4 Gjeldende rett – kommuneloven
4.1 Innledning
Internkontroll reguleres i dag dels i kommuneloven og dels i særlovgivningen. Reguleringen i særlovgivningen blir omtalt nedenfor under omtalen av de aktuelle lover og forskrifter i kapittel 6 flg.
Her omtales både kommuneloven av 1992 og kommuneloven av 2018. Selv om kommuneloven av 2018 nå har trådt i kraft, er det fortsatt reguleringen slik den var i kommuneloven av 1992 som gjelder for internkontroll. Dette er uttrykkelig sagt i kommuneloven av 2018 § 31-3 hvor det er en overgangsbestemmelse som tar inn i seg reguleringen slik den var i kommuneloven av 1992.
4.2 Kommuneloven av 1992
Den gamle kommuneloven fra 1992 hadde kun noen overordnete bestemmelser om internkontroll. I § 23 nr. 2 sto det at administrasjonssjefen skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for «betryggende kontroll». Bestemmelsen brukte ikke direkte begrepet internkontroll og sa ikke noe nærmere om hvilke aktiviteter som skal gjøres, men lovens forarbeider omtalte kravet om betryggende kontroll som «internkontroll». Lovens forarbeider sa videre at internkontroll i videste forstand kan defineres som en «prosess iverksatt og gjennomført av virksomhetens ledere og ansatte, med formål å sikre målrettet og effektiv drift, pålitelig ekstern informasjon og overholdelse av gjeldende lover og regelverk» (Ot.prp. nr. 70 (2002–2003) side 50 punkt 4.3). Utover dette var det i liten grad utdypet i forarbeidene hva som ligger i administrasjonssjefens internkontrollansvar, og om omfanget og innretningen av slik internkontroll.
For kommuner med parlamentarisk styreform, var det egen tilsvarende bestemmelse om internkontroll i § 20 nr. 2.
4.3 Ny kommunelov av 2018
4.3.1 Kommunedirektørens internkontrollansvar
Den nye kommuneloven fra 2018 har fått en egen bestemmelse om internkontroll som er langt mer omfattende og detaljert enn loven fra 1992. Kravet i den nye internkontrollbestemmelsen i § 25-1 gjelder i tråd med § 10-2 også for kommuner med parlamentarisk styreform. Kommuneloven av 2018 § 25-1 lyder slik:
Kommuner og fylkeskommuner skal ha internkontroll med administrasjonens virksomhet for å sikre at lover og forskrifter følges. Kommunedirektøren i kommunen og fylkeskommunen er ansvarlig for internkontrollen.
Internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold.
Ved internkontroll etter denne paragrafen skal kommunedirektøren
a) utarbeide en beskrivelse av virksomhetens hovedoppgaver, mål og organisering
b) ha nødvendige rutiner og prosedyrer
c) avdekke og følge opp avvik og risiko for avvik
d) dokumentere internkontrollen i den formen og det omfanget som er nødvendig
e) evaluere og ved behov forbedre skriftlige prosedyrer og andre tiltak for internkontroll.
Kommuneloven § 25-1 viderefører krav om internkontroll for kommunene, men har en mer omfattende regulering av internkontrollen enn kommuneloven av 1992. Internkontrollbestemmelsen skal styrke kommunenes internkontroll ved å gjøre den mer målrettet. Internkontrollen skal være systematisk, gjøres på bakgrunn av risikovurderinger, og tilpasses konkrete og lokale behov. En internkontroll som er systematisk og basert på risikovurderinger og lokale tilpasninger, vil være mer effektiv og målrettet uten at den nødvendigvis blir mer omfangsrik og ressurskrevende totalt sett. Det vises til en nærmere omtale av dette i Prop. 46 L (2017–2018), punkt 23.4.1.1.
Kommuneloven § 25-1 inkluderer i stor grad de samme internkontrollkravene som man finner i særlovgivningen, men er enklere og mindre detaljfokusert. Noen internkontrollkrav i særlovgivningen er ikke tatt med i internkontrollbestemmelsen i ny kommunelov. Dette er for eksempel krav til kvalitetsarbeid, krav om at kommunene benytter kvalifisert personell og sørger for opplæring og kompetanseutvikling, og bestemmelser om ansattes tilgang til regelverk og krav om å holde seg oppdatert på regelverk. Bakgrunnen for at slike krav ikke er tatt med i internkontrollbestemmelsen i ny kommunelov, er beskrevet nærmere i Prop. 46 L (2017–2018) punkt 23.4.1.1. Her er det lagt til grunn at slike bestemmelser hører mer hjemme som en del av kommunens generelle styring og ledelse, og at slike føringer ikke bør inkluderes i et lovkrav om internkontroll i kommuneloven. Det vises også til omtale av dette temaet nedenfor i punkt 5.6.
§ 25-1 lovfester minstekrav til en internkontroll. Bestemmelsen gir ikke en legaldefinisjon av internkontrollbegrepet. Beskrivelsen i lovteksten og i lovens forarbeider av hvilke aktiviteter som skal gjøres som del av internkontrollansvaret, danner rammen for internkontrollbestemmelsen.
§ 25-1 første ledd slår fast at kommunen skal ha internkontroll med administrasjonens virksomhet, og at det er kommunedirektøren som har ansvaret for denne internkontrollen. Kommunedirektør er den nye kommunelovens betegnelse på kommunens øverste leder, tidligere administrasjonssjef eller rådmann. Bestemmelsen slår videre fast at målet med internkontrollen er å sikre at lover og forskrifter følges. Internkontrollen omfatter alt som er innenfor ansvarsområdet til kommunedirektøren. Alle deler av administrasjonen er inkludert, det vil si både ulike sektorer som opplæring, barnevern og så videre, og den sentrale administrasjonen. Den folkevalgte delen av kommunen er imidlertid ikke inkludert i internkontrollen. Plikten til å ha internkontroll vil gjelde for alle lovpålagte plikter kommunen har, det vil si all kommunal virksomhet. Dette betyr at kommunen vil ha plikt til å ha internkontroll med plikter som det i dag ikke er knyttet noen internkontrollbestemmelse til, for eksempel kommuneplikter i forurensningsloven.
At kommunedirektøren er ansvarlig for internkontrollen innebærer en tydeliggjøring av at det å ha en god internkontroll er et ledelsesansvar. Ved at ansvaret for internkontrollen ligger hos den øverste administrative lederen i kommunen, og med lik regulering for ulike sektorer, er målet at det skal blir lettere å ta et mer helhetlig grep om internkontrollen i kommunen.
Samtidig er det ikke meningen at kommunedirektøren selv skal utføre konkret internkontrollarbeid eller at det skal begrenses til sentraladministrasjonen. Som på de fleste andre områder må kommunedirektøren delegere ansvar for og utførelse av det nærmere internkontrollarbeidet nedover i administrasjonen. Ledere av ulike tjenesteområder i kommunen vil typisk få dette ansvaret på sine områder og igjen delegere videre på hensiktsmessig måte. Samspillet mellom kommunedirektøren, den sentrale administrasjonen og de ulike tjenesteområdene er viktig for en helhetlig, risikobasert, tilpasset og systematisk internkontroll. Vurderinger av internkontrollen med risikovurderinger og tilpasninger må gjøres både på et helhetlig og overordnet nivå og for de ulike tjenesteområdene i kommunen. Ved delegering vil lederen av tjenesteområdet få ansvaret for oppgaven, samtidig som kommunedirektøren fortsatt har det overordnete ansvaret for at kommunen har en internkontroll som er i tråd med internkontrollkravet.
§ 25-1 andre og tredje ledd presiserer kravene og innholdet til internkontrollen. I andre ledd stilles det krav om at internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Dette er en sentral del av internkontrollkravet, og gjelder alle deler av internkontrollen. Med systematisk menes at arbeidet med internkontrollen ikke skal være tilfeldig, hendelsesbasert eller spontant. Det må gjøres et planmessig arbeid, og internkontrollen må være av et slikt omfang og innhold at den med rette kan kalles systematisk. Internkontrollen i virksomheten må følges opp jevnlig og ved behov, slik at det er fungerende system for løpende internkontrollarbeid. Bestemmelsen stiller ikke krav til en bestemt systematikk. Målet med det systematiske internkontrollarbeidet er at brudd på regelverket forebygges, avdekkes og følges opp på en hensiktsmessig måte.
Internkontrollen skal videre tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Kommunen må således gjøre vurderinger av risikoforhold og andre konkrete og lokale forhold, og tilpasse internkontrollens omfang og innhold ut fra forholdene i sin kommune. Dette vil gjøre internkontrollarbeidet mer målrettet mot der risikoen og behovet er størst. Det skal gjøres konkrete vurderinger i den aktuelle virksomheten eller aktivitet innad i kommunen for å vurdere hvor omfattende og hva slags internkontroll det er behov for. Risikovurderinger står sentralt, og kommunen må gjøre en konkret analyse og vurdering av sannsynligheten for at regler ikke følges, og hvilke konsekvenser dette i så fall kan få. Det er viktig med internkontroll der det er høy risiko for at det skal skje noe feil, og der konsekvensene av feil er store.
En samlet risikovurdering vil til dels bero generelle vurderinger, som at noen tjenester, saksfelt eller sektorer generelt har en større risiko, og til dels konkrete vurderinger av forholdene i den enkelte kommune. Vurderingene må gjøres både samlet for kommunen som helhet og innenfor de enkelte delene av kommunens virksomhet. Innenfor enkelte sektorer i kommunen vil slike vurderinger alltid konkludere med at det er behov for internkontroll. Men det må alltid gjøres en nærmere vurdering av risiko m.m. innenfor de enkelte virksomheter eller aktiviteter, for å tilpasse den konkrete innretningen og omfanget av internkontrollen til de ulike delene av virksomheten.
§ 25-1 tredje ledd presiserer det nærmere innholdet i kommunedirektørens internkontrollansvar. Det konkrete innholdet i kravene må ses i sammenheng med både første og andre ledd.
I bokstav a er det et krav om å utarbeide en beskrivelse av virksomhetens hovedoppgaver, mål og organisering. Det kreves en overordnet oversikt over oppgaver, mål og organisering. Inkludert i kravet om å beskrive kommunens organisering ligger å beskrive hvordan ansvar, oppgaver og myndighet er fordelt innad i kommunen, både sentralt og innenfor de ulike tjenesteområder og virksomheter. Slik beskrivelse kan lages på ulike måter. Det kan for eksempel gjøres som en oversikt over lederstrukturer, rapporterings- og styringslinjer, delegeringer, funksjonsbeskrivelser med beskrivelse av ansvar og oppgaver for personell innen et bestemt arbeidsområde og så videre. Det kan her også henvises til delegeringsreglement og andre relevante dokumenter.
Bokstav b slår fast at kommunedirektøren må ha nødvendige rutiner og prosedyrer. Dette vil gjerne være rutiner og prosedyrer som er konkret tilpasset det området de skal gjelde for, og som er nødvendig for å sikre regeletterlevelse. Hva som er nødvendig å etablere av rutiner og prosedyrer vil blant annet måtte bero på en konkret vurdering av blant annet risiko for avvik. Det følger indirekte av kravet om å ha rutiner og prosedyrer at disse må gjelde for virksomheten, gjøres kjent og være tilgjengelige. I hvilken grad rutinene og prosedyrene skal dokumenteres skriftlig, vil følge av dokumentasjonskravet i bokstav d.
Bokstav c fastslår at internkontrollen skal sikre at avvik og risiko for avvik avdekkes, og at avvik og risiko for avvik som er avdekket, følges opp. Dette er kommunedirektørens oppfølgingsplikt. Både konstaterte avvik og risiko for avvik skal følges opp. Allerede oppståtte feil skal korrigeres. Samtidig må kommunedirektøren forebygge at feil oppstår. Kommunedirektøren må skaffe oversikt over områder i kommunen hvor det er fare for manglende etterlevelse av lover og forskrifter, og sette inn relevante forebyggende og risikoreduserende tiltak for å hindre og forebygge regelbrudd. Her må man ha både et kortsiktig og et langsiktig perspektiv.
Bokstav d fastslår at internkontrollen skal dokumenteres i den formen og i det omfanget som er nødvendig. Dokumentasjonskravet gjelder de ulike delene av internkontrollen som systemer, rutiner, instrukser og liknende samt gjennomføring av konkrete kontroller og aktiviteter. Hva som er nødvendig må vurderes ut fra målet med internkontrollen, som er å sikre regeletterlevelse, og ut fra virksomhetens risikoforhold, størrelse, egenart og aktiviteter. En høy risiko for avvik innenfor et tjenesteområde vil for eksempel tilsi at kommunen skriftlig dokumenterer rutiner og andre prosedyrer.
Bokstav e fastslår at skriftlige prosedyrer og andre tiltak for internkontroll skal evalueres og ved behov forbedres. Det skal gjøres en evaluering av hvordan den aktuelle virksomheten jobber med internkontroll. Evaluering og forbedring er viktig i arbeidet med internkontroll for å sikre systematisk oppfølging og utvikling som til enhver tid er tilpasset kommunens virksomhet. Dette vil også bidra til langsiktig læring og utvikling i kommunens arbeid med tjenesteyting og med internkontrollen.
4.3.2 Forholdet til private aktører
Mange kommuner benytter seg av private aktører til å utføre lovpålagte oppgaver, for eksempel for å tilby velferdstjenester. Kommunens bruk av private aktører til å utføre lovpålagte oppgaver, kan reise noen problemstillinger knyttet til hvor langt kommunens internkontrollplikt strekker seg i slike tilfeller. Dette er omtalt i Prop. 46 L (2017–2018) punkt 23.4.2.
Internkontrollbestemmelsen i § 25-1 gir ikke kommunen noen særskilte internkontrollplikter knyttet til private aktører. Kommunedirektørens plikt til å ha internkontroll etter denne bestemmelsen gjelder ikke for aktiviteter som utføres av private aktører. I kommunedirektørens internkontrollansvar etter § 25-1 ligger det imidlertid en plikt til å følge opp private aktører som har oppdrag om å utføre oppgaver som er pålagt kommunene i lov. For slike oppgaver vil kommunen alltid ha ansvaret for at innbyggerne får de tjenestene de har krav på uansett om de utfører oppgaven selv eller gjennom private. Kommunen kan sette bort utføringen av oppgaven, men ikke ansvaret for den. Kommunen må uansett følge med på og sikre at innbyggerne får det de har krav på. Dette kan gjøres på ulike måter. Det kan for eksempel inngå i avtalen kommunen har med en privat aktør, at den private skal ha visse rutiner for oppfølging eller at visse lover eller forskrifter skal følges. Uansett vil det måtte inngå i kommunens internkontroll, etter ordinær risikovurdering osv., å ha rutiner, prosedyrer osv. for å sikre kommunens kontroll med at innbyggerne får det de har krav på selv om en privat aktører utfører oppgaven. Ny kommunelov forsterker for øvrig kommunens kontrollmulighet overfor private utførere, ved at kontrollutvalg og revisjon i § 23-6 og § 24-10 gis rett til innsyn og undersøkelser overfor andre virksomheter som utfører oppgaver på vegne av kommunen. Retten er begrenset til det som er nødvendig for å undersøke om kontrakten blir oppfylt.
Internkontrollbestemmelsen i § 25-1 gir ikke private aktører en plikt til å ha internkontroll på lik linje med kommunene. På enkelte sektorer finnes det imidlertid i dag særlovgivning som sier at den som yter en spesiell tjeneste, skal oppfylle krav til internkontroll uavhengig av om det er kommunen eller en privat aktør som yter tjenesten. Oftest er slike bestemmelser utformet som at både kommuner og private aktører som utfører denne typen oppgaver, skal ha internkontroll. Kommunene vil i forbindelse med avtaler med private aktører om utførelse av oppgaver, også kunne stille krav om at de private gjennomfører internkontroll innad i sin virksomhet, dersom dette ikke allerede er et lovpålagt krav. I kommunens internkontrollansvar etter § 25-1 vil det, som nevnt over, uansett ligge en plikt til å følge opp private aktører og de avtaler som er inngått.