Orden i eget hus – Kommunedirektørens internkontroll

God kontroll er en viktig del av styringen og egenkontrollen for enhver virksomhet. For kommuner og fylkeskommuner er internkontroll gjerne omtalt som den administrative delen av egenkontrollen.

I forarbeidene til ny kommunelov er bakgrunnen og grunnlaget for ønsket om å endre måten internkontroll samlet sett er regulert på, behandlet relativt omfattende.

I NOU 2016: 4 Ny kommunelov er det en generell utredning av krav om internkontroll og en gjennomgang av tidligere undersøkelser og utredninger av spørsmål omkring internkontrollen i kommunene. Disse bakgrunnsdokumentene viste dels et behov for å styrke og spisse internkontrollen i kommunen, og dels at reguleringen var uoversiktlig og komplisert.

Ny kommunelov ble vedtatt av Stortinget i juni 2018 og inneholder dermed en langt mer omfattende regulering av internkontrollen enn kommuneloven av 1992. Ansvaret for internkontrollen ligger hos kommunens ledelse, det vil si et overordnet ansvar hos kommunestyret og et gjennomføringsansvar hos kommunedirektøren.

Kommunelovens nye internkontrollbestemmelse skal erstatte særlovgivningens bestemmelser om internkontroll rettet mot kommunesektoren (kommuneplikter). Hensikten er å gi en bedre, mer helhetlig og samlet regulering av internkontroll for kommunene. Med lik regulering for ulike sektorer er målet at det skal bli lettere å ta et mer helhetlig grep om internkontrollen i kommunen, og at internkontrollen kan styrkes gjennom et mer målrettet internkontrollarbeid. Unntaket er forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, som fortsatt skal gjelde.

Målet for god internkontroll, som en del av kommunens samlede styring og ledelse, er å levere gode tjenester som er innenfor krav fastsatt i lover og forskrifter. Lovgiver har med den nye kommuneloven ønsket å forenkle og forbedre regelverket for internkontroll. Kommuneloven inneholder nå en internkontrollbestemmelse som er mer detaljert enn internkontrollkravet i kommuneloven av 1992 var, og som inneholder de mest sentrale kravene for internkontroll. Krav som er viktige for å nå målene for god og effektiv internkontroll i kommunen er inkludert, og er i stor grad de samme kravene som kommer frem i lover og forskrifter for de enkelte sektorer. Det har imidlertid vært et mål å ikke ha for mange detaljerte krav i internkontrollbestemmelsen, men kun det som anses nødvendig. Kravet i den nye internkontrollbestemmelsen i § 25-1 gjelder i tråd med § 10-2 også for kommuner med parlamentarisk styreform.

Kommuneloven § 25-1 lyder:

Kommuner og fylkeskommuner skal ha internkontroll med administrasjonens virksomhet for å sikre at lover og forskrifter følges. Kommunedirektøren i kommunen og fylkeskommunen er ansvarlig for internkontrollen.

Internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold.

Ved internkontroll etter denne paragrafen skal kommunedirektøren

a) utarbeide en beskrivelse av virksomhetens hovedoppgaver, mål og organisering

b) ha nødvendige rutiner og prosedyrer

c) avdekke og følge opp avvik og risiko for avvik

d) dokumentere internkontrollen i den formen og det omfanget som er nødvendig

e) evaluere og ved behov forbedre skriftlige prosedyrer og andre tiltak for internkontroll.

Internkontrollen skal være systematisk, risikobasert og tilpasset de konkrete forholdene og behovene i kommunen som helhet og i de ulike delene av kommunens virksomhet. Med gode risikovurderinger og konkrete tilpasninger, vil internkontrollen bli spisset mot områder der det er størst behov slik at internkontrollen blir mest mulig effektiv. Det er ikke et mål i seg selv med mer internkontroll, men det er et mål med en god og effektiv internkontroll tilpasset det konkrete behov uten at den nødvendigvis blir mer omfangsrik og ressurskrevende totalt sett. Det vises til en nærmere omtale av dette i Prop. 46 L (2017–2018), punkt 23.4.1.1.

Internkontrollen skal være systematisk, risikobasert og tilpasset de konkrete forholdene og behovene i kommunen som helhet og i de ulike delene av kommunens virksomhet.

Kommuneloven § 25-1 lovfester minstekrav til en internkontroll. Bestemmelsen gir ikke en legaldefinisjon av internkontrollbegrepet, men beskrivelsen i lovteksten og forarbeidene av hvilke aktiviteter som skal gjøres som del av internkontrollansvaret, danner rammen for internkontrollbestemmelsen.

Kommuneloven § 25-1 inkluderer i stor grad de samme internkontrollkravene som man finner i særlovgivningen, men er enklere og mindre detaljfokusert. Elementer som er fjernet er blant annet krav til kvalitetsarbeid, krav om at kommunene benytter kvalifisert personell, sørger for opplæring og kompetanseutvikling, samt bestemmelser om ansattes tilgang til regelverk og kravet om å holde seg oppdatert på dette. Bakgrunnen for at disse ikke er tatt med i ny internkontrollbestemmelse er forklart i forarbeidene med at slike bestemmelser mer hører hjemme som en del av kommunens generelle styring og ledelse, og at slike føringer ikke bør inkluderes i et lovkrav om internkontroll i kommuneloven.

At kommunedirektøren er ansvarlig for internkontrollen innebærer en viktig tydeliggjøring av at det å ha en god internkontroll er et ledelsesansvar. Ved at ansvaret for internkontrollen ligger hos den øverste administrative lederen i kommunen, og med lik regulering for ulike sektorer, er målet at det skal blir lettere å ta et mer helhetlig grep om den helhetlige internkontrollen i kommunen. Som på de fleste andre områder må kommunedirektøren delegere ansvar for, og utførelse av, det nærmere internkontrollarbeidet nedover i administrasjonen. Ledere av ulike tjenesteområder i kommunen vil typisk få dette ansvaret på sine områder og igjen delegere videre på hensiktsmessig måte. Samspillet mellom kommunedirektøren, den sentrale administrasjonen og de ulike tjenesteområdene er viktig for en helhetlig, risikobasert, tilpasset og systematisk internkontroll.

§ 25-1 andre og tredje ledd, presiserer kravene og innholdet til internkontrollen. I andre ledd stilles det krav om at internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Dette er en sentral del av internkontrollkravet, og gjelder alle deler av internkontrollen. Med systematisk menes at arbeidet med internkontrollen ikke skal være tilfeldig, hendelsesbasert eller spontant. Internkontrollen skal videre tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Kommunen må dermed gjøre vurderinger av risikoforhold og andre konkrete og lokale forhold, og tilpasse internkontrollens omfang og innhold ut fra forholdene i sin kommune. I tredje ledd, bokstav a til e, presiseres det nærmere innholdet i kommunedirektørens internkontrollansvar. Det konkrete innholdet i kravene må ses i sammenheng med både første og andre ledd.

Lovgiver satt som forutsetning for at den nye internkontrollbestemmelsen skal tre i kraft, at særlovgivningens bestemmelser har blitt gjennomgått med sikte på opphevelse. Dette gjelder internkontrollbestemmelser i sosialtjenesteloven, barnevernloven, krisesenterloven, folkehelseloven, introduksjonsloven og opplæringsloven. Kommuneloven er rammelov for all kommunal virksomhet og skal være det sentrale og naturlige stedet for en samlet bestemmelse om internkontroll.

Lovgiver satt som forutsetning for at den nye internkontrollbestemmelsen skal tre i kraft, at særlovgivningens bestemmelser har blitt gjennomgått med sikte på opphevelse.

For å sikre at det ikke gjelder et dobbelt sett med internkontrollkrav er det utarbeidet en overgangsbestemmelse i kommuneloven som vil gjelde frem til endringene i særlovgivningen trer i kraft. Overgangsbestemmelsen er regulert i § 31-3 og innebærer et krav om «betryggende kontroll», tilsvarende det som står i kommuneloven av 1992. Alle endringer i den nye internkontrollreguleringen skal tre i kraft på samme tidspunkt, også for eventuelle forskriftsendringer. Kommunal- og moderniseringsdepartementet tar sikte på at felles ikrafttredelse kan skje 1. januar 2021.

Forholdet til private aktører

Kommunens bruk av private aktører til å utføre lovpålagte oppgaver, kan reise noen problemstillinger knyttet til hvor langt kommunens internkontrollplikt strekker seg i slike tilfeller. Dette er nærmere omtalt i Prop. 46 L (2017–2018) punkt 23.4.2. Internkontrollbestemmelsen i § 25-1 gir ikke kommunen noen særskilte internkontrollplikter knyttet til private aktører. I kommunedirektørens internkontrollansvar ligger det imidlertid en plikt til å følge opp private aktører som har oppdrag om å utføre oppgaver som er pålagt kommunene i lov. For slike oppgaver vil kommunen alltid ha ansvaret for at innbyggerne får de tjenestene de har krav på uansett om de utfører oppgaven selv eller gjennom private. Kommunen kan sette bort utføringen av oppgaven, men ikke ansvaret for den. Kommunen må uansett følge med på og sikre at innbyggerne får det de har krav på. Dette kan gjøres på ulike måter. Det kan for eksempel inngå i avtalen kommunen har med en privat aktør, at den private skal ha visse rutiner for oppfølging eller at visse lover eller forskrifter skal følges. Uansett vil det måtte inngå i kommunens internkontroll, etter ordinær risikovurdering, å ha rutiner, prosedyrer og lignende, for å sikre kommunens kontroll med at innbyggerne får det de har krav på selv om en privat aktør utfører oppgaven. Ny kommunelov forsterker ellers kommunens kontrollmulighet overfor private utførere, ved at kontrollutvalg og revisjon i § 23-6 og § 24-10 gis rett til innsyn og undersøkelser overfor andre virksomheter som utfører oppgaver på vegne av kommunen. Retten er begrenset til det som er nødvendig for å undersøke om kontrakten blir oppfylt.

Internkontrollbestemmelsen § 25-1 gir ikke private aktører en plikt til å ha internkontroll på lik linje med kommunene. Men kommunene vil i forbindelse med avtaler med private aktører om utførelse av oppgaver, kunne stille krav om at de private gjennomfører internkontroll innad i sin virksomhet, dersom dette ikke allerede er et lovpålagt krav. I kommunens internkontrollansvar etter § 25-1 vil det, som nevnt over, uansett ligge en plikt til å følge opp private aktører og de avtaler som er inngått.

Årlig rapportering av internkontrollen

Etter kommuneloven § 25-2, skal kommunedirektøren rapportere til kommunestyret og fylkestinget om internkontroll og om resultater fra statlig tilsyn minst én gang i året. Målgruppen er de folkevalgte, og hensikten er at kommunestyret/fylkestinget skal få tilstrekkelig informasjon for å ivareta sitt ansvar for egenkontrollen, altså kommunedirektørens bekreftelse og beskrivelse på hvordan internkontrollen er ivaretatt. Kommuneloven sier at det skal være årlig rapport, men det er kommunen selv som bestemmer form og innhold. Internkontrollen skal være systematisk og tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Det samme kan gjelde rapportering om internkontroll. Internkontroll er en naturlig del av kommunens årsrapport, og i mange kommuner inneholder denne også årsberetningen. Kommuneloven krever at årsberetningen omtaler måloppnåelse, andre ikke-økonomiske forhold av vesentlig betydning, samt hvordan man arbeider for å sikre en høy etisk standard. Hvis kommunens årsberetning og årsrapport er samme dokument kan det være naturlig at rapporteringen på internkontroll tas inn her. Hvis kommunen ønsker en separat kommunestyresak om rapportering på internkontroll så er det naturlig at det lages en egen rapport (se KS, Orden i eget hus. Kommunedirektørens internkontroll 2020 (Kap. 10, s. 128)).

«Orden i eget hus- Kommunedirektørens internkontroll»

KS utarbeidet i 2013 et idéhefte om rådmannens internkontroll med sikte på å gi kommunene og fylkeskommunene hjelp med å operasjonalisere «betryggende kontroll» i daværende kommunelov.

I ny og revidert versjon, ferdigstilt i april 2020, «Orden i eget hus – Kommunedirektørens internkontroll», er det lagt vekt på tilbakemeldinger og erfaringer fra nettverk og kommuner, samt hvilke grep som kan gjøres for å få helhet og sammenheng i internkontrollen. Veilederen har en praktisk tilnærming, og gir råd om konkrete fremgangsmåter for kommuner og fylkeskommuner som ønsker å forbedre sin internkontroll. Veilederen er utarbeidet med særlig tanke på kommunedirektører som målgruppe, men er også relevant for ledere på ulike nivåer og for medarbeidere som arbeider med helhetlig styring og kvalitetsarbeid.

Veilederen er utarbeidet med særlig tanke på kommunedirektører som målgruppe, men er også relevant for ledere på ulike nivåer og for medarbeidere som arbeider med helhetlig styring og kvalitetsarbeid.

Basert på tidligere rapporter, erfaringer og tilbakemelding fra kommunedirektører er KS` viktigste råd til kommuner og fylkeskommuner som vil forbedre sin internkontroll følgende:

  • Mer formalisert internkontroll
  • Mer risikobasert internkontroll
  • Bedre sammenheng mellom internkontroll og øvrig ledelse og styring

Det siste rådet handler både om oppmerksomhet på internkontroll i daglig og faglig ledelse, og om å se helhet og sammenheng mellom internkontroll, styring og ledelse på et overordnet nivå. Styrking av internkontroll handler om endring, utvikling og læring som gir konkrete resultater og må tilpasses den enkelte virksomhet.

Det kommer frem av veilederen at KS` mener det langt på vei utføres bra arbeid i kommunesektoren. Mye av internkontrollen blir kanskje ikke oppfattet som internkontroll, men som hensiktsmessig arbeidsdeling, faglig baserte normer og arbeidsformer, sunn fornuft, rutine og erfaring. Veilederen er dermed ment å støtte opp om alt det gode arbeidet, og samtidig rettlede der det er forbedringspotensial. Formålet er å gi praktisk støtte til kommuner og fylkeskommuner som ønsker å styrke den administrative internkontrollen. Veilederen tar ikke sikte på å avklare det nærmere innholdet i lovens minstekrav, men ønsker å bidra til oppmerksomhet på betraktninger som også er relevante for å vurdere hva som følger av lovens minstekrav. God internkontroll handler i stor grad om systematisk arbeid, god organisering og dokumentasjon, arbeidsmetoder og samhandling som kan forebygge lovbrudd og uønskede hendelser. Internkontroll kan overlappe med virksomhetsstyring, men er i større grad risikobasert enn det mål- og resultatstyringen er, som har oppmerksomheten på å realisere mål.

God internkontroll er derfor mer enn å unngå lovbrudd.

Kommunesektoren har ansvar for oppgaver som er viktige for innbyggerne og lokalsamfunnet, og leverer et mangfold av tjenester som har stor betydning for folks liv og livskvalitet. God internkontroll er derfor mer enn å unngå lovbrudd. God internkontroll bidrar til en utvikling i tråd med folkevalgte planer og vedtak, sikrer kvalitet og effektivitet i tjenesteyting og forvaltning, og bidrar til godt omdømme og legitimitet for kommunesektoren. Det er viktig for kommunene å ha orden i eget hus for å opprettholde tilliten og legitimiteten til kommunesektoren og lokaldemokratiet. Kommuner og fylkeskommuner har et selvstendig ansvar for å føre kontroll med egen virksomhet, og kommunedirektørens internkontroll er en viktig del av kommunens egenkontroll.

Digitalt kurs 14. september

Ønsker du mer informasjon om ny internkontrollbestemmelse, bli med på NKRFs digitale kurs, «Orden i eget hus – Kommunedirektørens internkontroll», 14. september fra klokken 09.00-13.00. Kursholdere vil være Jan Gabriel Gabriel, seniorrådgiver KMD, Åsbjørn Vetti, seniorrådgiver KS-konsulent, samt Linda Lier, internrevisor i Horten kommune.

Formålet med kurset er å gi en innføring i kommunelovens kap. 25, med overordnede bestemmelser om internkontrollens hensikt, innhold og omfang, og hvor kommunedirektørens ansvar er utdypet og presisert.

Videre blir det en presentasjon av KS’ nye veileder som tar kommunedirektørens perspektiv og hvilke grep som kan gjøres for å få helhet og sammenheng i internkontrollen.

Kurset gir også praktiske eksempler fra Horten kommune på hvordan de ser sammenhengen mellom styringssystem, internkontroll og utviklingsarbeid.

Lenke til Kommunerevisoren nr. 5/2020:

https://www.nkrf.no/kommunerevisoren/2020/5

Denne artikkelen ble publisert i Kommunerevisoren nr. 5/2020