← Til dfo.no
Veileder: Trenger vi internrevisjon?

Hva er internrevisjon?

Oppdatert

Definisjon av internrevisjon

Internrevisjon1 er en organisatorisk enhet i virksomheten, eller en enhet som kjøpes fra eksterne fagmiljøer, som skal rapportere til øverste ledelse og være objektiv og uavhengig av resten av organisasjonen og områdene den reviderer. Internrevisjonen er primært virksomhetslederens redskap.

The Institute of Internal Auditors (IIA) definerer internrevisjon som:

«en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsetninger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.»

Definisjonen er hentet fra Standards & Guidance — International Professional Practices Framework (IPPF)® Den norske oversettelsen finner du på IIAs nettsider.

Kjerneprinsipper for profesjonell utøvelse av internrevisjon

  • Har og synliggjør integritet.
  • Har og synliggjør kompetanse og tilbørlig faglig aktsomhet.
  • Er objektiv og fri for utilbørlig påvirkning (uavhengig).
  • Tilpasser seg organisasjonens strategier, mål og risikoer.
  • Er hensiktsmessig posisjonert organisasjonsmessig og har de riktige ressursene.
  • Har og synliggjør kvalitet og kontinuerlig forbedring.
  • Kommuniserer virkningsfullt.
  • Gir risikobaserte bekreftelser.
  • Er innsiktsfull, proaktiv og fremtidsfokusert.
  • Fremmer forbedring i organisasjonen.

Internrevisjonsfunksjonen har hele virksomheten som virkeområde. Den utarbeider en årlig risikobasert revisjonsplan for å fastsette sine prioriteringer. Den arbeider etter anerkjente standarder og benytter en systematisk metode for å gjennomgå og vurdere sentrale dokumenter, systemer og praksis. 

Internrevisjonen skal ledes av en internrevisjonssjef. Med god kompetanse, en uavhengig rolle og et helhetlig perspektiv på virksomheten skal internrevisjonen fungere som støtte for virksomhetslederen og linjeorganisasjonen for øvrig, og den skal være en katalysator for forbedringer i virksomheten. Internrevisjonen gir virksomhetslederen trygghet for at ting som er bestemt, blir gjennomført som forutsatt.

Bekreftelsestjenester og rådgivningstjenester

Internrevisjonens oppgave er både å gi uavhengige vurderinger og råd, såkalte bekreftelsestjenester og rådgivningstjenester. Standardsettere har ønsket å forsterke internrevisjonens bekreftelsesrolle i forhold til rådgiverrollen. Den som blir revidert, ser ofte størst verdi i bidragene fra internrevisjonen når det gjelder å forbedre prosessene for styring og kontroll (rådgivningstjenester). Virksomhetsleder, departement eller andre eksterne ser størst verdi i den objektive og uavhengige bekreftelsen internrevisjonen kan gi (bekreftelsestjenester) innenfor området som revideres.

Bekreftelsestjenester

Bekreftelsestjenester innebærer at internrevisjonen gjør objektive og uavhengige vurderinger av om styring og kontroll er tilfredsstillende i systemer, prosesser eller områder i virksomheten. Det er som regel tre parter involvert i bekreftelsesrevisjoner: 

  1. enheten som blir revidert 
  2. den som utfører revisjonen 
  3. oppdragsgiveren eller brukeren av vurderingen eller konklusjonen

Rådgivningstjenester

Rådgivningstjenester er veiledende i sin natur og blir vanligvis utført på konkret forespørsel fra en oppdragsgiver. Internrevisjonen kan gi råd om forbedringer i systemer, prosesser eller andre områder i virksomheten. Rådgivning omfatter vanligvis to parter: 

  1. den som utfører rådgivning (internrevisjonen)
  2. den som søker og mottar rådgivning (oppdragsgiveren)

Internkontroll i internrevisjonen

Et hovedområde i internrevisjonens arbeid er å vurdere om den etablerte internkontrollen er hensiktsmessig. Begrepet internkontrolldreier seg om langt mer enn bare kontrollaktiviteter. Internkontrollen omfatter blant annet forhold som fordeling av roller og ansvar, kompetanse, etiske retningslinjer, kultur, holdninger, informasjon og kommunikasjon. 

Internkontroll skal etableres og gjennomføres på alle nivåer, og i alle funksjoner i virksomheten. Virksomhetens ledelse har ansvaret for å påse at systemer og rutiner er tilpasset risiko og vesentlighet, at den fungerer tilfredsstillende, og at den kan dokumenteres (jf. bestemmelsene pkt. 2.4). Bruk av internrevisjon til å vurdere om systemer og rutiner er gode nok, er ett mulig tiltak virksomhetslederen kan benytte i en slik tilpasning. Derfor er det viktig å merke seg at en internrevisjon ikke er en erstatning for virksomhetens internkontroll.

Internkontroll er bare ett av tre hovedområder som inngår i internrevisjonens arbeid. Definisjonen av internrevisjon sier at internrevisjonen i tillegg til å vurdere og bidra til forbedring knyttet til virksomhetens internkontroll også skal vurdere og bidra til forbedring av prosessene for risikostyring3 og governance4. Videre i veiledningen benytter vi samlebegrepet «styring og kontroll» synonymt med begrepene risikostyring, internkontroll og governance.

Revisjon på operasjonelt og strategisk nivå

Internrevisjonen kan utføre revisjon på både operasjonelt og strategisk nivå i virksomheten. I tillegg til å revidere styring og kontroll med vekt på produktivitet og det operasjonelle, det vil si «å gjøre tingene riktig», har internrevisjonen med tiden også gått inn på det strategiske området og revisjon av formålseffektivitet også kalt effekter, det vil si «å gjøre de riktige tingene». Fordelingen av revisjoner på det ene eller andre området vil avhenge av virksomhetens modenhet med hensyn til prosessene for styring og kontroll, og dermed variere i tid og etter behov. 

Det er viktig å være oppmerksom på at en stor andel rådgivningsoppdrag kan bidra til utfordringer med objektivitet og uavhengighet når internrevisjonen skal gjennomføre bekreftelsestjenester på områder hvor det tidligere er gitt råd. Revisjon av strategiske forhold stiller høye krav til kompetanse, kjennskap til virksomheten, modenhet og integritet hos internrevisjonen for å gi tilstrekkelig merverdi.

Internrevisjonens rolle og plassering i virksomheten

Internrevisjonen skal organisatorisk være knyttet til og rapportere til virksomhetslederen, eventuelt også til styret i virksomheter som har dette. Internrevisjonen skal være objektiv og uavhengig av resten av organisasjonen og de oppgavene som revideres. Derfor skal internrevisjonen for eksempel ikke pålegges oppgaver som innebærer at den får ansvar for etablering, gjennomføring og implementering av tiltak knyttet til styring og kontroll. Dette fordi internrevisjonen fort kan ende opp med å revidere noe den selv har vært med på å etablere eller implementere. 

Internrevisjonen er det ytterste leddet i virksomhetens interne styrings- og kontrollsystem. Virksomhetens samlede systemer for styring og kontroll skal bidra til å redusere iboende risikoi virksomheten til et nivå ledelsen har bestemt at er akseptabelt. Forskjellige kontrollnivåer i virksomheten er illustrert i figuren under.

Illustrasjon av ulike kontrollnivåer for å sikre god styring og kontroll. Kilde: Veileder i internkontroll fra DFØ (2013)

Førstelinjekontroll

Førstelinjen omfatter medarbeidere i linjen som har et ansvar for å gjennomføre etablert styring og kontroll gjennom sine daglige arbeidsoppgaver. Førstelinjen omfatter også ledelsen, som har ansvar for å utforme, gjennomføre og følge opp ulike tiltak for å oppnå god styring og kontroll innenfor sitt ansvars­område. Tiltak for å redusere risiko i førstelinjen kan for eksempel være tiltak som fullmakter, arbeidsdeling, opplæring, policyer og prosedyrer, ulike typer manuelle kontroller, kontroller innebygd i IT-systemene, oppfølging av styringsparametrer, kvalitetssikring med mer. Dette kaller vi førstelinjekontroller.

Andrelinjekontroll

Andrelinjen omfatter ulike typer stabs- og linjeenheter som legger til rette for, bistår i og følger opp styring og kontroll på vegne av én eller flere ledere. Dette kan for eksempel være regnskaps- eller rapporteringsenheter, controllere og kvalitetsrådgivere, eller fagansvarlige for internkontroll. Slike enheter kan bidra med faglig veiledning, analyser av risiko og resultater, kvalitetsgjennomganger, evalueringer og oppfølging av hvorvidt policyer, prosedyrer, lover og regler etterleves. Dette kaller vi andrelinjekontroller.

Tredjelinjekontroll

I tillegg kan virksomheten etablere internrevisjon som en ekstra sikkerhet. Denne tredjelinjen er det ytterste laget med kontroll og skiller seg fra kontrollene som gjennomføres i første- og andrelinjen, ettersom internrevisjonen på objektivt og uavhengig grunnlag vurderer hvor effektiv og hensiktsmessig den etablerte og gjennomførte styringen og kontrollen i første- og andrelinjen er. Dette kaller vi tredjelinjekontroll.

Fjerdelinjekontroll

I tillegg til de tre interne kontrollinjene kan man også synliggjøre eksternrevisors eller Riksrevisjonens og andre eksterne kontrollorganers6 plass som en «fjerdelinje» i figuren. Tredjelinjen og fjerdelinjen bør samarbeide og koordinere sine innsatser og arbeidsfelt slik at ressursene samlet sett blir best mulig utnyttet. Internrevisjonen kan fungere som en forebyggende funksjon som bidrar til at virksomhetene får bedre styring og kontroll og blir oppmerksomme på svakheter før de eventuelt blir påpekt av fjerdelinjen.

Standarder for internrevisjon

For at internrevisjonen skal kunne utøve rollen sin på en god måte, er det avgjørende at den har tillit og troverdighet både hos styre, virksomhetsleder og øvrige ansatte, og hos departement og Riksrevisjonen. Krav til bruk av anerkjente standarder for internrevisjon er viktig for å sikre kvalitet og profesjonalitet og for å styrke internrevisjonens legitimitet overfor omgivelsene. Dette skaper forutsigbarhet og trygghet for at arbeidet er gjennomført på en strukturert og metodisk måte. 

Når internrevisjonen arbeider etter anerkjente standarder, tilfører det en kvalitetsdimensjon og en rolleavklaring som bidrar til å sikre at revisjonsoppdrag gjennomføres i samsvar med profesjonens krav til objektivitet, faglig dyktighet og aktsomhet. Standardene til The Institute of Internal Auditors (IIA) vil være et godt valg for de fleste statlige virksomheter.

Ulike modeller for internrevisjon

Dersom virksomheten beslutter å etablere en internrevisjon, må den ta stilling til hvilken modell som vil være best egnet gitt virksomhetens egenart og behov. Det er nyttig å kjenne til at internrevisjon kan anskaffes og dekkes på ulike måter. Innenfor rammene av rundskriv R-117 og eventuelle instrukser fra overordnet instans kan virksomhetslederen bestemme hvordan internrevisjonen skal organiseres. Nedenfor finner du en oversikt over mulige «modeller» for internrevisjon.

Mulige modeller

Modell 1 – egen organisatorisk enhet med fast ansatte revisorer:
Her har virksomheten en egen organisatorisk enhet med ansvar for å levere internrevisjonstjenester.

Modell 2 – ansatt revisjonssjef med team fra egen virksomhet:
Her setter internrevisjonen sammen revisjonsteam av ansatte i virksomheten. Teamene blir ledet av internrevisjonssjefen. Man har da ulike team for de ulike revisjonsoppdragene.

Modell 3 – ansatt revisjonssjef som kjøper eksterne tjenester:
Her ansetter virksomheten en revisjonssjef som kjøper tjenester fra eksterne fagmiljøer. Tjenestene kan kjøpes hos en eller flere leverandører (flere rammeavtaler).

Modell 4 – felles internrevisjonsfunksjon på tvers av likartede virksomheter: Her deler flere virksomheter på en internrevisjonsfunksjon. Denne varianten er i bruk i forsvarssektoren.

Modell 5 – full outsourcing:
Her er alle internrevisjonstjenester, inklusive internrevisjonssjef, kjøpt fra eksterne fagmiljøer.

I tillegg til de fem modellene som er beskrevet ovenfor kan man etablere en kombinasjon av modellene, for eksempel modell 1 og 2 eller 2 og 3. Det er også mulig å inngå rammeavtaler og ha budsjett for kjøp av ekstra revisjonstjenester for alle modellene (unntatt modell 5 – full outsourcing, der dette ligger i hovedmodellen). Dette er svært vanlig blant de internrevisjonene som allerede er etablert i staten. En slik «co-sourcing» er særlig vanlig når det gjelder kjøp av spisskompetanse på ett eller flere områder som internrevisjonen mangler, for eksempel IKT-revisjonstjenester.

På dfo.no om internrevisjon ligger det en oversikt over hvilke statlige virksomheter som har internrevisjon og hvilken modell som er valgt.

Definisjonen er hentet fra Standard & Guidance – International Professional Practices Frameword (IPPF).
Internkontroll defineres som: «… en prosess, gjennomført av foretakets styre, ledelse og ansatte som er utformet for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og effektiv drift, Pålitelig rapportering, Overholdelse av lover og regler». For nærmer omtale om internkontroll se veileder i internkontroll.
For nærmere omtale av risikostyring se risikostyring i staten – håntering av risiko i mål- og resultatstyringen.
IIA definerer governance som en kombinasjon av prosesser og strukturer som er implementert for å informere, lede, styre og overvåke organisasjonens aktiviteter rettet mot måloppnåelse.
Gjenværende risiko er nivået på risikoen når man tar hensyn til de tiltakene og kontrollaktivitetene som er iverksatt når man vurderer risiko (jf. Risikostyring i staten – håndtering av risiko i mål- og resultatstyringen). Iboende risiko er nivået på risikoen når man ikke tar hensyn til de ulike tiltakene og kontrollaktivitetene som er etablert for å redusere den.
Eksempler på andre eksterne kontrollorgan utover Riksrevisjonen kan være statlige tilsyn som Arbeidstilsynet eller Helsetilsynet og europeiske tilsyn- og kontrollorgan.

Fant du det du lette etter?