Etablere internkontroll for arkiv

Internkontrollen i offentlige organer skal omfatte arkivarbeidet. Denne veilederen hjelper dere med å innrette arkivplanen som et redskap for internkontroll.

Innledning

Målgruppe

Dette er en veileder for deg som har ansvar eller sentrale oppgaver innen virksomhetens internkontroll og arkivfaglige arbeid. Hvem dette er vil variere ut fra virksomhetens størrelse og oppgaver, og om den er statlig eller kommunal.  

Hva er internkontroll?

Internkontroll er systematiske tiltak som skal sikre at en virksomhet planlegger, organiserer, utfører og vedlikeholder sine aktiviteter i samsvar med gjeldende regelverkskrav. Andre navn på internkontroll er kvalitets-, ledelses- eller styringssystem.  

Arkivarbeidet skal ikke ha en egen og separat internkontroll. Arkiv skal implementeres i organets eksisterende arbeid med internkontroll. 

Internkontroll for arkiv i offentlige organer

Alle statlige og kommunale virksomheter skal ha internkontroll.  


Den øverste ledelsen i organet skal sørge for at internkontrollen omfatter arkivarbeidet. Arkivplanen skal innrettes slik at den kan brukes som et redskap for internkontroll. 

Hvorfor internkontroll?

Etablering av internkontroll for arkiv har en rekke gevinster, både for arkivarbeidet i seg selv og for virksomheten som helhet. 

Internkontroll gjør det enklere for ledelsen å følge opp sitt ansvar på arkivområdet på en systematisk måte. Det er et verktøy for arkivarbeidet som gir gevinster i form av bedre styring, drift og måloppnåelse, bedre kontroll og avvikshåndtering og bedre oversikt over risikobildet for arkivarbeidet. Internkontrollen er også et hjelpemiddel for ansatte, slik at de kan utføre sine oppgaver på en sikker og forsvarlig måte. På denne måten kan dere forebygge overraskelser ved tilsyn og revisjon. 

Internkontroll for arkiv gir også gevinster på andre oppgaveområder. Det bidrar til etterlevelse av annet regelverk, og støtter opp under arbeidet med informasjonssikkerhet og personvern. God styring på arkivområdet betyr at organets tjenesteproduksjon og beslutningsgrunnlag blir godt dokumentert, og at saksbehandlingen blir mer effektiv.

Hvordan dokumentere internkontrollen?

Offentlige virksomheter må dokumentere hvordan de jobber med internkontroll. Arkivplanen skal inneholde sentrale deler av denne dokumentasjonen, som spesifisert i arkivregelverket. Dette gjelder blant annet ansvarsbeskrivelser, rutiner og planer, slik at ledelsen kan bruke arkivplanen som et styringsverktøy i internkontrollarbeidet. Den danner grunnlaget for god kvalitet i dokumentasjonsforvaltningen og arkivene. 

Arkivregelverket gir ingen føringer for hvordan arkivplanen skal struktureres, eller begrensninger i hvilke systemløsninger som kan benyttes. Dere kan derfor innrette arkivplanen slik det er nyttig for virksomheten.  

I tillegg må dere håndtere og dokumentere avvik, kontrollaktiviteter og oppfølgingsarbeid. Dette må ikke nødvendigvis skje i et spesielt IT-system. Det viktigste er å ha klart for seg 

  • hvem som skal gjøre hva 
  • når og hvordan de skal gjøre det 
  • hvem som skal få informasjon og ta avgjørelser 
     

Hvis dere allerede har et IT-system for kvalitetssikring, kan dere sannsynligvis bruke dette til internkontroll på arkivområdet også. Compilo, Netpower Kvalitet og Qm+ er eksempler på slike systemer. 

Arkivverket har ingen formening om hvorvidt et kvalitetssystem er egnet å bruke til hele eller deler av arkivplanen. Det er ingenting i veien for at arkivplanen kan bestå av flere deler på ulike plattformer, men det er viktig at det er tydelig hvilke dokumenter som utgjør virksomhetens samlede arkivplan. 

I valg av plattform for arkivplanen må virksomheten også ta høyde for at arkivplanen skal holdes oppdatert, og at arkivplaner skal arkiveres. Virksomheten må arkivere alle dokumentene som til sammen utgjør arkivplanen, uavhengig av hvilket system de er produsert i. Den arkiverte arkivplanen skal være fullt ut anvendbar. Hele arkivplanen må også kunne legges fram for Arkivverket ved et eventuelt tilsyn. 

Hvem bør involveres?

Etablering av internkontroll for arkivarbeidet er en oppgave som omfatter store deler av virksomheten. Det er naturlig å involvere dem som jobber med blant annet IT-sikkerhet, risiko, personvern, fagledelse, kvalitetsstyring og økonomistyring i relevante deler av prosessen. For eksempel har ledelsen en viktig rolle i å holde overordnet oversikt og ha kontroll på fullmakter og ressurser, mens arkivtjenesten har et faglig ansvar.  

Ressurser

Digitaliseringsdirektoratets veiledningspakke Internkontroll i praksis – informasjonssikkerhet gir en god gjennomgang av hvordan en virksomhet kan etablere og vedlikeholde internkontroll. Den er laget for informasjonssikkerhet som fagområde, men er også nyttig og overførbar til arkiv. 

Orden i eget hus - kommunedirektørens internkontroll (PDF) fra KS (2020) går i dybden på kommunal internkontroll. 

Les om internkontroll i staten i staten hos Direktoratet for forvaltning og økonomistyring. 

Styring, drift og kontroll

Illustrasjon av internkontroll som en kontinuerlig prosess for styring, drift og kontroll.
Internkontroll er en kontinuerlig prosess for styring, drift og kontroll.

 

Internkontroll er ikke en årlig aktivitet eller et statisk dokument. Det er en kontinuerlig prosess for styring, drift og kontroll.  

Løpende internkontroll med arkivarbeidet sikrer tydelig styring, velfungerende drift og målrettet kontroll. Da blir oppgavene utført i samsvar med regelverket, og problemer blir oppdaget og tatt hånd om i tide. 

Hele organet jobber systematisk innenfor formelle rammer og føringer gitt av ledelsen. Det må være tydelig hvem som skal gjøre hva, og organet må dokumentere at det blir gjort.

Hvordan etablere internkontroll for arkiv?

Denne veilederen presenterer 7 steg for å etablere arkivplanen som et verktøy for internkontroll:

  1. Kartlegg regelverket 
  2. Beskriv organisering og ansvar 
  3. Fastsett mål  
  4. Gjennomfør risikovurderinger
  5. Sørg for kompetanse og ressurser
  6. Håndter avvik
  7. Gjennomfør kontroll 

 

1 - Kartlegg regelverket

Dere må kartlegge lover, forskrifter og dokumentasjonskrav som har betydning for arkivdanningen. Når dere har oversikt over relevante lover og regler kan dere arbeide for å overholde dem. 

Arkivloven har som formål å sikre arkiv som inneholder rettighetsdokumentasjon eller har verdi for forskning, kultur og forvaltning. Arkivforskriften gir overordnede bestemmelser om arkiv i offentlige organer, og Riksarkivarens forskrift gir utfyllende tekniske og arkivfaglige bestemmelser. 

Dokumentasjonskravene, det vil si hva som skal skapes og sikres som arkivinformasjon, følger av særlovgivningen. Særlovgivning er regelverk som styrer organets oppdrag og fagområder (opplæringsloven, barnevernloven, plan- og bygningsloven etc.). 

Alle offentlige forvaltningsorganer er i tillegg underlagt offentlighetsloven og forvaltningsloven. Avtaler, EU-direktiv eller andre formelle krav kan også ha betydning for arkivdanningen. 

Det er viktig at dere setter dere inn i den juridiske konteksten til deres eget organ, selv om den ofte kan ligne på den til tilsvarende organer. For eksempel vil kommuner ha mye til felles, samtidig som oppgaver og tjenestetilbud varierer. Dette er en kartleggingsjobb som alle avdelinger/funksjoner i organet må ta del i – ikke kun arkivtjenesten.  

Hjelpespørsmål

  • Har vi kartlagt hvilke lover og regelverk som har betydning for arkivdanningen i organet? 
     
  • Har vi identifisert organets lovpålagte dokumentasjonsplikter? 
     
  • Hvordan følger vi med på endringer i lover og regelverk som får konsekvenser for arkivdanningen? 

Ressurser 

Tjenesten Lovdata Pro på lovdata.no tilbyr varsling om endringer i regelverk.  

 

2 - Beskriv organisering og ansvar

Dere må beskrive organiseringen av arkivfunksjonen, samt oppgaver, myndighet og ansvarsforhold. 

Beskrivelse av administrativ oppbygging og oversikt over virksomhetens funksjoner, ansvarsområder, og hvordan disse er fordelt på organisatoriske enheter er en forutsetning for god interkontroll.  

Organet skal kunne dokumentere hvordan arkivansvaret blir ivaretatt, og hvordan arkivfunksjonen er organisert. Dette skal inkludere delegeringsfullmakter på arkivområdet og eventuelle avtaler om kjøp av tjenester.  

Dere står fritt til å organisere arkivfunksjonen slik dere ønsker, men dere må sørge for at den støtter organets virksomhet på en optimal måte. Det overordnede arkivansvaret som ligger hos øverste ledelse i organet kan ikke delegeres, men det er mulig å delegere konkrete arkivoppgaver og myndighet. Det er viktig at den som har fått delegert oppgaver og myndighet også har de nødvendige fullmaktene og ressursene til å utføre arbeidet. Ansvaret må være erkjent, akseptert og forstått.  

I arkivplanen skal dere beskrive ansvar, oppgaver og myndighet for arkiv i alle organisatoriske enheter. Mange har en arkivtjeneste som kun bemanner postmottaket og drifter sak-/arkivsystemet. Arkivansvaret er større og omfatter all informasjon skapt som ledd i virksomheten og med verdi som dokumentasjon. 

Hjelpespørsmål 

  • Har vi et organisasjonskart som forklarer virksomhetens administrative oppbygging? 
     
  • Har vi tildelingsbrev eller strategidokumenter som beskriver virksomhetens funksjoner, oppgaver og ansvarsområder? 
     
  • Har vi et delegeringsreglement som omfatter arkivområdet? 
     
  • Er arkivansvar og fullmakter dokumentert for alle enheter i vår virksomhet? 
     
  • Har vi oppgave- og rutinebeskrivelser for behandlingen av all informasjonen som skapes i vår virksomhet? 
     
  • Kjøper vi tjenester av eksterne, for eksempel arkivdepottjenester? 

3 - Fastsett mål

Dere må fastsette mål for arkivarbeidet og dokumentasjonsforvaltningen. 

I forvaltningen er det fire grunnleggende verdier som skal ivaretas: Demokrati, rettssikkerhet, faglig integritet og effektivitet. Disse bør dere tenke på når dere fastsetter mål for arkivarbeidet og dokumentasjonsforvaltningen.  

Når dere fastsetter mål må dere også tenke på at målene skal bidra til å realisere virksomhetens samlede mål, være kostnadseffektive og være i samsvar med lover og regler. Tydelige mål er en forutsetning for god risikostyring. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene. 

Målene bør knyttes til virksomheten selv og virksomhetens samfunnsoppdrag: 

  • virksomhetens omdømme og tillit 
     
  • virksomhetens økonomi og effektivitet
     
  • utøvelse av samfunnsoppdraget til nytte for innbyggerne 
     
  • virksomhetens samfunnsansvar i forhold til andre offentlige organ, næringsliv osv. 
     

Å fastsette mål handler om å identifisere og formulere arkivets primærfunksjon. Dere kan spørre dere selv: Hvorfor skal vi ta vare på dokumentasjonen i vår virksomhet? 

Hjelpespørsmål 

  • Tar vi vare på dokumentasjon for å gjøre saksbehandlingen mer effektiv? 
     
  • Tar vi vare på dokumentasjon for å sikre åpenhet om og tillit til organet? 
     
  • Tar vi vare på dokumentasjon for å kunne bevise noe i ettertid, i så fall hva? 
     
  • Tar vi vare på dokumentasjon for å ivareta lover og regler? 

Ressurser 

Formålsparagrafen til organet, eller lovverk som er relevant for organet, kan gi en god pekepinn på hva som bør være sentralt også når dere utvikler mål for dokumentasjonsforvaltningen. 

4 - Gjennomfør risikovurderinger

Dere må foreta risikovurderinger og utarbeide planer og tiltak for å redusere risiko. 

En sentral del av internkontrollen er å gjøre risikovurderinger. Risiko er et uttrykk for et potensiale eller en mulighet for uønskede hendelser. Når dere skal foreta en risikovurdering må dere først definere områder hvor det kan oppstå uønskede hendelser. Deretter må dere vurdere sannsynligheten for at hendelsen oppstår i deres virksomhet, og hvilke konsekvenser hendelsen kan få for dokumentasjonsforvaltningens mål dersom den oppstår.  

Risiko = sannsynlighet x konsekvens

Avhengig av om risikoen bedømmes som høy, moderat eller lav må dere fastsette hvilke tiltak dere eventuelt skal iverksette for å forebygge hendelsen. Tiltakene skal være proporsjonale med risikoen. Det betyr at jo større risikoen er, desto mer omfattende og målrettede tiltak må dere iverksette for å møte risikoen. Det betyr også at det ikke er nødvendig å iverksette tiltak dersom risikoen kan anses som akseptabel.  

Kort forklart kan en risikovurdering oppsummeres med følgende tre spørsmål: 

  1. Risikoområde: Hvor kan det gå galt? 
     
  2. Risikoevaluering: Hva er våre svakheter? 
     
  3. Tiltak: Hva kan vi gjøre for å unngå at det går galt? 
     

Nedenfor finner dere en liste med eksempler på typiske risikoområder for dokumentasjonsforvaltningen. Det er ikke en uttømmende liste, og dere må selv vurdere både risikoområder og tiltak i deres virksomhet.

Dokumentfangst handler om å ha oversikt over hvilken informasjon som skal tas vare på som dokumentasjon, og sørge for at denne arkiveres. Hvis sentrale saksdokumenter og rettighetsdokumentasjon ikke blir arkivert, kan det føre til at beslutninger blir tatt på feil grunnlag og at dere mister mulighet til å dokumentere deres egen innsats i saker. Det kan også føre til at innbyggerne mister muligheten til innsyn i sentral informasjon om seg selv, og kan utgjøre brudd på rettigheter og rettssikkerhet. 

Hvor stor er sannsynligheten for at dokumentasjon ikke blir arkivert i vår virksomhet? 

  • Har vi oversikt over informasjonsflyten i alle arbeidsprosessene våre? 
     
  • Har vi kartlagt alle elektroniske systemer og vurdert om de inneholder/behandler arkivverdig dokumentasjon? 
     
  • Har vi skriftlige rutiner for hvilken informasjon ansatte må arkivere manuelt? 
     
  • Kjenner de ansatte til rutinene og vet hvor de kan finne dem? 
     
  • Har vi rutiner for å arkivere saksopplysninger som vi mottar per for eksempel telefon, SMS eller e-post? 
     
  • Har vi rutiner for å arkivere dokumentasjon fra samhandlingsløsninger som SharePoint og lignende? 
     

Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dokumentasjon ikke blir arkivert?  

  • Hva kan skje hvis viktig dokumentasjon som har betydning for enkeltmennesker ikke blir arkivert? 
     
  • Hva kan skje hvis vi ikke kan dokumentere egen innsats ved en eventuell rettsak? 
     
  • Hva kan skje hvis vi får et negativt oppslag i media? 
     

Konfidensialitets- og integritetssikring vil si at dere har regler og rutiner for å beskytte innholdet i dokumenter fra uvedkommende. Dersom dere ikke har slike regler og rutiner kan det føre til at uvedkommende får tilgang til informasjon de ikke skulle hatt, og eventuelt endrer eller sletter viktig informasjon. 

Hvor stor er sannsynligheten for at uvedkommende får tilgang til dokumenter i vår virksomhet? 

  • Hvordan sikrer vi at ansatte eller uvedkommende ikke har tilgang til informasjon de ikke skal se? 
     
  • Hvordan sikrer vi at ingen gjør uautoriserte endringer i dokumenter og registreringer? 
     
  • Kan vi verifisere at et dokument ikke har blitt endret etter arkivering? 
     
  • Har vi rutiner for vedlikehold av tilganger i elektroniske arkivsystemer? 
     
  • Har vi rutiner for tilgang til arkivlokalene? 
     

Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om uvedkommende får tilgang til dokumenter? 

  • Hva kan skje hvis uvedkommende får tilgang til en hemmelig adresse? 
     
  • Hva kan skje hvis helseopplysninger kommer på avveie? 
     
  • Hva kan skje hvis noen manipulerer datoen på et dokument? 
     

Tilgjengelighet innebærer at arkivmateriale skal være tilgjengelig for bruk både internt og eksternt. Å ikke ha dokumentasjon tilgjengelig går ut over retten til innsyn som følger av ulike regelverk, herunder blant annet offentlighetsloven, forvaltningsloven og GDPR. I tillegg vil saksbehandlingen bli mindre effektiv dersom dokumentasjon ikke er tilgjengelig for bruk.

Hvor stor er sannsynligheten for at dokumentasjonen ikke er tilgjengelig i vår virksomhet? 

  • Blir all arkivverdig dokumentasjon arkivert slik at vi kan finne den igjen senere? 
     
  • Registrerer vi dokumentasjonen på en slik måte at vi enkelt kan søke den frem? 
     
  • Hvordan gjør vi arkivene våre tilgjengelige for offentligheten? 
     

Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dokumentasjonen ikke er tilgjengelig? 

  • Hva kan skje hvis vi ikke kan gi innsyn i dokumenter? 
     
  • Hvilke konsekvenser vil medieoppslag om mangel på innsynsmuligheter ha for oss? 
     

Bevaring og kassasjon innebærer at dere tar stilling til hvilken verdi dokumentasjon har på ulike tidspunkt. Hvis dere ikke har en plan for hvilken dokumentasjon som skal bevares og hva som kan kasseres, kan det føre til at dokumentasjonen deres går tapt for tidlig. På grunn av GDPR kan det også få konsekvenser å bevare dokumentasjon lenger enn det som er nødvendig. 

Les mer om dette i veilederen om bevaring og kassasjon i informasjonssystemer.

Hvor stor er sannsynligheten for at dokumentasjon blir kassert for tidlig eller for sent i deres virksomhet? 

  • Har vi oversikt over hvilken dokumentasjon vi skal kassere, og når det skal skje? 
     
  • Er ansvaret for å utføre kassasjon tydelig plassert? 
     
  • Har de elektroniske systemene våre funksjonalitet for kassasjon? 
     

Hvor alvorlige konsekvenser kan det ha for målene dere har fastsatt om dokumentasjon blir kassert for tidlig eller for sent? 

  • Vil vi få unødvendige utgifter til oppbevaring av materiale som skulle vært kassert? 
     
  • Hva kan skje hvis vi oppbevarer informasjon om enkeltpersoner som ikke er nødvendig? 

Teknologiskifter kan føre til at digital informasjon blir utilgjengelig. Elektroniske systemer har en viss levetid før de blir utdatert og må byttes ut med nye systemer. Dersom dere ikke gjennomfører tiltak for å ta vare på informasjonen, kan digitale arkiver råtne på rot og bli ubrukelige for ettertiden. I tillegg vil digitale arkiver stå i fare for å bli forringet eller gå tapt dersom de ikke overføres til arkivdepot på en forsvarlig måte.  

Hvor stor er sannsynligheten for at digitale arkiver i eldre systemer vil slutte å være tilgjengelige i vår virksomhet? 

  • Har vi en plan for vedlikehold av elektronisk arkivmateriale? 
     
  • Har vi en plan for håndtering av innholdet i elektroniske systemer som går ut av bruk? 
     
  • Har vi, eller har vil tilgang til, kompetanse om elektronisk langtidsbevaring? 
     
  • Har vi kontroll med overføringen av eget arkivmateriale til arkivdepot? 
     
  • Er vi sikre på at arkivets autentisitet, pålitelighet, integritet og anvendelighet opprettholdes ved overføring til digital langtidslagring? 
     

Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om de digitale arkivene blir utilgjengelig? 

  • Hva kan skje hvis alle dokumenter innen et fagområde som når en viss alder ikke lenger er lesbare? 
     
  • Hvor dyrt blir det hvis vi ikke klarer å produsere et godt uttrekk? 
     

Å ha arkivlokaler som hindrer papirarkiv fra å bli utsatt for vann, fukt, brann, varme, skadelig påvirkning eller innbrudd er en viktig del av dokumentasjonsforvaltningen. Dersom dere ikke har arkivlokaler som beskytter arkivene kan det føre til at papirarkiv med viktig dokumentasjon får skader eller går tapt. 

Hvor stor er sannsynligheten for at papirarkiv kan få skade eller gå tapt i vår virksomhet? 

  • Har vi innbruddsalarm og brannvarslere i arkivlokalene? 
     
  • Er det vannrør i arkivlokalene våre? 
     
  • Har vi lås på døra til arkivlokalene? 
     

Hvor alvorlige konsekvenser kan det ha for målene vi har fastsatt om dette skjer? 

  • Hvilke konsekvenser vil det ha for rettsikkerhet, demokrati og innsyn ved tap og skade på arkivdokumenter? 
     
  • Hva er konsekvensene av å miste arkivdokumenter med kulturell, historisk og forskningsmessig verdi? 
     


Dere kan også bruke Arkivverkets verktøy for risikovurdering av arkivholdet i en virksomhet. I dette webinaret forklarer vi hva skjemaet er og hvordan man kan bruke det:

Spørsmål og svar fra webinaret er publisert på en egen side (åpnes i ny fane).

I tillegg har Arkivverket utviklet et verktøy for egenvurdering av arkivkvalitet som  kartlegger styrker og svakheter ved arkivholdet i virksomheten.

5 - Sørg for kompetanse og ressurser

Dere må sørge for opplæring, verktøy, lokaler og kompetanse til å utføre arkivarbeidet og sikre arkivverdig informasjon. 

Internkontroll innebærer at et organ har tilrettelagt for at de ansatte har tilstrekkelig opplæring, kompetanse og ferdigheter til å fange opp og sikre arkivinformasjon. Det innebærer også at både ansatte ved arkivtjenesten og øvrige ansatte har nødvendige verktøy og ressurser til å utføre sitt daglige arbeid. 

Hjelpespørsmål 

  • Har vi forskriftsmessige arkivlokaler og velfungerende arkivsystemer? 
     
  • Har vi tilstrekkelig med tid og bemanning til å utføre arkivarbeidet? 
     
  • Har vi nødvendig faglig kompetanse? Hvilke muligheter har ansatte ved arkivtjenesten til kompetanseheving i form av kurs og opplæring?  
     
  • Får nyansatte kurs eller opplæring i sak-/arkivsystemet og relevante fagsystemer?  
     
  • Får ansatte noen form for regelmessig oppfølging eller opplæring i rutiner for å fange og sikre arkivinformasjon? 

 

6 - Håndter avvik

Dere må etablere et system for avvikshåndtering. 

Uønskede hendelser omtales som avvik. Avvikshåndtering handler dermed om å oppdage, melde, rette opp og forebygge uønskede hendelser.  

Selv om dere har gjennomført gode risikovurderinger og satt inn tiltak for å møte risiko, vil det oppstå uønskede hendelser som dere ikke har forutsett. Det er heller ikke økonomisk eller praktisk mulig å forhindre enhver uønsket hendelse. Derfor er det viktig å ha et system for å rapportere og følge opp de avvikene som oppstår. Det kan være et eget IT-system. Hvis dere allerede har et egnet system i bruk på andre fagområder, kan dere bruke dette til avvikshåndtering på arkivområdet også. Slik kan dere lære av uønskede hendelser, unngå fremtidige avvik og redusere konsekvensene av avvik når de oppstår.  

Hjelpespørsmål 

  • Har våre ansatte mulighet til å rapportere avvik? 
     
  • Vet de ansatte hva som skal rapporteres, hvem som skal rapportere, når det skal skje og hvordan det skal skje? 
     
  • Har vi rutiner for oppfølging av avvik? 
     
  • Er de som har ansvar for å følge opp avvik klar over ansvaret sitt? 

 

7 - Gjennomfør kontroll

Dere må gjennomføre regelmessig og periodisk kontroll av arkivarbeidet. 

For å få oversikt over arkivarbeidet i virksomheten og at regelverk etterleves må dere systematisk vurdere om internkontrollarbeidet blir gjennomført. Dette gjøres ved å utføre regelmessig og periodisk kontroll i form av undersøkelser, evalueringer og revisjoner. Det vil si at arbeidet ikke har en start og en slutt, men at det er en kontinuerlig og gjentagende prosess.  

Noen aktiviteter må følges opp hyppig, mens andre kan følges opp med lengre opphold. Løpende avvikshåndtering og kvalitetskontroll av journalen er eksempler på daglig internkontroll. Kontrollsøk for journalposter med bestemte statuser og oppdatering av arbeidsrutiner er eksempler på kontrollaktiviteter med lavere hyppighet.  

Det kan være lurt å lage et årshjul for kontrollaktiviteter som et verktøy for internkontrollen. På denne måten kan dere planlegge og ha en oversikt over når dere skal følge opp de ulike aktivitetene.  

Hjelpespørsmål 

  • Har vi en plan med faste, planlagte datoer for å gjennomgå og justere gjeldende rutiner? 
     
  • Har vi rutiner for å kontrollere at arkiv- og journalføringsplikten etterleves? 
     
  • Sørger vi for at avvik blir rapportert og at de blir fulgt opp? 
     
  • Sørger vi for at risikoreduserende tiltak blir gjennomført?
     
  • Kontrollerer vi om tiltakene har den effekten vi ønsker?
     
  • Har vi en plan for å oppdatere eller gjøre nye risikovurderinger? 
     
  • Har vi en plan for å oppdatere arkivplanen?