For at internrevisjonen skal kunne oppfylle sitt formål og ivareta sin rolle og sitt ansvar må den samlede internrevisjonen ha eller skaffe seg nødvendige kunnskaper, ferdigheter og ressurser.

Internrevisjonens virkeområde

Internrevisjonen har hele virksomheten som sitt virkeområde. Med «hele virksomheten som virkeområde» menes at internrevisjonens risikovurdering skal omfatte hele virksomheten (alle støtte- styrings- og kjerneprosesser) og inngå i grunnlaget for prioritering av internrevisjonens prosjekter. Internrevisjonen kan for eksempel ikke utelate enkelte områder av virksomhetens drift fra sitt revisjonsunivers. Både bredden og kompleksiteten i arbeidet stiller dermed store krav til internrevisjonen. Det er virksomhetslederen som, i samråd med internrevisjonssjefen, har ansvar for å ta stilling til og påse at internrevisjonsfunksjonen totalt sett har nødvendig kompetanse og ressurser til enhver tid.

Internrevisjonens kompetanse- og ressursbehov

Virksomhetens strategi og risikovurdering og internrevisjonens egen risikovurdering, kan benyttes til å avklare internrevisjonens behov for kompetanse og ressurser. Dersom internrevisjonen mangler kunnskaper, ferdigheter eller annen kompetanse som kreves, må internrevisjonssjefen innhente kvalifisert bistand eller velge å ikke påta seg det aktuelle revisjonsprosjektet og kommunisere risikoeksponeringen til oppdragsgiver som følge av lavere revisjonsdekning.

Basert på hvilken kompetanse og kapasitet det vil være behov for, må internrevisjonssjefen, eller ansvarlig for innkjøp av internrevisjonstjenester, fremme budsjettforslag til øverste myndighet i virksomheten som fastsetter budsjettet.

Virksomheten må ta stilling til i hvilken grad kompetanse og kapasitet skal sikres gjennom egne ressurser eller ved kjøp av tjenester.

Nedenfor omtaler vi noen viktige avklaringer når det gjelder kompetanse, egenskaper og ressurser, samt fastsettelse av revisjonsplan og årsrapportering.

Kompetanse og egenskaper

Den samlede internrevisjonen må ha tilstrekkelig kompetanse. Dette innebærer blant annet:

• Internrevisjonsfaglig kompetanse i form av kjennskap til anerkjente standarder og internrevisjonsmetodikk og faglige rammeverk for virksomhetsstyring/styringssystem, herunder risikostyring og internkontroll
• Virksomhetsspesifikk kompetanse som omfatter kompetanse knyttet til virksomhetens kjerne-, støtte- og styringsprosesser, for eksempel fagområder som tilskudd og tilsyn, sikkerhet og beredskap, IKT, informasjonssikkerhet, misligheter og økonomi.
• Kompetanse om statsforvaltningen herunder styringsform, statlige regelverk og statlig forvaltning.
• Personlige egenskaper hos internrevisorene og hos internrevisjonssjefen. Dette kan for eksempel være egenskaper som å være analytisk, ha evne til å tenke kritisk og helhetlig, grundighet, faglig integritet, kommunikasjons- og samarbeidsevner.

Ressurser

Internrevisjonen må ha tilstrekkelige ressurser. Dette innebærer blant annet at:

• Internrevisjonen må ha ressurser til å gjennomføre et forsvarlig omfang av revisjonsprosjekter som er dekkende for internrevisjonens selvstendige risikovurdering. Eventuelt må internrevisjonen ha budsjett til kjøp av ressurser og kompetanse som den selv ikke har.
• Internrevisjonen må ha tilstrekkelige ressurser til kompetanseutvikling. Gitt de høye kravene til kompetanse som stilles til internrevisjonen, blir det viktig å både kontinuerlig vedlikeholde, og å utvikle internrevisjonens kunnskaper, ferdigheter og annen kompetanse.
• Internrevisjonen (uavhengig av modell) må ha tilstrekkelig ressurser til et program for kvalitetssikring og forbedring, herunder gjennomføre interne og eksterne evalueringer av funksjonen og tjenestene den yter. Internrevisjonsinstruksen bør gi føringer for hvilke typer evalueringer som skal gjennomføres (interne og eksterne, periodiske og løpende) og hvordan den skal rapportere resultatene. Internrevisjonsinstruksen bør videre si hvor ofte det skal gjennomføres eksterne evalueringer av internrevisjonsfunksjonen og dens arbeide.

Faglig frihet

Internrevisjonen evaluerer virksomhetens drift og prosesser for styring og kontroll på oppdrag fra virksomhetslederen og må derfor ha faglig frihet og tilgang til all informasjon som er nødvendig for å ivareta sin rolle og sitt formål. Dette innebærer blant annet at:

• Virksomhetslederen skal gi faglig frihet til internrevisjonssjefen, som understøtter den faglige uavhengigheten. Dette kan for eksempel gå ut på at internrevisjonssjefen har:
  • Selvstendig ansvar for risikoprofilen i revisjonsplanen. Revisjonsplanen anbefales av internrevisjonssjefen og godkjennes av oppdragsgiver.
  • Faglig frihet i vurdering av revisjonsresultater.
  • Faglig frihet til å velge type, tidspunkt og omfang av revisjonshandlinger.
  • Tilgang til all nødvendig informasjon. Internrevisjonen må ha autorisert tilgang til dokumenter, personell og eiendeler med relevans for utøvelsen av internrevisjonsoppdrag.
• Internrevisjonen skal ikke ha myndighet til å gi pålegg til enheter eller personer som revideres. Internrevisjonen gir kun anbefalinger. Virksomhetsleder, eller de som virksomhetsleder har delegert myndighet til, beslutter hvilke tiltak det er behov for å gjennomføre, basert på internrevisjonens anbefalinger. Internrevisjonen kan så ha en rolle i oppfølging av at de besluttede tiltakene blir gjennomført.

Årlig revisjonsplan og årsrapport

Internrevisjonssjefen har ansvaret for å utarbeide en årlig risikobasert revisjonsplan med internrevisjonens prioriteringer.

Internrevisjonssjefen har også ansvar for å utarbeide en årsrapport som oppsummerer internrevisjonens arbeid i henhold til revisjonsplanen. Dette innebærer blant annet at internrevisjonens revisjonsplan skal dekke de vesentligste risikoene knyttet til virksomhetens mål, og være basert på internrevisjonens egne risikovurderinger.

Revisjonsplanen bør baseres på innspill fra linjen, og drøftinger av risikobildet mellom virksomhetsleder og internrevisjonssjefen.

Den endelige revisjonsplanen skal godkjennes av virksomhetslederen. Internrevisjonssjefen må, i den grad det er nødvendig, gå gjennom og justere planen for å ta hensyn til endringer i virksomhetens risikoer, drift, programmer, systemer og kontroller. Internrevisjonssjefen må kommunisere vesentlige endringer i den årlige revisjonsplanen og få disse godkjent av virksomhetslederen.

Revisjonsplanen kan inneholde både bekreftelsesoppdrag og rådgivnings-oppdrag. Internrevisjonens bekreftelsesoppdrag kan omfatte alle typer områder relatert til virksomhetsstyring, risikostyring og kontroll. Hvilke områder bekreftelsesoppdragene kan omfatte bør fremgå av instruksen. Dersom internrevisjonen har rådgivningsoppdrag på årsplanen, bør det stå i internrevisjonsinstruksen at internrevisjonen kan utføre slike oppdrag. Da rådgivningsoppdrag som regel er mer spesifikke av natur, og vil variere fra år til år, trenger ikke instruksen spesifisere hvilke områder internrevisjonen utfører rådgivningsoppdrag på.

Årsrapporten bør liste opp hvilke revisjoner som er gjennomført i løpet av året, hvilke anbefalinger internrevisjonen har kommet med, hvilke handlingsplaner eller tiltak ledelsen har besluttet og status på om tiltak fra tidligere revisjoner er lukket. Internrevisjonen bør også gi en beskrivelse av status på risikostyring og kontroll i virksomheten.

Virksomhetsleder har ansvar for at departementet får tilgang til den årlige revisjonsplanen og årsrapporten fra internrevisjonen i tillegg til eventuelle enkeltrapporter hvis departementet ønsker det.

Internrevisjonen bør ha dialog med Riksrevisjonen med sikte på å etablere oversikt over pågående og planlagte revisjoner. Virksomhetsleder skal gjøre årsplanen, enkeltrapporter og årsrapporten tilgjengelig for Riksrevisjonen