Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
linjeleiarar på ulike nivå. Det vil òg vere medarbeidarar <strong>som</strong> har i oppgåve å gjennomføre<br />
internkontrollaktivitetar.<br />
Velrenommerte rammeverk <strong>for</strong> internkontroll, til dømes COSO-rammeverket, har fokus på<br />
risikostyring. Også Direktoratet <strong>for</strong> økonomistyrings (DFØ) metodedokument ”Risikostyring i<br />
staten” framhevar at ei vurdering av risiko og vesentlegheit skal liggje til grunn <strong>for</strong> det samla<br />
styrings- og kontrollopplegget til verksemda.<br />
Internkontrollen skal bidra til å redusere den attverande risikoen 5 i verksemda til eit<br />
akseptabelt nivå, jamfør figur 1. Tiltak <strong>for</strong> å redusere risikoen kan omfatte organisatoriske<br />
tiltak <strong>som</strong> fullmakter, arbeidsdeling og opplæring, fastsetjing av arbeidsprosedyrar og<br />
kontrollrutinar og kontrollar <strong>som</strong> er innebygde i IT-systema. Det blir ofte kalla<br />
førstelinjekontrollar.<br />
Dei fleste verksemder har ulike typar stabs- og linjeeiningar med særleg ansvar <strong>for</strong> å vareta<br />
internkontrolloppgåver <strong>for</strong> éin eller fleire leiarar, til dømes rekneskaps- eller<br />
rapporteringseiningar, controllerar og kvalitetsrådgivarar, <strong>som</strong> bidreg med analysar,<br />
oppfølging, fagleg rettleiing og kontroll av at rutinar og regelverk blir følgde. Det blir kalla<br />
andrelinjekontrollar.<br />
Som eit ekstra ”tryggleiksnett” (tredjelinjekontroll) kan verksemda <strong>etablere</strong> ein uavhengig<br />
funksjon (internrevisjon) <strong>som</strong> systematisk kan evaluere verksemda og gi ei uavhengig og<br />
objektiv stadfesting av om internkontrollen er god nok (effektiv og <strong>for</strong>målstenleg).<br />
Dei <strong>for</strong>skjellige kontrollnivåa er illustrerte i figur 1 nedan<strong>for</strong>.<br />
Ibuande risiko<br />
Linja<br />
Kontrollerar,<br />
kvalitetsrådgivarar,<br />
stabsfunksjonar<br />
Førstelinjekontrollar<br />
Prosessar med integrerte kontrollar<br />
Organisatoriske tiltak <strong>som</strong> fullmakter og arbeidsdeling<br />
Fastsetjing av arbeidsprosedyrar og kontrollrutiner<br />
Rekneskap og rapportering<br />
Risikostyring<br />
Andrelinjekontrollar<br />
Analysar<br />
Overvåking /kontroll med at rutinar og<br />
regelverk blir etterlevd<br />
Kvalitetsgjennomgangar<br />
Internrevisjon<br />
Tredjelinjekontrollar<br />
Testing og vurdering av<br />
etablert internkontroll<br />
Attverande<br />
risiko<br />
5 Ibuande risiko er nivået på risikoen når ein ikkje tek omsyn til dei ulike tiltaka og kontrollaktivitetane <strong>som</strong> er<br />
etablerte <strong>for</strong> å redusere han. Attverande risiko er nivået på risikoen når ein tek omsyn til tiltaka og<br />
kontrollaktivitetane <strong>som</strong> ein set i verk når ein <strong>vurderer</strong> risikoen (jamfør ”Risikostyring i staten”, DFØ (2005)).<br />
6