Dette nettstedet bruker informasjonskapsler for å gi deg en mer personlig brukeropplevelse. Ved å bruke dette nettstedet godtar du vår bruk av informasjonskapsler. Vennligst les vår PERSONVERNERKLÆRING for mer informasjon om informasjonskapslene vi bruker og hvordan du kan slette eller blokkere dem.
  • Internkontroll ble lett som en lek
Blogg:

Internkontroll ble lett som en lek

02. april 2019

Frank Alvern og Dorothee Sauer |

BDO tok i bruk spillbasert læringsplattform da Forsvarsmateriell fikk på plass sitt nye COSO-baserte internkontrollsystem.

Forsvarsmateriell har ansvar for anskaffelsen av kampflyene F-35. I 2017 kom Riksrevisjonen med en revisjonsberetning for 2016 som fastslo at det ikke var mulig å bekrefte anskaffelseskostnaden for kampflyene i virksomhetsregnskapet til Forsvarsmateriell. Årsaken var hovedsakelig manglende dokumentert internkontroll. Det måtte det gjøres noe med!

 

Portal ble løsningen 

For å sikre bedre internkontroll i Forsvarsmateriell påla Forsvarsdepartementet å dokumentere etter prinsippene i COSO. COSO er et rammeverk for virksomhetsstyring som fokuserer på målrettet drift, pålitelig regnskapsrapportering og overholdelse av lover og regler, og ligger til grunn for økonomiregelverket i Staten. Sluttproduktet ble et internkontrollsystem i form av en intern nettportal. I portalen dokumenteres COSOs 17 prinsipper og hvordan prinsippene er anvendt i Forsvarsmateriell. Det var 2013 versjonen av internkontrollrammeverket som ble lagt til grunn. COSO publiserte i 2015 en veileder kalt «Leveraging COSO Across the Three Lines of Defense» . I dette dokumentet anbefaler COSO hvem i organisasjonen som bør ha ansvar for hvilke kontrollaktiviteter. Dette ble også tatt inn i portalen.

- Jeg tror ikke det er mange som har klart å kombinere teori med praksis slik vi har klart i dette prosjektet, sier kunden Frank Alvern (nå: spesialrådgiver i Forsvarsdepartementet), som har hatt ansvaret for prosjektet i Forsvarsmateriell.

 

Innfallsvinkler og prinsipper

– Vi fikk anledning til å se på, og anvende velkjente rammeverk helhetlig og hentet ut praktisk nytte fra generelle veiledere om risikostyring og internkontroll, sier Alvern.  
– Internrevisorene som leser dette bør være kjent med hva COSO mener internrevisjonens oppdrag bør være, prinsipp for prinsipp, mener han. 
I tillegg tipset Riksrevisjonen om at deres amerikanske kollegaer, Government Accountability Office (GAO), hadde oppdatert sin COSO-baserte internkontrollstandard med virkning fra 2016. Denne standarden, Green Book, konkretiserer forventningene til alle 17 prinsippene og utdyper hva de ser som spesielt viktig. Alvern oppfordrer de som har interesse til å laste ned dokumentet fra GAOs hjemmesider

 

IKT-risiko og mislighetsrisiko 

Det er to risikoområder COSO behandler særskilt, nemlig mislighetsrisiko og IKT-risiko. Førstnevnte ble dekket gjennom COSOs ferske veileder om Fraud Risk Management. 
– Når det gjelder IKT-risiko valgte vi å hente støtte fra COBIT 5 og konkret veiledning rundt oppfølging av tjenesteutsatte leveranser. Det har sammenheng med at Forsvarsmateriells IT-systemer i stor grad forvaltes og driftes av Cyberforsvaret. For de som jobber i virksomheter med et lignende oppsett anbefales det å ta en titt på COBIT-rammeverket for ekstra støtte med tanke på IKT-risiko. 

 

Stor implementeringsjobb

Internkontrollsystemet dokumenterer hvordan Forsvarsmateriell har kvittert ut alle prinsippene. Videre dokumenteres hvem i organisasjonen som eier og hvem som bidrar til ønsket risikonivå inn mot COSOs målkategorier; drift, rapportering og etterlevelse. Når dokumentasjonen var på plass begynte arbeidet med å teste både kunnskapen om og etterlevelse av prinsippene. Det var en stor implementeringsjobb som ble gjort før lanseringen 1. oktober 2017.

 

Viktig med informasjon og opplæring

Informasjon og opplæring er en kritisk suksessfaktor i endringsprosesser, også når det gjelder internkontroll. Det ble derfor tidlig bestemt at det ville være nødvendig å prioritere kommunikasjon av internkontrollsystemet til ledere generelt, og til de som arbeider med virksomhetsstyring spesielt. Det ble blant annet gjort gjennom en serie med halv-dags workshops. 
 

Spillbasert læringsplattform

For å gjøre COSO, risikostyring og internkontroll mer spennende og engasjerende ble den spillbaserte læringsplattformen Kahoot!  valgt som verktøy. 

 – Engasjement fra deltagerne er en forutsetning for å lykkes med formidling av tørre temaer som internkontroll. Jeg hadde tidligere i flere forskjellige sammenhenger oppnådd veldig god læring og engasjement blant deltagerne med Kahoot! som pedagogisk verktøy, sier Dorothee Sauer i BDO, som var rådgiver og sparringpartner i prosjektet.  Hennes erfaring er at man må legge ned arbeid i å lage gode spørsmål og svaralternativer, men at effekten da vil være høy.
– Vi pirret konkurranseinstinktet til deltagerne og oversteg forventningene. Dermed fungerte en workshop i internkontroll hos Forsvarsmateriell, selv på en fredagsettermiddag, bekrefter Alvern.

 

Workshop i COSO 

Workshopen ble gjennomført med en tradisjonell innledning for å etablere et felles startpunkt, felles mål og en felles forståelse av utfordringen. Resten av workshopen var det frem med mobiltelefonene. Prinsipp for prinsipp ble COSO gjennomgått med spørsmål og svar på skjermen. 

– Vi valgte å holde en og samme workshop for alle, fordi COSO-rammeverket for internkontroll henger sammen i en helhet, forteller Alvern. Nærmere 100 personer var totalt sett gjennom denne halve opplæringsdagen, og det inkluderte toppledergruppen hvor mange fikk sitt første møte med Kahoot! som verktøy.

 

Læringspunkter

Portalen fikk navnet FMA IK FELLES, og trådte formelt i kraft 1. oktober 2017.

– Resultatet bekrefter at COSO er et godt verktøy for å implementere tilfredsstillende internkontroll på en systematisk måte, også på komplekse områder eller virksomheter, sier Dorothee Sauer. Hun mener at den interaktive opplæringen var en sentral suksessfaktor.

– Vi oppnådde kunnskapsøkning om internkontroll på alle nivåer i Forsvarsmateriell. Med fullt fokus, riktig prioritering og engasjerte medarbeidere oppnår man mye i løpet av bare ett år, sier hun.

– Internkontroll er en prosess og ikke et engangsarbeid. Etableringen av FMA IK FELLES var nødvendig for å ramme inn og koble sammen risikostyring og internkontroll på tvers av virksomheten, forteller Alvern.  Workshopene gjorde at vi kom godt i gang – og nå må dette repeteres og holdes ved like, sier han.

 

BILDE: F-35A flyr over Rondane. Foto: Morten Hanche / Forsvaret

 

Fakta om kampflyanskaffelsen: www.kampfly.no