1. Aktivitetsidentifisering med prosess- og risikovurdering
Det å få forankret hva man har til hensikt å gjøre, hvordan regelverket krever at man gjør det, hvordan markedet ønsker at man skal gjøre det, hvordan man med kvalitet og kostnadseffektivitet bør gjøre det og hvordan man på mest mulig trygg og bærekraftig måte kan gjøre det – er avgjørende faktorer i enhver internkontrollprosess.
Internkontrollarbeidets innledende fase vil derfor alltid måtte ha som hovedformål å få avdekket hva virksomheten gjør eller vil komme til å gjøre, i forhold til hva myndighetene eller andre krever at man må gjøre, sett i forhold til det virksomhetens eiere ønsker at man skal gjøre.
Etter at ovennevnte er avklart vil det videre arbeidet måtte rette fokus på å få identifisert og vurdert de aktiviteter og prosesser hvor metode for gjennomføring er kritisk av enten juridiske, økonomiske, effektivitets-, kvalitets- eller helse-, miljø- og sikkerhetsmessige årsaker.
På denne bakgrunn vil man ha fremskaffet nødvendig grunnlag for å kunne ta stilling til og forankre aktivitetsorganiseringen – hvilket bringer oss til internkontrollprosessens neste fase.
2. Aktivitetsorganisering med kontroll og overvåking
Denne delen av internkontrollarbeidet består av å få etablert arbeidsinstrukser som sikrer at virksomheten planlegger, gjennomfører, kommuniserer, kvalitetssikrer, dokumenterer og rapporterer aktiviteter og prosesser på en slik måte at forholdene omtalt i punkt 1 blir rettmessig ivaretatt – herunder at nødvendig system for overvåking, avviksbehandling og revisjon blir etablert.
Etter at dette arbeidet er sluttført vil man ha fremskaffet et godt grunnlag for optimal (re)organisering av virksomheten.
3. Virksomhetsorganisering med ansvars- og myndighetsplassering
Denne delen av internkontrollarbeidet består av å få etablert en virksomhetsorganisasjon som samstemmer med det faktiske og hensiktsmessige behovet, med et tilhørende ansvars- og myndighetssystem som bidrar til at betydningen av «sikre» jf. punkt 2 faktisk innebærer en sikring. Av dette følger at ansettelsesavtaler og stillingsinstrukser må tilknyttes virksomhetens til enhver tid gjeldende arbeidsinstrukser.
Etter at dette arbeidet er sluttført vil man ha fått etablert en organisasjon og et virksomhetssystem egnet til å:
- Sikre ivaretakelse av eiernes interesser i samsvar med markedets behov og gjeldende myndighetskrav.
- Overvåke og fornye seg selv i samsvar med eiernes og markedets forventninger samt eventuelle endringer i aktuelle eller gjeldende myndighetskrav.
- Tilrettelegge for et godt, konkurransedyktig, sikkert og bærekraftig arbeidsmiljø – og hvor alle vet hva man skal gjøre, på hvilken måte og når.
- Sikre at styremedlemmenes ansvar jf. aksjeloven blir rettmessig ivaretatt, herunder med rettmessig formell oppgavedelegering i virksomheten.
Det anføres i denne sammenheng at virksomhetens internkontrollansvarlige skal operere uavhengig og på denne bakgrunn rapportere rett til styrets leder.
Les mer om internkontrollarbeidet i praksis i våre øvrige artikler om internkontroll og virksomhetsstyring.
Svein Roar Holt
Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™ og AvvikStandard™. Ekspert på operasjonell etterlevelse og styringssystemer.