Hvordan få mest utbytte av internrevisjonen?

Hvordan få mest utbytte av
internrevisjonen?
Et sammendrag for styret og revisjonsutvalget
I dette sammendraget oppsummeres hovedpunktene i «Making the most of the Internal Audit
Function: Recommendations for Directors and Board Committees», en veiledning utgitt i fellesskap av
European Confederation of Directors Associations (ecoDa) og European Confederation of Institutes
of Internal Auditing (ECIIA).
Veiledningen skal være et hjelpemiddel til alle med styre- og ledelsesansvar som ønsker å dra nytte
av internrevisjon som et effektivt støtteverktøy og bidragsyter til beslutninger på områdene
risikostyring, virksomhetsstyring og kontroll. Internrevisjon er styrets og toppledelsens verktøy og
følgelig kan formål og oppgaver også ha et større omfang enn beskrevet i dette dokumentet.
Internrevisjon har en viktig rolle å spille i moderne virksomhetsstyring. Selv om det er variasjoner i
styrestrukturer og virksomhetsstyringssystemer i Europa, er det noen grunnleggende fellestrekk:

Styret fastsetter organisasjonens risikovillighet (såkalt risikoappetitt) og dermed den
overordnede retningen for ledelsen. Styret skal ha identifisert og tatt stilling til de
vesentligste risikoene en organisasjon står overfor og deretter skal toppledelsen gi en
regelmessig tilbakemelding til styret om at man har styring på disse risikoene.

Administrerende direktør og toppledelsen har hovedansvaret for og eierskapet til
organisasjonens risikostyring og kontrollrammeverk. Det er ledelsens ansvar å sørge for at
ønsket risikostyringssystem blir kommunisert og forstått i hele organisasjonen. Samtidig skal
ledelsen kontrollere at den samlede risikoen fra organisasjonens aktiviteter står i forhold til
den risikoappetitten styret har besluttet.
For å sikre en effektiv risikostyring, er styret og toppledelsen avhengig av å kunne bygge på linjens
arbeid (herunder oppfølgings- og bekreftelsesfunksjoner). ECIIA og ecoDa mener at modellen med
tre forsvarslinjer (“Three lines of Defence”) som allerede er innarbeidet i finansiell sektor, med stor
fordel også kan benyttes i flere andre sektorer.
Modellen med tre forsvarslinjer er en konseptuell skisse over lagene av intern kontroll i en
organisasjon: første linje kontrollerer, andre linje følger opp og i tredje linje finnes den uavhengige
bekreftelsesfunksjonen. Modellen plasserer også internrevisjonens rolle i den overordnede
risikostyringen og de interne kontrollprosesser i en organisasjon.
For at internrevisjonen skal maksimere sitt bidrag til god virksomhetsstyring, er det viktig at styret
vurderer tre helt grunnleggende forhold som bør være på plass:
•
Internrevisjonen bør ha rapporteringslinjer som sikrer at den er i stand til å inneha tilstrekkelig
uavhengighet.
•
Internrevisjonen skal benytte en risikobasert tilnærming ved utarbeidelse og utførelse av
revisjonsplanen.
•
Internrevisjonen må inneha en høy grad av kvalitet i sitt arbeid og de ansatte må besitte høy faglig
kompetanse basert på utdanning, erfaring og forretningsforståelse.
De tre forsvarslinjer
I den første forsvarslinjen er det linjeledelsen som har eierskap til og ansvar for å vurdere, kontrollere
og redusere risiko.
Den andre forsvarslinjen består av aktiviteter som gjennomføres på mange områder i den interne
virksomhetsstyringen (compliance, risikostyring, kvalitet og andre kontrollfunksjoner). I denne
forsvarslinjen legges det til rette for og følges opp at effektiv risikostyring implementeres og
praktiseres av linjeledelsen. I tillegg bistår risikoeierne med rapportering av risikorelatert informasjon
oppover og nedover i organisasjonen.
Internrevisjon er den tredje forsvarslinjen. Gjennom sin risikobaserte tilnærming vil en uavhengig
internrevisjon kunne gi styret og toppledelsen bekreftelser på hvor effektivt organisasjonen
identifiserer, vurderer og håndterer risikoer, samt en vurdering av hvordan første- og
andrelinjeforsvaret fungerer. Bekreftelsene omfatter alle elementene i risikostyringen; fra
risikoidentifikasjon, risikovurdering og -respons, til kommunikasjon av risikorelatert informasjon.
Internrevisjonens unike posisjon i organisasjonen gjør den i stand til å gi til styret og toppledelsen
bekreftelser på hvorvidt intern virksomhetsstyring og risikoprosesser er effektive gjennom hele
virksomheten. Den er også godt plassert i forhold til å gi råd for å forbedre eksisterende prosesser og
for å bistå ledelsen med å implementere anbefalte forbedringer. I et slikt rammeverk er
internrevisjonen en av grunnpilarene i en organisasjons virksomhetsstyring.
Internrevisjonen er styrets og revisjonsutvalgets øyne og ører. Veiledningen fra ecoDa og ECIIA lister
opp ti anbefalinger til hvordan styret kan få mest mulig ut av en internrevisjonsfunksjon. Både
private og offentlige organisasjoner vil finne punktene nyttige. Punktene er ikke gjengitt i sin helhet
her, men veiledningen «Making the most of the Internal Audit Function: Recommendations for
Directors and Board Members» er tilgjengelig i sin helhet på www.ecoda.org og www.eciia.eu.
Hovedpunkter styret bør ta stilling til:
1. Styret bør vurdere om det er behov for etablering av en internrevisjon hvis en slik
funksjon ikke eksisterer.
2. Styret skal vurdere og godkjenne instruks for internrevisjon.
3. Effektive kommunikasjonskanaler mellom styret og revisjonsdirektør skal være på
plass.
4. Styret skal evaluere internrevisjonens planer og ressurser.
5. Det skal foretas en vurdering av internrevisjonens kompetanse.
6. Kvaliteten på internrevisjonens arbeid skal bekreftes.
7. Hvor godt forhold det er mellom internrevisjonen og funksjonen med sentralt ansvar
for oppfølging av risiko skal vurderes.
8. Det skal sørges for at internrevisjonen og andre kontroll- og bekreftelsesfunksjoner
koordinerer og optimaliserer sitt arbeid, både internt og eksternt.
9. Internrevisjonens funn og rapporteringens innhold skal vurderes.
10. Det skal være en oppfølging av ledelsens gjennomføring av internrevisjonens
anbefalte tiltak.
_________________________________________________________________________________
Norsk Institutt for Styremedlemmer har som formål å fremme verdiskaping gjennom god eierstyring og
selskapsledelse. Instituttets viktigste oppgave er å være nettverk og møteplass for erfaringsutveksling, blant
annet gjennom åpen dialog i en uformell atmosfære. Instituttet ønsker å bidra til å utvikle beste praksis for
styrearbeid, samt bringe energi og kreativitet til nytenking om styrearbeidet. Styreinstituttet samarbeider med
tilsvarende institusjoner i andre land og søker også samarbeid med norske og utenlandske utdanningsinstitusjoner som fokuserer på styrearbeid. Slike samarbeider gir tilgang til internasjonal styreekspertise og
utvikler kompetansen i norske styrerom videre. Webside http://www.styreinstitutt.no/.
European Confederation of Directors Associations er en europeisk forening som samler de nasjonale
foreninger for selskapsstyrer og styremedlemmer på europeisk basis. Norsk Institutt for Styremedlemmer er
medlem av ecoDa. Webside http://www.ecoda.org/.
Norges Interne Revisorers Forening har som formål å fremme den faglige og etiske utviklingen innenfor
internrevisjon, samt være en samlende og ledende forening for alle som arbeider med virksomhetsstyring,
risikostyring, internrevisjon og compliance. NIRF med sine 800 medlemmer er en del av det globale The Institute
of Internal Auditors som har 190.000 medlemmer. Gjennom foreningen deles og mottas kunnskap til nytte for
de virksomheter medlemmene arbeider i. Webside http://www.iia.no/.
European Confederation of Institutes of Internal Auditing er en europeisk forening som samler de
nasjonale internrevisjonsforeninger på europeisk basis. Norges Interne Revisorers Forening er medlem i ECIIA.
Webside http://www.eciia.eu.