Blogg:

Kommunedirektørens internkontroll – hvor langt går lovkravet?

17. oktober 2021

Øyvind Sunde, Director, rådgivning |

Illustrasjonsbilde av en tavle

 

Historien viser at det å ha kontroll på kommunens mange aktiviteter, er utfordrende. Det kan nevnes eksempler som korrupsjon, Terra-skandalen og manglende etterlevelse av regelverket for offentlige anskaffelser. Kommuneloven begrenser kommunedirektørens internkontroll til etterlevelse av lov og forskrift, men gjør den det i realiteten?

Det er gjort flere prisverdige initiativ til å utrede internkontrollens innhold, men utfordringen er å være konkret nok. Kommunedirektøren trenger et verktøy, en metode for hvordan gjøre aktivitetene. KS har gitt et prisverdig bidrag gjennom arbeidsgrupper og utgitt en praktisk veiledning «Orden i eget hus». Internkontroll må bygges bit for bit. Det er også store forskjeller på hva som er utfordringen i ulike kommuner. Derfor blir aktivitetene forskjellige. 

Kommuneloven bestemmer at administrasjonen skal ha en internkontroll som sikrer etterlevelse av lover og forskrifter. Den skal være systematisk og tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Vi ser at formålet med denne bestemmelsen er å sikre etterlevelse av regler, mens internkontroll for mange oppfattes å være mye mer. I proposisjonen erkjennes det at internkontrollen ofte inneholder flere ‘elementer’, men at man har falt ned på det som er nødvendig som et lovkrav. Mer detaljerte lovkrav kunne resultere i at internkontrollen faktisk ble mindre tilpasset lokale forhold. Dermed overlates det i prinsippet til kommunene selv, og ut fra eget ‘behov’, å vurdere innretning og omfang av internkontroll.

 

Viktig med internkontrollsystem

I dette bildet er det viktig å huske at kommuneloven regulerer ‘kommunepliktene’, mens særlovgivning regulerer ‘aktørpliktene’. Internkontrollbestemmelser i særlovgivning omfatter også kommunene som ‘aktør’, eksempelvis knyttet til offentlighet, anskaffelser, arbeidsmiljø og personopplysninger. I sum blir det mange internkontrollbestemmelser å forholde seg til også for kommunene, og det å ha et internkontrollsystem, blir sentralt.

Kommuneloven regulerer en rekke forhold som har betydning for internkontrollen i et bredt perspektiv. Eksempelvis nevnes

  • organisering og delegering av myndighet, herunder kommunale foretak og interkommunalt samarbeid
  • saksbehandling og vedtak
  • økonomiforvaltning, budsjett og regnskap, herunder krav til budsjettbalanse og prinsipper for regnskapsføring
  • egenkontrollen, herunder revisjon og kontrollutvalg
  • eierstyring med kommunens interesser i selskaper og virksomheter

Formålet med internkontroll etter et anerkjent og mye brukt rammeverk (COSO, se nedenfor), også i kommunesektoren, er å oppnå mål om målrettet og kostnadseffektiv drift, mål om pålitelige regnskaper og mål om å følge gjeldende lover og bestemmelser.

Målsettingene retter seg altså mot drift, regnskaper og etterlevelse.

Kommuneloven bestemmer som sagt at internkontrollen skal sikre at kommunene etterlever lover og forskrifter. Følger man kommuneloven (jf. etterlevelsesmålsettinger), oppfyller man også langt på vei andre formål med internkontrollen. Etter lovens formålsbestemmelse skal kommunene være effektive, tillitsskapende og bærekraftige, altså bl.a. et effektivitetskrav (driftsmålsettinger). Etter økonomibestemmelsene skal regnskapene føres og rapporteres etter lovkrav og god kommunal regnskapsskikk, altså være pålitelige (rapporteringsmålsettinger). Selv uten vidtfavnende internkontrollbestemmelser i selve loven, vil den likevel omfatte det meste av hva god internkontroll skal være, direkte eller indirekte.

 

Et sett med reglementer

Internkontroll er ikke noe nytt krav, og mange kommuner har arbeidet strukturert med internkontroll etter en eller annen metode. Metoden er kanskje ikke viktigst, men det er effektivt å bruke erfaring fra dem som har tenkt helhetlig på internkontroll før. Mange kommuner trenger nok også å oppdatere sine rutiner med de konkrete kravene som nå følger loven.

For å møte de mange krav som er stilt til kommunene, både gjennom kommunepliktene og aktørpliktene, har kommunene ofte utarbeidet et sett med reglementer, eksempelvis delegasjonsreglement, økonomireglement, personalreglement, anskaffelsesreglement, fullmaktsreglement, etikkreglement osv. Disse er lokalt tilpasset. Reglementer har også som effekt at man legger opp til forebyggende tiltak; følger man disse, sikrer man et nivå på internkontroll som er forventet. Jo mer forebyggende kontroller, jo mindre behov for avdekkende kontroller. Dermed vil ‘gode rutiner’ i betydning reglementer og prosedyrer være et godt virkemiddel for god internkontroll. 
 

Rammeverk for internkontroll 

Først kan det være nyttig å avlegge et rammeverk for internkontroll en visitt. I den nevnte rapporten (ovenfor) ble det gitt uttrykk for at helhetlig internkontroll ikke er et definert begrep. Mange vil imidlertid hevde at COSO-1 rammeverket  er et rammeverk som definerer internkontroll best. Dette rammeverket er bygget opp omkring tre formål, fem komponenter og en organisasjonsmessig dimensjon. 

Det er verd å merke seg at det også er utgitt et eget rammeverk for risikostyring (COSO-2). Dette bygger på oppfatningen av internkontroll i COSO-1, men er videreutviklet med et styringsperspektiv. I den nevnte rapporten fra KRD (nå KMD) sies det at det bør gjøres risikoanalyser og å etablere styringssystemer som er knyttet til risikoene. Etter min oppfatning er man da ”godt på vei” mot et rammeverk for risikostyring. Kanskje skulle svaret på kommunedirektørens kontrollutfordringer være å implementere et kommunetilpasset rammeverk for risikostyring? 

 

Oppdatert veiledning fra KS

Det kan være en utfordring å se sammenhenger mellom styringssystemer og internkontroll. Eksempelvis har COSO sin opprinnelse i regnskap og revisjon med fokus på kontrollaktiviteter. ISO 9001 om Kvalitetssystem har sin opprinnelse i produksjonsbedrifter og fokus på arbeidsprosesser, mens BMS (balansert målstyring) har opprinnelse i ledelsesteori med fokus på mål og resultater. 

KS har utviklet nærmere innholdet i kommunedirektørens internkontroll. Flere arbeidsgrupper har vært nedsatt, og det er gitt en konkret veiledning: Orden i eget hus. 

Veiledningen fra KS gir uttrykk for at internkontrollen må tilpasses det styringssystem eller den «modellen» som kommunen bruker. Det er altså ikke nødvendig å etablere et særskilt internkontrollsystem – det som er nødvendig, er å sikre at den styringsmodellen og det systematiske arbeidet som gjøres, også gir trygghet for at det råder tilstrekkelig internkontroll.

 

KS’ modell for internkontroll 

Med utgangspunkt i kommunenes egenart, har KS utarbeidet en modell for internkontroll som har tre dimensjoner for innretning av arbeidet: 

  1. Hensikt med internkontroll.
  2. Sikre forutsetninger for internkontroll.
  3. Oppdeling av virkeområdet for internkontroll. 

Hensikten med internkontroll er: 

  • Kvalitet og effektivitet i tjenesteytingen
  • Helhetlig styring og riktig utvikling
  • Godt omdømme og legitimitet
  • Etterlevelse av lover og regler

Forutsetninger for betryggende internkontroll er: 

  • Risikovurdering
  • Formalisering
  • Kontrollaktiviteter

Internkontrollens virkeområde er konkretisert til enten å være sektorovergripende, tjenestespesifikk eller å omfatte støtteprosesser. KS gir følgende bilde på modell for internkontroll:
Figur: En samlet modell for internkontroll i kommuner og fylkeskommuner. Kilde: KS.

Idéheftet gir konkrete veiledninger på innholdet i de ulike elementene i modellen. Dette er meget bra, men tilkjennegir at det ikke er en triviell oppgave å ha kontroll på en stor virksomhet som en kommune er. Nå er det mange medarbeidere i en kommune som hver på sin kant skal bidra til kontroll, slik at kommunedirektørens ‘hovedoppgave’ er å se etter at systemet fungerer. Dette er illustrativt tatt inn for å vise hovedoppgaver relatert til årshjulet, slik:

Figur: Eksempel på synliggjøring av internkontroll i årshjulet. Kilde: KS.

 

Rapportering om internkontroll

Etter kommuneloven skal også rutiner og prosedyrer dokumenteres, et ikke ubetydelig krav med tanke på kommunenes oppgaver og omfang. Kommunene bør ha ‘egeninteresse’ av å etablere god internkontroll, ikke fordi det står i loven. For et offentlig forvaltningsorgan ligger det implisitt i anvendelse av fellesskapets midler å være effektiv, pålitelig og følge de regler som gjelder. Likevel er det et slags ‘ris bak speilet’ ved at kommunedirektøren skal rapportere om arbeidet med internkontroll. Bakgrunnen er naturligvis at kommunestyret skal kunne ivareta sitt overordnede ansvar. Slik er systemet, de folkevalgte har alltid det øverste ansvaret for forvaltningens virksomhet, det være seg kommuner, fylkeskommuner eller stat.

 

En tanke – hva med en uavhengig bekreftelse?

Kommunedirektøren skal etter kommuneloven § 25-1 om internkontroll

  • utarbeide en beskrivelse av virksomhetens hovedoppgaver, mål og organisering
  • ha nødvendige rutiner og prosedyrer
  • avdekke og følge opp avvik og risiko for avvik
  • dokumentere internkontrollen i den formen og det omfanget som er nødvendig
  • evaluere og ved behov forbedre skriftlige prosedyrer og andre tiltak for internkontroll

Revisjonen gjør en uavhengig kontroll av at årsberetningen inneholder de opplysninger som lov og forskrift krever, herunder at opplysninger om økonomi stemmer med årsregnskapet. Det er et minst like stort krav til kommunedirektøren å rapportere om internkontroll.

Burde det vært god forvaltningsskikk å få en uavhengig vurdering av denne rapporteringen? Få kommuner har egen internrevisjon, men den kunne ivaretatt en slik uavhengig bekreftelse. Den valgte revisor kunne også gjøre dette som et tilleggsoppdrag, eller at kommunene kjøper denne tjenesten i markedet.