Internkontroll er å sikre at virksomhetens oppgaver og aktiviteter innenfor risikoområder planlegges, organiseres, utføres og vedlikeholdes i samsvar med kravene i lovgivningen. Formålet med internkontroll er å unngå at feil skjer som følge av systemsvikt, å sikre at virksomheten opptrer på forsvarlig måte og å bidra til kontinuerlig kvalitetsforbedring.

Internkontroll er i dag lovpålagt på de fleste områder der svikt kan få alvorlige følger, enten for virksomheten selv, for de ansatte eller for mottakere av varer og tjenester som virksomheten leverer. Eksempler på rettsområder som er underlagt en eller annen form for lovpålagt internkontrollplikt er vannforsyning, matproduksjon, helse- og sosialtjenester, økonomistyring, arbeidsmiljø, forurensning, brannsikkerhet og informasjonssikkerhet. Dette er områder der manglende internkontroll kan medføre svikt i form av at liv og helse og økonomiske og andre verdier går tapt.

Et internkontrollsystem er et formalisert system som skal sikre at risiko er kjent og minimeres, at det settes i verk aktiviteter for å sikre etterlevelse av regelverket og at avvik fra regelverket håndteres slik at tilsvarende feil ikke skal kunne skje på nytt. Internkontrollsystemet skal også bidra til å dokumentere at internkontrollplikten er ivaretatt. Dette skjer ved at skriftlige rutiner, prosedyrer, sjekklister, maler, instrukser mv. inngår som deler av internkontrollsystemet og at virksomheten driver kontinuerlig forbedringsarbeid.

Det er virksomhetsleder som har ansvar for internkontrollen. I praksis vil ansvaret være delegert nedover i organisasjonen. Delegering av ansvar skal være tydelig, og skal framgå av internkontrollsystemet. God internkontroll forutsetter i tillegg medvirkning fra alle ansatte, fordi internkontrollaktivitetene ideelt sett skjer i forbindelse med utførelse av det daglige arbeidet i en virksomhet.

Det finnes en rekke lov- og forskriftsbestemmelser om internkontroll. Fellesnevnere for disse er at medarbeiderne skal ha tilgang til gjeldende lovverk og at internkontrollsystemet skal

inneholde beskrivelser og dokumentasjon av:

• virksomhetens oppgaver, ansvar og myndighet og organisering,
• kompetansekrav og medvirkning fra ansatte/tjenestemottakere,
• hvilke risikoområder som foreligger,
• prosedyrer/instrukser/rutiner/tiltak for å sikre etterlevelse av lovverket og
• systematisk overvåking og evaluering.