Steg 2: Kartlegge og risikovurdere

Kartlegging og risikovurdering av økonomiområdet er grunnlag for vidare analyse til bruk ved internkontroll. Ei kartlegging av den interne kontrollen vil avdekke om det fins eit kontrollsystem som er eigna til å forhindra at vesentlege feil og manglar oppstår, og at feil som likevel har oppstått blir oppdaga.  Ei kartlegging av rekneskapssystemet, kontrollmiljøet og eksisterande kontrollrutinar kan gi svar på kor omfattande ei risikovurdering og påfølgjande kontrollar bør vera. Kostnaden med å setje i verk ein kontroll må ikkje overstige nytten ein oppnår.

Kartlegging av rekneskapssystemet vil seie å gjere seg kjent med rekneskapssystemet for å kunne identifisere og forstå vesentlege transaksjonstypar i NAV. Korleis slike vesentlege transaksjonar oppstår, og kunne forstå viktige rekneskapsrapportar med underliggande dokument og kontoane i rekneskapen. I tillegg må ein kunne identifisere og forstå rekneskaps- og rapporteringsprosessen, frå vesentlege transaksjonar oppstår til dei er registrert og rapportert i rekneskapen.

Kartlegging av kontrollmiljøet gir informasjon om kva haldningar leiing og tilsette har til kontrollar i NAV. Kontrollmiljøet seier også noko om organisering og fordeling av ansvar og myndigheit, som igjen seier noko om kommunikasjonslinjene i NAV.

Kartlegging av eksisterande kontrollrutinar gir informasjon om rutinar som skal forhindre avvik, om rutinane blir følgt og om rutinane fangar opp avvik.

Risikovurdering byggjer på det konkrete formålet med analysen og kartlagt materiale. Risiko seier noko om kva risikofaktorar som eksisterer og kva risikoar ein må forholda seg til. Resultat av risikovurderinga dannar grunnlag for utforming og val av interne kontrolltiltak som er eigna til å styre og redusere risikoane.