Unntaksordningen om internrevisjon for banker og kredittforetak med mindre enn 10 milliarder kroner i forvaltningskapital er snart historie. Dette betyr at internrevisjon ikke lenger er et spørsmål om behov, men om hvordan funksjonen skal utformes for å skape verdi.
I mars la Finansdepartementet frem forslag til endringer i finansforetaksloven for å gjennomføre EUs nye kapitalkravsdirektiv (CRD VI) i norsk rett. Finanstilsynet og Finansdepartementet arbeider med implementeringen og direktivet forventes innført i løpet av 2026.
Hva endres?
Når regelverket trer i kraft, vil alle banker og kredittforetak omfattes av et absolutt krav om internrevisjon, og unntaksordningen for aktører med mindre enn 10 milliarder kroner i forvaltningskapital vil forsvinne.
For de aktuelle bankene og kredittforetakene innebærer dette konkrete endringer i hvordan risikostyring og internkontroll organiseres og hvordan styret involveres i kontrollarbeidet.
Hva betyr dette i praksis?
-
Internrevisjonsfunksjonen skal være uavhengig, rapportere direkte til styret og arbeide risikobasert med utgangspunkt i bankens mest sentrale aktiviteter.
-
Samtidig får kontrollfunksjonene en tydeligere definisjon i lovverket. Internrevisjon, risikostyring og compliance vil inngå i en samlet struktur for internkontroll, med klarere forventninger til rolleforståelse og uavhengighet.
-
Proporsjonalitetsprinsippet videreføres: omfang og innretning kan tilpasses bankens eller kredittforetakets størrelse og kompleksitet, men etablering av en internrevisjonsfunksjon er ikke lenger valgfritt.
Hva må banken ta stilling til?
-
Skal internrevisjonen løses internt, co-sourcet eller gjennom full utkontraktering?
-
De fleste mindre banker velger eksterne leverandører, både av hensyn til kompetanse og kostnadseffektivitet.
-
Styret får samtidig et tydeligere ansvar for å fastsette revisjonsplan, følge opp og behandle revisjonsrapporter.
Hva gjør en internrevisjonsfunksjon?
Internrevisjonen er en uavhengig funksjon i bankens internkontrollmiljø som vurderer om styring og kontroll faktisk virker.
Den gir styret trygghet og oversikt, og administrasjonen et solid grunnlag for å prioritere tiltak der risikoen er størst. Internrevisjonen er en sparringspartner som utfordrer og forbedrer rutiner og prosesser med mål om å skape verdi.
Hvorfor er internrevisjon viktig også for mindre banker?
Dagens risikobilde er i langt mindre grad enn tidligere avhengig av størrelse. Cyberangrep, teknologiavhengighet, AML-krav og regulatorisk press treffer hele bransjen.
Hvordan kan BDO hjelpe?
BDO har bred erfaring med internrevisjon i norske banker, fra mindre sparebanker til større kredittinstitusjoner. Vi bistår blant annet med å:
-
Velge riktig modell for internrevisjon: intern, co-sourcet eller fullt utkontraktert
-
Etablere og ivareta internrevisjonsfunksjonen i tråd med relevante standarder og regulering
-
Gjennomføre risikobaserte revisjoner tilpasset bankens størrelse og risikoprofil
-
Gi styret det uavhengige beslutningsgrunnlaget de trenger for å utøve sitt tilsynsansvar
Ta gjerne kontakt for en uforpliktende samtale om hva CRD VI og plikten til internrevisjon betyr for din virksomhet, og hva som skal til for å møte de nye kravene.
Les mer om hvordan BDO bistår banker og finansforetak med internrevisjon