Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen, eller virksomheten, oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.
Ved å utvikle en effektiv funksjon for internrevisjon, vil dette bidra til å
- oppnå mål og følge strategier
- opprettholde, bekrefte og utvikle internkontroll
- identifisere muligheter for å redusere kostnader og forbedre prosesser
- forbedre eierstyring og selskapsledelse
Dette skal gi økt verdi for virksomhetene og redusert kostnad og risiko.
Vurdere risiko som grunnlag for revisjonen
Revisjonsplanen bygger på en risikovurdering, ofte med utgangspunkt i rammeverket for risikostyring i COSO ERM. Risikoene blir kartlagt med utgangspunkt i virksomhetens formål og målsettinger, de vurderes med hensyn til iboende og gjenværende risiko, og om risikoen er relatert til misligheter eller uregelmessigheter. Risikobildet er styrende for utvikling av revisjonsplanen.
Noen områder (identifiserte revisjonsenheter) blir gjenstand for ordinær revisjon av om kontrollene er effektive, mens for de mest kritiske områdene vil revisjonen bidra til å gjøre kontrollene mer effektive. Det må også vurderes om særskilte utviklingsprosjekter bør settes i gang for å redusere risiko.
Eksempler på risikoer kan være:
Strategisk
Frafall av nøkkelkunder, følger ikke ordinær syklus for forretningsførsel og rapportering, svake markeder og tilpasninger, sterk konkurranse, begrenset produktspekter, responderer ikke på eksterne hendelser.
Operasjonelt
Miste av nøkkelpersonell, underslag eller misbruk av eiendeler, overskridelser og forsinkelser i prosjekter, svak omsetning/dårlig utvikling, dårlig kundeservice, feil i IT-systemer og tap av data, uautorisert tilgang til IT-utstyr og IT-systemer.
Rapportering
Misligheter og uregelmessigheter, følger ikke opp endringer i regnskapsmessige og økonomiske forhold, feil i årsrapportering, nedgradert i kredittrating, stor usikkerhet i avkastning på investeringer, valutarisiko, mangelfulle forsikringer.
Etterlevelse
Møter ikke myndighetskrav til drift og forvaltning, møter ikke regnskapsmessig krav, etterlever ikke interne regler, lovmessige og juridiske endringer, møter ikke HMS-krav eller arbeidsmiljøkrav.
Internrevisjon som bidragsyter
En internrevisjon skal bistå styre og ledelse med å ivareta deres ansvar for betryggende kontroll. Dette innebærer å være bevisst på risikoer og å iverksette tiltak som skal redusere risikoene til et akseptabelt nivå. Internrevisjonen skal være en ressurs i prosessene med å gjennomføre risikovurderinger og å vurdere kvaliteten på iverksatte kontroller. Den bygger sitt arbeid på
- en virksomhetsomfattende risikovurdering
- en avdekking av vesentlige og kritiske hendelser som kan påvirke måloppnåelsen
- en identifisering av svakheter i kontrollsystemene
Den kan også evaluere og utvikle eierstyring og selskapsledelse, og se etter at kontrolltiltak eller utviklingstiltak er hensiktsmessige og effektive.
Så kan noen reise spørsmål ved om det er verdiøkende å se etter at internkontrollen er etablert og fungerer? Det motsatte er i alle fall ‘fordyrende’: risiko for tap og misligheter, risiko for manglende måloppnåelse og risiko for brudd på lover og regler. Det er ikke mange av disse risikoene som skal inntreffe, før det virksomheten vil bruke atskillige ressurser for å ‘reparere’ feil, mangler og dårlig styring.
Bekrefte internkontrollen i offentlig virksomhet
Når internrevisor skal uttale seg om internkontrollen i offentlig virksomhet, er det naturlig å gå gjennom hvordan virksomheten har håndtert risikoer gjennom året. Risikovurderingen er, eller bør være, knyttet til de strategiske, de operasjonelle, de rapporteringsrelaterte eller de etterlevelsesrelaterte forholdene. Blant kontrollene er å se hvilken egenevaluering virksomheten selv har gjort med hensyn til tiltak og aktiviteter relatert til risiko, samt hvordan disse virksomhetene har rapportert resultatet av sin oppfølging. Internrevisor må innhente tilstrekkelig informasjon og dokumentasjon for å kunne konkludere. Gitt en positiv konklusjon, kan denne kan utformes slik:
Internrevisor mener at virksomheten har etablert gode systemer og prosedyrer for å sikre god virksomhetsstyring og tilfredsstillende håndtering av risikoer. Virksomheten har gjennom løpende rapportering fått en bekreftelse på at internkontrollen er etablert og virker ved at virksomhetens mål i overveiende grad er nådd.