Formålet med del 1 i veiledningen er å forklare hva internrevisjon er, og hva opprettelse av en internrevisjon kan bety i en statlig sammenheng.
- Hva er internrevisjon?
- Hva er spesielt med internrevisjon i staten?
- Hvilke krav stilles til internrevisjon i statlige virksomheter?
- Hvilke kriterier skal inngå i vurderingen?
Hva er internrevisjon?
Definisjon av internrevisjon
Internrevisjon1 er en organisatorisk enhet i virksomheten, eller en enhet som kjøpes fra eksterne fagmiljøer, som skal rapportere til øverste ledelse og være objektiv og uavhengig av resten av organisasjonen og områdene den reviderer. Internrevisjonen er primært virksomhetslederens redskap.
«en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsetninger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.»
Definisjonen er hentet fra Standards & Guidance — International Professional Practices Framework (IPPF)® Den norske oversettelsen finner du på IIAs nettsider.
- Har og synliggjør integritet.
- Har og synliggjør kompetanse og tilbørlig faglig aktsomhet.
- Er objektiv og fri for utilbørlig påvirkning (uavhengig).
- Tilpasser seg organisasjonens strategier, mål og risikoer.
- Er hensiktsmessig posisjonert organisasjonsmessig og har de riktige ressursene.
- Har og synliggjør kvalitet og kontinuerlig forbedring.
- Kommuniserer virkningsfullt.
- Gir risikobaserte bekreftelser.
- Er innsiktsfull, proaktiv og fremtidsfokusert.
- Fremmer forbedring i organisasjonen.
Internrevisjonsfunksjonen har hele virksomheten som virkeområde. Den utarbeider en årlig risikobasert revisjonsplan for å fastsette sine prioriteringer. Den arbeider etter anerkjente standarder og benytter en systematisk metode for å gjennomgå og vurdere sentrale dokumenter, systemer og praksis.
Internrevisjonen skal ledes av en internrevisjonssjef. Med god kompetanse, en uavhengig rolle og et helhetlig perspektiv på virksomheten skal internrevisjonen fungere som støtte for virksomhetslederen og linjeorganisasjonen for øvrig, og den skal være en katalysator for forbedringer i virksomheten. Internrevisjonen gir virksomhetslederen trygghet for at ting som er bestemt, blir gjennomført som forutsatt.
Bekreftelsestjenester og rådgivningstjenester
Internrevisjonens oppgave er både å gi uavhengige vurderinger og råd, såkalte bekreftelsestjenester og rådgivningstjenester. Standardsettere har ønsket å forsterke internrevisjonens bekreftelsesrolle i forhold til rådgiverrollen. Den som blir revidert, ser ofte størst verdi i bidragene fra internrevisjonen når det gjelder å forbedre prosessene for styring og kontroll (rådgivningstjenester). Virksomhetsleder, departement eller andre eksterne ser størst verdi i den objektive og uavhengige bekreftelsen internrevisjonen kan gi (bekreftelsestjenester) innenfor området som revideres.
Bekreftelsestjenester innebærer at internrevisjonen gjør objektive og uavhengige vurderinger av om styring og kontroll er tilfredsstillende i systemer, prosesser eller områder i virksomheten. Det er som regel tre parter involvert i bekreftelsesrevisjoner:
- enheten som blir revidert
- den som utfører revisjonen
- oppdragsgiveren eller brukeren av vurderingen eller konklusjonen
Rådgivningstjenester er veiledende i sin natur og blir vanligvis utført på konkret forespørsel fra en oppdragsgiver. Internrevisjonen kan gi råd om forbedringer i systemer, prosesser eller andre områder i virksomheten. Rådgivning omfatter vanligvis to parter:
- den som utfører rådgivning (internrevisjonen)
- den som søker og mottar rådgivning (oppdragsgiveren)
Internkontroll i internrevisjonen
Et hovedområde i internrevisjonens arbeid er å vurdere om den etablerte internkontrollen er hensiktsmessig. Begrepet internkontroll2 dreier seg om langt mer enn bare kontrollaktiviteter. Internkontrollen omfatter blant annet forhold som fordeling av roller og ansvar, kompetanse, etiske retningslinjer, kultur, holdninger, informasjon og kommunikasjon.
Internkontroll skal etableres og gjennomføres på alle nivåer, og i alle funksjoner i virksomheten. Virksomhetens ledelse har ansvaret for å påse at systemer og rutiner er tilpasset risiko og vesentlighet, at den fungerer tilfredsstillende, og at den kan dokumenteres (jf. bestemmelsene pkt. 2.4). Bruk av internrevisjon til å vurdere om systemer og rutiner er gode nok, er ett mulig tiltak virksomhetslederen kan benytte i en slik tilpasning. Derfor er det viktig å merke seg at en internrevisjon ikke er en erstatning for virksomhetens internkontroll.
Internkontroll er bare ett av tre hovedområder som inngår i internrevisjonens arbeid. Definisjonen av internrevisjon sier at internrevisjonen i tillegg til å vurdere og bidra til forbedring knyttet til virksomhetens internkontroll også skal vurdere og bidra til forbedring av prosessene for risikostyring3 og governance4. Videre i veiledningen benytter vi samlebegrepet «styring og kontroll» synonymt med begrepene risikostyring, internkontroll og governance.
Revisjon på operasjonelt og strategisk nivå
Internrevisjonen kan utføre revisjon på både operasjonelt og strategisk nivå i virksomheten. I tillegg til å revidere styring og kontroll med vekt på produktivitet og det operasjonelle, det vil si «å gjøre tingene riktig», har internrevisjonen med tiden også gått inn på det strategiske området og revisjon av formålseffektivitet også kalt effekter, det vil si «å gjøre de riktige tingene». Fordelingen av revisjoner på det ene eller andre området vil avhenge av virksomhetens modenhet med hensyn til prosessene for styring og kontroll, og dermed variere i tid og etter behov.
Det er viktig å være oppmerksom på at en stor andel rådgivningsoppdrag kan bidra til utfordringer med objektivitet og uavhengighet når internrevisjonen skal gjennomføre bekreftelsestjenester på områder hvor det tidligere er gitt råd. Revisjon av strategiske forhold stiller høye krav til kompetanse, kjennskap til virksomheten, modenhet og integritet hos internrevisjonen for å gi tilstrekkelig merverdi.
Internrevisjonens rolle og plassering i virksomheten
Internrevisjonen skal organisatorisk være knyttet til og rapportere til virksomhetslederen, eventuelt også til styret i virksomheter som har dette. Internrevisjonen skal være objektiv og uavhengig av resten av organisasjonen og de oppgavene som revideres. Derfor skal internrevisjonen for eksempel ikke pålegges oppgaver som innebærer at den får ansvar for etablering, gjennomføring og implementering av tiltak knyttet til styring og kontroll. Dette fordi internrevisjonen fort kan ende opp med å revidere noe den selv har vært med på å etablere eller implementere.
Internrevisjonen er det ytterste leddet i virksomhetens interne styrings- og kontrollsystem. Virksomhetens samlede systemer for styring og kontroll skal bidra til å redusere iboende risiko5 i virksomheten til et nivå ledelsen har bestemt at er akseptabelt. Forskjellige kontrollnivåer i virksomheten er illustrert i figuren under.
Førstelinjekontroll
Førstelinjen omfatter medarbeidere i linjen som har et ansvar for å gjennomføre etablert styring og kontroll gjennom sine daglige arbeidsoppgaver. Førstelinjen omfatter også ledelsen, som har ansvar for å utforme, gjennomføre og følge opp ulike tiltak for å oppnå god styring og kontroll innenfor sitt ansvarsområde. Tiltak for å redusere risiko i førstelinjen kan for eksempel være tiltak som fullmakter, arbeidsdeling, opplæring, policyer og prosedyrer, ulike typer manuelle kontroller, kontroller innebygd i IT-systemene, oppfølging av styringsparametrer, kvalitetssikring med mer. Dette kaller vi førstelinjekontroller.
Andrelinjekontroll
Andrelinjen omfatter ulike typer stabs- og linjeenheter som legger til rette for, bistår i og følger opp styring og kontroll på vegne av én eller flere ledere. Dette kan for eksempel være regnskaps- eller rapporteringsenheter, controllere og kvalitetsrådgivere, eller fagansvarlige for internkontroll. Slike enheter kan bidra med faglig veiledning, analyser av risiko og resultater, kvalitetsgjennomganger, evalueringer og oppfølging av hvorvidt policyer, prosedyrer, lover og regler etterleves. Dette kaller vi andrelinjekontroller.
Tredjelinjekontroll
I tillegg kan virksomheten etablere internrevisjon som en ekstra sikkerhet. Denne tredjelinjen er det ytterste laget med kontroll og skiller seg fra kontrollene som gjennomføres i første- og andrelinjen, ettersom internrevisjonen på objektivt og uavhengig grunnlag vurderer hvor effektiv og hensiktsmessig den etablerte og gjennomførte styringen og kontrollen i første- og andrelinjen er. Dette kaller vi tredjelinjekontroll.
Fjerdelinjekontroll
I tillegg til de tre interne kontrollinjene kan man også synliggjøre eksternrevisors eller Riksrevisjonens og andre eksterne kontrollorganers6 plass som en «fjerdelinje» i figuren. Tredjelinjen og fjerdelinjen bør samarbeide og koordinere sine innsatser og arbeidsfelt slik at ressursene samlet sett blir best mulig utnyttet. Internrevisjonen kan fungere som en forebyggende funksjon som bidrar til at virksomhetene får bedre styring og kontroll og blir oppmerksomme på svakheter før de eventuelt blir påpekt av fjerdelinjen.
Standarder for internrevisjon
For at internrevisjonen skal kunne utøve rollen sin på en god måte, er det avgjørende at den har tillit og troverdighet både hos styre, virksomhetsleder og øvrige ansatte, og hos departement og Riksrevisjonen. Krav til bruk av anerkjente standarder for internrevisjon er viktig for å sikre kvalitet og profesjonalitet og for å styrke internrevisjonens legitimitet overfor omgivelsene. Dette skaper forutsigbarhet og trygghet for at arbeidet er gjennomført på en strukturert og metodisk måte.
Når internrevisjonen arbeider etter anerkjente standarder, tilfører det en kvalitetsdimensjon og en rolleavklaring som bidrar til å sikre at revisjonsoppdrag gjennomføres i samsvar med profesjonens krav til objektivitet, faglig dyktighet og aktsomhet. Standardene til The Institute of Internal Auditors (IIA) vil være et godt valg for de fleste statlige virksomheter.
Ulike modeller for internrevisjon
Dersom virksomheten beslutter å etablere en internrevisjon, må den ta stilling til hvilken modell som vil være best egnet gitt virksomhetens egenart og behov. Det er nyttig å kjenne til at internrevisjon kan anskaffes og dekkes på ulike måter. Innenfor rammene av rundskriv R-117 og eventuelle instrukser fra overordnet instans kan virksomhetslederen bestemme hvordan internrevisjonen skal organiseres. Nedenfor finner du en oversikt over mulige «modeller» for internrevisjon.
Modell 1 – egen organisatorisk enhet
med fast ansatte revisorer:
Her har virksomheten en egen organisatorisk enhet med ansvar for å
levere internrevisjonstjenester.
Modell 2 – ansatt revisjonssjef med team fra egen
virksomhet:
Her setter internrevisjonen sammen revisjonsteam av ansatte i
virksomheten. Teamene blir ledet av internrevisjonssjefen. Man har
da ulike team for de ulike revisjonsoppdragene.
Modell 3 – ansatt revisjonssjef som kjøper eksterne
tjenester:
Her ansetter virksomheten en revisjonssjef som kjøper tjenester fra
eksterne fagmiljøer. Tjenestene kan kjøpes hos en eller flere
leverandører (flere rammeavtaler).
Modell 4 – felles internrevisjonsfunksjon på tvers av likartede virksomheter: Her deler flere virksomheter på en internrevisjonsfunksjon. Denne varianten er i bruk i forsvarssektoren.
Modell 5 – full outsourcing:
Her er alle internrevisjonstjenester, inklusive
internrevisjonssjef, kjøpt fra eksterne fagmiljøer.
I tillegg til de fem modellene som er beskrevet ovenfor kan man etablere en kombinasjon av modellene, for eksempel modell 1 og 2 eller 2 og 3. Det er også mulig å inngå rammeavtaler og ha budsjett for kjøp av ekstra revisjonstjenester for alle modellene (unntatt modell 5 – full outsourcing, der dette ligger i hovedmodellen). Dette er svært vanlig blant de internrevisjonene som allerede er etablert i staten. En slik «co-sourcing» er særlig vanlig når det gjelder kjøp av spisskompetanse på ett eller flere områder som internrevisjonen mangler, for eksempel IKT-revisjonstjenester.
På dfo.no om internrevisjon ligger det en oversikt over hvilke statlige virksomheter som har internrevisjon og hvilken modell som er valgt.
1 Definisjonen er hentet fra Standard & Guidance – International Professional Practices Frameword (IPPF).
2 Internkontroll defineres som: «… en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og effektiv drift, Pålitelig rapportering, Overholdelse av lover og regler». For nærmer omtale om internkontroll se veileder i internkontroll.
3 For nærmere omtale av risikostyring se risikostyring i staten – håntering av risiko i mål- og resultatstyringen.
4 IIA definerer governance som en kombinasjon av prosesser og strukturer som er implementert for å informere, lede, styre og overvåke organisasjonens aktiviteter rettet mot måloppnåelse.
5 Gjenværende risiko er nivået på risikoen når man tar hensyn til de tiltakene og kontrollaktivitetene som er iverksatt når man vurderer risiko (jf. Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen). Iboende risiko er nivået på risikoen når man ikke tar hensyn til de ulike tiltakene og kontrollaktivitetene som er etablert for å redusere den.
6 Eksempler på andre eksterne kontrollorgan utover Riksrevisjonen kan være statlige tilsyn som Arbeidstilsynet eller Helsetilsynet og europeiske tilsyn- og kontrollorgan.
Hva er spesielt med internrevisjon i staten?
Dersom en statlig virksomhet skal etablere en internrevisjonsfunksjon, må den ta hensyn til den styringsmessige sammenhengen internrevisjonen skal operere i. Et statlig forvaltningsorgan er ikke et eget rettssubjekt, men en del av staten som «juridisk person»
Statsråden har konstitusjonelt og politisk ansvar for at virksomheten drives innenfor de rammer som er satt av Stortinget innenfor vedkommende sektor. Departementet har som etatsstyrer et overordnet ansvar for at underliggende virksomheter har forsvarlig styring og kontroll. Departementet må bygge på virksomhetens interne styring og kontroll når det utøver sitt kontrollansvar. Det kan ha nytte av at underliggende virksomheter har en internrevisjonsfunksjon som kan bekrefte at virksomhetens prosesser for styring og kontroll fungerer som de skal.
Nedenfor omtaler vi sentrale forhold som man bør ta hensyn til når man skal etablere internrevisjon i staten.
Hvordan sikre internrevisjonen uavhengighet av virksomhetsleder, eventuelt styre og departement?
Virksomheter som velger å etablere en internrevisjon, må legge til rette for at internrevisjonen kan utføre sitt arbeid i tråd med rundskriv R-117, herunder kravene til organisasjonsmessig uavhengighet1. IIAs utdyping av organisasjonsmessig uavhengighet sier at man oppnår denne uavhengigheten når revisjonssjefen rapporterer funksjonelt til styret. Anbefalingen tar utgangspunkt i at styret er en organisasjons høyeste ansvarlige myndighet, slik det er i aksjeselskap.
Ordinære forvaltningsorganer har som hovedregel ikke et styre som øverste styringsnivå i virksomheten. Virksomhetslederen er normalt øverste myndighet i virksomheten og oppdragsgiver for internrevisjonen. Internrevisjonen er dermed ikke helt uavhengig, men står i et linjeforhold til virksomhetslederen. Internrevisjonen skal imidlertid være uavhengig av nivåene under virksomhetslederen og de områdene den reviderer.
Det er likevel flere statlige virksomheter, også forvaltningsorganer, som har et styre. Dette er gjerne virksomheter som har en viss grad av selvstendighet i faglige spørsmål, og som ofte er regulert gjennom lov eller forskrifter eller har økonomisk-administrativ selvstendighet gjennom unntak fra hovedprinsippene2 i bevilgningsreglementet.
Styrer i forvaltningsorganer har imidlertid ikke det samme ansvaret som styret i et aksjeselskap. På grunn av statsrådens konstitusjonelle og politiske ansvar vil styret i et forvaltningsorgan ikke ha fullt ansvar verken juridisk, økonomisk eller konstitusjonelt. Selv om en virksomhet har et styre, betyr det altså ikke nødvendigvis at internrevisjonen bør rapportere til dette. Det er departementet som fastsetter forholdet mellom departementet, et eventuelt styre og virksomhetslederen. Dette gjøres i instruksen til virksomheten, jf. bestemmelsene for økonomistyring pkt. 1.3.
Når virksomhetslederen er oppdragsgiver, og ikke styret som i et aksjeselskap, kan dette bety en svekking av internrevisjonens uavhengighet og objektivitet. For å styrke internrevisjonens uavhengighet skal virksomheten utarbeide instrukser som tydelig definerer internrevisjonens rolle og myndighet og mandatet den har til å gjennomføre egne risikovurderinger og uavhengige gjennomganger. Instruksen bør videre omtale prosedyrer som håndterer eventuelle uenigheter mellom revisjonssjefen og oppdragsgiveren.
1IIA-standard 1110 Organisasjonsmessig
uavhengighet: «Revisjonssjefen må rapportere til et nivå i
organisasjonen som gjør det mulig for internrevisjonen å ivareta
sitt ansvar. Revisjonssjefen må bekrefte overfor styret, minst en
gang årlig, at internrevisjonen er uavhengig.»
2Hovedprinsippene i bevilgningsreglementet er
fullstendighets-, ettårs-, kontant- og bruttoprinsippet. Det er
særlig det siste (bruttoprinsippet) det er gitt unntak fra for
såkalte nettobudsjetterte virksomheter.
Hvilke krav stilles til internrevisjon i statlige virksomheter?
Rundskriv R-117 stiller krav både til vurdering av bruk av internrevisjon (kapittel 4 i rundskrivet) og innretning for de virksomhetene som har etablert internrevisjon, eller velger å etablere en internrevisjon etter å ha gjennomført en vurdering (kapittel 5 i rundskrivet).
Krav om å vurdere bruk av internrevisjon
Statlige forvaltningsorganer1 som har samlede utgifter eller samlede inntekter over 300 millioner kroner2, skal vurdere om de bør etablere en internrevisjon. Kravet gjelder for virksomheter som ikke allerede har etablert, eller besluttet å etablere, en internrevisjon. Kravet om å vurdere internrevisjon gjelder ikke for departementene, jf. rundskriv R-117.
Selv om kravet gjelder for forvaltningsorganer som har samlede utgifter eller inntekter over 300 millioner kroner, er ikke dette til hinder for at forvaltningsorganer som faller under denne grensen, eller departementer, også kan gjennomføre en vurdering av om de bør etablere en internrevisjon.
Virksomhetene skal vurdere behovet regelmessig og minimum hvert fjerde år. Ved vesentlige endringer i risikobildet eller i virksomheten for øvrig skal en ny vurdering gjøres. Omfattende endringer i lover eller regelverk, større omorganiseringer eller store endringer i IKT-systemer er eksempler på vesentlige endringer som kan tilsi at en ny vurdering av behovet for internrevisjon bør gjennomføres.
Samlede utgifter eller inntekter er utslagsgivende for om virksomheten omfattes av kravet om å vurdere, men det er også andre kriterier som er viktige å ta hensyn til i vurderingen. Disse er ytterligere forklart i kapitlet «Hvilke kriterier skal inngå i vurderingen?».
- Virksomhetens størrelse og kompleksitet (inklusive samlede utgifter og inntekter), og virksomhetens risiko og vesentlighet.
- Kvaliteten og modenheten på virksomhetens styring og kontroll.
Virksomheten skal vurdere nytten og fordelene ved å etablere en internrevisjon opp mot kostnadene ved tiltaket. Virksomhetslederen har myndighet til å bestemme om virksomheten skal bruke internrevisjon, med mindre overordnet departement har gitt instrukser som pålegger noe annet. Virksomhetens vurdering skal dokumenteres og sendes overordnet departement til orientering, med kopi til Riksrevisjonen og Direktoratet for forvaltning og økonomistyring (DFØ).
Krav til innretning av internrevisjon i statlige virksomheter
Dersom virksomheten konkluderer med at den vil etablere en internrevisjon, stiller rundskriv R-117 krav til innretningen av internrevisjonen. Disse kravene omfatter følgende hovedområder:
- Organisering
- Kompetanse og revisjonsplaner
- Bruk av anerkjente standarder
- Informasjon fra virksomheten
1 Forvaltningsorganer omfatter ordinære statlige
forvaltningsorganer («bruttobudsjetterte virksomheter»),
forvaltningsorganer med særskilte fullmakter til bruttoføring
utenfor statsbudsjettet («nettobudsjetterte virksomheter») og
statens forvaltningsbedrifter.
2 I henhold
til siste publiserte årsrapport. Bruttobudsjetterte virksomheter
skal ta utgangspunkt i oppstillingen av bevilgningsrapporteringen.
Nettobudsjetterte virksomheter skal ta utgangpunkt i oppstillingen
av virksomhetsregnskapet.
Hvilke kriterier skal inngå i vurderingen?
Hvor stort behov en virksomhet og lederen av virksomheten har for en internrevisjon vil variere. Det finnes alternativer til å etablere en internrevisjon for å styrke virksomhetens styring og kontroll. Dette kan være tiltak som styrker linjeorganisasjonens kapasitet og kompetanse (førstelinjen og/eller andrelinjen), eller enkeltstående kjøp av evalueringer, granskninger og andre gjennomganger av områder som oppleves som spesielt utfordrende eller problematiske. Slike tiltak tilfredsstiller ikke kravene som er stilt i rundskriv R-117, og kan derfor ikke kalles en internrevisjon, men kan likevel være et alternativ til å etablere en internrevisjon.
Det er viktig å merke seg at Økonomiregelverket stiller krav til at virksomheten skal ha god styring og kontroll, uavhengig av om virksomheten etablerer en internrevisjon eller ikke. Det er som tidligere nevnt opp til virksomhetslederen å vurdere hvor og hvordan eventuelle ekstra ressurser til styring og kontroll kan gi størst nytte.
Relevante kriterier
Nedenfor beskriver vi relevante kriterier som virksomheten skal vurdere når den tar stilling til om den skal etablere en internrevisjon. Kriteriene gir indikasjoner på behov og utfordringer knyttet til styring og kontroll. Listen er ikke komplett, og det er også en viss overlapping mellom forholdene.
Størrelse
En internrevisjon kan være et godt virkemiddel for store virksomheter. Med størrelse følger krav og utfordringer knyttet til styring og kontroll. Virksomhetens størrelse måles blant annet i budsjett, antall årsverk, balanse og omfanget av verdier som forvaltes.
Kompleksitet
Med størrelse følger også kompleksitet. Kompleksitet kan både være måten virksomheten er organisert på og sammensetningen av de produkter og tjenester den leverer. Kompleksitet kan også være høye kvalitetskrav, regelverk og oppgaveproduksjonen, IKT-systemer og så videre.
I en virksomhet med flere styringsnivåer, desentralisert beslutningsmyndighet, stor geografisk spredning eller stort spenn i oppgaver vil det være krevende for virksomhetslederen og ledere på lavere nivå å få tilstrekkelig oversikt og kontroll med sine ansvarsoppgaver. Det kan også være krevende å få til gode systemer og rutiner som sikrer at «like ting gjøres likt», og at kvaliteten er tilstrekkelig til enhver tid. Kompleksitet kan også gjenspeiles i store omstillinger og endringer i virksomheten. I slike situasjoner vil det for virksomhetslederen være mer utfordrende å ha god styring og kontroll enn i en situasjon der virksomheten har stabil og ordinær drift.
Risiko
Både størrelse og kompleksitet virker inn på hvor krevende det er å ha god styring og kontroll, og på risikoen for at man ikke når sine mål. Andre forhold som kan påvirke risikoen, er hyppige endringer i virksomhetens omgivelser, stor grad av skjønnsmessige vurderinger i virksomhetens prosesser, store transaksjonsvolum (inn- og utbetalinger) med eventuell tilhørende høy risiko knyttet til IKT-systemer, misligheter og så videre.
Vesentlighet
Vesentlighet kan bety at virksomheten ivaretar samfunnskritiske oppgaver og beredskapsoppgaver med fare for liv og helse. Siden toleransen for feil er svært lav i slike virksomheter, stilles det strengere krav til styring og kontroll. Vesentlighet kan også bety at virksomheten har mange eller utsatte brukere, at ansvarsområdet har stor politisk oppmerksomhet, at virksomheten er omdømmesensitiv og så videre.
Kvaliteten og modenheten på virksomhetens styring og kontroll
Kvaliteten på virksomhetens styring og kontroll kan bedømmes etter i hvilken grad virksomhetens mål og resultatkrav oppnås, og om de oppnås på en målrettet og effektiv måte, ved pålitelig rapportering og overholdelse av lover og regler. Hvor moden virksomhetens styring og kontroll er, kan også gjenspeiles i hvorvidt virksomheten har et dokumentert system for styring og kontroll. Og videre hvor godt den etterlever, følger opp og forbedrer dette systemet. Modenheten kan også vises i om virksomheten har en kultur som gjenspeiler fastsatte etiske verdier, om den får gode tilbakemeldinger i etatsstyringsdialogen og unngår negative medieoppslag og så videre.
Kvaliteten på styring og kontroll
Det er ingen entydig sammenheng mellom behovet for internrevisjon og modenheten og kvaliteten på styring og kontroll. I en virksomhet med svak styring og kontroll vil internrevisjonen kunne avdekke hvor det er størst risiko for at styringssvikt, feil og mangler oppstår. Internrevisjonen kan gi råd og støtte som bidrar til å forebygge negative hendelser og hjelpe til med å bygge opp en sterkere første- og andrelinje. Nytteverdien av internrevisjon vil imidlertid avhenge av at ledelsen og linjen har evne og vilje i form av kapasitet, ressurser og motivasjon til å følge opp internrevisjonens råd og benytte seg av internrevisjonens tjenester. Mange kan også oppleve at internrevisjonen «slår inn åpne dører» ved at den bekrefter svakheter som allerede er godt kjent.
I en virksomhet med slike kjente utfordringer vil internrevisjonen trolig gi størst verdi gjennom rådgivningsoppdrag for å bidra til å modne virksomhetens system for styring og kontroll. En virksomhet som vurderer kvaliteten og modenheten på styring og kontroll som utilfredstillende, ønsker kanskje å gjennomføre forbedringstiltak for så å vurdere å etablere internrevisjon når man ser effekten av disse tiltakene. Én måte å organisere forbedringsarbeidet på, er å etablere en rolle med et særskilt ansvar for å bistå ledelsen i arbeidet med å forbedre styring og kontroll. Andre virksomheter kan anta at virksomhetens utfordringer og behov best kan møtes ved å etablere en internrevisjon som kan gi råd og støtte i oppbyggingen av en sterk første- og andrelinje.
I en virksomhet med god styring og kontroll kan behovet for internrevisjonstjenester i utgangspunktet virke mindre. Internrevisjonen kan imidlertid bidra til kontinuerlig videreutvikling av styring og kontroll ved at temaet løpende blir satt på dagsordenen. Virksomhetslederen vil også fortløpende få uavhengige bekreftelser på at systemet for styring og kontroll fungerer over tid, eksempelvis også etter vesentlige endringer i oppgaver, teknologisk utvikling og så videre. Virksomheter som leverer produkter og tjenester som er vesentlige og samfunnskritiske, for eksempel virksomheter som forvalter store pengesummer eller leverer produkter eller tjenester som har stor betydning for liv eller helse, kan ha god nytte av en internrevisjon selv om de har god styring og kontroll.
Det er altså ingen entydig sammenheng mellom kvaliteten og modenheten på virksomhetens styring og kontroll og behovet for internrevisjonstjenester. Det som er viktig for å ta stilling til behovet for internrevisjon er om virksomhetslederen, og virksomheten for øvrig, er kjent med sine utfordringer og således har tilstrekkelig trygghet for at disse utfordringene blir håndtert på en tilfredsstillende måte. I motsatt fall kan virksomheten ha nytte av en internrevisjon som kan hjelpe virksomhetslederen til å få oversikt og identifisere hvor det er behov for bedre styring og kontroll.
Virksomhetslederen har det overordnede ansvaret for at vurderingen blir gjennomført, og er den som fatter den endelige beslutningen. Siden man skal foreta vurderingen etter fastsatte kriterier minimum hvert fjerde år, er det nødvendig å dokumentere vurderingen og benytte en strukturert metode.
Vi viser til del 2 for en konkretisering av kriteriene vi har omtalt over, i form av en sjekkliste og veiledning i hvordan man praktisk kan gjennomføre og dokumentere en vurdering.
Veileder: Trenger vi internrevisjon?
Innledning
Er vi på trygg grunn?
Leseveiledning
Hvordan lese denne veiledningen
Innhold i del 1
Innhold i del 2
Del 1: Hva er internrevisjon?
Hva er internrevisjon?
Definisjon av internrevisjon
Bekreftelsestjenester og rådgivningstjenester
Internkontroll i internrevisjonen
Revisjon på operasjonelt og strategisk nivå
Internrevisjonens rolle og plassering i virksomheten
Førstelinjekontroll
Andrelinjekontroll
Tredjelinjekontroll
Fjerdelinjekontroll
Standarder for internrevisjon
Ulike modeller for internrevisjon
Hva er spesielt med internrevisjon i staten?
Hvordan sikre internrevisjonen uavhengighet av virksomhetsleder, eventuelt styre og departement?
Hvilke krav stilles til internrevisjon i statlige virksomheter?
Krav om å vurdere bruk av internrevisjon
Krav til innretning av internrevisjon i statlige virksomheter
Hvilke kriterier skal inngå i vurderingen?
Relevante kriterier
Kvaliteten på styring og kontroll
Del 2: Hvordan gjennomføre en vurdering?
Innhold
Steg 1: Beskrive behov og utfordringer
To hovedspørsmål
Steg 2: Identifisere relevante tiltak
Kjøpe inn objektive og uavhengige revisjoner
Forbedringer i første- og andrelinjen
Avhengig av behov og utfordringer
Modeller for internrevisjon
Steg 3: Identifisere, verdsette og sammenstille nytte- og kostnadsvirkninger av tiltak
Mulige nyttevirkninger av internrevisjon
Mulige kostnadsvirkninger av internrevisjon
Steg 4: Vurdering av usikkerhet
Typiske forhold som kan påvirke nytten av internrevisjon
Typiske forhold som kan påvirke kostnaden ved internrevisjon
Steg 5: Gi en samlet totalvurdering
Avslutning
Vedlegg til veileder om internrevisjon