2 Krav til internkontroll etter kommuneloven § 25-1
2.1 Internkontrollbestemmelsens oppbygging og sammenheng
Kommuneloven § 25-1 består av tre ledd, som må leses i sammenheng.
Første ledd slår fast at det er kommunedirektøren som har ansvaret for kommunens internkontroll, at virkeområde for internkontrollplikten er administrasjonens virksomhet, og at formålet med internkontrollen etter kommuneloven er å sikre etterlevelse av lover og forskrifter. Andre ledd sier at internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Bestemmelsens andre ledd stiller altså krav til hvilket omfang internkontrollen skal ha og hvordan internkontrollen i kommunen skal innrettes. Bestemmelsens tredje ledd inneholder også en opplisting med mer konkrete krav til internkontrollen. Disse kravene handler om konkrete internkontrolloppgaver som utarbeidelse av beskrivelse av virksomhetens hovedoppgaver, mål og organisering, nødvendige rutiner og prosedyrer, avvikshåndtering osv.
Tredje ledd må leses i sammenheng med de mer generelle bestemmelsene i § 25-1 første og andre ledd. Det innebærer blant annet at kravene om systematikk og tilpasning etter andre ledd må inngå som en del av forståelsen av hvordan de mer konkrete kravene til internkontroll i tredje ledd skal forstås. Kravet i første ledd om at internkontrollen skal sikre regeletterlevelse, er overordnet kravene som framgår av tredje ledd. Dette kravet betyr blant annet at internkontrollens innretning og omfang samt alle tiltak som er iverksatt etter bestemmelsens tredje ledd, må være egnet til å sikre etterlevelse av lover og forskrifter. En slik sammenheng mellom de ulike leddene følger av en tolkning av ordlyden i lovbestemmelsen, og er omtalt i forarbeidene.
2.2 Krav om internkontroll for å sikre etterlevelse av lover og forskrifter
Kommuneloven § 25-1 første ledd:
"Kommuner og fylkeskommuner skal ha internkontroll med administrasjonens virksomhet for å sikre at lover og forskrifter følges. Kommunedirektøren i kommunen og fylkeskommunen er ansvarlig for internkontrollen."
Sentrale forarbeider:
Prop. 46 L (2017–2018) s. 269 punkt 23.4.1.3 og merknader til bestemmelsen side 411
NOU 2016:4 side 305 punkt. 24.5.2.2 og merknader til bestemmelsen side 437
2.2.1 Kommunene har plikt til å ha internkontroll
Dette er hovedbestemmelsen om internkontroll som gir kommunene en plikt til ha internkontroll. Alle kommuner skal ha internkontroll, og den skal som et minimum oppfylle kravene i kommunelovens internkontrollbestemmelse § 25-1.
2.2.2 Kommunedirektøren har et lederansvar for internkontroll
Bestemmelsen konstaterer at det er kommunedirektøren som har ansvaret for internkontrollen i kommunen, som øverste leder av administrasjonen, jf. kommuneloven § 13-1 der kommunedirektørens rolle som øverste leder av administrasjonen er lovfestet. Bestemmelsen tydeliggjør at internkontroll er et ledelsesansvar. En forankring av internkontrollansvaret i toppledelsen legger til rette for at kommunen kan ta et mer helhetlig grep om internkontrollen, for å få en målrettet og effektiv internkontroll. At ordlyden i bestemmelsen sier at kommunedirektøren er "ansvarlig for internkontrollen", viser også at kommunedirektøren har ansvaret for en helhetlig internkontroll som både skal forebygge at avvik oppstår og som skal sikre at eventuelle avvik blir oppdaget og korrigert.
2.2.3 Internkontroll med administrasjonens virksomhet
Det framkommer videre av § 25-1 første ledd at internkontrollen skal være med administrasjonens virksomhet. Bestemmelsen slår her fast at internkontrollen kun gjelder den administrative delen av kommunen, og at den folkevalgte delen av kommunen ikke er omfattet av internkontrollen. Internkontroll er altså en administrativ kontroll, i motsetning til den folkevalgte delen av kontrollen, som er lagt til kontrollutvalget. Selv om internkontroll er en administrativ kontroll med administrasjonens virksomhet, vil kommunestyret som kommunens øverste organ likevel alltid ha et overordnet ansvar for å kontrollere kommunens virksomhet og sørge for at kommunen er organisert og drives på en slik måte at lover og forskrifter blir overholdt, jf. kommuneloven §§ 5-3 og 22-1.
At internkontrollen skal være med administrasjonens virksomhet, innebærer videre at internkontrollen omfatter all virksomhet som er innenfor ansvarsområdet til kommunedirektøren. Både den sentrale administrasjonen og ulike sektorer i kommunen som opplæring, barnevern og så videre, er omfattet. Hvilken innretning og omfang internkontrollen skal ha for de ulike sektorene må imidlertid avgjøres ut fra en vurdering av virksomhetens størrelse, egenart, aktiviteter og risikoforhold i tråd med kommuneloven § 25-1 andre ledd, se punkt 2.3.
2.2.4 Delegering av internkontrollansvar
Selv om kommuneloven § 25-1 første ledd legger ansvaret for internkontrollen til kommunedirektøren, er det ikke meningen at kommunedirektøren skal utføre det konkrete internkontrollarbeidet helt selv. De ulike tjenesteområdene i kommunen må involveres i internkontrollarbeidet som skal gjøres etter § 25-1 andre og tredje ledd, som for eksempel ved utarbeidelse av risikovurderinger, tilpasninger og innretning på internkontrollen innenfor ulike tjenesteområder og formalisering av rutiner. Kommunedirektøren både kan og vil normalt delegere ansvaret for utførelsen av det konkrete internkontrollarbeidet nedover i administrasjonen. Ledere av ulike tjenesteområder vil kunne få dette ansvaret på sine områder og delegere videre på en hensiktsmessig måte. Samspillet mellom kommunedirektøren, den sentrale administrasjonen og de ulike tjenesteområdene er dermed viktig for en helhetlig, risikobasert, konkret tilpasset og systematisk internkontroll i samsvar med kravene i § 25-1 andre og tredje ledd, se punkt 2.2 og punkt 2.3. Kommunedirektøren har fortsatt det overordnete ansvaret for at kommunen har en internkontroll som er i tråd med kommuneloven § 25-1, selv om oppgavene delegeres. Ansvaret kan ikke delegeres bort. Internkontroll ved interkommunalt samarbeid eller der kommunen bruker private aktører er nærmere omtalt i kapittel 3 og 4.
2.2.5 Internkontroll for å sikre at lover og forskrifter følges
Kommuneloven § 25-1 første ledd sier videre at kommunen skal ha internkontroll for å sikre at lover og forskrifter følges. Bestemmelsen slår fast hva som er målet med internkontrollen etter kommuneloven, som er å sikre regeletterlevelse.
Kommunen kan også selv fastsette andre mål med internkontrollen, for eksempel at internkontrollen også skal sikre etterlevelse av andre vedtak som ikke kun gjelder oppfølging av krav i lover og forskrifter, en effektiv og målrettet drift, læring i organisasjonen m.m. Slike andre mål som kommunen fastsetter for internkontrollen, vil imidlertid ikke påvirke tolkningen av det lovbestemte internkontrollkravet i § 25-1.
Kravet om internkontroll gjelder for alle lovpålagte plikter kommunen har. Den gjelder for både kommuneplikter (plikter som påhviler kommunene i egenskap av at de er kommuner) og aktørplikter (plikter som stiller krav til enhver som driver en aktivitet eller tilbyr en aktivitet). I særlovgivningen finnes det internkontrollbestemmelser med aktørplikter som er mer detaljerte enn kommunelovens internkontrollbestemmelse. Disse bestemmelsene vil gjelde i tillegg, og etter alminnelige rettsprinsipper gå foran kommunelovens internkontrollbestemmelse.
2.3 Krav om internkontroll som er systematisk og tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold
Kommuneloven § 25-1 andre ledd:
Internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold.
Sentrale forarbeider:
Prop. 46 L (2017–2018) punkt 23.4.1.3 og merknader til bestemmelsen side 412
NOU 2016: 4 punkt 24.5.2.5 og merknader til bestemmelsen side 437
2.3.1 Internkontrollens innretning og omfang
Bestemmelsens andre ledd sier at internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Bestemmelsen stiller krav til hvilket omfang internkontrollen skal ha og hvordan internkontrollen i kommunen skal innrettes. Innretning og omfang på internkontrollen må være egnet til å sikre etterlevelse av lover og forskrifter i kommunen, jf. krav i bestemmelsens første ledd. Kravene om systematikk og tilpasning etter andre ledd gjelder alle deler av internkontrollen, og må dermed også inngå som en del av arbeidet med de konkrete tiltakene som iverksettes etter internkontrollens tredje ledd. Se nærmere om dette i kapittel 2.1.
Kommunedirektøren må dermed gjøre vurderinger av hvor omfattende internkontrollen skal være og hvordan denne skal innrettes, både samlet sett for hele kommunen og innen ulike områder i kommunen. En internkontroll som er systematisk og basert på risikovurderinger og lokale tilpasninger vil gi en bedre, mer effektiv og målrettet internkontroll.
2.3.2 Systematisk internkontroll
Kommunedirektøren skal jobbe systematisk med internkontrollen. Det er ikke tilstrekkelig med en tilfeldig og hendelsesbasert internkontroll. Det må gjøres et planmessig og metodisk arbeid, og internkontrollen må være av et slikt omfang og innhold at den kan kalles systematisk. Internkontrollen, både samlet sett og i den enkelte virksomhet, må følges opp jevnlig og ved behov, slik at det er et fungerende system for løpende internkontrollarbeid. Målet med det systematiske internkontrollarbeidet er at brudd på lover og forskrifter forebygges, avdekkes og følges opp.
Bestemmelsen stiller ikke krav om en bestemt type systematikk, at det benyttes noe spesielt system eller at det brukes et ikt-basert styrings- eller avvikssystem. Kommunedirektøren må vurdere hvordan kravet om at internkontrollen skal være systematisk skal oppfylles, for å sikre at lover og forskrifter blir fulgt.
2.3.3 Internkontrollen skal tilpasses virksomheten - risikovurderinger
Internkontrollen skal videre tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. En vurdering av disse forholdene danner grunnlaget for den nærmere vurderingen av innretningen, omfanget og prioriteringen i internkontrollarbeidet. Det skal gjøres konkrete vurderinger både samlet sett for hele kommunen og i den aktuelle virksomheten eller aktivitet innad i kommunen, for å vurdere hvor omfattende og hva slags internkontroll det er behov for. Dette skal være vurderinger innenfor lovens minstekrav, og i tråd med de prosessene og vurderingstemaene som bestemmelsen fastslår.
Risikovurderinger er sentralt etter bestemmelsens andre ledd, og kommunen må gjøre en konkret analyse og vurdering av sannsynligheten for at lover og forskrifter ikke følges, og hvilke konsekvenser dette i så fall kan få. En samlet risikovurdering vil til dels bero på mer generelle vurderinger, som at noen tjenester, saksfelt eller sektorer generelt har en større risiko, og til dels vil dette være mer konkrete vurderinger av forholdene i den enkelte kommunen. Vurderingene må gjøres både samlet for kommunen som helhet og innenfor de enkelte delene av kommunens virksomhet. Kommunen må vurdere hvor vesentlige de aktuelle risikofaktorene er. Dette blir en risiko- og vesentlighetsanalyse, som det i dag finnes mange metoder for og mye praksis på. Det er viktig med internkontroll der det er høy risiko for at det skal skje noe feil, og hvor konsekvensene av feil er store. Vurderingene av dette må gjøres innenfor alle sektorer og områder innen kommunen, og de må gjøres både på et overordnet og mer detaljert nivå. Innenfor enkelte sektorer i kommunen vil slike vurderinger alltid konkludere med at det er behov for internkontroll, som for eksempel innenfor, barnevern, sosiale tjenester og opplæring. Men også innenfor slike enkeltområder må det gjøres nærmere vurdering av risiko m.m. innenfor de enkelte virksomhetene eller aktivitetene for å tilpasse den konkrete innretningen og omfanget av internkontrollen på de ulike delene av virksomheten. Denne vurderingen vil danne grunnlag for å tilpasse omfang og innretning på internkontrollen, og gjøre internkontrollarbeidet mer målrettet mot der risikoen og behovet er størst.
Andre ledd gir ikke ytterligere føringer om hvordan risikovurderinger og andre konkrete vurderinger av tilpasninger og innretning på internkontrollen skal gjennomføres. Det er ikke krav om at en spesiell metodikk skal brukes, men vurderingene må gjennomføres på en systematisk måte i tråd med kravet i andre ledd om at internkontrollen skal være systematisk. Innenfor kravene i internkontrollbestemmelsen vil det dermed være opp til kommunedirektøren å bestemme nærmere hva slags vurderinger som skal gjøres i forbindelse med at internkontrollen skal være tilpasset virksomheten.
2.4 Nærmere krav til innholdet i internkontrollen
Kommuneloven § 25-1 tredje ledd:
Ved internkontroll etter denne paragrafen skal kommunedirektøren
- utarbeide en beskrivelse av virksomhetens hovedoppgaver, mål og organisering
- ha nødvendige rutiner og prosedyrer
- avdekke og følge opp avvik og risiko for avvik
- dokumentere internkontrollen i den formen og det omfanget som er nødvendig
- evaluere og ved behov forbedre skriftlige prosedyrer og andre tiltak for internkontroll
Sentrale forarbeider:
Prop. 46 L (2017–2018) punkt 23.4.1 side 268-275 og merknader til bestemmelsen side 412-413
NOU 2016:4 punkt 24.5.2 side 304-309 og merknader til bestemmelsen side 437-438
2.4.1 Bestemmelsen skal leses i sammenheng
Internkontrollbestemmelsens tredje ledd inneholder en opplisting av konkrete krav til internkontrollen. Opplistingen må leses i sammenheng med de mer generelle kravene i bestemmelsens første ledd og andre ledd. Dette betyr at alle tiltak som iverksettes etter tredje ledd, må tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold, jf. bestemmelsens andre ledd, og at de må være egnet til å nå formålet om internkontrollen, jf. bestemmelsens første ledd. Se nærmere om dette i kapittel 2.1.
2.4.2 Beskrivelse av virksomhetens hovedoppgaver, mål og organisering
Tredje ledd oppstiller først et krav om at det skal utarbeides en beskrivelse av virksomhetens hovedoppgaver, mål og organisering (§ 25-1 tredje ledd bokstav a). Beskrivelsen vil gi en overordnet informasjon om den kommunale virksomheten som ligger innenfor kommunedirektørens ansvar. De folkevalgte organene faller utenfor dette.
Dette er også viktig for å klargjøre ansvars- og rapporteringslinjer innad i kommunen. Det vil være både ansvars- og rapporteringslinjer på overordnet nivå for hele kommuner og ansvars- og rapporteringslinjer innenfor de ulike tjenesteområdene eller virksomhetene.
Beskrivelsen må dekke både hovedoppgaver, mål og organisering.
Ifølge forarbeidene ligger det i kravet om å beskrive organisering at det også skal beskrives hvordan ansvar, oppgaver og myndighet er fordelt innad i kommunen, både sentralt og innenfor de ulike tjenesteområdene og virksomhetene. Dette kan for eksempel gjøres som en oversikt over lederstrukturer, rapporterings- og styringslinjer, delegeringer, funksjonsbeskrivelser osv. Det kan også henvises til delegeringsreglement og andre relevante dokumenter.
Det er opp til den enkelte kommunen hvordan en slik beskrivelse etter bokstav a skal gjøres og hvor detaljert den skal være så lenge man holder seg innenfor rammene av kravene. Rammene vil framgå av ordlyden til denne bestemmelsen, sammenholdt med de øvrige delene av internkontrollbestemmelsen og sammenholdt med omtalen i forarbeidene.
2.4.3 Nødvendige rutiner og prosedyrer
Kommuneloven oppstiller et krav om å ha nødvendige rutiner og prosedyrer (§ 25-1 tredje ledd bokstav b). Rutiner og prosedyrer er viktig for å sikre regeletterlevelse i kommunen. Hvilke og hvor mange rutiner som trengs for de ulike områdene må vurderes konkret. Loven sier at man skal ha det som er "nødvendig". I forarbeidene sies det at hva som er nødvendig må ses i sammenheng med de andre kravene i bestemmelsen, og vil måtte bero på en konkret vurdering. Sentralt vil blant annet være vurderingen av risiko for avvik. Vurderingen må gjøres konkret og tilpasset det området de skal gjelde for og det konkrete risikobildet. Målet for slike rutiner og prosedyrer vil være å sikre regeletterlevelse.
I praksis kan disse rutinene og prosedyrene være både muntlige og skriftlige. De fleste litt større og viktige rutinene vil gjerne fastsettes skriftlig. Det er ikke et lovkrav om at enhver rutine og prosedyre skal være skriftlige, men ut fra en helhetlig tolkning av internkontrollkravet i loven vil skriftlighet ofte være nødvendig. Ifølge forarbeidene vil spørsmålet om det er krav til skriftlighet måtte avklares ved å se kravet om nødvendige rutiner og prosedyrer i sammenheng med dokumentasjonskravet i bokstav d. Se nærmere omtale av dette nedenfor i punkt 2.4.5.
I forarbeidene står det også at av et krav om å ha rutiner, følger det indirekte at disse både må gjelde for virksomheten, gjøres kjent og være tilgjengelige. Det holder altså ikke å bare lage et sett med rutiner som deretter blir glemt. Rutinene skal gjelde for virksomheten i praksis. De må også gjøres kjent for de som trenger å vite om dem. Hvem det er, må avgjøres konkret, ut fra blant annet hva slags rutiner og virksomhet det er snakk om.
2.4.4 Avdekke og følge opp avvik og risiko for avvik
Et sentralt element i arbeidet med internkontroll er å avdekke og følge opp avvik. Også risiko for avvik er sentralt å avdekke og følge opp. Det er derfor krav om å "avdekke og følge opp avvik og risiko for avvik" i kommuneloven (§ 25-1 bokstav c).
Internkontrollen skal altså både avdekke og følge opp konkrete avvik som allerede har skjedd. Å få avdekket konkrete avvik eller feil er helt sentralt for å kunne gjøre korrigeringer eller forbedringer både i den konkrete situasjonen og for fremtiden. Det følger av lovkravet at konkrete avvik som er avdekket skal følges opp eller korrigeres på egnet måte. Hvordan dette følges opp, må vurderes konkret ut fra hva slags avvik det dreier seg om. Der det er mulig og hensiktsmessig, er det nærliggende at konkrete avvik må korrigeres. I noen tilfeller vil ikke det være praktisk mulig, for eksempel fordi det har gått for lang tid. Dette må vurderes konkret. Målet er at konsekvensene ved avvik rettes opp eller reduseres. En slik oppfølging av avdekkete avvik, vil få direkte betydning for den enkelte brukeren eller andre mottakere av tjenester som er blitt berørt av avviket.
Internkontrollen skal videre både avdekke og følge opp risiko for at avvik skal skje. Dette er sentralt forebyggende arbeid. Det innebærer blant annet at kommunedirektøren må skaffe oversikt over (saks)områder i kommunen hvor det er fare for manglende etterlevelse av lover og forskrifter, og sette inn relevante forebyggende og risikoreduserende tiltak for å hindre og forebygge brudd på lover og forskrifter. Dette må gjøres ut fra både kortsiktig og langsiktig perspektiv. Det langsiktige perspektivet er viktig for at virksomheten kan lære og korrigere fremtidige aktiviteter. Dette læringsperspektivet er en sentral del av internkontrollen. Internkontrollen bør ses på som en løpende og lærende prosess i virksomheten.
På hvilken måte og hva konkret som skal gjøres i arbeidet med å avdekke og følge opp avvik og risiko for avvik, må kommunedirektøren vurdere og beslutte. Dette må vurderes ut fra den konkrete situasjonen, de aktuelle avvikene eller risiko for avvik samt lokale forhold. Det sentrale er at både avvik og risiko for avvik blir identifisert og faktisk fulgt opp.
I samsvar med bestemmelsens øvrige krav til internkontrollen må arbeidet med avvik være systematisk og tilpasset virksomheten, risikovurderinger osv. Tiltak som iverksettes må være egnet til å nå målet om regeletterlevelse.
2.4.5 Dokumentere internkontrollen
Å dokumentere internkontrollen er et viktig virkemiddel for at internkontrollen skal fungere som forutsatt. Samtidig er det ikke noe mål med en masse dokumentasjon som ikke har noen funksjon eller som skaper unødvendig arbeid, uten at det har en ønsket effekt.
Lovens krav (§ 25-1 bokstav d) er derfor å dokumentere internkontrollen i den formen og det omfanget som er nødvendig. Dette dokumentasjonskravet gjelder for de ulike delene av internkontrollen som systemer, rutiner, instrukser og liknende, og for gjennomføring av konkrete kontroller og aktiviteter. Ved vurderingen av hvilken form eller omfang det er nødvendig med dokumentasjon, må det ses hen til de andre kravene for internkontrollen. For eksempel vil det at målet med internkontrollen er å sikre regeletterlevelse, måtte inngå i vurderingen av dokumentasjonskravet. Videre vil også virksomhetens risikoforhold, størrelse, egenart og aktiviteter være sentralt. Er det for eksempel høy risiko for avvik på et område, vil det også være større grunn for å anse det nødvendig med dokumentasjon av for eksempel rutiner og andre prosedyrer. Av forarbeidene framkommer det at de viktigste delene av internkontrollen må dokumenteres. Samtidig sies det at det ikke er nødvendig at hver minste del av internkontrollen dokumenteres, og at for omfattende dokumentasjonskrav vil kunne føre til at for mye ressurser brukes på dokumentering slik at dette går utover tjenesteytingen. Grensene og omfanget vil måtte vurderes ut fra forholdene i den enkelte kommunen og den enkelte delen av kommunen. Det er meningen at kommunene innenfor rammene lovbestemmelsen setter, skal kunne gjøre egne vurderinger og ha et visst handlingsrom for hvordan og hvor mye av internkontrollen som skal dokumenteres. Ved vurderingene vil det være naturlig å se hen til hensynene bak dokumentasjonskravet. I Prop. 46 L side 273 står det noe om hensynet bak: "Dokumentasjon er et virkemiddel som skal bidra til å sikre at internkontrollen fungerer som forutsatt. Et dokumentasjonskrav vil bidra til både å øke tilliten til kommunal forvaltning og til å bevisstgjøre kommunen med hensyn til hvordan den interne kontrollen skal planlegges, gjennomføres og følges opp."
2.4.6 Evaluere og forbedre prosedyrer og andre tiltak for internkontroll
Loven (§ 25-1 bokstav e) stiller også krav om å evaluere og ved behov forbedre skriftlige prosedyrer og andre tiltak for internkontroll. Dette kravet er knyttet til selve internkontrollarbeidet. Skriftlige prosedyrer og andre tiltak for internkontroll skal evalueres. Det er ikke noe krav om hvordan evalueringen skal gjøres, men det skal være en evaluering av hvordan den aktuelle virksomheten jobber med internkontroll. Videre er det krav om at dersom det er behov for det, så skal skriftlige prosedyrer og andre tiltak for internkontroll forbedres.
Det er ikke satt noe lovkrav om tidsintervallene for hvor ofte slik evaluering og eventuell forbedring skal gjøres. Det sies at forbedringer skal gjøres dersom det er behov. For å kunne gjøre forbedringer når det er behov, må det naturlig nok gjøres en evaluering av behovet med jevne mellomrom. Kommunene vil her ha et handlingsrom. Av forarbeidene følger det at nødvendige forbedringer skal gjøres innenfor tidsrammer, kostnadsrammer og prioriteringer i kommunen eller. Hensikten med evaluerings- og forbedringskravet vil være relevant i kommunens helhetsvurdering av hvordan de skal innrette arbeidet med evaluering og forbedring. I forarbeidene sies detblant annet .: "Evaluering og forbedring er viktig i arbeidet med internkontroll for å sikre systematisk oppfølging og utvikling som til enhver tid er tilpasset kommunens virksomhet. Dette vil også bidra til langsiktig læring og utvikling i kommunens arbeid med tjenesteyting og internkontroll."
2.5 Elementer som ikke er lovfestet i kommunelovens internkontrollbestemmelse
Sentrale forarbeider:
Prop. 46 L (2017–2018) punkt 23.4.1.3 side 274-275
NOU 2016:4 punkt 24.5.2.10 side 309
Prop. 81 L (2019–2020) punkt 5.6 side 22-23
Kommuneloven § 25-1 lovfester det som er nødvendig i et lovkrav om internkontroll. Internkontrollbestemmelsen viderefører i stor grad mange av elementene som man tidligere kunne finne i internkontrollbestemmelser med kommuneplikter i særlovgivningen, men som nå er opphevet eller endret som del av særlovgjennomgangen som er gjennomført for å følge opp ny internkontrollbestemmelse i kommuneloven, jf. Prop. 81 L. Det er imidlertid også visse elementer som var del av disse internkontrollbestemmelsene som ikke er lovfestet som en del av lovkravet i kommuneloven.
Forarbeidene til kommuneloven klargjør at enkelte elementer ikke hører hjemme i et lovkrav om internkontroll med kommuneplikter, hverken i kommuneloven eller særlovgivningen. Dette fordi disse elementene er for detaljerte til å være del av et lovkrav om internkontroll. For detaljerte internkontrollkrav er uheldig da det vil kunne gjøre kommunenes handlingsrom mindre, og særlig muligheten for konkrete og lokale tilpasninger. Det vil da kunne resultere i en internkontroll som ikke er så effektiv og målrettet som den bør være, og som dermed er i strid med det som er formålet med ny internkontrollregulering i kommuneloven, se omtale av formålet foran i kapittel 1. De elementene som ikke er lovfestet, utgjør også en naturlig del av kommunenes generelle styring og ledelse, og det har ikke vært ønskelig med føringer om generell styring og ledelse i et lovkrav om internkontroll. Kommunene kan selvsagt selv velge å inkludere slike elementer i sin internkontroll, men det vil da være som en frivillig del av internkontrollen og ikke fordi det inngår i lovkravet om internkontroll, se figur 1.1 foran.
Elementer som ikke er lovfestet som del av lovkravet om internkontroll i kommuneloven § 25-1, er at kommunene må benytte kvalifisert personell og sørge for opplæring og kompetanseutvikling, bestemmelser om ansattes tilgang til regelverk og krav om å holde seg oppdatert på regelverk. Heller ikke bestemmelser om kvalitetsarbeid, som for eksempel å sørge for at arbeidstakerne medvirker, å gjøre bruk av erfaringer fra pasienter, tjenestemottakere og pårørende, og krav om å sørge for at virksomheten arbeider systematisk for kvalitetsforbedring, er inntatt.
Enkelte slike elementer er imidlertid allerede omfattet av enkelte ordinære pliktregler i særlovgivningen. Dette kan være krav om kvalifikasjoner, brukermedvirkning og liknende. Eksempel på en slik pliktregel er sosialtjenesteloven § 6 om at kommunen har ansvaret for nødvendig opplæring av kommunens personell i arbeids- og velferdsforvaltningen. Slike pliktbestemmelser vil fortsatt gjelde på samme måte som før. Pliktbestemmelsene må følges, og kommunedirektøren vil ha et ordinært internkontrollansvar for å sikre dette.