Fagartikkel; INTERNKONTROLL – et viktig aspekt, av Ayse Nordal

1.  Innledning

Flere virksomheter, både offentlige og private, har i de senere år reflektert over begrunnelsen for å etablere internkontroll.[1] En nasjonal undersøkelse fra 2023 dokumenterer betydningen av helhetlig internkontroll i bekjempelsen av kriminalitet som virksomhetene bør være oppmerksomme på, i tillegg til de hittil kjente begrunnelser som er oppsummert nedenfor.  Dette gjelder internkontrollens forebyggende og avdekkende rolle i oppdagelsen av økonomisk kriminalitet, svindler og bedragerier.

2.  Hvorfor er internkontroll viktig? Kjente begrunnelser.

Hittil har litteraturen satt søkelys på følgende bidrag fra internkontroll til virksomhetsstyring:

• Etterlevelse av lover og regler

• Oppnåelse av en rimelig sikkerhet for effektiv drift og pålitelig rapportering

• Bidrag til styringssystem/ledelsessystem og til kontinuerlig forbedring

• Utøvelse av kontrollansvar i 3-(forsvars)linjemodellen

Etterlevelse av lover og regler

§ 14 i Reglementet for økonomistyring i staten omhandler internkontroll og lyder slik: «Alle virksomheter skal etablere systemer og rutiner som har innebygd intern kontroll..»[2]. Lignende krav finnes også i Kommunelovens § 25-1 der kommunedirektøren ansvarlig- gjøres for internkontrollen.[3] For finanssektoren er det utarbeidet egen forskrift for internkontroll og risikostyring[4], og alle virksomheter i Norge, med unntak av de som er etablert på Svalbard og landanlegg i petroleumsvirksomheten, må etterleve internkontrollforskriften.[5]

Helhetlig internkontroll er en forutsetning for å kunne etterleve ovennevnte lovkrav.

Effektiv drift og pålitelig rapportering

The Committee of Sponsoring Organizations of the de Commission (COSO) har beskrevet hvilket innhold internkontrollen har og hvem som har ansvar for etablering og gjennomføring så tidlig som i 1992 i sitt rammeverk for internkontroll. Dokumentet ble oppdatert i 2013 og  det har nå fått en utvidet veiledning i 2023. Rammeverket definerer internkontroll som følger: «Internkontroll er en prosess, utført av virksomhetens styre, ledelse og øvrige ansatte, utformet for å gi rimelig sikkerhet for oppnåelse av målsetninger relatert til drift, rapportering og etterlevelse»[6]

Forventningen er at internkontroll skal bidra til effektiviteten i driften og oppnåelsen av virksomhetens målsetninger. Den vil også bidra til korrekt og rettidig regnskapsrapportering og øvrig virksomhetsrapportering.

Bidrag til virksomhetens styringssystem(ledelsessystem) og kontinuerlig forbedring

I alle ledelsessystemstandarder fra ISO, eksempelvis NS-EN ISO 9001, NS -EN ISO 14001, NS-EN ISO/IEC 27001 omhandler kapittel 4.4 ledelsessystemet. Et velfungerende ledelsessystem sikrer måloppnåelse, økt effektivitet og leveranser som samsvarer med kundenes og brukernes forventninger.

Ledelsessystemet inneholder beskrivelse og dokumentasjon av alle prosesser inklusiv roller, ansvar og risikoer som er knyttet til disse. Det å integrere den helhetlige internkontrollen til dette systemet gir virksomheten mulighet for forbedringer både i kjerneprosessen og i ledelse-og støtteprosessene.

Utøvelse av kontollansvar i 3-(forsvars)linjemodellen

Federation of European Risk Management Associations (FERMA) og European Confederation of Institutes of Internal Auditing (ECIIA) har i desember 2011 gitt ut Guidance on the 8th EU Company Law Directive Article 41. Denne veiledningen beskriver den velkente 3-forsvarslinjemodellen. I modellen inngår internkontroll på prosessnivå sammen med ledelse av operasjoner i førstelinjeforsvarsrollen.  Andrelinjeforsvaret består av risikostyring og etterlevelsefunksjoner, mens tredjelinjen er en uavhengig internrevisjon.

Modellen har fått en ny versjon i 2020 og den har endret navn. Den heter nå 3-linjer modellen, og har nå større og tydeligere fokus på helhetlig risiko-og virksomhetsstyring[7]. I den nye versjonen omfatter førstelinjen medarbeidere og ledere som gjennomfører internkontroll av sine egne løpende oppgaver. Andre linjen omfatter bl.a. kontroll -og forbedringsfunksjoner som har ansvar for å følge opp gjennomføringen av internkontroll som utføres av den første linjen. Tredjelinjen har ansvar uavhengige vurderinger av hensiktsmessighet og egnethet av internkontrollen i virksomheten.

3.  Nasjonal omfangsundersøkelse av økonomisk kriminalitet rettet mot virksomheter og kommuner

Etter oppdrag fra Justis-og beredskapsdepartementet har Vista analyse ferdigstilt en undersøkelse og rapport i januar 2023[8]. Tabell 4.2 i rapporten inneholder informasjon om hvordan det siste lovbruddet i virksomheten ble oppdaget, etter type lovbrudd.

Følgende lovbrudstyper ble undersøkt: bedrageri, datainnbrudd, underslag, økonomisk utroskap, korrupsjon, regnskapskriminalitet, gjeldsforhold, ulovlig samarbeid. Tabellen viser oppdagelsesprosenten for:

• internrevisjon

• internkontroll

• kontroll av ledelsen

• interne økonomisystemer og betalingsrutiner

• fysisk og digital adgangskontroll

• kontroll ved Tilsynsmyndighet

• varslingskanal for eksterne og/eller ansatte

• tips fra ansatte eller eksterne

• tilfeldigheter

• annen måte

Rapporten viser «…at internkontroll er den aktiviteten som oftest oppdaget siste lovbrudd.Dette er gjennomgående for alle typer lovbrudd…»[9]

Sammenligner vi eksempelvis internkontroll og kontroll fra tilsynsmyndighet med utgangspunkt i nevnte tabell ser vi følgende:

4. Konklusjon

I følge Økokrims Årsrapport for 2023 har antall anmeldelser av økonomisk kriminalitet på nasjonalt nivå økt fra 24 411i 2020 til 30 680 i 2023. Bedragerisakene utgjør majoriteten både totalt og i siste års endring.[10] Enheten for finansiell etterretning (EFE) ved Økokrim mottar rapporter om mistenkelige forhold (MT-rapporter) fra rapporteringspliktige etter hvitvaskingsloven. I 2020 mottok EFE 12703 rapporter, mens tallet for 2023 var 23 703, dvs. en økning på 87%. Informasjon fra andre lands Financial Intelligence Units (FIUer) økte fra 3 031 til 22 383 i samme perioden.[11]

Internkontroll kan yte et vesentlig bidrag i denne konteksten. Virksomhetene bør prioritere området og sørge for tildeling av tilstrekkelig ressurser med riktig kompetanse.

______________________________

[1] Eksempler: KS, Orden i eget hus. Kommunedirektørens internkontroll, 2020 DFØ, Veileder i internkontroll, oppdatert 2023

[2] Det Kongelige Finansdepartement, Reglement for økonomistyring i staten, med seneste endringer 20.desember 2022, side 21

[3] Kommunal-og distriktsdepartementet, Lov om kommuner og fylkeskommuner (kommuneloven), 22.06.2018

[4] Finansdepartementet, Forskrift om risikostyring og intern kontroll 22.09.2008

[5] Arbeids-og inkluderingsdepartementet, Forskrift om systematisk helse-, miljø-og sikkerhetsarbeid i virksomheter, 06.12.1996

[6] COSO, Internkontroll- et integrert rammeverk, sammendrag , mai 2013 fra COSO Internkontroll – et integrert rammeverk (sammendraget) – IIA

[7] The IIA’s three Lines Model, An Update of the Three Lines of Defense, IIA, USA, July 2020

[8] VISTA for Justis-og beredskapsdepartementet, Nasjonal omfangsundersøkelse av økonomisk kriminalitet rettet mot virksomheter og kommuner, Rapport 2023/01, januar 2023

[9] VISTA, op.cit. side:30

[10] Økokrim, Årsrapport 2023 side 13.

[11] Økokrim, op.cit. side 17

Utgitt av