Internrevisjon i staten

Internrevisjon kan bli oppfattet ulikt i ulike miljøer. Den typen internrevisjon som gjelder for statlige virksomheter stiller krav både til internrevisjonsfunksjonen som organisatorisk enhet og til utøvelsen av arbeidet med internrevisjon. Internrevisjon etter de statlige kravene har hele virksomheten som sitt virkeområde og er ikke avgrenset til kun å omfatte deler av virksomhetens drift.

Oppdatert

Hva er internrevisjon i staten?

Internrevisjon i staten er regulert i Rundskriv 117 (R-117).

Internrevisjonsfunksjonen er en organisatorisk enhet i statlige virksomheter, eller en enhet som er kjøpt fra eksterne fagmiljøer, som skal

  • rapportere til øverste ledelse
  • være objektiv og uavhengig av resten av organisasjonen og områdene den reviderer
  • ha hele virksomheten som virkeområde
  • utarbeide en årlig risikobasert revisjonsplan for å fastsette sine prioriteringer
  • arbeide etter anerkjente standarder
  • benytte en systematisk metode for å gjennomgå og vurdere sentrale dokumenter, systemer og praksis.

Hvem er omfattet av kravene til internrevisjon i staten?

R-117 og kravene til internrevisjon i staten gjelder for alle statlige forvaltningsorgan jf. reglement for økonomistyring i staten § 2. Merk at kravet om å vurdere bruk av internrevisjon i kap. 4 i R-117 ikke gjelder for departementer.

Hva er spesielt med internrevisjon i staten?

Internrevisjon er et begrep som blir brukt om mye forskjellig. Den internrevisjon vi snakker om i staten er kjennetegnet av at den følger fastsatte krav som er beskrevet i R-117.

Dette er krav til

  • Organisering
  • Kompetanse og revisjonsplaner
  • Bruk av anerkjente standarder
  • Informasjon fra virksomheten

Internrevisjon i staten stiller derfor krav både til internrevisjonen som funksjon og til utøvelsen av internrevisjon som prosess.

Internrevisjon i staten har hele virksomheten som sitt arbeidsfelt, i motsetning til internrevisjon av enkeltområder som mange andre typer internrevisjon har. Et eksempel på dette er krav til internrevisjon i ISO-standarder som en virksomhet har valgt å følge.

Internrevisjon i staten skiller seg også fra internrevisjon i privat virksomhet på enkelte områder. Internrevisjoner i staten står ovenfor noen særskilte dilemmaer, både i forhold til uavhengighet og merverdi.

Noen viktige forhold er:

  • Statlige internrevisjonsfunksjoner må ta hensyn til den styringsmessige sammenhengen som de skal operere i. Et statlig forvaltningsorgan er ikke et eget rettssubjekt, men en del av staten som «juridisk person». Statsråden har konstitusjonelt og politisk ansvar for at virksomheten drives innenfor rammene som er satt av Stortinget. 

    Departementet har som etatsstyrer et overordnet ansvar for at de underliggende virksomhetene har forsvarlig styring og kontroll. Departementet må bygge på virksomhetens interne styring og kontroll når det utøver sitt kontrollansvar. Virksomhetene har et selvstendig ansvar innenfor rammene er satt av blant annet departementet. 

    Departementet er verken et styre eller en eier for underliggende virksomheter, selv om departementet ivaretar noen av de samme funksjonene. 

    I virksomheter som er organisert med et styre, har ikke styret det samme ansvaret verken juridisk eller økonomisk som styret i et aksjeselskap. På grunn av statsrådens konstitusjonelle og politiske ansvar vil styret i et forvaltningsorgan ikke ha fullt ansvar verken juridisk, økonomisk eller konstitusjonelt. 

    Selv om en virksomhet har et styre, betyr det ikke nødvendigvis at internrevisjonen bør rapportere til dette. Det er departementet som fastsetter forholdet mellom departementet, et eventuelt styre og virksomhetslederen. Dette gjøres i instruksen til virksomheten, (se bestemmelsene for økonomistyring punkt 1.2.)

    Virksomhetsleder er det øverste ledelses-/styringsnivået i virksomheten der virksomheten ikke har et styre. Virksomhetsleder er normalt også internrevisjonens oppdragsgiver. Internrevisjonen blir derfor ikke uavhengig av virksomhetsleder.

    Når virksomhetslederen er oppdragsgiver, og ikke styret som i et aksjeselskap, kan dette bety en svekking av internrevisjonens uavhengighet og objektivitet. For å styrke internrevisjonens uavhengighet skal virksomheten utarbeide instrukser som tydelig definerer internrevisjonens rolle og myndighet, og mandatet den har til å gjennomføre egne risikovurderinger og uavhengige gjennomganger. Instruksen bør omtale prosedyrer som håndterer eventuelle uenigheter mellom revisjonssjefen og oppdragsgiveren.

  • Riksrevisjonen og internrevisjon i staten følger begge internasjonale standarder, og har fokus på virksomhetens prosesser for styring og kontroll i sine revisjoner.  De internasjonale standardene omtaler hvordan forholdet mellom internrevisjon og ekstern revisjon skal samordnes og koordineres. 

    Internrevisjonens formål er å fremme og beskytte organisasjonens verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Internrevisjonen har hele virksomheten som sitt arbeidsfelt, og har et spesielt fokus på virksomhetens prosesser for styring og kontroll.

    Riksrevisjonen skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. Dette gjøres gjennom revisjon, kontroll og veiledning. Riksrevisjonen har en uavhengig stilling overfor forvaltningen og rapporterer resultatene av revisjonen og kontrollen til Stortinget. 

    Riksrevisjonen reviderer ut fra tre revisjonstyper med ulike type formål:  

    • Regnskapsrevisjon. Formålet er å bekrefte at regnskapene ikke inneholder vesentlige feil og mangler, og at disposisjonene som ligger til grunn for regnskapet, er i samsvar med Stortingets vedtak og forutsetninger.
    • Forvaltningsrevisjon. Formålet er å gi Stortinget relevant informasjon om iverksettelse og virkninger av offentlige tiltak. Bidra til en bedre og mer effektiv forvaltning gjennom systematiske undersøkelser av områder som økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger.
    • Selskapsrevisjon. Formålet er å gi Stortinget grunnlag for å ta stilling til om statens interesser i selskaper forvaltes i samsvar med Stortingets vedtak og forutsetninger. 

    Riksrevisjonens rolle er ikke begrenset til å bekrefte regnskapet, men omfatter også øvrige områder som er relatert til måloppnåelsen for den offentlige tjeneste- og velferdsproduksjonen. 

    Riksrevisjonen som eksternrevisor vurderer kvaliteten på virksomhetens etablerte system for styring og kontroll for å ta stilling til i hvilken grad han/hun kan bygge sine risikovurderinger og revisjon på systemtester i motsetning til detaljtesting. 

    Internrevisjonen skal også evaluere virksomhetens etablerte prosesser for styring og kontroll, i henhold til  IIA-standardene for internrevisjon.

    Både Riksrevisjonen og internrevisjonen gjennomfører altså undersøkelser og revisjoner som vurderer kvaliteten på virksomhetens etablerte system for styring og kontroll. Dersom internrevisjonen har vurdert virksomhetens prosesser og system for styring og kontroll til å være effektive, og internrevisor tilfredsstiller kriterier som uavhengighet og objektivitet i henhold til ISSAI 1610, skal Riksrevisjonen koordinere og samarbeide med internrevisjonen. Da kan Riksrevisjonen også vurdere å basere seg på internrevisjonens arbeid dersom dette er hensiktsmessig.  

    Arbeidsgruppen som utredet bruk av internrevisjon i 2014 anbefalte at internrevisjonen har dialog med Riksrevisjonen med sikte på å etablere oversikt over pågående og planlagte revisjoner, samt for å koordinere arbeidet, og for å diskutere metodespørsmål og andre revisjonsfaglige spørsmål.

  • Statlige virksomheter er underlagt en rekke nasjonale og internasjonale tilsyn og kontrollorgan som stiller eksplisitte krav til virksomhetens internkontroll, utover de generelle kravene til styring og kontroll i økonomiregelverket. 

    Eksempler på slike norske lov- og regelverk er personopplysningsloven, lov om offentlige anskaffelser og internkontrollforskriften. Norge er også gjennom EØS-avtalen forpliktet til å etterleve EU-regelverk på en rekke områder som faller inn under statlige organs forvaltningsområder.  

    Statlige virksomheter kan derfor ha aktiviteter som innebærer at de er underlagt interne og eksterne revisjoner, tilsyn og evalueringer, i tillegg til revisjoner gjennomført av Riksrevisjonen og virksomhetens eventuelle egen internrevisjon. 

    I virksomheter med internrevisjon kan internrevisor spille en viktig rolle i koordinering, samordning og tilrettelegging av revisjoner gjennomført av eksterne kontrollfunksjoner for å forhindre dobbeltarbeid og uhensiktsmessig bruk av ressurser brukt på kontroll. Ved at internrevisor gjennomfører internrevisjoner på områder som krever uavhengig bekreftelse, kan internrevisor bidra til “single audit concept” for å unngå at flere og til dels overlappende revisjoner gjennomføres av mange ulike kontrollorgan. 

    Internrevisor kan også spille en rolle ved oppfølging og utbedring av svakheter avdekket av eksterne tilsyn og kontrollorgan. Tilsyn og kontrollorgan kan bygge på internrevisjonens arbeide dersom det er relevant og hensiktsmessig. 

  • Det er svært ulik praksis i statlige virksomheters praktisering av offentlighetsloven når det gjelder offentliggjøring av internrevisjonsrapporter. Offentlighetsloven kan både svekke og øke internrevisjonens merverdi. 

    UDI og Jernbaneverket delte sine erfaringer om praktisering av offentlighetsloven og rapportering fra internrevisjonen på et medlemsmøte i IIAs nettverk for statlig sektor i 2016. Last ned presentasjonen fra UDI, og presentasjonen fra Jernbaneverket.  

    Arbeidsgruppen som utredet bruk av internrevisjon i staten i 2014 (utredningen som ligger til grunn for reguleringen av internrevisjon i staten) anbefalte at overordnet departement innhenter rapporter fra internrevisjonen i en underliggende virksomhet. Interne dokumenter som et departement innhenter fra et underliggende organ, kan unntas offentlighet når det er til bruk i saksbehandlingen i departementet og offentlighet kan skade saken, (se offentleglova § 15 første ledd). Virksomhetsleder har ansvar for at departementet får tilgang til årlig revisjonsplan og årsrapport fra internrevisjonsenheten, og eventuelt også enkeltrapporter dersom departementet ønsker det. Rapportering fra internrevisjonen til departementet bør være omtalt i departementets instruks til virksomheten og i internrevisjonsinstruksen.

    Riksrevisjonen har uinnskrenket tilgang til internrevisjonsrapporter. Rapportering fra internrevisjonen til Riksrevisjonen bør være omtalt i internrevisjonsinstruksen.

Forholdene som er nevnt over er viktige forhold å tenke igjennom for virksomhetsleder og internrevisjonen for å sørge for uavhengighet og mest mulig merverdi av internrevisjonens arbeid.

Vil du vite mer om hva internrevisjon i staten er?

Se «Trenger vi en internrevisjon? Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon». Her får du blant annet mer utfyllende svar på hva internrevisjon er, hva som er spesielt med interrevisjon i staten og hvilke krav som stilles til internrevisjon i statlige virksomheter.

Internrevisjonens rolle og plassering i virksomheten

Internrevisjonen skal organisatorisk være knyttet til og rapportere til virksomhetslederen, eventuelt også til styret i virksomheter som har dette. Internrevisjonen skal være objektiv og uavhengig av resten av organisasjonen og de oppgavene som revideres. Virksomhetens samlede systemer for styring og kontroll skal bidra til å redusere iboende risiko i virksomheten til et nivå ledelsen har bestemt at er akseptabelt.

Førstelinjen omfatter medarbeidere i linjen som har et ansvar for å gjennomføre etablert styring og kontroll gjennom sine daglige arbeidsoppgaver. Førstelinjen omfatter også ledelsen, som har ansvar for å utforme, gjennomføre og følge opp ulike tiltak for å oppnå god styring og kontroll innenfor sitt ansvars¬område.

Andrelinjen omfatter ulike typer stabs- og linjeenheter som legger til rette for, bistår i og følger opp styring og kontroll på vegne av én eller flere ledere.

I tillegg kan virksomheten etablere internrevisjon som en ekstra sikkerhet. Denne tredjelinjen er det ytterste laget med kontroll og skiller seg fra kontrollene som gjennomføres i første- og andrelinjen, ettersom internrevisjonen på objektivt og uavhengig grunnlag vurderer hvor effektiv og hensiktsmessig den etablerte og gjennomførte styringen og kontrollen i første- og andrelinjen er. Dette kaller vi tredjelinjekontroll.

I tillegg til de tre interne kontrollinjene kan man også synliggjøre eksternrevisors eller Riksrevisjonens og andre eksterne kontrollorganers plass som en «fjerdelinje» i figuren. Tredjelinjen og fjerdelinjen bør samarbeide og koordinere sine innsatser og arbeidsfelt slik at ressursene samlet sett blir best mulig utnyttet. Internrevisjonen kan fungere som en forebyggende funksjon som bidrar til at virksomhetene får bedre styring og kontroll og blir oppmerksomme på svakheter før de eventuelt blir påpekt av fjerdelinjen.

Hensikten med internrevisjon

Hensikten med internrevisjon er å tilføre merverdi og forbedre organisasjonens drift. Internrevisjon skal bidra til at organisasjonen oppnår sine målsettinger og sitt samfunnsoppdrag

Internrevisjonen gir virksomhetsleder trygghet for at ting som er bestemt blir gjennomført som forutsatt.

Internrevisjonens oppgaver

Internrevisjonens oppgave er å evaluere og forbedre effektiviteten og vurdere hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance, som vi i DFØ samlet omtaler som styring og kontroll.

Dette gjør internrevisjonen ved å gi objektive og uavhengige vurdering og råd, i form av såkalte bekreftelsestjenester og rådgivningstjenester.

Bekreftelsestjenester og rådgivningstjenester

Bekreftelsestjenester innebærer at internrevisjonen gjør objektive og uavhengige vurderinger av om styring og kontroll er tilfredsstillende i systemer, prosesser eller områder i virksomheten. 

Det er som regel tre parter involvert i bekreftelsesrevisjoner:

  1. enheten som blir revidert
  2. den som utfører revisjonen
  3. oppdragsgiveren eller brukeren av vurderingen eller konklusjonen.

Rådgivningstjenester er veiledende i sin natur og blir vanligvis utført på konkret forespørsel fra en oppdragsgiver. Internrevisjonen kan gi råd om forbedringer i systemer, prosesser eller andre områder i virksomheten.

Rådgivning omfatter vanligvis to parter:

  1. den som utfører rådgivning (internrevisjonen)
  2. den som søker og mottar rådgivning (oppdragsgiveren).
Kontaktinfo

Har du spørsmål om internrevisjon, send en e-post til postmottak@dfo.no.

Vi behandler spørsmål så raskt som mulig, og normalt innen 3 uker.
Du kan eventuelt ta direkte kontakt med:

  • Christine Vik: 957 35 629
Fant du det du lette etter?