Veileder om internkontroll for barnehage- og opplæringssektoren

Arbeidet med internkontroll skal være systematisk og skal tilpasses behovet til den enkelte kommune eller virksomhet.

I regelverket står det:
Kommuneloven § 25-1 andre ledd:
«Internkontrollen skal være systematisk og tilpasses virksomhetens størrelse, egenart, aktiviteter og risikoforhold.»

Barnehageloven § 9 andre ledd:
«Internkontrollen skal være systematisk og tilpasset barnehagens størrelse, egenart, aktiviteter og risikoforhold.»

Privatskolelova § 5-2a andre ledd:
«Internkontrollen skal vere systematisk og tilpassa storleiken på skolen og særpreget, aktivitetane og risikoforholda der.»

Arbeidet med internkontroll skal være systematisk. Det betyr at arbeidet skal pågå kontinuerlig og ikke være tilfeldig, hendelsesbasert eller spontant. Kravet om systematikk gjelder alle elementene i internkontrollkravet. Målet med det systematiske arbeidet er at dere skal forebygge, avdekke og følge opp brudd på regelverket. Det vil si at brudd på regelverket og risiko for brudd skal oppdages og tas hånd om så tidlig som mulig.

Verken kommuneloven eller særlovgivningen stiller krav til at internkontrollen skal ha en bestemt systematikk, eller at dere benytter et spesielt system eller ikt-basert styringssystem. Dere må selv vurdere hvordan dere skal innrette det systematiske arbeidet ut fra behovet i egen kommune eller virksomhet. Det systematiske arbeidet med internkontroll kan illustreres ved hjelp av en sirkel der aktiviteter som å planlegge, kontrollere og korrigere praksis inngår i en syklus. Det kan være nyttig med et årshjul eller en annen form for faser, der dere plasserer de ulike elementene i internkontrollen.

Dere bør koble det systematiske arbeidet til andre ledelsesaktiviteter. Det kan innebære at arbeidet med internkontroll inngår i allerede etablert virksomhetsstyring og/eller forbedrings- og kvalitetsutvikling, og at den blir etablert i eksisterende årshjul, planer og rapporteringer. 

Aktiviteter som kan inngå i et systematisk arbeid:

• utarbeide målsettinger og klarhet i ønsket resultat
• legge planer for arbeidet, for eksempel årshjul for barnehage- og skolemiljø
• gjennomføre regelmessige risikovurderinger
• følge regelmessig med på ansattes praksis i barnehager og skoler, og pedagogisk-psykologisk tjeneste
• innhente systematisk kunnskap om praksis gjennom kontroll av vedtak, sakkyndige vurderinger og liknede saksgjennomgang
• bruke verktøy og metoder som sikrer systemer og at informasjon blir håndtert på riktig måte, for eksempel avvikssystemer, metoder for risikovurderinger
• etablere og systematisk evaluere rutiner og prosedyrer
• iverksette tiltak for å endre praksis

Eksempler på spørsmål til bruk i det systematiske arbeidet:

• Når skal vi gjennomføre risikovurderinger, for eksempel innenfor spesialpedagogisk hjelp i barnehagene, og hvordan skal vi gjøre det?
• Hvordan skal vi sørge for at informasjonen om risiko blir innhentet systematisk, og ikke blir tilfeldig?
• Når, hvem og hvordan skal forskjellige resultater analyseres, for eksempel nasjonale prøver, Elevundersøkelsen, Foreldreundersøkelsen mv.?
• Hvordan skal vi følge opp resultatene med tiltak?
• Når og hvordan skal vi gjøre de ansatte kjent med rutinene og prosedyrene?
• Når skal vi evaluere skriftlige rutiner og prosedyrer, for eksempel innenfor aktivitetsplikten? Hvem har ansvar og hvordan skal vi gjøre det?
• Hvordan skal vi innhente informasjon om avvik og risiko for avvik, for eksempel innenfor spesialundervisning, aktivitetsplikten, og andre områder?
• Når skal vi gjøre eventuelle endringer i rutinene og prosedyrene?

Dere skal tilpasse internkontrollen til kommunens og virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Internkontroll skal være et effektivt verktøy for å følge med og ha kontroll, og dere bør ikke gjøre den unødvendig omfattende. Å tilpasse internkontrollen innebærer at dere må vurdere hvilke områder som skal prioriteres. Dere må gjøre vurderinger av risikoforhold og andre konkrete og lokale forhold og tilpasse internkontrollen ut fra dette. Det betyr at dere må ha god kjennskap til, og ta utgangspunkt i, de lokale forholdene i deres kommune, barnehage eller skole. Internkontrollen vil derfor ikke være lik hos alle. For eksempel vil det være andre behov i en liten privat skole enn i en stor kommune.

Gjennomføre risikovurderinger for å tilpasse internkontrollen

Risikovurderinger er sentralt for å tilpasse internkontrollen. Risikovurderingene skal avdekke sårbarheter og bør rette seg mot områder med stor risiko, og der konsekvensene av brudd er alvorlige.

Kravet til risikovurdering betyr at dere som ledere og ansatte i kommunen, i private barnehager eller skoler må vurdere sannsynligheten for at regelverket ikke blir fulgt, og hvilke konsekvenser det i så fall kan få for barn, unge og voksne. Arbeidet med risikovurderinger bør involvere både ledere og ansatte.

Risikovurderinger skjer på flere nivå i kommunen. Det vil for eksempel både være behov for risikovurderinger for barnehager og skoler generelt, og innenfor den enkelte barnehage og skole.

Dere skal gjennomføre risikovurderingene regelmessig og systematisk. Dere kan for eksempel gjennomføre risikovurderinger, årlig eller oftere, avhengig av egenart, risikoforhold og området det gjelder. Innsamlingen av informasjon fra ulike kilder, og analysene av denne informasjonen må være satt i system, slik at dere kan vurdere risikoen samlet.

Relevante områder for risikovurdering kan være

• oppgaver eller prosesser det er viktig at dere utfører riktig og likt, og der feil og mangler kan ha alvorlige konsekvenser
• hendelser som skjer sjelden, men som dere må ha en plan for å håndtere om de først inntreffer

Det finnes ulike metoder for å gjennomføre risikovurderinger, men regelverket gir ingen føringer for hvordan dere skal gjennomføre risikovurderinger. Det stilles for eksempel ikke krav til en bestemt metode. KS har gitt eksempler i sin veileder, Orden i eget hus.

En enkel risikovurdering kan dere gjøre ved å spørre:

• Hva kan gå galt hos oss?
• Hvor galt kan det gå?
• Hva kan vi gjøre for å hindre det?
• Hva kan vi gjøre for å redusere konsekvensene hvis det skjer?

Risikovurderingene gir grunnlag for å iverksette tiltak som kan forebygge og hindre brudd på regelverket. På bakgrunn av risikoen må dere for eksempel vurdere hvor omfattende dere skal beskrive oppgave- og ansvarsforhold, og hvilket behov dere har for rutiner og prosedyrer, og om de skal være skriftlige. Dere må vurdere behovet for regelmessige kontrolltiltak. Det kan for eksempel være å innhente informasjon gjennom stikkprøver av enkeltvedtak, aktivitetsplaner, årsplaner, periodeplaner, eller andre metoder for å innhente informasjon om virksomhetens praksis.