Internrevisjon i staten

Internrevisjon kan bli oppfattet ulikt i ulike miljøer. Den typen internrevisjon som gjelder for statlige virksomheter stiller krav både til internrevisjonsfunksjonen som organisatorisk enhet og til utøvelsen av arbeidet med internrevisjon. Internrevisjon etter de statlige kravene har hele virksomheten som sitt virkeområde og er ikke avgrenset til kun å omfatte deler av virksomhetens drift.

Oppdatert

Hva er internrevisjon i staten?

Internrevisjon i staten er regulert i Rundskriv 117 (R-117).

Internrevisjonsfunksjonen er en organisatorisk enhet i statlige virksomheter, eller en enhet som er kjøpt fra eksterne fagmiljøer, som skal

  • rapportere til øverste ledelse
  • være objektiv og uavhengig av resten av organisasjonen og områdene den reviderer
  • ha hele virksomheten som virkeområde
  • utarbeide en årlig risikobasert revisjonsplan for å fastsette sine prioriteringer
  • arbeide etter anerkjente standarder
  • benytte en systematisk metode for å gjennomgå og vurdere sentrale dokumenter, systemer og praksis.

Hvem er omfattet av kravene til internrevisjon i staten?

R-117 og kravene til internrevisjon i staten gjelder for alle statlige forvaltningsorgan jf. reglement for økonomistyring i staten § 2. Merk at kravet om å vurdere bruk av internrevisjon i kap. 4 i R-117 ikke gjelder for departementer.

Hva er spesielt med internrevisjon i staten?

Internrevisjon er et begrep som blir brukt om mye forskjellig. Den internrevisjon vi snakker om i staten er kjennetegnet av at den følger fastsatte krav som er beskrevet i R-117.

Dette er krav til

  • Organisering
  • Kompetanse og revisjonsplaner
  • Bruk av anerkjente standarder
  • Informasjon fra virksomheten

Internrevisjon i staten stiller derfor krav både til internrevisjonen som funksjon og til utøvelsen av internrevisjon som prosess.

Internrevisjon i staten har hele virksomheten som sitt arbeidsfelt, i motsetning til internrevisjon av enkeltområder som mange andre typer internrevisjon har. Et eksempel på dette er krav til internrevisjon i ISO-standarder som en virksomhet har valgt å følge.

Internrevisjon i staten skiller seg også fra internrevisjon i privat virksomhet på enkelte områder. Internrevisjoner i staten står ovenfor noen særskilte dilemmaer, både i forhold til uavhengighet og merverdi.

Noen viktige forhold er:

  • Statlige internrevisjonsfunksjoner må ta hensyn til den styringsmessige sammenhengen som de skal operere i. Et statlig forvaltningsorgan er ikke et eget rettssubjekt, men en del av staten som «juridisk person». Statsråden har konstitusjonelt og politisk ansvar for at virksomheten drives innenfor rammene som er satt av Stortinget. 

    Departementet har som etatsstyrer et overordnet ansvar for at de underliggende virksomhetene har forsvarlig styring og kontroll. Departementet må bygge på virksomhetens interne styring og kontroll når det utøver sitt kontrollansvar. Virksomhetene har et selvstendig ansvar innenfor rammene er satt av blant annet departementet. 

    Departementet er verken et styre eller en eier for underliggende virksomheter, selv om departementet ivaretar noen av de samme funksjonene. 

    I virksomheter som er organisert med et styre, har ikke styret det samme ansvaret verken juridisk eller økonomisk som styret i et aksjeselskap. På grunn av statsrådens konstitusjonelle og politiske ansvar vil styret i et forvaltningsorgan ikke ha fullt ansvar verken juridisk, økonomisk eller konstitusjonelt. 

    Selv om en virksomhet har et styre, betyr det ikke nødvendigvis at internrevisjonen bør rapportere til dette. Det er departementet som fastsetter forholdet mellom departementet, et eventuelt styre og virksomhetslederen. Dette gjøres i instruksen til virksomheten, (se bestemmelsene for økonomistyring punkt 1.3.)

    Virksomhetsleder er det øverste ledelses-/styringsnivået i virksomheten der virksomheten ikke har et styre. Virksomhetsleder er normalt også internrevisjonens oppdragsgiver. Internrevisjonen blir derfor ikke uavhengig av virksomhetsleder.

    Når virksomhetslederen er oppdragsgiver, og ikke styret som i et aksjeselskap, kan dette bety en svekking av internrevisjonens uavhengighet og objektivitet. For å styrke internrevisjonens uavhengighet skal virksomheten utarbeide instrukser som tydelig definerer internrevisjonens rolle og myndighet, og mandatet den har til å gjennomføre egne risikovurderinger og uavhengige gjennomganger. Instruksen kan eventuelt omtale prosedyrer som håndterer eventuelle uenigheter mellom revisjonssjefen og oppdragsgiveren.

  • Riksrevisjonen og internrevisjon i staten følger begge internasjonale standarder, og har fokus på virksomhetens prosesser for styring og kontroll i sine revisjoner.  De internasjonale standardene omtaler hvordan forholdet mellom internrevisjon og ekstern revisjon skal samordnes og koordineres. 

    Internrevisjonens formål er å fremme og beskytte organisasjonens verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Internrevisjonen har hele virksomheten som sitt arbeidsfelt, og har et spesielt fokus på virksomhetens prosesser for styring og kontroll.

    Riksrevisjonen skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. Dette gjøres gjennom revisjon, kontroll og veiledning. Riksrevisjonen har en uavhengig stilling overfor forvaltningen og rapporterer resultatene av revisjonen og kontrollen til Stortinget. 

    Riksrevisjonen reviderer ut fra tre revisjonstyper med ulike type formål:  

    • Regnskapsrevisjon. Formålet er å bekrefte at regnskapene ikke inneholder vesentlige feil og mangler, og at disposisjonene som ligger til grunn for regnskapet, er i samsvar med Stortingets vedtak og forutsetninger.
    • Forvaltningsrevisjon. Formålet er å gi Stortinget relevant informasjon om iverksettelse og virkninger av offentlige tiltak. Bidra til en bedre og mer effektiv forvaltning gjennom systematiske undersøkelser av områder som økonomi, produktivitet, måloppnåelse og virkninger ut fra Stortingets vedtak og forutsetninger.
    • Selskapsrevisjon. Formålet er å gi Stortinget grunnlag for å ta stilling til om statens interesser i selskaper forvaltes i samsvar med Stortingets vedtak og forutsetninger. 

    Riksrevisjonens rolle er ikke begrenset til å bekrefte regnskapet, men omfatter også øvrige områder som er relatert til måloppnåelsen for den offentlige tjeneste- og velferdsproduksjonen. 

    Riksrevisjonen som eksternrevisor vurderer kvaliteten på virksomhetens etablerte system for styring og kontroll for å ta stilling til i hvilken grad han/hun kan bygge sine risikovurderinger og revisjon på systemtester i motsetning til detaljtesting. 

    Internrevisjonen skal også evaluere virksomhetens etablerte prosesser for styring og kontroll, i henhold til  IIA-standardene for internrevisjon.

    Både Riksrevisjonen og internrevisjonen gjennomfører altså undersøkelser og revisjoner som vurderer kvaliteten på virksomhetens etablerte system for styring og kontroll. Dersom internrevisjonen har vurdert virksomhetens prosesser og system for styring og kontroll til å være effektive, og internrevisor tilfredsstiller kriterier som uavhengighet og objektivitet i henhold til ISSAI 1610, skal Riksrevisjonen koordinere og samarbeide med internrevisjonen. Da kan Riksrevisjonen også vurdere å basere seg på internrevisjonens arbeid dersom dette er hensiktsmessig.  

    Arbeidsgruppen som utredet bruk av internrevisjon i 2014 anbefalte at internrevisjonen har dialog med Riksrevisjonen med sikte på å etablere oversikt over pågående og planlagte revisjoner, samt for å koordinere arbeidet, og for å diskutere metodespørsmål og andre revisjonsfaglige spørsmål.

  • Statlige virksomheter er underlagt en rekke nasjonale og internasjonale tilsyn og kontrollorgan som stiller eksplisitte krav til virksomhetens internkontroll, utover de generelle kravene til styring og kontroll i økonomiregelverket. 

    Eksempler på slike norske lov- og regelverk er personopplysningsloven, lov om offentlige anskaffelser og internkontrollforskriften. Norge er også gjennom EØS-avtalen forpliktet til å etterleve EU-regelverk på en rekke områder som faller inn under statlige organs forvaltningsområder.  

    Statlige virksomheter kan derfor ha aktiviteter som innebærer at de er underlagt interne og eksterne revisjoner, tilsyn og evalueringer, i tillegg til revisjoner gjennomført av Riksrevisjonen og virksomhetens eventuelle egen internrevisjon. 

    I virksomheter med internrevisjon kan internrevisor spille en viktig rolle i koordinering, samordning og tilrettelegging av revisjoner gjennomført av eksterne kontrollfunksjoner for å forhindre dobbeltarbeid og uhensiktsmessig bruk av ressurser brukt på kontroll. Ved at internrevisor gjennomfører internrevisjoner på områder som krever uavhengig bekreftelse, kan internrevisor bidra til “single audit concept” for å unngå at flere og til dels overlappende revisjoner gjennomføres av mange ulike kontrollorgan. 

    Internrevisor kan også spille en rolle ved oppfølging og utbedring av svakheter avdekket av eksterne tilsyn og kontrollorgan. Tilsyn og kontrollorgan kan bygge på internrevisjonens arbeide dersom det er relevant og hensiktsmessig. 

  • Offentlighetsloven gjelder for hele forvaltningen og bygger på offentlighetsprinsippet, som sier at vår felles offentlige forvaltning skal være så åpen som mulig. Offentlighetsprinsippet er grunnlovsfestet. Formålet med offentlighetsloven er å styrke

    • informasjon- og ytringsfriheten
    • demokratisk deltakelse
    • rettssikkerhet for den enkelte
    • tilliten til det offentlige
    • kontroll fra allmennheten

    Hovedregelen i offentlighetsloven er at dokumenter i offentlig forvaltning er åpne for innsyn. Unntak fra dette må følge av lov eller forskrift gitt med hjemmel i lov.

    Justisdepartementet har forvaltningsansvaret for offentlighetsloven. Se departementets nettsider for informasjon om loven og departementets veileder til loven.

    Innholdet i det aktuelle dokumentet avgjør om det er grunnlag for å unnta fra offentlighet

    Et hovedprinsipp i offentlighetsloven er at det er innholdet i dokumentet som er bestemmende for om et dokument kan unntas innsyn. Internrevisjonsdokumenter kan derfor ikke unntas fra innsyn på generelt grunnlag. Du skal i hvert tilfelle gjøre en konkret helhetsvurdering av innholdet i det aktuelle internrevisjonsdokumentet ved krav om innsyn.

    Hvis det blir gitt innsyn i et internrevisjonsdokument, vil dette i utgangspunktet altså ikke skape presedens for innsyn i andre internrevisjonsdokumenter.

    Vurder innsyn etter en forespørsel

    Innsynsvurderingen skjer normalt etter at noen ber om innsyn. Det bør normalt ikke tas stilling til innsynsspørsmålet ved at dokumentene merkes «unntatt offentlighet» uavhengig av om noen har bedt om innsyn, såkalt negativ forhåndsklassifisering. Hvis dokumentene inneholder opplysninger som er underlagt taushetsplikt, jf. offentlighetsloven § 13 første ledd, bør dette derimot gå fram. Innsynsvurderingen skal uansett være konkret og selvstendig, og man er ikke bundet av at andre har merket dokumentene med unntatt innsyn.

    Gjør deg godt kjent med unntaksbestemmelsene for innsyn

    Offentlighetsloven kapittel 3 (§§ 13–26) inneholder unntaksbestemmelsene i loven. Enkelte av disse unntaksbestemmelsene er mer vanlige og relevante for internrevisjonsdokumenter enn andre, dette gjelder blant annet §§ 13, 14 og 15, men det kan også være andre unntak som er relevante og aktuelle for internrevisjonsdokumenter

    § 13 første ledd om opplysninger som er underlagt taushetsplikt
    Hvis et internrevisjonsdokument inneholder taushetsbelagte opplysninger, skal disse opplysningene unntas fra offentlighet, jf. offentlighetsloven § 13 første ledd (med mindre den opplysningene gjelder, samtykker til offentliggjøring, eller taushetsplikten av andre grunner faller bort). Det skal da vises til både offentlighetsloven § 13 første ledd og den lov- eller forskriftsbestemmelsen som fastsetter taushetsplikten.

    § 14 – unntak for dokumenter som er utarbeidet for organets egen saksbehandling (organinterne dokumenter)
    Etter offentleglova § 14 første ledd kan det gjøres unntak fra innsyn for dokumenter som et organ har utarbeidet til bruk i sin egen interne saksbehandling, såkalte organinterne dokumenter. Dokumentene kan da som hovedregel ikke ha vært sendt utenfor organet. Se nærmere i Rettleiar til punkt 7.2 om unntaket for organinterne dokumenter.

    Et departement er å regne som et organ, og et vanlig frittstående direktorat regnes som et organ for seg.

    § 15 – unntak for dokumenter innhentet utenfra til den interne saksbehandlinge
    Etter offentleglova § 15 er det mulig å gjøre unntak for visse dokumenter som blir innhentet utenfra til bruk i den interne saksforberedelsen i et organ. Etter første ledd gjelder dette dokumenter som blir innhentet fra underordnede organer (første punktum), og av et departement fra et annet departement (andre punktum). Etter andre ledd kan det gjøres unntak for de delene av et dokument som inneholder råd eller vurderinger om hvordan mottakerorganet skal stille seg i en sak. Slike råd eller vurderinger kan i prinsippet innhentes fra hvem som helst. Etter tredje ledd gjelder unntakene i første og andre tilsvarende for innhenting av dokumenter som nevnt i første og andre ledd og for innkallinger til og referater fra møter mellom de samme aktørene.

    Det er flere ytterligere vilkår som må være oppfylt for at det skal kunne gjøres unntak etter § 15. Se om dette i Rettleiar til offentleglova punkt 7.3 om unntak for dokumenter innhentet utenfra for den interne saksfforberedelsen.

    Helt eller delvis unntak?
    Merk at mange av unntakene i kapittel 3 bare åpner for å unnta opplysninger eller deler av dokumentet fra innsyn. Det må da i utgangspunktet gis delvis innsyn i resten av dokumentet. Flere unntak kan eventuelt brukes i kombinasjon, og i noen tilfeller åpner § 12 for å unnta de resterende delene av et dokument når det blir gjort unntak for deler av dokumentet. Vilkårene her er imidlertid strenge.

    Vurder merinnsyn for et dokument

    Når det er anledning til å unnta innsyn, skal du vurdere å gi helt eller delvis innsyn, jf. § 11. Du skal gi innsyn hvis hensynet til offentlighet veier tyngre enn behovet for unntak. Merinnsyn er ikke aktuelt når det foreligger lovfestet taushetsplikt.

    Sivilombudsmannens vurdering av internrevisjonsdokumenter som departementer innhenter fra underliggende virksomhet

    Det er vanlig at departementer henter inn internrevisjonsdokumenter når de følger opp virksomheten (etatsstyringen). Sivilombudsmannen behandlet i desember 2019 tre innsynssaker som gjaldt slike innhentede dokumenter og oppga at internrevisjonsdokumenter som departementer rutinemessig henter inn som ledd i den løpende oppfølgingen av en underliggende virksomhet, ikke kan unntas offentlighet med grunnlag i § 15 første ledd første punktum. Sivilombudsmannen vurderte dermed at den generelle oppfølgingen av en underliggende virksomhet ikke er å regne som intern saksforberedelse, og dokumentene kunne dermed ikke unntas fra offentlighet på dette grunnlaget

    Se Sivilombudsmannens vurdering av disse sakene her:

Forholdene som er nevnt over er viktige forhold å tenke igjennom for virksomhetsleder og internrevisjonen for å sørge for uavhengighet og mest mulig merverdi av internrevisjonens arbeid.

Vil du vite mer om hva internrevisjon i staten er?

Se «Trenger vi en internrevisjon? Veiledning for statlige virksomheter som skal vurdere å etablere en internrevisjon». Her får du blant annet mer utfyllende svar på hva internrevisjon er, hva som er spesielt med interrevisjon i staten og hvilke krav som stilles til internrevisjon i statlige virksomheter.

Internrevisjonens rolle og plassering i virksomheten

Internrevisjonen skal organisatorisk være knyttet til og rapportere til virksomhetslederen, eventuelt også til styret i virksomheter som har dette. Internrevisjonen skal være objektiv og uavhengig av resten av organisasjonen og de oppgavene som revideres.Virksomhetens samlede systemer for styring og kontroll skal bidra til å redusere iboende risiko i virksomheten til et nivå ledelsen har bestemt at er akseptabelt.

Førstelinjen omfatter medarbeidere i linjen som har et ansvar for å gjennomføre etablert styring og kontroll gjennom sine daglige arbeidsoppgaver. Førstelinjen omfatter også ledelsen, som har ansvar for å utforme, gjennomføre og følge opp ulike tiltak for å oppnå god styring og kontroll innenfor sitt ansvarsområde.

Andrelinjen omfatter ulike typer stabs- og linjeenheter som legger til rette for, bistår i og følger opp styring og kontroll på vegne av én eller flere ledere.

I tillegg kan virksomheten etablere internrevisjon som en ekstra sikkerhet. Denne tredjelinjen er det ytterste laget med kontroll og skiller seg fra kontrollene som gjennomføres i første- og andrelinjen, ettersom internrevisjonen på objektivt og uavhengig grunnlag vurderer hvor effektiv og hensiktsmessig den etablerte og gjennomførte styringen og kontrollen i første- og andrelinjen er. Dette kaller vi tredjelinjekontroll.

I tillegg til de tre interne kontrollinjene kan man også synliggjøre eksternrevisors eller Riksrevisjonens og andre eksterne kontrollorganers plass som en «fjerdelinje» i figuren. Tredjelinjen og fjerdelinjen bør samarbeide og koordinere sine innsatser og arbeidsfelt slik at ressursene samlet sett blir best mulig utnyttet. Internrevisjonen kan fungere som en forebyggende funksjon som bidrar til at virksomhetene får bedre styring og kontroll og blir oppmerksomme på svakheter før de eventuelt blir påpekt av fjerdelinjen.

Illustrasjon av ulike kontrollnivåer for å sikre god styring og kontroll. Kilde: Veileder i internkontroll fra DFØ (2013)
Illustrasjon av ulike kontrollnivåer for å sikre god styring og kontroll. Kilde: Veileder i internkontroll fra DFØ (2013)

Hensikten med internrevisjon

Hensikten med internrevisjon er å tilføre merverdi og forbedre organisasjonens drift. Internrevisjon skal bidra til at organisasjonen oppnår sine målsettinger og sitt samfunnsoppdrag

Internrevisjonen gir virksomhetsleder trygghet for at ting som er bestemt blir gjennomført som forutsatt.

Internrevisjonens oppgaver

Internrevisjonens oppgave er å evaluere og forbedre effektiviteten og vurdere hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance, som vi i DFØ samlet omtaler som styring og kontroll.

Dette gjør internrevisjonen ved å gi objektive og uavhengige vurdering og råd, i form av såkalte bekreftelsestjenester og rådgivningstjenester.

Bekreftelsestjenester og rådgivningstjenester

Bekreftelsestjenester innebærer at internrevisjonen gjør objektive og uavhengige vurderinger av om styring og kontroll er tilfredsstillende i systemer, prosesser eller områder i virksomheten. 

Det er som regel tre parter involvert i bekreftelsesrevisjoner:

  1. enheten som blir revidert
  2. den som utfører revisjonen
  3. oppdragsgiveren eller brukeren av vurderingen eller konklusjonen.

Rådgivningstjenester er veiledende i sin natur og blir vanligvis utført på konkret forespørsel fra en oppdragsgiver. Internrevisjonen kan gi råd om forbedringer i systemer, prosesser eller andre områder i virksomheten.

Rådgivning omfatter vanligvis to parter:

  1. den som utfører rådgivning (internrevisjonen)
  2. den som søker og mottar rådgivning (oppdragsgiveren).
Kontaktinfo

Har du spørsmål om internrevisjon, send en e-post til postmottak@dfo.no.

Vi behandler spørsmål så raskt som mulig, og normalt innen 3 uker.
Du kan eventuelt ta direkte kontakt med:

  • Christine Vik: 957 35 629
Fant du det du lette etter?