Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Innhald<br />
Forord ...................................................................................................................................... 3<br />
1 Formålet med rettleiaren og bruken av han ..................................................................... 4<br />
2 Kva er internrevisjon og internkontroll? ......................................................................... 4<br />
2.1 Korleis skil internrevisjon seg frå andre kontrollfunksjonar i verksemda? ................. 5<br />
3 Kva er spesielt med internrevisjon i staten? .................................................................... 7<br />
3.1 Forholdet mellom verksemda og det overordna departementet .................................. 8<br />
3.2 Korleis sikre internrevisjonen nok handlefridom innan<strong>for</strong> rammene av etats- og<br />
verksemdsstyringa i staten? ..................................................................................................... 8<br />
3.3 Forholdet mellom internrevisjonen og eit eventuelt styre ......................................... 10<br />
4 Kva verksemder kan ha særleg nytte av internrevisjon? ............................................... 10<br />
5 <strong>Sjekkliste</strong> ....................................................................................................................... 12<br />
5.1 Vurderingsfase ........................................................................................................... 13<br />
Trinn 1: Kartleggje og analysere ut<strong>for</strong>dringar og behov knytte til oppfølging av<br />
internkontrollen ............................................................................................................... 13<br />
Trinn 2: Vurdere alternative internrevisjonsmodellar ................................................ 16<br />
5.2 Etableringsfase .......................................................................................................... 22<br />
Trinn 3: Avklare rolle, rammer og ressursar ............................................................... 22<br />
Trinn 4: Avklare <strong>for</strong>mål og prinsipp <strong>for</strong> metodikk og prosess ................................... 24<br />
Trinn 5 Intern <strong>for</strong>ankring og kommunikasjon ............................................................. 26<br />
5.3 Avslutning ................................................................................................................. 26<br />
2
Forord<br />
Å ta stilling til om verksemda skal <strong>etablere</strong> ein internrevisjonsfunksjon, er ei viktig avgjerd.<br />
Der<strong>som</strong> det er lagt godt til rette <strong>for</strong> at internrevisjonen kan fungere etter <strong>for</strong>målet, kan han<br />
tilføre verksemda stor nytteverdi. Internrevisjonen er ein uavhengig funksjon <strong>som</strong> jobbar etter<br />
internasjonale faglege standardar, og <strong>som</strong> har heile organisasjonen <strong>som</strong> arbeidsfelt. Han<br />
evaluerer korleis internkontrollen i verksemda fungerer, og tilrår <strong>for</strong>betringar. Men ein slik<br />
funksjon har òg ein kostnad, <strong>som</strong> ofte berre verksemder av ein viss storleik kan <strong>for</strong>svare.<br />
Denne rettleiaren drøftar enkelte <strong>for</strong>hold <strong>som</strong> kan vere viktige <strong>for</strong> verksemder <strong>som</strong> <strong>vurderer</strong> å<br />
<strong>etablere</strong> internrevisjon. Når verksemda <strong>vurderer</strong> desse <strong>for</strong>holda, kan det gi eit grunnlag <strong>for</strong> å ta<br />
stilling til spørsmålet om å <strong>etablere</strong> ein internrevisjon. Det er verksemda sine eigne nytte- og<br />
kostnadsvurderingar <strong>som</strong> bør leggjast til grunn. DFØ har ikkje gjort nokon vurderingar av om<br />
fleire verksemder enn i dag bør <strong>etablere</strong> internrevisjon.<br />
Rettleiaren kan vere til nytte <strong>for</strong> leiarar i statlege verksemder, styre, tilsette i departement <strong>som</strong><br />
jobbar med etatsstyring, og <strong>for</strong> eventuelle nytilsette leiarar av internrevisjonen. Delar av<br />
rettleiaren kan vere av interesse også <strong>for</strong> verksemder <strong>som</strong> alt har etablert internrevisjon.<br />
Vi tek gjerne imot tilbakemeldingar på bruk av rettleiaren, ikkje minst frå verksemder <strong>som</strong><br />
etter utgivinga bruker han aktivt når dei <strong>vurderer</strong> om det er <strong>for</strong>målstenleg å <strong>etablere</strong> ein<br />
internrevisjonsfunksjon.<br />
Vi er takknemlege <strong>for</strong> dei verdifulle innspela vi har fått undervegs frå representantar frå<br />
internrevisjonane i Forsvarsdepartementet, Skattedirektoratet og NAV, i tillegg til Norges<br />
Interne Revisorers Forening. Vi rettar òg ein takk til <strong>Deloitte</strong> AS, <strong>som</strong> har gitt viktige bidrag<br />
til rettleiaren, særleg til kapittel 5.<br />
November 2011<br />
Marianne Andreassen, direktør DFØ<br />
3
1 Formålet med rettleiaren og bruken av han<br />
Formålet med denne rettleiaren er å støtte leiarar i statlege verksemder <strong>som</strong> skal ta stilling til<br />
om ein internrevisjonsfunksjon er eit eigna verkemiddel i leiinga sitt arbeid <strong>for</strong> å styrkje<br />
verksemdas samla styring og kontroll. For verksemder <strong>som</strong> bestemmer seg <strong>for</strong> å <strong>etablere</strong> ein<br />
internrevisjon, gir rettleiaren òg eit grunnlag <strong>for</strong> å velje ein passande modell <strong>for</strong> å organisere<br />
internrevisjonsfunksjonen og til å utvikle rutinar. Rettleiaren kan òg vere til nytte <strong>for</strong> styre,<br />
tilsette i departement <strong>som</strong> jobbar med etatsstyring, og <strong>for</strong> eventuelle nytilsette leiarar av<br />
internrevisjonen. Kapitla 1–4 og punkt 5.2 av rettleiaren kan vere av interesse også <strong>for</strong><br />
verksemder <strong>som</strong> alt har etablert internrevisjon.<br />
I dei innleiande kapitla av rettleiaren gjer vi greie <strong>for</strong> kva internrevisjon er, og kva særtrekk<br />
ved statleg styring <strong>som</strong> gir spesielle ut<strong>for</strong>dringar ved etablering og bruk av internrevisjon i<br />
statlege verksemder. Vidare gir vi ei kort framstilling av nokre kriterium <strong>som</strong> verksemdene<br />
bør ta med i vurderinga av om dei kan ha nytte av internrevisjon.<br />
Rettleiaren er bygd opp <strong>som</strong> ei blanding av tekst av meir rettleiande karakter og spørsmål med<br />
”sjekkpunkt”. Verksemda sine svar på spørsmåla og eigne vurderingar i <strong>for</strong>hold til rettleiinga<br />
gir eit grunnlag <strong>for</strong> å ta stilling til om verksemda vil ha nytte av ein internrevisjon, og vil òg gi<br />
støtte til å gjennomføre sjølve prosessen med å <strong>etablere</strong> ein internrevisjon.<br />
2 Kva er internrevisjon og internkontroll?<br />
Internrevisjon er definert slik:<br />
En uavhengig, objektiv bekreftelses- og rådgivningsfunksjon <strong>som</strong> har til hensikt å<br />
tilføre merverdi og <strong>for</strong>bedre organisasjonens drift. Den bidrar til at organisasjonen<br />
oppnår sine målsetninger ved å benytte en systematisk og strukturert metode <strong>for</strong> å<br />
evaluere og <strong>for</strong>bedre effektiviteten og hensiktsmessigheten av organisasjonens<br />
prosesser <strong>for</strong> governance, risikostyring og kontroll. 1<br />
Governance vil her seie kombinasjonen av prosessar og strukturar <strong>som</strong> er implementerte <strong>for</strong> å<br />
in<strong>for</strong>mere, leie, styre og overvake aktivitetane i organisasjonen <strong>som</strong> er retta mot<br />
måloppnåing. 2<br />
Det er mange ulike oppfatningar av kva <strong>som</strong> ligg i omgrepet internkontroll. I tråd med<br />
definisjonen i COSO-rammeverket 3 legg vi i denne rettleiaren til grunn at internkontroll dreier<br />
1 Definisjonen er henta frå ”Etiske regler og standarder <strong>for</strong> profesjonell utøvelse av internrevisjon” (januar 2011),<br />
frå The Institute of Internal Auditors (IIA-standardane). Arbeidet til internrevisjonen er basert på desse<br />
standardane. Norges Interne Revisorers Foreining (NIRF) er eit såkalla National Institute av IIA og er ein<br />
interesseorganisasjon <strong>for</strong> alle <strong>som</strong> arbeider med eller har interesse <strong>for</strong> fagområda internrevisjon,<br />
verksemdsstyring, risikostyring og internkontroll.<br />
2 Definisjonen er henta frå IIA-standardane.<br />
3 Committee of Sponsoring Organization – står bak COSO-rammeverka ”Intern kontroll – et integrert<br />
rammeverk” og ”Helhetlig risikostyring – et integrert rammeverk”.<br />
4
seg om langt meir enn kontrollaktivitetar, og at tiltak <strong>for</strong> å <strong>for</strong>betre prosessar <strong>for</strong> å støtte<br />
måloppnåing er omfatta av omgrepet. Det vil seie at internkontrollen mellom anna omfattar<br />
<strong>for</strong>hold <strong>som</strong> <strong>for</strong>deling av roller og ansvar, kompetanse, etiske retningslinjer, kultur,<br />
haldningar, in<strong>for</strong>masjon og kommunikasjon. COSO definerer internkontroll slik:<br />
Internkontroll er en kontinuerlig prosess – iverksatt, gjennomført og overvåket av<br />
institusjonens styre, ledelse og ansatte. Den ut<strong>for</strong>mes <strong>for</strong> å gi en rimelig grad av sikkerhet<br />
<strong>for</strong> måloppnåelse innen tre kategorier:<br />
• Målrettet, effektiv og hensiktsmessig drift<br />
• Pålitelig intern og ekstern rapportering<br />
• Overholdelse av lover og regler samt interne retningslinjer<br />
Det er verksemdsleiinga <strong>som</strong> er ansvarleg <strong>for</strong> å <strong>etablere</strong> god internkontroll, og <strong>som</strong> skal sjå til<br />
at den blir følgd opp i alle ledd i organisasjonen. Oppgåva til internrevisjonen er på<br />
sjølvstendig grunnlag å evaluere kor effektive og <strong>for</strong>målstenlege prosessar <strong>for</strong> risikostyring,<br />
kontroll og governance organisasjonen har. 4 Krav til internkontroll er heimla i Reglement <strong>for</strong><br />
økonomistyring i staten (”reglementet”) § 14. I § 4 i reglementet er det vidare krav om at<br />
styring, oppfølging, kontroll og <strong>for</strong>valting skal vere tilpassa risiko og vesentlegheit. Det er<br />
ikkje noko krav om internrevisjon i reglementet, men internrevisjon kan vere eit verktøy <strong>for</strong><br />
verksemdsleiaren <strong>for</strong> å <strong>for</strong>sikre seg om at krava i reglementet blir oppfylte.<br />
Internrevisjonen skal vere ein sjølvstendig og uavhengig del av organisasjonen og skal til<br />
dømes ikkje få oppgåver <strong>som</strong> inneber ansvar <strong>for</strong> å <strong>etablere</strong> og gjennomføre internkontroll.<br />
Internrevisjonens systematiske gjennomgang og vurderingar av sentrale dokument, system og<br />
praksis bidreg til å gi eit heilskapleg bilete av korleis internkontrollen fungerer både innan<strong>for</strong><br />
dei ulike delane av verksemda og samla sett. Med god kompetanse, ei uavhengige rolle og<br />
fugleperspektiv på verksemda kan internrevisjonen også fungere <strong>som</strong> rådgivar og støtte <strong>for</strong><br />
verksemdsleiaren og linjeorganisasjonen og slik sett vere ein viktig katalysator <strong>for</strong> <strong>for</strong>betringar<br />
i verksemda.<br />
Internrevisjonskonseptet byggjer på at det er eit trekant<strong>for</strong>hold mellom ein prinsipal (styreeller<br />
verksemdsleiaren), <strong>som</strong> er oppdragsgivar <strong>for</strong> internrevisjonen, ein agent (dei ulike delane<br />
av organisasjonen), <strong>som</strong> er revisjonsobjektet, og ein uavhengig internrevisjon, <strong>som</strong> på vegner<br />
av verksemdsleiaren skal sjå etter om internkontrollen til verksemda fungerer <strong>som</strong> planlagt.<br />
2.1 Korleis skil internrevisjon seg frå andre kontrollfunksjonar i<br />
verksemda?<br />
Ein internrevisjon er ikkje noka erstatning <strong>for</strong> internkontrollen i verksemda. Internkontroll er<br />
eit linjeansvar og skal vere integrert i styringa og oppgåveløysinga til verksemda.<br />
Internkontroll skal der<strong>for</strong> gjennomførast på alle nivå og i alle funksjonar i verksemda.<br />
Gjennomføring av risikostyring og oppfølging av internkontroll er normalt delegert til<br />
4 Jf. definisjonen av internrevisjon i IIA-standardane.<br />
5
linjeleiarar på ulike nivå. Det vil òg vere medarbeidarar <strong>som</strong> har i oppgåve å gjennomføre<br />
internkontrollaktivitetar.<br />
Velrenommerte rammeverk <strong>for</strong> internkontroll, til dømes COSO-rammeverket, har fokus på<br />
risikostyring. Også Direktoratet <strong>for</strong> økonomistyrings (DFØ) metodedokument ”Risikostyring i<br />
staten” framhevar at ei vurdering av risiko og vesentlegheit skal liggje til grunn <strong>for</strong> det samla<br />
styrings- og kontrollopplegget til verksemda.<br />
Internkontrollen skal bidra til å redusere den attverande risikoen 5 i verksemda til eit<br />
akseptabelt nivå, jamfør figur 1. Tiltak <strong>for</strong> å redusere risikoen kan omfatte organisatoriske<br />
tiltak <strong>som</strong> fullmakter, arbeidsdeling og opplæring, fastsetjing av arbeidsprosedyrar og<br />
kontrollrutinar og kontrollar <strong>som</strong> er innebygde i IT-systema. Det blir ofte kalla<br />
førstelinjekontrollar.<br />
Dei fleste verksemder har ulike typar stabs- og linjeeiningar med særleg ansvar <strong>for</strong> å vareta<br />
internkontrolloppgåver <strong>for</strong> éin eller fleire leiarar, til dømes rekneskaps- eller<br />
rapporteringseiningar, controllerar og kvalitetsrådgivarar, <strong>som</strong> bidreg med analysar,<br />
oppfølging, fagleg rettleiing og kontroll av at rutinar og regelverk blir følgde. Det blir kalla<br />
andrelinjekontrollar.<br />
Som eit ekstra ”tryggleiksnett” (tredjelinjekontroll) kan verksemda <strong>etablere</strong> ein uavhengig<br />
funksjon (internrevisjon) <strong>som</strong> systematisk kan evaluere verksemda og gi ei uavhengig og<br />
objektiv stadfesting av om internkontrollen er god nok (effektiv og <strong>for</strong>målstenleg).<br />
Dei <strong>for</strong>skjellige kontrollnivåa er illustrerte i figur 1 nedan<strong>for</strong>.<br />
Ibuande risiko<br />
Linja<br />
Kontrollerar,<br />
kvalitetsrådgivarar,<br />
stabsfunksjonar<br />
Førstelinjekontrollar<br />
Prosessar med integrerte kontrollar<br />
Organisatoriske tiltak <strong>som</strong> fullmakter og arbeidsdeling<br />
Fastsetjing av arbeidsprosedyrar og kontrollrutiner<br />
Rekneskap og rapportering<br />
Risikostyring<br />
Andrelinjekontrollar<br />
Analysar<br />
Overvåking /kontroll med at rutinar og<br />
regelverk blir etterlevd<br />
Kvalitetsgjennomgangar<br />
Internrevisjon<br />
Tredjelinjekontrollar<br />
Testing og vurdering av<br />
etablert internkontroll<br />
Attverande<br />
risiko<br />
5 Ibuande risiko er nivået på risikoen når ein ikkje tek omsyn til dei ulike tiltaka og kontrollaktivitetane <strong>som</strong> er<br />
etablerte <strong>for</strong> å redusere han. Attverande risiko er nivået på risikoen når ein tek omsyn til tiltaka og<br />
kontrollaktivitetane <strong>som</strong> ein set i verk når ein <strong>vurderer</strong> risikoen (jamfør ”Risikostyring i staten”, DFØ (2005)).<br />
6
Figur 1 Ulike kontrollnivå <strong>for</strong> å sikre god internkontroll<br />
The Institute of Internal Auditors (IIA) har fastsett etiske reglar og internasjonale standardar<br />
<strong>for</strong> utøving av internrevisjon. Standardane definerer nokre grunnleggjande prinsipp <strong>for</strong> korleis<br />
internrevisjon bør utøvast. Eigenskapsstandardane gjeld krav til organisasjonar og personar<br />
<strong>som</strong> utfører internrevisjon, mens utøvingsstandardane fastset kvalitetskriterium <strong>for</strong> utøving av<br />
internrevisjon. I tillegg kjem implementeringsstandardar, <strong>som</strong> gjeld konkrete typar<br />
stadfestings- eller rådgivingsoppdrag <strong>som</strong> internrevisjonen kan ta på seg. IIA <strong>for</strong>valtar òg<br />
sertifiseringar 6 <strong>for</strong> ulike område innan<strong>for</strong> internrevisjon.<br />
Ein ny standard 7 tredde i kraft ved inngangen til 2011 og slår fast at internrevisjonen kan<br />
komme med ei overordna fråsegn om kvaliteten på internkontrollen til verksemda. Ei<br />
overordna fråsegn vil i praksis byggje på både in<strong>for</strong>masjon frå internrevisjonens eigne<br />
undersøkingar og på in<strong>for</strong>masjon frå andre tilsyns- og kontrollfunksjonar, både interne og<br />
eksterne. Det vil gi leiinga ei samla oversikt over ”helsetilstanden” til internkontrollen.<br />
Meirverdien av ein internrevisjon ligg i det at han på eit uavhengig og objektivt grunnlag kan<br />
gjere verksemdsleiaren trygg på at internkontrollen fungerer <strong>som</strong> han skal, i alle delar av<br />
organisasjonen. Det at ein internrevisjon arbeider etter IIA-standardane, tilfører ein ekstra<br />
kvalitetsdimensjon og bidreg til å sikre at evalueringar i <strong>for</strong>m av revisjonsoppdrag blir<br />
gjennomførte i samsvar med profesjonskrava til objektivitet, fagleg dyktigheit og aktsemd.<br />
DFØ er kjent med at ikkje alle funksjonar <strong>som</strong> blir kalla internrevisjon, følgjer IIAstandardane<br />
fullt ut. DFØ meiner at alle funksjonar <strong>som</strong> blir kalla internrevisjon, bør <strong>for</strong>plikte<br />
seg til å følgje IIA-standardane. Ei slik plikt kan takast inn i instruksen <strong>for</strong> internrevisjonen.<br />
3 Kva er spesielt med internrevisjon i staten?<br />
Der<strong>som</strong> ei statleg verksemd skal <strong>etablere</strong> ein internrevisjonsfunksjon, må ho ta omsyn til den<br />
styringsmessige konteksten internrevisjonen skal operere i. Rettleiaren er retta inn mot<br />
ordinære <strong>for</strong>valtingsorgan. Forvaltingsorgana er hovudmodellen <strong>for</strong> korleis grunnleggjande<br />
statlege oppgåver skal organiserast. Eit <strong>for</strong>valtingsorgan er ikkje noko eige rettssubjekt, men<br />
ein del av staten <strong>som</strong> ”juridisk person”. Statsråden har konstitusjonelt og politisk ansvar <strong>for</strong> at<br />
verksemda blir driven innan<strong>for</strong> rammene <strong>som</strong> Stortinget har sett innan<strong>for</strong> sektoren.<br />
Statlege verksemder er omfatta av fleire regelverk <strong>for</strong> stats<strong>for</strong>valtinga, mellom anna<br />
Stortingets løyvingsreglement, reglementet <strong>som</strong> regjeringa har fastsett, og føresegnene om<br />
økonomistyring i staten (”føresegnene”), <strong>som</strong> Finansdepartementet har fastsett. I samsvar med<br />
§ 4 i reglementet – ”Grunnleggende styringsprinsipper” – skal alle verksemder tilpasse<br />
styringa, oppfølginga, kontrollen og <strong>for</strong>valtinga til eigenarten, risikoen og vesentlegheita til<br />
verksemda. I kapittel 2.4 i føresegnene – ”Intern kontroll” – går det fram at det er<br />
6 Dei mest kjende sertifiseringane er CIA (Certified Internal Auditor), CCSA (Certification in Control Self-<br />
Asessment), CFSA (Certified Financial Services Auditor) og CGAP (Certified Governmental Auditing<br />
Professional). I tillegg til desse fire internasjonale sertifiseringane <strong>for</strong>valtar NIRF ordninga ”Diplomert intern<br />
revisor”.<br />
7 IIA-standard 2450 Overordnede uttalelser<br />
7
verksemdsleiinga <strong>som</strong> har ansvar <strong>for</strong> å sjå til at den interne kontrollen er tilpassa risiko og<br />
vesentlegheit, at han fungerer tilfredsstillande, og at han kan dokumenterast.<br />
3.1 Forholdet mellom verksemda og det overordna departementet<br />
Eit <strong>for</strong>valtingsorgan er økonomisk og administrativt underlagt det overordna departementet<br />
(<strong>som</strong> sjølv er eit <strong>for</strong>valtingsorgan). Statsbudsjettet og det årlege tildelingsbrevet til<br />
underliggjande verksemder inneheld mål, oppgåver og budsjettrammer <strong>for</strong> verksemda. I<br />
utgangspunktet kan det overordna departementet jamleg instruere <strong>for</strong>valtingsorgana i alle<br />
spørsmål der<strong>som</strong> ikkje lova hindrar eller avgrensar det. I praksis blir departementets styring<br />
(instruksjon) av underliggjande verksemder utøvd gjennom tildelingsbrev og<br />
etatsstyringsdialogen. Denne dialogen legg vekt på å gi verksemda føreseielege rammer og<br />
mest mogleg sjølvstende med tanke på korleis ho skal løyse samfunnsoppdraget sitt og vareta<br />
den interne styringa av verksemda, jamfør mål- og resultatstyring <strong>som</strong> det overordna<br />
styringsprinsippet i staten. Dei siste tiåra har det vore ein tydeleg trend i retning av større<br />
sjølvstende <strong>for</strong> <strong>for</strong>valtingsorgana, både <strong>for</strong>melt og u<strong>for</strong>melt. Det stiller stadig større krav til at<br />
leiarar i statlege verksemder er bevisste på korleis dei best mogleg kan vareta ansvaret <strong>for</strong> god<br />
internkontroll i verksemda.<br />
Som etatsstyrar har departementet eit overordna ansvar <strong>for</strong> at underliggjande verksemder har<br />
<strong>for</strong>svarleg styring og kontroll. Departementet må i utøvinga av kontrollansvaret byggje på<br />
internkontrollen til verksemda og vil kunne ha nytte av at underliggjande verksemder har ein<br />
internrevisjonsfunksjon <strong>som</strong> kan stadfeste at internkontrollen fungerer <strong>som</strong> han skal. Eit<br />
departement kan gjennom etatsstyringsdialogen ta initiativ til å vurdere om ei underliggjande<br />
verksemd bør <strong>etablere</strong> ein internrevisjonsfunksjon. Departement bør likevel overlate den<br />
endelege avgjerda om det skal etablerast internrevisjon, til verksemdsleiaren. Eit pålegg om å<br />
<strong>etablere</strong> internrevisjon frå departementet vil gripe inn i dei interne <strong>for</strong>holda i verksemda og<br />
ut<strong>for</strong>drar prinsippet om at det er verksemdsleiaren <strong>som</strong> er ansvarleg <strong>for</strong> jamleg å vurdere om<br />
verksemda har god nok styring og kontroll. Eit slikt krav eller pålegg frå det overordna<br />
departementet kan òg reise tvil om kven <strong>som</strong> reelt sett er oppdragsgivaren <strong>for</strong> internrevisjonen.<br />
I stats<strong>for</strong>valtinga i Noreg er det ikkje tradisjon <strong>for</strong> at departementa <strong>etablere</strong>r eigne<br />
internrevisjonseiningar. Eit unntak frå denne praksisen er Forsvarsdepartementets<br />
internrevisjon, <strong>som</strong> har departementet og tre underliggjande etatar <strong>som</strong> verkeområde.<br />
3.2 Korleis sikre internrevisjonen nok handlefridom innan<strong>for</strong><br />
rammene av etats- og verksemdsstyringa i staten?<br />
Verksemder <strong>som</strong> vel å <strong>etablere</strong> ein internrevisjon, må leggje til rette <strong>for</strong> at den kan utføre<br />
arbeidet sitt i tråd med IIA-standardane.<br />
8
IIA-standard 1110 stiller krav til at internrevisjonen skal vere organisasjonsmessig<br />
uavhengig 8 . Av IIAs utdjuping av denne standarden om organisasjonsmessig handlefridom går<br />
det fram at det er oppnådd når revisjonssjefen rapporterer funksjonelt til styret og elles har<br />
direkte kommunikasjon og samhandling med styret.<br />
Det øvste leiings-/styringsnivået i eit ordinært <strong>for</strong>valtingsorgan er verksemdsleiaren.<br />
Verksemdsleiaren er normalt òg oppdragsgivar <strong>for</strong> internrevisjonen. Internrevisjonen er<br />
dermed ikkje heilt uavhengig, men står i eit linje<strong>for</strong>hold til verksemdsleiaren. Internrevisjonen<br />
vil likevel vere uavhengig frå nivåa under verksemdsleiaren.<br />
Når verksemdsleiaren er oppdragsgivar, kan det innebere ein risiko <strong>for</strong> at handlefridommen og<br />
objektiviteten til internrevisjonen blir svekt. For å styrkje handlefridommen til<br />
internrevisjonen innan<strong>for</strong> desse rammene bør verksemda utarbeide instruksar <strong>som</strong> tydeleg<br />
definerer kva mandat internrevisjonen har til å gjennomføre uavhengige gjennomgangar. Som<br />
oppdragsgivar <strong>for</strong> internrevisjonen vil det vere verksemdsleiaren <strong>som</strong> godkjenner årsplanen<br />
<strong>for</strong> internrevisjonen. Revisjonsplanen bør baserast på ei overordna risikovurdering og på<br />
drøftingar av risikobiletet mellom verksemdsleiaren og revisjonssjefen. Det bør leggjast stor<br />
vekt på synspunkta til revisjonssjefen. Internrevisjonen må òg ha myndigheit til å kunne<br />
omprioritere oppgåver der<strong>som</strong> det er nødvendig ut frå risiko<strong>for</strong>holda i verksemda.<br />
Det er viktig å understreke over<strong>for</strong> organisasjonen at internrevisjonen skal evaluere<br />
internkontrollen til verksemda på vegner av verksemdsleiaren, og at internrevisjonen skal ha<br />
full tilgang til all in<strong>for</strong>masjon <strong>som</strong> er nødvendig <strong>for</strong> å vareta kontrollfunksjonen og kunne<br />
utføre oppdraga sine. I tråd med at verksemdsleiaren er oppdragsgivar <strong>for</strong> internrevisjonen,<br />
skal internrevisjonen rapportere til verksemdsleiaren etter at reviderte einingar har hatt høve til<br />
å uttale seg om resultatet av revisjonen og tilrådingar om tiltak. Der<strong>som</strong> internrevisjonen og<br />
den reviderte eininga ikkje blir einige om kva tiltak det er nødvendig å setje i verk, skal det<br />
følgjast opp av verksemdsleiaren.<br />
Det kan òg oppstå usemje mellom verksemdsleiaren og internrevisjon, til dømes om behova<br />
<strong>for</strong> tiltak <strong>for</strong> å redusere risikoen på eit område (internrevisjonen meiner at verksemda tek<br />
u<strong>for</strong>svarleg høg risiko), eller det kan oppstå situasjonar der internrevisjonens observasjonar av<br />
avvik er knytte til verksemdsleiaren. Internrevisjonen kan då saman med verksemdsleiaren ta<br />
<strong>for</strong>holdet opp med departementet. Verksemda bør i samband med ei eventuell etablering av<br />
ein internrevisjonsfunksjon fastsetje retningslinjer <strong>for</strong> korleis slike situasjonar skal handterast.<br />
Det bør òg avklarast om departementet skal få fast rapportering om arbeidet til<br />
internrevisjonen, og korleis det skal skje. Det kan til dømes vere oversending av årsrapporten<br />
til internrevisjonen.<br />
8 IIA-standard 1110 Organisasjonsmessig uavhengighet: ”Revisjonssjefen må rapportere til et nivå i<br />
organisasjonen <strong>som</strong> gjør det mulig <strong>for</strong> internrevisjonen å ivareta sitt ansvar. Revisjonssjefen må bekrefte over<strong>for</strong><br />
styret, minst en gang årlig, at internrevisjonen er uavhengig.”<br />
9
3.3 Forholdet mellom internrevisjonen og eit eventuelt styre<br />
Eit ordinært <strong>for</strong>valtingsorgan har <strong>som</strong> hovudregel ikkje noko styre <strong>som</strong> øvste styringsnivå i<br />
verksemda. Det har samanheng med at verksemda ikkje er noko sjølvstendig rettssubjekt, men<br />
ein del av staten, og blir styrt av det overordna departementet. For ein nærmare omtale av dette<br />
viser vi til Fornyings- og administrasjonsdepartementets rettleiar ”Bruk av styrer i<br />
staten” (2006).<br />
Det er likevel fleire statlege verksemder, også <strong>for</strong>valtingsorgan, <strong>som</strong> har eit styre. Det er<br />
gjerne verksemder med ein viss grad av sjølvstende i faglege spørsmål, ofte regulert gjennom<br />
lover eller <strong>for</strong>skrifter, eller med økonomisk-administrativt sjølvstende gjennom unntak frå<br />
hovudprinsippa 9 i løyvingsreglementet.<br />
Styret i eit <strong>for</strong>valtingsorgan har likevel ikkje det same ansvaret <strong>som</strong> styret i eit aksjeselskap.<br />
På grunn av det konstitusjonelle og politiske ansvaret til statsråden har ikkje styret i eit<br />
<strong>for</strong>valtingsorgan fullt ansvar, verken juridisk, økonomisk eller konstitusjonelt. 10 Sjølv om ei<br />
verksemd har eit styre, er det ikkje gitt at internrevisjonen bør rapportere til det. I vurderinga<br />
av om ein eventuell internrevisjon skal rapportere til eit styre, er det viktig å vere klar over dei<br />
store variasjonane <strong>som</strong> finst i statlege verksemder når det gjeld oppgåvene, ansvaret og<br />
myndigheita til styret. I nokre tilfelle er ansvaret til styret avgrensa til i praksis å vere eit<br />
fagleg råd <strong>som</strong> kan støtte verksemda ved å ha ein annan kompetanse enn det verksemda (eller<br />
departementet) sjølv har. Formålet med eit slikt styre vil vere å tilføre verksemda eit breiare<br />
grunnlag <strong>for</strong> faglege avgjerder eller innsikt i ulike brukargrupper eller målgruppers behov. I<br />
nokre verksemder har styret myndigheit til å gjere vedtak i konkrete saker. Styre blir òg brukte<br />
i verksemder <strong>som</strong> har stor fagleg og/eller økonomisk-administrativ handlefridom, og der styret<br />
fungerer <strong>som</strong> eit styringsledd mellom departementet og verksemda. Styrets oppgåver er då til<br />
dømes strategisk styring av verksemda, økonomisk kontroll og oppfølging av verksemdsdrifta,<br />
og kontroll med at verksemda tilfredsstiller fastsette krav. Der<strong>som</strong> det er tilfellet, er det<br />
normalt <strong>for</strong>målstenleg at internrevisjonen rapporterer til styret.<br />
4 Kva verksemder kan ha særleg nytte av internrevisjon?<br />
Kor stort behov ei verksemd og leiaren har <strong>for</strong> internrevisjon, vil variere. Verksemder <strong>som</strong><br />
<strong>vurderer</strong> å <strong>etablere</strong> internrevisjon, bør gjere ei kost-nytte-vurdering basert på dei <strong>for</strong>holda <strong>som</strong><br />
er mest relevante <strong>for</strong> dei. Ein internrevisjon i tråd med krava <strong>som</strong> IIA-standardane fastset, vil<br />
innebere ein stor kostnad <strong>for</strong> verksemda, mellom anna i samband med anskaffing av<br />
revisjonskompetanse og vedlikehald av denne gjennom sertifiseringar og deltaking i faglege<br />
<strong>for</strong>um <strong>som</strong> krevst <strong>for</strong> å behalde sertifiseringar. Det finst òg andre (og kanskje billigare) måtar<br />
å <strong>for</strong>betre internkontrollen i verksemda på, og dei kan vere eit godt alternativ til å <strong>etablere</strong><br />
internrevisjon. Det er i første rekkje tiltak <strong>som</strong> gir linjeorganisasjonen betre kapasitet til å<br />
følgje opp og <strong>for</strong>betre internkontrollen i verksemda. Også enkeltståande evalueringar av<br />
9 Hovudprinsippa i løyvingsreglementet er fullstendigheits-, eittårs-, kontant- og bruttoprinsippet. Det er særleg<br />
det siste (bruttoprinsippet) det er gitt unntak frå, såkalla nettobudsjetterte verksemder.<br />
10 ”Bruk av styre i staten”, rettleiar frå FAD (2006).<br />
10
område <strong>som</strong> ein opplever <strong>som</strong> spesielt ut<strong>for</strong>drande eller problematiske, kan vere eit alternativ<br />
til å <strong>etablere</strong> ein permanent internrevisjonsfunksjon.<br />
Nedan<strong>for</strong> drøftar vi nokre <strong>for</strong>hold <strong>som</strong> kan vere relevante når ein skal ta stilling til om<br />
internrevisjon skal etablerast. Lista er ikkje komplett, og det er ei viss overlapping mellom<br />
<strong>for</strong>holda <strong>som</strong> er omtalte.<br />
Kvaliteten på internkontrollen i verksemda<br />
Det er ingen eintydig samanheng mellom behovet <strong>for</strong> internrevisjonstenester i ei verksemd og<br />
kvaliteten på den etablerte internkontrollen.<br />
I ei verksemd med svak internkontroll vil internrevisjonen kunne avdekkje kvar det er størst<br />
risiko <strong>for</strong> styringssvikt, feil og manglar. Basert på observasjonar kan internrevisjonen òg gi råd<br />
om <strong>for</strong>betringar i internkontrollen <strong>som</strong> gjer verksemda meir robust og førebyggjer negative<br />
hendingar. Nytteverdien av det vil likevel vere avhengig av at leiinga og linjeorganisasjonen<br />
har kapasitet og motivasjon til å følgje opp tilrådingane til internrevisjonen.<br />
Ei verksemd med god internkontroll kan i utgangspunktet klare seg utan<br />
internrevisjonstenester. Internrevisjonen vil likevel bidra til stadig å setje vidareutvikling av<br />
internkontrollen på dagsordenen. I tillegg vil behovet <strong>for</strong> internrevisjon vere knytt til om<br />
rapporteringa <strong>som</strong> skjer i linja, gir god nok sikkerheit <strong>for</strong> at internkontrollen fungerer <strong>som</strong><br />
<strong>for</strong>venta, eller om ein ønskjer ei uavhengig stadfesting frå internrevisjonen.<br />
Storleiken og kompleksiteten til verksemda<br />
Ein internrevisjon kan vere eit <strong>for</strong>målstenleg verkemiddel <strong>for</strong> store og komplekse verksemder,<br />
med omfattande krav og ut<strong>for</strong>dringar knytte til internkontroll.<br />
Kompleksitet kan både vere knytt til måten verksemda er organisert på, og til samansetjinga av<br />
produkta og tenestene verksemda skal levere. I ei verksemd med fleire styringsnivå,<br />
geografisk spreiing og stort spenn i oppgåvene er det meir krevjande <strong>for</strong> leiaren å ha den<br />
nødvendige oversikta over korleis internkontrollen fungerer. Også kompleksitet i<br />
tenesteproduksjonen kan tilseie at det er behov <strong>for</strong> ein internrevisjon <strong>som</strong> kan gi kvalifiserte<br />
og objektive vurderingar av kvaliteten i produksjonen.<br />
Verksemder med store transaksjonsvolum (inn- og utbetalingar) kan ofte ha høg risiko knytt til<br />
IKT-systema, bevisste eller ubevisste menneskelege feil eller svikt i rutinane. Ein uavhengig<br />
kontroll av desse i regi av internrevisjonen kan førebyggje og eventuelt avdekkje misleghald.<br />
Internrevisjonens metodikk <strong>for</strong> testing og kontroll kan gjere verksemda tryggare på at<br />
kontrollane <strong>som</strong> er innebygde i systema og rutinane, faktisk fungerer.<br />
Ei stor verksemd – målt i tilsette eller budsjett – vil lettare kunne <strong>for</strong>svare kostnadene <strong>som</strong> er<br />
knytte til drift av internrevisjonen. Store verksemder har likevel ofte<br />
administrasjonsavdelingar, stabar, kontrollerfunksjonar, tekniske fagmiljø eller liknande <strong>som</strong><br />
utfører kontrolloppgåver. Det må der<strong>for</strong> vurderast kor mykje ein internrevisjon kan tilføre<br />
utover det.<br />
11
Risiko og vesentlegheit<br />
Kor omfattande og kritisk risiko ei verksemd er eksponert <strong>for</strong>, er eit anna <strong>for</strong>hold <strong>som</strong> kan<br />
vurderast. Hyppige endringar i omgivnadene <strong>som</strong> påverkar verksemda og risikobiletet, gjer det<br />
krevjande å gjennomføre god risikostyring og halde internkontrollen oppdatert.<br />
Vesentlegheit kan komme til uttrykk gjennom at verksemda har høgt politisk prioriterte<br />
oppgåver og mange brukarar, at ho er omdømmesensitiv, o.a. Det tilseier at verksemda må ha<br />
stort fokus på internkontroll, og at ho må vere trygg på at internkontrollen fungerer på alle<br />
område.<br />
Nokre statlege verksemder har samfunnskritiske oppgåver, det vil seie at verksemda står<br />
over<strong>for</strong> risiko knytt til liv og helse. Sidan toleransen <strong>for</strong> feil er tilnærma lik null i slike<br />
verksemder, er det svært strenge krav til internkontrollen. Då kan ein internrevisjon gi viktige<br />
bidrag og korrektiv og gi leiinga kvalifiserte vurderingar av om systemet fungerer godt nok.<br />
5 <strong>Sjekkliste</strong><br />
Ein framgangsmåte <strong>for</strong> å vurdere behovet <strong>for</strong> internrevisjon og etablering av ein<br />
internrevisjonsfunksjon er nærmare beskriven i sjekklista. Framgangsmåten er skjematisk<br />
framstilt i figur 2.<br />
Trinn 1 Trinn 2 Trinn 3<br />
Trinn 4<br />
Kartleggje og analysere<br />
ut<strong>for</strong>dringar og behov<br />
knytte til oppfølging av<br />
internkontrollen<br />
Vurdere alternative<br />
IR-modellar<br />
Avklare rolle, rammer<br />
og ressursar<br />
Avklare <strong>for</strong>mål,<br />
prinsipp <strong>for</strong> prosess<br />
og metodikk<br />
Aktivitetar<br />
Kartlegging, analyse og vurdering av løysingar<br />
• Kartleggje<br />
verksemd<strong>som</strong>fanget<br />
• Risikovurderingar –<br />
sannsynlegheiter og<br />
konsekvensar<br />
• Evaluering av dagens<br />
internkontroll (første-<br />
/andrelinje)<br />
• Vurdere kva<br />
internrevisjonen/<br />
tredjelinja kan tilføre<br />
• Avklare omfang og<br />
kompleksitet<br />
• Vurdere behov <strong>for</strong><br />
kapasitet og kompetanse<br />
opp mot ulike<br />
internrevisjonsmodellar<br />
• Vurdere behov <strong>for</strong> å<br />
utvikle andre<br />
kontrollfunksjonar<br />
• Avklare kva kapasitet<br />
verksemda har til å<br />
nyttiggjere seg<br />
internrevisjon<br />
• Avstemme mot budsjett<br />
• Bestemme ønskt<br />
framdrift<br />
• Avklare <strong>for</strong>mål og rolle<br />
<strong>for</strong> internrevisjonen<br />
• Avgjere organisering og<br />
ønskt kapasitet og<br />
kjernekompetanse<br />
• Etablere føringar og<br />
<strong>for</strong>ventingar til<br />
kommunikasjon med<br />
leiinga<br />
• Fastsetje budsjett og<br />
årsverk<br />
Etablering av internrevisjon<br />
• Bestemme mandat og<br />
instruks, fullmakter, ansvar<br />
• Definere prinsipp <strong>for</strong><br />
prosess og metodikk<br />
• Definere prinsipp <strong>for</strong><br />
samhandling med<br />
verksemdsleiinga<br />
• Trekkje opp grensesnitt<br />
mot andre kontrollorgan<br />
internt og Riksrevisjonen<br />
• Definere kravspesifikasjon<br />
<strong>for</strong> tilsetjingar eller kjøp av<br />
tenester<br />
Resultat<br />
Avgjere om det skal<br />
etablerast internrevisjon<br />
Konkludere med kva<br />
internrevisjonsmodell <strong>som</strong><br />
passar <strong>for</strong> verksemda<br />
Avgjere organisering,<br />
overordna<br />
styringsdokument,<br />
budsjettmidlar<br />
Definere målsetjinga,<br />
oppgåvene og<br />
kompetansekrava til<br />
internrevisjonen<br />
Trinn 5 Intern <strong>for</strong>ankring og kommunikasjon<br />
• In<strong>for</strong>mere og involvere verksemda i arbeidet med å identifisere korleis internrevisjonen kan bidra til verdiskaping<br />
• In<strong>for</strong>mere det overordna departementet og Riksrevisjonen<br />
• Etablere ein prosess <strong>for</strong> å evaluere ytingane til internrevisjonen<br />
Skape avtalt <strong>for</strong>ståing hos interessentar av internrevisjonens rolle og bidrag til verksemda<br />
Figur 2 Framgangsmåte <strong>for</strong> å vurdere behov <strong>for</strong> og etablering av internrevisjon<br />
12
Verksemdsleiaren har det overordna ansvaret <strong>for</strong> at prosessen blir gjennomført, og vil i<br />
varierande grad vere aktivt involvert i dei ulike trinna i prosessen. Han eller ho må likevel ha<br />
ei sentral rolle i aktivitetane i trinn 1 og 2, mens det i trinn 3 og 4 vil vere naturleg at (den<br />
påtroppande) leiaren <strong>for</strong> internrevisjonen tek ei aktiv rolle i prosessen.<br />
5.1 Vurderingsfase<br />
Vurderingsfasen omfattar aktivitetane <strong>som</strong> inngår i trinn 1 og 2, jamfør figur 2 ovan<strong>for</strong>.<br />
Formålet med denne fasen er å få eit grunnlag <strong>for</strong> å avgjere om etablering av ein<br />
internrevisjonsfunksjon vil vere det rette svaret på verksemdsleiaren sitt behov <strong>for</strong> å styrkje<br />
oppfølginga av internkontrollen. Ved å gjennomføre vurderingsfasen vil ein òg få eit betre<br />
grunnlag <strong>for</strong> å ta stilling til kva internrevisjonsmodell <strong>som</strong> vil vere best <strong>for</strong> verksemda.<br />
Trinn 1: Kartleggje og analysere ut<strong>for</strong>dringar og behov knytte til oppfølging av<br />
internkontrollen<br />
Formålet med trinn 1 er å kartleggje og vurdere ut<strong>for</strong>dringar og behov knytte til leiinga si<br />
oppfølging av internkontrollen, også kvaliteten på avgjerdsgrunnlaget og styringssystemet<br />
generelt. Kartlegginga og analysen må gjennomførast slik at det blir høve til å konkludere med<br />
om internrevisjon vil vere eit eigna tiltak <strong>for</strong> å gjere det lettare <strong>for</strong> verksemdsleiaren å følgje<br />
opp ansvaret <strong>for</strong> internkontrollen.<br />
Følgjande framgangsmåte kan nyttast:<br />
a) Definer mandat <strong>for</strong> arbeidet og prosessen knytt til å skaffe eit avgjerdsgrunnlag <strong>for</strong> om det<br />
bør etablerast internrevisjon.<br />
b) Identifiser og gjennomgå dokumentasjon knytt til styrings- og kontrollsystemet til<br />
verksemda.<br />
Dokument <strong>som</strong> kan gi in<strong>for</strong>masjon om styrings- og kontrollut<strong>for</strong>dringane i verksemda:<br />
• Dokumentasjon/beskriving av styrings- og kontrollsystemet i<br />
verksemda<br />
• Styringsdokument med mål og resultatkrav<br />
• Risikovurderingane til verksemda<br />
• Resultatrapportar<br />
• Oversikter over rapporterte avvik i verksemda<br />
• Gjennomførte analysar og evalueringar i verksemda<br />
• Merknader/kommentarar frå Riksrevisjonen dei siste åra og<br />
dokumentasjon av korleis merknadene er følgde opp<br />
• Referat frå etatsstyringsdialogen med departementet<br />
13
• Møtereferat og annan dokumentasjon <strong>som</strong> inneheld in<strong>for</strong>masjon om<br />
korleis leiinga følgjer opp internkontrollen<br />
c) Gjennomfør samtalar med personar <strong>som</strong> har oppgåver knytte til internkontroll.<br />
Denne malen og desse sjekkpunkta kan nyttast i kartlegginga:<br />
Sjekkpunkt<br />
Kommenter status, ut<strong>for</strong>dringar og svakheiter<br />
Hovudspørsmål<br />
Fungerer internkontrollen i verksemda godt nok?<br />
Er det etablert felles styringsprinsipp i<br />
verksemda?<br />
Er det fastsett og kommunisert etiske<br />
retningslinjer <strong>for</strong> verksemda?<br />
Er det god nok tryggleik <strong>for</strong> at<br />
styringsprinsipp og eventuelle<br />
retningslinjer blir etterlevde på alle<br />
nivå?<br />
Er det godt samsvar mellom<br />
kompetanse, ansvar og myndigheit på<br />
ulike nivå i organisasjonen?<br />
Har verksemda god kompetanse på<br />
internkontroll på alle nivå?<br />
Er verksemdsleiaren og linjeleiarane<br />
sikre på at risikoar blir identifiserte og<br />
handterte på ein <strong>for</strong>svarleg måte<br />
innan<strong>for</strong> ansvar<strong>som</strong>rådet?<br />
Er det ofte feil eller svikt i systema,<br />
prosessane og rutinane?<br />
Finst det dokumentasjon på<br />
systematiske andrelinjekontrollar i<br />
verksemda, og fungerer dei i tråd med<br />
<strong>for</strong>ventingane?<br />
Har verksemda nok kapasitet til<br />
analyse, rapportering og oppfølging?<br />
Hovudspørsmål<br />
Vil ein internrevisjon vere eit effektivt tiltak i <strong>for</strong>hold til kontrollut<strong>for</strong>dringane i verksemda?<br />
Medfører eigenarten til verksemda (til<br />
dømes storleik, risiko, kompleksitet i<br />
oppgåveportefølje, hyppige endringar<br />
eller mykje merksemd frå politikarar<br />
eller media) spesielle ut<strong>for</strong>dringar<br />
14
knytte til internkontroll?<br />
Har verksemdsleiaren kapasitet til å<br />
følgje opp kontrollspennet sitt?<br />
Er rapporteringa i linja så god at leiinga<br />
får eit rett bilete av korleis verksemda<br />
fungerer?<br />
Har evalueringar og analysar i<br />
verksemda avdekt <strong>for</strong>hold <strong>som</strong> ikkje er<br />
fanga opp av dei etablerte styrings- og<br />
kontrollsystema?<br />
Har Riksrevisjonen eller andre eksterne<br />
kontrollorgan (tilsyn) påpeikt svikt eller<br />
svakheiter i styrings- og<br />
kontrollsystema til verksemda?<br />
Er det påpeikt <strong>for</strong>hold i<br />
styringsdialogen med departementet<br />
<strong>som</strong> verksemda ikkje var kjende med,<br />
og <strong>som</strong> indikerer svikt i styrings- og<br />
kontrollsystema?<br />
Er det i styringsdialogen med<br />
underliggjande verksemdsnivå avdekt<br />
svakheiter <strong>som</strong> burde vore rapporterte<br />
tidlegare?<br />
Har leiarane si oppfølging av<br />
internkontrollen avdekt manglar og<br />
svikt <strong>som</strong> skulle vore rapportert<br />
tidlegare?<br />
Samla vurdering: Gjennomgå svakheitene og ut<strong>for</strong>dringane <strong>som</strong> er identifiserte, og vurder kva<br />
tiltak det kan vere <strong>for</strong>målstenleg å setje i verk <strong>for</strong> å styrkje internkontrollen.<br />
Behovet <strong>for</strong> å <strong>etablere</strong> ein uavhengig tredjelinjekontroll (internrevisjon) er avhengig av fleire<br />
<strong>for</strong>hold, mellom anna om risikoen i verksemda blir vurdert <strong>som</strong> høg, og om det vil vere<br />
vanskeleg og ressurskrevjande å få etablert tiltak <strong>som</strong> vil gi leiinga nok sikkerheit <strong>for</strong> at<br />
internkontrollen fungerer <strong>som</strong> venta i verksemda. Leiinga må òg vurdere om det er nødvendig<br />
og mogleg å <strong>etablere</strong> ein funksjon med dei strenge krava til handlefridom og etterleving av<br />
kjende revisjonsstandardar <strong>som</strong> bør kjenneteikne ein internrevisjon, eller om verksemda har<br />
behov <strong>for</strong> meir generell leiarstøtte i <strong>for</strong>m av evaluerings- og oppfølgingskapasitet.<br />
d) Hent eventuelt inn erfaringar frå samanliknbare verksemder med internrevisjon.<br />
e) Konkluder.<br />
Kontrollut<strong>for</strong>dringane <strong>som</strong> er identifiserte, kan handterast mellom anna ved<br />
• å vidareføre eksisterande styrings- og kontrollsystem<br />
15
• å styrkje den interne kontrollen (førstelinjekontrollen)<br />
• å <strong>etablere</strong> eller styrkje interne kontrollfunksjonar/stabar (andrelinjekontrollar)<br />
• å <strong>etablere</strong> ein internrevisjonsfunksjon (tredjelinjekontroll)<br />
Der<strong>som</strong> verksemda vel å <strong>etablere</strong> ein internrevisjonsfunksjon, må alle det får følgjer <strong>for</strong>, vere<br />
inn<strong>for</strong>stått med at meirverdien knytt til det mellom anna er avhengig av at internrevisjonen får<br />
rammevilkår <strong>som</strong> gjer han i stand til å opptre i tråd med krava og standardane <strong>som</strong> IIA stiller<br />
til ein profesjonell internrevisjon.<br />
For verksemder <strong>som</strong> vel å ikkje <strong>etablere</strong> nokon internrevisjonsfunksjon, er det ikkje aktuelt å<br />
gå gjennom dei neste trinna i sjekklista.<br />
Trinn 2: Vurdere alternative internrevisjonsmodellar<br />
Behovet <strong>for</strong> internrevisjonstenester kan dekkjast på ulike måtar. Der<strong>som</strong> verksemda vel å<br />
<strong>etablere</strong> ein internrevisjonsfunksjon, må dei vurdere kva modell <strong>som</strong> vil vere best eigna.<br />
Alternative modellar <strong>som</strong> blir praktiserte i dag, er beskrivne nedan<strong>for</strong>, med opplysningar om<br />
kva <strong>som</strong> blir rekna <strong>som</strong> <strong>for</strong>delar og ulemper ved dei ulike modellane.<br />
16
Modell 1<br />
Eiga eining med fast tilsette revisorar 11<br />
Beskriving<br />
Modellen inneber at verksemda <strong>etablere</strong>r ei ny organisatorisk eining med ansvar <strong>for</strong> internrevisjon.<br />
Internrevisorar <strong>som</strong> blir tilsette i eininga, kan rekrutterast både eksternt og internt.<br />
Fordelar<br />
Fordelen med ein slik revisjonsmodell er at<br />
internrevisjonen blir ein del av organisasjonen og får<br />
unik kunnskap om verksemda og kulturen og verdiane<br />
der. I tillegg vil internrevisjonen opparbeide<br />
spisskompetanse om styrings- og kontrollsystem,<br />
risikobiletet og drifta i verksemda. Denne kunnskapen<br />
vil vere fullt tilgjengeleg <strong>for</strong> verksemda ved at<br />
revisorane er ein del av kompetansemiljøet i<br />
organisasjonen.<br />
Ulemper<br />
Ulempa med ei slik organisering er at ein blir mindre<br />
fleksibel med omsyn til storleik og kompetansemessig<br />
samansetjing av internrevisjonen.<br />
Tilsetjingar inneber faste kostnader og dermed ein<br />
risiko <strong>for</strong> at kostnaden ikkje vil stå i <strong>for</strong>hold til nytten.<br />
Det kan òg vere vanskeleg å <strong>etablere</strong> ei eining <strong>som</strong> er<br />
stor nok til å utgjere eit robust nok internt fagmiljø.<br />
Vurderingar i <strong>for</strong>hold til eigen organisasjon<br />
11 Dette er den vanlegaste måten å organisere internrevisjonen på, særleg i store verksemder <strong>som</strong> til dømes NAV.<br />
17
Modell 2<br />
Full outsourcing 12<br />
Beskriving<br />
Denne modellen føreset at alle internrevisjonstenester blir kjøpte frå eksterne fagmiljø. Det vil seie at verksemda<br />
må hente inn anbod på tenestene og gjere avtale med ein leverandør / leverandørar av denne typen tenester.<br />
Fordelar<br />
Ein <strong>for</strong>del med denne modellen er at<br />
kompetansesamansetjinga og ressursbruken <strong>for</strong><br />
internrevisjon kan endrast heile tida og tilpassast<br />
behovet i det enkelte revisjonsprosjektet og verksemda<br />
sitt samla behov <strong>for</strong> internrevisjonstenester over tid.<br />
Internrevisjonsressursane <strong>som</strong> blir nytta, er normalt òg<br />
ein del av eit større revisjonsmiljø <strong>som</strong> vil halde seg<br />
oppdatert om utviklinga innan<strong>for</strong> faglege og metodiske<br />
tema. Revisjonsressursane vil òg representere eit<br />
eksternt perspektiv <strong>som</strong> kan bidra til å auke kvaliteten<br />
på vurderingane og tilrådingane til internrevisjonen.<br />
Ulemper<br />
Ei ulempe kan vere at verksemda blir avhengig av ein<br />
ekstern leverandør, og at kunnskapen og <strong>for</strong>ståinga <strong>som</strong><br />
blir opparbeidd om verksemda over tid, ikkje blir like<br />
tilgjengeleg. Ein ekstern leverandør har heller ikkje<br />
same høvet til å bli kjend med verksemdskulturen og<br />
observere udokumenterte kontrollar <strong>som</strong> ein tilsett<br />
internrevisor. Bruk av ein slik modell krev òg at<br />
verksemda har god nok bestillarkompetanse til å få tak i<br />
denne typen teneste og til å følgje opp kontrakt og<br />
leveransar.<br />
Modellen ut<strong>for</strong>drar den uavhengige rolla til<br />
internrevisjonen etter<strong>som</strong> nokon i verksemda vil ha<br />
ansvar <strong>for</strong> å skaffe og følgje opp revisjonstenestene.<br />
Ofte har ein slik modell mykje til felles med anskaffing<br />
av ekstra evalueringskapasitet. Ein kan der<strong>for</strong> stille<br />
spørsmål ved om denne modellen tilfredsstiller kriteria<br />
<strong>for</strong> å vere ein internrevisjon, i og med at modellen<br />
føreset at alle tenestene blir kjøpte eksternt.<br />
Vurdering i <strong>for</strong>hold til eigen organisasjon:<br />
12 Universitetet i Bergen er eit døme på ei statleg verksemd <strong>som</strong> nyttar denne løysinga.<br />
18
Modell 3<br />
Tilsett revisjonssjef <strong>som</strong> kjøper eksterne revisjonstenester 13<br />
Beskriving<br />
Modellen inneber at det blir tilsett ein revisjonssjef <strong>som</strong> kjøper tenester frå dei eksterne fagmiljøa med best<br />
kompetanse i <strong>for</strong>hold til prisen på tenestene. Tenestene kan kjøpast hos éin eller fleire leverandørar, avhengig av<br />
kompetansebehovet.<br />
Fordelar<br />
Modellen gir god <strong>for</strong>ankring av funksjonen i<br />
organisasjonen og gjer det mogleg å setje saman team<br />
på tvers av fagområde og ulike rådgivingsmiljø. Han<br />
gir stor fleksibilitet med tanke på ressursbruk. Fordi<br />
leiaren er tilsett i verksemda, vil denne modellen på ein<br />
betre måte enn ved outsourcing bidra til at kompetanse<br />
<strong>som</strong> blir utvikla i internrevisjonsavdelinga, kjem den<br />
statlege verksemda til gode.<br />
Ulemper<br />
Ulempa med ein internrevisjon med berre éin person er<br />
at vedkommande ikkje er ein del av eit fagmiljø. Då kan<br />
det òg vere ut<strong>for</strong>drande å få leiaren godt nok <strong>for</strong>ankra i<br />
organisasjonen. Det kan medverke til at det blir<br />
vanskeleg å behalde personar i ei slik stilling over tid.<br />
Om revisjonssjefen sluttar, kan det vere ut<strong>for</strong>drande å<br />
sikre kontinuitet og kompetanseoverføring til<br />
erstattaren.<br />
Vurdering i <strong>for</strong>hold til eigen organisasjon:<br />
13 Meir vanleg er det at internrevisjonar har fleire fast tilsette internrevisorar, men at det likevel blir sett av<br />
budsjettmidlar til å kjøpe tenester.<br />
19
Modell 4<br />
Tilsett revisjonssjef med team frå eiga verksemd<br />
Beskriving<br />
Éin modell kan vere å byggje eit internt kompetansemiljø rundt revisjonssjefen ved at ein nyttar tilsette i<br />
verksemda frå ulike fagfelt til å delta i revisjonsprosjekt.<br />
For å få godt utbyte av ein slik modell må verksemda vere stor nok til at ein kan finne personar med<br />
fagkompetanse <strong>som</strong> organisatorisk har ei uavhengig stilling i <strong>for</strong>hold til kvarandre.<br />
Fordelar<br />
Denne modellen har <strong>for</strong>delar knytte til <strong>for</strong>ankring i<br />
organisasjonen og kunnskap om verksemda. Fordi det<br />
blir nytta interne ressursar, kan implementeringa av<br />
<strong>for</strong>betringstiltak bli meir effektiv.<br />
Modellen kan bidra til meir samhandling mellom<br />
fagmiljøa i verksemda ved at dei deltek i tverrfaglege<br />
revisjonsteam.<br />
Modellen legg òg til rette <strong>for</strong> betre læring og<br />
kompetanseoverføring i verksemda.<br />
Ulemper<br />
Modellen kan innebere rollekonfliktar og risiko <strong>for</strong> å<br />
komme i konflikt med krav til handlefridom og<br />
objektivitet.<br />
Når ein nyttar kompetanse frå miljø <strong>som</strong> ikkje har<br />
revisjonskompetanse, vil revisjonssjefen få meirarbeid<br />
med å lære opp personar i den revisjonsfaglege delen av<br />
arbeidet. Ordninga kan òg medføre større risiko <strong>for</strong> feil<br />
i gjennomføringa av revisjonsoppdraga <strong>for</strong>di ein nyttar<br />
medarbeidarar utan revisjonskompetanse.<br />
Det kan òg vere ut<strong>for</strong>dringar knytte til om relevante<br />
fagmiljø kan stille ressursar til disposisjon i den<br />
perioden revisjonen skal gjennomførast.<br />
Vurdering i <strong>for</strong>hold til eigen organisasjon:<br />
20
I tillegg til dei fire modellane <strong>som</strong> er beskrivne ovan<strong>for</strong>, kan ein <strong>etablere</strong> modellar <strong>som</strong> er ein<br />
kombinasjon av modellane 1 og 4 og modellane 3 og 4. 14 Desse kombinasjonane inneber at<br />
ein tilsett revisjonssjef kan nytte eigne tilsette og i tillegg velje å kjøpe tenester frå eksterne<br />
fagmiljø og/eller nytte ressursar frå interne kompetansemiljø.<br />
Når ein skal velje revisjonsmodell, må ein vurdere spesifikke <strong>for</strong>hold i verksemda opp mot dei<br />
generelle <strong>for</strong>delane og ulempene <strong>som</strong> er knytte til dei ulike internrevisjonsmodellane.<br />
Nedan<strong>for</strong> følgjer kontrollspørsmål <strong>som</strong> kan vere til hjelp i den samanhengen.<br />
I kolonnen ”Kommenter/grunngi” kan ein gi ei kort beskriving av situasjonen i verksemda og<br />
kva verksemda ønskjer/treng. Oppgi òg <strong>for</strong> kvart spørsmål kva <strong>som</strong> kan vere aktuelle<br />
internrevisjonsmodellar. Svara i tabellen vil dermed vise om det er revisjonsmodellar <strong>som</strong><br />
ikkje er aktuelle, og om det er modellar <strong>som</strong> peiker seg ut <strong>som</strong> dei mest aktuelle.<br />
Kontrollspørsmål<br />
Kommenter/grunngi<br />
Er verksemda så stor at det er <strong>for</strong>svarleg å<br />
<strong>etablere</strong> ei revisjonseining <strong>som</strong> er stor nok<br />
(kritisk masse) til å fungere <strong>som</strong> eit attraktivt<br />
kompetansemiljø?<br />
Er det vesentleg <strong>for</strong> verksemda å <strong>etablere</strong> ein<br />
revisjonsmodell med stor grad av <strong>for</strong>ankring<br />
i verksemda?<br />
Blir det nødvendig med nytilsetjingar <strong>for</strong> å<br />
dekkje breidda i kompetansebehovet til<br />
internrevisjonen (til dømes revisjon, IT, juss,<br />
økonomi, <strong>for</strong>valting, verksemds- og<br />
risikostyring)?<br />
Er verksemda stor nok, og er ho organisert<br />
slik at det går an (ut frå behovet <strong>for</strong> å sikre<br />
handlefridom) å nytte interne ressursar i<br />
revisjonsteam?<br />
Vil linjeorganisasjonen ha nok kapasitet til å<br />
gi frå seg ressursar i dei periodane det skal<br />
gjennomførast revisjonar?<br />
Har verksemda erfaring med å nytte interne<br />
ressursar i revisjonsteam, til dømes i<br />
samband med interne kvalitetsrevisjonar?<br />
Vil behovet <strong>for</strong> internrevisjonstenester i<br />
verksemda variere frå år til år?<br />
14 Det finst òg modellar og praksis <strong>for</strong> samarbeid mellom internrevisjonar. Forsvarsdepartementets internrevisjon<br />
og Forsvarssjefens internrevisjon samarbeider mellom anna om revisjonsmetodikk. I ein viss grad nyttar statlege<br />
verksemder såkalla ”peer reviews” når dei skal evaluere internrevisjonar, det vil seie at dei samanliknar seg med<br />
andre internrevisjonar.<br />
21
Har verksemda ressursar og kompetanse til å<br />
bestille tenester og følgje opp ein kontrakt /<br />
kontraktar om leveransar av<br />
internrevisjonstenester?<br />
Har verksemda behov <strong>for</strong> eller ønskjer ho å<br />
få erfaring med bruk av internrevisjon før ho<br />
vel ein endeleg revisjonsmodell?<br />
5.2 Etableringsfase<br />
Trinn 3: Avklare rolle, rammer og ressursar<br />
Skal internrevisjonsfunksjonen ha legitimitet i organisasjonen og over<strong>for</strong> omgivnadene, må<br />
han tilfredsstille grunnleggjande krav til handlefridom, objektivitet og kompetanse, slik det<br />
mellom anna går fram av krava i standardane og dei etiske retningslinjene til IIA. Desse krava<br />
blir mellom anna tilfredsstilte gjennom organisatorisk plassering og rapportering, kompetanse,<br />
rolleavklaring og tildeling av ansvar og myndigheit. Der<strong>som</strong> handlefridommen eller<br />
objektiviteten er eller verkar å vere svekt, bør det handterast i samsvar med IIA-standard 1130.<br />
Organisatorisk plassering må sikre handlefridommen til internrevisjonen<br />
Internrevisjonsfunksjonen skal vere uavhengig av organisasjonseiningane, verksemd<strong>som</strong>råda<br />
og prosessane han skal revidere. Desse <strong>for</strong>holda er retningsgivande:<br />
• Internrevisjonen bør organisatorisk vere knytt til det øvste styrings-/leiingsnivået i<br />
verksemda.<br />
• Internrevisjonen bør rapportere til verksemdsleiaren eller til styret i verksemder der det er<br />
<strong>for</strong>målstenleg. Det bør avklarast om det skal vere fast rapportering om arbeidet til<br />
internrevisjonen til departementet (til dømes årsrapporten), og korleis det eventuelt skal<br />
skje. Det kan òg oppstå spesielle situasjonar der det er behov <strong>for</strong> å lyfte ei sak til overordna<br />
departement <strong>for</strong> avgjerd og oppfølging, til dømes der<strong>som</strong> verksemdsleiaren og<br />
internrevisjonen ikkje blir einige om vesentlege observasjonar eller behov <strong>for</strong> tiltak. Det<br />
bør fastsetjast retningslinjer <strong>for</strong> korleis leiaren <strong>for</strong> internrevisjonen saman med<br />
verksemdsleiaren kan ta kontakt med departementet i slike situasjonar.<br />
• Verksemdsleiaren skal gi faglege fullmakter til revisjonssjefen, <strong>som</strong> understøttar den<br />
faglege handlefridommen.<br />
• Internrevisjonen bør i det daglege arbeidet rapportere til verksemdsleiaren.<br />
22
Rammene <strong>for</strong> internrevisjonen må innarbeidast i instruksar og<br />
retningslinjer<br />
Det bør utarbeidast skriftlege instruksar og retningslinjer <strong>som</strong> internrevisjonens oppdragsgivar<br />
skal godkjenne. Styringsdokumenta må omfatte følgjande:<br />
• Instruks <strong>for</strong> internrevisjonen <strong>som</strong> definerer einingas <strong>for</strong>mål og oppgåve,<br />
rapporteringslinjer, myndigheit og ansvar 15<br />
• Stillingsinstruks <strong>for</strong> leiaren av internrevisjonen <strong>som</strong> mellom anna inneheld referansar til<br />
etiske reglar, god revisjonsskikk og IIA-standardar og eventuelt andre faglege standardar<br />
<strong>som</strong> gjeld <strong>for</strong> verksemda<br />
• Retningslinjer og prosedyrar <strong>for</strong> arbeidet til internrevisjonen. Desse bør beskrive<br />
hovudprinsippa i internrevisjonens metodar og framgangsmåte ved gjennomføring,<br />
rapportering og oppfølging av revisjonsprosjekt. Retningslinjer <strong>for</strong> rapportering bør<br />
mellom anna innehalde krav om at kopi av revisjonsrapportar alltid skal sendast til<br />
overordna nivå i <strong>for</strong>hold til den eininga <strong>som</strong> er revidert. Vidare bør retningslinjene påpeike<br />
at revisjonsdirektøren har fridom til å fastsetje årsplan. Retningslinjene bør òg innehalde<br />
prinsipp <strong>for</strong> når internrevisjonen kan/skal rapportere til overordna departement, og korleis<br />
det skal skje. Det er gitt ein meir utdjupande omtale av dette i trinn 4.<br />
• In<strong>for</strong>masjon om korvidt internrevisjonen skal kunne ta på seg rådgivingsoppdrag, og i kva<br />
omfang<br />
• Avtale om / prinsipp <strong>for</strong> koordinering og samarbeid mellom Riksrevisjonen og<br />
internrevisjonen 16<br />
Internrevisjonen må ha kompetanse og kapasitet <strong>som</strong> sikrar at han kan<br />
vareta rolla si og oppfylle <strong>for</strong>målet sitt<br />
Oppdragsgivaren må ta stilling til kva kompetanse og kapasitet internrevisjonen bør disponere.<br />
Formålet med og rolla til revisjonen er viktig <strong>for</strong> denne vurderinga. Verksemda må der<strong>for</strong><br />
avklare <strong>for</strong>hold <strong>som</strong> har noko å seie <strong>for</strong> kompetanse og kapasitet:<br />
• Gjennomgå instruksen <strong>for</strong> internrevisjon 17 og vurdere kva det har å seie <strong>for</strong> kompetanseog<br />
ressursbehovet til internrevisjonen<br />
• Bruke risikovurderinga til verksemda til å kartleggje kva behov internrevisjonen har <strong>for</strong><br />
kompetanse og ressursar<br />
• Vurdere krava til basiskompetanse i revisjonseininga, til dømes kunnskap og kompetanse<br />
om verksemda, inkludert styringssystem og fagområde, dessutan kompetanse innan<strong>for</strong><br />
15 IIA-standard 1000 Formål, fullmakter og ansvar.<br />
16 INTOSAI GOV 9150: Coordination and Cooperation between SAIs and Internal Auditors in the Public Sector.<br />
17 IIA-standard 1000 Formål, fullmakter og ansvar og IIA-standard 1200 Faglig dyktighet og tilbørlig faglig<br />
akt<strong>som</strong>het.<br />
23
internrevisjon, risikostyring, internkontroll, juss, økonomi og finans, IT, samfunns- og<br />
organisasjonsvitskap<br />
• Definere personlege eigenskapar <strong>som</strong> er ønskjelege hos internrevisorane, <strong>som</strong> evne til<br />
heilskapstenking, grundigheit, kreativitet, kommunikasjons- og samarbeidsevne<br />
• Ta stilling til i kva grad kompetanse og kapasitet skal sikrast gjennom eigne ressursar eller<br />
ved kjøp av tenester<br />
Internrevisjonen må disponere midlar og stillingsheimlar<br />
Basert på organisering og kva kapasitet og kompetanse det vil vere behov <strong>for</strong>, må verksemda<br />
fastsetje budsjett og klarere nødvendige årsverk.<br />
Trinn 4: Avklare <strong>for</strong>mål og prinsipp <strong>for</strong> metodikk og prosess<br />
Internrevisjonen skal ha myndigheit, fullmakt og ansvar <strong>som</strong> gjer han i<br />
stand til å gjennomføre oppdraget sitt<br />
For at internrevisjonen skal kunne utøve funksjonen sin i samsvar med god praksis og faglege<br />
standardar, bør retningslinjer <strong>som</strong> beskrive i trinn 3 under rammene <strong>for</strong> internrevisjonen, tredje<br />
kulepunkt, innehalde følgjande element:<br />
• Internrevisjonen skal ikkje ha myndigheit <strong>som</strong> inneber at han kan gi pålegg til einingar<br />
eller personar <strong>som</strong> blir reviderte. Det skal mellom anna sikre at revisjonen ikkje kjem i<br />
situasjonar der funksjonen i ettertid skal kontrollere/revidere sine eigne avgjerder.<br />
• Internrevisjonen skal ha høve til å komme med innspel til <strong>for</strong>betringar og endringar i <strong>for</strong>m<br />
av tilrådingar om tiltak.<br />
• Internrevisjonen skal kunne in<strong>for</strong>mere/rapportere om prinsipielle og vesentlege <strong>for</strong>hold til<br />
verksemdsleiaren eller styret. I særskilde tilfelle kan internrevisjonen saman med<br />
verksemdsleiaren (eller styreleiaren) ta kontakt med det overordna departementet <strong>for</strong><br />
drøfting og avgjerd. 18<br />
• Internrevisjonen må ha tilgang til all in<strong>for</strong>masjon <strong>som</strong> er nødvendig <strong>for</strong> at han skal kunne<br />
utføre oppdraget sitt og vareta kontrollfunksjonen på vegner av verksemdsleiaren,<br />
eventuelt styret.<br />
• Internrevisjonen skal ha teieplikt om alle <strong>for</strong>hold han får kjennskap til ved utøvinga av<br />
funksjonen, og skal signere ein særskild teielovnad.<br />
18 Etter<strong>som</strong> internrevisjonen i statlege verksemder normalt rapporterer til verksemdsleiaren, samtidig <strong>som</strong><br />
departementet har eit overordna ansvar <strong>for</strong> kontroll og oppfølging, er det nødvendig å tilpasse IIA-standard 2600<br />
Avklaring i <strong>for</strong>bindelse med toppledelsens aksept av risikoer. Jamfør òg omtale av <strong>for</strong>holdet mellom<br />
internrevisjon, verksemdsleiar og departement i kapittel 3.2.<br />
24
• Revisjonsdirektøren skal sjølv fastsetje årsplanen etter drøftingar med verksemdsleiinga.<br />
Internrevisjonen bør på sjølvstendig grunnlag kunne omprioritere oppgåver innan<strong>for</strong> ein<br />
godkjend plan der<strong>som</strong> det er nødvendig ut frå endringar i risiko<strong>for</strong>holda i verksemda.<br />
Metodikken og prosessane til internrevisjonen må tilfredsstille faglege krav<br />
og dekkje behova til verksemda<br />
Internrevisjonen er ein sjølvstendig og uavhengig del av organisasjonen og må utøve rolla si i<br />
samsvar med faglege standardar <strong>som</strong> er gitt av IIA, og anerkjend praksis. Internrevisjonen kan<br />
der<strong>for</strong> ikkje ta på seg oppgåver <strong>som</strong> er ein del av den ordinære internkontrollen til verksemda,<br />
eller utøve funksjonen sin på ein måte <strong>som</strong> gjer at det kan stillast spørsmål ved objektiviteten<br />
og handlefridommen til internrevisjonen. Avklaringar/beskrivingar av prosessane og<br />
metodikken til internrevisjonen bør innehalde følgjande:<br />
• Prinsipp/retningslinjer <strong>for</strong> samhandling/dialog med leiarar og linjeeiningar i<br />
organisasjonen<br />
• Prinsipp/retningslinjer <strong>for</strong> samhandling/dialog med internkontrolleiningar i organisasjonen,<br />
internkontrollansvarlege, controllerar, HMS-ansvarlege eller liknande<br />
• Framgangsmåte ved utarbeiding av årsplan, inkludert drøftingar mellom revisjonssjefen og<br />
verksemdsleiinga, og korleis internrevisjonens eigne risikovurderingar saman med<br />
risikoanalysane til verksemda skal leggjast til grunn <strong>for</strong> planlegginga<br />
• Krav til revisors oppdragsplanlegging og rapportering<br />
• In<strong>for</strong>masjon om korleis og kven i verksemda <strong>som</strong> skal behandle og/eller godkjenne planar,<br />
rapportar og prosjekt <strong>som</strong> internrevisjonen utarbeider. Det må fastsetjast krav til<br />
oppfølging av <strong>for</strong>eslåtte tiltak i revisjonsrapportar, inkludert prioritering av tiltak, ansvar<br />
og fristar <strong>for</strong> gjennomføring.<br />
• In<strong>for</strong>masjon om korleis internrevisjonen skal kontrollere og rapportere om verksemda<br />
følgjer opp avgjerdene knytte til kva ein har blitt einige om i tidlegare gjennomførte<br />
revisjonar<br />
• In<strong>for</strong>masjon om korleis prinsipielle og vesentlege <strong>for</strong>hold skal takast opp, og kven det skal<br />
rapporterast til, inkludert korleis <strong>for</strong>hold knytte til eventuelle misleghald/avvik skal<br />
handterast og rapporterast<br />
• In<strong>for</strong>masjon om reviderte einingar sitt høve til å uttale seg om rapportar frå revisor før dei<br />
blir endelege<br />
• In<strong>for</strong>masjon om korleis internrevisjonen skal opptre i <strong>for</strong>hold til Riksrevisjonen, og kva<br />
opplysningar det er naturleg/ønskjeleg å utveksle, til dømes internrevisjonens årsplan og<br />
årlege rapportar<br />
• In<strong>for</strong>masjon om korvidt revisjonsoppdraget skal omfatte heile verksemda og alle<br />
verksemd<strong>som</strong>råda<br />
• In<strong>for</strong>masjon om korleis internrevisjonen skal avklare og rapportere spesielle<br />
rådgivingsoppdrag <strong>for</strong> verksemda<br />
25
• In<strong>for</strong>masjon om korleis internrevisjonen skal avklare deltakinga i og utøve sin funksjon i<br />
interne prosjekt i verksemda<br />
• In<strong>for</strong>masjon om korleis eventuelle anskaffingar av eksterne ressursar skal skje<br />
• In<strong>for</strong>masjon om korvidt revisjonssjefen skal delta i leiarmøte i verksemda og eventuelle<br />
etatsstyringsmøte<br />
• In<strong>for</strong>masjon om korleis jamleg oppfølging og evaluering av internrevisjonsfunksjonen skal<br />
gjennomførast<br />
Trinn 5 Intern <strong>for</strong>ankring og kommunikasjon<br />
Etablering av ein internrevisjonsfunksjon er eit tiltak <strong>som</strong> vil påverke alle delar av verksemda.<br />
Ei eventuell avgjerd om å <strong>etablere</strong> ein slik funksjon må der<strong>for</strong> vere godt <strong>for</strong>ankra i toppleiinga<br />
og <strong>for</strong>stått og akseptert i resten av organisasjonen. In<strong>for</strong>masjonsopplegget må tilpassast etter<br />
storleiken, kommunikasjonsrutinane og eigenarten til verksemda.<br />
I vurderingsfasen er det viktig at leiarane i verksemda blir in<strong>for</strong>merte om planlagde og<br />
pågåande prosessar knytte til vurderingar omkring etablering av ein internrevisjonsfunksjon.<br />
Ein bør in<strong>for</strong>mere om <strong>for</strong>målet med vurderinga, framgangsmåten, fristane og innhaldet i<br />
prosessen. Ein bør òg in<strong>for</strong>mere om kva internrevisjon er, og kva oppgåver<br />
revisjonsfunksjonen har.<br />
Ein bør in<strong>for</strong>mere når det er bestemt at ein skal <strong>etablere</strong> internrevisjon, og når det er valt<br />
revisjonsmodell. I etableringsfasen bør planlagde aktivitetar, framdrifta og korleis<br />
organisasjonen vil bli involvert, kommuniserast til relevante tilsette <strong>som</strong> leiarar, mellomleiarar<br />
og eventuelle kontrollfunksjonar.<br />
Det bør <strong>for</strong>tløpande in<strong>for</strong>merast om resultat frå dei ulike trinna i prosessen og vesentlege<br />
avgjerder <strong>som</strong> blir tekne undervegs. Det bør òg in<strong>for</strong>merast om det er teke avgjerder <strong>som</strong> kan<br />
vere viktige <strong>for</strong> eksisterande organisering, arbeidsoppgåver og ressursar i verksemda, til<br />
dømes der<strong>som</strong> verksemda vel ein modell der dei tilsette skal delta i revisjonsoppdrag.<br />
Det overordna departementet og Riksrevisjonen bør orienterast når internrevisjonsfunksjonen<br />
er etablert.<br />
5.3 Avslutning<br />
Eit val om å <strong>etablere</strong> internrevisjon bør vere gjenstand <strong>for</strong> grundig vurdering. Det er viktig at<br />
leiinga sørgjer <strong>for</strong> eit dokumentert og fullstendig avgjerdsgrunnlag, slik at ein er trygg på at<br />
avgjerdene blir tekne på eit best mogleg faktagrunnlag.<br />
Der<strong>som</strong> den valde internrevisjonsmodellen inneber at det må tilsetjast personell, er det viktig å<br />
rekruttere leiaren av revisjonseininga først, slik at han eller ho kan involverast når resten av<br />
26
evisjonspersonellet skal rekrutterast. Verksemda bør då også vurdere om det er best å<br />
bemanne opp revisjonseininga gradvis, etter kvart <strong>som</strong> ein får erfaring med behov og<br />
nytteverdi.<br />
I samsvar med IIA-standardane 19 skal det utarbeidast eigne program <strong>for</strong> å kvalitetssikre og<br />
<strong>for</strong>betre internrevisjonsfunksjonen. Formålet med det er å følgje opp at internrevisjonen<br />
arbeider i tråd med IIA-standardane, etiske reglar og instruksar <strong>som</strong> er fastsette av den enkelte<br />
verksemda. Det er der<strong>for</strong> viktig å <strong>etablere</strong> rutinar <strong>for</strong> jamleg oppfølging og evaluering av<br />
internrevisjonsfunksjonen.<br />
19 IIA-standard 1300 Program <strong>for</strong> kvalitetssikring og <strong>for</strong>bedring.<br />
27