Et innblikk i Politi- og lensmannsetatens arbeid med internkontroll. Hvilke vurderinger gjorde man ved oppstart av internkontrollprosjektet i 2016? Hvilke erfaringer ble gjort underveis?
Etaten jobber fortsatt med å lukke noen anmerkninger fra Riksrevisjonen, men det har nylig kommet positive signaler fra Stortingets kontrollorgan når det gjelder internkontroll på et viktig område. Det kan tyde på at det systematiske arbeidet begynner å gi effekt. (publisert i SIRK 1, 2019).
Politi- og lensmannsetaten (POD) er blant de aller største, mest komplekse, vesentlige og risikoutsatte statlige virksomhetene. Etaten er gjenstand for stor oppmerksomhet fra politikerne, media og publikum. Reformer og store endringer har satt sitt preg på etaten de siste årene. Selv om risiko er en ryggmargsrefleks hos politifolk og selv om Riksrevisjonen har gitt etaten anmerkninger på flere områder innenfor dens ansvar, så har internkontroll ikke stått høyt i kurs. Distrikter og særorganer har hatt stor grad av autonomi og det finnes store reelle forskjeller på situasjonsbildet til de ulike enhetene. Det er med andre ord utfordrende å få til enhetlig og helhetlig internkontroll. Ledelsen bestemte seg for å ta grep og mandatet for internkontrollprosjektet ble godkjent i 2016. At dette skjedde i en periode der 27 politidistrikter skulle bli til 12 og hvor det var gitt føringer om at styringen skulle sentraliseres og standardiseres ga noen ekstra utfordringer, men også noen unike muligheter.
Politidirektoratet har også vært gjennom en omorganisering og ny organisasjon ble iverksatt fra 1. januar 2019. Det er Styringsavdelingen som har fagansvaret for virksomhetsstyring, risikostyring og internkontroll og seksjonsleder i Økonomiseksjonen Trude Beate Sveen har vært prosjekteier for internkontrollprosjektet.
Trude, kan du si litt om foranledningen til etableringen av internkontrollprosjektet?
Vi besluttet i 2016 å etablere et prosjekt på grunn av vår og Riksrevisjonen sin bekymring over om vi hadde god nok kontroll på politiets regnskap. I mandatet for prosjektet fremkom at målet var å etablere et system for internkontroll tilpasset risiko og vesentlighet som er innebygd i PODs interne styring. I løpet av 2018-2019 skulle et velfungerende styringssystem med innebygget internkontroll være på plass. På den tiden hadde vi etablert en felles hovedbok for hele politiet og vi skulle gradvis fase inn hovedboksdata fra de ulike politidistrikt, særorgan og øvrige underliggende enheter gjennom hele 2017 og 1. kvartal 2018. I den forbindelse så vi behovet for å kartlegge alle våre lønns- og regnskapsprosesser og se om vi hadde tilfredsstillende kontroller i alle ledd for å sikre et fullstendig regnskap.
Vi identifiserte prosesser og kontroller og laget nye kontroller der kontrollene manglet. Vi hadde en «soft close» (myk årsavslutning) per 30. september 2017, hvor vi blant annet testet kontrollene vi hadde etablert og de som var der fra før.
Hva slags diagnose stilte dere før prosjektet ble startet?
Det var usikkert om Riksrevisjonen kunne godkjenne politiets regnskap for 2017. Samtidig stilte de spørsmål ved om vi hadde et helhetlig internkontrollsystem for lønn og regnskap. Vi visste at vi ikke hadde et slikt system i politiet. Det var også Justis- og beredskapsdepartementet (JD) klar over og i tildelingsbrevet for 2018 ble etaten bedt om å sende en plan for det videre utviklingsarbeidet knyttet til internkontroll.
Ble det definert noen ambisjon med arbeidet?
Målet for prosjektet for 2017 var å få et godkjent regnskap fra Riksrevisjonen. Videre var ambisjonen å få opp et helhetlig internkontrollsystem i politiet.
Hvordan har dere gått fram i prioriteringen av leveranser og fokusområder?
Fokus i 2017 var på å sikre riktig regnskap. Det var viktig i prosjektgjennomføringen å tilpasse fremdrift og leveranser til tidsløpet for når de enkelte politidistriktene og særorganene skulle overføre regnskapsprosessene til felles tjenestesenter og lønn til DFØ. Enhetene hadde derfor ulike tidsplaner. I 2018 ble fokus endret til å utvikle hovedelementene i et helhetlig rammeverk for internkontroll, og 2019 er prøveår for innføring av dette rammeverket. Rammeverket består blant annet av roller og ansvar, årshjulsprosesser, samt struktur for styrende dokumenter og ny fullmaktsstruktur.
Hvordan vil du beskrive kulturen for styring og kontroll i etaten? Har denne endret seg de siste årene?
Både rammebetingelsene og måten internkontroll utøves på har endret seg de siste årene. Det finnes store mengder instrukser, rutiner med mer. Det er også mange innarbeidede arbeidsmåter som ikke alltid er formalisert. Hver enhet har fortsatt stor grad av autonomi, men koordineringen og samordningen fra direktoratet har blitt sterkere. Ledere for Stab for virksomhetsstyring i distrikter og særorganer har fått en viktigere rolle som bindeledd mellom det lokale og sentrale. Begrepsmessig har man rapportert på administrative kontroller i noen år, men nå er begrepet internkontroll innført. Men det er fortsatt potensial for forbedring.
Internkontroll må bli en del av virksomhetsstyringen i etaten og få mer fokus. Det mangler en totaloversikt over all internkontroll, hva som er bra og mindre bra. Etaten jobber fortsatt med å lukke riksrevisjonsmerknader på sentrale prosesser. I tillegg til dette har det kommet rapporter fra vår egen internrevisjon om manglende internkontroll på enkeltområder.
I prøveåret 2019 er det særlig fokus på å forbedre internkontrollen på beslag, sivil våpenforvaltning, budsjettdisponeringsmyndighet og styrende dokumenter.
Hvordan har du som prosjekteier involvert toppledelsen i arbeidet?
I 2017 satt vår avdelingsdirektør i styringsgruppen for prosjektet. Videre har det skjedd forankring gjennom linjen – det er tidvis gitt informasjon i toppledergruppen og ledelsen har også behandlet og sendt risikovurderinger til departementet. Justisdepartementet har ønsket en risikobasert tilnærming for gjennomføring av etatsstyringsmøtene og dette har gitt føringer for involvering av toppledelsen.
Internkontroll knyttet til lønn og regnskap
Det er i dag Politiets fellestjeneste (PFT) som har det operative ansvaret for lønns- og regnskapsprosessene i etaten. Marit Reitan er leder for enheten Lønn og regnskap i PFT og har vært sentral i internkontrollarbeidet på disse områdene. Her er det lagt ned tusenvis av timer med prosesskartlegginger, risikovurderinger mv. I et brev fra Riksrevisjonen fra mars 2019 kunne man lese følgende: «Ut fra det vi har observert vurderer vi at internkontrollen hos PFT innenfor lønns- og regnskapsprosessene er god».
Marit, hva vil du si har vært avgjørende ved det arbeidet dere har gjort for å få et slikt skussmål fra Riksrevisjonen?
Det er vanskelig å peke på en spesiell ting. Det ble gjort en grundig kartlegging av prosessene på begge fagområdene. Dette var verdifullt som input til risikokartleggingen som lå til grunn for implementering av internkontrollen. Å ha god innsikt i og god visualisering av prosessene er en kritisk suksessfaktor for en god kartlegging av risiko. Hvis jeg skal trekke frem en enkelt faktor, er det kanskje dette at man dermed kan dokumentere at vi har en genuin risikobasert internkontroll.
Det har vært mye fokus på å formalisere prosessene, men hvordan har dere jobbet med kultur og med å sikre god etterlevelse?
Det er et viktig spørsmål! Å etablere en kultur er et langsiktig arbeid. Vi har heldigvis svært dyktige ansatte i enhetene og i PFT, som er profesjonelle på sine områder og derfor har forståelse for betydningen av internkontroll. Det er jo heller ikke slik at det ikke fantes internkontroll tidligere, tvert imot var det mye god internkontroll på lokal basis. Det nye er jo at vi har standardisert, sentralisert og dokumentert internkontrollen i hele etaten, og dermed gjort den tilgjengelig for våre eiere og andre interessenter som Riksrevisjonen o.l. Men jeg må også si at vi jobber kontinuerlig med å forbedre denne kulturen. Det skjer blant annet med løpende oppfølging, tilbud om veiledning, og ikke minst anerkjennelse til de som gjør jobben med å sikre god etterlevelse.
Hva er holdningen til internkontroll i etaten (på lønn og regnskap og ellers i etaten)?
Jeg opplever de ansatte i politiet som bevisste sitt samfunns-oppdrag, og det gjelder også på dette området. God internkontroll er et bevis på at vi bruker fellesskapets ressurser fornuftig og med god styring, og vi kan dokumentere det. Vårt ansvar som ledere er å bidra til at denne sammenhengen blir forstått på alle nivåer i organisasjonen og at vi prioriterer også dette området. Dette ansvaret må utøves hver dag og en slik anerkjennelse fra Riksrevisjonen er en god oppmuntring til å jobbe videre.
Ekstern prosjektleder
På grunn av manglende kapasitet internt bestemte POD seg for å kjøpe ekstern hjelp i mai 2017. Lars G. Røe har vært innleid prosjektleder for internkontrollprosjektet i omtrent to år.
Lars, hvordan har du opplevd å ha rollen som prosjektleder?
Dette har vært et spennende og utfordrende prosjekt med høy kompleksitet. Internkontrollprosjektet har jobbet sammen med økonomi- og regnskapsfunksjonene i virksomheten, med stab virksomhetsstyring i alle enhetene, med fagmiljøene i POD så vel som inn mot ledelsen har vært givende å bidra til videreutvikling av styring og kontroll i en slik virksomhet.
Vi startet med internkontroll knyttet til økonomiprosessene i 2017, og å har senere jobbet bredt med roller og ansvar, årshjulsprosesser på tvers av prosessområder så vel som styrende dokumenter, fullmaktsstruktur med mer. Jeg er spesielt opptatt av at for å lykkes må virksomheten evne å se mål- og resultatstyring, prosesstyring, risikostyring og internkontroll i sammenheng – dette skal sammen sikre god styring og kontroll i virksomheten. Min erfaring er at mange virksomheter bygger siloer med ulike fagmiljøer og personer, og at man ikke utnytter synergiene mellom disse områdene. Eksempelvis er tydelige prosesser nødvendig for å tydeliggjøre eierskap og ansvar, noe som igjen muliggjør oppfølging av internkontroll.
Hva har vært viktig for å lykkes i gjennomføringen?
En kritisk faktor for prosjektstyringen i dette prosjektet har vært etablering av arbeidsgrupper med representanter fra ulike deler av virksomheten for god involvering og kvalitetssikring av løsninger underveis. Deltakerne i arbeidsgruppene har også fungert godt som ambassadører ut mot organisasjonen og vært viktig for å sikre forståelse for løsningene. Andre viktige faktorer har vært å ha god forståelse for hvordan roller og ansvar er fordelt i organisasjonen, klare leveranser og kontaktpersoner i alle enhetene, og tilstrekkelig kapasitet til å sikre en god gjennomføring.
Hva vil du beskrive som mest vellykket?
Jeg tror nok at mange var usikre på om det var gjennomførbart å kartlegge, identifisere behov og implementere en formalisert internkontrollstruktur i lønn- og regnskapsprosessene i hele politiet i løpet av drøye syv måneder fra slutten av mai 2017. Dette i en periode med stor omstilling. For egen del er jeg meget fornøyd med at vi klarte dette på en så god måte. Heldigvis viste det seg at mye av det grunnleggende var på plass, men det var en hektisk periode.
Hvis du skal sammenligne internkontrollarbeidet i POD med tilsvarende forbedringsarbeid i andre virksomheter du kjenner – hva er særlig utfordrende i POD?
Jeg opplever nok at internkontroll er et utfordrende tema å forholde seg til for mange når vi går utenfor økonomiprosessene og skal snakke om å sikre internkontroll inn i operasjonelle prosesser. I produksjonsvirksomheter er kvalitetssikring bygget inn i prosessene som del av kvalitetsstyringen, mens for politifolk som har i sitt DNA at de skal fange tyver blir internkontroll fort svevende. Dette er nok tilsvarende og gjenkjennbart for mange virksomheter – i hvert fall i offentlig sektor.
En utfordring i politiet er den store bredden i oppgaveporteføljen. Politiet driver med sivil våpenforvaltning, internasjonale forpliktelser, samfunnssikkerhet, pass og mye annet i tillegg til kriminalitetsbekjempelse. Det er derfor vanskelig å få oversikt over den internkontroll som praktiseres innenfor ulike fagområder for så å kunne vurdere om den er tilfredsstillende. Samtidig er det mye kompetanse på risikostyring og internkontroll innen enkelte fagmiljøer på direktoratsnivå, noe som gir et godt grunnlag for videre forbedringsarbeid.
Hvor moden er POD på internkontroll og risikostyring per i dag? Hva kan andre virksomheter lære av POD?
Politiet er nå kommet et godt stykke på vei med å tydeliggjøre hva som skal inngå i risikostyring og internkontroll og hvordan det skal følges opp på tvers av virksomheten. Min erfaring fra offentlig sektor er at politiet på dette området kanskje er kommet noe lengre enn mange i dette arbeidet, selv om de fortsatt er i en utviklingsfase.
Jeg ser mange virksomheter der de har styrende dokumenter som fordeler ansvar, men uten å tydeliggjøre hva som forventes for å ivareta dette ansvaret. Hvilke konkrete aktiviteter bør mellomledere utføre for å ta sitt ansvar, hvor ofte, og hvilke støtteverktøy finnes for å hjelpe dem med dette?
Her kan mange lære om behovet for årshjulsprosesser, metodikk, skjematikk og andre støtteverktøy. Kunsten er å finne smarte løsninger, slik at det blir gjennomførbart i virksomheten.