Hvordan få mest utbytte av internrevisjonen?
Hvordan få mest utbytte av internrevisjonen? Et sammendrag for styret og revisjonsutvalget I dette sammendraget oppsummeres hovedpunktene i «Making the most of the Internal Audit Function: Recommendations for Directors and Board Committees», en veiledning utgitt i fellesskap av European Confederation of Directors Associations (ecoDa) og European Confederation of Institutes of Internal Auditing (ECIIA). Veiledningen skal være et hjelpemiddel til alle med styre- og ledelsesansvar som ønsker å dra nytte av internrevisjon som et effektivt støtteverktøy og bidragsyter til beslutninger på områdene risikostyring, virksomhetsstyring og kontroll. Internrevisjon er styrets og toppledelsens verktøy og følgelig kan formål og oppgaver også ha et større omfang enn beskrevet i dette dokumentet. Internrevisjon har en viktig rolle å spille i moderne virksomhetsstyring. Selv om det er variasjoner i styrestrukturer og virksomhetsstyringssystemer i Europa, er det noen grunnleggende fellestrekk: Styret fastsetter organisasjonens risikovillighet (såkalt risikoappetitt) og dermed den overordnede retningen for ledelsen. Styret skal ha identifisert og tatt stilling til de vesentligste risikoene en organisasjon står overfor og deretter skal toppledelsen gi en regelmessig tilbakemelding til styret om at man har styring på disse risikoene. Administrerende direktør og toppledelsen har hovedansvaret for og eierskapet til organisasjonens risikostyring og kontrollrammeverk. Det er ledelsens ansvar å sørge for at ønsket risikostyringssystem blir kommunisert og forstått i hele organisasjonen. Samtidig skal ledelsen kontrollere at den samlede risikoen fra organisasjonens aktiviteter står i forhold til den risikoappetitten styret har besluttet. For å sikre en effektiv risikostyring, er styret og toppledelsen avhengig av å kunne bygge på linjens arbeid (herunder oppfølgings- og bekreftelsesfunksjoner). ECIIA og ecoDa mener at modellen med tre forsvarslinjer (“Three lines of Defence”) som allerede er innarbeidet i finansiell sektor, med stor fordel også kan benyttes i flere andre sektorer. Modellen med tre forsvarslinjer er en konseptuell skisse over lagene av intern kontroll i en organisasjon: første linje kontrollerer, andre linje følger opp og i tredje linje finnes den uavhengige bekreftelsesfunksjonen. Modellen plasserer også internrevisjonens rolle i den overordnede risikostyringen og de interne kontrollprosesser i en organisasjon. For at internrevisjonen skal maksimere sitt bidrag til god virksomhetsstyring, er det viktig at styret vurderer tre helt grunnleggende forhold som bør være på plass: • Internrevisjonen bør ha rapporteringslinjer som sikrer at den er i stand til å inneha tilstrekkelig uavhengighet. • Internrevisjonen skal benytte en risikobasert tilnærming ved utarbeidelse og utførelse av revisjonsplanen. • Internrevisjonen må inneha en høy grad av kvalitet i sitt arbeid og de ansatte må besitte høy faglig kompetanse basert på utdanning, erfaring og forretningsforståelse. De tre forsvarslinjer I den første forsvarslinjen er det linjeledelsen som har eierskap til og ansvar for å vurdere, kontrollere og redusere risiko. Den andre forsvarslinjen består av aktiviteter som gjennomføres på mange områder i den interne virksomhetsstyringen (compliance, risikostyring, kvalitet og andre kontrollfunksjoner). I denne forsvarslinjen legges det til rette for og følges opp at effektiv risikostyring implementeres og praktiseres av linjeledelsen. I tillegg bistår risikoeierne med rapportering av risikorelatert informasjon oppover og nedover i organisasjonen. Internrevisjon er den tredje forsvarslinjen. Gjennom sin risikobaserte tilnærming vil en uavhengig internrevisjon kunne gi styret og toppledelsen bekreftelser på hvor effektivt organisasjonen identifiserer, vurderer og håndterer risikoer, samt en vurdering av hvordan første- og andrelinjeforsvaret fungerer. Bekreftelsene omfatter alle elementene i risikostyringen; fra risikoidentifikasjon, risikovurdering og -respons, til kommunikasjon av risikorelatert informasjon. Internrevisjonens unike posisjon i organisasjonen gjør den i stand til å gi til styret og toppledelsen bekreftelser på hvorvidt intern virksomhetsstyring og risikoprosesser er effektive gjennom hele virksomheten. Den er også godt plassert i forhold til å gi råd for å forbedre eksisterende prosesser og for å bistå ledelsen med å implementere anbefalte forbedringer. I et slikt rammeverk er internrevisjonen en av grunnpilarene i en organisasjons virksomhetsstyring. Internrevisjonen er styrets og revisjonsutvalgets øyne og ører. Veiledningen fra ecoDa og ECIIA lister opp ti anbefalinger til hvordan styret kan få mest mulig ut av en internrevisjonsfunksjon. Både private og offentlige organisasjoner vil finne punktene nyttige. Punktene er ikke gjengitt i sin helhet her, men veiledningen «Making the most of the Internal Audit Function: Recommendations for Directors and Board Members» er tilgjengelig i sin helhet på www.ecoda.org og www.eciia.eu. Hovedpunkter styret bør ta stilling til: 1. Styret bør vurdere om det er behov for etablering av en internrevisjon hvis en slik funksjon ikke eksisterer. 2. Styret skal vurdere og godkjenne instruks for internrevisjon. 3. Effektive kommunikasjonskanaler mellom styret og revisjonsdirektør skal være på plass. 4. Styret skal evaluere internrevisjonens planer og ressurser. 5. Det skal foretas en vurdering av internrevisjonens kompetanse. 6. Kvaliteten på internrevisjonens arbeid skal bekreftes. 7. Hvor godt forhold det er mellom internrevisjonen og funksjonen med sentralt ansvar for oppfølging av risiko skal vurderes. 8. Det skal sørges for at internrevisjonen og andre kontroll- og bekreftelsesfunksjoner koordinerer og optimaliserer sitt arbeid, både internt og eksternt. 9. Internrevisjonens funn og rapporteringens innhold skal vurderes. 10. Det skal være en oppfølging av ledelsens gjennomføring av internrevisjonens anbefalte tiltak. _________________________________________________________________________________ Norsk Institutt for Styremedlemmer har som formål å fremme verdiskaping gjennom god eierstyring og selskapsledelse. Instituttets viktigste oppgave er å være nettverk og møteplass for erfaringsutveksling, blant annet gjennom åpen dialog i en uformell atmosfære. Instituttet ønsker å bidra til å utvikle beste praksis for styrearbeid, samt bringe energi og kreativitet til nytenking om styrearbeidet. Styreinstituttet samarbeider med tilsvarende institusjoner i andre land og søker også samarbeid med norske og utenlandske utdanningsinstitusjoner som fokuserer på styrearbeid. Slike samarbeider gir tilgang til internasjonal styreekspertise og utvikler kompetansen i norske styrerom videre. Webside http://www.styreinstitutt.no/. European Confederation of Directors Associations er en europeisk forening som samler de nasjonale foreninger for selskapsstyrer og styremedlemmer på europeisk basis. Norsk Institutt for Styremedlemmer er medlem av ecoDa. Webside http://www.ecoda.org/. Norges Interne Revisorers Forening har som formål å fremme den faglige og etiske utviklingen innenfor internrevisjon, samt være en samlende og ledende forening for alle som arbeider med virksomhetsstyring, risikostyring, internrevisjon og compliance. NIRF med sine 800 medlemmer er en del av det globale The Institute of Internal Auditors som har 190.000 medlemmer. Gjennom foreningen deles og mottas kunnskap til nytte for de virksomheter medlemmene arbeider i. Webside http://www.iia.no/. European Confederation of Institutes of Internal Auditing er en europeisk forening som samler de nasjonale internrevisjonsforeninger på europeisk basis. Norges Interne Revisorers Forening er medlem i ECIIA. Webside http://www.eciia.eu.
© Copyright 2024