Enhet for Intern revisjon | Hvem er vi? | Fremgangsmåte ved revisjon | Forslagsboks | Spørsmål og svar | Internkontroll | Pekere | Dokumenter
Hva er internkontroll?
Definisjon i henhold til COSO rapporten og Institute of Internal Auditors(IIA):
"Intern kontroll defineres i videste forstand som en prosess, iscenesatt og gjennomført av foretakets styre, ledelse og ansatte.
Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder:
- Målrettet og kostnadseffektiv drift
- Pålitelig ekstern regnskapsrapportering
- Overholdelse av gjeldende lover og regler. "
Intern kontroll er for mange et noe "diffust" og vanskelig begrep. Selv innenfor fagmiljøet hersker det ulik oppfatning om definisjonen av intern kontroll, dens innhold og ikke minst praktiske bruk.
COSO rapporten og definisjonen over danner likevel grunnlaget for forståelsen av internkontroll, selv om man i mange land også har utviklet forståelsen av begrepet videre.
Fokus på internkontroll og risikovurdering ved UiO
- Enhet for Intern revisjon er en støttefunksjon for universitetsledelsen. Hovedoppgaver er knyttet til tilsyn, administrativ kvalitetssikring og resultatoppfølging.
- Dette ivaretas ved evaluering av universitetets aktiviteter/virksomhetsområder, systemer, rutiner og kontrolltiltak, samt rådgivning og forebyggende virksomhet med utgangspunkt i risiko- og vesentlighetsvurderinger.
- Helt i fra 1996 har vi prioritert arbeidet med å sette intern kontroll og risiko- og vesentlighetsvurderinger i Universitetets virksomhet på dagsorden.
- I vår forståelse av internkontroll og risiko og vesentlighetsvurdering, har vi en modell i bunnen som kalles COSO .
- COSO er en internasjonalt utbredt og annerkjent modell innenfor internkontroll. I denne modellen er risiko og vesentlighetsvurdering en integrert del.Internkontroll er her å forstå som en kontinuerlig prosess i organisasjonen.
- La oss først se litt på selve COSO modellen. Så skal vi gi noen praktiske eksempler på hvordan disse begrepene kan ha mening ved Universitetet i Oslo!
Komponenter i intern kontroll (COSO modellen):
- KONTROLLMILJØET er grunnmuren som de andre komponentene bygger på og omfatter menneskene i virksomheten - deres individuelle egenskaper og integritet, etiske verdier, holdninger og kompetanse - og hvordan virksomheten er organisert. Ledelsesfilosofi og lederstil inngår også i kontrollmiljøet. For UiO vil universitetets verdiplattform definere det kontrollmiljøet internkontrollen skal bygges på.
- RISIKOVURDERINGEN forutsetter at det fastsettes mål for virksomheten og aktivitetene. Risikoen for at vi ikke vil oppnå målene må kartlegges og analyseres. Analysen danner grunnlaget for hva vi velger å gjøre for å kontrollere risikoene.
- KONTROLLAKTIVITETENE henger nøye sammen med risikovurderingen. De skal sikre at det settes i verk tiltak for å møte risikoene, og bidra til at rutiner og systemer fungerer slik som bestemt.
- INFORMASJON OG KOMMUNIKASJON må være effektiv og virke både horisiontalt og vertikalt i organisasjonen. Tilstrekkelig og relevant informasjon til rett tid skal gjøre det mulig for hver enkelt å ivareta det ansvar de har blitt tildelt.
- OPPFØLGING skal sikre at nødvendige handlinger eller endringer blir gjennomført. Resultater skal følges opp mot mål som er fastsatt i virksomhetens strategier og planer.
COSO modellen:
Risikovurderingen
Formålet med risikovurderingen vil være å øke evnen
til å nå definerte mål, oppfylle formålet og utnytte
nye muligheter på en best mulig måte. Identifiseringen og analysen
danner grunnlag for hvordan risikoen skal håndteres.
Risiko kan defineres som "en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller å oppfylle formålet." Risiko oppstår like mye fra faren for at noe fordelaktig ikke vil skje ("tapte muligheter"), som trusselen for at noe galt vil skje, eller avvik fra forventet resultat".
Risiko kan identifiseres ved å stille et eller flere av spørsmålene:
- Hva kan gå galt?
- Hvilke nye muligheter kan gå tapt?
- Hvor er det stor usikkerhet?
Eksempler på risikofaktorer:
- Teknologisk utvikling
- Endringer i omgivelsenes eller kundenes/brukernes krav eller forventninger
- Endringer i lovgivning og andre rammebetingelser
- Avbrudd eller forstyrrelser i informasjons- og edb systemene
- Feil i rapporteringen
- Endringer i ledelse og organisering, herunder ansvars- og myndighetsforhold
- Ulike former for ulykker/skader
- Kvalitet/kompetansen til ansatte, herunder opplæring og motivasjon
- Ansattes tilgang til aktiva som kan medføre "sløsing" med ressurser, foruten muligheter for misligheter.
- Endringer i driftsforhold
- Nye medarbeidere
- Nye administrative informasjonssystemer
- Nye aktiviteter
- Omstrukturering/omstilling av virksomheten
- Internasjonalisering
En modell for risikofaktorer ved universiteter finner du her.
Kontrollaktiviteter
Kontrollaktiviteter er
handlingsplaner og rutiner som sikrer gjennomføring av ledelsens
direktiver, og de etableres som en konsekvens av gjennomførte
risikovurderinger. Hvilke aktiviteter er nødvendig for å sikre at
virksomheten når sine mål og oppfylle formålet?
Aktuelle kontrollaktiviteter kan være:
- Attestasjons- og anvisningsrutiner
- Verifikasjoner
- Arbeidsdeling
- Avstemminger
- Fysiske kontroller
- Ansvars- og arbeidsdeling
Informasjon og kommunikasjon
Kommunikasjons-
og informasjonssystemer skal sørge for at viktig informasjon om drift,
økonomi og eksterne forhold fanges opp og formidles til rett tid
på en slik måte at de ansatte kan ivareta det ansvar de har blitt
tildelt. Effektiv kommunikasjon må gjennomsyre organisasjonen i vid
forstand; dvs. så vel vertikalt som horisontalt. De ansatte må
forstå sin egen rolle i det interne kontrollsystemet, og hvordan de
enkelte aktivitetene og handlingene relaterer seg til andres arbeid.
Informasjon skal være:
- Tilstrekkelig
- Rettididig og aktuell
- Nøyaktig og pålitelig
- Tilgjengelig
Det er viktig at de ansatte er seg bevisst plikten til å søke relevant informasjon for sitt arbeid
Oppfølging
Den interne kontrollen
må følges opp for å sikre at systemet er effektivt over tid.
Oppfølgingen kan skje kontinuerlig som en del av de daglige
ledelsesoppgavene, ved frittstående evalueringer eller som en kombinasjon
av de to.
Mangler i den interne kontrollen bør rapporteres til ledelsen, og informasjon om alvorlige forhold bør tilflyte toppledelsen og styret.
Gjennomførte risikovurderinger vil lette oppfølgingsansvaret fordi ledelsen vil ha et bedre grunnlag for vite hvilke områder/funksjoner man bør rette oppmerksomheten mot.
Oppfølgingsaktiviteter:
- Løpende oppfølging av prosesser, resultater, måloppnåelse i regi av linjeledelsen
- Uavhengige evalueringer utført av for eksempel internrevisjonen
- Kombinasjon av ovenstående
- Egenevalueringer i workshops
- Rapporteringsrutiner av svakheter, mangler, risikoforhold.
Redaksjon: Enhet for Intern revisjon, internrevisjon@admin.uio.no
Forfatter: Enhet for Intern revisjon
Dokument opprettet: 06.02.2001, verifisert: 29.09.2005