24 Internkontroll
24.1 Innledning
For enhver virksomhet er det å ha kontroll med at virksomheten drives i tråd med de mål og rammer som gjelder for virksomheten, en sentral del av styringen og av det å drive en virksomhet. Internkontroll vil kunne sikre at det ikke skjer avvik på vesentlige områder. Dette gjelder selvsagt også for kommuner. Slik kontroll med kommunens virksomhet er viktig både for kommunen selv, for innbyggere og mottakere av tjenester, for folkevalgt styring og for allmennhetens tillit til forvaltningen.
Internkontroll er en del av kommunens egenkontroll. Mens kontroll i regi av kontrollutvalget og revisjonen er styrt av de folkevalgte, er internkontrollen styrt av kommunens administrative leder. Internkontrollen gjelder således kommunens administrasjon, det vil si all virksomhet som ikke er en del av de folkevalgtes roller og oppgaver. God egenkontroll er viktig for det kommunale selvstyret. Med en velfungerende egenkontroll vil også behovet for statlig tilsyn bli mindre.1 Etter utvalgets vurdering er internkontrollen en sentral del av kommunens egenkontroll.
Det foregår mye god internkontroll i mange kommuner i dag, selv om praksis varierer mye. Det finnes også mye lovregulering om internkontroll, både helt overordnet i kommuneloven og mer detaljerte på en rekke områder. Lovgivningen er imidlertid fragmentert og kan derfor være vanskelig tilgjengelig, noe som gir usikkerhet knyttet til både reguleringen og praktiseringen. Flere rapporter og undersøkelser viser et behov for endringer i reglene.2
I utvalgets mandat er det omtalt at utvalget skal vurdere bestemmelsene om internkontroll. Det er videre sagt at utvalget i den forbindelse kan vurdere om eksisterende bestemmelser om internkontroll i spesiallovgivningen bør oppheves og eventuelt innarbeides i ny kommunelov eller erstattes av nye bestemmelser i kommuneloven. Utvalget vil i dette kapitlet gå gjennom dagens regelverk, rapporter og undersøkelser og drøfte nærmere behovet for endringer.
Utvalget foreslår å innføre en ny og mer omfattende bestemmelse om internkontroll i kommuneloven. Denne skal bidra til å styrke internkontrollen ved å gjøre reguleringen av internkontrollen tydeligere og mer helhetlig. Samtidig skal ikke bestemmelsen være en uttømmende regulering av all internkontroll som gjøres. Bestemmelsen skal angi et lovkrav om hva som etter kommuneloven minimum må gjøres av internkontroll. Kommunene vil selvsagt kunne utføre annen og mer omfattende internkontroll i tillegg – enten fordi det følger av andre lovkrav, eller fordi de selv ønsker det. Bestemmelsen skal erstatte særlovgivningens bestemmelser om internkontroll for kommuneplikter (plikter som bare er pålagt kommuner) med mindre særlige forhold tilsier noe annet. Særlovgivningen må gjennomgås i en egen prosess med tanke på at lovbestemmelser og tilhørende forskrifter om internkontroll kan oppheves slik at kun kommunelovens internkontrollbestemmelse skal gjelde. Dette vil også inkludere tilhørende forskrifter om internkontroll. Dersom gjennomgangen av særlovgivningen viser behov for å beholde enkelte bestemmelser, skal særlovgivningens regulering begrenses til slike.
24.2 Bakgrunn
Det har vært skrevet og utredet mye om internkontroll både generelt og i kommunal sektor. Utvalget skal ikke her foreta noen fullstendig gjennomgang av utredninger om internkontroll, men vil kort omtale noen av de mest sentrale bidragene fra den senere tid. Dette vil først og fremst være det som gjelder interkontroll i kommunene generelt, og ikke det som er skrevet om internkontroll i ulike sektorer.
I 2008 leverte Agenda en rapport til Kommunal- og regionaldepartementet med tittelen Internkontroll i norske kommuner. Målet var å undersøke hvordan kommunelovens bestemmelse om internkontroll (§ 23) ble praktisert i kommunene. Hovedkonklusjonen var at det var en utfordring for administrasjonssjefene i kommunene å forstå hva som ligger i bestemmelsen og i lovens begrep betryggende kontroll. Det var også en stor utfordring å etablere gode systemer for internkontroll.
Blant annet som en oppfølging av denne rapporten oppnevnte Kommunal- og regionaldepartementet en arbeidsgruppe med relevant fagkompetanse som fikk i mandat å se på kommunenes egenkontroll som helhet. Arbeidsgruppen avga sin rapport, 85 tilrådingar for styrkt eigenkontroll i kommunane, i 2009. Som en del av arbeidet ble det bestilt en rapport fra PriceWaterhousCoopers (PwC), Internkontroll i kommuner, som skulle innhente kunnskap om hvordan internkontroll ble praktisert i kommuner, og gi tilrådinger om hvordan internkontrollen kunne styrkes. Arbeidsgruppen hadde flere tilrådinger om internkontroll. Sentralt var at kommunene selv måtte jobbe for å styrke internkontrollen, og at dette arbeidet måtte ses i sammenheng med å sikre kvalitet i tjenestene, effektiv ressursbruk og god folkevalgt styring. Administrasjonssjefen burde evaluere dagens internkontroll og metoder for denne, og basere videre utvikling av internkontroll på en risikoanalyse. Arbeidsgruppen pekte også på behovet for veiledning om gjennomføring av helhetlige risikoanalyser i kommunene. Videre var det en tilråding at internkontrollarbeidet skal henge sammen med og være en del av organisasjonsutviklingen i kommunen. Administrasjonssjefen burde årlig rapportere om arbeidet med internkontroll til kommunestyret, og det burde vurderes å ta inn et slikt rapporteringskrav i kommuneloven. Arbeidsgruppen mente også at staten burde gi kommunene en oppdatert oversikt over lover og forskrifter med internkontrollkrav, og de pekte på behovet for en veileder med konkrete råd om internkontrollarbeidet i kommunene. En slik veileder burde blant annet si noe om risikovurderinger, utforming av kontrollaktiviteter, oppfølging og vedlikehold av kontrollregimet og samspillet mellom internkontroll og andre deler av egenkontrollen og styringssystemet. Arbeidsgruppen mente videre at det ikke burde være flere og mer detaljerte nasjonale regler enn det allerede er.
Tilrådingene om veiledning ble fulgt opp på flere måter. Kommunal- og regionaldepartementet utga i februar 2011 en veileder om kontrollutvalg, Kontrollutvalgsboken. Der er det tatt inn eksempler på hvilke undersøkelser kontrollutvalget kan gjøre for å sjekke at internkontrollen i kommunen er tilfredsstillende.3 Indirekte blir dette også indikasjoner på hvordan et tilstrekkelig system for internkontroll bør være. I 2012 ga KS, med støtte fra Kommunal- og regionaldepartementet, ut et idéhefte/en rapport, Rådmannens internkontroll. Hvordan få orden i eget hus?. Målsettingen var å styrke internkontrollen ved å gi konkrete råd og veiledning for kommunens arbeid med internkontroll.
Kommunal- og regionaldepartementet utga i desember 2012 Retningslinjer for utforming av lover og forskrifter rettet mot kommunesektoren. Der ble regler om internkontroll omtalt slik:
12. Krav til internkontrollen i kommunene
De kravene som statlig regelverk stiller til internkontrollen i kommunene skal bare knyttes til kommunenes etterlevelse av lover og forskrifter, inkludert rettslige normer forankret i lov og forskrift. Lovforarbeider, utfyllende forskrifter, veiledningsmateriell eller liknende bør slå fast at kommunene bør tilpasse internkontrollen til lokale forhold, virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Dokumentasjonskrav må ikke føre til unødvendig byråkratisering.
I Meld. St. 12 (2011–2012) Styring og samspel sier departementet blant annet:
Målet med internkontrollen er systematisk å auke mulegheita til å nå fastsette mål. I dette arbeidet er det viktig at organisasjonen fangar opp dei viktige feila og lærer, slik at det blir færre feil over tid. I og med at internkontroll er definert som ein prosess, kan systema og rutinane alltid bli betre, og dei må tilpassast endringar i verksemda og omgjevnadene. Internkontrollen skal redusere risikoen for uønskte hendingar, men kan aldri fjerne all risiko.
Meldingen peker videre på at internkontroll dreier seg om ledelse og systematisk arbeid lokalt, ikke regelverk:
I forholdet mellom staten og kommunane kan det oppstå ei spenning mellom kva staten meiner det er behov for å regulere, og kva kommunane meiner det vil vere mest tenleg og effektivt at dei finn ut av sjølve. (…) Internkontrollarbeidet vil gje størst effekt lokalt dersom merksemda er retta mot dei områda som lokale risiko- og sårbarheitsanalysar peikar ut.
I meldingen sier departementet videre at det slutter seg til synspunktet til arbeidsgruppen bak rapporten 85 tilrådingar for styrkt eigenkontroll i kommunane om at den administrative styringen og kontrollen bør styrkes. Reglene bør legge til rette for lokalt arbeid med internkontroll og styring, og de bør ikke være unødvendig omfattende. Et samordnet regelverk vil kunne gi bedre lærings- og forbedringsprosesser på tvers av sektorene og gi bedre helhetlig styring. Det pekes også på et behov for mer kunnskap om hvordan regelverket fungerer. Meldingen konstaterte et behov for mer kunnskap om effektene av særlovgivningens krav til internkontrollen og det statlige tilsynet med internkontrollen. Meldingen varslet et forskningsprosjekt om regelverket om internkontroll som likevel ikke ble gjennomført på grunn av mangel på tilbydere. Meldingen pekte på et mål om et mer samordnet regelverk om internkontroll.
Internkontroll er også omtalt i rapport fra NIBR4 2013/20 – Hvordan påvirker det statlige tilsynet kommunene og det lokale selvstyret? I rapporten omtales blant annet «prosedurale krav», det vil si andre krav enn det som direkte gjelder tjenestenes innhold. Regler om internkontroll vil inngå i denne gruppen. En av konklusjonene eller anbefalingene i rapporten er at slike prosedurale krav må etterleves bedre av kommunene. Rapporten anbefaler videre at det totale omfanget av slike krav må reduseres. Systemkravene er, etter NIBRs oppfatning, for ambisiøse til at det er realistisk å ivareta alle. Videre sies det at alt tilsyn utover det hendelsesbaserte bør utføres som kontroll av kommunens internkontroll (systemrevisjon). En bedret internkontroll og generelt bedret kommunal etterlevelse av prosedurale bestemmelser skal gjøre det mulig for regionale tilsynsmyndigheter å utnytte data fra internkontrollen i sin tilsynsvirksomhet.
Riksrevisjonen mener i Dok 3:7 (2012–2013) Riksrevisjonens undersøking av kommunane si styring og kontroll med tenester med nasjonale mål blant annet at internkontrollen i mange kommuner ikke er bra nok. Det sies at mange kommuner har for svak styring og kontroll med tjenester som er viktige for brukerne. Riksrevisjonen etterlyser både mer rapportering og informasjon til kommunestyret om tilstanden på viktige tjenesteområder og at administrasjonssjefene får bedre kontroll med tilstanden i tjenestene. Når det gjelder det siste, vises det til at administrasjonssjefene i stor grad delegerer myndighet til de tjenesteutøvende sektorene i kommunen, og at dette forutsetter at det er etablert rutiner og systemer som sikrer tilstrekkelig styringsinformasjon til å ha forsvarlig («betryggende») kontroll. Det påpekes videre at administrasjonssjefene i varierende grad sørger for at det er etablert internkontroll med utvalgte sektorkrav i tjenestene, og at få administrasjonssjefer har gjennomført skriftlige risikovurderinger av kvaliteten i tjenestene. I rapporten bemerkes også at ulike statlige sektorkrav og kommunestørrelse påvirker styringen og kontrollen i kommunene. På bakgrunn av funnene i undersøkelsen mener Riksrevisjonen at det er risiko for at mange administrasjonssjefer ikke har tilstrekkelig grunnlag for kontroll med tilstanden i tjenestene, og at dette kan føre til at lovbrudd ikke avdekkes, at man ikke får oversikt over problemområder, at man ikke setter i verk nødvendige forbedringsprosesser, at man ikke når nasjonale og lokale mål, og at brukerne ikke får tilfredsstillende tjenester. Når det gjelder lovreguleringen, påpeker Riksrevisjonen at bestemmelsen i kommuneloven om internkontrollen til administrasjonssjefen er overordnet utformet, og at det ikke er satt krav til særskilte systemer eller aktiviteter. Som tiltak peker Riksrevisjonen blant annet på at det er behov for et mer samordnet og forenklet regelverk for internkontroll for kommunesektoren, som også er tilpasset behovet til små kommuner.
Konsulentselskapet Deloitte kom i desember 2014 med rapporten Evaluering. Kontrollutvalg og kontrollutvalgssekretariat. Denne inneholder ikke så mye om internkontroll, men i forbindelse med arbeidet med rapporten sendte Deloitte innspill til kommunelovutvalget om internkontroll. Innspillene bygger på innlegg og diskusjon fra et møte med kontrollutvalget i Sogn og Fjordane 25. november 2014. Deloitte mener at internkontroll er mangelfullt beskrevet i kommuneloven § 23 og § 20, og at det er en krevende og utydelig rettsregel:
Regelverket, lov eller forskrift, har et potensial til å sette sterkere føringer når det gjelder krav om innhold i internkontrollen i kommuner. En idé er å samle grunnprinsippene i internkontroll og lovfeste dem i kommuneloven, samt kreve at fag/tjenesteområdene i kommunen skal etterleve kravene og være utformet i samsvar med risiko og vesentlighet på området. Inspirasjon til dette kan hentes fra økonomiregelverket i staten Bestemmelsene 2–4, 3 hvor elementene i internkontroll fremkommer, om enn ikke helt optimalt, og som korresponderer med internasjonalt anerkjente rammeverk innen internkontroll COSO, CoCo Cobit mm. Et vesentlig moment er at internkontrollforskriftene mangler det mest essensielle i all internkontroll, nemlig et klart krav til helhetlig kontrollmiljø.
For øvrig skal det helt kort nevnes at COSO (Comittee of Sponsoring Organizations of the Treadway Commision) er en privat organisasjon som har utarbeidet et rammeverk for internkontroll som er blitt internasjonalt anerkjent. Rammeverket er laget med utgangspunkt i privat virksomhet og den internkontrollen som der bør gjøres, men er også i stor grad lagt til grunn og anerkjent i det offentlige. I rammeverket (2013) sies det blant annet følgende om begrepet internkontroll:5
Internkontroll er en prosess, utført av en virksomhets styre, ledelse og øvrige ansatte, utformet for å gi rimelig sikkerhet for oppnåelse av målsettinger relatert til drift, rapportering og etterlevelse.
Denne definisjonen reflekterer noen grunnleggende konsepter, nemlig at internkontroll:
er rettet mot oppnåelse av målsettinger i én eller flere kategorier – drift, rapportering og etterlevelse
er en prosess som består av løpende oppgaver og aktiviteter – et middel for å nå et mål, ikke et mål i seg selv
igangsettes og gjennomføres av mennesker og omfatter ikke bare håndbøker, systemer og skjemaer, men også mennesker og de handlingene de utfører på alle nivå i organisasjonen for å ivareta internkontrollen
kan gi rimelig sikkerhet – men ikke absolutt sikkerhet, til virksomhetens toppledelse og styre
kan tilpasses virksomhetens struktur – kan anvendes på hele virksomheten eller på et datterselskap, en divisjon, en driftsenhet eller en forretningsprosess
Definisjonen er bevisst gjort vid. Den inneholder viktige begreper som er grunnleggende for hvordan organisasjoner utformer, implementerer og gjennomfører internkontroll i hele organisasjonen, uavhengig av virksomhetsstruktur, bransje og geografisk beliggenhet.
I økonomireglementet for statlig virksomhet6 er det også bestemmelser om internkontroll som bygger på COSOs definisjon av internkontroll.7 Direktoratet for økonomistyring har også flere veiledere om dette. Dette kan være relevant som sammenligningsgrunnlag selv om det ikke kommer til anvendelse på kommuner og deres virksomhet.
24.3 Gjeldende rett
24.3.1 Kommuneloven
I kommuneloven § 23 står det at «[a]dministrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll».
Bestemmelsen kom inn i loven i 2003, og målet var å tydeliggjøre i lovteksten at administrasjonssjefen har et ansvar for å føre kontroll med administrasjonens virksomhet, se Ot.prp. nr. 70 (2002–2003). Endringen omtales slik i merknadene til bestemmelsen:
Forslaget antas ikke å innebære noen realitetsendring i forhold til gjeldende rett. Siktemålet er å tydeliggjøre at administrasjonssjefen har et ansvar for å føre kontroll med virksomheten. Selv om administrasjonssjefen etter kommuneloven i dag ikke eksplisitt er pålagt å etablere internkontroll, må ansvaret for slik kontroll regnes som en nødvendig del av administrasjonssjefens ledelsesansvar. Det er i tråd med allment aksepterte ledelsesprinsipper at en leder av en virksomhet etablerer rutiner og systemer som bl.a. skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte.
Forarbeidene omtaler dette videre som internkontroll og nevner i den forbindelse det å etablere rutiner og systemer som bl.a. skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på forsvarlig måte. Videre sies det:8
Internkontroll defineres i videste forstand som en prosess, iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre måloppnåelse på følgende områder:
Målrettet og effektiv drift
Pålitelig ekstern informasjon
Overholdelse av gjeldende lover og regelverk.
I Meld. St. 12 (2011–2012) Styring og samspel sies det om bestemmelsen at den «inneber både eit ansvar for å ha tilstrekkeleg kontroll og eit krav om prosess for å sikre kontroll, men ho er elles svært overordna og krev ikkje særskilde system eller aktivitetar som til dømes risikovurderingar».
For parlamentarisk styrte kommuner finnes en tilsvarende bestemmelse i kommuneloven § 20 som sier at «kommunerådet og fylkesrådet skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll».
Videre er det i bestemmelsen om årsberetning, jf. kommuneloven § 48, sagt at årsberetningen også skal redegjøre «for tiltak som er iverksatt og tiltak som planlegges iverksatt for å sikre betryggende kontroll og en høy etisk standard i virksomheten». Kontrollen er således et anliggende som kommunestyret, som øverste organ, skal orienteres om i årsmeldingen.
Det følger også av kommuneloven § 76 at kommunestyret har det overordnede tilsyn med forvaltningen.
24.3.2 Særlovgivning
I særlovgivningen finnes det en rekke bestemmelser om internkontroll. Noen er internkontrollbestemmelser som gjelder for alle som driver en aktivitet eller tilbyr en tjeneste (aktørplikter). Dette er for eksempel arbeidsmiljølovens bestemmelser innen HMS (helse, miljø og sikkerhet) og personopplysningslovens bestemmelser om personvern. Mange bestemmelser gjelder spesifikke kommunale oppgaver (kommuneplikter). Eksempler her er sosialtjenesteloven, helse- og omsorgstjenesteloven, barnevernloven og opplæringsloven.
Regelverk om interkontroll i særlovgivning med forskrifter vil etter de alminnelige rettsprinsipper gå foran kommunelovens bestemmelser om internkontroll.9 Kommunelovens bestemmelser blir således utfyllende ved at de kommer til anvendelse på de områder der det ikke finnes særlovgivning, eller utdyper der særlovgivningen ikke er like detaljert. I praksis er ikke det siste alternativet så aktuelt i dag, i og med at kommuneloven er veldig generelt utformet og særlovgivningen stort sett er mer detaljert.
Innholdet i bestemmelsen i særlovene varierer, og begrepet internkontroll er ikke alltid brukt direkte. Slike bestemmelser fastslår imidlertid gjerne at kommunen (eller annen formulering som også inkluderer private tjenesteytere) skal ha en form for internkontroll for å sikre at de utfører oppgavene sine i samsvar med krav fastsatt i lov eller i medhold av lov. Noen lover har ytterligere bestemmelser om dokumentasjonskrav og lignende, og mange lover har også en forskriftshjemmel.
Forskriftene om internkontroll er ofte omfattende og kan inneholde detaljerte bestemmelser om formål, virkeområde, definisjon av internkontroll, innholdet i internkontrollen og dokumentasjonskrav. Én definisjon av internkontroll som er brukt i flere forskrifter, er at internkontroll er «systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lov om …».
Mange av forskriftene er relativt like, selv om det er noe variasjoner. Som eksempel på en slik forskrift gjengis her internkontrollforskriften i helse- og omsorgstjenesten:10
§ 1. Formål
Formålet med forskriften er å bidra til faglig forsvarlige helse- og omsorgstjenester og at helse- og omsorgslovgivningen oppfylles gjennom krav til systematisk styring og kontinuerlig forbedringsarbeid i tjenestene.
§ 2. Virkeområde
Forskriften gjelder de virksomheter som omfattes av helse- og omsorgslovgivningen og er pålagt internkontrollplikt etter lov om statlig tilsyn med helse- og omsorgstjenesten § 3.
§ 3. Internkontroll
I denne forskriften betyr internkontroll systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av sosial- og helselovgivningen.
§ 4. Innholdet i internkontrollen
Internkontrollen skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold og ha det omfang som er nødvendig for å etterleve krav fastsatt i eller i medhold av sosial- og helselovgivningen.
Internkontroll innebærer at den/de ansvarlige for virksomheten skal:
a) beskrive virksomhetens hovedoppgaver og mål, herunder mål for forbedringsarbeidet samt hvordan virksomheten er organisert. Det skal klart fremgå hvordan ansvar, oppgaver og myndighet er fordelt,
b) sikre tilgang til aktuelle lover og forskrifter som gjelder for virksomheten,
c) sørge for at arbeidstakerne har tilstrekkelig kunnskap og ferdigheter innenfor det aktuelle fagfeltet samt om virksomhetens internkontroll,
d) sørge for at arbeidstakerne medvirker slik at samlet kunnskap og erfaring utnyttes,
e) gjøre bruk av erfaringer fra pasienter/tjenestemottakere og pårørende til forbedring av virksomheten,
f) skaffe oversikt over områder i virksomheten hvor det er fare for svikt eller mangel på oppfyllelse av myndighetskrav,
g) utvikle, iverksette, kontrollere, evaluere og forbedre nødvendige prosedyrer, instrukser, rutiner eller andre tiltak for å avdekke, rette opp og forebygge overtredelse av sosial- og helselovgivningen,
h) foreta systematisk overvåking og gjennomgang av internkontrollen for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring i virksomheten.
§ 5. Dokumentasjon
Internkontrollen skal dokumenteres i den form og det omfang som er nødvendig på bakgrunn av virksomhetens art, aktiviteter, risikoforhold og størrelse.
Dokumentasjonen skal til enhver tid være oppdatert og tilgjengelig.
24.4 Nordisk rett
I rapporten Kommunelovene i Norden. En kartlegging og sammenligning fra 2013 finnes en sammenligning og analyse av bestemmelsene om internkontroll i kommunelovene i Norden.11 Her gis en kort oppsummering av rapportens funn om internkontroll. Der utvalget er kjent med endringer eller prosesser fra tiden etter at rapporten ble skrevet, er det også omtalt.
I alle landene har det øverste folkevalgte organet et overordnet ansvar for internkontrollen, og for at denne er tilfredsstillende organisert.
I Norge, Danmark og Finland har øverste ansatte leder i kommunen ansvaret for løpende internkontroll og risikovurderinger som en del av den daglige ledelsen. Dette er eksplisitt sagt i kommunelovene i Norge og Finland, mens i Danmark ligger det innbakt i borgermesterens ledelsesoppgave. Sverige har ikke lovregler om den kommunale administrasjonen.12
I Finland har kommunstyrelsen et overordnet ansvar for internkontrollen. I lovendringer som tok til å gjelde i 2014, har lovgiver tatt sikte på å styrke internkontrollen og risikohåndteringen i kommunene. Følgende lovendringer er vedtatt: fullmäktiges rolle er synliggjort, kommunene pålegges å gi bestemmelser om fordelingen av oppgaver og ansvar for internkontrollen i förvaltningsstadgan, kommunstyrelsen skal i årsberetningen rapportere hvordan internkontrollen og risikovurderinger er håndtert, og trekke konklusjoner ut av dette, samt ved at revisorene har fått plikt til å undersøke hvorvidt den interne kontrollen og risikohåndteringen er ordnet på behørig måte. Også styret (direktionen) og daglig leder i kommunale affärsverk, får etter de nye reglene en klar plikt til å sørge for risikovurderinger som en del av internkontrollen.
I Sverige ligger ansvaret for at det skjer internkontroll hos de folkevalgte nämndene (herunder kommunstyrelsen).
Revisjonen har som en uttrykkelig lovfestet oppgave å se til at internkontrollsystemene er forsvarlige i Sverige og Finland. I Norge følger denne oppgaven13 delvis av revisjonsforskriften. I Danmark anses fokus på interne kontrollsystemer som en del av den løpende forvaltningsrevisjonen som utføres i forbindelse med den finansielle revisjonen.
Finland og Sverige har ikke egne regler om internkontroll i forhold til kommuneplikter i særlovgivningen. Dette i motsetning til Norge, som har slike regler på områder der staten fører tilsyn med hvorvidt kommunen oppfyller sine lovbestemte plikter etter særlov. Danmark har noen slike internkontrollregler i sosiallovgivningen og i opplæringslovgivningen samt i forbindelse med særlige statlige refusjonsordninger. Krav i særlovgivningen til internkontrollen i kommunene er således først og fremst et særnorsk fenomen.
24.5 Utvalgets vurderinger
24.5.1 Behov for endringer i kommunelov og særlovgivning
Internkontroll er nødvendig for å ha kontroll med kommunens administrasjon. En god internkontroll vil bidra til at kommunene i større grad drives i tråd med gjeldende lover og forskrifter, og at administrasjonen følger opp mål og vedtak de folkevalgte organer har fastsatt. Dette er igjen viktig for at innbyggerne skal sikres det de har krav på, for at lokaldemokratiet fungerer ved at beslutninger fra de folkevalgte faktisk følges opp, og for å unngå misligheter og korrupsjon og så videre. Internkontrollen har således stor betydning både fra et samfunnsmessig perspektiv og for enkeltpersoner.
Det er kommunedirektøren som har ansvaret for interkontrollen, men i praksis må hele administrasjonen delta. Hele kommunen må inngå i de internkontrolltiltakene som iverksettes, det vil si risikovurderinger, formalisering og eventuelle kontrollaktiviteter. Et godt og samordnet regelverk vil styrke arbeidet med internkontroll i kommunene. For folkevalgte organer tydeliggjør internkontrollregler kommunedirektørens kontrollansvar. Overfor innbyggerne vil regler om internkontroll bidra til trygghet for at kommunen følger opp viktige elementer som rettsriktige vedtak, gode tjenester, effektiv drift og arbeid mot misligheter, korrupsjon og uheldige hendelser. Overfor staten vil regler om internkontroll gi tillit til at kommunene har en god oppfølging internt. Dette kan igjen gi grunnlag for økt kommunalt selvstyre og redusert statlig tilsyn og styring.
Det finnes regler om internkontroll både i kommuneloven og i andre lover. Spørsmålet her er om det er behov for endringer i dagens regelverk. Utvalget har gjennomgått de rapporter, meldinger og så videre fra den senere tid som er omtalt i punkt 24.2, hvor det påpekes at den internkontroll som gjøres i kommunene i dag, i mange tilfeller ikke er bra nok. Det blir også pekt på at regelverket er komplisert og lite helhetlig, og at det er behov for endringer.
Etter utvalgets vurdering er det behov for endringer som kan bidra til å styrke internkontrollen ved å gjøre den mer målrettet, helhetlig og effektiv. Utvalget mener regelverket bør bli enklere, tydeligere og mer helhetlig. Utvalget mener også at internkontroll på kommuneplikter (plikter som bare er pålagt kommuner) i hovedsak bør reguleres i kommuneloven, og ikke i særlovgivning. Utvalget vil i det følgende utdype og begrunne dette nærmere.
Utvalgets mandat
Det ligger i utvalgets mandat å vurdere tiltak for å styrke egenkontrollen. Etter utvalgets vurdering vil en styrking av internkontrollen, i form av en bedre og mer effektiv internkontroll, være et viktig tiltak for å styrke kommunens samlede egenkontroll. Internkontroll er en løpende prosess som bør tilpasses risikoforholdene og de lokale og konkrete forholdene i den enkelte kommune. En tydeliggjøring av dette og de sentrale elementene i en god internkontroll generelt i kommuneloven vil bidra til en bedre og mer effektiv internkontroll. Dette vil kunne gjøre kommunene bedre i stand til å drive sin virksomhet på en god og effektiv måte, noe som igjen vil kunne styrke det kommunale selvstyret. Etter utvalgets vurdering vil også en god internkontroll, og en god egenkontroll generelt, minske behovet for statlig tilsyn.
Situasjonen i dag
Som beskrevet foran, under punkt 24.3 Gjeldende rett, finnes det lovbestemmelser om internkontroll både i kommuneloven og i særlovgivningen. Lovgivningen er imidlertid fragmentert og vanskelig tilgjengelig, noe som gir mye usikkerhet knyttet til både reguleringen og praktiseringen. Som det fremgår av flere av rapportene og undersøkelsene som er omtalt foran, under punkt 24.2, er det et relativt stort behov for å styrke internkontrollen i mange kommuner. Utvalget viser her blant annet til Riksrevisjonens rapport fra 2012/2013 hvor det sies at mange kommuner har for svak styring og kontroll med tjenester som er viktige for brukerne. Riksrevisjonen etterlyser både mer rapportering og mer informasjon til kommunestyret om tilstanden på viktige tjenesteområder og at administrasjonssjefene får bedre kontroll med tilstanden i tjenestene. Når det gjelder det siste, påpeker Riksrevisjonen konkret at det er behov for et mer samordnet og forenklet regelverk for internkontroll. Utvalget er enig i dette.
Kommunelov
Etter utvalgets vurdering må en styrking av internkontrollen først og fremst skje ved det løpende arbeidet som foregår i den enkelte kommune.
Utvalget mener imidlertid at en endring i lovreguleringen kan bidra til at dette lokale arbeidet styrkes, og at det uansett er behov for et regelverk som er bedre og mer samlet og helhetlig enn dagens. Dagens bestemmelse om internkontroll i kommuneloven er ordknapp og litt bortgjemt, men inneholder likevel det helt sentrale når det gjelder internkontroll. Dagens bestemmelse er vanskelig å tolke og anvende, og det er således behov for en klarere og tydeligere bestemmelse. En utvidelse og tydeliggjøring av bestemmelsen i kommuneloven vil kunne gi mer fokus på det generelle arbeidet med internkontroll i kommunene og på tydelige roller, oppgaver og ansvar. Et styrket fokus på internkontroll vil forhåpentlig gi bedre internkontroll.
En styrket internkontrollbestemmelse i kommuneloven vil også kunne redusere behovet for å regulere internkontroll i særlovgivningen. Dette vil igjen kunne gjøre både regelverket og arbeidet med internkontroll mer oversiktlig og helhetlig for kommunene. I tillegg er det et mål å forenkle lovgivningen, slik at fokuset blir på selve internkontrollarbeidet, og ikke på lovtolkninger.
Særlovgivning
Reguleringen av internkontroll i særlovgivningen er i dag omfattende. Grensen mellom den styringen som kommuneloven krever, og den som særlovgivningen krever gjennom sine internkontrollbestemmelser, er uklar. Generelt kan det sies at kommuneloven stiller overordnede krav om en helhetlig internkontroll, mens særlovgivningen gjerne har mer detaljerte krav til arbeidet med internkontroll i kommunen.
Utvalget mener det er utfordrende for kommunene å holde oversikt over mange ulike regelsett og ulike internkontrollkrav. Mange av bestemmelsene er svært detaljerte, og noen inneholder krav som fremstår som unødvendige. Det kan også være snakk om dobbeltregulering og kanskje overlappende bestemmelser som kan skape tolkningsproblemer. For kommunene kan så mange ulike regelsett og internkontrollkrav også være utfordrende når det gjelder gjennomføringen av internkontrollen. De mange særlovskravene kan videre føre til en mer eller mindre uønsket vridning av kontrollinnsatsen. Dette fordi et så omfattende og detaljert regelverk gir lite rom for lokale prioriteringer og vurderinger i arbeidet.
Utvalget mener at det hadde vært en fordel med et mer enhetlig og samordnet regelverk om internkontroll. Det vises her til Riksrevisjonen rapport som er omtalt i punkt 24.2, hvor det gis uttrykk for et behov for et mer samordnet og forenklet regelverk for internkontroll. Dette støttes av NIBR-rapporten, som også er omtalt foran, hvor det gis uttrykk for at det er for mange og ambisiøse systemkrav, og at det er behov for å redusere omfanget av dette. Også i Meld. St. 12 (2011–2012) pekes det på at regelverket om internkontroll bør være mer samordnet.
Utvalget mener det bør være et mål å få et enklere og mer enhetlig regelverk. Ett grep for å få til det er å samle alle internkontrollbestemmelsene i kommuneloven. Regulering av internkontroll passer tematisk inn i kommuneloven. Internkontroll handler om kommunens organisering og virksomhet generelt. Det faktum at mye av særlovgivningen også er lik, viser at reguleringen like gjerne kan samles i en lov som gjelder kommunene generelt.
Et annet grep er å forenkle reglene slik at de ikke blir så omfattende og detaljerte som mange av dagens bestemmelser er. Utvalget foreslår å samle de viktigste prinsippene og elementene fra dagens fragmenterte regulering om internkontroll i en ny bestemmelse om internkontroll i kommuneloven. En del av elementene i dagens særlovgivning er for detaljerte og kan derfor, etter utvalgets vurdering, med fordel slettes. Hovedelementene fra dagens sektorlovgivning foreslås imidlertid tatt inn i en ny bestemmelse i kommuneloven. Det nærmere innhold av en ny bestemmelse og forholdet til dagens regelverk omtales nærmere nedenfor, i punkt 24.5.2.
Utvalget mener at det som en oppfølging av arbeidet med ny kommunelov må foretas en gjennomgang av særlovgivningen om internkontroll, med sikte på å oppheve sektorvise internkontrollbestemmelser om kommuneplikter. Dette arbeidet bør styres av Kommunal- og moderniseringsdepartementet, slik at det kan leveres en samlet proposisjon om gjennomgangen til Stortinget. Utgangspunktet for gjennomgangen er at særlovgivning om internkontroll av kommuneplikter skal oppheves. Dersom det foreligger særlige grunner til at det er behov for regulering i særlovgivningen, bør slik lovgivning kun regulere det som kommer i tillegg til reguleringen i kommuneloven, slik at dobbeltregulering unngås. Slike særlige forhold eller behov kan for eksempel være EU-direktiver som tilsier andre eller mer detaljerte regler, eller det kan være et behov for å ha noen bestemmelser som sørger for at private tjenesteytere som i dag er omfattet av internkontrollbestemmelser, også blir omfattet av internkontrollkravene i ny kommunelov, for eksempel gjennom en bestemmelse i sektorloven som gjør kommunelovens paragraf om internkontroll gjeldende for de aktuelle private aktørene. Er det et reelt behov for nærmere regulering i forskrift, må særlovgivningen også inneholde en forskriftshjemmel. Slik regulering i særlovgivningen bør imidlertid kun være unntaksvis og begrunnet ut fra særskilte behov og nasjonale hensyn.
24.5.2 Innholdet i ny bestemmelse om internkontroll
En ny bestemmelse om internkontroll i kommuneloven skal så langt det er mulig, erstatte dagens sektorregulering og således innebære et mer samordnet og helhetlig regelverk for kommunene. Regelverket skal bli enklere å håndtere og internkontrollen bedre og mer målrettet. Det er særlig viktig at kommunene kan gjøre konkrete vurderinger og prioriteringer i egen kommune, slik at internkontrollen kan rettes mot områdene der det til enhver tid er størst behov. Dette for at en styrking av internkontrollen skal medføre bedre, men ikke nødvendigvis mer, internkontroll. Internkontrollen må være målrettet slik at vesentlige feil ikke oppstår, og slik at svakheter oppdages. Kontrollen skal være en levende og løpende prosess som kommunene lærer av, og som stadig gjør virksomheten og tjenesteytingen bedre.
Innholdet i en ny bestemmelse om internkontroll i kommuneloven bør være mer omfattende enn dagens bestemmelse i kommuneloven. Den bør ta opp i seg de sentrale elementene fra reguleringen av internkontroll i sektorlovgivningen. Samtidig bør den ikke være så detaljert som mye av dagens regulering av internkontroll i sektorlovgivningen er. Bestemmelsen er ikke ment å skulle fange opp all kontroll som en kommune kan tenkes å gjøre internt, men skal lovfeste en plikt til å ha en internkontroll på et visst minimumsnivå, se nærmere omtale og figur nedenfor, i punkt 24.5.2.1.
Etter utvalgets vurdering er det helt sentralt for en god internkontroll at den er systematisk, og at det gjøres risiko- og vesentlighetsvurderinger som kan ligge til grunn for prioriteringer og en internkontroll som er tilpasset virksomheten. Videre er det sentralt at avvik og risiko for avvik følges opp, og at internkontrollen dokumenteres. Dette er elementer fra dagens sektorregulering som foreslås videreført i en ny bestemmelse i kommuneloven.
I det følgende vil det nærmere innholdet i en ny internkontrollbestemmelse gjennomgås. Til slutt vil utvalget si litt om elementer fra særlovgivningen som ikke foreslås videreført.
24.5.2.1 Begrepet internkontroll
Dagens bestemmelse i kommuneloven bruker ikke direkte begrepet internkontroll. I lover og forskrifter for sektoren er imidlertid begrepet benyttet. Begrepet brukes i ulike rammeverk og andre sammenhenger som et faguttrykk og kanskje med et noe ulikt innhold. Det kan således spørres om det er et egnet begrep å benytte i lovteksten, og hvordan begrepet i så fall skal defineres.
I forarbeidene til dagens internkontrollbestemmelse i kommuneloven brukes begrepet, men det er ingen direkte definisjon av hva internkontroll egentlig er. I forbindelse med internkontroll sies at «leder av virksomhet etablerer rutiner og systemer som bl.a. skal bidra til å sikre at organisasjonen når de mål som er satt, og at formuesforvaltningen er ordnet på en forsvarlig måte».
I sektorreguleringen finnes det flere forskrifter14 som definerer internkontroll som:
[s]ystematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lov om …
I Meld. St. 12 (2011–2012) Styring og samspel sies det at internkontroll ikke er et fast rettslig eller faglig begrep, og det understrekes at begrepet ikke bare dreier seg om kontroll, men minst like mye om styring. Videre sies det at én av flere definisjoner er at »[i]nternkontroll er dei systema og rutinane som administrasjonssjefen etablerer for å sikre tilstrekkeleg styring, måloppnåing og regeletterleving». For øvrig brukes ikke der begrepet internkontroll, men det snakkes i stedet om intern styring og kontroll. Tanken bak en slik ordbruk var å gjøre det klarere at det man søker å regulere, er hvordan administrasjonen internt styres og kontrolleres, det vil si at man trår lederfunksjonen svært nær. I Kommunal- og moderniseringsdepartementets veileder fra 2015, Kontrollutvalgsboken, er internkontroll definert på samme måte.
I tillegg finnes det, som omtalt i punkt 24.2, flere rapporter og veiledninger om internkontroll som omtaler og definerer internkontroll nærmere. Begrepsbruken varierer mye i ulike dokumenter. Det er særlig forholdet mellom kontroll, styring, ledelse og så videre som varierer. Mange steder omtales styring og kontroll som noe samlet, og forholdet mellom disse begrepene kan være noe uklart.
Etter utvalgets vurdering er styring et vidt begrep som inkluderer både internkontroll og andre sentrale ledelseselementer, som å sette mål for virksomheten. Internkontroll kan beskrives som systematiske aktiviteter og tiltak som gjennomføres for å sikre at mål og krav oppnås. Internkontrollen er således en viktig del av styringen.
Internkontroll er altså et vanskelig og ikke entydig begrep. Det er imidlertid et etablert begrep som brukes på alle sektorer og både i og utenfor lovsammenheng. Det nøyaktige innhold kan variere og er ikke alltid presist definert. Utvalget synes imidlertid likevel at begrepet internkontroll bør brukes i kommuneloven. Internkontroll er både et innarbeidet og et dekkende begrep som antakelig vil bli benyttet i praksis uansett.
Utvalget tar ikke sikte på å definere eller avklare rammene for begrepet generelt, men vil se på hvordan begrepet skal forstås i kommuneloven. Det foreslås ingen legaldefinisjon, men de krav som fremgår av lovbestemmelsen, vil til sammen utgjøre internkontrollkravene etter kommuneloven. Det som foreslås lovfestet, er således minstekrav for å sikre en god internkontroll i kommunene. En kommunes internkontrollsystem vil i praksis kunne bestå av mer enn det som følger av kravene til kontroll i kommuneloven.
Utvalget vil peke på at det er viktig å skille mellom internkontroll og ledelse generelt. Selv om internkontroll er en viktig del av ledelse og styring, så består ledelse og styring av mange andre elementer enn internkontroll. Å lovfeste god ledelse er hverken enkelt, hensiktsmessig eller ønskelig å gjøre her.
24.5.2.2 Hovedregel om internkontrollansvaret
En bestemmelse om internkontroll i kommuneloven må først og fremst fastslå at kommunedirektøren har ansvaret for kommunens internkontroll. Kommunen skal således ha en internkontroll, og det skal være kommunedirektøren som skal være ansvarlig. Dette skal være en kontroll med hele kommunens administrasjon, det vil si hele kommunens virksomhet som ikke er en del av det folkevalgte nivået. Både sentraladministrasjonen og de ulike sektorer i kommunen skal således være omfattet. Kommunale foretak vil ikke være omfattet av en slik bestemmelse. Utvalget foreslår imidlertid en egen bestemmelse om at daglig leder i et kommunalt foretak skal ha et tilsvarende ansvar for internkontrollen i kommunale foretak.
24.5.2.3 Målet med internkontrollen
Målet med internkontroll er å ha kontroll over virksomheten. I kommunal virksomhet er det viktig at kommunene har etablert et internkontrollsystem som sikrer at lover, forskrifter og vedtak etterleves. En god regeletterlevelse vil bidra til at kommunene når egne og nasjonale mål. Det vil også være grunnleggende for at innbyggerne skal få de rettigheter og tjenester de har krav på. Videre er dette viktig for å redusere risikoen for misligheter og korrupsjon. At lover og forskrifter skal etterleves, er både grunnleggende for den kommunale virksomheten og en selvfølge. Det krever systematisk og gjennomtenkt arbeid. Ved å etablere et system som forebygger brudd på regelverk, og ved å gjennomføre kontroll og avviksrapportering får man innsikt i det kommunen faktisk gjør, og dermed også et godt fundament for å gjøre korrigeringer og forbedringer.
Etterlevelse av de vedtak som kommunestyret og andre folkevalgte organer har fattet, er kommunedirektørens ansvar. For at kommunens folkevalgte skal få gjort sin jobb som tillitsvalgte og ha reell innflytelse på det som skjer i kommunen, er det helt nødvendig at vedtak som fattes, blir fulgt opp på lojalt vis fra administrasjonen. Å sørge for at dette skjer, er en del av ledelsesansvaret til kommunedirektøren. Også administrative vedtak skal følges opp.
Etter utvalgets vurdering er målet om at internkontroll skal sikre etterlevelse av lover, forskrifter og vedtak, et så sentralt og grunnleggende element ved internkontrollen at det bør fremgå av internkontrollbestemmelsen i kommuneloven.
Utvalget vil imidlertid ikke lovfeste alle mål med internkontroll. Det er ikke behov for å ha en uttømmende regulering av formål og hensyn med en god internkontroll. Dette er noe som også vil kunne variere, og som kan være nyttig for den enkelte kommune selv å definere nærmere i forbindelse med det konkrete arbeidet med internkontroll. Det vil kunne bidra til at de som jobber med internkontrollen, får et eierskap til den, og at internkontrollen oppleves som nyttig og positivt i kommunens virksomhet.
Utvalget vil her omtale noen andre mål eller hensyn med internkontrollen, selv om disse ikke foreslås tatt inn i loven. Ett slikt mål er at god internkontroll kan bidra til å gjøre driften mer målrettet og effektiv. En god internkontroll kan også bidra til effektivitet og målrettethet i driften. Dette målet vil i mange tilfeller henge sammen med målet om etterlevelse av vedtak, idet målrettet og effektiv drift i mange tilfeller vil inngå i vedtak fattet av de folkevalgte organer. At driften er målrettet og effektiv, er viktig for å sikre at bruken av offentlige midler er effektiv og god, slik at man får mest mulig ut av de midler som finnes, og slik at risikoen for misligheter og korrupsjon reduseres. Målet med internkontrollen er således både å oppdage feil og svakheter og å sikre at mål nås.
Et annet mål med internkontrollen er å sørge for kvalitet i tjenestene. Dette punktet vil også til dels følge av målet om at lover, forskrifter og vedtak skal følges. Utvalget viser her også til Riksrevisjonens rapport, hvor kontroll med tilstanden og kvaliteten i tjenestene ble fremhevet som viktig og som noe kommunene måtte bli bedre på. Det vises blant annet til behov for at kommunestyret får rapporter om tilstanden eller kvaliteten på tjenestene.
Til slutt vil utvalget understreke at læring i organisasjonen også er et viktig mål med internkontrollen. At internkontrollen og resultater i arbeidet med dette benyttes til å videreutvikle kommunen, er helt sentralt for å få mest mulig ut av internkontrollarbeidet og for å kunne gjøre den kommunale virksomheten og de kommunale tjenestene stadig bedre. En del av det å lære er å praktisere systematisk erfaringsoverføring. Dette kan gjøres ved å sørge for at alle deler av virksomheten er i utvikling, ved å ta i bruk interne og eksterne tilbakemeldinger, tilsynsrapporter, evalueringer, andres erfaringer og ny kunnskap. At kommunene selv finner ut hvordan de vil bruke internkontrollen i videre læring, vil i seg selv innebære læring og er således en positiv prosess. Det vises i denne sammenheng også til punkt 24.5.4, nedenfor, med forslag til krav om rapportering til kommunestyret om både internkontroll og tilsyn.
24.5.2.4 Beskrivelse av oppgaver, organisering og ansvarsfordeling
Utvalget mener at en ny bestemmelse om internkontroll bør ha med et krav tilsvarende det mange av dagens forskrifter har, om at det skal utarbeides en beskrivelse av virksomhetens hovedoppgaver, mål og organisering. Hvor detaljert dette skal gjøres, bør være opp til den enkelte kommune. Men det er sentralt at det finnes en slik overordnet beskrivelse av den kommunale virksomheten som ligger innenfor ansvaret til kommunedirektøren. De folkevalgte organer vil falle utenfor dette. Inkludert i en slik overordnet beskrivelse bør det være en omtale av hvordan ansvar, oppgaver og myndighet er fordelt – samt hvor dette eventuelt er omtalt nærmere.
24.5.2.5 Systematisk, risikobasert og tilpasset kontroll
Etter utvalgets vurdering er det sentralt at internkontrollen etter kommuneloven er systematisk, risikobasert og tilpasset den enkelt kommune og den enkelte virksomhet eller aktivitet innen kommunen.
Å ha en internkontroll som er systematisk og basert på risikovurderinger, vil bidra til en internkontroll som er effektiv og god uten samtidig å bli unødvendig omstendelig og ressurskrevende. At kontrollen skal være systematisk, innebærer at det ikke er tilstrekkelig med en tilfeldig og hendelsesbasert kontroll. Det må gjøres et planmessig arbeid. Det er ikke tilstrekkelig med en hvilken som helst kontroll hvis den ikke er av et slikt omfang og innhold at den med rette vil kunne kalles systematisk. Internkontroll i virksomheten må følges opp jevnlig og ved behov slik at det er et fungerende system for løpende internkontrollarbeid. Målet er at feil eller lovbrudd avdekkes og følges opp på en hensiktsmessig måte. Hvordan og hvor omfattende dette arbeidet skal være, vil kommunen måtte vurdere selv ut fra den konkrete virksomheten og risikoforholdene. Bestemmelsen om internkontroll bør også fastslå at det skal jobbes systematisk med internkontrollen. Det systematiske arbeidet må knyttes opp til målet om etterlevelse av lover, forskrifter og vedtak omtalt i punkt 24.5.3. Hvordan dette skal gjøres, og hva slags systemer som eventuelt benyttes, må være opp til kommunen selv å vurdere. Det er ikke krav til noe konkret dataprogram eller en bestemt systematikk. Dette vil være opp til kommunen selv så lenge den har en kontroll som er systematisk og for øvrig følger kravene i kommuneloven.
Utvalget mener også det er riktig at internkontrollen er tilpasset og risikobasert. Internkontrollen skal tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. I dette ligger det at kontrollen skal justeres etter de konkrete forhold i kommunen og den aktuelle del av kommunen. Sentralt her er at det gjøres risikovurderinger. Det må gjøres en konkret analyse og vurdering av risikoen for at ikke regler og vedtak følges, og hvilken betydning dette eventuelt har. Denne vurderingen vil danne grunnlaget for å tilpasse og dimensjonere det videre internkontrollarbeidet til der behovet er størst. Arbeidet vil således kunne bli målrettet og effektivt. Risikoen for manglende etterlevelse av regler og vedtak vil kunne reduseres uten at det brukes unødvendig mye ressurser. Dette er viktig for å gjøre internkontrollarbeidet mer målrettet mot de områdene der risikoen er størst. I praksis vil det alltid gå en grense for hvor mye tid og ressurser som skal legges i internkontrollen – særlig vurdert opp mot ressursene som mer direkte brukes på tjenesteproduksjon. Nettopp derfor er det viktig at ressursene som brukes på internkontroll, brukes på de områder og på en slik måte, at man får mest mulig igjen for det. På områder i kommunen som er spesielt sårbare, eller der det er grunner til at risikoen for at det skal skje noe feil, eller der konsekvensene av feil er store, bør også internkontrollen være omfattende.
Etter utvalgets vurdering er det viktig at kommunene selv gjør vurderinger av hvor omfattende internkontroll det bør være, og hvordan denne skal innrettes i egen kommune og innen de ulike områder i kommunen. Det vil være unødvendig ressurskrevende å ha en veldig grundig og omfattende internkontroll på alle deler av virksomheten i kommunen. På den annen side er det svært viktig med slik kontroll på områder som er særlig viktige for innbyggerne eller av andre grunner, og hvor risikoen er stor for at noe kan gå galt, og at konsekvensene av dette i så fall er store. En slik samlet vurdering vil til dels bero på mer generelle vurderinger, som at noen tjenester, saksfelt eller sektorer generelt har en større risiko. Den mer konkrete vurderingen som må gjøres ut fra forholdene i den enkelte kommune, vil imidlertid også være sentral.
Det vises her også til at Riksrevisjonen i sin gjennomgang fant at i de fleste kommunene gjennomfører ikke den administrative ledelsen risikovurderinger av kvaliteten i tjenestene, og det etterspørres i liten grad risikovurderinger fra tjenesteleddet.15 Det påpekes i rapporten at risikovurderinger er viktige for å identifisere hvor i tjenestene det er størst fare for uønskede hendelser eller manglende måloppnåelse.
Utvalget foreslår at det sies uttrykkelig i en ny lovbestemmelse at internkontrollen skal tilpasses størrelse, egenart, aktiviteter og risikoforhold. En vurdering av disse forholdene skal være grunnlaget for den nærmere vurdering av prioriteringer i forbindelse med internkontrollen. Hvordan slike vurderinger mer konkret gjennomføres, og etter hvilken metodikk de gjennomføres, bør lovgivningen ikke gi føringer om. Risiko kan omtales som summen av sannsynlighet og konsekvens for en hendelse. Som en del av vurderingen av aktuelle risikofaktorer må det også vurderes hvor vesentlige disse er. Dette vil kunne variere etter hvilket perspektiv man har, for eksempel økonomisk perspektiv, politisk perspektiv eller brukerperspektiv. Disse vurderingene må gjøres både samlet for kommunen som helhet og innenfor de enkelte deler av kommunens virksomhet. Dette vil danne grunnlag for lokale prioriteringer i den enkelte kommune.
24.5.2.6 Oppfølging av avvik og risiko for avvik
At avvik og risiko for avvik følges opp, er viktig. Konkrete feil eller svikt i systemet som er oppdaget gjennom internkontrollen, må rettes opp. Konsekvensene av avvikene vil dermed kunne minimeres, noe som vil kunne være viktig for brukere eller mottakere av tjenester. I tillegg er det viktig at avvik og risiko for avvik følges opp i et mer langsiktig perspektiv, slik at virksomheten kan lære og korrigere fremtidige aktiviteter. Også her vises det til Riksrevisjonens rapport16 som viste at
… den administrative leiinga i kommunen i liten grad nyttar informasjon om avvik til systematisk arbeid med å forbetre tenestene. I mange kommunar innhentar den administrative leiinga heller ikkje oversikter over ulike typar avvik i tenestene, og ein av fem kommunar har ikkje noko avvikssystem som dekkjer tenestekvalitet.
Etter utvalgets vurdering er dette en sentral del av internkontrollen. Internkontroll bør ses på som en løpende og lærende prosess i virksomheten. Det foreslås således at det fremgår av internkontrollbestemmelsen at kommunedirektøren har ansvar for å følge opp avvik eller risiko for avvik på en hensiktsmessig måte.
Hvordan oppfølgingen konkret skal være i de enkelte tilfeller, besluttes lokalt på bakgrunn av den konkrete situasjonen i det som er avdekket, og lokale forhold ellers. Utvalget mener at kommunene skal ha stort handlerom til selv å velge hvordan de vil følge opp. Det sentrale er at både avvik og risiko for avvik faktisk følges opp.
Hvorvidt det foreligger avvik eller risiko for avvik, må kommunen som en del av internkontrollen ha en systematisk tilnærming til. Kontrollen for å avdekke dette skal tilpasses virksomheten, risikoforhold mv., jf. punkt 24.5.2.5 om systematisk, risikobasert og tilpasset kontroll.
24.5.2.7 Dokumentasjonskrav
Utvalget foreslår å lovfeste at internkontrollen skal dokumenteres. Et dokumentasjonskrav vil bidra til både å øke tilliten til kommunal forvaltning og å bevisstgjøre kommunene med hensyn til hvordan den interne kontrollen skal planlegges, gjennomføres og følges opp.
Dokumentasjonskravet bør utformes fleksibelt slik at kommunene får et handlingsrom når det gjelder både form og omfang. Det er ikke nødvendig at hver minste del av systemet dokumenteres. Et for omfattende dokumentasjonskrav vil kunne medføre at for mye ressurser brukes på det, slik at det går utover primæroppgavene. Kommunene bør selv kunne vurdere hvor mye av internkontrollen som skal dokumenteres på de ulike områdene av kommunens virksomhet.
24.5.2.8 Evaluering og forbedring av prosedyrer mv.
I forlengelsen av et krav om å dokumentere internkontrollen mener utvalget at det også bør være et krav om at skriftlige prosedyrer og andre tiltak for kontroll, skal evalueres og forbedres. En slik evaluering og forbedring er sentralt i arbeidet med internkontroll for å sikre systematisk oppfølging og utvikling som er tilpasset kommunens virksomhet. Evalueringer og forbedringer bør således gjøres jevnlig og ved behov.
24.5.2.9 Virkeområdet for bestemmelsen (kommuneplikter, aktørplikter mv.)
Etter utvalgets vurdering bør en internkontrollbestemmelse i kommuneloven i utgangspunktet gjelde for kommunen generelt. Det vil si at kravet om internkontroll ikke skal begrenses bare til kommuneplikter. Det innebærer at bestemmelsen vil omfatte administrasjonens oppfølging av alle kommunestyrets vedtak, selv om disse ikke er knyttet til oppfyllelse av lovpålagte kommuneplikter. Den vil også gjelde for oppfyllelse av annet lovverk, slik som anskaffelsesregelverket, og for straffbare forhold som korrupsjon mv. Hvor omfattende internkontrollen faktisk blir på de ulike områder, er et annet spørsmål. Det vil blant annet avhenge av en konkret risikovurdering, jf. omtalen foran, i punkt 24.5.2.5.
På en del områder finnes det imidlertid andre regler om internkontroll. Det vil typisk være på såkalte aktørplikter, det vil si plikter som stiller krav til enhver som driver en aktivitet eller tilbyr en tjeneste. Det kan for eksempel være internkontrollforskrift om helse, miljø og sikkerhet (HMS) hjemlet i arbeidsmiljøloven eller internkontrollbestemmelsene i personopplysningsforskriften. Det følger av generelle rettsprinsipper at spesiell lov går foran generell lov. Internkontrollbestemmelser hjemlet i arbeidsmiljøloven og andre steder vil således gå foran kommunelovens internkontrollbestemmelser.
En ny internkontrollbestemmelse i kommuneloven vil i praksis ha størst betydning for kommuneplikter (plikter som bare er pålagt kommuner og fylkeskommuner). Eksisterende internkontrollbestemmelser på disse områdene foreslås, som beskrevet foran i punkt 24.5.1, gjennomgått og erstattet av ny bestemmelse i kommuneloven.
Utvalget har vurdert om det bør sies direkte i internkontrollbestemmelsen i kommuneloven at bestemmelsen bare gjelder så langt ikke andre internkontrollbestemmelser kommer til anvendelse. Dette følger imidlertid uansett av alminnelig tolkning. Utvalget mener derfor at en slik presisering er unødvendig.
24.5.2.10 Elementer fra sektorreguleringen som ikke foreslås videreført
Utvalget har foran beskrevet hovedinnholdet i forslaget til ny internkontrollbestemmelse. Mye av dette vil være i samsvar med hvordan mange av dagens internkontroller skal forstås. I mange av dagens bestemmelser om internkontroll er det imidlertid relativt detaljert listet opp elementer som skal inngå i en internkontroll. Utvalget mener en så detaljert regulering er unødvendig, og har heller lagt vekt på å være tydelig på de overordnede og sentrale elementene og vurderingene i internkontrollen.
I utvalgets forslag er, som det fremgår foran, mange av enkeltelementene fra sektorreguleringen foreslått videreført i ny bestemmelse om interkontroll i kommuneloven. Samtidig er det visse enkeltelementer fra særlovgivningen som ikke er foreslått videreført i forslaget til bestemmelse i kommuneloven. Utvalget mener det ikke er behov for så detaljert regulering i kommunelovens internkontrollbestemmelse. Dette kan være gode enkeltelementer å ha med i en internkontroll, men som utvalget ikke finner grunn til å lovfeste eksplisitt som obligatoriske krav.
Utvalget vil her nevne og kommentere enkelte slike enkeltelementer som utvalget mener er unødvendig å ha i en internkontrollbestemmelse:
Krav om at kommunen benytter kvalifisert personell og sørger for opplæring og kompetanseutvikling.
Etter utvalgets vurdering er dette en selvfølgelig del av ledelse og personaloppfølging og ikke noe som bør inkluderes som et lovkrav i en bestemmelse om internkontroll.
Tilgang til regelverk og krav om å holde seg oppdatert på regelverk.
Utvalget mener det ikke trenger å stå i en lov at en kommune skal følge norsk lov. Det trenger heller ikke stå i loven at de ansatte skal ha tilgang til og kunnskap om norsk lov og annet regelverk. Det er en selvsagt del av plikten til å følge norsk lov at det sørges for at virksomheten faktisk er i stand til det. Lover er dessuten i dag generelt langt enklere tilgjengelig for alle gjennom internett.
Bestemmelser om kvalitetsarbeid – som å sørge for at arbeidstakerne medvirker, slik at samlet kunnskap og erfaring utnyttes, å gjøre bruk av erfaringer fra pasienter/tjenestemottakere og pårørende til forbedring av virksomheten og å sørge for at virksomheten arbeider systematisk for kvalitetsforbedring.
Etter utvalgets vurdering hører slike føringer om ledelse ikke hjemme i kommuneloven eller i annet generelt regelverk. Dette er selvsagt viktige forhold for kommunen og i ledelsen av kommunen. Det er imidlertid ikke meningen å lovfeste alt som er bra i styring og ledelse av en virksomhet. Det er kun det sentrale ved internkontroll det bør stilles lovkrav om. Disse forholdene, som bruk av erfaringer og tilbakemeldinger, kan imidlertid være godt egnet for omtale i veiledere og annet pedagogisk materiell.
24.5.2.11 Forskriftshjemmel
Utvalget foreslår ingen forskriftshjemmel om internkontroll i kommuneloven. Reglene i kommuneloven gjelder på alle områder i kommunen, og det er etter utvalgets vurdering ikke behov for forskrifter med mer detaljerte regler som skal gjelde generelt for hele kommunen. Dersom det på enkelte områder eller sektorer skulle være behov for mer detaljerte regler i en forskrift, bør disse hjemles i den aktuelle sektorlov.
24.5.3 Statlig tilsyn med internkontroll
Dagens kommunelov inneholder ingen hjemmel for å føre tilsyn med den generelle bestemmelsen om internkontroll i kommuneloven. I særlovgivningen er det imidlertid ofte hjemler for tilsyn med internkontrollen.
Etter utvalgets syn er det viktig at statlig myndighet fortsatt skal kunne føre tilsyn med at kommunene har tilfredsstillende internkontroll på tilsvarende måte som tidligere. Med utvalgets forslag om en mer omfattende bestemmelse om internkontroll i kommuneloven som skal erstatte særlovgivningens bestemmelser om internkontroll, blir det behov for en hjemmel i kommuneloven for å kunne føre tilsyn med kommunelovens internkontrollbestemmelse.
Utvalget foreslår en lovbestemmelse som gir hjemmel for å føre tilsyn med at kravet til internkontroll etter internkontrollbestemmelsen i kommuneloven er oppfylt. Selv om en slik tilsynshjemmel blir ny i kommuneloven, innebærer det i hovedsak å videreføre ordninger som allerede finnes i særlovgivningen. Hensikten er at staten fortsatt skal kunne føre tilsyn med kommunens internkontroll på tilsvarende måte som etter tilsynshjemlene i særlovgivningen.
For at tilsynsmuligheten skal bli tilsvarende det som følger av særlovshjemlene, foreslås det at tilsyn ikke skal kunne føres med all internkontroll etter den nye bestemmelsen, men kun med internkontroll som er gjennomført med kommuneplikter. Muligheten for tilsyn med kommunens internkontroll blir dermed omtrent som i dag. Internkontroll som kommunen har gjort med hjemmel i annen lov eller av eget initiativ, kan det ikke føres tilsyn med etter den foreslåtte hjemmelen i kommuneloven. Tilsyn vil her bare kunne føres om det finnes en egen lovhjemmel for slikt tilsyn. Dette innebærer at tilsynsmyndighetene for eksempel ikke kan føre tilsyn med kommunens internkontroller i forhold til anskaffelsesregelverket. Statlige myndigheter kan heller ikke føre tilsyn med etablert internkontroll på at administrasjonen følger opp kommunestyrets vedtak, hvis kommunestyrets vedtak ikke er knyttet opp mot lovpålagte oppgaver. Hensynet med å flytte internkontrollreglene fra særlovene til kommuneloven tilsier ikke en slik utvidelse av tilsynet. I praksis vil det imidlertid i mange tilfeller være vanskelig å skille mellom internkontrollordninger som er etablert for kommuneplikter, og internkontrollordninger som er etablert for andre plikter, da dette kan være etablert som ett system. På sektornivå kan det imidlertid være etablert egne systemer, og tilsyn av internkontroll vil da omfatte bare de lovpålagt kommunepliktene.
Tilsynshjemmelen i kommuneloven blir en hjemmel for å føre tilsyn med at kravene i § 23-1 om internkontroll er fulgt. Tilsyn med om plikter lovfestet i sektorlovgivningen er oppfylt, må ha hjemmel i egen bestemmelse i den aktuelle sektorlovgivningen. Ofte vil det foreligge slike tilsynshjemler, slik at tilsyn vil kunne føres med både den aktuelle sektorlovgivningen og internkontrollbestemmelsen i kommuneloven samtidig.
Statlig tilsyn med internkontroll etter kommuneloven bør, som ved tilsyn ellers, være et lovlighetstilsyn. Det betyr at staten kan føre tilsyn med at kravene til internkontroll i kommuneloven er fulgt. Hvilke valg kommunen gjør innenfor lovens krav om metoder og fremgangsmåter, vil ligge utenfor det det kan føres tilsyn med. Utvalget vil understreke at grensene for hva det kan føres tilsyn med, og hva det ikke kan føres tilsyn med, er viktige. Tilsynsorganene skal ikke kontrollere styringen av virksomheten eller valg av internkontrollmetoder, men holde seg til å føre kontroll med at kommunen har en systematisk internkontroll i tråd med lovens krav. Denne grensen kan i praksis være utfordrende. Utvalget vil derfor si litt mer om hva det kan føres tilsyn med ved tilsyn på internkontrollbestemmelsen i kommuneloven.
Ved vurderingen av hva det kan føres tilsyn med, og hvor detaljert tilsynet kan være, må lovens krav og formuleringer i bestemmelsen om internkontroll vurderes konkret. I lovforslaget stilles det for eksempel krav om en systematisk kontroll med administrasjonens virksomhet. Staten kan således føre tilsyn med at internkontrollen er systematisk. For å gjøre det er det naturlig å gå inn og se på de systemer, metoder, rutiner og så videre kommunen har. Tilsynet vil således kunne påpeke mangel på systematikk i arbeidet. Det vil imidlertid ikke være en del av tilsynet å fortelle kommunen hvordan den skal gjennomføre et slikt systematisk arbeid. En annen ting er at tilsynsorganene ofte også kan gi kommunene veiledning. Slik veiledning er bra og ofte ønsket av kommunene. Det er imidlertid viktig at de involverte er tydelige på hva som er veiledning, og dermed gode råd som kommunen selv kan velge om de vil følge, og hva som er tilsyn.
Videre kan det for eksempel være en del av tilsynet å sjekke at kommunen tilpasser kontrollen til virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Som beskrevet foran innebærer dette tilpasningskravet at kommunene skal gjøre en risikovurdering. Staten kan føre tilsyn med at en slik vurdering er gjort, og at dette er gjort systematisk og på en slik måte at kommunen faktisk kan tilpasse internkontrollen i tråd med resultatene av disse vurderingene. Andre konkrete vurderinger og prioriteringer som kommunen har gjort, vil ikke kunne inngå i tilsynet. Er det for eksempel problemer med hvordan medisinering håndteres, vil det i tilsynet eventuelt kunne peke på at kommunen ikke har foretatt noen risikovurdering av faren for at feil oppstår, eventuelt at kommunen ikke har vurdert om iverksatte tiltak for å rette opp avvik vil fungere. Dersom kommunen har lagt opp til automatiserte rutiner for utdeling av medisin, kan imidlertid ikke tilsynsmyndigheten pålegge kommunen å gå over til manuelle rutiner selv om tilsynsorganet skulle mene at slike rutiner er bedre. Innspill om dette vil eventuelt kunne gis som veiledning, men det er noe annet og skal også holdes adskilt fra tilsyn.
Tilsvarende kan staten føre tilsyn med at kommunen følger opp avvik og risiko for avvik avdekket gjennom foretatt internkontroll, slik det følger av internkontrollbestemmelsen. På hvilken måte kommunen velger å følge opp, er imidlertid opp til kommunen selv. Så lenge kommunens handling faktisk er en oppfølging av de aktuelle avvik, ligger det utenfor tilsynet å vurdere måten oppfølgingen skjer på. Tilsynsmyndigheten kan således si at det mangler en systematisk oppfølging av avvik, men de kan ikke si at tiltak a, b, c og så videre må gjennomføres.
Litt kort og skjematisk kan det sies at det statlige tilsynet med internkontrollen kan kontrollere at kravene til internkontroll faktisk er fulgt opp, men at kontrollen ikke inkluderer hvordan kommunene velger å gjennomføre dette innenfor lovens rammer. Dette følger av at det dreier seg om et lovlighetstilsyn, og er således ikke noe nytt fra det som gjelder i dag. Dersom tilsynsorganet velger å samtidig føre tilsyn med andre plikter som har en egen tilsynshjemmel, er det selvsagt ikke noe i veien for det. Det krever imidlertid en viss tydelighet på hva som er eventuelle merknader på tilsyn med internkontrollen, og hva som gjelder tilsyn med andre plikter. I tillegg må det selvsagt være helt klart hva som eventuelt er veiledning, og at dette er noe annet enn tilsyn.
Utvalget foreslår for øvrig at de ordinære reglene om tilsyn etter lovens kapittel 29 skal gjelde også ved tilsyn etter denne bestemmelsen. Det innebærer blant annet at reglene om innsyn, pålegg og samordning også gjelder for tilsyn med internkontrollbestemmelsen i kommuneloven.
Det er fylkesmannen som bør være tilsynsmyndighet her som ellers ved tilsyn, jf. tilsynsordningen i kapittel 29. Utvalget foreslår imidlertid at det i loven sies at departementet er tilsynsmyndighet, og så må det foretas en delegering til fylkesmannen. Dette for å sikre at både Kommunal- og moderniseringsdepartementet og de aktuelle særdepartementene har sin styringsrolle i forhold til fylkesmannens tilsynsmyndighet. Fylkesmannen som tilsynsorgan, bør ha et visst skjønn til selv å vurdere når og hvordan det statlige tilsynet med internkontrollen skal gjennomføres ut fra kjennskap til kommunene og lokale forhold. Samtidig bør imidlertid departementet og annen overordnet myndighet ha ordinær adgang til å styre fylkesmannen gjennom instrukser mv. I hovedsak bør Kommunal- og moderniseringsdepartementet ha et slikt styringsansvar. Hensikten med å samle internkontrollbestemmelsen i kommuneloven er nettopp at det skal bli en helhetlig og felles tolkning og forståelse av internkontrollkrav. På den annen side vil det være visse spørsmål og hensyn som er sektorbaserte, og som sektordepartementene bør kunne ha styringen med.
24.5.4 Rapportering til kommunestyret
At kommunestyret får tilstrekkelig informasjon om det som skjer i kommunen, er av stor betydning for at de folkevalgte i kommunestyret skal kunne ta det ansvaret de har som øverste organ i kommunen.
Utvalget foreslår å lovfeste et krav om årlig rapportering til kommunestyret om internkontrollen. På tilsvarende måte som for dokumentasjonskravet vil dette kunne bidra til å bygge opp under tilliten til den kommunale forvaltningen og til at kommunene bruker erfaringene og læringen fra internkontrollen i kommunens videre arbeid. En rapportering til de folkevalgte vil kunne bidra til økt åpenhet og oppmerksomhet om internkontroll både blant de folkevalgte og generelt. En mer offensiv og systematisk tilnærming til temaet vil kunne bli en konsekvens. Det er også et poeng at det på denne måten foreligger rapporter som igjen kan benyttes ved revisjon, tilsyn og så videre. At dette nå foreslås som en egen bestemmelse med krav om rapportering, og ikke som kun et krav til innholdet i årsmeldingen, vil bidra til at flere behandler temaet grundig, og at det dermed får mer tid og oppmerksomhet ved behandlingen i kommunestyret.
Omfang og innhold av rapporteringen bør det være opp til kommunen selv å bestemme. Kommunestyret bør kunne fastsette dette. Dette bør tilpasses både lokale forhold og de ulike sektorene. Både innretningen på systemet for internkontroll og resultat av konkrete kontroller bør dog nevnes. Målet om læring av kontroll og tilsyn bør gjenspeiles i den rapporteringsform og det rapporteringsomfang som besluttes. Kommunen kan således selv bestemme at de vil lage en egen rapport som er stor eller liten, om det skal inngå i annen rapportering, eller om det i stedet eller i tillegg står i årsrapporten.
Det bør være krav om at slik rapportering som et minimum skal gjøres én gang per år. For øvrig vil kommunestyret kunne fastsette annen type rapportering i tillegg. Kommunestyret vil således for eksempel selv kunne bestemme at det hvert fjerde år skal være en mer omfattende rapportering, eller at det for enkelte områder skal være en hyppigere rapportering. Slik rapportering vil komme i tillegg til lovens minstekrav. Kommunestyret kan også fastsette at rapportering utover lovens minstekrav skal skje til et annet folkevalgt organ enn kommunestyret.
Det foreslås videre at bestemmelsen også skal gjelde rapportering om resultatene fra statlige tilsyn. Også her vil åpenhet og tillit til både stat og kommune samt læring være sentrale momenter for å begrunne forslaget. I og med at bestemmelsen da regulerer krav om rapportering både om internkontroll og om statlig tilsyn, er det naturlig at dette står i en egen bestemmelse, og ikke i internkontrollbestemmelsen.
Når det gjelder dagens krav om redegjørelse for tiltak som er iverksatt og planlegges iverksatt for å sikre betryggende kontroll i årsberetningen, jf. dagens § 48 nr. 5, så mener utvalget at det med den foreslåtte bestemmelsen ikke vil være behov for et slikt krav lenger. Det ville innebære en dobbeltregulering om kommuneloven skulle ha krav om rapportering om internkontroll to steder. Det foreslås således at det ikke lenger oppstilles noe krav om at det skal stå noe i årsrapporten om internkontroll. Det er imidlertid selvsagt ikke noe i veien for likevel å si noe om internkontrollen i årsberetningen. Tvert imot vil dette ofte være noe kommunen selv ønsker.
Fotnoter
Dette er omtalt i flere meldinger, se blant annet Meld. St. 12 (2011–2012) Styring og samspel, kapittel 10 Administrativ styring og kontroll i kommunane, side 77, og Meld. St. 14 (2014–2015) Kommunereform – nye oppgaver til større kommuner, kapittel 7.
Se punkt 24.2 nedenfor.
Se side 51–53. Ny utgave av Kontrollutvalgsboken ble utgitt i desember 2015.
Internkontroll – et integrert rammeverk, COSO, mai 2013.
Fastsatt ved kronprinsregentens resolusjon 12. desember 2003.
www.dfo.no.
På side 50 punkt 4.3 første avsnitt.
Lex specialis – spesiell regel på et området går foran generell regel.
Forskrift om internkontroll i helse- og omsorgtjenesten av 20. desember 2002 nr. 1731.
Kommunelovene i Norden. En kartlegging og sammenligning, Ingun Sletnes, Carsten Henrichsen, Olle Lundin og Eija Mäkinen, HiOA Rapport 2013 nr. 13, kapittel 11, særlig side 585 f.
Det foreligger forslag til ny kommunelov i Sverige. Den inneholder regler om ansatte og direktør for kommunen, men sier ikke noe uttrykkelig om internkontrollansvar for direktøren. Se SOU 2015: 24.
Revisors oppgave i Norge gjelder kun å revidere de delene av internkontrollen som har betydning for årsregnskapet, og ikke all internkontroll.
Blant annet forskrift om internkontroll i arbeids- og velferdsforvaltningen av 19. november 2010 nr. 1463 og forskrift om krav til kvalitet og internkontroll i barneverninstitusjoner av 10. juni 2008 nr. 580.
Dok. 3:7 (2012–2013).
Dok. 3:7 (2012–2013), side 63.