• Risikovurdering og internkontroll i organisasjoner i Norge
Blogg:

Risikovurdering og internkontroll i organisasjoner i Norge

10. oktober 2018

Frivillig sektor står ovenfor flere viktige utfordringer som er unike for denne bransjen. Disse utfordringene gjelder alt i fra frivillige lag og foreninger, til interesseorganisasjoner og andre typer organisasjoner. De fleste er selv godt kjent med disse, men erfaringsmessig viser det seg at ikke alle slike organisasjoner håndterer utfordringene på en god og hensiktsmessig måte. Dette gjelder spesielt dilemmaet og valget mellom god styring og kontroll versus andel av midler som skal benyttes til «administrasjon». I dette dilemmaet må man også vurdere egne rutiner og prosesser for risikovurdering og internkontroll.


Enten organisasjonen mottar støtte fra stat eller kommune, blir finansiert av gaver, arv eller andre innsamlede midler eller en kombinasjon av dette, vil det normalt være stilt krav til bruken av midlene. Dette vil også gjelde gjennom lov og forskrift, kontraktsvilkår eller andre former for betingelser. I mange tilfeller er «betingelsene» kun i form av en «moralsk kontrakt» mellom avsender og mottaker av midlene. 


Dette stiller store krav til organisasjonene og den interne kontrollen som skal sikre forsvarlig bruk av midlene mv.  Det finnes et utall av eksempler der både små og store organisasjoner har hatt for svak styring og kontroll med virksomheten og hvor dette har ført til svært uheldige situasjoner, både for organisasjonen og involverte personer. 


Risikobilde

God styring og kontroll kan oppnås dersom organisasjonen har god oversikt over sitt eget risikobilde og har etablert en internkontroll som er skreddersydd nettopp dette risikobildet. Først når denne oversikten er etablert og det er gjort gode risikovurderinger, vil organisasjonen være i stand til å gjøre de rette prioriteringene og sikre en effektiv styring og kontroll (internkontroll) som på en god måte balanserer valget mellom styring og kontroll og andel midler benyttet på «administrasjon».


For mange organisasjoner vil typiske risikoer som må kartlegges og vurderes omhandle:

  • Bruk og forvaltning av både innsamlede midler og midler fra det offentlige, eksempelvis etterlevelse av friskoleloven o.l.
  • Personvern
  • Informasjonssikkerhet 
  • Fysisk sikkerhet, særlig ved reise og utlandsaktiviteter
  • Korrupsjon, underslag o.l., samt bruk av organisasjonens eiendeler o.l.
  • Ukultur, uakseptabel adferd mv.
  • Særlig risiko knyttet til bistandsprosjekter e.l.
  • Overholdelse av regnskaps- og skatteregler
  • Utvikling og implementering av ny teknologi
  • Etterlevelse av krav relatert til HMS, arbeidsmiljø o.l.


Andre typer risiko kan selvsagt også være aktuelle. Alt beror på den enkelte organisasjon og omstendighetene rundt denne. Risiko relatert til omdømme omhandles ofte som en egen risiko, men i de aller fleste tilfeller er omdømmerisiko kun en «konsekvens» av en bakenforliggende risiko. 


Risikovurderingsprosessen

Alle organisasjoner bør i utgangspunktet ha en formalisert prosess for å gjennomføre risikovurderinger. For små organisasjoner vil det derimot i enkelte tilfeller ikke være naturlig å ha en slik formalisert prosess. Likevel vil det være et par viktige ting enhver organisasjon bør ta hensyn til når risiko skal kartlegges og vurderes: 

 

  • Risikovurderingen bør være helhetlig, dvs. at den tar for seg alle relevante risikoer
  • Den bør gjennomføres regelmessig og bør inkludere både bredden og dybden i organisasjonen
  • Ved endrede omgivelser (eksempelvis ved omorganisering), ved nye aktiviteter mv. bør det gjennomføres    nye vurderinger for å sikre at ny og ikke allerede håndtert risiko blir identifisert
  • Risikovurderingen og resultatene fra denne bør dokumenteres


Risikovurderingens hovedformål, nemlig å kartlegge og vurdere risiko er det sentrale. Det er likevel verdt å nevne at gjennomføring av en slik risikovurdering veldig ofte i seg selv er meget bevisstgjørende og med på å bygge en sterk og ønsket kultur. Dette er således et argument i seg selv for å involvere de ansatte i risikovurderingsprosessen. Dette vil bidra til å gjøre risikovurderingsprosessen mer helhetlig. Samtidig vil man oppleve at de ansatte ofte vil få en bedre forståelse for hvorfor kontrollaktiviteter og prosesser har blitt implementert og dermed også være mer motivert for å følge disse.


Når risikobildet er kartlagt og evaluert vil organisasjonen relativt enkelt kunne vurdere risikoen mot etablerte kontroller og innføre nye kontrolltiltak som reduserer identifisert risiko til et nivå som er akseptabelt for organisasjonen. Ved at internkontrollen tar utgangspunkt i det faktiske risikobildet vil man som organisasjon trolig ha implementert de rette kontroller på kort og mellomlang sikt og være i stand til å godt balansere dilemmaet og valget mellom god styring og kontroll og andel av midler benyttet på administrasjon. 
 

Vi du høre mer om risikovurdering og internkontroll i organisasjoner i Norge? 26. oktober arrangeres Ideelt Forum: Styring og kontroll, i Oslo. Les mer her.