellom tilsyn og forvaltningsrevisjon

 Hvordan forholder revisjonen seg til tilsyn som er gjennomført?

 Når ble det sist gjennomført tilsyn innenfor de områdene som det er gjennomført forvaltningsrevisjon på?

(17)

Resultatene fra forvaltningsrevisjoner

 Hvilket utfall fikk

forvaltningsrevisjonene?

Kompetansen hos revisjonsfirmaene

 Hvilket revisjonsfirma er benyttet?

 Gi en vurdering av revisjonens kompetanse om forvaltningsrevisjon?

(18)

Vedlegg nr. 2:

Slik styres internkontrollen (i ………….

kommune)

Innledning

Kommunestyret har en overordnet styring av organisasjonen gjennom å gi økonomiske rammer for de ulike tjenestene som kommunen har ansvar for. Politikernes mandat er å gi de overordnede føringene, gi mål og strategier, evaluere og korrigere.

Styring:

 Delegere

 Gi oppdrag og rammer

 Rapportere måloppnåelse

 Ha en løpende styringsdialog

Rådmannen er den øverste leder for den samlede kommunale administrasjonen. Det innebærer å utforme og utvikle organisasjonen, slik at den kan være mest mulig effektiv. Det går også ut på å sørge for god drift med hensyn til de oppgavene organisasjonen skal løse. Det handler om å foreta gode analyser og vurderinger som grunnlag for riktig styring. God virksomhetsstyring er å gjøre de riktige tingene på den rette måten. God internkontroll er å sørge for kontinuerlig evaluering av fag, lederskap, arbeidsprosesser og ressursbruk. Evalueringsdelen er viktig for å vurdere egen virksomhet.

Videre vil en gjennom evaluering fortelle om målene er nådd, eller om det er avvik og hvilken læring som trekkes av det.

Rådmannen har et ansvar for å etablere og følge opp at kommunen har et tilfredsstillende

internkontrollsystem. Internkontroll er de systemer og rutiner som rådmannen etablerer for å sikre tilstrekkelig styring, måloppnåelse og regeletterlevelse. Internkontrollen skal også sikre at

kommunen er gjenstand for betryggende kontroll.

Organisering

Rådmannens styringsdokumenter:

 Organisering

(19)

 Viser ansvar og roller. Eksempel: Organisasjonskart og andre dokumenter som viser hvordan rådmannen styrer organisasjonen. Ansvarslinjene og myndighetsfordelingen mellom de ulike ansvarsnivåene må være klargjort.

 Administrativ møtestruktur

 Viser en oversikt over møter som gjennomføres og hvem som deltar. Dette skal vise hvordan rådmannen gjennom møtestrukturen viser sikrer god styring av

organisasjonen.

Delegering

Gjennom det administrative delegeringsreglementet delegeres myndighet i organisasjonen. Alle ledere er delegert rådmannens fullmakt innen fag, økonomi og personal. I tillegg er det utarbeidet årlige lederavtaler som gir oppdrag og rammer. Lederavtalene synliggjør også kravet til lojalitet og kommunikasjon. For å sikre god ledelse og styring er det utarbeidet en administrativ møtestruktur.

Overordnede styringsdokumenter for rådmannen:

 Delegeringsreglement for ……….. kommune

 Viser hvordan kommunestyret delegerer myndighet til rådmannen.

 Administrativt delegeringsreglementet

 Viser hvordan rådmannen delegerer myndighet nedover i organisasjonen.

 Mal for lederavtaler for kommunalsjefene

 Beskriver hvordan lederen har ansvar for oppfølging av internkontrollen

 Mal for lederavtaler

Oppdrag og rammer

Overordnede styringsdokumenter for rådmannen:

 Økonomireglement for ……… kommune

 Kommuneplan for ……… kommune

 Handlingsprogram for ……… kommune

 Andre styringsdokumenter

Styring og ledelse:

1. Årsprosessen med mål, strategier, prioriteringer – gjennomføring og evaluering 2. Dialogmøter/-prosesser med brukere/innbyggere

3. Lederavtaler

(20)

 Administrativt økonomireglement

 Viser hvordan rådmannen følger opp det vedtatte økonomireglementet internt i organisasjonen.

 Mal for lederavtaler for kommunalsjefene

 Mal for lederavtaler

Styringsdialog

Det gjennomføres løpende styringsdialog mellom ledere.

 Beskrives i lederavtaler.

Rapportering

Eksempel:

Måneds-, tertial og årsrapportering.

Økonomi:

 Status og prognose

 Investeringsprosjekter

Tjenesteproduksjon

 Status, måloppnåelse, prognose

Medarbeidere:

 Sykefravær, status og prognose

 Medarbeidertilfredshet

Internkontroll-momenter: (skal bidra til at rådmannen får relevant informasjon til riktig tid) Alternativt benyttes et elektronisk kvalitetssystem hvor dette er innarbeidet.

 Status på oppfølging/gjennomføring av politiske vedtak

 Risikovurderinger (se mal for bruk av risikovurderinger)

 Status avvik

 Iverksatte tiltak for å lukke avvik

(21)

 Eventuelle gjennomførte kontroller bestilt av rådmann

 Forslag til nye tiltak eller kontroller på bakgrunn av erfaringer eller analyser

Internkontrollen

Gjennom overordnede styringsdokumenter er det etablert mål og strategier som rådmannen skal følge opp. I tillegg skal rådmannen ha god internkontroll. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Kommunelov § 23 nr. 2. Gjennom ulike særlover med forskrifter stilles det også krav til etablering og utforming av internkontrollen i kommunene.

Hensikten med internkontroll

 Kvalitet og effektivitet i tjenesteproduksjon

 Helhetlig styring og riktig utvikling

 Etterlevelse av lover og regler

God internkontroll bidrar til godt omdømme og legitimitet.

Internkontrollens virkeområde

 Oversiktsdokument

o Skal beskrive rutiner og prosedyrebeskrivelser, skille mellom sektorovergripende, tjenestespesifikk og støtteprosesser.

o Alternativt benyttes et elektronisk kvalitetssystem hvor dette er innarbeidet.

 Sektorovergripende o Virksomhetsstyring

o Felles og overordnede reglement

 Delegeringsreglement

 Etiske retningslinjer

 Personalforvaltning og arbeidsgiverområdet

 Økonomi og finansforvaltning

 Datasikkerhet og personvern

o Vedlikehold og etterlevelse (redegjøres i årsrapporten)

 Rådmannen gjennomfører en årlig overordnet risikovurdering

 Rådmannen gjennomfører en årlig overordnet vurdering av internkontrollen

 Tjenestespesifikk

o Internkontroll innenfor ulike tjenesteområder

 Støtteprosesser – gjelder alle enheter og ledernivåer

o Internkontroll innenfor IKT, anskaffelser, økonomi og personal Avvikshåndtering

Avvikshåndtering handler om å lære av sine feil – slik at risikoen i neste omgang blir mindre.

Avvikshåndtering er derfor en viktig del av en levende internkontroll med oppmerksomhet på læring og forbedring. Avviksrapportering og – håndtering skal følges opp slik at det enkelte avviket blir lukket, men de skal også bidra til at tilsvarende eller andre feil eller avvik kan forebygges. Merverdien for å styrke internkontrollen oppstår først når avvikstilfellene enkeltvis og aggregert benyttes til læring og utvikling, altså til et systematisk forbedringsarbeid.

(22)

Gjennom internkontrolloppfølgingen skal dette bidra til læring og forbedringer:

Demings sirkel hjelper oss til å være i en kontinuerlig utvikling. Sirkelen skal være i stadig bevegelse:

Fra plan til gjennomføring og fra refleksjon/vurdering til forbedret praksis.

Her kan det benyttes et elektronisk kvalitetssystem for å melde inn og følge opp avvik.

Kompetanse

Kompetanse må vurderes innenfor alle områder.

 Prosedyrer for å sikre tilstrekkelig kompetanse hos medarbeidere.

(23)

Etikk

I tillegg til de formaliserte rutiner må det også være en styring av det uformelle i organisasjonen. Det uformelle dreier seg om holdninger, verdier og normer som preger organisasjonen. Rådmannen må ha en bevisst holdning og plan for å utvikle en god organisasjonskultur.

Aktivitetsoversikt

Eksempel:

Måned Aktivitet

Januar  Utarbeide lederavtaler.

 Evaluere og rapportere.

o Enhetsledere rapporterer:

 Evaluere eget tjenesteområde.

 Rapportere i tråd med handlingsprogrammet.

 Gi en risikovurdering av tjenesten (hva er det viktigste av det viktige?)

 Gi en vurdering av internkontrollsystemet innenfor eget tjenesteområde.

 Er det gjennomført tilsyn og eventuelt status?

 Er det gjennomført forvaltningsrevisjon/sak til kontrollutvalget og eventuelt status?

o På bakgrunn av rapportering utarbeider rådmannen en statusdel i årsrapporten om risikovurdering og internkontroll.

 Regnskap 15.2

 Frist for levering av årsrapport

 Brukerundersøkelser Mars  Kostratall foreligger.

 Ferdigstillelse av årsrapport

 Analyse og evaluering

April  Frist for rapportering, kvartalsrapporten

 Brukerdialoger

Mai  Regnskap for foregående år

 Strategisamling

Juni  Strategidokument

Juli

August  Frist for rapportering, halvårsrapporten

 Oppstart budsjettprosessen September

Oktober  Statsbudsjettet legges frem

 Budsjett og handlingsprogram legges frem November  Frist for rapportering, 3. kvartalsrapporten Desember  Budsjett og handlingsprogram vedtas

(24)

Årshjulet

4.kvartal 1.kvartal

3.kvartal 2.kvartal

Detaljbudsjettering

Dialog og planlegging Milepæl 4.

Politisk behandling av handlingsprogram

Milepæl 3.

Administrativt arbeid med handlingsprogram

Milepæl 1.

Evaluere drift, årsrapport, brukerdialog

Milepæl 2

Legge strategier og fast- sette økonomiske rammer

Innhenting av kunnskap Rammer og strategier

Litteratur:

KS-heftet: «Rådmannens internkontroll – Hvordan få orden i eget hus?»

(25)

Vedlegg nr. 3:

Internkontroll - et lederansvar i kommunen

Bakgrunn

Rådmannens internkontroll brukes for å beskrive det ansvaret og de oppgavene som ligger til

administrasjonssjefen etter kommuneloven. Administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for

betryggende kontroll. Kommuneloven § 23 nr 2.

Den enkelte leder vil også ha et ansvar for internkontroll, og dette er en nødvendig forutsetning for god styring. Det pålegger den ansvarlige leder en selvstendig plikt til å påse og dokumentere at man etterlever regelverket.

Rådmannens ansvar

Rådmannen (administrasjonssjefen) er den øverste leder for den samlede kommunale

administrasjonen (klv § 23). I Kommuneloven er rådmannens oppgaver presisert til en forsvarlig utredning av saker for politiske utvalg, følge opp vedtak, drive den samla administrasjonen i tråd med lover, forskrifter og overordna instrukser, og sikre en betryggende kontroll.

Rådmannen er ansvarlig for at kommunen har en effektiv drift, utvikler kvalitet i tjenestene og sikrer at organisasjonen håndterer avvik på en forsvarlig måte. Kommunestyret har delegert et omfattende sett oppgaver til rådmannen, jfr. Delegeringsreglementet.

Rådmannens overordnede styring av internkontrollen beskrives i «Slik styres internkontrollen i kommunen». Med bakgrunn i rådmannens styringssystem og krav til rapportering, rapporteres det også på oppfølgingen av internkontrollen.

Læring og forbedringer

Gjennom internkontrolloppfølgingen skal dette bidra til kontinuerlige forbedringer.

(26)

Hva innebærer lederansvaret for internkontroll?

Den enkelte leder vil også være delegert et ansvar for internkontroll.

Hva innebærer lederansvaret for internkontroll:

 Lederen har ansvar for internkontroll

 Lederen har betryggende kontroll

 Ansatte er kjent med internkontrollsystemet

 Lederen bruker ROS analyser og har et godt bilde av organisasjonens/virksomhetens risiko

 Ansatte vet hva som skal meldes avvik på

 Ansatte oppfordres til å melde avvik

 Lederen har nødvendig og lovpålagte dokumentasjon

 Alle ansatte er kjent med dokumentasjonen

 Dokumentasjonen er oppdatert og korrekt

 Lederen har tilstrekkelig kunnskap om internkontroll

For at internkontrollsystemet skal sikre at primærkravene ivaretas må en:

 Kartlegge regelverkskrav som gjelder og ta standpunkt til hva de innebærer.

 Identifisere de aktiviteter som regelverkskravene har betydning for.

 Etablere rutiner for å sikre regelverkskravene.

 Kontrollere at rutinene etterleves, er tilstrekkelige og virker.

Konkret dreier dette seg om å:

 Ha systematisk oversikt over hvilke krav som gjelder for sin virksomhet.

 Beskrive hvilke aktiviteter som må utføres for å etterleve disse myndighetskravene.

(27)

 Beskrive hvordan aktivitetene skal utføres.

 Avklare hvem som er ansvarlig for å utføre aktivitetene.

 Sikre at det blir rapportert hvis de definerte oppgavene ikke blir gjort.

 Sikre at denne rapporten kommer til den som er ansvarlig for å rette på forholdet.

 Ha rutiner for å iverksette tiltak for å rette på forhold og/eller å hindre gjentagelse.

Disse rutinene må kunne dokumenteres og dermed kunne være gjenstand for tilsyn / revisjon av tilsynsmyndigheten.

Som leder har du et ansvar for at virksomheten har etablert et fundament for internkontrollen i form av et godt styrings- og kontrollmiljø og hensiktsmessig informasjon og kommunikasjon. Styrings- og kontrollmiljøet omfatter alt fra forhold som holdninger, atferd, verdier og kompetanse til hvordan ledelsen fordeler ansvar og myndighet, organiserer arbeidet og utvikler virksomhetens menneskelige ressurser. Styrings- og kontrollmiljøet består følgelig av både det formelle og det uformelle i

virksomheten. Det formelle omfatter formaliserte og dokumenterte krav som alle ansatte forventes å etterleve. Det uformelle dreier seg om holdninger, verdier og normer som preger virksomheten, gjerne omtalt som virkshetskulturen. God internkontroll er avhengig av at det skapes en god sammenheng og overlapp mellom det formelle og det uformelle styrings- og kontrollmiljøet.

Lederens beskrivelse av internkontrollen

 Hovedoppgaver og mål.

 Oversikt over lover, forskrifter og relevante styringsdokumenter i forhold til regelverkets gjennomføring.

 Organisering.

 Delegering. Ansvarslinjene og myndighetsfordelingen mellom de ulike ansvarsnivåene må være klargjort.

 Ledelse, inkl møtearenaer.

 Rutiner for å sikre ivaretakelse av krav fastsatt i eller i medhold av lov.

 Prosedyrer for å sikre tilstrekkelig kompetanse hos medarbeidere.

 Prosedyrer for å oppdage og korrigere avvik. Med avvik menes mangel på oppfyllelse av krav fastsatt i eller i medhold av lov eller forskrift.

 Prosedyre for intern revisjon. Med intern revisjon menes en revisjon som er iverksatt av virksomheten selv og som kan følge prinsippene for gjennomføring av systemrevisjon prosedyre for dokumentstyring, dvs. holde styr på de dokumentene som inngår i internkontrollen.

 Rutiner for å sikre informasjonsflyt for rapporteringer og tilbakemeldinger.

Systemet skal kunne dokumenteres skriftlig. Et elektronisk system vil ha hele eller deler av disse punktene, som en del av kvalitetssystemet.

(28)

Forbedringer av internkontrollen

Egenvurderingen av internkontrollen innenfor eget ansvarsområde:

Etablert?

Oppdatert?

Etterlevet?

Status

Egenvurdering

Kommentar. Hvorfor er vi grønne, gule eller røde?

Oppfølging.

Hvem, hva, når?

Reglementer?

Delegering Risikobasert IK innenfor eget lederansvar?

Rutiner og dokumentasjon?

Rapportering

 Hva er bra?

 Hva må gjøres bedre?

 Hva er ikke bra?

Gjennomføring av risikovurderinger

Som leder må du sørge for at det gjennomføres risikovurderinger, og at disse ses i sammenheng med hverandre. Risikovurdering er et verktøy for systematisk identifisering av utfordringer i egen

virksomhet.

Enkel risikovurdering

Fokus her er å identifisere hva som er viktigst og hvor risikoen er størst. Deretter må en skrive ned hvilke tiltak som må gjennomføres og hvilken prioritet dette har.

 Hva er viktigst?

 Hvor er risikoen størst?

 Hvilke tiltak må gjennomføres?

 Hvordan prioriteres dette arbeidet?

Prioritet Internkontroll – gjennomføring av risikovurderinger - Hva er viktigst?

- Hvor er risikoen størst?

Ansvar Frist

Hva skal gjøres?

Enkel risikovurdering

(29)

Bruk av ROS-analyser

For mer omfattende risikoanalyser anbefales det å benytte ROS-analyser (risiko- og sårbarhetsanalyser). Systematisk kartlegging av risiko og sårbarhet ligger til grunn for både forebygging av uønskede hendelser og forberedelser for håndtering av uønskede hendelser.

Risikobasert internkontroll baserer seg på:

 Hva kan gå galt?

 Hvor galt kan det gå?

 Hva er gjort for å unngå at det går galt?

 Er det nok?

Risikovurdering er et verktøy for systematisk identifisering av utfordringer knyttet i egen virksomhet.

Risikovurdering skal gjennomføres i forkant av en konkret arbeidsoppgave eller prosess, underveis - og når aktivitet blir endret slik at tiltak kan iverksettes, for å fjerne eller kontrollere risikoelementa før arbeidet starter.

Trinn 1 – Hva kan gå galt?

Identifisere risiko. Hva kan gå galt?

Hva er viktigst?

Ha en gjennomgang av hva som vurderes som viktigst å følge opp.

Trinn 2- Hvor galt kan det gå?

Vurdering av sannsynlighet (S): Hvor stor er sannsynligheten for at kommunen ikke oppfyller lovens krav? (skala 1 – 5)

Vurdering av konsekvenser: Hva er konsekvensen (K)? (skala 1 – 5) Gir risiko (S*K).

Risiko er sannsynligheten x konsekvens. Konsekvens er igjen en faktor av verdi og da må en vurdere hva som er viktigst, jfr. trinn 1.

(30)

ROS-analyse

Trinn 3: Hva er gjort for å unngå at det går galt?

Dokumentere hvilke kontrolltiltak som er iverksatt.

Trinn 4: Er det nok?

Vurdere hvorvidt kontrolltiltakene i tilstrekkelig grad reduserer risiko til et akseptabelt nivå.

Trinn 5: Oppfølging

Nye eller endrede internkontrollaktiviteter som en oppfølging.

Dokumentasjon av risikovurderinger:

Arbeidsprosesser vi gjør.

Tjenester vi gir.

Hva kan gå galt? Hvor galt kan det gå? Risiko Hvor sannsynlig?

Skala 1 - 5

Hva er

konsekvensen?

Skala 1 – 5

Sannsynlighet * Konsekvens Prosess/tjeneste:

Hva har vi gjort får å unngå at det går galt?

Er det nok? Oppfølging

Nye eller endrede internkontrollmomenter

Etablerte Risiko med etablerte Hva Ansvarlig Frist

(31)

kontroller/tiltak for å redusere risiko

kontroller

Gjennom prosessen med å utforme tiltak vil aktuelle risikoreduserende tiltak bli identifisert, vurdert, prioritert, besluttet og utformet.

Gjennom oppfølging av internkontrollen kan du som leder sikre en systematisk vurdering av internkontrollsystemets utforming, etterlevelse og effekt. Resultatene fra oppfølgingen vil også gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten.

Gjennom rapportering sikres det at resultater fra oppfølgingen på lavere nivåer formidles til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering. Det gir deg som leder et grunnlag for å vurdere kvaliteten på internkontrollen innenfor eget

ansvarsområde.

(32)

Vedlegg nr. 4:

Videre anbefalinger om bruk av risikovurderinger

Bakgrunn

I KS heftet «Rådmannens internkontroll– Hvordan få orden i eget hus?» anbefales det å utvikle risikokartlegging og bruk av risikovurderinger i egen internkontrolloppfølging

Prosjektet har gjennomført ulike typer risikovurderinger og har vurdert hva som vil fungere best. På bakgrunn av disse vurderingene har prosjektet følgende anbefalinger:

Ha en overordnet risikovurdering

Rådmannen gjennomfører årlig en overordnet risikovurdering. Dette skjer basert på rapporteringer fra underliggende enheter/virksomheter og egne vurderinger. Dette rapporteres nærmere i

årsrapporten, jfr. kommuneloven § 48 nr 5, hvor det innføres et krav om rapportering om internkontrollen i årsberetningen til kommunen.

Det anbefales at underliggende enheter/virksomheter gir en årlig tilbakemelding på

risikovurderinger. Det må vurderes hvor omfattende dette skal være, men det anbefales å begynne med en enklere tilnærming. Det benyttes et eget skjema, «Enkel risikovurdering».

Fokus her er å identifisere hva som er viktigst og hvor risikoen er størst. Deretter må en skrive ned hvilke tiltak som må gjennomføres og hvilken prioritet dette har.

 Hva er viktigst?

 Hvor er risikoen størst?

 Hvilke tiltak må gjennomføres?

 Hvordan prioriteres dette arbeidet?

Prioritet Internkontroll – gjennomføring av risikovurderinger - Hva er viktigst?

- Hvor er risikoen størst?

Ansvar Frist

Hva skal gjøres?

Enkel risikovurdering

(33)

Bruk av ROS-analyser

For mer omfattende risikoanalyser anbefales det å benytte ROS-analyser (risiko- og sårbarhetsanalyser). Systematisk kartlegging av risiko og sårbarhet ligger til grunn for både forebygging av uønskede hendelser og forberedelser for håndtering av uønskede hendelser.

Risikobasert internkontroll baserer seg på:

 Hva kan gå galt?

 Hvor galt kan det gå?

 Hva er gjort for å unngå at det går galt?

 Er det nok?

Risikovurdering er et verktøy for systematisk identifisering av utfordringer knyttet i egen virksomhet.

Risikovurdering skal gjennomføres i forkant av en konkret arbeidsoppgave eller prosess, underveis - og når aktivitet blir endret slik at tiltak kan iverksettes, for å fjerne eller kontrollere risikoelementa før arbeidet starter.

Trinn 1 – Hva kan gå galt?

Identifisere risiko. Hva kan gå galt?

Hva er viktigst?

Ha en gjennomgang av hva som vurderes som viktigst å følge opp.

Trinn 2- Hvor galt kan det gå?

Vurdering av sannsynlighet (S): Hvor stor er sannsynligheten for at kommunen ikke oppfyller lovens krav? (skala 1 – 5)

Vurdering av konsekvenser: Hva er konsekvensen (K)? (skala 1 – 5) Gir risiko (S*K).

Risiko er sannsynligheten x konsekvens. Konsekvens er igjen en faktor av verdi og da må en vurdere hva som er viktigst, jfr. trinn 1.

(34)

ROS-analyse

Trinn 3: Hva er gjort for å unngå at det går galt?

Dokumentere hvilke kontrolltiltak som er iverksatt.

Trinn 4: Er det nok?

Vurdere hvorvidt kontrolltiltakene i tilstrekkelig grad reduserer risiko til et akseptabelt nivå.

Trinn 5: Oppfølging

Nye eller endrede internkontrollaktiviteter som en oppfølging.

Dokumentasjon av risikovurderinger:

Arbeidsprosesser vi gjør.

Tjenester vi gir.

Hva kan gå galt? Hvor galt kan det gå? Risiko Hvor sannsynlig?

Skala 1 - 5

Hva er

konsekvensen?

Skala 1 – 5

Sannsynlighet * Konsekvens Prosess/tjeneste:

Hva har vi gjort får å unngå at det går galt?

Er det nok? Oppfølging

Nye eller endrede internkontrollmomenter Etablerte

kontroller/tiltak for å redusere risiko

Risiko med etablerte kontroller

Hva Ansvarlig Frist

(35)

Gjennom prosessen med å utforme tiltak vil aktuelle risikoreduserende tiltak bli identifisert, vurdert, prioritert, besluttet og utformet.

Gjennom oppfølging av internkontrollen kan du som leder sikre en systematisk vurdering av internkontrollsystemets utforming, etterlevelse og effekt. Resultatene fra oppfølgingen vil også gi verdifull informasjon i forbindelse med forbedringsarbeidet i virksomheten.

Gjennom rapportering sikres det at resultater fra oppfølgingen på lavere nivåer formidles til riktig nivå, og at rapportert informasjon sammenstilles, analyseres og integreres i øvrig rapportering. Det gir deg som leder et grunnlag for å vurdere kvaliteten på internkontrollen innenfor eget

ansvarsområde.