Sjekkliste for vurdering av behovet for en internrevisjonsfunksjon
Denne sjekklisten er et hjelpemiddel for å komme gjennom steg 1 i vurderingen i dette veiledningsmateriellet.
Du kan også laste ned sjekklisten i Word-format, slik at du kan tilpasse innholdet til din virksomhet.
Sjekklisten er delt inn i to hovedspørsmål
Hovedspørsmål 1 er knyttet til mer eller mindre objektive kriterier og kjennetegn ved virksomhetens størrelse, kompleksitet, risiko og vesentlighet.
Hovedspørsmål 2 handler om modenheten og kvaliteten på styring og kontroll.
Hvert av de to hovedspørsmålene avsluttes med et felt for «Samlet vurdering», der virksomheten bør gi en sammenstilt vurdering og ev. begrunnelse knyttet til det enkelte hovedspørsmål.
- Innledningsvis får du tips om hvilke dokumenter som kan være aktuelle å gjennomgå, og hvilke aktiviteter som kan gjennomføres for å besvare spørsmålene i sjekklisten.
- For hvert underspørsmål kan virksomheten vurdere ulike graderinger, for eksempel medium / høy / svært høy eller ja/nei.
- I kolonne for vurdering/kommentar kan virksomheten gi utfyllende forklaring i fritekst.
Slik kan du gå frem for å få et bedre grunnlag for å besvare spørsmålene i sjekklisten:
1. Identifisere og gjennomgå relevant dokumentasjon som belyser virksomhetens egenart, risiko og vesentlighet.
Slike dokumenter kan eksempelvis være
- Prop. 1 S (statsbudsjettet, fagproposisjonen)
- instruks, tildelingsbrev, budsjett og årsrapport
- virksomhetens risikovurderinger og eventuelt SWOT-analyse (stryker, svakheter, muligheter og trusler)
- organisasjonsmodell
- styringsmodell
2. Identifisere og gjennomgå relevant dokumentasjon og benytte relevante verktøy som belyser virksomhetens kvalitet og modenhet på styring og kontroll.
I arbeidet med å utarbeide årsrapport vil virksomheten allerede ha vurdert og dokumentert status på styring og kontroll. Relevante dokumenter eller verktøy benyttet i dette arbeidet kan for eksempel være
- dokumentasjon eller beskrivelse av virksomhetens styrings- og kontrollsystem (vedtatte dokumenter som beskriver systemer og strukturer, styringsmodell, etiske retningslinjer e.l.)
- styringsdokumenter med mål og resultatkrav, eksempelvis Prop. 1 S, strategi, resultatindikatorer, tildelingsbrev, årsrapport mv.
- dokumentasjon på gjennomført oppfølging knyttet til styrings- og kontrollsystemet, for eksempel oppfølging av virksomhetsplan, avdelingsplaner, aktivitetsplaner, styringsparameterer, resultatrapporter og rapporterte avvik (effekt og etterlevelse)
- virksomhetens risikovurderinger
- rapporter fra Riksrevisjonen, tilsyn, resultat av evalueringer og granskninger
- relevante referat fra styringsdialogen med departementet eller andre møtereferat eller dokumentasjon som inneholder informasjon om ledelsens oppfølging og vurdering av internkontrollen, for eksempel lederbekreftelser. Link til DFØs verktøy for lederbekreftelser.
- dokumentasjon på gjennomført egenevaluering av internkontrollen, modenhetsvurdering av internkontrollen e.l. Link til DFØs verktøy for egenevaluering av internkontrollen.
- dokumentasjon på gjennomført egenevaluering ved bruk av Common assessment framework (CAF) (link til rammeverk)
3. Identifisere og gjennomføre samtaler med interne og eksterne interessenter etter behov.
Dette kan være medarbeidere som har god kjennskap til virksomheten, for eksempel personer som er sentrale i oppfølgingen av virksomhetens styring og kontroll. Det kan også være eksterne som personer i overordnet departement eller sentrale representanter for brukere av virksomhetens produkter/tjenester, for eksempel
- virksomhetsleder
- ledere i linje og stab
- controller og sentrale økonomi-/regnskapsmedarbeidere
- fagansvarlig internkontroll, leder risikostyring eller andre 2.linjefunksjoner
- systemansvarlige
- juridisk ansvarlige
- prosessansvarlige
- personer med særlig ansvar for sikkerhet og beredskap
- etatsstyrer
- Riksrevisjonen
- representanter for sentrale brukergrupper
Vi foreslår å bruke tall fra siste årsrapport. Dette er entydige og endelig tall som er sammenlignbare over tid, og de er lett tilgjengelige.
Det er noe overlapping mellom forholdene som er omtalt i sjekklisten. Med størrelse følger også kompleksitet. Både størrelse, kompleksitet og vesentlighet påvirker risiko, og med størrelse og kompleksitet følger for eksempel betydelige krav og utfordringer knyttet til styring og kontroll. Videre er det ingen entydig sammenheng mellom en virksomhets behov for internrevisjon og kvaliteten på styring og kontroll, som vurderes under hovedspørsmål 2. Vurderingen i tilknytning til dette hovedspørsmålet bør derfor settes i sammenheng med hovedspørsmål 1 og sees i forhold til hvor krevende det er for virksomhetslederen å skaffe seg tilstrekkelig oversikt og informasjon om tilstanden på styring og kontroll og hva som må til for å sikre forsvarlig styring og kontroll.
Vi understreker at sjekklisten ikke er ment å være en uttømmende liste over elementer dere bør vurdere, og at heller ikke alle spørsmål vil være relevante for virksomheten å vurdere. Sjekklisten er kun ment som en veiledning og inspirasjon i arbeidet med å vurdere og dokumentere denne vurderingen.
|
Hovedspørsmål 1: Hvor stor, kompleks, risikoutsatt og vesentlig er virksomheten? |
||||
|
Størrelse |
Medium |
Stor |
Svært stor |
Vurdering/kommentar |
|
Budsjett Tall for samlede utgifter (kostnader) eller inntekter i siste årsrapport. Bruttobudsjetterte virksomheter tar utgangspunkt i oppstilling av bevilgningsrapporteringen. Nettobudsjetterte virksomheter tar utgangpunkt i oppstilling av virksomhetsregnskapet. |
300 mill. kr–1 mrd. kr |
1–10 mrd. kr |
Over 10 mrd. kr |
|
|
Antall årsverk/ansatte i siste årsrapport |
0–500 årsverk |
500–2000 årsverk |
Over 2000 |
|
|
Transaksjonsvolum Et representativt volumtall fra siste årsrapport del II «Introduksjon til virksomheten og hovedtall». Volumtall kan for eksempel være antall brukere av en tjeneste, antall vedtak, søknader mv. Virksomheten må velge det volumtallet som synliggjør størrelse, og deretter vurdere om virksomheten har medium, stort, eller svært stort volum. |
|
|
|
|
|
Balanse
|
0–1 mrd. kr |
1–10 mrd. kr |
Over 10 mrd. kr |
|
|
Kompleksitet |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Spenn i oppgaveportefølje og ansvarsområder |
|
|
|
|
|
Geografisk spredning / antall lokasjoner og styringsnivå eller styringslinjer |
|
|
|
|
|
Grad av kompliserte vurderinger eller beregninger knyttet til produkter eller tjenester |
|
|
|
|
|
Grad av kvalitetskrav knyttet til tjenester og produkter |
|
|
|
|
|
Grad av kompleksitet i IKT-systemer, eksempelvis integrerte IKT-systemer internt eller med eksterne |
|
|
|
|
|
Grad av påvirkning fra og endringer i eksterne rammebetingelser (EU, EØS, markeder, politisk uro mv.) |
|
|
|
|
|
Underlagt komplekst regelverk (nasjonalt eller internasjonalt) |
|
|
|
|
|
Risiko (iboende/restrisiko) |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Grad av produkter eller tjenester med høy iboende/potensiell risiko for misligheter (kunder eller medarbeidere) |
|
|
|
|
|
Grad av skjønnsmessige vurderinger |
|
|
|
|
|
Grad av avhengighet og samhandling med andre statlige virksomheter eller private aktører for leveranser av produkter eller tjenester |
|
|
|
|
|
Grad av store investeringer i forhold til budsjett, jf. også Finansdepartementets Prosjektmodell for store investeringer med tilhørende terskelverdier |
|
|
|
|
|
Grad av sikringsverdig informasjon og eller objekter, jf. bl.a. Lov om nasjonal sikkerhet (sikkerhetsloven) |
|
|
|
|
|
Grad av transaksjonsvolum eller aktiviteter
|
|
|
|
|
|
Vesentlighet |
Lav/moderat |
Høy |
Svært høy |
Vurdering/kommentar |
|
Forvaltning av tilskuddsordninger av en viss størrelse |
|
|
|
|
|
Håndtering av EU/EØS-midler |
|
|
|
|
|
Vedtak med store konsekvenser for o enkeltindivider og grupper av brukere o mange brukere o utsatte brukere |
|
|
|
|
|
Produksjon av samfunnskritiske produkter, tjenester eller beredskap. Enten direkte eller indirekte i form av tjenester til kunders samfunnskritiske produkter/tjenester eller beredskap |
|
|
|
|
|
Grad av politisk oppmerksomhet knyttet til produkter eller tjenester |
|
|
|
|
|
Samlet vurdering av virksomhetens størrelse, kompleksitet, risiko og vesentlighet |
|
|||
|
Hovedspørsmål 2: Hvordan er modenheten og kvaliteten på virksomhetens styring og kontroll? |
|||
|
Spørsmål |
Ja |
Nei |
Vurdering/kommentar |
|
Oppnår virksomheten i stor grad fastsatte mål og resultatkrav? |
|
|
|
|
Har virksomheten et godt opplegg for å identifisere, vurdere, håndtere og følge opp risiko · på virksomhetsnivå? · på lavere og operativt nivå (vesentlige områder eller prosesser)? |
|
|
|
|
Har virksomheten etablert styrende dokumenter for alle vesentlige/risikofylte områder som tydeliggjør · hvem som har ansvaret for hva? · hvordan risikoutsatte og vesentlige oppgaver skal gjennomføres? |
|
|
|
|
Har virksomheten god nok dokumentasjon av gjennomførte kontrollhandlinger? |
|
|
|
|
Har virksomheten god oppfølging av etterlevelse av interne styrende dokumenter og eksterne lover og regler? Klarer virksomheten å benytte resultatene fra oppfølgingen til læring og forbedring? |
|
|
|
|
Har virksomheten gode IKT-systemer som understøtter oppgaveløsningen? · Hvordan opplever brukerne og de ansatte dette? |
|
|
|
|
Er det etablert et hensiktsmessig opplegg for informasjon og kommunikasjon tilpasset virksomhetens organisering og behov? · Hvordan oppleves dette av brukerne og de ansatte? |
|
|
|
|
Er styringsinformasjonen god (relevant, tilstrekkelig, pålitelig og rettidig)? |
|
|
|
|
Er det godt samsvar mellom kompetanse og roller, ansvar og myndighet? |
|
|
|
|
Har virksomheten en kultur og holdninger som gjenspeiler fastsatte etiske verdier? |
|
|
|
|
Fanger virksomhetens etablerte styrings- og kontrollsystemer opp feil og mangler før virksomheten blir gjort oppmerksom på feil og mangler av departement eller etter eksterne gjennomganger (RR, tilsyn, evalueringer mv.)? |
|
|
|
|
Samlet vurdering av kvaliteten og modenheten på styring og kontroll |
|
||