Hvordan lykkes med virksomhetsstyringen? – en innføring i IIA Norges Veileder og modenhetsmodell

Veilederen er en kort og praktisk guide til virksomhetsstyring. Den er utformet så universell som mulig, slik at den kan anvendes både i offentlige og private virksomheter.

Her passer det å nevne at dette er temaer som også ledelsen og revisjonen i kommunal sektor skal være opptatt av. I KS-veilederen «Orden i eget hus – Kommunedirektørens internkontroll» fra 2020, blir det i pkt. 1.1 Bakgrunn slått fast at de tre viktigste rådene til kommuner og fylkeskommuner som vil forbedre sin internkontroll, er: Mer formalisert internkontroll, mer risikobasert internkontroll og bedre sammenheng mellom internkontroll og øvrig ledelse og styring. Altså, sagt med litt andre ord, nettopp internkontroll, risikostyring og governance (eller virksomhetsstyring).

1. Innledning

Hva risikostyring og (intern)kontroll er, er godt kjent for de fleste som har interesse for fagfeltet, mens begrepet governance kan være mer uklart. Her brukes gjerne oversettelser som «virksomhetsstyring», «eierstyring og selskapsledelse» eller «foretaksstyring». Disse begrepene brukes litt om hverandre både i forskjellige anbefalinger og i norsk lovgivning (bl.a. i regnskapsloven, allmennaksjeloven, revisorloven og helseforetaksloven).

Innenfor risikostyring og internkontroll finnes det mye avklarende litteratur, veiledninger og definisjoner, mens man ikke er like omforent om hva governance/virksomhetsstyring/foretaksstyring egentlig innebærer. Behovet for en felles forståelse av disse begrepene, og ønsket om en lettfattelig veileder på området, var et viktig utgangspunkt for at IIA Norge utviklet en egen Veileder for virksomhetsstyring (heretter kalt Veilederen), utgitt i 2021.

Virksomhetsstyring handler først og fremst om forholdet og samspillet mellom eiere, styrende organer og ledelse, og hvordan dette samspillet bidrar til å innfri virksomhetens mål – se figur 1 under.

Figur 1: Roller i virksomhetsstyringen

Ettersom forhold knyttet til eieren (eierstyringen) i henholdsvis privat, kommunal og statlig sektor er svært godt dekket gjennom Anbefaling for eierstyring og selskapsledelse fra Norsk utvalg for eierstyring og selskapsledelse (NUES), KS’ anbefalinger om eierskap, selskapsledelse og kontroll, og Statens ti prinsipper for god eierutøvelse, fokuseres det i Veilederen noe mindre på eiers rolle og mer på rollene til styret og ledelsen. Altså det som ofte omtales som «den interne virksomhetsstyringen».

Veilederen er ingen lærebok, men en kort og praktisk guide til intern virksomhetsstyring. Den er bevisst utformet så universell som mulig, slik at den kan anvendes både i offentlige og private virksomheter. Derfor er det også viktig at de som benytter Veilederen tilpasser den til sine behov. Mange offentlige virksomheter har f.eks. ikke et styre, så her må man «oversette» styret til virksomhetens øverste myndighetsorgan eller høyeste stilling, altså der ansvaret for virksomhetsstyringen ligger – i en kommune/fylkeskommune vanligvis kommunestyret/fylkestinget. Andre tilpasninger til eget bruk kan være en naturlig følge av virksomhetens størrelse eller dens eksterne rammebetingelser, slik som lover, reguleringer og konkurransesituasjon.

2. Veilederen for Virksomhetsstyring

Figur 2 nedenfor viser Veilederens mest sentrale figur. Den viser de fire temaene og 17 komponentene som anses mest aktuelle og relevante for virksomhetsstyringen. Pilene inn mot sirkelen i sentrum minner oss om at alle elementene i virksomhetsstyringen handler om å innfri virksomhetens mål og skape merverdi. Rekkefølgen på temaene (1 til 4) samsvarer med kjente prosessfremstillinger og styringssirkler, men det er jo ikke slik at man skal starte med første komponent knyttet til mål og retning og jobbe seg gjennom komponent for komponent fram til «kontinuerlig læring og forbedring».

Figur 2: Virksomhetsstyringens tema og komponeter

Virksomhetsstyringen er dynamisk, og komponentene vil i stor grad henge sammen, håndteres samtidig og påvirke hverandre.

Virksomhetsstyringen er dynamisk, og komponentene vil i stor grad henge sammen, håndteres samtidig og påvirke hverandre.

Eksterne rammebetingelser er forhold som virksomheten i liten grad kan styre eller påvirke, slikt som begivenheter og aktiviteter som inntreffer utenfor virksomheten og krav og forventninger fra myndigheter og andre interessenter. De danner et bakteppe for hele modellen, og må hensyntas i styringen av virksomheten.

Det må presiseres at uansett hvor god virksomhetsstyringen er, så har man ingen garanti for måloppnåelse. Mange omstendigheter som virksomheten ikke er herre over, kan hindre dette, ikke minst ulike forhold knyttet til de eksterne rammebetingelsene. Derfor bruker vi formuleringen «bidrar til» verdiskapning og måloppnåelse.

De fire temaene danner kapittelinndelingen i Veilederen, og omtalen av hver av de 17 komponentene er bygget opp likt. I figur 3 nedenfor ser dere et eksempel på en av komponentene (den med minst tekst). Overskriften er lik komponentens navn, og deretter følger en kortversjon av innholdet. Så kommer omtalen med en forklarende tekst, og hver komponent avsluttes med anbefalinger og tips om praktisk tilnærming («gode råd»). Her benyttes ordet «bør», ikke «skal», for det handler ikke om krav eller pålegg, men om forhold som nettopp «bør» være på plass for å bidra til god virksomhetsstyring.

Figur 3: Eksempel på omtale av en komponent

I Veilederens Vedlegg 1 er alle komponentene listet opp med navn og essens/kortversjon. I denne artikkelen ville det føre for langt å gå inn på hver enkelt komponent i detalj, men nedenfor sier vi litt om hvert av de fire temaene, og da blir mange av komponentene nevnt.

2.1 Tema 1 – Mål og retning

Her behandles noen grunnleggende forutsetninger som må være etablert før man kan strukturere virksomheten og legge til rette for en effektiv og hensiktsmessig drift. Det er virksomhetens Formål, Visjon, Verdier, samt Mål og Strategier, fire komponenter som henger tett sammen og bør samspille med hverandre. I kommunal sektor vil det nok være aktuelt å tilpasse Veilederen terminologi i noen av disse komponentene, det kan f.eks. hende at «samfunnsoppdrag» er et mer relevant begrep enn «formål».

Formålet bør være definert slik at det gir en forklaring på hvorfor virksomheten eksisterer og hvilke behov den skal dekke. Visjonen representerer et ønsket fremtidsbilde eller en tilstand som man strekker seg mot. Drammen kommune sin visjon er eksempelvis «Et godt sted å leve», mens Rogaland fylkeskommune har visjonen «Berekraftig utvikling og sterke fellesskap i heile Rogaland».

Verdier handler om hva virksomheten ønsker å stå for, og hvordan man ønsker at de ansatte skal handle og opptre når de representerer virksomheten. Sammen skal disse verdiene bidra til at virksomheten fremstår med integritet, opptrer etisk forsvarlig, og fremmer en sunn kultur.

Strategiske mål og strategier må bygge opp under virksomhetens visjon og verdier. Disse besluttes normalt av styret (kommunestyret/fylkestinget), og skal realiseres et stykke frem i tid. De mer kortsiktige operative målene, som omtales som egen komponent i Veilederens tema 3 Gjennomføring, besluttes av ledelsen og bør bygge opp under de strategiske målene.

2.2 Tema 2 – Struktur

Veilederen identifiserer tre grunnleggende strukturkomponenter – Organisering, ansvar og myndighet, Informasjon og kommunikasjon og Godtgjørelses- og belønningsordninger. Også disse komponentene må tilpasses virksomhetenes natur og kompleksitet, herunder eventuelle eksterne krav og pålegg.

Organisering av virksomheter bør omfatte ansvars- og myndighetsstruktur som balanserer og fordeler roller, ansvar og myndighet. Som en del av dette bør habilitetsregler være på plass for å sikre nødvendig objektivitet i beslutningsprosesser. Under «praktiske tilnærming» i komponenten organisering, ansvar og myndighet understrekes viktigheten av bl.a. å etablere instrukser, fullmakts- og styringsstrukturer, roller, rutiner og regler.

Komponenten informasjon og kommunikasjon handler om å nå ut til de som trenger informasjonen både internt og eksternt, til rett tid. Det forutsetter kunnskap om målgrupper og interessenter for ulike typer informasjon.

Virksomhetens godtgjørelses- og belønningsordninger bør belønne ansattes bidrag til langsiktighet og etisk forsvarlig verdiskapning. I tillegg er det viktig at disse ordningen ikke bidrar til unødige interessekonflikter.

2.3 Tema 3 – Gjennomføring

Under Tema Gjennomføring kommer prosessene for styring av den operative driften inn. Virksomhetens mål og strategier operasjonaliseres i konkrete handlingsplaner. Helhetlig og koordinert styring av kjerneprosessene bidrar til effektivitet og kvalitet i driftsfasen, og de suppleres med støtteprosesser, som økonomistyring og risikostyring. Samtidig skal lover og regler etterleves, og virksomhetens verdier forvaltes og beskyttes.

Risikostyring bør være en integrert del av virksomhetsstyringen, harmonisert med andre styringsaktiviteter. Her kan det passe å nevne at mens risikostyring er en egen komponent i Veilederen, så er ikke internkontroll det. Grunnen er at internkontrollens bestanddeler som kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølgingsaktiviteter, alle er sentrale elementer i Veilederens øvrige komponenter. Internkontroll som egen komponent ville derfor ha ført til mange gjentakelser og henvisninger.

Siste komponent i temaet Gjennomføring er «sekkeposten» Styring og beskyttelse av øvrige verdier, ressurser og prosesser. Her blir en rekke viktige prosesser som virksomheten må styre, listet opp og omtalt. Disse er relevante for de fleste virksomheter, men opplistingen er naturlig nok ikke ment å være uttømmende.

2.4 Tema 4 – Læring og forbedring

Rammebetingelsene til en virksomhet vil være i stadig endring. Derfor er det også viktig med gode prosesser for kontinuerlig læring og forbedring for at virksomheten skal kunne stå sterkt rustet også i fremtiden. Læring og forbedring foregår på alle nivåer i organisasjonen, f.eks. i en avdeling, et prosjekt eller en prosess. Det vil også kunne oppstå svakheter og feil i hvordan de grunnleggende aktivitetene i virksomheten utføres og hvordan kontrolltiltakene fungerer. Derfor er det viktig med systematisk, løpende oppfølging og vurdering av virksomheten, i Veilederen omtalt som monitorering og evaluering.

I figur 4 nedenfor sees komponentene opp mot den velkjente «Trelinjemodellen» som viser hvordan ansvaret for internkontroll og risikostyring fordeles og håndteres i en virksomhet, så ser vi at monitorering og evaluering vil foregå «i linjen», altså 1. linje.

Figur 4: Komponentene under Læring og forbedring sett i relasjon til trelinjemodellen

Den linjeuavhengige kontrollen – eksempelvis en risikostyings-, compliance- eller controllerfunksjon – ligger i virksomhetens andrelinje. Funksjonen kan være pålagt gjennom myndighetskrav, men også virksomheter som ikke har et slik krav på seg, vil ofte finne det fornuftig å opprette en slik uavhengig kontroll. Det er avgjørende at disse kontrollfunksjonene har en organisatorisk plassering som sikrer uavhengighet til de delene av virksomheten som de kontrollerer.

Det er avgjørende at disse kontrollfunksjonene har en organisatorisk plassering som sikrer uavhengighet til de delene av virksomheten som de kontrollerer.

Objektive bekreftelser til styret og ledelsen bidrar til å danne grunnlag for deres vurderinger og beslutninger. De objektive bekreftelsene knyttes til 3. linjefunksjonen, internrevisjonen, som ikke har ansvar for virksomhetens løpende drift. Funksjonens uavhengighet og autoritet styrkes om internrevisjonens leder ansettes av styret og kan rapportere direkte dit.

Feil, uønskede hendelser og behov for forbedringer blir ofte avdekket og rettet opp igjennom etablerte internkontrolltiltak, men i utgangspunktet vil da bare de som er direkte involvert i forholdet bli kjent med det og lære av det. Lærdommen bør ikke stanse der, men også spres til andre som kan oppleve tilsvarende utfordringer, og til de som har ansvar og myndighet til å iverksette nødvendige endringer. Derfor er det viktig å etablere rutiner for å gjennomføre lærings- og forbedringstiltak som legger til rette for kontinuerlig læring og forbedring.

3. Modenhetsmodellen for Virksomhetsstyring

3.1 Modellens formål og oppbygning

Modenhetsmodellen ble publisert et drøyt år etter selve Veilederen. Den er ment som et verktøy og hjelpemiddel for å kartlegge hvilket nivå man ligger på i styringen av virksomheten. Bruk av modellen gir innsikt i virksomhetens nåsituasjon og skaper grunnlag for forbedring, og kan dermed bidra til virksomhetens måloppnåelse. Den er strukturert iht. temaene og komponentene i Veilederen slik at man lett skal kjenne seg igjen, og for hver komponent er det utarbeidet kriterier for 5 modenhetsnivåer, definert slik dere ser i figur 5 nedenfor.

Figur 5: Nivåene i Modenhetsmodellen

På nivå 1 handler det ofte om hva som mangler eller ikke er på plass. Kriteriene vil sjelden være helt fraværende, selv om det nok i enkelte virksomheter kan være tilfelle for noen av Veilederens komponenter. På nivå 2 mangler det en helhet, og her brukes en del negative formuleringer som mangelfullt, uklart og usystematisk. På nivå 3 finnes det en helhetlig tankegang, og kriteriene er stort sett positive, altså er det snakk om hva som er på plass. På nivå 4 legges det vekt på det systematiske og at det jobbes med forbedringer. På nivå 5 blir det i tillegg til kontinuerlig forbedring og effektivisering, lagt vekt på at virksomhetens kultur bidrar til å ivareta komponenten.

For at modellen skal være så enkel og brukervennlig som mulig, uten for mange gjentakelser, så bygger nivå 4 og 5 på nivå 3 og 4. Det vil si at her gjentas ikke kriteriene fra forrige nivå, men disse forventes å være på plass.

I praksis vil det ikke være skarpe skiller mellom nivåene, men modellens beskrivelse gir veiledning til vurdering og innplassering.

En kartlegging av modenhet basert på kriteriene i modellen vil gi et bilde av en nåsituasjon, og kan bli en bekreftelse på at virksomheten ligger på ønsket nivå. Men konklusjonen kan også bli at virksomhetsstyringen bør forbedres, og da vil kriteriene på neste nivå være til god hjelp.

3.2 Praktisk bruk av Modenhetsmodellen

Når man tar Modenhetsmodellen i bruk, er det viktig å være klar over at den ikke er en snarvei til en klar konklusjon som det kan settes to streker under. Det må brukes skjønn, og man må alltid tenke tilpasning. Dessuten er modellen svært fleksibel, den kan brukes på hele virksomheten eller kun på en del av den, f.eks. en avdeling, en prosess eller et prosjekt. Det er også fullt mulig å bruke den bare på enkelte tema og/eller komponenter, og droppe de komponentene som ikke er relevante for den aktuelle gjennomgangen.

Når en har vurdert modenheten og skal bruke resultatene videre, er det viktig å være seg bevisst hvilket nivå man bør etterstrebe. Det er ingen selvfølge at virksomheten ønsker å oppnå nivå 5, ikke minst fordi det alltid vil knytte seg kostnader, gjerne i form av både tid og penger, til det å forbedre virksomhetsstyringen. Kostnadene må veies opp mot forbedringen som oppnås ved å komme opp på et høyere nivå, og totalt sett bør man oppleve at nivåhevingen gir merverdi.

Kostnadene må veies opp mot forbedringen som oppnås ved å komme opp på et høyere nivå, og totalt sett bør man oppleve at nivåhevingen gir merverdi.

Ofte vil enkelte komponenter være spesielt viktige for en virksomhet, slik som f.eks. etterlevelse av lover og regler vil være for en finansinstitusjon og for mange enheter i kommunal forvaltning. Da vil man kanskje ønske å være på nivå 5 på denne komponenten, mens det kan aksepteres et lavere nivå for noen andre komponenter.

4. Vedlikehold og videreutvikling av Veilederen

IIA Norge ønsker å oppdatere Veilederen jevnlig for å sikre at den også i fremtiden vil oppleves som relevant og aktuell. Innspill og kommentarer basert på erfaringer høstet gjennom bruken av den, vil derfor bli tatt imot med stor takk!

Innspill kan sendes post@iia.no, og både Veilederen og Modenhetsmodellen kan lastes ned fra: iia.no/publikasjoner.

___________________________________

Tor Solbjørg er statsautorisert revisor og diplomert internrevisor. Han har 50 års yrkeserfaring fra revisjon og revisjonsrelaterte bransjer, inklusive finansiell revisjon (var partner i Noraudit/BDO), internrevisjon (i Nordlandsbanken og, de siste 17-18 årene, Helse Nord RHF), akademia (førstelektor ved Siviløkonomutdanningen i Bodø) og, ikke minst, kommunal revisjon (som fylkesrevisor i Nordland og rådgiver ved NKRF Servicekontor). Han har vært medlem av utvalg og komiteer i NKRF, Revisorforeningen og IIA Norge, og har skrevet faglitteratur, bl.a. forfattet NKRFs bok ”Kommunal revisjonsmetodikk”. Tor er for tiden medlem av IIA sin Fag- og metodekomite.

Cecilie Thorberg er siviløkonom, CIA (Certified internal auditor) og diplomert internrevisor. Hun har jobbet med økonomi- og administrasjon i privat sektor i 15 år og har 12 års erfaring fra internrevisjon i offentlig sektor. For tiden jobber hun som internrevisor i Politidirektoratet og er leder for IIA sin Fag- og metodekomite.

Lenke til kontroll & revisjon nr. 2/2023:

https://www.nkrf.no/kontroll-og-revisjon/2023/2

Denne artikkelen ble publisert i kontroll & revisjon nr. 2/2023