Her finner du to vedlegg til veiledningen: sjekkliste for vurdering av behovet for en internrevisjonsfunksjon og fordeler og ulemper ved ulike modeller for internrevisjon.
Sjekkliste for vurdering av behovet for en internrevisjonsfunksjon
Denne sjekklisten er et hjelpemiddel for å komme gjennom steg 1 i vurderingen i dette veiledningsmateriellet.
Du kan også laste ned sjekklisten i Word-format, slik at du kan tilpasse innholdet til din virksomhet.
Sjekklisten er delt inn i to hovedspørsmål
Hovedspørsmål 1 er knyttet til mer eller mindre objektive kriterier og kjennetegn ved virksomhetens størrelse, kompleksitet, risiko og vesentlighet.
Hovedspørsmål 2 handler om modenheten og kvaliteten på styring og kontroll.
Hvert av de to hovedspørsmålene avsluttes med et felt for «Samlet vurdering», der virksomheten bør gi en sammenstilt vurdering og ev. begrunnelse knyttet til det enkelte hovedspørsmål.
- Innledningsvis får du tips om hvilke dokumenter som kan være aktuelle å gjennomgå, og hvilke aktiviteter som kan gjennomføres for å besvare spørsmålene i sjekklisten.
- For hvert underspørsmål kan virksomheten vurdere ulike graderinger, for eksempel medium / høy / svært høy eller ja/nei.
- I kolonne for vurdering/kommentar kan virksomheten gi utfyllende forklaring i fritekst.
Slik kan du gå frem for å få et bedre grunnlag for å besvare spørsmålene i sjekklisten:
1. Identifisere og gjennomgå relevant dokumentasjon som belyser virksomhetens egenart, risiko og vesentlighet.
Slike dokumenter kan eksempelvis være
- Prop. 1 S (statsbudsjettet, fagproposisjonen)
- instruks, tildelingsbrev, budsjett og årsrapport
- virksomhetens risikovurderinger og eventuelt SWOT-analyse (stryker, svakheter, muligheter og trusler)
- organisasjonsmodell
- styringsmodell
2. Identifisere og gjennomgå relevant dokumentasjon og benytte relevante verktøy som belyser virksomhetens kvalitet og modenhet på styring og kontroll.
I arbeidet med å utarbeide årsrapport vil virksomheten allerede ha vurdert og dokumentert status på styring og kontroll. Relevante dokumenter eller verktøy benyttet i dette arbeidet kan for eksempel være
- dokumentasjon eller beskrivelse av virksomhetens styrings- og kontrollsystem (vedtatte dokumenter som beskriver systemer og strukturer, styringsmodell, etiske retningslinjer e.l.)
- styringsdokumenter med mål og resultatkrav, eksempelvis Prop. 1 S, strategi, resultatindikatorer, tildelingsbrev, årsrapport mv.
- dokumentasjon på gjennomført oppfølging knyttet til styrings- og kontrollsystemet, for eksempel oppfølging av virksomhetsplan, avdelingsplaner, aktivitetsplaner, styringsparameterer, resultatrapporter og rapporterte avvik (effekt og etterlevelse)
- virksomhetens risikovurderinger
- rapporter fra Riksrevisjonen, tilsyn, resultat av evalueringer og granskninger
- relevante referat fra styringsdialogen med departementet eller andre møtereferat eller dokumentasjon som inneholder informasjon om ledelsens oppfølging og vurdering av internkontrollen, for eksempel lederbekreftelser. Se DFØs verktøy for lederbekreftelser.
- dokumentasjon på gjennomført egenevaluering av internkontrollen, modenhetsvurdering av internkontrollen e.l. Se DFØs verktøy for egenevaluering av internkontrollen.
- dokumentasjon på gjennomført egenevaluering ved bruk av Common assessment framework (CAF) (gå til rammeverket)
3. Identifisere og gjennomføre samtaler med interne og eksterne interessenter etter behov.
Dette kan være medarbeidere som har god kjennskap til virksomheten, for eksempel personer som er sentrale i oppfølgingen av virksomhetens styring og kontroll. Det kan også være eksterne som personer i overordnet departement eller sentrale representanter for brukere av virksomhetens produkter/tjenester, for eksempel
- virksomhetsleder
- ledere i linje og stab
- controller og sentrale økonomi-/regnskapsmedarbeidere
- fagansvarlig internkontroll, leder risikostyring eller andre 2.linjefunksjoner
- systemansvarlige
- juridisk ansvarlige
- prosessansvarlige
- personer med særlig ansvar for sikkerhet og beredskap
- etatsstyrer
- Riksrevisjonen
- representanter for sentrale brukergrupper
Vi foreslår å bruke tall fra siste årsrapport. Dette er entydige og endelig tall som er sammenlignbare over tid, og de er lett tilgjengelige.
Det er noe overlapping mellom forholdene som er omtalt i sjekklisten. Med størrelse følger også kompleksitet. Både størrelse, kompleksitet og vesentlighet påvirker risiko, og med størrelse og kompleksitet følger for eksempel betydelige krav og utfordringer knyttet til styring og kontroll. Videre er det ingen entydig sammenheng mellom en virksomhets behov for internrevisjon og kvaliteten på styring og kontroll, som vurderes under hovedspørsmål 2. Vurderingen i tilknytning til dette hovedspørsmålet bør derfor settes i sammenheng med hovedspørsmål 1 og sees i forhold til hvor krevende det er for virksomhetslederen å skaffe seg tilstrekkelig oversikt og informasjon om tilstanden på styring og kontroll og hva som må til for å sikre forsvarlig styring og kontroll.
Vi understreker at sjekklisten ikke er ment å være en uttømmende liste over elementer dere bør vurdere, og at heller ikke alle spørsmål vil være relevante for virksomheten å vurdere. Sjekklisten er kun ment som en veiledning og inspirasjon i arbeidet med å vurdere og dokumentere denne vurderingen.
|
Hovedspørsmål 1: Hvor stor, kompleks, risikoutsatt og vesentlig er virksomheten? |
||||
|
Størrelse |
Medium |
Stor |
Svært stor |
Vurdering/kommentar |
|
Budsjett Tall for samlede utgifter (kostnader) eller inntekter i siste årsrapport. Bruttobudsjetterte virksomheter tar utgangspunkt i oppstilling av bevilgningsrapporteringen. Nettobudsjetterte virksomheter tar utgangpunkt i oppstilling av virksomhetsregnskapet. |
300 mill. kr–1 mrd. kr |
1–10 mrd. kr |
Over 10 mrd. kr |
|
|
Antall årsverk/ansatte i siste årsrapport |
0–500 årsverk |
500–2000 årsverk |
Over 2000 |
|
|
Transaksjonsvolum Et representativt volumtall fra siste årsrapport del II «Introduksjon til virksomheten og hovedtall». Volumtall kan for eksempel være antall brukere av en tjeneste, antall vedtak, søknader mv. Virksomheten må velge det volumtallet som synliggjør størrelse, og deretter vurdere om virksomheten har medium, stort, eller svært stort volum. |
|
|
|
|
|
Balanse
|
0–1 mrd. kr |
1–10 mrd. kr |
Over 10 mrd. kr |
|
|
Kompleksitet |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Spenn i oppgaveportefølje og ansvarsområder |
|
|
|
|
|
Geografisk spredning / antall lokasjoner og styringsnivå eller styringslinjer |
|
|
|
|
|
Grad av kompliserte vurderinger eller beregninger knyttet til produkter eller tjenester |
|
|
|
|
|
Grad av kvalitetskrav knyttet til tjenester og produkter |
|
|
|
|
|
Grad av kompleksitet i IKT-systemer, eksempelvis integrerte IKT-systemer internt eller med eksterne |
|
|
|
|
|
Grad av påvirkning fra og endringer i eksterne rammebetingelser (EU, EØS, markeder, politisk uro mv.) |
|
|
|
|
|
Underlagt komplekst regelverk (nasjonalt eller internasjonalt) |
|
|
|
|
|
Risiko (iboende/restrisiko) |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Grad av produkter eller tjenester med høy iboende/potensiell risiko for misligheter (kunder eller medarbeidere) |
|
|
|
|
|
Grad av skjønnsmessige vurderinger |
|
|
|
|
|
Grad av avhengighet og samhandling med andre statlige virksomheter eller private aktører for leveranser av produkter eller tjenester |
|
|
|
|
|
Grad av store investeringer i forhold til budsjett, jf. også Finansdepartementets Prosjektmodell for store investeringer med tilhørende terskelverdier |
|
|
|
|
|
Grad av sikringsverdig informasjon og eller objekter, jf. bl.a. Lov om nasjonal sikkerhet (sikkerhetsloven) |
|
|
|
|
|
Grad av transaksjonsvolum eller aktiviteter
|
|
|
|
|
|
Vesentlighet |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Forvaltning av tilskuddsordninger av en viss størrelse |
|
|
|
|
|
Håndtering av EU/EØS-midler |
|
|
|
|
|
Vedtak med store konsekvenser for o enkeltindivider og grupper av brukere o mange brukere o utsatte brukere |
|
|
|
|
|
Produksjon av samfunnskritiske produkter, tjenester eller beredskap. Enten direkte eller indirekte i form av tjenester til kunders samfunnskritiske produkter/tjenester eller beredskap |
|
|
|
|
|
Grad av politisk oppmerksomhet knyttet til produkter eller tjenester |
|
|
|
|
|
Samlet vurdering av virksomhetens størrelse, kompleksitet, risiko og vesentlighet |
|
|||
|
Hovedspørsmål 2: Hvordan er modenheten og kvaliteten på virksomhetens styring og kontroll? |
|||
|
Spørsmål |
Ja |
Nei |
Vurdering/kommentar |
|
Oppnår virksomheten i stor grad fastsatte mål og resultatkrav? |
|
|
|
|
Har virksomheten et godt opplegg for å identifisere, vurdere, håndtere og følge opp risiko · på virksomhetsnivå? · på lavere og operativt nivå (vesentlige områder eller prosesser)? |
|
|
|
|
Har virksomheten etablert styrende dokumenter for alle vesentlige/risikofylte områder som tydeliggjør · hvem som har ansvaret for hva? · hvordan risikoutsatte og vesentlige oppgaver skal gjennomføres? |
|
|
|
|
Har virksomheten god nok dokumentasjon av gjennomførte kontrollhandlinger? |
|
|
|
|
Har virksomheten god oppfølging av etterlevelse av interne styrende dokumenter og eksterne lover og regler? Klarer virksomheten å benytte resultatene fra oppfølgingen til læring og forbedring? |
|
|
|
|
Har virksomheten gode IKT-systemer som understøtter oppgaveløsningen? · Hvordan opplever brukerne og de ansatte dette? |
|
|
|
|
Er det etablert et hensiktsmessig opplegg for informasjon og kommunikasjon tilpasset virksomhetens organisering og behov? · Hvordan oppleves dette av brukerne og de ansatte? |
|
|
|
|
Er styringsinformasjonen god (relevant, tilstrekkelig, pålitelig og rettidig)? |
|
|
|
|
Er det godt samsvar mellom kompetanse og roller, ansvar og myndighet? |
|
|
|
|
Har virksomheten en kultur og holdninger som gjenspeiler fastsatte etiske verdier? |
|
|
|
|
Fanger virksomhetens etablerte styrings- og kontrollsystemer opp feil og mangler før virksomheten blir gjort oppmerksom på feil og mangler av departement eller etter eksterne gjennomganger (RR, tilsyn, evalueringer mv.)? |
|
|
|
|
Samlet vurdering av kvaliteten og modenheten på styring og kontroll |
|
||
Fordeler og ulemper ved ulike modeller for internrevisjon
Virksomheter som skal vurdere, og eventuelt etablere, internrevisjon bør gjøre en vurdering av hvilken modell for internrevisjon som passer best. Nedenfor oppsummerer vi noen fordeler og ulemper ved de mest kjente modellene for internrevisjon.
Modell 1 – Egen organisatorisk enhet med fast ansatte revisorer
Modellen innebærer at virksomheten har en organisatorisk enhet plassert i virksomheten med ansvar for å levere internrevisjonstjenester.
Fordeler:
- Internrevisjonen blir en del av organisasjonen og får god kunnskap om virksomheten og dens kultur og verdier, styrings- og kontrollsystemer, risikobildet, driften i virksomheten og så videre. God kunnskap om virksomheten er en forutsetning for at internrevisjonen skal kunne gi tilstrekkelig merverdi.
- Kunnskapen internrevisjonen har om virksomheten vil være fullt tilgjengelig ved at internrevisjonen er en del av organisasjonens kompetansemiljø.
- En intern internrevisjon gir gode forutsetninger for forankring i virksomheten og for å bli virksomhetsleders fortrolige redskap.
Ulemper:
- Det kan være en utfordring å forsvare kostnaden ved å opprette en enhet som er stor nok til å utgjøre et tilstrekkelig robust internt fagmiljø (kritisk masse er ca. 3–4 internrevisorer).
- Det er en utfordring å rekruttere internrevisorer med riktig kompetanse og samtidig beholde disse over tid, ettersom miljøet er lite og karrieremulighetene begrensede.
- Det er en utfordring å ha tilstrekkelig faglig bredde som dekker virksomhetens behov for ulike type revisjonstjenester innenfor ulike fag.
- Ansettelser innebærer faste kostnader, dermed mindre fleksibilitet overfor variasjoner i behovet for internrevisjonstjenester.
Modell 2 – Ansatt revisjonssjef med team fra egen virksomhet
Modellen innebærer at det velges ut ansatte i virksomheten til revisjonsteam for de ulike revisjonsprosjektene ledet av en internrevisjonssjef.
Fordeler:
- Internrevisjonsteamet har god kompetanse og kjennskap til området som blir revidert og har således gode forutsetninger for å gi relevante råd, anbefalinger og bekreftelser.
- Bruk av egne ansatte i revisjonsteamet bidrar til god læring og kompetanseoverføring innad i virksomheten ved økt samhandling mellom fagmiljøer i virksomheten.
Ulemper:
- Det kan oppstå rollekonflikter og risiko for å komme i konflikt med krav til uavhengighet og objektivitet.
- Virksomheten må ha en størrelse som gjør det mulig for å finne fagkompetanse som organisatorisk har en uavhengig stilling i forhold til hverandre.
- Det er risiko for feil i den metodiske gjennomføringen av revisjonsoppdragene da det benyttes medarbeidere som ikke har revisjonskompetanse/utdannelse.
- Det kan være usikkerhet knyttet til om relevante fagmiljøer kan stille ressurser til disposisjon i den perioden revisjonen skal gjennomføres.
Modell 3 – Ansatt revisjonssjef som kjøper eksterne tjenester
Modellen innebærer at det ansettes én revisjonssjef som kjøper tjenester fra eksterne fagmiljøer. Tjenestene kan kjøpes hos en eller flere leverandører (flere rammeavtaler).
Fordeler:
- Modellen gir relativt god forankring av funksjonen i organisasjonen.
- Det er mulighet for å sette sammen team på tvers av fagområder og ulike rådgivningsmiljøer.
- En viss fleksibilitet i bruk av ressurser.
- Kompetanse hos internrevisjonssjefen som blir opparbeidet i samspill med eksterne fagmiljøer kommer virksomheten til gode.
Se også fordeler under modell 5 – full outsourcing.
Ulemper:
- Det er vanskelig å beholde en internrevisjonsfunksjon som består av kun én person over tid grunnet manglende internrevisjonsfaglig miljø i virksomheten. Det kan også være utfordrende å sikre kontinuitet og kompetanseoverføring til erstatter.
- Internrevisjonssjefen må ha bestillerkompetanse og bruke tid på anskaffelser og oppfølging av leverandøren.
Se også fordeler under modell 5 – full outsourcing.
Modell 4 – Felles internrevisjonsfunksjon på tvers av likartede virksomheter
Modellen innebærer at flere virksomheter deler på en internrevisjonsfunksjon.
Fordeler:
- Deling og overføring av lærdom på tvers av prosjekter og de ulike virksomhetene gir økt kvalitet og effektivitet i revisjonstjenestene, eksempelvis ved å utvikle god praksis og benytte felles rammeverk, rutiner og retningslinjer, maler og så videre.
- Kostnaden knyttet til opplæring og kompetanseutvikling blir mindre per virksomhet dersom samme personer kan benyttes på likeartede områder på tvers av virksomhetene.
- Det vil være større karrieremuligheter innad i internrevisjonsfunksjonen og et mer robust fagmiljø. Det er lærerikt og stimulerende å inngå i et bredere og større miljø.
- For virksomheter som ikke er store nok til å ha en internrevisor ansatt på heltid, kan også denne modellen være et fleksibelt alternativ.
Ulemper:
- Det kan være utfordrende for internrevisor å få tilstrekkelig med tid i hver virksomhet for å kunne ivareta sin rolle og sitt ansvar på en tilstrekkelig måte. Dette er særlig aktuelt dersom det kun er en revisjonssjef som deles.
- Det kan være en utfordring å ha en felles internrevisjonssjef som deles mellom flere virksomhetsledere ettersom internrevisjonen først og fremst er den enkelte virksomhetsleders instrument (med tanke på at det er behov for nær kontakt mellom virksomhetsleder og internrevisjonssjefen).
- Det kan oppstå tidsmessige konflikter når flere virksomhetsledere ønsker å få gjennomført revisjoner i samme tidsperiode og omstillingskostnaden mellom prosjekter, reisetid etc. kan tenkes å bli stor.
Modell 5 – Full outsourcing
Modellen innebærer at alle internrevisjonstjenester inkludert internrevisjonssjef kjøpes fra eksterne fagmiljøer.
Fordeler:
- Kompetansesammensetning og ressursbruk for internrevisjon kan endres løpende og tilpasses behovet i det enkelte revisjonsprosjekt og virksomhetens samlede behov for internrevisjonstjenester over tid.
- Modellen innebærer fleksibilitet med tanke på å teste ut bruk av internrevisjon for en periode og eventuelt reversere bruk av internrevisjon dersom behovet endrer seg.
- Internrevisjonsressursene som benyttes vil være del av et større revisjonsmiljø som gjennomfører mange revisjonsoppdrag på samme tema hos ulike virksomheter. Dette medfører mulighet for spesialisering og deling av ledende praksis på tvers av prosjekter.
Ulemper:
- Det tar tid før eksterne konsulenter opparbeider seg tilstrekkelig kjennskap til virksomheten. Ekstern leverandør vil ikke ha samme mulighet for å bli kjent med virksomhetens kultur og observere udokumenterte kontroller, som en ansatt internrevisor (vil eksempelvis ikke like hyppig delta i ledermøter o.l.). God kjennskap til virksomheten er en forutsetning for å oppnå tillit i linjen og kunne gi merverdi i tilstrekkelig grad.
- Virksomheten blir avhengig av ekstern leverandør(er). Den kunnskap og forståelse som opparbeides om virksomheten over tid vil ikke være like tilgjengelig og tilstede i virksomheten som ved de andre modellene.
- Det kan være vanskeligere å oppnå forankring og aksept i virksomheten og dele virksomhetsfortrolig informasjon med ekstern part.
- Modellen forutsetter at virksomheten har tilstrekkelig bestillerkompetanse og ressurser til å følge opp kontrakt og leveranser.
Kombinasjon av modellene
I tillegg til de fem modellene beskrevet ovenfor er det mulig å etablere en kombinasjon av modellene, eksempelvis modell 1 og 2, og 2 og 3. Det er også mulig å inngå rammeavtaler og ha budsjett for kjøp av outsourcede ressurser for alle modellene (unntatt modell 5 Full outsourcing der dette ligger i hovedmodellen). Dette er svært vanlig blant de internrevisjonene som per i dag allerede er etablert i staten. En slik co-sourcing er særlig vanlig knyttet til kjøp av spesialiserte IKT-tjenester.